docker之底层原理

已于 2024-07-19 16:42:27 修改
阅读量506 收藏 9
点赞数 7
文章标签: docker 容器 运维
于 2024-07-19 16:30:23 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_37182070/article/details/140552074
版权

docker底层使用linux的四个技术,chroot,namespace,cgroup,OverlayFs

一、chroot

chroot:改变某进程的根目录,使程序不能访问该目录之外的其他目录

二、namespace

Namespace: 是linux系统提供的一种资源隔离机制,使容器中的进程都可以在单独的命名空间中运行,并且只可以访问当前命名空间中的资源。Namespace 可以隔离进程 ID、主机名、用户 ID、文件名、网络访问和进程间通信等相关资源。

Linux Namespace是Linux系统提供的一种资源隔离机制,可实现系统资源隔离的列表如下:

    IPC:
        用于隔离进程间通信。
    MNT:
        用于隔离文件系统和提供硬盘挂载点。
    NET:
        用于隔离网络。
    PID:
        用于隔离进程ID。
    User:
        用于隔离用户和用户组。
    UTS:
        用于隔离HostName和DomianName。

三、cgroup

cgroup是Linux内核的一个功能,用来限制和隔离进程的资源使用情况,比如CPU、内存、磁盘I/O、网络等。

Linux系统中能够控制的资源列表
  cpu:
     主要限制进程的cpu使用率。
 cpuacct:
     可以统计cgroups中的进程的cpu使用报告。
 cpuset:
     可以为cgroups中的进程分配单独的cpu节点或者内存节点。
 memory:
     可以限制进程的memory使用量。
 blkio:
     可以限制进程的块设备io。
 devices:
     可以控制进程能够访问某些设备。
 net_cls:
     可以标记cgroups中进程的网络数据包,然后可以使用tc模块(traffic control)对数据包进行控制。
 net_prio:
     这个子系统用来设计网络流量的优先级
 freezer:
     可以挂起或者恢复cgroups中的进程。
 ns:
     可以使不同cgroups下面的进程使用不同的namespace
 hugetlb:
     这个子系统主要针对于HugeTLB系统进行限制,这是一个大页文件系统。

四、OverlayFs

OverlayFs:是一种堆叠文件系统,它依赖并建立在其他文件系统之上(ext4、xfs),并不直接参与磁盘空间结构划分,将原来系统文件中的文件或目录合并在一起,最后向用户展示的文件是在同一级的目录,这就是联合挂载技术。

 Linux内核为Docker提供的OverlayFS驱动有两种:Overlay和Overlay2。而Overlay2是相对于Overlay的一种改进,在Inode利用率方面比Overlay更有效。    

OverlayFS实现方式:
    OverlayFS通过三个目录:lower目录、upper目录、以及work目录实现。
    lower:
         一般对应的是只读数据。
     upper:
         可以进行读写操作的目录。
     work:
         目录为工作基础目录,挂载后会自动创建一个work子目录(实际测试手动卸载后该目录并不会被删除)
         该目录主要是存储一些临时存放的结果或中间数据的工作目录。

Docker底层原理详解
悦分享
01-26 273
我们知道进程是Linux操作系统执行任务的最小单元,一个时间同步服务是一个进程,一个Java服务是一个进程,一个Nginx服务是一个主进程+若干工作进程,总之,把一个系统比作一个办公室,进程就是一个个打工人:正常情况下,一个进程是能感知到其他进程的存在的,正如一个打工人放眼望去,办公室里还坐着一群其他打工人。进程的唯一标识是进程ID,用数字1、2、3……表示,好比打工人的工牌号,大家都各不一样。而容器技术首先要解决的就是进程的隔离,即一个进程在运行的时候看不到其他进程。
docker liunx的底层逻辑是什么,docker原理是什么?怎么部署及应用,Docker的来龙去脉
zhang9880000的博客
07-02 1371
创建。
linux chroot 命令
Chocolate的博客
06-15 3616
chroot 是一个很有意思的命令,我们可以用它来简单的实现文件系统的隔离。但在一个容器技术繁荣的时代,用 chroot 来进行资源的隔离实在是 low 了点。所以 chroot 的主要用途还是集中在系统救援、维护等一些特殊的场景中。理解 chrootLinux – RedHat7 / CentOS 7 忘记root密码修改sparkdevsparkdev - 博客园本文版权归作者和博客园共有,欢迎转载,但未经作者同意必须保留此段声明,且在文章页面明显位置给出原文连接,否则保留追究法律责任的权利。
Linux命令-chroot命令(把根目录换成指定的目的目录)
RisunJan的博客
03-01 2372
这样就能够正确运行a.out了,因为a.out使用到了其他的动态连接库,所以需要将库拷贝到newRoot中,如果没有其他库那么直接拷贝a.out就能运行。在 linux 系统中,系统默认的目录结构都是以 / ,即是以根 (root) 开始的。而在使用 chroot 之后,系统的目录结构将以指定的位置作为 / 位置。这样运行的是target中。了动态连接的库,需要用ldd查看a.out需要那些动态库,将这些库拷贝到新根的对应路径下才能执。的ls(不是本机的 /bin/ls ),然后返回立即本机的目录环境。
Linux系统之chroot命令详解
最新发布
weixin_56303229的博客
04-07 1099
chroot(Change Root)是一个用于改变进程根目录的命令,使进程及其子进程只能访问指定目录(NEWROOT)下的文件和目录,而无法看到或访问原系统的根目录(/)。它常用于安全隔离、系统恢复、软件测试等场景。
【Linux 命令】chroot
呆呆的猫的博客
04-22 2861
本文介绍 linux chroot 命令
Linux常用命令——chroot命令
AI的博客
10-27 448
chroot 的作用就是切换系统的根位置,而这个作用最为明显的是在系统初始引导磁盘的处理过程中使用,从初始 RAM 磁盘 (initrd) 切换系统的根位置并执行真正的 init。这样就能够正确运行a.out了,因为a.out使用到了其他的动态连接库,所以需要将库拷贝到newRoot中,如果没有其他库那么直接拷贝a.out就能运行。使用 chroot 后,系统读取的是新根下的目录和文件,这是一个与原系统根下文件不相关的目录结构。在这个新的环境中,可以用来测试软件的静态编译以及一些与系统不相关的独立开发。
chroot
chenliang0224的专栏
11-05 751
第一个参数是存放容器根文件系统的目录,第二个参数是可执行文件的路径,这个路径是相对于第一个参数而言的,原系统的绝对路径为/home/mengning/container/bin/hello。显然chroot技术只能改变进程描述符struct task_struct相关的struct fs_struct中的root,影响的是路径查找(path lookup)的起始点,是一种非常简单的隔离进程对文件系统访问范围的方法,Mount namespace则可以隔离进程的整个mount树,11.2.3节中再详细讨论。
Docker圣经:大白话说Docker底层原理,6W字实现Docker自由.docx
04-12
Docker 的 Daemon 底层原理可以分为三个部分:Docker CLI 客户端工具、Docker Daemon 守护进程和 containerd。 Docker CLI 客户端工具提供了许多有用的命令来管理 Docker 容器Docker Daemon 守护进程负责管理 ...
Docker底层原理
兮动人
02-15 371
Docker是怎么工作的 Docker是一个Client-Server结构的系统,Docker守护进程运行在主机上, 然后通过Socket连接从客户端访问,守护进程从客户端接受命令并管理运行在主机上的容器容器,是一个运行时环境,就是我们前面说到的集装箱。 为什么Docker比较比VM快 (1)docker有着比虚拟机更少的抽象层。由亍docker不需要Hypervisor实现硬件资源虚拟...
docker底层原理
09-07
Docker底层原理涉及到几个关键的概念和技术: 1. Linux容器Docker利用Linux容器(LXC)技术来实现虚拟化。Linux容器是一种轻量级的虚拟化技术,通过隔离进程、文件系统、网络等资源,使得应用程序能够在独立的...
每天学习一个Linux命令之chroot
俞兆鹏的博客
04-18 1515
chroot是一个用于在Linux系统中更改根目录的命令。它可以将当前的根目录更改为指定的目录,使得在该目录中运行的程序以及它们的子进程无法访问真正的根目录。这种隔离的环境可以用于安全性或测试目的。
linux下的chroot命令详解,linux chroot 命令用法说明
weixin_34736362的博客
04-29 3233
chroot,即 change root directory (更改 root 目录)。在 linux 系统中,系统默认的目录结构都是以 /,即以根 (root) 开始的。而在使用 chroot 之后,系统的目录结构将以指定的位置作为 / 位置。基本语法chroot NEWROOT [COMMAND [ARG]...]具体用法请参考本文的 demo。为什么要使用 chroot 命令增加了系统的安全...
Linux chroot 命令详解:用于更改当前进程的根目录(/),将指定路径作为新的根目录
yangchuang111213的博客
04-01 1081
chroot命令用于更改当前进程的根目录(),将指定路径作为新的根目录。也就是说,执行chroot后,进程将只能访问该指定路径下的文件系统,无法访问原先的根目录。这个操作常用于创建一个受限的环境,通常被称为“chroot 环境”或“chroot jail”。chroot系统恢复和修复:如果需要修复或检查系统中的问题,可以通过进入一个安全的chroot环境来对系统进行操作。安全隔离:通过将进程放置在chroot环境中,防止其访问系统中的敏感文件。创建隔离的测试环境:用于测试软件或应用程序,而不影响主系统环境。
linux 命令:chroot详解
yspg_217的博客
12-16 3411
linux 命令:chroot详解
chroot, exec, pivot_root
weixin_34383618的博客
08-23 436
1. chroot: 在指定的root目录运行命令 参考"info root"中的例子,我把/bin/ls拷贝至~/myroot后, 运行"$ sudo chroot ~/myroot /ls -Rl /", 结果得到下面的错误结果: “chroot: cannot run command `/ls': No such file or directory”. 事实...
对比 chroot 和 Mount Namespace
pumpkin84514的博客
11-28 662
是两个用于文件系统隔离的技术,它们的目标类似——为进程提供独立的文件系统视图,但实现方式和功能差别很大。一样改变进程的根目录,还可以为每个进程创建一个独立的“挂载点空间”(Mount Table)。则是真正为进程创建了一个独立的“文件系统世界”。即使是有权限的进程,想要突破隔离也极为困难。:只能改变“入口”目录,让进程从新的根目录开始访问文件系统,但其他挂载点的结构保持不变。是一种简单的文件系统隔离技术,它将一个进程的“根目录”(:可以为整个容器或一组进程创建一个独立的文件系统视图。
运维知识大神篇】运维人必学的Docker教程5(Namespace+Cgroup+OverlayFS原理+资源限制+自定义容器日志输出+Docker-compose安装+脚本全自动部署Docker
吾日三省吾身,想出类拔萃,要把知识学牢,学全,学深,学广。
12-29 1282
本篇文章继续给大家分享docker的内容,在2007年前后,Linux内核支持Cgroup和NameSpace技术,这两种技术在增加对Linux的整体控制的同时,也成为了保持环境隔离的重要框架。此外Docker还有chroot和OverlayFS等核心技术,值得我们去研究其原理,为深刻理解docker打下基础。
linux之chroot命令
phmatthaus的专栏
10-18 1192
chroot命令详解及实例
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

liux3528

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值