文章目录
1. 什么是容器
- 容器时一个视图隔离,资源可限制,独立文件系统的进程集合。
- 容器是一个用户态的概念,Linux内核中并不存在“linux container”这个概念。
2. 容器的前世
- FreeBSD jail —> Linux vserver
- chroot
- namespaces
命名空间,Linux内核提供的一种对进程资源隔离的机制,例如进程、网络、挂载点等资源。 - cgroup
控制组,Linux内核提供的一种限制进程资源的机制;例如CPU、内存等资源。
通过比较复杂的代码开发过程,调用以上三项技术实现容器的生命周期。
2.1 chroot
完整的根文件系统,(FHS)标准的
2.2 namespace(命名空间)
资源隔离
| namespace | 系统调用参数 | 隔离的内容 | 内核版本 |
|---|---|---|---|
| UTS(Unix Timessharing System) | CLONE_NEWUTS | 主机名域名 | 2.6.19 |
| IPC(InterProcess Communication) | CLONE_NEWIPC | 信号量、消息队列与共享内存 | 2.6.19 |
| PID(ProcessID) | CLONE_NEWPID | 进程编号 | 2.6.24 |
| NET(Network) | CLONE_NEWNET | 网络设备、网络栈、端口等 | 2.6.29 |
| MNT(MOUNT) | CLONE_NEWNS | 挂载点 | 2.4.19 |
| USER | CLONE_NEWUSER | 用户与组 | 3.8 |
2.3 cgroups
资源分配和监控
3. 主机虚拟化和容器对比
3.1 主机虚拟化
- 全虚拟化
- 半虚拟化
- 硬件虚拟化
4. 容器的今生
- LXC
Linux Container,对chroot,namespace,cgroup的封装。 - Docker(dotcloud)
- 完善了整个生态。
- Docker是一个开源的应用容器引擎,使用Go语言开发,基于Linux内核的cgroup,namespace,Union FS等技术,对应用进程进行封装隔离,并且独立于宿主机与其他进程,这种运行时封装的状态称为容器。
- Docker早起版本实现是基于LXC,并进一步对其封装,包括文件系统、网络互联、镜像管理等方面,极大简化了容器管理。从0.7版本以后开始去除LXC,转为自行研发的libcontainer,从1.11版本开始,进一步演进为使用runC和containerd。
- Docker理念是将应用及依赖包打包到一个可移植的容器中,可发布到任意Linux发行版Docker引擎上。使用沙箱机制运行程序,程序之间相互隔离。
- 镜像
镜像是一种轻量级、可执行的独立软件包,用来打包软件运行环境和基于运行环境开发的软件,它包含运行某个软件所需的所有内容,包括代码、运行时、库、环境变量和配置文件。 - UnionFS(联合文件系统)
Union文件系统(UnionFS)是一种分层、轻量级并且高性能的文件系统,它支持对文件系统的修改作为一次提交来一层层的叠加,同时可以将不同目录挂载到同一个虚拟文件系统下(unite several directories into a single virtual filesystem)。Union 文件系统是 Docker 镜像的基础。镜像可以通过分层来进行继承,基于基础镜像(没有父镜像),可以制作各种具体的应用镜像。
特性: 一次同时加载多个文件系统,但从外面看起来,只能看到一个文件系统,联合加载会把各层文件系统叠加起来,这样最终的文件系统会包含所有底层的文件和目录 - Docker镜像加载原理
docker的镜像实际上由一层一层的文件系统组成,这种层级的文件系统UnionFS。
- bootfs(boot file system)主要包含bootloader和kernel, bootloader主要是引导加载kernel, Linux刚启动时会加载bootfs文件系统,在Docker镜像的最底层是bootfs。这一层与我们典型的Linux/Unix系统是一样的,包含boot加载器和内核。当boot加载完成之后整个内核就都在内存中了,此时内存的使用权已由bootfs转交给内核,此时系统也会卸载bootfs。
- rootfs (root file system) ,在bootfs之上。包含的就是典型 Linux 系统中的 /dev, /proc, /bin, /etc 等标准目录和文件。rootfs就是各种不同的操作系统发行版,比如Ubuntu,Centos等等。
5. Docker体系结构
- Containerd
一个简单的守护进程,使用runC管理容器。向DockerEngine提供接口。 - Shim
只负责管理一个容器。 - runC
是一个轻量级的工具,只用来运行容器。
6. Dockerfile、Docker镜像和Docker容器的关系
Dockerfile 是软件的原材料,Docker 镜像是软件的交付品,而 Docker 容器则可以认为是软件的运行态。从应用软件的角度来看,Dockerfile、Docker 镜像与 Docker 容器分别代表软件的三个不同阶段,Dockerfile 面向开发,Docker 镜像成为交付标准,Docker 容器则涉及部署与运维,三者缺一不可,合力充当 Docker 体系的基石。简单来讲,Dockerfile构建出Docker镜像,通过Docker镜像运行Docker容器。
7. Docker的三个统一
8. Docker缺点
9. Docker容器的编排工具
445
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
