什么是容器?
容器其实是一种沙盒 技术。顾名思义,沙盒就是能够像一个集装箱一样,把应用“装”起来的技术。这样,应用与应用之间,就因为有了边界而不至于相互干扰;而被装进集装箱的应用,也可以被方便地搬来搬去。
理解“边界”
实现边界的手段
1. 隔离—Namespace 修改进程视图
Namespace机制:
拿PID Namespace举个栗子:
操作系统都会给每一个进程分配一个进程编号PID,比如PID=100,可以理解为这个进程是操作系统中的第100个进程,Docker会把这个某个程序运行在一个容器当中时,就会为当前进程施一个“障眼法”,让它看不到前面的其他 99个进程。 这种机制,其实就是对被隔离应用的进程空间做了手脚,使得这些进程只能看到重新计算过的进 程编号,比如 PID=1。可实际上,在宿主机的操作系统里,还是原来的第 100 号进程。
实现方式: 调用创建新进程方式时,添加一个可选参数,比如重新指定进程号。
int pid = clone(main_function, stack_size, CLONE_NEWPID | SIGCHLD, NULL);
除了 PID Namespace,Linux 操作系统还提供了 Mount、UTS、IPC、 Network 和 User 这些 Namespace,用来对各种不同的进程上下文进行“障眼法”操作。
比如,Mount Namespace,用于让被隔离进程只看到当前 Namespace 里的挂载点信息;
Network Namespace,用于让被隔离进程看到当前 Namespace 里的网络设备和配置。
总结:
在创建容器进程时,指定了这个进程所需要启用的一组 Namespace 参数。这样,容器就只能“看”到当前Namespace 所限定的资源、文件、设备、状态等相关配置。而对于宿主机以及其他不相关的程序,它就完全看不到 ,即使用Namespace 修改当前容器进程的视图。
思考:
- 是不是所有的资源和对象都可以进行Namespace ?
- 所有Namespace 是否一开启就能进行资源隔离?