认识Docker底层原理:Linux内核的Namespace、Cgroup和UnionFS

最新推荐文章于 2024-06-14 00:06:29 发布
最新推荐文章于 2024-06-14 00:06:29 发布
阅读量1.5k 收藏 10
点赞数 53
分类专栏: 云原生 Docker Linux学习 文章标签: docker linux 容器 云原生
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_44507495/article/details/139149712
版权
云原生 同时被 3 个专栏收录
10 篇文章 0 订阅
订阅专栏
Docker
5 篇文章 0 订阅
订阅专栏
Linux学习
2 篇文章 0 订阅
订阅专栏

The underlying technology

Docker is written in the Go programming language and takes advantage of several features of the Linux kernel to deliver its functionality. Docker uses a technology called namespaces to provide the isolated workspace called the container. When you run a container, Docker creates a set of namespaces for that container.

Docker使用一种名为命名空间的技术来提供被称为容器的隔离工作空间。当您运行一个容器时,Docker会为该容器创建一组命名空间。

These namespaces provide a layer of isolation. Each aspect of a container runs in a separate namespace and its access is limited to that namespace.

这些命名空间提供了一层隔离。容器的每个方面都在一个独立的命名空间中运行,其访问权限仅限于该命名空间。

Docker容器技术的核心架构建立在Linux内核提供的三大关键技术之上:Namespace、Cgroup和UnionFS。这些技术共同确保了容器在隔离性、资源管理和文件系统效率方面的高效运作。Namespace通过创建隔离的环境,为容器提供了独立的网络、文件系统、用户空间和进程空间。Cgroup则通过资源限制和监控,确保了对容器资源使用的精细控制。而UnionFS作为一种创新的文件系统技术,通过层叠文件系统结构,不仅提高了存储效率,还实现了镜像的快速分发和容器的只读性与写入隔离。

Namespace

Linux Namespaces是Linux内核提供的一种资源隔离方案。Namespaces之间的资源相互独立。通过使用Namespace,进程可以拥有独立的资源副本,如网络、文件系统等,从而实现不同进程间的资源隔离。目前Linux中提供七种namespace。

NamespaceFlag中文名功能
CgroupCLONE_NEWCGROU控制组可以限制、记录和隔离进程组使用的物理资源
IPCCLONE_NEWIPC进程间通信允许进程间通过共享内存、消息队列和信号量等方式进行通信。
NetWorkCLONE_NEWNET网络命名空间提供了网络设备、网络栈和端口号等的隔离。
MountCLONE_NEWNS挂载命名空间允许在用户空间中挂载和卸载文件系统,而不影响其他进程。
PIDCLONE_NEWPID进程 ID 命名空间允许每个容器拥有独立的进程编号空间。
UserCLONE_NEWUSER用户命名空间允许容器内的用户 ID 和组 ID 与宿主机不同,提供了用户和组的隔离。
UTSCLONE_NEWUTSUTS (UNIX Time-Sharing System)命名空间提供了主机名和域名的隔离。
func init() {
     namespaceList = Namespaces{
          {Key: "NEWNS", Value: syscall.CLONE_NEWNS, File: "mnt"},
          {Key: "NEWUTS", Value: syscall.CLONE_NEWUTS, File: "uts"},
          {Key: "NEWIPC", Value: syscall.CLONE_NEWIPC, File: "ipc"},
          {Key: "NEWUSER", Value: syscall.CLONE_NEWUSER, File: "user"},
          {Key: "NEWPID", Value: syscall.CLONE_NEWPID, File: "pid"},
          {Key: "NEWNET", Value: syscall.CLONE_NEWNET, File: "net"},
     }
}

在Linux操作系统中,创建新进程通常涉及fork等系统调用。fork系统调用负责创建子进程,它会复制父进程的task_struct结构体到子进程。在调用fork时,可以传递多种与命名空间(namespace)相关的参数,这些参数通过标志位(flags)来设置。随后,Linux使用exec系列函数来启动子进程中的新程序。

对于容器技术,由于容器本质上是基于进程的,Docker守护进程(Docker Daemon)在创建容器时,会传递特定的命名空间相关参数。这些参数作为标志位,用于在创建过程中配置命名空间。这样,当容器内的进程开始运行时,它们就会受到命名空间隔离的影响,确保容器拥有独立的系统资源视图和操作环境。

Cgroup

Cgroups(控制组)是 Linux 内核提供的一种资源管理框架,它允许系统管理员限制、监控和隔离一组进程使用的资源。通过 Cgroups,可以有效地控制进程组对 CPU、内存、磁盘 I/O 等资源的访问,确保容器化应用不会消耗过多主机资源。此外,Cgroups 还能够记录进程组的资源使用情况,为资源规划和性能监控提供数据支持。

  1. 资源限制:Cgroups 可以限制进程组可以使用的资源量,如 CPU 时间、内存、磁盘 I/O 等。这有助于防止单个进程或进程组消耗过多资源,从而影响系统上其他进程或应用的性能。
  2. 资源分配:Cgroups 允许管理员为不同的进程组分配资源,确保关键任务获得足够的资源,同时限制非关键任务的资源使用。
  3. 资源监控:Cgroups 提供了监控工具,可以跟踪和记录进程组的资源使用情况,帮助系统管理员了解系统资源的使用模式和性能瓶颈。
  4. 进程隔离:通过将进程分配到不同的 Cgroups,可以实现进程间的隔离,使得一个进程组中的进程无法影响其他进程组。
  5. 层次化管理:Cgroups 支持层次化结构,允许将进程组织成树状结构,方便对具有相似特性的进程进行统一管理。
  6. 系统稳定性:通过限制进程资源使用,Cgroups 有助于提高系统的稳定性和可靠性,防止因资源耗尽导致的系统崩溃。

cgroups已经被自动挂载到/sys/fs/cgroup目录下。

docker run -it --name d1 -c 512 centos

cat /sys/fs/cgroup/cpu/cpu.shares

 docker run -it --name d1 -m 300M --memory-swap 400M centos

启动一个容器限制内存为300M,交换空间为400M

 cat  /sys/fs/cgroup/memory/memory.memsw.limit_in_bytes  //查看确认,单位为bytes

 cat /sys/fs/cgroup/memory/memory.limit_in_bytes

docker会为该容器在每个子系统目录下创建docker/$container_id目录。这样cgroups就能对该容器的资源进行管理和限制了。

容器镜像提供了容器运行所需的全部依赖文件的“静态快照”,包括应用程序及其依赖环境。尽管镜像是不可变的,但容器运行时可以对其文件进行修改。这种灵活性得益于 UnionFS 技术,它将容器的文件系统与镜像文件系统联合挂载。在容器内部,镜像文件表现为只读(类似于 CD-ROM),而所有的修改都被隔离在容器自己的写入层中,保持镜像本身的不变性。

镜像本身由多个只读层构成,这些层叠加在一起形成了完整的文件系统。每当你基于镜像启动新容器时,系统会在这些只读层之上添加一个新的可写层。容器中的任何文件更改或新增操作都发生在这一层,从而确保了镜像的原始状态得以保留。

UnionFS(联合文件系统)

UnionFS 是一种文件系统服务,允许容器共享宿主机的文件系统,同时可以有自己独立的文件系统层:

  • 联合挂载:UnionFS 可以将多个目录的内容叠加在一起,形成一个统一的文件系统视图。在这个视图中,上层目录的内容会覆盖下层目录中的同名文件或目录。联合视图:UnionFS 通过联合挂载(union mount)的方式,将所有分支堆叠起来,形成一个单一的文件系统视图。优先级:在联合视图中,位于上层的分支会覆盖下层分支中的同名文件或目录。也就是说,如果多个分支中存在同名文件,只有最上层分支中的文件可见。
  • 只读与可写层:通常,基础层被设置为只读,以保持镜像的不变性。当需要写入文件时,更改会被写入一个额外的可写层。多个分支:在 UnionFS 中,数据被组织成多个分支(branch),每个分支可以代表文件系统中的一个层(layer)。只读分支:通常,除了最顶层分支外,其他分支都是只读的。这意味着底层分支中的数据不可更改,从而保持了文件系统的一致性和不可变性。

容器化技术中的应用

  • Docker 镜像:在 Docker 中,镜像由多个只读层组成,每一层代表 Dockerfile 中的一个指令。当容器启动时,一个新的可写层(通常称为容器层)被添加到顶部。
  • 写时复制:当容器需要修改文件时,UnionFS 执行写时复制操作。这意味着只有在文件被修改时,它才会被复制到容器的可写层,保持了存储效率。

UnionFS 为容器提供了文件系统级别的隔离,确保容器内的更改不会影响宿主机或其他容器

码小白l
关注
  • 53
    点赞
  • 10
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
了解Docker 依赖的linux内核技术
m0_74282605的博客
12-06 1230
docker 的实现,主要依赖 linuxnamespace、cgroupunionFS 三种技术实现,达到容器的环境隔离、资源控制和镜像打包。内核资料直通车:Linux内核源码技术学习路线+视频教程代码资料学习直通车:Linux内核源码/内存调优/文件系统/进程管理/设备驱动/网络协议栈cpu子系统根据进程设置的调度属性,选择对应的CPU资源调度方法。 1. 完全公平调度 Completely Fair Scheduler (CFS) 限上限,cpu.cfs_period_us, cpu.cf
一文读懂容器三大核心技术——Namespace,CgroupUnionFS
Go中国
03-06 8089
本文字数:8814字精读时间:18分钟也可在 8 分钟内完成速读容器到底是什么?容器是怎么工作的?容器如何隔离资源?为啥容器启动那么快?...如果你是个好奇宝宝,平时在使用容器的时候...
Docker技术三大要点:cgroup, namespaceunionFS的理解
weixin_34293246的博客
12-21 93
2019独角兽企业重金招聘Python工程师标准>>> ...
深入理解 Docker 核心原理:Namespace、Cgroups 和 Rootfs
sdgfafg_25的博客
01-09 950
通过这篇文章你可以了解到 Docker 容器的核心实现原理,包括 Namespace、Cgroups、Rootfs 等三个核心功能。后续文章会演示如何从零实现一个简易的 Docker,这里先简单了解下 Docker 的核心原理。进程。即:计算机内存中的数据、寄存器里的值、堆栈中的指令、被打开的文件,以及各种设备的状态信息的一个集合。容器。对于 Docker 等大多数 Linux 容器来说,技术是用来制造约束的主要手段,而技术则是用来修改进程视图的主要方法。
Kubernetes_CGroupNamespace(从Linux到Kubernetes)
毛毛的专栏
02-11 759
Linux的cgroup配置到Kubernetes中的cgroup配置
容器基础-- namespace,CgroupUnionFS
daemon365的博客
05-26 571
这里的 “namespace” 指的是 Linux namespace 技术,它是 Linux 内核实现的一种隔离方案。简而言之,Linux 操作系统能够为不同的进程分配不同的 namespace,每个 namespace 都具有独立的资源分配,从而实现了进程间的隔离。如果你的 Linux 安装了 GCC,可以通过运行命令来查看相关文档,或者你也可以访问在线手册获取更多信息。下图为各种 namespace 的参数,支持的起始内核版本,以及隔离内容。Namespace系统调用参数内核版本隔离内容。
深入剖析docker核心技术(namespace、cgroups、union fs、网络)
清风
03-16 2486
深入剖析docker核心技术前言docker概述为什么要用docker 前言 本文对namespace,cgroupunion fs做深入介绍,而docker使用将不再赘述,具体的docker使用见该文docker汇总 docker概述   Linux内核提供了namespace(进程隔离),cgroup(资源管控),以及union fs(联合文件系统),对进程进行封装隔离,属于操作系统层面的虚拟化技术,由于隔离的进程独立于宿主和其他的隔离的进程,因此也称其为容器。所以当我们谈容器技术的时候,其实就是在谈
docker核心原理——unionfsnamespace、cgroup
qq_43058348的博客
12-13 1266
docker的核心原理其实就是cgroup+namespace+unionfs 组合实现的隔离机制,资源控制等。隔离机制。
支持Docker的底层技术(Namespaces?CGroups?UnionFSDocker 架构?)(二)
非法小恋
12-27 152
上一篇介绍了Docker基本概念,这一篇介绍下支持Docker的底层技术 Docker 本质就是宿主机的一个特殊进程,Docker 是通过 namespace 实现资源隔离,通过cgroup 实现资源限制,通过写时复制技术(copy-on-write)实现了高效的文件操作(类似虚拟机的磁盘比如分配 500g 并不是实际占用物理磁盘 500g) 一、Namespaces 命名空间 (names...
Docker底层技术Namespace Cgroup应用详解
01-10
docker底层的2个核心技术分别是Namespaces和Control groups Namespace:是容器虚拟化的核心技术,用来隔离各个容器,可解决容器之间的冲突。 主要通过以下六项隔离技术来实现: 有两个伪文件系统:/proc和/sys/ ...
Docker底层服务之NameSpace、Cgroup、存储、网络.docx
01-02
Docker底层服务之NameSpace、Cgroup、存储、网络Docker底层服务之NameSpace、Cgroup、存储、网络Docker底层服务之NameSpace、Cgroup、存储、网络Docker底层服务之NameSpace、Cgroup、存储、网络Docker底层服务之...
基于Docker和Qemu的Linux内核学习环境设计源码
04-09
Linux内核学习环境 - 基于Docker和Qemu开发,包含365个文件,如SH、MD、GITIGNORE、PATCH、S、C、TXT、PC和PNG等。该项目为用户提供了一个极速的Linux内核学习、开发和测试环境,通过界面交互和功能模块,为用户提供...
Docker底层服务之NameSpace、Cgroup、存储、网络.zip
01-02
Docker底层服务之NameSpace、Cgroup、存储、网络.zip Docker底层服务之NameSpace、Cgroup、存储、网络.zip
docker编译一个支持flv的nginx镜像
Henry_Wu001的专栏
06-12 235
不想执行最后一步make install而污染本地系统,编译时缺少openssl报错。所以就放docker里面去了。
2024.6.12 玄子Share-Docker 安装与镜像拉取
qq_62283694的博客
06-12 567
2024.6.12 玄子Share-Docker 安装与镜像拉取
Linux系统操作命令与docker操作命令
m0_65664914的博客
06-09 410
移动文件或文件夹,也可用于重命名。:列出当前目录下的文件和文件夹。:显示当前所在的目录的路径。:创建新的空白文件。:复制文件或文件夹。:删除文件或文件夹。
Docker Desktop Installer For Windows 国内下载地址
最新发布
itfans123的博客
06-14 367
也可以使用阿里云的下载地址。
第四章_Docker资源控制
IT_zhangsan
06-13 638
Cgroup是Control group的简写,是Linux内核提供的一种限制所使用物理资源的机制.这些资源主要包括CPU、内存.blkio。下面就这3个方面来谈一下Docker是如何使用Cgroup机制进行管理的。
docker 底层原理
05-04
1. Linux 内核Namespace 和 Cgroups 技术:Docker 利用 Linux 内核Namespace 技术隔离了应用程序的进程、网络、文件系统等资源,使得不同容器内的应用程序互相隔离;同时利用 Cgroups 技术限制了容器内应用...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值