容器实现的原理
目前我接触到的容器有docker,isula,podman,但是对容器的原理不了解,今天就和大家一起来向优秀的前辈学习下。
容器的本质:
1、 容器的本质是一个进程。容器技术的核心功能,就是通过约束和修改进程的动态表现,从而为其创造出一个“边界”。
容器中两个重要的技术:
1、 为了更好的理解容器的特性,这里讨论容器的底层实现技术。
cgroup和namespace是最重要的两种技术。cgroup实现资源限制,namespace实现资源隔离。
cgroup
linux操作系统通过cgroup可以设置进程使用CPU、内存和IO资源的限额。前面提到的–cpu-shares,-m,–device-write-bps实际就是在配置cgroup。
在/sys/fs/cgroup/cpu/docker目录中,linux会为每个容器创建一个cgroup目录,以容器的长ID命名。
namespace
namespace实现了容器间资源的隔离。
linux使用6中namespace,分别对应6中资源:Mount, UTS, IPC, PID,Network和User。
Mount namespace
Mount namespace让容器看上去拥有整个文件系统。
UTS namespace
UTS ns让容器拥有自己的hostname。容器的hostname默认是它的短ID,可以通过-h或 --hostname参数来设置。
IPC namespace
IPC namespace让容器拥有自己的共享内存和信号量,实现进程间通信。
PID namespace
Network namespace
让容器拥有自己独立的网卡、ip、路由等资源。
User namespace
让容器能够管理自己的用户,host不能看到容器中创建的用户。
本文转载来自:
https://blog.csdn.net/cbmljs/article/details/92804520