一、什么是容器
容器实质上是一个进程,只是这个进程通过linux提供的namespace机制进行了隔离,以及通过cgroups限定了这个进程可以占用的系统资源。而且容器进程就代表我们的应用本身,并没有一个专门的容器应用,容器只是帮我们在启动我们的进程之前,帮我们做了一些隔离和资源限制地设置。(容器是一个单进程的模型,即容器所代表的这个进程,运行的就是我们要跑的程序本身。)
- 容器通过 PID namespace,使得在容器自己看来,自己是PID=1的进程,但是在宿主机上容器进程PID还是原来的。
- 容器通过 network namespace,屏蔽了网络设备
- 容器通过Mount namespace,屏蔽了宿主机上的文件系统,并通过chroot命令,将容器进程的根目录挂载到指定的文件夹,这样容器进程在启动时在宿主机创建一个文件夹,并通过chroot命令将容器进程的根目录指定为这个文件夹 (其实就是将镜像所组成的rootfs文件系统挂载到容器的根目录上)。
- 容器通过在/sys/fs/cgroup目录下,自动创建一个资源限制组,然后将容器的PID写入控制组,从而实现容器的资源限制
注意:
- 由于容器只是一个特殊的进程,所以容器会和宿主机其他进程共享内核,所以有一些无法被namespace隔离的资源就需要谨慎对待,比如时间。
二、什么是容器镜像
容器镜像实际上就是一个联合文件系统rootfs(linux的文件系统是一个目录树,每个目录可以挂载别的文件系统,所以可以将rootfs挂载到容器进程的某个目录上,并更改那个目录作为容器进程所能 “看到” 的根目录)
之所以采用联合文件系统是为了最大程度的重用已有的文件,即docker的镜像是分层的,基础层是整台宿主机共享的,只读的,容器可以更改的只有最上面的读写层,删除基础层的文件也只是在读写层创建一个whiteout文件,将基础层的对应文件给覆盖掉,类似于隐藏文件。
容器在读写层之下,基础层之上用于存储那些容器进程启动要用到,但是提交景象又不需要的一些参数的Init层,该层用于操作比如启动进程绑定的端口号等等,这些参数启动容器需要,但是提交镜像又要剥离出去,所以在读写层和基础层之外,因为读写层的内容生成新的镜像后,就会成为新镜像基础层的一部分。
三、什么是Volume
Volume实质上就是挂载操作,在Mount namespace将挂载镜像之前,容器是可以看到宿主机的目录的,但是宿主机看不到容器进程的目录,此时通过挂载操作,将宿主机的某个目录对应的inode挂载到容器的某个目录下(此时对该目录操作,只影响宿主机,不影响容器镜像),从而实现容器往这个目录中存储东西,容器销毁后,宿主机依然保留。
由于这个挂载点被Mount namespace屏蔽了,宿主机是不知道容器进程内部的目录结构是什么样子的。(底层原理是什么呢? 宿主机和容器看到的目录表不同?目录表存储的内容不一样?)
四、什么是k8s、Pod
k8s是一个管理容器、编排容器的平台,将容器比作云计算平台的进程,k8s则是云计算平台的操作系统。
k8s分为master节点和node节点,master节点管控整个集群,包括 api server、scheduler、controller、etcd几个部分,node包括kublet、容器运行时、kube-proxy等几部分。
需要注意,master节点上的组件都是通过容器方式运行的,所以master和普通node的区别只是容器中运行的程序不一样。(所以master节点也是一个node节点,只是不可被调度而已——通过打上“污点”实现,所以master节点也有kublet组件),kublet组件是k8s最核心的组件。
master的容器是如何启动的呢?
- 通过kublet以static pod的方式启动,k8s集群在启动时,kubelet会扫描某个固定的目录,把那个目录下的声明api对象的yaml文件读取并生成对应的pod。
pod又是什么呢?
- pod是为了解决超亲密关系的,即有可能几个进程他们需要共享网络、磁盘等资源,此时将他们放到一个命名空间下,当作一个单位来进行调度,这就是pod。pod是一个逻辑上的概念,实质就是一组共享某些资源的容器进程。类似于云计算平台上的一台虚拟机。
- 如何实现呢?其实就是pod所属的这几个容器被当作原子单位分配一个node,然后k8s为他们配置共享的网络命名空间,共享的volume等等
五、k8s里的volume
容器的volume和宿主机绑定,但是k8s中容器恢复重启会被重新创建,可能会被调度到一个新的node上,所以k8s中的volume一般都是远程存储,即一个额外的公共存储。
4826
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
