您的位置:首页 > 服务器 > > 正文

docker容器启动原理(docker容器的原理分析)

更多 时间:2021-10-13 00:13:59 类别:服务器 浏览量:416

docker容器启动原理

docker容器的原理分析

01 容器的本质是什么?

      今天的重点问题是讲述清楚什么是容器。

     要理解容器的概念,首先我们需要知道什么是进程?当我们在Linux操作系统执行一个程序,这个程序可能是一个二进制文件,它被调用的时候,变成了计算机内存中的数据、寄存器中的值、堆栈中的指令、以及各种设备状态信息的一个集合。像这样的一个计算机执行环境的综合,我们称之为进程。

   容器,就是为这个进程提供一个"边界",理解成白话,就是把这个进程"包"起来,它本质上是通过约束和修改进程的一些动态表现实现的这个"包"的动作。

    不难看出来,容器是一种特殊的、有"边界"的进程。

    现在我们来看一个MySQL容器的进程特点。

1、先查看下我们机器上mysql容器的containerID值,如下:

  • [root@VM-16-13-centos service]# docker ps | grep mysql
    4784586d01e0        mysql                                                        "docker-entrypoint..."   3 months ago        Up 3 months                             k8s_mysql.16d54d16_mysql-pd7jr_default_0032bce0-2b0f-11eb-98ad-5254002dbd85_d775f414
    
  • 可以看到,containerID的值是4784586d01e0

    2、首先我们通过docker exec命令(关于这条命令的介绍,下面会有讲述)进入一个容器里面,ps -ef命令查看进程:

  • [root@VM-16-13-centos service]# docker exec -it 4784586d01e0  bash
    root@mysql-pd7jr:/# ps -ef
    UID        PID  PPID  C STIME TTY          TIME CMD
    mysql        1     0  0  2020 ?        03:20:20 mysqld
    root       882     0  0 09:42 ?        00:00:00 bash
    root       888   882  0 09:46 ?        00:00:00 ps -ef
    
  • 可以发现,mysqld这个进程的进程号是1.

    这里我要多嘴一下:

    1、docker exec -it 4784586d01e0 bash

    这条指令是告诉容器,我要进入这个容器里面,并运行一个bash的指令。

    2、如果你的docker里面不支持ps命令,你需要使用下面的命令安装一下ps这个指令:

    apt-get update & apt-get install procps

    然后我们退出到容器外面,再次查看mysqld进程的进程号:

  • [root@VM-16-13-centos service]# ps -ef|grep mysql
    root      5152  5059  0  2020 pts/5    00:00:00 mysql -uroot -px xxxx
    root     13644 24879  0  2020 pts/4    00:00:00 mysql -uroot -px xxxx
    polkitd  18853 18837  0  2020 ?        03:20:25 mysqld
    
  • 发现进程号是18853。

    可以得到一个结论,mysqld进程在容器里面和容器外面执行的结果不一样。

    为什么会这样?

    其本质是docker容器中的进程被隔离在了一个新的环境中,使得这些进程只能看到重新计算过的PID号。前面我们说过,docker本质上是通过约束和修改进程的一些动态,将一个物理机上的进程"包"起来,我们看到的这个现象,就是"包"的结果。

    那么Linux是如何将物理机进程进行的约束和修改呢?这里引入新的概念:

    对于 Docker 等大多数 Linux 容器来说,Linux 的Cgroups 技术是用来制造约束的主要手段,而
    Namespace 技术则是用来修改进程视图的主要方法。

    02 Cgroup技术和Namespace技术介绍

        Namespace技术主要是为容器提供资源隔离用的。Namespace这个功能实现的方法比较简单,通常情况下,我们创建Linux进程的时候,系统会执行一个clone的命令,类似:

  • int pid = clone(main_function, stack_size, SIGCHLD, NULL);
    
  • 它返回的就是我们创建的进程的PID号。

    而Namespace技术就是在Linux创建进程的时候,多了一个参数,这个新参数暂且称之为newid,这样,在容器内,我们看到的进程的PID号,就是这个newid了。这个Namespace我们称之为PID Namespace。

        除了这个Namespace,还有其他的,例如mount Namespace,Network Namespace等,分别是为了隔离挂载点和隔离网络的。

        当然,不是所有的资源都能够被namespace化,例如时间和操作系统内核,就是一个服务器上的所有容器共享的。

        容器一旦开始运行,我们需要控制它使用的机器资源,例如磁盘、内存、CPU等,否则它可能会耗尽物理机的资源,导致一些系统进程发生崩溃。Cgroup技术就是专门为Linux进程限制资源使用的。它的全程是Linux Control Group,它以文件和目录的形式存放在/sys/fs/cgroups目录下,如下:

  • [root@VM-16-13-centos service]# ls -l /sys/fs/cgroup/
    total 0
    drwxr-xr-x 4 root root  0 Nov 20 11:38 blkio
    lrwxrwxrwx 1 root root 11 Nov 20 11:38 cpu -> cpu,cpuacct
    lrwxrwxrwx 1 root root 11 Nov 20 11:38 cpuacct -> cpu,cpuacct
    drwxr-xr-x 5 root root  0 Nov 20 11:38 cpu,cpuacct
    drwxr-xr-x 3 root root  0 Nov 20 11:38 cpuset
    drwxr-xr-x 4 root root  0 Nov 20 11:38 devices
    drwxr-xr-x 3 root root  0 Nov 20 11:38 freezer
    drwxr-xr-x 3 root root  0 Nov 20 11:38 hugetlb
    drwxr-xr-x 5 root root  0 Nov 20 11:38 memory
    lrwxrwxrwx 1 root root 16 Nov 20 11:38 net_cls -> net_cls,net_prio
    drwxr-xr-x 3 root root  0 Nov 20 11:38 net_cls,net_prio
    lrwxrwxrwx 1 root root 16 Nov 20 11:38 net_prio -> net_cls,net_prio
    drwxr-xr-x 3 root root  0 Nov 20 11:38 perf_event
    drwxr-xr-x 4 root root  0 Nov 20 11:38 pids
    drwxr-xr-x 4 root root  0 Nov 20 11:38 systemd
    
  •     不同的文件目录里面,存储不同的资源种类被限制的值,其中,比较常用的:

    blkio:为块设备设置i/o限制,一般用于磁盘等设备

    cpuset:为进程分配单独的CPU核心和对应的内存节点

    memory:为进程设定内存使用的限制。

        当我们通过命令启动容器之后,操作系统会把这个docker进程对应的PID填写到对应控制组的文件中,从而控制当前进程使用的CPU资源值。

    03 容器、镜像和仓库之间的关系

    Docker 包括三个基本概念:

    • 镜像(Image)
    • 容器(Container)
    • 仓库(Repository)

    docker容器启动原理(docker容器的原理分析)

    这三部分组成了Docker的整个生命周期,如上图所示。

    docker镜像包含了文件系统,类似于虚拟机的镜像,它是只读的模板。这个文件系统也通常被称之为rootfs,通常包含了bin、etc、sys、usr等一系列目录。

    docker容器是由镜像实例化而来的,这和我们学习的面向对象的概念十分相似,我们可以把镜像想象成类,把容器想象成类经过实例化后的对象,这样就非常好理解镜像和容器的关系了。

    docker仓库:类似与代码仓库,是Docker集中存放镜像文件的场所

    这个关系可以更加清楚的表述为:

    docker容器启动原理(docker容器的原理分析)

    以上就是详解docker容器的概念的详细内容,更多关于docker容器的概念的资料请关注开心学习网其它相关文章!

    标签:docker 容器
    您可能感兴趣