docker的底层原理二:容器运行时环境

概述:Docker 的容器运行时环境是其核心组成部分,提供了应用程序运行所需的隔离和资源管理。以下是容器运行时环境的一些关键底层原理和组件:

1. 命名空间(Namespaces)

  • Process Namespace:用于隔离进程ID,使容器内的进程拥有独立的PID空间。
  • Network Namespace:创建虚拟网络环境,每个容器有自己的网络设备、IP地址、路由表等。
  • Mount Namespace:为容器提供隔离的文件系统视图,确保容器只能看到和自己相关的文件和目录。
  • User Namespace:隔离用户ID和组ID,在容器内部以非root用户运行程序,提高安全性。
  • IPC Namespace:管理进程间通信(IPC),限制容器内进程只能与同一容器内的其他进程通信。
  • Cgroup Namespace:用于对CPU、内存等资源的配额管理。

2. 控制组(Control groups,cgroups)

  • 资源限制:cgroups 允许对容器可以使用的资源进行限制,比如 CPU 时间片、内存使用量、磁盘 I/O 速率等。
  • 优先级分配:可以通过 cgroups 设置不同容器对资源的优先级,实现服务质量(QoS)管理。
  • 审计:监控容器的资源使用情况,并生成报告。

3. 联合文件系统(Union File System)

  • 镜像层叠:Docker 使用 UnionFS 来存储镜像的层叠结构,每个镜像由多个只读层和一个可写层组成。
  • 数据持久化:容器在可写层中对文件的修改不会影响镜像本身,从而实现了数据的持久化。
  • 空间节省:多个容器可以共享同一份基础镜像层,节省存储空间。

4. 容器运行时(Container Runtime)

  • Docker Engine:最初,Docker 使用自己的运行时来管理和运行容器。
  • Containerd:后来,Docker 分解了运行时,引入了 containerd,它是一个容器管理系统,负责容器的生命周期管理。
  • RunC:是一个轻量级的容器运行时,专注于符合 OCI(Open Container Initiative)规范的容器执行环境。

5. 分离的进程树

  • Init 进程 :每个容器都有一个init进程(如/bin/sh/bin/bash),它是容器内所有进程的父进程。
  • PID 1:容器内的init进程通常被命名为PID 1,负责启动容器内的其他进程。

这些底层技术共同工作,确保了 Docker 容器的隔离性、资源控制和可移植性,使得 Docker 成为轻量级、可移植、一致的容器化平台。

相关推荐
大耳朵-小飞象3 小时前
智能调光4巨头争霸!轨道照明如何破局?
运维·智慧城市·智慧路灯·智能照明·楼宇智控·0-10v调光模块
sanzk3 小时前
firefly开发板ubuntu安装ros2下的micro-ROS Agent
linux·运维·ubuntu
努力进修5 小时前
Docker+cpolar 实战:打造灵活可控的远程办公系统
运维·docker·容器
其实防守也摸鱼5 小时前
运维--怎么看接口的请求和返回
运维·学习·网络安全·网络攻击模型·burpsuite·攻防对抗·蓝队
weixin_307779136 小时前
Linux下Nginx故障系统化检查Shell脚本
linux·运维·服务器·nginx·自动化
jieyucx8 小时前
Docker 入门第一阶段:建立正确认知与初体验
运维·docker·容器
2501_925963389 小时前
Hi3516CV610 + MPU6050 DMP 软件 EIS 防抖笔记
linux·运维·服务器
qetfw10 小时前
CentOS 7 基础环境配置
linux·运维·centos
jieyucx11 小时前
Docker 入门第二阶段:掌握日常命令
运维·docker·容器
随性而行36011 小时前
微信API接口与AI自动化:开发者的实现思路
运维·服务器·开发语言·人工智能·微信·自动化