目錄
- 01 容器的本質(zhì)是什么?
- 02 Cgroup技術(shù)和Namespace技術(shù)介紹
- 03 容器、鏡像和倉(cāng)庫(kù)之間的關(guān)系
01 容器的本質(zhì)是什么?
今天的重點(diǎn)問(wèn)題是講述清楚什么是容器。
要理解容器的概念,首先我們需要知道什么是進(jìn)程?當(dāng)我們?cè)贚inux操作系統(tǒng)執(zhí)行一個(gè)程序,這個(gè)程序可能是一個(gè)二進(jìn)制文件,它被調(diào)用的時(shí)候,變成了計(jì)算機(jī)內(nèi)存中的數(shù)據(jù)、寄存器中的值、堆棧中的指令、以及各種設(shè)備狀態(tài)信息的一個(gè)集合。像這樣的一個(gè)計(jì)算機(jī)執(zhí)行環(huán)境的綜合,我們稱之為進(jìn)程。
容器,就是為這個(gè)進(jìn)程提供一個(gè)"邊界",理解成白話,就是把這個(gè)進(jìn)程"包"起來(lái),它本質(zhì)上是通過(guò)約束和修改進(jìn)程的一些動(dòng)態(tài)表現(xiàn)實(shí)現(xiàn)的這個(gè)"包"的動(dòng)作。
不難看出來(lái),容器是一種特殊的、有"邊界"的進(jìn)程。
現(xiàn)在我們來(lái)看一個(gè)MySQL容器的進(jìn)程特點(diǎn)。
1、先查看下我們機(jī)器上mysql容器的containerID值,如下:
[root@VM-16-13-centos service]# docker ps | grep mysql
4784586d01e0 mysql "docker-entrypoint..." 3 months ago Up 3 months k8s_mysql.16d54d16_mysql-pd7jr_default_0032bce0-2b0f-11eb-98ad-5254002dbd85_d775f414
可以看到,containerID的值是4784586d01e0
2、首先我們通過(guò)docker exec命令(關(guān)于這條命令的介紹,下面會(huì)有講述)進(jìn)入一個(gè)容器里面,ps -ef命令查看進(jìn)程:
[root@VM-16-13-centos service]# docker exec -it 4784586d01e0 bash
root@mysql-pd7jr:/# ps -ef
UID PID PPID C STIME TTY TIME CMD
mysql 1 0 0 2020 ? 03:20:20 mysqld
root 882 0 0 09:42 ? 00:00:00 bash
root 888 882 0 09:46 ? 00:00:00 ps -ef
可以發(fā)現(xiàn),mysqld這個(gè)進(jìn)程的進(jìn)程號(hào)是1.
這里我要多嘴一下:
1、docker exec -it 4784586d01e0 bash
這條指令是告訴容器,我要進(jìn)入這個(gè)容器里面,并運(yùn)行一個(gè)bash的指令。
2、如果你的docker里面不支持ps命令,你需要使用下面的命令安裝一下ps這個(gè)指令:
apt-get update & apt-get install procps
然后我們退出到容器外面,再次查看mysqld進(jìn)程的進(jìn)程號(hào):
[root@VM-16-13-centos service]# ps -ef|grep mysql
root 5152 5059 0 2020 pts/5 00:00:00 mysql -uroot -px xxxx
root 13644 24879 0 2020 pts/4 00:00:00 mysql -uroot -px xxxx
polkitd 18853 18837 0 2020 ? 03:20:25 mysqld
發(fā)現(xiàn)進(jìn)程號(hào)是18853。
可以得到一個(gè)結(jié)論,mysqld進(jìn)程在容器里面和容器外面執(zhí)行的結(jié)果不一樣。
為什么會(huì)這樣?
其本質(zhì)是docker容器中的進(jìn)程被隔離在了一個(gè)新的環(huán)境中,使得這些進(jìn)程只能看到重新計(jì)算過(guò)的PID號(hào)。前面我們說(shuō)過(guò),docker本質(zhì)上是通過(guò)約束和修改進(jìn)程的一些動(dòng)態(tài),將一個(gè)物理機(jī)上的進(jìn)程"包"起來(lái),我們看到的這個(gè)現(xiàn)象,就是"包"的結(jié)果。
那么Linux是如何將物理機(jī)進(jìn)程進(jìn)行的約束和修改呢?這里引入新的概念:
對(duì)于 Docker 等大多數(shù) Linux 容器來(lái)說(shuō),Linux 的Cgroups 技術(shù)是用來(lái)制造約束的主要手段,而
Namespace 技術(shù)則是用來(lái)修改進(jìn)程視圖的主要方法。
02 Cgroup技術(shù)和Namespace技術(shù)介紹
Namespace技術(shù)主要是為容器提供資源隔離用的。Namespace這個(gè)功能實(shí)現(xiàn)的方法比較簡(jiǎn)單,通常情況下,我們創(chuàng)建Linux進(jìn)程的時(shí)候,系統(tǒng)會(huì)執(zhí)行一個(gè)clone的命令,類似:
int pid = clone(main_function, stack_size, SIGCHLD, NULL);
它返回的就是我們創(chuàng)建的進(jìn)程的PID號(hào)。
而Namespace技術(shù)就是在Linux創(chuàng)建進(jìn)程的時(shí)候,多了一個(gè)參數(shù),這個(gè)新參數(shù)暫且稱之為newid,這樣,在容器內(nèi),我們看到的進(jìn)程的PID號(hào),就是這個(gè)newid了。這個(gè)Namespace我們稱之為PID Namespace。
除了這個(gè)Namespace,還有其他的,例如mount Namespace,Network Namespace等,分別是為了隔離掛載點(diǎn)和隔離網(wǎng)絡(luò)的。
當(dāng)然,不是所有的資源都能夠被namespace化,例如時(shí)間和操作系統(tǒng)內(nèi)核,就是一個(gè)服務(wù)器上的所有容器共享的。
容器一旦開(kāi)始運(yùn)行,我們需要控制它使用的機(jī)器資源,例如磁盤、內(nèi)存、CPU等,否則它可能會(huì)耗盡物理機(jī)的資源,導(dǎo)致一些系統(tǒng)進(jìn)程發(fā)生崩潰。Cgroup技術(shù)就是專門為L(zhǎng)inux進(jìn)程限制資源使用的。它的全程是Linux Control Group,它以文件和目錄的形式存放在/sys/fs/cgroups目錄下,如下:
[root@VM-16-13-centos service]# ls -l /sys/fs/cgroup/
total 0
drwxr-xr-x 4 root root 0 Nov 20 11:38 blkio
lrwxrwxrwx 1 root root 11 Nov 20 11:38 cpu -> cpu,cpuacct
lrwxrwxrwx 1 root root 11 Nov 20 11:38 cpuacct -> cpu,cpuacct
drwxr-xr-x 5 root root 0 Nov 20 11:38 cpu,cpuacct
drwxr-xr-x 3 root root 0 Nov 20 11:38 cpuset
drwxr-xr-x 4 root root 0 Nov 20 11:38 devices
drwxr-xr-x 3 root root 0 Nov 20 11:38 freezer
drwxr-xr-x 3 root root 0 Nov 20 11:38 hugetlb
drwxr-xr-x 5 root root 0 Nov 20 11:38 memory
lrwxrwxrwx 1 root root 16 Nov 20 11:38 net_cls -> net_cls,net_prio
drwxr-xr-x 3 root root 0 Nov 20 11:38 net_cls,net_prio
lrwxrwxrwx 1 root root 16 Nov 20 11:38 net_prio -> net_cls,net_prio
drwxr-xr-x 3 root root 0 Nov 20 11:38 perf_event
drwxr-xr-x 4 root root 0 Nov 20 11:38 pids
drwxr-xr-x 4 root root 0 Nov 20 11:38 systemd
不同的文件目錄里面,存儲(chǔ)不同的資源種類被限制的值,其中,比較常用的:
blkio:為塊設(shè)備設(shè)置i/o限制,一般用于磁盤等設(shè)備
cpuset:為進(jìn)程分配單獨(dú)的CPU核心和對(duì)應(yīng)的內(nèi)存節(jié)點(diǎn)
memory:為進(jìn)程設(shè)定內(nèi)存使用的限制。
當(dāng)我們通過(guò)命令啟動(dòng)容器之后,操作系統(tǒng)會(huì)把這個(gè)docker進(jìn)程對(duì)應(yīng)的PID填寫到對(duì)應(yīng)控制組的文件中,從而控制當(dāng)前進(jìn)程使用的CPU資源值。
03 容器、鏡像和倉(cāng)庫(kù)之間的關(guān)系
Docker 包括三個(gè)基本概念:
- 鏡像(Image)
- 容器(Container)
- 倉(cāng)庫(kù)(Repository)
這三部分組成了Docker的整個(gè)生命周期,如上圖所示。
docker鏡像包含了文件系統(tǒng),類似于虛擬機(jī)的鏡像,它是只讀的模板。這個(gè)文件系統(tǒng)也通常被稱之為rootfs,通常包含了bin、etc、sys、usr等一系列目錄。
docker容器是由鏡像實(shí)例化而來(lái)的,這和我們學(xué)習(xí)的面向?qū)ο蟮母拍钍窒嗨疲覀兛梢园宴R像想象成類,把容器想象成類經(jīng)過(guò)實(shí)例化后的對(duì)象,這樣就非常好理解鏡像和容器的關(guān)系了。
docker倉(cāng)庫(kù):類似與代碼倉(cāng)庫(kù),是Docker集中存放鏡像文件的場(chǎng)所
這個(gè)關(guān)系可以更加清楚的表述為:
以上就是詳解docker容器的概念的詳細(xì)內(nèi)容,更多關(guān)于docker容器的概念的資料請(qǐng)關(guān)注腳本之家其它相關(guān)文章!