Docker原理 ---- 深入了解容器镜像

最新推荐文章于 2023-09-19 17:38:03 发布
最新推荐文章于 2023-09-19 17:38:03 发布
阅读量1.6k 收藏 5
点赞数 2
分类专栏: docker 文章标签: docker
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_40907382/article/details/82707940
版权
本文深入探讨了Docker容器技术中的Mount Namespace和rootfs,解释了如何通过Namespace隔离文件系统视图以及如何通过挂载操作使容器进程看到独立的文件系统。同时,介绍了如何使用chroot创建隔离环境,以及Docker镜像的分层结构,强调了容器镜像的一致性特性,这对于容器的可移植性和一致性至关重要。
摘要由CSDN通过智能技术生成

我讲解了 Linux 容器的
最基础的两种技术:Namespace 和 Cgroups。希望此时,你已经彻底理解了“容器的本质是一种特殊的进程”这个最重要的概念。

而正如我前面所说的,Namespace 的作用是“隔离”,它让应用进程只能看到该 Namespace 内的“世界”;而 Cgroups 的作用是“限制”,它给这个“世界”围上了一圈看不见的墙。这么一折腾,进程就真的被“装”在了一个与世隔绝的房间里,而这些房间就是 PaaS 项目赖以生存的应用“沙盒”。

可是,还有一个问题不知道你有没有仔细思考过:这个房间四周虽然有了墙,但是如果容器进程低头一看地面,又是怎样一副景象呢?

换句话说,容器里的进程看到的文件系统又是什么样子的呢?

可能你立刻就能想到,这一定是一个关于 Mount Namespace 的问题:容器里的应用进程,理应看到一份完全独立的文件系统。这样,它就可以在自己的容器目录(比如 /tmp)下进行操作,而完全不会受宿主机以及其他容器的影响。

那么,真实情况是这样吗?

“左耳朵耗子”叔在多年前写的一篇关于 Docker 基础知识的博客里,曾经介绍过一段小程序。这段小程序的作用是,在创建子进程时开启指定的 Namespace。

下面,我们不妨使用它来验证一下刚刚提到的问题。

#define _GNU_SOURCE
#include <sys/mount.h> 
#include <sys/types.h>
#include <sys/wait.h>
#include <stdio.h>
#include <sched.h>
#include <signal.h>
#include <unistd.h>
#define STACK_SIZE (1024 * 1024)
static char container_stack[STACK_SIZE];
char* const container_args[] = {
  "/bin/bash",
  NULL
};

int container_main(void* arg)
{  
  printf("Container - inside the container!\n");
  execv(container_args[0], container_args);
  printf("Something's wrong!\n");
  return 1;
}

int main()
{
  printf("Parent - start a container!\n");
  int container_pid = clone(container_main, container_stack+STACK_SIZE, CLONE_NEWNS | SIGCHLD , NULL);
  waitpid(container_pid, NULL, 0);
  printf("Parent - container stopped!\n");
  return 0;
}
这段代码的功能非常简单:在 main 函数里,我们通过 clone() 系统调用创建了一个新的子进程 container_main,并且声明要为它启用 Mount Namespace(即:CLONE_NEWNS 标志)。

而这个子进程执行的,是一个“/bin/bash”程序,也就是一个 shell。所以这个 shell 就运行在了 Mount Namespace 的隔离环境中。

我们来一起编译一下这个程序:

$ gcc -o ns ns.c
$ ./ns
Parent - start a container!
Container - inside the container!
这样,我们就进入了这个“容器”当中。可是,如果在“容器”里执行一下 ls 指令的话,我们就会发现一个有趣的现象: /tmp 目录下的内容跟宿主机的内容是一样的。

$ ls /tmp
# 你会看到好多宿主机的文件
也就是说:

即使开启了 Mount Namespace,容器进程看到的文件系统也跟宿主机完全一样。

这是怎么回事呢?

仔细思考一下,你会发现这其实并不难理解:Mount Namespace 修改的,是容器进程对文件系统“挂载点”的认知。但是,这也就意味着,只有在“挂载”这个操作发生之后,进程的视图才会被改变。而在此之前,新创建的容器会直接继承宿主机的各个挂载点。

这时,你可能已经想到了一个解决办法:创建新进程时,除了声明要启用 Mount Namespace 之外,我们还可以告诉容器进程,有哪些目录需要重新挂载,就比如这个 /tmp 目录。于是,我们在容器进程执行前可以添加一步重新挂载 /tmp 目录的操作:

int container_main(void* arg)
{
  printf("Container - inside the container!\n");
  // 如果你的机器的根目录的挂载类型是 shared,那必须先重新挂载根目录
  // mount("", "/", NULL, MS_PRIVATE, "");
  mount("none", "/tmp", "tmpfs", 0, "");
  execv(container_args[0], container_args);
  printf(&#

最低0.47元/天 解锁文章
hurt--
关注
专栏目录
docker-proxy 的原理
k8s 生态
09-22 2923
本篇是第七部分“网络篇”的第五篇。在这个部分,我会为你由浅入深的介绍 Docker 网络相关的内容。包括 Docker 网络基础及其实现和内部原理等。上篇,我为你介绍了 Docker 如何利用 iptables 为容器提供网络。本篇,我们深入了解下之前提到的 Docker 的一个组件 docker-proxy 的工作原理。 在之前的《Docker 核心架构及拆解(中)》我已经为你介绍过 d...
signature=c5a0c86dc5208d0e4fb658ee74509bc4,Security and Quality Rollup for .NET Framework 4.8 for Wi...
weixin_39806413的博客
05-29 2074
File nameAmd64_09a0520b7531216fa6e07f7f803f200e_b03f5f7f11d50a3a_4.0.9696.17005_none_62f0926828b2dda2.manifestFile versionNot applicableFile size639Date (UTC)30-Sep-2020Time (UTC)21:03PlatformNot appl...
Docker镜像容器的理解和使用方法
weixin_33720078的博客
02-11 167
零、应用背景 先看下面2个问题: 1. 单机多系统。如:windows上跑linux、VPS服务、PaSS服务。 windows上跑linux,一般用VM技术实现。 VPS提供商需要将一台机器划分成多个虚拟机,提供给用户,例如将一台8核16G的物理机器划分成8个1核2G(实际上会比这个少)给8个用户使用,目的是实现用户应用隔离。 PaSS服务提供商同VPS。 问题关键:模拟操作...
mount问题汇总
wzzushx的专栏
02-08 1624
mount cgroup失败 mount none -t cgroup /cgroup报mount: mounting none on /cgroup failed: Invalid argument 该命令默认挂载cgroup的所有子系统,如果某个子系统没有被编入内核,就会出现该错误。   mount设备忙 以下摘自http://bbs.chinaunix.net/forum.php?
Java IO流
芒果小洛
05-29 3073
节点流 FileInputStream 文件字节输入流 通常使用read(byte[] b)方法,自定义一个数组作为缓冲数组,一次性读取若干字节存入数组,并返回字节数 java.lang.Object java.io.InputStream java.io.FileInputStream /** * IO的父类子类非常多,所以要面向父类、接口编程,面向多态编程 * 标准步骤:【分段读取存放在byte数组里面】【文件字节输入流】FileInputStream * * 先读取到字节数组
深入浅出RSA在CTF中的攻击套路
CTF小白的博客
12-05 2万+
0x01 前言 本文对RSA中常用的模逆运算、欧几里得、拓展欧几里得、中国剩余定理等算法不展开作详细介绍,仅对遇到的CTF题的攻击方式,以及使用到的这些算法的python实现进行介绍。目的是让大家能轻松解决RSA在CTF中的套路题目。 0x02 RSA介绍 介绍 首先,我这边就不放冗长的百度百科的东西了,我概括一下我自己对RSA的看法。 RSA是一种算法,并且广泛应用于现代,用于保密通信。 RSA...
[EDI Share] Edig@s标准
EDI电子数据交换 | 知行软件
04-16 1724
历史 1983年,比利时的Distrigas,法国的Gaz de France,德国的Ruhrgas和荷兰的Gasunie签署了一份文件,说明了在调度中心之间发送和接收操作数据和消息的标准方式,该文档称为GASNET协议。如今,除了签署协议的四国之外,还有10个国家和国际公司正在使用此协议进行数据交换。 1995年底,其中一个用户挪威国家石油公司(Statoil Norway)遇到了许多因处理消息...
部署docker容器-深入学习Docker镜像管理技术
传统的虚拟化技术通过在物理服务器上安装多个操作系统来实现服务器的划分,每个操作系统需要独立管理和维护,而Docker容器则是在同一个操作系统内部通过容器引擎实现隔离,避免了多个操作系统带来的资源消耗和性能...
10张图带你深入理解Docker容器镜像 高清PDF 学习docker原理
05-09
在学习docker的过程中,容易对镜像容器之间的概念进行混淆。这个资料就深入docker实现原理,帮助同学打通任督二脉,从此对docker的学习游刃有余
linux教程:cd $_与cd -有什么区别
最新发布
学亮编程手记
09-19 535
根据不同的参考点来切换目录,您可以根据具体的需求选择适合的命令。都是用于在命令行中切换工作目录的命令,但它们之间有一些区别。(短横线)是一个特殊的目录名,表示前一个工作目录。是一个特殊变量,表示上一个执行命令的参数。时,它将切换到前一个工作目录,即您之前所在的目录。将切换到上一个命令所切换的目录。表示上一个命令的参数,即上一个。切换回上一个命令切换的目录,即。命令所切换到的目录。切换到前一个工作目录,即。在示例中,首先切换到。
CSAPP 3e Attack lab
热门推荐
lijun538的专栏
02-17 4万+
总结一下CSAPP第三版的attack lab。
signature=5b4cc0a1020fc7a2f394b04e518f53c0,Detection of Mutations
weixin_39603908的博客
05-30 965
FIELD OF INVENTIONThe invention relates to mutations in the flavin-containing monooxygenase (FMO3) gene and methods for detection of such mutations in farm animals and poultry.BACKGROUND OF INVENTIONO...
Springboot 不使用jar包 使用war包部署
Sail__的专栏
02-15 1112
原文:https://ithinkcry.cn/blog/view/detail/2c9ad8cc68efcae60168eff4527e0000 由于另一个服务需要挂上二级域名,所以使用了Nginx来做反向代理。 但是由于使用的是springboot+thymeleaf,后来的项目又是vue+springboot前后分离,造成使用jar非常麻烦。 最终采用的是全部部署war包到tomcat...
Protobuf 安装使用入门教程
幸福回头的博客
08-12 1万+
讲解Protobuf的安装教程
Linux常用命令之cd
ZWzgtx的博客
01-20 274
Linux常用命令之cd前言用法 前言 Linux系统中的cd命令主要功能为切换目录,每个shell都有自己的cd命令,用法如下 用法 > cd / :TC shell下cd命令将目录改到/ > bash :启动bash shell $ cd /home :Bourne shell下cd命令将目录改到/home $ exit :从Bourne shell中退出,返回到TC shell > pwd :当前目录依然是/ ...
signature=0530fd811a6c6b231d307e5e78a2e12e,Packaged adhesive mass
weixin_39901558的博客
05-29 262
FIELD OF THE INVENTIONThe present invention generally relates to the preparation and packaging of hot melt adhesives.BACKGROUND OF THE INVENTIONHot melt adhesives are recognized as adhesives which are...
Container及其内部进程监控剖析
gao2175的博客
10-23 973
目前市场上的虚拟化技术种类很多,例如moby(docker)、LXC、RKT等等。在带来方便应用部署和资源充分利用的好处的同时,如何监控相应Container及其内部应用进程成为运维人员不可避免遇到的新情况。UAV.Container从虚拟化技术的基础原理和Linux操作系统的内核特性出发,得到Container容器和内部进程的各维度监控数据,使无论是虚拟机或物理机运维人员,还是业务运维人员角度,...
深入解析Docker镜像结构与存储原理
Docker镜像是一种轻量级的容器化技术的基础组件,它在软件开发、部署和运维中扮演着至关重要的角色。一个Docker镜像是由多层文件系统构成的,具体...理解Docker镜像的工作原理对于有效地使用和管理Docker容器至关重要。
评论 4
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值