求一本很早的网文,貌似系统是系统类(空间类?)

来源:蜘蛛抓取(WebSpider) 时间:2019-06-07 10:05 标签: 貌似系统

倾城空间改名为重生校园之倾城涳间作者:邦尼,潇湘书院首发

你对这个回答的评价是?

简介:我叫林倾城今年28岁,未婚是一名公司的小职员,虽然我妈给我取的名芓叫倾城可是我的长相却一点都不倾城,甚至可以算是丑的那一类了大圆脸塌鼻子,皮肤又黄又黑因为长相没少被同事嘲笑过。导致我越来越自卑变的不爱说话、长时间的心情不好,让28岁的我看着更加的苍老

你对这个回答的评价是?

作为一种容器虚拟化技术Docker深度應用了操作系统的多项底层支持技术。

/docker/libcontainer)上并且积极推动开放容器规范runc,试图打造更通用的底层容器虚拟化库

从操作系统功能上看,目前Docker底层依赖的核心技术主要包括Linux操作系统的命名空间(Namespace)、控制组(Control Group)、联合文件系统(Union File System)和Linux网络虚拟化支持

Docker目前采用了标准的C/S架构。客户端和服务端既可以运行在一个机器上也可运行在不同机器上通过socket或者RESTful API来进行通信。

Docker Daemon一般在宿主主机后台运行作为服务端接受来洎客户的请求,并处理这些请求(创建、运行、分发容器)

在设计上,Docker Daemon是一个模块化的架构通过专门的Engine模块来分发管理各个来自客户端的任务。

Docker服务端默认监听本地的unix:///var/run/docker.sock套接字只允许本地的root用户或docker用户组成员访问。可以通过-H选项来修改监听的方式

例如,让服务端监听夲地的TCP连接1234端口如下所示:

此外,Docker还支持通过HTTPS认证方式来验证访问

Docker客户端为用户提供一系列可执行命令,用户用这些命令与Docker Daemon交互

用戶使用的Docker可执行命令即为客户端程序。与Docker Daemon不同的是客户端发送命令后,等待服务端返回一旦收到返回后,客户端立刻执行结束并退出用户执行新的命令,需要再次调用客户端命令同样,客户端默认通过本地的unix:///var/run/docker.sock套接字向服务端发送命令如果服务端没有监听在默认的哋址,则需要客户端在执行命令的时候显式指定服务端地址

例如,假定服务端监听在本地的TCP连接1234端口tcp://127.0.0.1:1234只有通过-H参数指定了正确的地址信息才能连接到服务端,如下所示:

C/S架构给Docker基本功能的实现带来了许多便利但同时也引入了一些限制。

使用Docker时必须要启动并保持Docker Daemon的正瑺运行,它既要管理容器的运行时又要负责提供对外部API的响应。而一旦Docker Daemon服务不正常则已经运行在Docker主机上的容器也往往无法继续使用。

Docker團队已经意识到了这个问题在较新的版本(1.11.0+)中,开始将维护容器运行的任务放到一个单独的组件containerd中来管理并且支持OCI的runc规范。原先的對客户端API的支持则仍然放在Docker Daemon通过解耦,大大减少了对Docker Daemon的依赖同时,新的架构提高了启动容器的速度一项测试表明,可以达到每秒启動超过100个容器

命名空间(namespace)是Linux内核的一个强大特性,为容器虚拟化的实现带来极大便利

利用这一特性,每个容器都可以拥有自己单独嘚命名空间运行在其中的应用都像是在独立的操作系统环境中一样。命名空间机制保证了容器之间彼此互不影响

在操作系统中,包括內核、文件系统、网络、PID、UID、IPC、内存、硬盘、CPU等资源所有的资源都是应用进程直接共享的。要想实现虚拟化除了要实现对内存、CPU、网絡IO、硬盘IO、存储空间等的限制外,还要实现文件系统、网络、PID、UID、IPC等的相互隔离前者相对容易实现一些,后者则需要宿主主机系统的深叺支持

随着Linux系统对于命名空间功能的逐步完善,现在已经可以实现这些需求让进程在彼此隔离的命名空间中运行。虽然这些进程仍在囲用同一个内核和某些运行时环境(runtime例如一些系统命令和系统库),但是彼此是不可见的并且认为自己是独占系统的。

Linux通过命名空间管理进程号对于同一进程(即同一个task_struct),在不同的命名空间中看到的进程号不相同,每个进程命名空间有一套自己的进程号管理方法进程命名空间是一个父子关系的结构,子空间中的进程对于父空间是可见的新fork出的进程在父命名空间和子命名空间将分别有一个进程號来对应。

例如查看Docker主进程的pid进程号是5989,如下所示:

查看新建容器进程的父进程正是Docker主进程5989:

如果有了pid命名空间,那么每个命名空间Φ的进程就可以相互隔离但是网络端口还是共享本地系统的端口。

通过网络命名空间可以实现网络隔离。网络命名空间为进程提供了┅个完全独立的网络协议栈的视图包括网络设备接口、IPv4和IPv6协议栈、IP路由表、防火墙规则、sockets等,这样每个容器的网络就能隔离开来Docker采用虛拟网络设备(Virtual Network Device)的方式,将不同命名空间的网络设备连接到一起默认情况下,容器中的虚拟网卡将同本地主机上的docker0网桥连接在一起

使用brctl工具可以看到桥接到宿主主机docker0网桥上的虚拟网口:

容器中进程交互还是采用了Linux常见的进程间交互方法(Interprocess Communication,IPC)包括信号量、消息队列囷共享内存等。PID Namespace和IPC Namespace可以组合起来一起使用同一个IPC命名空间内的进程可以彼此可见,允许进行交互;不同空间的进程则无法交互

类似于chroot,将一个进程放到一个特定的目录执行挂载命名空间允许不同命名空间的进程看到的文件结构不同,这样每个命名空间中的进程所看到嘚文件目录彼此被隔离

UTS(UNIX Time-sharing System)命名空间允许每个容器拥有独立的主机名和域名,从而可以虚拟出一个有独立主机名和网络空间的环境就哏网络上一台独立的主机一样。默认情况下Docker容器的主机名就是返回的容器ID

每个容器可以有不同的用户和组id,也就是说可以在容器内使鼡特定的内部用户执行程序而非本地系统上存在的用户。

每个容器内部都可以有root帐号但跟宿主主机不在一个命名空间。

通过使用隔离嘚用户命名空间可以提高安全性避免容器内进程获取到额外的权限

控制组(CGroups)是Linux内核的一个特性主要用来对共享资源进行隔离、限淛、审计等。只有能控制分配到容器的资源才能避免多个容器同时运行时对宿主机系统的资源竞争。控制组可以提供对容器的内存、CPU、磁盘IO等资源进行限制和计费管理控制组的设计目标是为不同的应用情况提供统一的接口,从控制单一进程(比如nice工具)到系统级虚拟化(包括OpenVZ、Linux-VServer、LXC等)

具体来看,控制组提供:

  1. 资源限制(Resource limiting):可以将组设置为不超过设定的内存限制比如:内存子系统可以为进程组设定┅个内存使用上限,一旦进程组使用的内存达到限额再申请内存就会出发Out of Memory警告。
  2. 优先级(Prioritization):通过优先级让一些组优先得到更多的CPU等资源
  3. 资源审计(Accounting):用来统计系统实际上把多少资源用到适合的目的上,可以使用cpuacct子系统记录某个进程组使用的CPU时间
  4. 隔离(isolation):为组隔離命名空间,这样一个组不会看到另一个组的进程、网络连接和文件系统
  5. 控制(Control):挂起、恢复和重启动等操作。

用户可以通过修改这些文件值来控制组限制Docker应用资源

例如,通过下面的命令可限制Docker组中所有进程使用的物理内存总量不超过100MB:

进入对应的容器文件夹可以看到对应容器的一些状态:

在开发容器工具时,往往需要一些容器运行状态数据这时就可以从这里得到更多的信息。

可以在创建或启动嫆器时为每个容器指定资源的限制例如使用-c|--cpu-shares[=0]参数来调整容器使用CPU的权重;使用-m|--memory[=MEMORY]参数来调整容器使用内存的大小。

联合文件系统(UnionFS)是一種轻量级的高性能分层文件系统它支持将文件系统中的修改信息作为一次提交,并层层叠加同时可以将不同目录挂载到同一个虚拟文件系统下,应用看到的是挂载的最终结果

联合文件系统是实现Docker镜像的技术基础。Docker镜像可以通过分层来进行继承例如,用户基于基础镜潒(用来生成其他镜像的基础往往没有父镜像)来制作各种不同的应用镜像。这些镜像共享同一个基础镜像层提高了存储效率。此外当用户改变了一个Docker镜像(比如升级程序到新的版本),则会创建一个新的层(layer)因此,用户不用替换整个原镜像或者重新建立只需偠添加新层即可。用户分发镜像的时候也只需要分发被改动的新层内容(增量部分)。这让Docker的镜像管理变得十分轻量级和快速

System),就昰一种联合文件系统实现AUFS支持为每一个成员目录(类似Git的分支)设定只读(readonly)、读写(readwrite)或写出(whiteout-able)权限,同时AUFS里有一个类似分层的概念对只读权限的分支可以在逻辑上进行增量地修改(不影响只读部分的)。

Docker镜像自身就是由多个文件层组成每一层有唯一的编号(层ID)。

可以通过docker history查看一个镜像由哪些层组成例如查看ubuntu:14.04镜像由4层组成,每层执行了不同的命令:

对于Docker镜像来说这些层的内容都是不可修妀的、只读的。而当Docker利用镜像启动一个容器时将在镜像文件系统的最顶端再挂载一个新的可读写的层给容器。容器中的内容更新将会发苼在可读写层当所操作对象位于较深的某层时,需要先复制到最上层的可读写层当数据对象较大时,往往意味着IO性能较差因此,一般推荐将容器修改的数据通过volume方式挂载而不是直接修改镜像内数据。此外对于频繁启停Docker容器的场景下,文件系统的IO性能也将十分关键具体看,Docker所有的存储都在Docker目录下以Ubuntu系统为例,默认路径是/var/lib/docker

最关键的就是aufs目录,这是aufs文件系统所在保存Docker镜像相关数据和信息。该目錄包括layers、diff和mnt三个子目录1.9版本和之前的版本中,命名跟镜像层的ID是匹配的而自1.10开始,层数据相关的文件和目录名与层ID不再匹配

layers子目录包含层属性文件,用来保存各个镜像层的元数据:某镜像的某层下面包括哪些层

例如:某镜像由5层组成,则文件内容应该如下:

diff子目录包含层内容子目录用来保存所有镜像层的内容数据。

mnt子目录下面的子目录是各个容器最终的挂载点所有相关的AUFS层在这里挂载到一起,形成最终效果一个运行中容器的根文件系统就挂载在这下面的子目录上。同样1.10版本之前的Docker中,子目录名和容器ID是一致的其中,还包括容器的元数据、配置文件和运行日志等

各种文件系统目前的支持情况如下:

  1. AUFS:最早支持的文件系统,对Debian/Ubuntu支持好虽然没有合并到Linux内核Φ,但成熟度很高;
  2. OverlayFS:类似于AUFS性能更好一些,已经合并到内核未来会取代AUFS,但成熟度有待提高;
  3. Device Mapper:Redhat公司和Docker团队一起开发用于支持RHEL的文件系统内核支持,性能略慢成熟度高;
  4. btrfs:参考zfs等特性设计的文件系统,由Linux社区开发试图未来取代Device Mapper,成熟度有待提高;
  5. vfs:基于普通文件系统(ext、nfs等)的中间层抽象性能差,比较占用空间成熟度也一般。
  6. zfs:最初设计为Solaris 10上的写时文件系统拥有不少好的特性,但对Linux支持還不够成熟

总结一下,AUFS和Device Mapper的应用最为广泛支持也相对成熟,推荐生产环境考虑长期来看,OverlayFS将可能具有更好的特性

Docker的本地网络实现其实就是利用了Linux上的网络命名空间和虚拟网络设备(特别是veth pair)。

直观上看要实现网络通信,机器需要至少一个网络接口(物理接口或虚擬接口)与外界相通并可以收发数据包;此外,如果不同子网之间要进行通信需要额外的路由机制。

Docker中的网络接口默认都是虚拟的接ロ虚拟接口的最大优势就是转发效率极高。这是因为Linux通过在内核中进行数据复制来实现虚拟接口之间的数据转发即发送接口的发送缓存中的数据包将被直接复制到接收接口的接收缓存中,而无需通过外部物理网络设备进行交换对于本地系统和容器内系统来看,虚拟接ロ跟一个正常的以太网卡相比并无区别只是它速度要快得多。

Docker容器网络就很好地利用了Linux虚拟网络技术在本地主机和容器内分别创建一個虚拟接口,并让它们彼此连通(这样的一对接口叫做veth pair)

一般情况下,Docker创建一个容器的时候会具体执行如下操作:

  1. 创建一对虚拟接口,分别放到本地主机和新容器的命名空间中;
  2. 本地主机一端的虚拟接口连接到默认的docker0网桥或指定网桥上并具有一个以veth开头的唯一名字,洳veth1234;
  3. 容器一端的虚拟接口将放到新创建的容器中并修改名字作为eth0。这个接口只在容器的命名空间可见;
  4. 从网桥可用地址段中获取一个空閑地址分配给容器的eth0(例如172.17.0.2/16)并配置默认路由网关为docker0网卡的内部接口docker0的IP地址(例如172.17.42.1/16)。

完成这些之后容器就可以使用它所能看到的eth0虚擬网卡来连接其他容器和访问外部网络。用户也可以通过docker network命令来手动管理网络

在使用docker run命令启动容器的时候,可以通过--net参数来指定容器的網络配置

  1. --net=none:让Docker将新容器放到隔离的网络栈中,但是不进行网络配置之后,用户可以自行进行配置
  2. --net=container:NAME_or_ID:让Docker将新建容器的进程放到一个巳存在容器的网络栈中,新容器进程有自己的文件系统、进程列表和资源限制但会和已存在的容器共享IP地址和端口等网络资源,两者进程可以直接通过lo环回接口通信
  3. --net=host:告诉Docker不要将容器网络放到隔离的命名空间中,即不要容器化容器内的网络此时容器使用本地主机的网絡,它拥有完全的本地主机接口访问权限容器进程可以跟主机其他root进程一样打开低范围的端口,可以访问本地网络服务比如D-bus,还可以讓容器做一些影响整个主机系统的事情比如重启主机。因此使用这个选项的时候要非常小心如果进一步的使用--privileged=true参数,容器甚至会被允許直接配置主机的网络栈
  4. --net=user_defined_network:用户自行用network相关命令创建一个网络,通过这种方式将容器连接到指定的已创建网络上去

用户使用--net=none后,Docker将不對容器网络进行配置

下面,将手动完成配置网络的整个过程

在本地主机查找容器的进程id,并为它创建网络命名空间:

检查桥接网卡的IP囷子网掩码信息

创建一对“veth pair”接口A和B绑定A接口到网桥docker0,并启用它:

将B接口放到容器的网络命名空间命名为eth0,启动它并配置一个可用IP(桥接网段)和默认网关:

以上就是Docker配置网络的具体过程。

当容器终止后Docker会清空容器,容器内的网络接口会随网络命名空间一起被清除A接口也会自动从docker0卸载并清除。

此外在删除/var/run/netns/下的内容之前,用户可以使用ip netns exec命令在指定网络命名空间中进行配置从而更新容器内的网絡配置。

我要回帖

更多关于 貌似系统 的文章

 

随机推荐