边界
- 容器其实是一种沙盒技术。顾名思义,沙盒就是能够像一个集装箱一样,把你的应用“装”起来的技术。这样,应用与应用之间,就因为有了
边界
而不至于相互干扰;而被装进集装箱的应用,也可以被方便地搬来搬去,这是 PaaS 最理想的状态 - 进程:一旦“程序”被执行起来,它就从磁盘上的二进制文件,变成了计算机内存中的数据、寄存器里的值、堆栈中的指令、被打开的文件,以及各种设备的状态信息的一个集合。这样一个程序运行起来后的计算机执行环境的总和叫进程。
- 容器技术的核心功能,就是
通过约束和修改进程的动态表现
,从而为其创造出一个“边界”。 Cgroups 技术
是用来制造约束的主要手段,而 Namespace 技术
则是用来修改进程视图的主要方法。
Namespace技术
- 通过CLONE_NEWPID参数,在创建进程时声明新的namespace,让进程认为自己是1号进程,实际在宿主机中并不是
int pid = clone(main_function, stack_size, CLONE_NEWPID | SIGCHLD, NULL);
- 除了我们刚刚用到的 PID Namespace,Linux 操作系统还提供了 Mount、UTS、IPC、Network 和 User 这些 Namespace,用来对各种不同的进程上下文进行“障眼法”操作。
- 比如,Mount Namespace,用于让被隔离进程只看到当前 Namespace 里的挂载点信息;
- Network Namespace,用于让被隔离进程看到当前 Namespace 里的网络设备和配置。这,就是 Linux 容器最基本的实现原理了。