云计算之k8s系列_第二回

最新推荐文章于 2024-09-09 09:40:55 发布

原创最新推荐文章于 2024-09-09 09:40:55 发布 · 561 阅读

1 ·

CC 4.0 BY-SA版权

文章标签：

#rootfs #overlay2 #devicemapper

云计算之运维之路专栏收录该内容

69 篇文章

订阅专栏

本文围绕云计算k8s系列中的rootfs展开。介绍了容器进程文件系统视图改变需伴随挂载操作，rootfs包含操作系统文件等但不包括内核。阐述了容器的‘一致性’，还讲解了docker镜像层概念、不同系统文件系统，以及rootfs分层组成。

云计算之k8s系列——rootfs

在上一回，我们了解了namespace和cgroups，我们已经知道：容器的本质是一种特殊的进程。

问题：容器里的进程看到的文件系统又是什么样子的呢？

即使开启了mount namespace，容器进程看到的文件系统也跟宿主机完全一样。只有在“挂载”这个操作发生之后，进程的视图才会被改变。而在此之前，新创建的容器会直接继承宿主机的各个挂载点。

mount namespace根其他namespace的使用略有不同的地方：它对容器进程视图的改变，一定是伴随着挂载操作才能生效。

我们可以在容器进程启动之前重新挂载它的整个“/”。而由于mount namespace的存在，这个挂载对宿主机不可见，所以容器进程就可以在里面随便折腾了。

chroot实现shell中重新挂载根目录

]# mkdir -p test1/{bin,lib,lib64}
]# cp -v /bin/bash /bin/ls test1/bin/
]# list=`ldd /bin/ls | egrep -o '/lib.*\.[0-9]'`
]# for i in $list; do cp -v $i test1$i; done
]# list=`ldd /bin/bash | egrep -o '/lib.*\.[0-9]'`
]# for i in $list; do cp -v $i test1$i; done
]# chroot test1
]# ls # 看到的是自己创建的几个目录

docker 1.13.1 在centos7.4工作目录讲解

[root@centos7 ~]# ls /var/lib/docker/
image
    docker pull 下来的镜像的配置信息会存储在该文件夹中
containers
    容器启动后，会在该文件夹下生成相应容器ID的文件夹，同时在image/overlay2/layerdb/mounts/下也会产生同名文件夹
network
    存放local-kv.db文件信息，这里是网络的一些配置信息
    [root@centos7 files]# strings local-kv.db | less # 可以查看该宿主机的docker的网络配置信息
overlay2
    因为镜像都是分层设计的，一层一层的镜像信息都会存在该文件夹里，所以，这个文件夹内容比较多，文件夹比较大
plugins
    一些docker相关的插件存放地
swarm
    docker公司的容器编排工具，后来被集成到docker项目中，便于做容器化编排管理的
tmp
trust
volumes
    docker容器挂载的一些信息

ubuntu中联合文件系统utfs

root@ubuntu:~# tree 
    .
    ├── A
    │   ├── a
    │   └── x
    ├── B
    │   ├── b
    │   └── x
    └── C
我们可以看到，目录A和目录B中有相同的文件x，有不同的文件a和b，我们可以将A和B里的文件挂载到C文件夹中
root@ubuntu:~# mount -t aufs -o dirs=./A:./B none ./C
root@ubuntu:~# ls C
    a  b  x
这时，修改C文件夹里的内容，A对应的文件会跟着一起改变，B文件夹里的内容不会跟着改变，dirs后面的路径从上往下开始分层，下面是只读层，不会改变

rootfs

需要明确的是，rootfs只是一个操作系统所包含的文件、配置和目录，并不包括操作系统内核。在linux操作系统中，这两部分是分开的，操作系统只有在开机启动时才会加载指定版本的内核镜像。

什么是容器的“一致性”？

由于rootfs里打包的不只是应用，而是整个操作系统的文件和目录，也就意味着，应用以及它运行所需要的所有依赖，都被封装在了一起。对一个应用来说，操作系统本身才是它运行所需要的完整的“依赖库”。

这种深入到操作系统级别的运行环境一致性，保证了应用在本地开发和远端执行环境的一致性。

docker在镜像的设计中，引入了层的概念。也就是说，用户制作镜像的每一步操作，都会生成一个层，也就是一个增量rootfs

由于aufs文件系统没有集成在红帽系列操作系统中，只有在ubuntu等操作系统中才有此文件系统，在centos中，安装完docker(centos中，1.12.1有devicemapper，1.13.1之后没有见到devicemapper了，改成了overlay2)，它的文件系统就被称为devicemapper文件系统，所以启动容器后，也就会分层挂载到/var/lib/docker/devicemapper/mnt目录下

当容器启动后，在对应的分层中有rootfs文件夹，该文件夹中就是完整的操作系统，容器停止后，该目录自动消失，取消挂载

rootfs分层

docker容器的rootfs分层有三部分组成：只读层(ro+wh) + init层(ro+wh) + 可读写层(rw)

wh: whiteout,当删除当前某个文件时，会创建一个隐藏文件，盖住你要删除的文件，也就是说，你删除的这个文件，在下层还是存在的，只是在当前被遮盖了而已。

init 层：以 -init结尾的层，夹在只读层和读写层之间。init是docker项目单独生成的一个内部层，专门用来存放/etc/hosts，/etc/resolv.conf等信息。

补充

docker项目支持的unionfs联合文件系统：
    AuFS：ubuntu
    devicemapper: centos
    overlayfs: ubuntu 和 centos 
    btrfs: SUSE