这章节主要是从容器的技术概念入手,说一下容器的基础,有了好的基础才能更好的理解容器这门技术,先说一下容器和进程的关系,后续的文章会说进程的隔离与限制资源以及容器的内部灵魂,来一点点深入容器,话不多说,那么开始把!
1.从进程说开去
之前的章节说过容器就是一个“沙盒”,把一个个应用存储在里面,看似是隔离的,那么我们接下来就要讲怎么塑造这样的一个盒子将我们的应用隔离限制起来,那么第一个要说的就是进程,我们运行应用就需要用到进程。
我们的程序都是运行在进程里的,进程的静态表现就是程序,平常都安安静静地待在磁盘上,但是一旦运行起来就变成计算机里的数据和状态的总和,这就是它的动态表现。容器核心的技术实现就是约束和修改进程的动态表现,为其创造出一个“边界”。对于Docker和大部分的linux容器来说,Cgroups技术用来制造约束的手段,Namespace技术则用来修改进程视图的主要方法(后文会讲)。
Linux Cgroups的全称是linux controller group:它最主要的作用就是限制一个进程组能够使用的资源上线,包括CPU、内存、磁盘、网络带宽等等。
1.1 Namespace
动手实践一下理解Namespace,咱们先创建容器试试,
$ docker run -it busybox /bin/sh
/ #
docker run 我们需要启动一个容器,-it 则是容器启动后分配一个文本输入/输出环境,/bin/sh 就是我们要在 docker 容器里运行的程序。
busybox:linux里的命令软件,如ls,cat等等。
上面的命令的意思是:请帮我启动一个容器,在容器里执行 /bin/sh,并且给我分配一个命令行终端跟这个容器交互,这样,Ubuntu 16.04 机器就变成了一个宿主机,而一个运行着 /bin/sh 的容器,就跑在了这个宿主机里面。
此时,如果我们在容器里执行一下 ps 指令,就会发现一些更有趣的事情:
/ # ps
PID USER TIME COMMAND
1 root 0:00 /bin/sh
10 root 0:00 ps
我们发现第一行的PID是1,运行着/bin/sh,正常情况下我们这个进程肯定不是1,因为我们宿主机运行着大量的进程,也许正常这个PID=100也说不定,那说明已经被 Docker 隔离在了一个跟宿主机完全不同的世界当中,而这种技术就是Linux的Namespace机制。
Namespace机制:
Linux的Namespace主要是通过调用系统的Clone()创建进程时指定进程号,比如:
系统调用就会为我们创建一个新的进程,并且返回它的进程号 pid
int pid = clone(main_function, stack_size, SIGCHLD, NULL);
我们用 clone() 系统调用创建一个新进程时,就可以在参数中指定 CLONE_NEWPID 参数,比如:
int pid = clone(main_function, stack_size, CLONE_NEWPID | SIGCHLD, NULL);
这时,新创建的这个进程将会“看到”一个全新的进程空间,使其看不到其他的宿主机的进程,当然,我们还可以多次执行上面的 clone() 调用,这样就会创建多个 PID Namespace,而每个 Namespace 里的应用进程,都会认为自己是当前容器里的第 1 号进程,它们既看不到宿主机里真正的进程空间,也看不到其他 PID Namespace 里的具体情况,使其看似隔离,这种技术就是linux的Namespace机制。
其实上述的操作实践也叫PID Namespace,Linux除了给予这样的Namespace方式,Linux 操作系统还提供了 Mount、UTS、IPC、Network 和 User 这些 Namespace,用来对各种不同的进程上下文进行“障眼法”操作。
如:Mount Namespace :用于让被隔离进程只看到当前 Namespace 里的挂载点信息,Network Namespace:用于让被隔离进程看到当前 Namespace 里的网络设备和配置。
这就是Linux容器的基本实现原理,
Docker 容器的概念,实际上是在创建容器进程时,指定了这个进程所需要启用的一组 Namespace 参数。这样,容器就只能“看”到当前 Namespace 所限定的资源、文件、设备、状态,或者配置。而对于宿主机以及其他不相关的程序,它就完全看不到了。
容器,只是特殊的一种进程而已。文章来源:https://www.toymoban.com/news/detail-483375.html
看完本章节你会发现容器不是真正的虚拟机,还是运用着Linux内核来运行程序,只不过通过了Namespace的手段给屏蔽了,那么既然还是共享着内核,那么就会衍生很多问题,所以下一节会给大家说下容器的隔离与限制。文章来源地址https://www.toymoban.com/news/detail-483375.html
到了这里,关于深入刨析容器(二):容器的进程的文章就介绍完了。如果您还想了解更多内容,请在右上角搜索TOY模板网以前的文章或继续浏览下面的相关文章,希望大家以后多多支持TOY模板网!