cgroup(实现资源限制)
cgroup全称control group。linux操作系统通过cgroup可以设置进程使用CPU、内存和IO资源的限制。--cpu-shares、-m、--device-write-bps实际上就是在配置cgroup。
在/sys/fs/cgroup/cpu/docker目录中,linux会为每个容器创建一个cgroup目录,以容器的长ID命名的目录中包含所有与cpu相关的cgroup配置,文件cpu.shares保存的就是--cpu-shares的配置,同样的,/sys/fs/cgroup/memory/docker和/sys/fs/cgroup/blkio/docker中保存的就是内存以及block io的cgroup配置
namespace(实现资源隔离)
在每个容器中,都有文件系统、网卡等资源,这些资源看上去都是容器自己的。拿容器来说,每个容器都会认为自己有一块独立的网卡。即使host上只有一块物理网卡。这种方式非常好,它使得容器更像一个独立的计算机
linux实现这种方式的技术是namespace。namespace管理着host中全局唯一的资源。可以让每个容器都觉得只有自己在使用它。换句话说,namespace实现了容器间资源的隔离
Linux使用了6种namespace,分别对应6种资源:mount、uts、ipc、pid、network和user,下面分别讨论
1.mount namespace
mount namespace让容器看上去拥有整个系统文件,容器有自己的/目录,可执行mount和umount命令。这些操作只在当前容器中生效,不会影响到host和其他容器
2.uts namespace
简单地说,uts namespace让容器拥有自己的hostname。默认情况下,容器的hostname是它的短ID,可以通过-h或--hostname参数设置
3.ipc namespace
IPC namespace让容器拥有自己的共享内存和信号量来实现进程间的通信,而不会与host和其它容器的IPC混在一起
4.pid namespace
容器在host中以进程的方式运行。而且进程的PID不同于host中对应进程的pid。也就是说:容器拥有一套自己的PID,这就是PID namespace提供的功能
5.network namespace
network namespace让容器拥有自己独立的网卡、IP、路由等资源
6.user namespace
user namespace让容器能够管理自己的用户,host不能看到容器中创建的用户
397
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
