docker底层原理简述
前言
平时用docker很多,今天深入了解下docker原理层面的实现,包括docker核心概念,文件系统,资源隔离,网络通信等
参考文章:
Docker底层原理(图解+秒懂+史上最全) - 疯狂创客圈 - 博客园
docker - Libnetwork CNM框架与实现 - 187J3X1 - SegmentFault 思否
docker网络配置:bridge模式、host模式、container模式、none模式 - 熊仔其人 - 博客园
一、docker的核心概念
docker的核心组件包括客户端,守护进程,容器、镜像、镜像仓库
docker是Client/Server架构的系统,由运行在宿主机的守护进程控制主机上的容器,接收客户端的请求
由主机上或远程的客户端与守护进程交互,提供执行命令对资源操作
镜像是一个轻量级的,可运行的软件包
容器是镜像运行的实例
镜像仓库是用于保存镜像的中心
二、docker与虚拟机
虚拟机在宿主机操作系统上创建虚拟层、虚拟操作系统、在安装应用,docker在宿主机创建docker引擎,创建应用共享宿主机内核
虚拟机分钟级启动,单机支持几十个,docker秒级启动,单机支持上千个
虚拟机提供了系统级别的隔离性,docker利用linux提供的namspaces和cgroups进行隔离
三、docker的分层镜像
docker分层镜像是基于Advanced UnionFS(or AUFS,联合文件系统)的,利用mount将不同的文件夹挂载按顺序挂载到一个目录下,上层的文件会覆盖下层的同名文件,且只有最上层是可读写,往下都是只读的
docker镜像是分层的,在构建时每次RUN都会加一层,相同的base镜像是共享的,节省存储空间,容器运行时会增加容器层,只有容器层是可写的,镜像是只读的,利用的是copyOnWrite技术
四、docker的环境隔离
docker利用linux的namespaces(命名空间)实现PID、IPC、网络、挂载点等系统资源的隔离,利用CGroups(控制组)实现CPU、内存、带宽等物理资源的隔离
五、namespace相关操作
可以在/proc/[pid]/ns查看进程的各个namespace
clone()创建新进程同时创建namespace
setns()为当前进程设置namespace
unshare()跳出原先的namespace进行操作
六、docker的网络模式
- bridge模式,默认启动docker0网桥,启动一个容器时分配一对虚拟网卡,并设置docker0为默认网关,利用iptables定义NAT配置
- host模式,与主机共享network namespace
- container模式,与某个容器共享network namespace
- none模式,不提供联网
七、容器网络模型(Container Network Model)
由Sandbox、Endpoint、Network组成
每个容器包含一个Sandbox保存网卡Interface、路由表等,一个Sandbox可以包含多个Endpoint,这些Endpoint可以来自不同Network,Sandbox的典型实现是Network namespace
Endpoint由Network创建并归属于Network,当Endpoint加入Sandbox,代表该Sandbox加入了Network,Endpoint的典型实现是veth-pair
Network可以创建多个Endpoint,将Endpoint加入到Sandbox,实现多个Sandbox的互通,典型实现是Linux bridge
八、CGroups
Linux将物理资源划分为/sys/fs/cgroup下的不同子系统,如cpu、内存、网络带宽等,cgroup能为一组进程分配资源,并且cgroup是有层级关系的,子节点会从父节点继承资源限制,并且该限制百分比是基于系统总资源而言的