Docker基础

原创 已于 2023-07-17 11:53:58 修改 · 228 阅读 · 0 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#docker #容器 #运维

于 2023-07-11 10:47:56 首次发布
本文介绍了Docker的基础知识,包括Namespace的MNT、IPC、UTS、PID、Net和User等类型在容器中的作用,以及Cgroups用于限制容器资源的原理。此外,还探讨了容器编排工具如Kubernetes和Docker Swarm,以及容器依赖技术如网络、服务发现、监控和数据管理。最后,讲解了如何基于Dockerfile制作Nginx镜像。
部署运行你感兴趣的模型镜像

目录

1. Namespace、Cgroups在容器中的作用

- Namespace

namespace 是Linux系统的底层概念,在内核层实现,各个docker容器运行在宿主机的用户空间,每个容器都要有类似于虚拟机的一样的相互隔离的运行空间,目前主要通过以下技术实现 容器运行空间的相互隔离

隔离类型功能
MNT Namespace提供磁盘挂载点和文件系统的隔离能力
IPC Namespace提供进程间通信的隔离能力
UTS Namespace提供主机名隔离能力
PID Namespace提供进程隔离能力
Net Namespace提供网络隔离能力
User Namespace提供用户隔离能力
MNT Namesapce

每个容器都要有 独立的根文件系统独立的用户空间,以实现在容器里面启动服务并且使用容器的运行环境,即一个 ubuntu环境 宿主机可以创建一个 centos环境 容器并运行 nginx服务。

在容器里面是不能访问宿主机的资源,宿主机是使用了 chroot 技术把容器锁定到一个指定的运行目录中

IPC Namespace

一个容器内的进程间通信,允许一个容器内的不同进程的(内存、缓存等)数据访问,但是 不能跨容器 访问其他容器的数据。

UTS Namespace

包含 hostname 和 域名domainname,它使得一个容器拥有属于自己 hostname 标识,这个主机名标识独立于宿主机系统和其上的其他容器。

PID Namespace

在每个容器内有一个父进程来管理其下属的子进程,那么多个容器的进程通过 PID namespace 进程隔离(比如 PID 编号重复、容器内主进程生成与回收子进程等)。

Net Namespace

每一个容器都类似于虚拟机一样有自己的网卡、监听端口、TCP/IP 协议栈等。

Docker 使用 network namespace 启动一个 vethX 接口,这样你的容器将拥有它自己的桥接 ip 地址,通常是 docker0,而 docker0 实质就是 Linux 的虚拟网桥(网桥是在 OSI 七层模型的数据链路层的网络设备,通过 mac 地址对网络进行划分,并且在不同网络之间传递数据。)

User Namespace

User Namespace 允许在各个宿主机的各个容器空间内创建相同的用户名以及相同的用户 UID 和 GID,只是会把用户的作用范围限制在每个容器内

- Cgroups(Linux control groups)

在一个容器,如果不对其做任何资源限制,则宿主机会允许其占用无限大的内存空间,有时候会因为代码 bug 程序会一直申请内存,直到把宿主机内存占完。为了避免此类的问题出现,宿主机有必要对容器进行资源分配限制,比如CPU、内存等

Linux Cgroups 的全称是 Linux Control Groups,它最主要的作用就是 限制一个进程组能够使用的资源上限 ,包括 CPU、内存、磁盘、网络带宽等等。此外,还能够对进程进行优先级设置,以及将进程挂起和恢复等操作。

k8s 1.24版本后 开始启用 systemd 替代 cgroup,于 /etc/docker/daemon.json 中改:“exec-opts”: [“native.cgroupdriver=systemd”]

2. 容器编排工具和容器依赖技术(docker)

- 编排工具

容器编排:通常包括容器管理、调度、集群定义和服务发现等功能。

容器编排引擎(工具):实现对容器的统一管理、动态伸缩、故障自愈、批量执行等功能。

现在主流的编排工具为:Kubernetes(k8s)、docker swam(不怎么用了)

- 依赖技术

容器网络

docker 自带的网络 docker network 仅支持管理单机上的容器网络,多主机运行时需要使用第三方开源网络,例如 calico、flannel 等。

服务发现

容器的动态扩容特性决定了容器 IP 也会随之变化,因此需要有一种机制开源自动识别并将用户请求动态转发到新创建的容器上,kubernetes 自带服务发现功能,需要结合 kube-dns 服务解析内部域名。

容器监控

可以通过原生命令 docker ps/top/stats 查看容器运行状态,另外也可以使用 heapster/ Prometheus 等第三方监控工具监控容器的运行状态。

数据管理

容器的动态迁移会导致其在不同的 Host 之间迁移,因此如何保证与容器相关的数据也能随之迁移或随时访问,可以使用 逻辑卷/存储挂载 等方式解决。

日志收集

docker 原生的日志查看工具 docker logs,但是容器内部的日志需要通过 ELK/EFK 等专门的日志收集分析和展示工具进行处理。

3. 基于Dockerfile制作的nginx镜像

背景:已安装harbor

1)centos基础镜像:安装基础环境和依赖包,确保时区正确

root@k8s-master:/opt/k8s_data/dockerfile/system/centos# ll
total 11644
drwxr-xr-x 2 root root     4096 Jul 11 02:35 ./
drwxr-xr-x 3 root root     4096 Jul 12  2022 ../
-rwxr-xr-x 1 root root      146 Jul  4 08:35 build-command.sh*
-rw-r--r-- 1 root root      602 Jul  4 08:32 Dockerfile

vim Dockerfile

#制作基础镜像,centos:v7.9是基于官方centos 7.9镜像更改tag并上传到Harbor服务器的最原始官方镜像
FROM 192.168.37.106/baseimages/centos:v7.9.2009

MAINTAINER www@hotmai.com

RUN  yum install -y vim wget tree  pcre pcre-devel gcc gcc-c++  zlib zlib-devel openssl openssl-devel net-tools iotop unzip zip iproute ntpdate nfs-utils tcpdump telnet traceroute
RUN rm -rf /etc/localtime && ln -snf /usr/share/zoneinfo/Asia/Shanghai /etc/localtime

执行镜像构建

vim build-command.sh 

#!/bin/bash
docker build -t 192.168.37.106/baseimages/centos-base:v7.9.2009 .
sleep 1
docker push 192.168.37.106/baseimages/centos-base:v7.9.2009

root@k8s-master:/opt/k8s_data/dockerfile/system/centos# bash build-command.sh

2)nginx基础镜像

root@k8s-master:/opt/k8s_data/dockerfile/pub-images/nginx-base# ll
total 1008
drwxr-xr-x 2 root root    4096 Jul 11 02:36 ./
drwxr-xr-x 5 root root    4096 Jul 12  2022 ../
-rwxr-xr-x 1 root root     160 Jul  4 08:51 build-command.sh*
-rw-r--r-- 1 root root     475 Jul  4 08:42 Dockerfile
-rw-r--r-- 1 root root 1015384 Jul 12  2022 nginx-1.14.2.tar.gz


vim Dockerfile

#Nginx Base Image
FROM 192.168.37.106/baseimages/centos-base:v7.9.2009

MAINTAINER  www@hotmail.com

RUN yum install -y vim wget tree  lrzsz gcc gcc-c++ automake pcre pcre-devel zlib zlib-devel openssl openssl-devel iproute net-tools iotop
ADD nginx-1.14.2.tar.gz /usr/local/src/
RUN cd /usr/local/src/nginx-1.14.2 && ./configure  && make && make install && ln -sv  /usr/local/nginx/sbin/nginx /usr/sbin/nginx && useradd nginx -u 2001 &&rm -rf /usr/local/src/nginx-1.14.2.tar.gz

执行镜像构建

vim build-command.sh

#!/bin/bash
docker build -t 192.168.37.106/pub-images/nginx-base:v1.14.2  .
sleep 1
docker push  192.168.37.106/pub-images/nginx-base:v1.14.2

root@k8s-master:/opt/k8s_data/dockerfile/pub-images/nginx-base# bash build-command.sh

您可能感兴趣的与本文相关的镜像

ACE-Step

ACE-Step

音乐合成
ACE-Step

ACE-Step是由中国团队阶跃星辰(StepFun)与ACE Studio联手打造的开源音乐生成模型。 它拥有3.5B参数量,支持快速高质量生成、强可控性和易于拓展的特点。 最厉害的是,它可以生成多种语言的歌曲,包括但不限于中文、英文、日文等19种语言

JJJosh
关注
Docker学习四:资源隔离——Namespace
weixin_41402069的博客
07-20 2522
Docker学习系列
精选资源
aspnet:5.0 Docker基础镜像-alpine Dockerfile文件
10-21
aspnet:5.0 构建Docker基础镜像-alpine Dockerfile文件 解决生成图片 二维码 PDF等问题 适用于.net项目Docker容器化部署
Docker中使用userns-remap做用户命名空间
zyy247796143的博客
03-05 5654
使用普通用户启动Docker服务(基础) 使用普通用户运行docker容器docker中,在容器内创建的文件在从主机检查时往往具有不可预测的所有权。默认情况下,卷上文件的所有者是root(uid 0),但只要非root用户帐户涉及容器并写入文件系统,所有者就会从主机角度变得或多或少随机 。 您需要使用调用docker命令的同一用户帐户从主机访问卷数据时,这是一个问题. 典型的解决方法是 在Dockerfiles中创建时强制用户uID(非可移植) 将主机用户的UID作为环境变量传递给docker run命
Docker】资源隔离(五):User namespaces
Code · Cloud · Think · Repeat
10-15 969
user namespace 主要隔离了安全相关的标识符(identifier)和属性(attribute),包括用户 ID、用户组 ID、root 目录、key(指密钥)以及特殊权限。通俗地讲,一个普通用户的进程通过 clone() 创建的新进程在新 user namespace 中可以拥有不同的用户和用户组。这意味着一个进程在容器外属于一个没有特权的普通用户,但是它创建的容器进程却属于拥有所有权限的超级用户,这个技术为容器提供了极大的自由。
dockeruser namespace功能
weixin_33728268的博客
04-25 2262
dockeruser namespace功能: 默认情况下:容器默认是以root账号进入的,即使指定默认账号,用户也可以通过--user 0来切到root账号,容器里的root和宿主机的root是同一性质,-v挂载宿主机任意目录后,可通过容器里的root账号对宿主机数据进行破坏,风险很大 user namespace功能可以规避这一问题,user namespace可以让容器有一个“假”的roo...
Docker 背后的内核知识——Namespace 资源隔离
eydwyz的专栏
02-02 844
Docker 背后的内核知识——Namespace 资源隔离 Docker 这么火,喜欢技术的朋友可能也会想,如果要自己实现一个资源隔离的容器,应该从哪些方面下手呢?也许你第一反应可能就是 chroot 命令,这条命令给用户最直观的感觉就是使用后根目录 / 的挂载点切换了,即文件系统被隔离了。然后,为了在分布式的环境下进行通信和定位,容器必然需要一个独立的 IP、端口、路由等等,自然就想到了网络的隔离。同时,你的容器还需要一个独立的主机名以便在网络中标识自己。想到网络,顺其自然就想到通信,也就想到了进程间
精选资源
Docker基础入门到实战.zip
03-26
Docker基础入门到实战 01.Docker基本概念和框架 02.Docker的安装和部署 03.Docker容器 04.Docker镜像与仓库(一) 05.Docker客户端和守护进程 06.Docker镜像与仓库(二) 07.Docker容器的网络连接 08.Docker容器的...
02 Docker基础02 Docker基础
10-10
02 Docker基础02 Docker基础02 Docker基础02 Docker基础02 Docker基础02 Docker基础02 Docker基础02 Docker基础02 Docker基础02 Docker基础02 Docker基础02 Docker基础02 Docker基础02 Docker基础02 Docker基础02 ...
DockerDocker基础入门
07-29
资源包含了详细的操作指南和深入的技术解析,涵盖了从 Docker 安装、基础命令的使用,到容器的管理与操作,以及镜像的创建与分发等全方位的内容。 为了方便不同需求的读者,我们提供了两种格式的资源:Markdown ...
ubuntu 18.04 的docker基础镜像
11-06
镜像大小仅26M,包含完整的ubuntu18.04.1基础系统,可以通过apt-get命令更新和安装其他软件包,使用docker load -i ubuntu_18.04-image.tar.gz 来加载镜像
Docker基础Docker核心概念:命名空间(Namespace)之User详解
最新发布
IT成长日记的博客
06-17 1171
Docker的底层实现中,Linux命名空间(Namespace)技术为容器提供了资源隔离的基础,使得多个容器可以在同一宿主机上独立运行,互不干扰。其中,User命名空间作为实现容器安全隔离的关键组件,通过用户ID的映射机制,极大地增强了容器的安全性。User命名空间通过映射容器内的用户和组ID到宿主机上的用户和组ID来实现隔离,这种映射关系在创建User命名空间时定义,并可以在容器启动时通过特定的配置选项来指定。Linux 内核提供了多种类型的命名空间,每种命名空间负责隔离不同类型的资源。
docker namespaces
weixin_34310785的博客
12-05 327
https://docs.docker.com/engine/security/userns-remap/#prerequisites 注:以下验证环境为centos7.5 docker18.09.0 Usernamespaces 使用user namespaces可以防止容器权限过大造成的风险,user namespaces主要涉及用户和组。在unix系统中,用户和组可以决定文...
Docker基础Docker核心概念:命名空间(Namespace)详解
IT成长日记的博客
06-13 1641
在传统的Linux系统中,所有进程共享相同的全局资源(如进程ID、网络接口、文件系统挂载点等),这种设计会导致。,使得每个容器拥有独立的系统视图,仿佛运行在单独的Linux主机上。Namespace是Linux内核的一项功能,用于。每个容器拥有独立的网络栈(如docker0)容器内进程无法看到宿主机或其他容器的进程。隔离进程间通信(如信号量、共享内存)容器内可以映射不同的UID/GID。,涵盖PID、网络、文件系统等。容器内只能看到自己的文件系统。Docker中的应用场景。隔离网络设备、IP、端口。
Docker】资源隔离(一):进行 namespace API 操作的 4 种方式
Code · Cloud · Think · Repeat
10-11 1764
当谈论 Docker 时,常常会聊到 Docker 的实现方式。很多开发者都知道,Docker 容器本质上是宿主机上的进程(容器所在的运行环境统一称为宿主机)。Docker 通过 namespace 实现了资源隔离,通过 cgroups 实现了资源限制,通过写时复制机制(copy-on-write)实现了高效的文件操作。但当更进一步深入 namespace 和 cgroups 等技术细节时,大部分开发者都会感到茫然无措。
Docker 实战:Docker的名字空间
qq_33240556的博客
03-17 488
Docker 在实现容器化技术时,大量利用了 Linux 内核的名字空间(Namespace)机制来提供资源隔离。名字空间是内核的一个特性,它使得不同进程可以拥有独立的全局资源视图,从而模拟出多个独立运行环境。通过这些名字空间技术,Docker 容器可以在同一台宿主机上运行并保持高度隔离,仿佛它们是在各自独立的操作系统实例中运行一样。这对于构建安全、高效的多租户环境和微服务架构至关重要。
Docker 学习笔记12 容器技术原理 User Namespace
猿来这样-谢厂节的博客
06-16 1040
User Namespace一、User Namespace二、演示映射user ID和group IDuser namespace的 owner三、clone实现 一、User Namespace user namespace和权限息息相关,事关容器的安全。 user namespace可以嵌套,内核控制最多32层。除了系统默认的user namespace外,所有的user namespace都有一个父user namespace。 当在一个进程中调用unshare或clone创建新的user nam
《自己动手写Docker》学习笔记2
huahua66123的博客
04-17 339
《自己动手写Docker》学习笔记2 1 前言 由于本人毕业设计与云原生领域相关,因此最近在学习Docker相关知识,《自己动手写Docker》涵盖了Docker底层的各类知识,还提供了各类实验及代码Demo,是入门云原生的不错之书。本文主要是记录本人的实验过程以及一些总结感悟。 本文所涉及的实验环境: Vmware Workstation 16 搭建Ubuntu20.04环境 Linux内核为5.10.x Go版本1.17.1 2 第二章 基础技术 2.1 Linux Namespace Linux Na
docker容器内调用宿主机docker执行
一直在水些技术小文
08-14 3340
或者把挂载的参数改为: -v $(which docker):/usr/bin/docker。#ubuntu位置/usr/lib/x86_64-linux-gnu/libltdl.so.7。#容器中library的默认目录是 /usr/lib/x86_64-linux-gnu/#以root的身份去运行镜像(避免在容器中调用Docker命令没有权限)#centos7位置/usr/lib64/libltdl.so.7。#libltdl.so.7是Docker命令执行所依赖的函数库。...
Linux Namespace系列(08):user namespace (CLONE_NEWUSER) (第二部分)
weixin_34088583的博客
09-15 489
本篇将主要介绍user namespace和其他类型的namespace的关系。 权限涉及的范围非常广,所以导致user namespace比其他的namespace要复杂; 同时权限也是容器安全的基础,所以user namespace非常重要。 本篇所有例子都在ubuntu-server-x86_64 16.04下执行通过 和其他类型的...
docker基础
04-02
### Docker 基础入门教程 #### 什么是 DockerDocker 是一种开源的应用容器引擎,可以让开发者打包他们的应用以及依赖包到一个可移植的容器中,并将其部署到任何流行的 Linux 或 Windows 机器上[^3]。 #### 安装...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值