docker原理

最新推荐文章于 2022-02-23 18:45:25 发布
最新推荐文章于 2022-02-23 18:45:25 发布
阅读量168 收藏
点赞数
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/winter_wu_1998/article/details/103102830
版权
  • 容器只能使用宿主机的kernel版本,且不能修改
    • 如果某一应用只能在特定的kernel版本下运行,应该使用虚拟机
    • 所谓的“应用依赖内核”是指程序直接进行内核调用,而不是仅仅使用c运行库
    • 如果你要在 Windows 宿主机上运行 Linux 容器,或者在低版本的 Linux 宿主机上运行高版本的 Linux 容器,都是行不通的
  • namespace技术实现了容器的资源隔离
    • 包括mount, UTS, IPC, PID, Network, User
  • 本地docker客户端(CLI)与docker服务器使用HTTP协议通信
  • docker底层实现原理
    • cgorups
    • namespace
    • UionFS
  • Docker最核心的原理就是为待创建的用户进程做以下三件事
    • 启用 Linux Namespace 配置
    • 设置指定的 Cgroups 参数
    • 切换进程的根目录(Change Root)

隔离

  • docker中运行的程序通过namespace技术使其看不到其余进程,所以在docker中会重新计算进程号,但是实际上在原来的宿主机中,这个程序仍然有个原本分配的进程号
    • 每一个进程都有一个namespace,可以在/proc/<pid_num>/ns目录下查看
    • docker exec就是通过加入容器的namespace·中进入容器的
      • 也就是会创建一个和容器共享namespace的新进程
  • 使用虚拟化技术作为应用沙盒,就必须要由 Hypervisor 来负责创建虚拟机,这个虚拟机是真实存在的,并且它里面必须运行一个完整的 Guest OS 才能执行用户的应用进程。这就不可避免地带来了额外的资源消耗和占用
  • 跟真实存在的虚拟机不同,在使用 Docker 的时候,并没有一个真正的“Docker 容器”运行在宿主机里面。Docker 项目帮助用户启动的,还是原来的应用进程,只不过在创建这些进程时,Docker 为它们加上了各种各样的 Namespace 参数
    • 容器本质上就是一个加了限定参数的进程
    • docker engine 只是一种启动时用,运行时并不需要,真实进程(容器)是直接run在host os上
    • 宿主机可以直接控制容器内的进程,包括kill
    • 容器化后的用户应用,却依然还是一个宿主机上的普通进程,这就意味着这些因为虚拟化而带来的性能损耗都是不存在的;而另一方面,使用 Namespace 作为隔离手段的容器并不需要单独的 Guest OS,这就使得容器额外的资源占用几乎可以忽略不计
  • 在容器内,除了pid=1的进程,其他进程是不受docker控制的
    • 通过exec进去之后启动的后台进程,不受控制。控制指的是它们的回收和生命周期管理
    • 其他进程挂掉了docker也感知不到
  • 使用-link选项关联容器,不但可以避免容器IP和端口暴露到外部导致的安全问题,还能避免容器在重启后IP地址变动导致的访问失败
    • 原理类似DNS的IP和域名映射

在这里插入图片描述

限制

  • 虽然容器内的第 1 号进程在“障眼法”的干扰下只能看到容器里的情况,但是宿主机上,它作为第 100 号进程与其他所有进程之间依然是平等的竞争关系。这就意味着,虽然第 100 号进程表面上被隔离了起来,但是它所能够使用到的资源(比如 CPU、内存),却是可以随时被宿主机上的其他进程(或者其他容器)占用的
  • Linux Cgroups 的全称是 Linux Control Group。它最主要的作用,就是限制一个进程组能够使用的资源上限,包括 CPU、内存、磁盘、网络带宽等等
  • cgroups只能限制上限,不能限制下限,所以需要k8s等应用的调度

文件系统

  • 容器进程在启动前会挂载根目录到镜像提供的文件系统
    • 修改iNode
  • 镜像只是提供了一套镜像文件系统中的各种文件,而各种内核相关的模块或者特性支持,完全依赖于宿主机
  • 不同版本的linux OS公用相同的kernel,主要不同在于rootfs文件系统
    • rootfs 只是一个操作系统所包含的文件、配置和目录,并不包括操作系统内核。在 Linux 操作系统中,这两部分是分开存放的
  • 由于 rootfs 里打包的不只是应用,而是整个操作系统的文件和目录,也就意味着,应用以及它运行所需要的所有依赖,都被封装在了一起
    • 这就赋予了容器所谓的一致性:无论在本地、云端,还是在一台任何地方的机器上,用户只需要解压打包好的容器镜像,那么这个应用运行所需要的完整的执行环境就被重现出来了
  • 使用联合文件系统对rootfs进行增量修改
    • 不同镜像的底层可以共用 (只读层)
    • 在容器内对只读层的任何修改,都会被操作系统把相应内容复制到可读写层,然后再修改
    • 为了实现删除操作,AuFS 会在可读写层创建一个 whiteout 文件,把只读层里的文件“遮挡”起来
      • 所以删除一些文件后镜像体积反而变大
        在这里插入图片描述
_萤火
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
Docker——一张架构图让你了解docker工作原理
看清所以看轻
07-25 2178
首先Docker是基于Go语言进行开发的,而且是基于C/S结构进行工作的,如图: 从图中可以看出: (1)用户是使用Docker Client与Docker Daemon建立通信,并发送请求给后者; (2)Docker Daemon作为Docker架构中的主体部分,首先提供Server的功能使其可以接受Docker Client的请求;而后Engine(引擎)执行Docker内部的一系列工作,每一项工作都是以一个Job的形式存在; (3)Job的运行过程中,当需要容器镜像时,则从Docker Regist
10张图带你深入理解Docker容器和镜像 高清PDF 学习docker原理
05-09
在学习docker的过程中,容易对镜像和容器之间的概念进行混淆。这个资料就深入docker实现原理,帮助同学打通任督二脉,从此对docker的学习游刃有余
Docker底层工作原理
ITBOY_ITBOX博客
06-18 1670
Docker是怎么工作的 Docker是一个Client-Server结构的系统,Docker守护进程运行在主机上, 然后通过Socket连接从客户端访问,守护进程从客户端接受命令并管理运行在主机上的容器。 容器,是一个运行时环境,就是我们前面说到的集装箱。 为什么Docker比较比VM快 (1)docker有着比虚拟机更少的抽象层。由亍docker不需要Hy...
Docker原理(图解+秒懂+史上最全)
热门推荐
架构师尼恩
10-13 5万+
文章很长,而且持续更新,建议收藏起来,慢慢读! Java 高并发 发烧友社群:疯狂创客圈(总入口) 奉上以下珍贵的学习资源: 免费赠送 经典图书 : 极致经典 + 社群大片好评 《 Java 高并发 三部曲 》 面试必备 + 大厂必备 + 涨薪必备 免费赠送 经典图书 : 《Netty Zookeeper Redis 高并发实战》 面试必备 + 大厂必备 +涨薪必备 (加尼恩领取) 免费赠送 经典图书 : 《SpringCloud、Nginx高并发核心编程》 面试必备 + 大
Docker工作原理及常用操作
Wonderful_sky的博客
07-02 714
Docker工作原理及常用操作 文章目录Docker工作原理及常用操作简介原理快速安装及启动安装启动服务常用操作拉取镜像查找镜像查看镜像查看容器容器交互停止容器创建镜像删除镜像删除容器发布镜像 简介 Docker 是一个开源的应用容器引擎,让开发者可以打包他们的应用以及依赖包到一个可移植的镜像中,然后发布到任何流行的 Linux或Windows 机器上,也可以实现虚拟化。 —百度百科 可以简...
Docker原理
01-27
dockerlinux系统上的,虽然官网提供了windows和MacOS版本的安装包,但它们都是靠虚拟机或类似的技术支撑的。换句话说,为了方便你的阅读,希望你已经了解些许linux的知识。Docker使用客户端-服务器(client-server)...
Docker in Docker原理与实战
最新发布
05-11
一、Docker in Docker原理 Docker in Docker是通过以下几个关键步骤实现的: 1. 初始化外部Docker守护进程 在容器内部初始化一个外部Docker守护进程。这可以通过设置环境变量`DOCKER_HOST`来实现,将其指向外部...
docker原理.txt
05-07
docker原理
Docker原理
ThinkerWalker
10-14 1325
简介 最近几年Docker非常火爆,听起来很高大上,说他彻底释放了计算机虚拟化,它的优点有持续集成、版本控制、可移植性、隔离性和安全性,那么它实现逻辑是什么样的呢,只有当我们理解了它的实现逻辑,就知道他为什么有那么多的优点。
实验3 Docker容器的创建与维护.doc
06-24
洛阳理工学院,云计算实验报告 实验目的: 1. 掌握操作系统虚拟化的基本概念; 2. 了解Docker镜像、容器工作的基本原理; 3. 掌握Docker镜像、容器的基本管理操作。
Docker工作原理
小健健的博客
12-11 346
Docker架构的工作原理Docker不太熟悉的朋友可以参考博文:Docker简介及安装配置详解首先Docker是基于Go语言进行开发的,而且是基于C/S结构进行工作的,如图:从图中可以看出:(1)用户是使用Docker Client与Docker Daemon建立通信,并发送请求给后者;(2)Docker Daemon作为Docker架构中的主体部分,首先提供Server的功能使其可以接受D...
docker网络实验
潜心无止境
06-29 481
原创 1.Docker单机网络模型动手实验 2.Docker跨主机Overlay网络动手实验
Docker实现原理
cfy_zybing的专栏
05-29 326
来源: “极客时间”:深入剖析K8S 目录 Namespace: Docker和虚拟机比较 Docker核心技术 容器核心技术: 通过约束和修改进程的动态表现,从而为其创造出一个“边界”; 对于Docker等大多数Linux容器来说, Cgroups:用来制造约束 Namespace:用来修改进程视图 其实是Linux创建进程的一个可选参数 Namespace: Linux提供了多种Namespace PID: 进程ID,在当前Namespace中新创建进程PID重新..
几张图帮你理解 docker 基本原理及快速入门
lgxzzz的博客
02-23 638
什么是docker Docker 是一个开源项目,诞生于 2013 年初,最初是 dotCloud 公司内部的一个业余项目。它基于 Google 公司推出的 Go 语言实现。 项目后来加入了 Linux 基金会,遵从了 Apache 2.0 协议,项目代码在 GitHub 上进行维护。 Docker 自开源后受到广泛的关注和讨论,以至于 dotCloud 公司后来都改名为 Docker Inc。Redhat 已经在其 RHEL6.5 中集中支持 Docker;Google 也在其 PaaS 产品中广泛应
Docker原理详解
小小运维,可笑可笑
12-04 2775
前言 统称来说,容器是一种工具,指的是可以装下其它物品的工具,以方便人类归纳放置物品、存储和异地运输,具体来说比如人类使用的衣柜、行李箱、背包等可以成为容器,但今天我们所说的容器是一种IT技术。 容器技术是虚拟化、云计算、大数据之后的一门新兴的并且是炙手可热的新技术,容器技术提高了硬件资源利用率(相对于物理机或者虚拟机)、方便了企业的业务快速横向扩容、实现了业务宕机自愈功能,因此未来数年会是一个容器愈发流行的时代,这是一个对于IT行业来说非常有影响和价值的技术,而对于IT行业的从业者来说,熟练掌握容器技术无
docker入门小实验
PCaiyue的博客
05-23 1583
    本文章主要介绍如何定制docker镜像,前提是要先正确安装好docker。1、为什么要用docker    docker与虚拟机比较,不需要进行硬件虚拟以及运行完整操作系统,使得系统资源能够得到高效利用;启动时间快,可达到秒级甚至毫秒级;运行环境一致性,不会再出现 “这段代码在我机器上没问题啊” 这类问题; 可自行定制,通过定制实现持续集成、持续交付和部署;更加轻松地迁移、维护和扩展。  ...
Docker学习笔记1 -- Docker基本原理和应用场景
lifanxin的博客
11-23 410
文章目录Docker简介为啥会出现DockerDocker是什么?虚拟机技术和容器虚拟技术Docker详解Docker三大要素Docker的安装Docker配置阿里云仓库Docker应用场景 Docker简介 为啥会出现Docker?   在以往的传统开发过程中,开发工程师负责代码的编写,将在本地开发环境中运行无误的代码交由测试人员测试或者进一步交给运维人员进行部署。由于只给了代码,而测试人员或者运维人员所使用的运行环境往往和开发工程师的开发环境不一样,所以会产生一系列由于环境不同而导致的问题。所以要解决
Docker原理浅析
万万没想到的博客
10-25 240
前言 上图分别画出了虚拟机和docker的工作原理docker部分是不准确的),其中名为Hypervisor的软件是虚拟机最重要的部分,他通过硬件的虚拟化功能,模拟出了运行一个操作系统需要的各种硬件,然后,它在这些虚拟硬件上安装了一个新的操作系统。 而右边的图,则用一个名为Docker Engine的软件替换了Hypervisor,这样看起来Docker更像一个轻量级的虚拟化技术,然而实际上这...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值