Docker的底层原理及分析

Docker底层原理

docker实际上类似于一种“进程隔离技术”，利用Linux系统的一些特性功能，将不同容器隔离开来，使其不受外界的影响。

docker使用的Linux特性功能主要有：

1、命名空间（Namespace)：把不同容器的进程、网络、文件系统隔离开来

2、控制组（Cgroups）：限制容器使用CPU、内存等资源

3、联合文件系统（UnionFS）：支持镜像的分层构建

一、命名空间

命名空间可以将全局资源分为若干块，命名空间内部的进程无法看到其他命名空间的进程，利用这一特点，就可以做到容器的隔离。

命名空间有很多类型，docker主要使用的如下：

• 1、PID命名空间：该命名空间的第一个进程的PID为1，其他的进程都挂在这个第一个进程下面，这样容器内部就无法看到宿主机进程
• 2、NET命名空间：控制网络资源，每个容器都可以有独立的IP、路由表、端口号，然后由宿主机通过虚拟网卡把容器网络连到外面。值得注意的是，docker本身并没有硬件或者模拟硬件，docker与宿主机共用一个内核（特别地，docker容器中的网络协议栈是独立的，但是最终走宿主机的内核TCP/IP协议栈，网络并非完全共用）
• 3、IPC命名空间：控制进程间通信，如信号量等，以防与宿主机的IPC冲突
• 4、UTS命名空间：控制主机名和域名，使每个容器都有自己的hostname
• 5、MNT命名空间：控制系统挂载点，容器内部能看到的根目录/实际上是宿主机的某个子目录
• 6、USER命名空间：控制用户和权限，容器内的root用户可以映射为宿主机的普通用户

二、控制组

为了防止被隔离的容器吃光宿主机的资源，docker还利用了Linux提供的Cgroups来进行资源控制，如CPU，内存，磁盘I/O，网络等资源。

Cgroups实际上是一颗资源管理的层级树，每个Cgroup节点都能设置资源限制，进程加入某个Cgroup，就必须遵守对应的限制。

三、联合文件系统

UnionFS（Union File System，联合文件系统）是一种分层的文件系统。

它的特点是：

• 1、可以把多个目录（层）“联合”挂载在一起，对外呈现成一个目录。
• 2、上层可以覆盖下层的文件（像透明胶片叠加）。
• 3、支持写时复制（Copy-On-Write，COW）。

为了保证docker拉取后镜像干净不被修改，镜像被拉取下来都是只读的层，运行容器时，会在镜像的最上层加上一层可写层，由于上层可以覆盖下层的特性，修改上层文件就能达到修改容器运行逻辑的目的，同时，保证了这个镜像内部不被修改；容器删除后，可写层会消失，镜像层保持不变 。

当需要修改可写层时，将需要修改的对应数据找到并复制到可写层，再进行修改，这就是写时复制。

四、数据卷挂载

通过学习联合文件系统我们知道，容器内部的文件系统是独立的，也是一次性的，每次容器重启后，原有的数据就会消失，对于需要数据持久化的程序，就需要使用数据卷技术。

数据卷实际上是容器与宿主机之间共享的一块目录/文件，它不受容器的生命周期影响，因此可以被用来持久化数据

总结

以上为个人经验，希望能给大家一个参考，也希望大家多多支持脚本之家。

最新评论