docker原理

原创 已于 2022-02-14 16:15:25 修改 · 490 阅读 · 0 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#docker #linux #运维

于 2022-02-14 15:56:31 首次发布
Docker利用Linux的Namespace实现进程、网络等隔离,并通过Cgroup限制资源使用,确保容器间的资源公平。每个Docker容器内部都有一个pid=1的进程,与宿主机进程隔离。此外,UnionFS使容器拥有独立文件系统,实现轻量级虚拟化。Docker0虚拟网桥处理容器间的网络通信,通过Cgroup控制资源如CPU、内存等的使用。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

Docker是使用LXC来实现(LXC为Linux Container的简写:可以提供轻量级的虚拟化,以便隔离进程和资源,LXC将linux进程沙箱化,使得进程之间相互隔离),因为|Docker使用LXC来实现,所以Docker其实就是利用Linux中的核心分离机制Cgroups和Namespace来创建独立的容器,Docker就是利用Namespace做资源隔离(进程、网络、挂载点、进程间通信等隔离),用Cgroup做资源的限制(cpu、内存、磁盘io和网络宽带隔离),利用Union FS做容器文件系统的轻量级虚拟化技术,docker其实就是个进程,是个轻量级的虚拟化技术,所以了解docker原理就要先理解Linux的namespace和cgroup。

1.namespace(命名空间)

    1).namespace 是Linux 提供的一种内核级别环境隔离的方法,用于分离进程、网络、挂载点等隔离。 Docker 其实就通过 Linux 的 Namespaces 对不同的容器实现了隔离。
    2).在centos中执行ps -ef会看到pid为1和2的两个进程,1进程进行内核初始化和系统配置工作,2进程负责管理和调度其他内核进程。
在这里插入图片描述

    3).当执行docker run命令的时候其实就是在setNamespaces中通过clone命令创建一个命名空间 Spec用于进程隔离,同时也会创建其他用户名、网络等命名空间。
在这里插入图片描述
    进入docker后通过ps -ef 看到了pid=1的进程,每个docker容器中都有pid=1的进程,它与宿主机的进程进行隔离
    4).在docker服务器在启动后都会创建虚拟网桥docker0(默认是网桥模式),docker0用于本服务器所有docker容器的网络通讯工作。在执行docker run命令,启动容器后,会创建两个虚拟网卡,一个放在本容器,一个放在docker0。docker0为每个容器分配一个ip地址,当有请求过来后,所有请求都会通过iptables通过docker0路由到对应的容器。

2.Cgroup

    1).namespace实现了进程的隔离,但是对于CPU、内存、磁盘 I/O 和网络带宽等还是各个容器进行共享的,这样会导致各个容器相互争夺资源、性能受到限制。Cgroups( Control Groups)实现了资源控制Cgroups,最主要的作用是限制一个进程组能够使用的资源上限,比如CPU、内存、磁盘io和宽带等。
    2).当docker容器启动后,系统会为docker创建一个标识相同的Cgroup,此Cgroup和宿主机是上下级关系。在此Cgroup中会对资源做限制。
在这里插入图片描述

3.UnionFS(文件系统)

    1).docker容器里有一套自己的文件系统,和宿主机的文件系统是隔离的(可以通过-V进行挂载)。UnionFS可以将将容器镜像里面的多层文件内容融合到统一的rootfs(根文件系统),在容器内部可以在根目录一层一层查看这些文件内容。
在这里插入图片描述

姚大大旺
关注
Docker原理及常见命令
克里斯蒂亚诺
11-15 985
一、docker简介 1、Docker namespace 2、Docker CGroups 3、Docker UnionFS 4、AUFS 5、Docker 镜像分层机制 一、Docker常见命令 1、帮助命令 2、镜像命令 3、容器命令 二、数据卷 1、匿名挂载 2、具名挂载 3、指定路径挂载 三、Dockerfile 1、指令 2、制作镜像的过程 四、Docker网络 1、网络模式 2、查看网络 3、自定义网络
Docker 底层实现
jeikerxiao
11-29 1995
简介Docker 底层的核心技术包括 Linux 上的命名空间(Namespaces) 控制组(Control groups) Union 文件系统(Union file systems) 容器格式(Container format) 我们知道,传统的虚拟机通过在宿主主机中运行 hypervisor 来模拟一整套完整的硬件环境提 供给虚拟机的操作系统。虚拟机系统看到的环境是可限制的,也是彼此隔离的
Docker 原理剖析(一)隔离
Geffin的博客
12-17 821
文章目录引子手段测试原理 引子 我们之前说过,容器是一种沙盒技术,通俗地说,容器可以像一个集装箱一样把我们的应用装起来。这样,应用与应用之间便有了边界,不会互相干扰,被放进集装箱的应用也可以被我们搬来搬去,完美!那么,你可知道这功能是如何实现的呢?今天,我们便来聊聊边界的实现手段。 手段 我们先下结论,容器技术的核心功能,就是通过约束和修改进程的动态表现,从而为其创造出一个边界。 对于一个进程来说,它的静态表现就是程序,平时就呆在磁盘上。当它运行起来了,就变成了计算机里的数据和状态的总和,包括计算机内存中的
docker 基本原理
firefly
01-28 632
优势 快速移植 不需要手动安装依赖 比如Java需要jvm的依赖 开发和生产环境保持一致 资源隔离 保持机器整洁 避免一个程序修改的环境变量等影响其他程序 减少因为端口等资源冲突导致的错误 安全 避免恶意程序影响其与程序 限制程序的资源占用(CPU,内存),避免物理机崩溃 缺陷 容器只能使用宿主机的kernel,且不能修改 如果某一应用只能依赖特定的kerne...
Docker基本原理简介
wangdw1982的博客
09-21 337
Docker是什么呢? Docker是一个进程,这个进程把他所依赖的东西统统打包在一起,然后运行起来。在 The Twelve-Factor App中,docker的做法是好多原则的印证与实践。例如下面加粗的部分: 一份基准代码,多分部署 显示声明依赖、配置; 在环境中存储配置 把后端服务当做附加资源 严格分离构建和运行 以一个或多个无状态...
深入解读Docker核心原理:Namespace资源隔离机制详解
qq_39241682的博客
09-09 2258
Linux操作系统中,namespace是用于隔离系统资源的一种机制。通过namespace,每个进程可以拥有独立的资源视图,不会与其他进程共享,类似于一种“容器化”的资源管理方式。每种namespace负责隔离特定的系统资源,包括进程ID、网络、挂载点、用户ID等。对于Docker容器而言,namespace是实现资源隔离的基础技术。每个容器都会有自己独立的namespace,确保不同容器之间不会共享敏感资源,提升安全性和稳定性。
【k8s】理解Docker容器的进程管理(PID1进程(容器内kill命令无法杀死)、进程信号处理、僵尸进程)
热门推荐
m0_45406092的博客
07-23 1万+
文章目录概述1. 容器的PID namespace(名空间)2. 如何指明容器PID1进程3. 进程信号处理4. 孤儿进程与僵尸进程管理5. 进程监控总结参考 概述 简介: Docker在进程管理上有一些特殊之处,本文会分析Docker进程管理的技术细节,并介绍一些常见问题的解决方法和注意事项。 Docker在进程管理上有一些特殊之处,如果不注意这些细节中的魔鬼就会带来一些隐患。另外Docker鼓励“一个容器一个进程(one process per container)”的方式。这种方式非常适合以单进程
docker原理.pptx
05-20
PPT内容为三部分—— what is Docker Docker Architecture Docker Installation
Docker in Docker原理与实战
05-11
一、Docker in Docker原理 Docker in Docker是通过以下几个关键步骤实现的: 1. 初始化外部Docker守护进程 在容器内部初始化一个外部Docker守护进程。这可以通过设置环境变量`DOCKER_HOST`来实现,将其指向外部...
docker原理及应用场景
09-24
Docker的工作原理主要基于容器化技术,该技术能够将应用程序及其运行环境打包成一个轻量级的容器。与传统的虚拟机相比,容器化的应用因为共享操作系统内核而更加轻便和高效。 Docker的容器化技术涉及到几个核心概念...
Docker (容器) 的原理详解(--超详细--)
zhuoweichen1的专栏
07-27 5787
使用 Linux 的 overlayfs, overlay file system 做到,将两个 file system merge 在一起,下层的文件系统只读,上层的文件系统可写。
Docker与Kubernetes系列(五): Docker原理1_Linux Namespace
沈鸿斌的博客
02-22 2825
这段时间工作中用到了Docker以及Kubernetes(简称K8S),现在整理下我学习Docker以及K8S过程中看的一些比较好的资料,方便自己回顾,也希望能给容器小白一些帮助。给自己定一个小目标,二月底之前完成。 这是本系列的第五篇文章, 将介绍Docker的原理之Namespace。 Docker容器本质上是宿主机上的进程。Docker 通过namespace实现了资源
Docker原理,详细
qq_20282955的博客
02-12 2822
一、概述 1.1 基本概念 Docker 可以让开发者打包他们的应用以及依赖包到一个轻量级、可移植的容器中,然后发布到任何流行的 Linux 机器上,也可以实现虚拟化。 容器是完全使用沙箱机制,相互之间不会有任何接口(类似 iPhone 的 app),更重要的是容器性能开销极低。 1.2 优势 简化程序:Docker 让开发者可以打包他们的应用以及依赖包到一个可移植的容器中,然后发布到任何流行的 ...
走进docker的世界之docker的运行实现原理
qq_45734057的博客
10-15 609
Namespace 资源隔离 CGroup 资源限制 Docker的存储驱动 镜像分层存储 UnionFS
docker与k8s深层理解(1)
m493096871的博客
05-28 2086
namespace技术,是的docker创建的100号进程里面,认为自己这个100号进程为pid=1 左图为虚拟机,右图为docker 名为 Hypervisor 的软件是虚拟机最主要的部 分。它通过硬件虚拟化功能,模拟出了运行一个操作系统需要的各种硬件,比如 CPU、内存、 I/O 设备等等。然后,它在这些虚拟的硬件上安装了一个新的操作系统,即 Guest OS。 而这幅图的右边,则用...
(译)Docker 中的 PID-1、孤儿、僵尸和信号
云原生实验室
12-14 1572
使用 Docker 的时候,在多进程、信号方面会有一些边缘用例。在 Phusion 博客上有一篇相关文章,后续内容中会尝试接触这些问题,并使用 fpco/pid1 解决问题。Phusio...
Docker核心技术以及实现原理
Vincent's tech blog
08-20 9109
Docker的出现,为后端开发和运维提供了虚拟化技术,优雅地解决了开发环境和生产环境不一致的问题。本文总结了下Docker使用的核心技术和工作机理,为了往后能够学习地更透彻。 Namespaces 命名空间可以有效地帮助Docker分离进程树、网络接口、挂载点以及进程间通信等资源。Linux 的命名空间机制提供了以下七种不同的命名空间,包括 CLONE_NEWCGROUP、CL...
docker 原理
最新发布
04-02
<think>好的,用户想深入了解Docker的工作原理,特别是容器化技术的实现。首先,我需要整理Docker的核心组件和它们之间的协作方式。根据引用[4],Docker引擎是核心,负责管理镜像、容器、网络等。应该先解释Docker引擎的架构,包括守护进程、REST API和CLI。 接下来是容器运行时,比如containerd和runc。需要说明它们如何与Docker引擎交互,runc如何根据OCI标准创建容器。这部分可能涉及到Linux命名空间和控制组(cgroups),用来实现资源隔离和管理,引用[4]提到了隔离性,这里需要详细展开。 然后是镜像的分层存储结构,引用[3]提到Dockerfile构建镜像的过程,可以解释分层存储的好处,比如每一层只读,通过联合文件系统(如OverlayFS)合并成容器可写的顶层。这样能提高效率和节省空间。 网络模型部分,引用[4]和引用[2]中的docker network相关命令,可能需要说明Docker的网络驱动,如bridge、host、none等,以及容器之间如何通信。 存储驱动方面,引用[4]提到存储驱动解析,需要简要说明不同的存储驱动如何管理镜像层和容器数据。 用户还要求生成相关问题,可能需要围绕Docker组件、隔离机制、镜像构建、网络模型、存储优化等方面提问,确保覆盖用户可能感兴趣的扩展知识点。同时,要确保所有技术细节准确,引用正确的参考文献,比如在讲镜像构建时引用[3],在讲引擎时引用[4]等。 最后检查是否符合系统指令:行内公式用$...$,独立公式用$$...$$,但在这个问题中可能涉及较少数学公式,更多是技术术语。确保使用中文,结构清晰,问题相关且覆盖主要知识点。</think>### Docker 工作原理深入解析 #### 一、核心组件与架构 Docker 的核心架构由三个关键组件构成: 1. **Docker 守护进程 (Docker Daemon)** 负责管理镜像、容器、网络和存储的核心服务,通过 REST API 接收指令[^4]。 2. **容器运行时 (Container Runtime)** 例如 `containerd` 和 `runc`,`runc` 基于 OCI (开放容器倡议) 标准创建容器进程[^4]。 3. **客户端 (Docker CLI)** 用户通过命令行工具发送指令,例如 `docker run` 会触发守护进程创建容器[^2]。 #### 二、容器化技术实现 1. **Linux 命名空间 (Namespaces)** 提供资源隔离,包括: - **PID 命名空间**:隔离进程视图(容器内首个进程 PID=1) - **Network 命名空间**:独立网络栈(每个容器有虚拟网卡) - **Mount 命名空间**:隔离文件系统挂载点 2. **控制组 (cgroups)** 限制容器资源使用,例如: - 内存限制:`cgroup/memory/memory.limit_in_bytes` - CPU 配额:`cgroup/cpu/cpu.cfs_quota_us` 3. **联合文件系统 (UnionFS)** 镜像分层存储的底层支持,例如 OverlayFS 的结构: ``` UpperDir (可写层) LowerDir (只读镜像层) MergedDir (最终视图) ``` #### 三、关键流程解析 1. **镜像构建与分发** - 通过 `docker build` 执行 Dockerfile 指令,每一条命令生成一个只读层[^3] - 镜像推送至仓库时,仅传输新增层(哈希值匹配的层可复用) 2. **容器启动流程** ```mermaid graph TD A[docker run] --> B(检查本地镜像) B -->|不存在| C[从仓库拉取镜像[^2]] B -->|存在| D[创建可写层] D --> E[runc 创建命名空间和 cgroups] E --> F[启动容器进程] ``` 3. **网络通信模型** - **Bridge 模式**:默认创建虚拟网桥 `docker0`,容器通过 veth pair 连接 - 数据包转发通过 iptables 规则实现,例如端口映射: ```bash iptables -t nat -A DOCKER -p tcp --dport 80 -j DNAT --to-destination 172.17.0.2:80 ``` #### 四、优势与性能对比 与虚拟机的差异体现在: | 特性 | Docker 容器 | 虚拟机 | |---------------------|---------------------|----------------------| | 启动速度 | 毫秒级 | 分钟级 | | 资源占用 | 共享内核,占用低 | 独立内核,占用高 | | 隔离性 | 进程级别 | 硬件级别 | | 性能损耗 | <5% | 15%-20% | (数据参考 IBM 对比研究[^1])
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值