Namespace、Cgroups和Docker

最新推荐文章于 2024-06-17 16:40:56 发布
最新推荐文章于 2024-06-17 16:40:56 发布
阅读量202 收藏 1
点赞数 1
分类专栏: # Docker 文章标签: docker 容器 namespace linux cgroups
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/whatzhang007/article/details/121104935
版权

1.Docker

Docker 是一组平台即服务产品,它使用操作系统级别的虚拟化技术在称为容器的包中交付软件。容器彼此隔离,并捆绑它们自己的软件、库和配置文件; 它们可以通过定义良好的通道彼此通信。因为所有容器都共享单个操作系统内核的服务,所以它们使用的资源比虚拟机少。

Docker 使用 Linux 内核的资源隔离特性(比如 cgroups 和内核 namespaces)和具有联合能力的文件系统(比如 OverlayFS)

容器是宿主机上的进程:

容器技术通过 Namespace 实现资源隔离
通过Cgroup实现资源控制
通过rootfs实现文件系统隔离
容器引擎用自身的特性来管理容器的生命周期

2.对比虚拟机

在这里插入图片描述

3.Cgroups

是内核提供的一种可以限制、记录、隔离进程组(process groups)所使用的物理资源的机制

1.限制进程组可以使用的资源数量(Resource limiting )

memory子系统可以为进程组设定一个memory使用上限,一旦进程组使用的内存达到限额再申请内存,就会触发OOM(out of memory)。

2.进程组的优先级控制(Prioritization )

可以使用cpu子系统为某个进程组分配特定cpu share。

3.记录进程组使用的资源数量(Accounting )

可以使用cpuacct子系统记录某个进程组使用的cpu时间

4.进程组隔离(Isolation)

使用ns子系统可以使不同的进程组使用不同的namespace,以达到隔离的目的,不同的进程组有各自的进程、网络、文件系统挂载空间。

5.进程组控制(Control)

使用freezer子系统可以将进程组挂起和恢复。

相关概念

Task(任务) 在 linux 系统中,内核本身的调度和管理并不对进程和线程进行区分,只是根据 clone 时传入的参数的不同来从概念上区分进程和线程。这里使用 task 来表示系统的一个进程或线程。

Cgroup(控制组) cgroups 中的资源控制以 cgroup 为单位实现。Cgroup 表示按某种资源控制标准划分而成的任务组,包含一个或多个子系统。一个任务可以加入某个 cgroup,也可以从某个 cgroup 迁移到另一个 cgroup。

Subsystem(子系统) cgroups 中的子系统就是一个资源调度控制器(又叫 controllers)。不同资源由不同的子系统控制,一个子系统就是一个资源控制器,子系统目前有下列几种:

devices 进程范围设备权限
cpuset 分配进程可使用的 CPU数和内存节点
cpu 控制CPU占有率
cpuacct 统计CPU使用情况,例如运行时间,throttled时间
memory 限制内存的使用上限
freezer 暂停 Cgroup 中的进程
net_cls 配合 tc(traffic controller)限制网络带宽
net_prio 设置进程的网络流量优先级
huge_tlb 限制 HugeTLB 的使用
perf_event 允许 Perf 工具基于 Cgroup 分组做性能检测

文件种类

Release_agent 删除分组时执行的命令,这个文件只存在于根分组
Notify_on_release 设置是否执行 release_agent。为 1 时执行
Tasks 属于分组的线程 TID 列表
Cgroup.procs 属于分组的进程 PID 列表。仅包括多线程进程的线程 leader 的 TID,这点与 tasks 不同
Cgroup.event_control 监视状态变化和分组删除事件的配置文件

4.Namespace

Linux 内核用来隔离内核资源的方式,不同namespace无法相互感知,是对全局系统资源的一种封装隔离
在这里插入图片描述
对Namespace的操作,主要是通过 clone、setns、unshare 这三个系统调用来完成。

clone 可以用来创建新的 Namespace
unshare 调用的进程会被放进新的 Namespace
setns 将进程放到已有的 Namespace

5.Docker run (物理级别)

1.系统调用clone创建新进程,namespace隔离内核资源,拥有自己的pid、mount、user、net、ipc、uts
2.将pid写入cgroup子系统,受 cgroup 子系统(cpu、memory、devices等)的控制
3.pivot_root 系统调用,使进程进入一个新的 rootfs,之后通过 exec系统调用在新的Namespace、Cgroup、rootfs 中执行 /bin/bash

6.总结

images加载启动时宿主机创建进程被Namespace资源隔离,进程fork为N个进程组,但从外界宏观上看是一个独立的“系统”,其实只是宿主机上的一组进程 ,这些进程被 Cgroups 限制、记录、隔离 ,通过rootfs实现文件系统隔离,容器内的进程也和宿主机进程息息相关,唇亡齿寒

whatzhang007
关注
  • 1
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
dockernamespace与cgroup简介
莲藕粉的博客
03-25 1145
文章目录前言容器创建过程NamespaceCgroup 前言 当谈论docker时,常常会聊到docker的实现方式。很多开发者都知道,docker容器本质上是宿主机的进程,Docker通过namespace实现了资源隔离,通过cgroups实现了资源限制,通过写时复制机制(copy-on-write)实现了高效的文件操作。 对于Linux容器的最小组成,可以由下面公式来表示 容器=namespa...
Docker探索namespace详解
09-30
总结来说,Docker通过namespace提供了一种强大的资源隔离手段,结合cgroups和UnionFS,实现了轻量级、高效的容器化技术。理解和掌握namespace的工作原理,对于深入理解Docker以及容器技术至关重要。通过熟练运用...
Docker】之 NamespaceCgroups
fanfan4569的博客
04-25 749
文章目录零、简介(容器其实是一种特殊的进程而已)一、`Namespace` 资源隔离(1)6种 `Namespace` 隔离(2)`Namespace` 操作二、`Cgroup`零、简介(容器其实是一种特殊的进程而已)一、`Namespace` 资源隔离(1)6种 `Namespace` 隔离(2)`Namespace` 操作二、`Cgroup`三、容器的创建过程(1)系统调用`clone`创建新...
Docker Namespace & Cgroups
最新发布
liquanfan的博客
06-17 1740
主要介绍dockerlinux namespacecgroups的关系。
docker 深入理解之cgroups
weixin_30904593的博客
03-03 167
cgroups 资源限制 cgroups 是什么 cgroups 最初名为process container,有Google工程师Paul Menage和Rohit Seth于 2006 年提出,后由域container有多重含义容易引起误会,就与2007年更名为control groups, 并整合进Linux内核,顾名思义就是把任务放到一个组里面同一管理,cgroups 是Lin...
DockerNamespace与Cgroup
小健健的博客
12-09 1537
博文大纲:一、Docker概述二、Namespace概念三、Cgroup基本概念与示例 一、Docker概述 1.Docker简介 Docker作为开源社区最火爆的项目,它是在Linux容器里运行应用的开源工具,是一种轻量级的“虚拟机”,docker的全部源代码都在https://github.com/docker 进行相关维护,其官网是:https://www.docker.com 。 Do...
Docker学习(三)namespace and cgroups
KING丨殇痕
05-15 821
NameSpace pid namespace 不同用户的进程就是通过pid namespace隔离开的,且不同的namespace中可以有相同的pid。具有以下特征: 每个namespace中的pid是有自己的pid=1的进程(类似/sbin/init进程)每个namespace中的进程只能影响自己的同一个namespace或子namespace中的进程因为/proc包含正
详解Docker 容器使用 cgroups 限制资源使用
01-20
上一篇文章将到 Docker 容器使用 linux namespace 来隔离其运行环境,使得容器中的进程看起来就像爱一个独立环境中运行一样。但是,光有运行环境隔离还不够,因为这些进程还是可以不受限制地使用系统资源,比如网络...
推荐阅读-Docker实现原理之Namespace,CGroup
rayylee
07-19 1064
找了几篇这方面的文章,写的还不错,跟大家共享:DOCKER基础技术:LINUX NAMESPACE(上)DOCKER基础技术:LINUX NAMESPACE(下)DOCKER基础技术:LINUX CGROUP
DockerNameSpace与Cgroup
lvjianzhaoa的博客
10-14 645
一、docker容器技术与传统虚拟化技术的比较 Docker容器技术是一个与传统的虚拟化技术有些本质上的差别,传统的虚拟化技术,是站硬件物理资源的基础上,虚拟出多个OS,然后在OS的基础上构建相对独立的程序运行环境,而Docker则是在OS的基础上进行虚拟,所以,Docker轻量很多,因此其资源占用、性能消耗相比传统虚拟化都有很大的优势docker容器很快,启动和停止可以在秒级实现,比传统的虚...
Docker底层技术Namespace Cgroup应用详解
01-10
Docker底层技术: docker底层的2个核心技术分别是Namespaces和Control groups Namespace:是容器虚拟化的核心技术,用来隔离各个容器,可解决容器之间的冲突。 主要通过以下六项隔离技术来实现: 有两个伪文件系统:/proc和/sys/ UTS:允许每个container拥有独立的hostname(主机名)和domainname(域名),使其在网络上可以被视作一个独立的节点而非Host上的一个进程。 IPC:contaner中进程交互还是采用linux常见的进程间交互方法,包括常见的信号量,消息队列和共享内存。container的进程间交互实际上
Docker底层服务之NameSpace、Cgroup、存储、网络.docx
01-02
Docker底层服务之NameSpace、Cgroup、存储、网络Docker底层服务之NameSpace、Cgroup、存储、网络Docker底层服务之NameSpace、Cgroup、存储、网络Docker底层服务之NameSpace、Cgroup、存储、网络Docker底层服务之NameSpace、Cgroup、存储、网络
Docker容器基础(cGroupsnamespace)(一)
fengy_jav的博客
01-10 471
标题Docker容器技术基础 进程 隔离与限制 容器技术的兴起起源于PaaS技术的普及,Docker项目对此具有里程碑式的意义,Docker项目通过容器镜像解决应用打包这个根本性难题。 接下来通过Linux操作系统层面的知识简要介绍一下Docker的实现 进程 容器其实就是一个沙盒技术,顾名思义,沙盒就像是集装箱,可以将我们的应用装起来的技术。这样,应用与应用之间,就因为有了边界而可以相互之间不干扰,这样被装进集装箱的应用就可以被随意的搬来搬去,而不受外界所影响。 说起来容易,但是实现起来可能就无从下手
docker namespace及cGroup
lienze.tech
12-16 1443
前言 这几年一直在it行业里摸爬滚打,一路走来,不少总结了一些python行业里的高频面试,看到大部分初入行的新鲜血液,还在为各样的面试题答案或收录有各种困难问题 于是乎,我自己开发了一款面试宝典,希望能帮到大家,也希望有更多的Python新人真正加入从事到这个行业里,让python火不只是停留在广告上。 微信小程序搜索:Python面试宝典 或可关注原创个人博客:https://lienze.tech 也可关注微信公众号,不定时发送各类有趣猎奇的技术文章:Python编程学习 docker-namespa
docker基础】Namespace和Cgroup总结-基于Dockerfile制作docker镜像
gjjumin的专栏
07-09 354
ENTERYPOINT #也可以用于定义容器启动时默认执行的命令或脚本,如果是和CMD混合使用,会将CMD命令但做参数传递给ENTERYPOINT后面的脚本,可以在脚本中对参数进行判断并对容器做对应的操作。当多个容器在多个主机运行的时候,单独管理容器是相当复杂而且很容易出错,而且无法实现某台主机宕机后容器自动迁移从而实现高可用的目的,也无法实现动态伸缩的功能;容器的动态迁移会导致其在不同的Host之间迁移,如何保证与容器相关的数据也能随之迁移或随时访问,可以使用逻辑卷/存储挂载等方式解决;
Docker学习总结(一)—— namespace,cgroup机制
weixin_30364147的博客
03-24 389
1.namespaceLinux Namespaces机制提供一种资源隔离方案。PID,IPC,Network等系统资源不再是全局性的,而是属于特定的Namespace。每个 Namespace里面的资源对其他Namespace都是不可见的,要创建新的Namespace,只需要在调用clone时指定相应的flag。Linux Namespaces机制为实现基于容器的虚拟化技术提供了很...
Docker面试精华:COPY vs ADD, NamespaceCgroups详解
Docker面试题1主要涵盖了几个关键概念和技能点,对于理解...在准备面试时,除了理论知识,还要熟悉如何在实际项目中灵活运用这些技术,例如在何时选择COPY、ADD,以及如何利用NamespaceCgroups来优化性能和资源管理。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值