概述:Docker 的容器运行时环境是其核心组成部分,提供了应用程序运行所需的隔离和资源管理。以下是容器运行时环境的一些关键底层原理和组件:
1. 命名空间(Namespaces)
- Process Namespace:用于隔离进程ID,使容器内的进程拥有独立的PID空间。
- Network Namespace:创建虚拟网络环境,每个容器有自己的网络设备、IP地址、路由表等。
- Mount Namespace:为容器提供隔离的文件系统视图,确保容器只能看到和自己相关的文件和目录。
- User Namespace:隔离用户ID和组ID,在容器内部以非root用户运行程序,提高安全性。
- IPC Namespace:管理进程间通信(IPC),限制容器内进程只能与同一容器内的其他进程通信。
- Cgroup Namespace:用于对CPU、内存等资源的配额管理。
2. 控制组(Control groups,cgroups)
- 资源限制:cgroups 允许对容器可以使用的资源进行限制,比如 CPU 时间片、内存使用量、磁盘 I/O 速率等。
- 优先级分配:可以通过 cgroups 设置不同容器对资源的优先级,实现服务质量(QoS)管理。
- 审计:监控容器的资源使用情况,并生成报告。
3. 联合文件系统(Union File System)
- 镜像层叠:Docker 使用 UnionFS 来存储镜像的层叠结构,每个镜像由多个只读层和一个可写层组成。
- 数据持久化:容器在可写层中对文件的修改不会影响镜像本身,从而实现了数据的持久化。
- 空间节省:多个容器可以共享同一份基础镜像层,节省存储空间。
4. 容器运行时(Container Runtime)
- Docker Engine:最初,Docker 使用自己的运行时来管理和运行容器。
- Containerd:后来,Docker 分解了运行时,引入了 containerd,它是一个容器管理系统,负责容器的生命周期管理。
- RunC:是一个轻量级的容器运行时,专注于符合 OCI(Open Container Initiative)规范的容器执行环境。
5. 分离的进程树
- Init 进程 :每个容器都有一个init进程(如
/bin/sh或/bin/bash),它是容器内所有进程的父进程。 - PID 1:容器内的init进程通常被命名为PID 1,负责启动容器内的其他进程。
这些底层技术共同工作,确保了 Docker 容器的隔离性、资源控制和可移植性,使得 Docker 成为轻量级、可移植、一致的容器化平台。