docker进阶与实战 2 关于容器技术-低调大师

docker进阶与实战 2 关于容器技术

2016-03-02 713

2.1 容器技术
    2.1.1 关于容器技术
        容器技术是轻量级的操作系统虚拟化.
        容器技术在linux内核原生集成.
        容器主要使用2大linux内核特性:
            Cgroup:资源控制
            NameSpace:访问隔离
            Cgroup与Namespace两种技术并不强相关,可以单独使用.同时使用时就创建了一个容器.
    2.1.2 容器技术的历史
        文件系统隔离:chroot(不安全)=>pivot_root(安全加强,目前在用)
        容器:virtuozzo=>OpenVZ=>Cgroup,NameSpace(docker让容器技术获得世界的关注)
            NameSpace:    使用3个系统调用:clone,setns,unshare
                Mount
                UTS
                IPC
                PID
                Net
                User
            Cgroup:    使用cgroupfs虚拟文件系统,标准挂载点 /sys/fs/cgroup
                cpuset
                CPU
                memory
                device
                freezer
                blkio
                net cls
                hugetlb ...
2.2 一分钟理解容器
    2.2.1 容器的组成
        容器=namespace+cgroup+rootfs+容器引擎(用户态工具)
                访问隔离+资源控制+文件系统隔离+生命周期控制
    2.2.2 容器的创建原理
         clone namespace=>cgroup=>pivot rootfs=>执行命令
2.3NameSpace
    2.3.1namespace对内核全局资源做封闭,每个namespace都有独立资源,不同进程在各自的namespace中调用同一资源互不干扰.
            NameSpace 6大组件:
                IPC:    隔离system V IPC和posix消息队列(IPC用到了标识符)
                Mount:    隔离文件系统
                UTS:    隔离主机名和域名
                PID:    隔离进程ID
                Net:    隔离网络资源
                User:    隔离用户ID和组ID

    2.3.2 namespace的接口和使用
       操作:
            clone(创建新),
            unshare(为旧进程创建新namespace),
            setns(将旧进程放入新namespace)(docker exec的实现原理就是setns)

       pid=clone(flags,...)
            (flags:CLONE_NEWNS(这个是mount namespace),CLONE_NEWIPC,CLONE_NEWPID,CLONE_NEWUSER,CLONE_NEWUTS,CLONE_NEWNET,) 新进程创建出来的子进程也使用这个namespace
        setns通过procfs(/proc/$$/ns)指定namespace信息
2.4 Cgroup(control group)
    组件:    之前只能使用ulimit对单一进程时行控制
        devices:     设备权限控制
        cpuset:      分配指定CPU和内存节点(避免进程跨节点访问CPU内存导致性能下降)
        CPU:          控制CPU占有率
        cpuacct:    统计CPU使用情况
        memory:    控制内存使用上限
        freezer:      冻结或暂停Cgroup中的进程
        net_cls:        配合tc限制网络流量
        net_prio:      设置进程网络流量优先级
        huge_tlb:    限制hugeTLBr使用.
        perf_event:        允许perf基于cgroup做性能监测
systemd默认使用cgroupfs
[root@220 ~]# ls -l /sys/fs/cgroup/
total 0
drwxr-xr-x 2 root root 0 Jan 11 18:00 blkio
lrwxrwxrwx 1 root root 11 Jan 11 18:00 cpu -> cpu,cpuacct
lrwxrwxrwx 1 root root 11 Jan 11 18:00 cpuacct -> cpu,cpuacct
drwxr-xr-x 2 root root 0 Jan 11 18:00 cpu,cpuacct
drwxr-xr-x 2 root root 0 Jan 11 18:00 cpuset
drwxr-xr-x 4 root root 0 Jan 11 18:00 devices
drwxr-xr-x 2 root root 0 Jan 11 18:00 freezer
drwxr-xr-x 2 root root 0 Jan 11 18:00 hugetlb
drwxr-xr-x 2 root root 0 Jan 11 18:00 memory
drwxr-xr-x 2 root root 0 Jan 11 18:00 net_cls
drwxr-xr-x 2 root root 0 Jan 11 18:00 perf_event
drwxr-xr-x 4 root root 0 Jan 11 18:00 systemd

直接操作namespace,cgroup还是有点难的,但docker通过libcontainer很容易搞定这些复杂的操作
2.5容器造就docker
    容器是docker核心技术之一.
    微服务(micro service)设计哲学.

微信关注我们

原文链接：https://yq.aliyun.com/articles/683812

转载内容版权归作者及来源网站所有！

低调大师中文资讯倾力打造互联网数据资讯、行业资源、电子商务、移动互联网、网络营销平台。持续更新报道IT业界、互联网、市场资讯、驱动更新,是最及时权威的产业资讯及硬件资讯报道平台。

Docker推出了Docker云，给大家介绍下哈！

Docker推出了Docker云，给大家介绍下哈！收到了Docker官网的邮件邀请，他们推出了Docker云：https://cloud.docker.com 账号信息栏目下有：云提供商：目前支持AWS，Digital Ocean，Microsoft Azure，SoftLayer,Packet. 代码提供商：目前支持GitHub API键:用来首选Docker云平台的API 修改密码，修改邮件地址，通知，计划，账单，核，兑换优惠码 Stacks服务怎么用？请参考：https://docs.docker.com/docker-cloud/feature-reference/stack-yaml-reference/ 服务各种Docker云服务：数据库：Mongo，Postgres，mariadb和mysql 缓存服务器：Redis，Memcached 分析：elasticsearch 消息队列：rabbitmq 应用程序服务器：tomcat，glassfish 代理：dockercloud/haproxy CMS：wordpress 其他杂项：dockercloud/hell...

2016-03-01

643

KVM 是 OpenStack 使用最广泛的 Hypervisor，本节介绍如何搭建 KVM 实验环境安装 KVM 上一节说了，KVM 是 2 型虚拟化，是运行在操作系统之上的，所以我们先要装一个 Linux。Ubuntu、Redhat、CentOS 都可以，这里我们以 Ubuntu14.04 为例。基本的 Ubuntu 操作系统装好之后，安装 KVM 需要的包 $ sudo apt-get install qemu-kvm qemu-system libvirt-bin virt-manager bridge-utils vlan 通过这些安装包我们顺便复习一下上一节介绍的 KVM 的相关知识。 qemu-kvm 和 qemu-system 是 KVM 和 QEMU 的核心包，提供 CPU、内存和 IO 虚拟化功能 libvirt-bin 就是 libvirt，用于管理 KVM 等 Hypervisor virt-manager 是 KVM 图形化管理工具 bridge-utils 和 vlan，主要是网络虚拟化需要，KVM 网络虚拟化的实现是基于 linux-bridge 和 ...

2016-03-03

613

资源下载

更多资源

Mario

马里奥是站在游戏界顶峰的超人气多面角色。马里奥靠吃蘑菇成长，特征是大鼻子、头戴帽子、身穿背带裤，还留着胡子。与他的双胞胎兄弟路易基一起，长年担任任天堂的招牌角色。

腾讯云软件源

为解决软件依赖安装时官方源访问速度慢的问题，腾讯云为一些软件搭建了缓存服务。您可以通过使用腾讯云软件源站来提升依赖包的安装速度。为了方便用户自由搭建服务架构，目前腾讯云软件源站支持公网访问和内网访问。

Rocky Linux

Rocky Linux（中文名：洛基）是由Gregory Kurtzer于2020年12月发起的企业级Linux发行版，作为CentOS稳定版停止维护后与RHEL（Red Hat Enterprise Linux）完全兼容的开源替代方案，由社区拥有并管理，支持x86_64、aarch64等架构。其通过重新编译RHEL源代码提供长期稳定性，采用模块化包装和SELinux安全架构，默认包含GNOME桌面环境及XFS文件系统，支持十年生命周期更新。

WebStorm

WebStorm 是jetbrains公司旗下一款JavaScript 开发工具。目前已经被广大中国JS开发者誉为“Web前端开发神器”、“最强大的HTML5编辑器”、“最智能的JavaScript IDE”等。与IntelliJ IDEA同源，继承了IntelliJ IDEA强大的JS部分的功能。