Docker学习笔记(二)——Docker底层技术

最新推荐文章于 2024-07-08 08:02:03 发布
最新推荐文章于 2024-07-08 08:02:03 发布
阅读量603 收藏 2
点赞数
分类专栏: docker
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/u010525694/article/details/103207428
版权
本文详细介绍了Docker如何利用Linux namespace技术实现容器的环境隔离,包括PID、UTS、user、network等namespace的原理和Docker中的应用。此外,文章还探讨了Linux control groups(cgroups)在限制容器资源使用中的作用,以及AUFS和OverlayFS等联合文件系统在Docker存储层的角色。通过对这些核心技术的理解,读者可以更好地掌握Docker的基础工作原理。
摘要由CSDN通过智能技术生成

1. 基础知识:Linux namespace 的概念

    Linux 内核从版本 2.4.19 开始陆续引入了 namespace 的概念。其目的是将某个特定的全局系统资源(global system resource)通过抽象方法使得namespace 中的进程看起来拥有它们自己的隔离的全局系统资源实例(The purpose of each namespace is to wrap a particular global system resource in an abstraction that makes it appear to the processes within the namespace that they have their own isolated instance of the global resource. )。Linux 内核中实现了六种 namespace,按照引入的先后顺序,列表如下:

namespace 引入的相关内核版本 被隔离的全局系统资源 在容器语境下的隔离效果
Mount namespaces Linux 2.4.19 文件系统挂接点 每个容器能看到不同的文件系统层次结构
UTS namespaces Linux 2.6.19 nodename 和 domainname 每个容器可以有自己的 hostname 和 domainame
IPC namespaces Linux 2.6.19 特定的进程间通信资源,包括System V IPC 和  POSIX message queues 每个容器有其自己的 System V IPC 和 POSIX 消息队列文件系统,因此,只有在同一个 IPC namespace 的进程之间才能互相通信
PID namespaces Linux 2.6.24 进程 ID 数字空间 (process ID number space) 每个 PID namespace 中的进程可以有其独立的 PID; 每个容器可以有其 PID 为 1 的root 进程;也使得容器可以在不同的 host 之间迁移,因为 namespace 中的进程 ID 和 host 无关了。这也使得容器中的每个进程有两个PID:容器中的 PID 和 host 上的 PID。
Network namespaces 始于Linux 2.6.24 完成于 Linux 2.6.29 网络相关的系统资源 每个容器用有其独立的网络设备,IP 地址,IP 路由表,/proc/net 目录,端口号等等。这也使得一个 host 上多个容器内的同一个应用都绑定到各自容器的 80 端口上。
User namespaces 始于 Linux 2.6.23 完成于 Linux 3.8) 用户和组 ID 空间  在 user namespace 中的进程的用户和组 ID 可以和在 host 上不同; 每个 container 可以有不同的 user 和 group id;一个 host 上的非特权用户可以成为 user namespace 中的特权用户;

Linux namespace 的概念说简单也简单说复杂也复杂。简单来说,我们只要知道,处于某个 namespace 中的进程,能看到独立的它自己的隔离的某些特定系统资源;复杂来说,可以去看看 Linux 内核中实现 namespace 的原理,网络上也有大量的文档供参考,这里不再赘述。

2. Docker 容器使用 linux namespace 做运行环境隔离

当 Docker 创建一个容器时,它会创建新的以上六种 namespace 的实例,然后把容器中的所有进程放到这些 namespace 之中,使得Docker 容器中的进程只能看到隔离的系统资源。 

2.1 PID namespace

我们能看到同一个进程,在容器内外的 PID 是不同的:

  • 在容器内 PID 是 1,PPID 是 0。
  • 在容器外 PID 是 2198, PPID 是 2179 即 docker-containerd-shim 进程.
  • pid namespace 通过将 host 上 PID 映射为容器内的 PID, 使得容器内的进程看起来有个独立的 PID 空间。

2.2 UTS namespace

类似地,容器可以有自己的 hostname 和 domainname:

root@onfocus:/home/lee# hostname
onfocus
root@devstack:/home/lee# docker exec -it web hostname
8b7dd09fbcae

2.3 user namespace

2.3.1 Linux 内核中的 user namespace

 

老版本中,Linux 内核里面只有一个数据结构负责处理用户和组。内核从3.8 版本开始实现了 user namespace。通过在 clone() 系统调用中使用 CLONE_NEWUSER 标志,一个单独的 user namespace 就会被创建出来。在新的 user namespace 中,有一个虚拟的用户和用户组的集合。这些用户和用户组,从 uid/gid 0 开始,被映射到该 namespace 之外的 非 root 用户。

 

在现在的linux内核中,管理员可以创建成千上万的用户。这些用户可以被映射到每个 user namespace 中。通过使用 user namespace 功能,不同的容器可以有完全不同的 uid 和 gid 数字。容器 A 中的 User 500 可能被映射到容器外的 User 1500,而容器 B 中的 user 500 可能被映射到容器外的用户 2500.

 

为什么需要这么做呢?因为在容器中,提供 root 访问权限有其特殊用途。想象一下,容器 A 中的 root 用户 (uid 0) 被映射到宿主机上的 uid 1000,容器B 中的 root 被映射到 uid 2000.类似网络端口映射,这允许管理员在容器中创建 root 用户,而不需要在宿主机上创建。 

2.3.2 Docker 对 user namespace 的支持

在 Docker 1.10 版本之前,Docker 是不支持 user namespace。也就是说,默认地,容器内的进程的运行用户就是 host 上的 root 用户,这样的话,当 host 上的文件或者目录作为 volume 被映射到容器以后,容器内的进程其实是有 root 的几乎所有权限去修改这些 host 上的目录的,这会有很大的安全问题。

举例:

  • 启动一个容器: docker run -d -v /bin:/host/bin --name web34 training/webapp python app.py
  • 此时进程的用户在容器内和外都是root,它在容器内可以对 host 上的 /bin 目录做任意修改

而 Docker 1.10 中引入的 user namespace 就可以让容器有一个 “假”的  root 用户,它在容器内是 root,它被映射到容器外一个非 root 用户。也就是说,user namespace 实现了 host users 和 container users 之间的映射。

启用步骤:

  1. 修改 /etc/default/docker 文件,添加行  DOCKER_OPTS="--userns-remap=default"
  2. 重启 docker 服务,此时 dockerd 进程为 /usr/bin/dockerd --userns-remap=default --raw-logs
  3. 然后创建一个容器:docker run -d -v /bin:/host/bin --name web35 training/webapp python app.py
  4. 查看进程在容器内外的用户:
root@onfocus:/home/lee# ps -ef | grep python
231072    1726  1686  0 01:44 ?        00:00:00 python app.py

root@onfocus:/home/lee# docker exec web35 ps -ef
UID        PID  PPID  C STIME TTY          TIME CMD
root         1     0  0 17:44 ?        00:00:00 python app.py
  • 查看文件/etc/subuid 和 /etc/subgid,可以看到 dockermap 用户在host 上的 uid 和 gid 都是 231072:

 

root@onfocus:/home/lee# cat /etc/subuid
lee:100000:65536
stack:165536:65536
dockremap:231072:65536

root@onfocus:/home/lee# cat /etc/subgid
lee:100000:65536
stack:165536:65536
dockremap:231072:65536
  • 再看文件/proc/1726/uid_map,它表示了容器内外用户的映射关系,即将host 上的 231072 用户映射为容器内的 0 (即root)用户。
root@onfocus:/home/lee# cat /proc/1726/uid_map
         0     231072      65536
  •  现在,我们试图在容器内修改 host 上的 /bin 文件夹,就会提示权限不足了:
root@80993d821f7b:/host/bin# touch test2
touch: cannot touch 'test2': Permission denied

这说明通过使用 user namespace,使得容器内的进程运行在非 root 用户,我们就成功地限制了容器内进程的权限。

正是/proc/<pid>/uid_map 和 /proc/<pid>/gid_map 这两个文件, 把容器中的uid和真实系统的uid给映射在一起。这两个文件的格式为:

ID-inside-ns ID-outside-ns length 

其中:  

  • 第一个字段ID-inside-ns表示在容器显示的UID或GID,
  • 第二个字段ID-outside-ns表示容器外映射的真实的UID或GID。
  • 第三个字段表示映射的范围,一般填1,表示一一对应。

举个例子, 0 1000 256这条配置就表示父user namespace中的1000~1256映射到新user namespace中的0~256。

 比如,把真实的uid=1000映射成容器内的uid=0:

把namespace内部从0开始的uid映射到外部从0开始的uid,其最大范围是无符号32位整形:

最低0.47元/天 解锁文章
Dev-L
关注
专栏目录
Docker 底层实现
天使也掉毛
01-04 478
Docker底层实现(一些底层原理) Docker底层的核心技术包括Linux上的命名空间(Namespace)、控制组(Control groups)、Union文件系统(Union file systems)和容器格式(Container format)。 传统的虚拟机通过在宿主主机中运行hypervisor来模拟一整套完整的硬件环境系统提供给虚拟机的操作系统。虚拟机系统看到的环境是可限制...
Docker学习笔记 —— Docker 存储
橘子上树丶的博客
09-28 555
一、docker 存储 引入一个问题: 某个宿主机Docker里面运行了十个Nginx,假设一个Nginx运行需要完整的运行环境50M,那么 10 个Nginx合起来占用多少的磁盘空间? 500M 还是更多? 如果是一个都占用50M,那么运行很多容器时候,一个50M,越来越多的时候怎么办呢? 如果这样的话,为啥不直接在宿主机上部署呢? 1.1 docker 、宿主机、卷 1.1.1 docker、宿主机区别 docker 相比于宿主机: 优点: docker
Docker介绍以及其相关术语、底层原理和技术
轻耘智科技CTO 尤胜荣 的专栏
10-15 285
Docker是啥 Docker是一个程序运行、测试、交付的开放平台,Docker被设计为能够使你快速地交付应用。在Docker中,你可以将你的程序分为不同的基础部分,对于每一个基础部分都可以当做一个应用程序来管理。Docker能够帮助你快速地测试、快速地编码、快速地交付,并且缩短你从编码到运行应用的周期。 Docker使用轻量级的容器虚拟化平台,并且结合工作流和工具,来帮助你管理、部署你的应...
隔离 docker 容器中的用户
最新发布
关注微信公众号【开源Linux】,后台回复『10T』,领取10T学习资源大放送,涵盖Linux、虚拟化、容器、云计算、网络、Python、Go等书籍和视频
07-08 71
了解 Linux user namespaceLinux user namespace 为正在运行的进程提供安全相关的隔离(其中包括 uid 和 gid),限制它们对系统资源的访问,而这些进程却感觉不到这些限制的存在。对于容器而言,阻止权限提升攻击(privilege-escalation attacks)的最好方法就是使用普通用户权限运行容器的应用程序。然而有些应用必须在容器中以 root 用户...
Docker学习总结】1.Docker容器技术介绍
程序猿之洞
10-20 3177
一般来说,我们编写好的应用程序,需要部署在响应的服务器中,而服务器则是一台安装了OS操作系统的计算机。 在该计算机中,运行我们的应用程序,通过网络对外提供服务。期间我们的应用程序在不停的使用服务器计算机的软件 和硬件,来满足它的计算和运行。 在介绍Docker之前,我们先来介绍一下容器技术。 而目前的互联网行业,越来越多的应用服务、微服务以及分布式服务,应运而生,而让那么多的服务每一个都运行在 ...
docker底层实现
wx740851326的博客
05-16 483
Docker 底层的核心技术包括 Linux 上的名字空间(Namespaces)、 控制组(Control groups)、 Union 文件系统(Union file systems)和 容器格式(Container format)。 基本架构 Docker 采用了 C/S架构,包括客户端和服务端。 Docker daemon 作为服务端接受来自客户的请求,并处 理这些请求(创建、运行、分
Docker学习笔记
热门推荐
weixin_46088280的博客
05-28 2万+
学习的视频地址: https://www.bilibili.com/video/BV1og4y1q7M4 Docker Docker 为什么要学它 高级工程师必备 DevOps开发模式 学前准备: Linux(必备) SpingBoot Docker 学习 学习路线 Docker 概述 Docker 安装 Docker 命令 镜像命令 容器命令 操作命令 … . Docker 镜像 容器数据卷 DockerFile Docker 网络原理 IDEA整合Docker
Docker 学习笔记(一)——基础操作
snowlive's blog
01-24 155
概念: Docker:容器引擎,将Linux的Cgroup、NameSpace等容器底层技术进行封装抽象的,为用户提供了创建和管理容器的边界界面(包括命令行和api)。 docker 配置 /etc/docekr/daemon.json { "graph": "/data/docker", "storage-driver": "overlay2", "insecure-registries": ["registry.access.redhat.com","quay.io"], "regi
Docker 相关技术学习总结
LIN的博客
01-07 847
目录 零、Docker简单介绍总结 0-0 容器介绍 0-1 容器 vs 虚拟机 0-2 Docker的应用场景 0-3 Docker 内核依赖技术 0-4 Docker 所具备的功能 一、Docker容器技术前期准备 1-0 环境准备 1-1 pull 下载常用镜像 Docker容器技术的三大构成 2-0 三大构成的简单介绍 2-1 Docker各组成部分关系 三、...
docker底层原理
weixin_41963220的博客
11-12 422
docker原理docker底层原理docker run都做什么那些东西? docker底层原理 Docker是一个Client-Server结构的系统,Docker守护进程运行在主机上, 然后通过Socket连接从客户端访问,守护进程从客户端接受命令并管理运行在主机上的容器。 容器,是一个运行时环境,就是我们前面说到的集装箱。 如图下所示 docker run都做什么那些东西? ...
你应当了解的Docker底层技术
weixin_34176694的博客
07-05 194
本文已获得原作者__七把刀__授权。 Docker 容器技术已经发展了好些年,在很多项目都有应用,线上运行也很稳定。整理了部分 Docker学习笔记以及新版本特性,对Docker感兴趣的同学可以看看,之前整理过的 Linux namespace 可以见之前的博文。 1容器 & Docker & 虚拟机 Containe...
DockerDocker底层技术应用
舜岳的博客
07-18 1793
1. 使用命名空间nameSpace (1)通过实训平台进入到操作系统界面,在#后输入docker run -i -t -d --name web centos /bin/bash命令,运行名为web的容器,然后在#后输入docker ps -l,查看运行的容器。示例代码如图1所示: (2)在#后输入docker inspect --format ‘{{.State.Pid}}’ web命令,查...
万字总结!Docker简介及底层关键技术剖析
slipegg的博客
04-18 1382
本文对Docker进行了详细介绍,对其与LXC、VM的区别做了对比说明,又对docker的关键组件镜像、容器、厂库做了介绍,最后对docker的关键底层技术命名空间、控制组、 UnionFS及网络和存储做了详细剖析。
Docker底层原理
断言的博客
02-05 148
文章目录测试 HelloWorld1、启动hello-world2、run所做的工作底层原理Docker是怎么工作的为什么Docker比较 VM 快 测试 HelloWorld 1、启动hello-world docker run hello-world 2、run所做的工作 底层原理 Docker是怎么工作的 Docker是一个Client-Server结构的系统,Docker守护进程运行在主机上, 然后通过Socket连接从客户端访问,守护进程从客户端接受命令并管理运行在主机上的容器。 容器,是一个
wsdl 架构验证警告:来自命名空间_详解docker底层实现:命名空间+控制组+union文件系统+容器格式...
weixin_39617497的博客
11-29 232
概述Docker 底层的核心技术包括 Linux 上的命名空间、控制组、Union 文件系统和容器格式。下面对基本架构和这几个方面做个介绍。docker容器虚拟化方式基本架构Docker 采用了 C/S 架构,包括客户端和服务端。Docker 守护进程作为服务端接受来自客户端的请求,并处理这些请求(创建、运行、分发容器)。客户端和服务端既可以运行在一个机器上,也可通过 socket 或者 REST...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值