系统管理员的容器指南(你需要知道容器如何使用)

最新推荐文章于 2024-09-13 07:45:00 发布
最新推荐文章于 2024-09-13 07:45:00 发布
阅读量370 收藏
点赞数 2
分类专栏: 云计算/大数据 Docker
本文深入解析容器技术,探讨其在Linux系统中的实现原理,包括资源隔离、安全控制及命名空间特性。介绍了容器镜像概念、构建工具、存储机制以及容器运行时规范,展示了容器技术在现代IT基础设施中的核心作用。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

原文地址:https://opensource.com/article/18/8/sysadmins-guide-containers

原文作者: Daniel J Walsh (Red Hat) 

       专业术语“容器”被人们过度的使用,因此,根据不同的情景,它可能有不同的意思。

      传统的Linux容器真的只是Linux系统中的普通的进程。这些进程组之间是通过资源隔离(control group [Cgroup])、Linux安全隔离(Unix permissions, capabilities, SELinux, AppArmor, seccomp, etc.)以及命名空间隔离(PID, network, mount, etc.)。

      如果你启动一个linux系统并且能通过命令 cat /proc/PID/cgroup 查看任何一个进程的资源隔离情况,你可以给通过 cat /proc/PID/status来查看进程占用资源情况;通过查看  /proc/self/attr/current 查看SElinux标签;查看/proc/PID/ns,能看到进程的一系列的命名空间。因此,如果你把容器定义为具有资源隔离(resource constraints)、Linux安全隔离(Linux security constraints)和一系列命名空间特性的进程。那么根据定义,在Linux系统中每个进程都是一个容器。这是为什么我们经常说Linux是容器,容器是Linux。Container runtimes是一种修改资源限制、安全策略、命名空间以及启动容器的一种工具。

dockery引进了容器镜像的概念,这是一个标准的TAR文件,它结合了:

  • Rootfs(容器根文件系统):容器系统上目录看起来就像操作系统的标准根文件系统。例如:/usr、/var、/home等目录。
  • JSON文件(container configuration):指定如何运行rootfs;例如,当容器启动时,在文件系统中指定运行的命令或者进入点;给容器设置容器的环境变量、工作目录以及其他的设置。

        Docker "打包 启动" rootfs和JSON文件来创建基础镜像。这使你能在rootfs系统上安装额外的东西。通过更新JSON文件在基础镜像和新的镜像之间创建出不同,这创建了一个层状的镜像。

       docker中镜像的定义最终由开放容器(OCI)标准机构作为OCI镜像规范。

      用来构建容器镜像工具叫容器镜像构建器,有时候容器引擎执行这个任务,但几个独立工具可以用来创建容器镜像。

      Docker构建这些镜像(tarballs)并且移动镜像到web服务,进而这些镜像能通过一些协议拉取它们,这些web服务被称作容器注册表。

      容器引擎(Container engines)能从容器注册表中拉取镜像并且重新打包它们上传到容器仓库中,容器引擎也能启动container runtimes (see below)。

容器存储通常采用的是写时复制(COW)分层系统.。当从容器注册表中下载容器镜像时,首先需要解压这个根文件系统放到磁盘中。如果你的镜像有多个层,每个层是下载并且存储在COW文件系统中不同的层中。这个COW文件系统允许每个层分开存储,从而实现了最大化共享镜像层。容器引擎支持多种容器存储驱动,包括 overlay类型,devicemapper类型,btrfs类型,aufs类型,autf类型以及zfs类型。

      在容器引擎下载镜像到容器存储之后,它需要创建一个container runtime 配置文件。这个 runtime 配置结合调用者的输入以及容器镜像的配置。例如,这个调用者可能修改运行容器的安全策略,增加额外的环境变量,或者给容器挂载存储卷。

      OCI标准组织还将容器运行时配置和根文件系统的格式标准化为OCI运行规范。

      最后,容器引擎启动一个容器 runtime 来加载容器运行规范;修改Linux 的资源控制,Linux安全控制以及命名空间;同时启动容器命令来创建容器的PID 1。同时,容器引擎能把 标准输入/标准输出返回给调用者以及控制容器(比如:停止,启动,进入)。

      注意,正在引入许多新的容器运行时以使用Linux的不同部分来隔离容器。人们现在可以使用KVM分离(比如迷你虚拟机)运行容器,或者他们可以使用其他管理程序策略(例如拦截来自容器中进程的所有系统调用)。由于我们有一个标准的运行时规范,这些工具都可以由相同的容器引擎启动。甚至Windows也可以使用OCI运行时规范来启动Windows容器。

      更高水平的是容器调度器。容器调度工具是调度执行不同的容器在不同的机器上。容器调度器与容器引擎通信来管理容器,调度器告诉容器引擎去启动容器并且把它们的网络连接在一起。调度器能监控容器并且在负载增加时,启动容器。

 

K8S篇之pod服务因空间资源不足问题而被驱逐Evicted问题
小橙子的笔记屋
06-16 170
修复pod异常因资源空间不足问题
容器管理系统(Docker)
lss0516的博客
02-22 2098
docker常用命令 容器技术的核心由以下几个内核组成: —Cgroups 资源管理 —NameSpace进程隔离 —SElinux安全 由于是在物理机上实施隔离,启动一个容器,可以像启动一个进程一样快. 二. 什么是Docker? Docker是完整的一套容器管理系统 Docker提供了一组命令,让用户更加方便直接地使用容器技术,而不需要过多关心底层内核技术. 三. Docker优点 1...
普通容器、系统容器和安全容器
张老邪的博客
09-01 2098
1.普通容器        普通linux容器利用namespace进行进程间运行环境的隔离,并使用cgroup进行资源限制;因此普通linux容器本质上还是共用同一个内核,单个容器有意或无意影响到内核都会影响到整台宿主机上的容器,需要指定一个容器镜像来启动 2. 系统容器       系统容器主要应对在重计算、高性能、大并发的场景下,重型应用和业务云化的问题。相比较虚拟机技术,
操作系统-容器-引擎容器-百科:Docker
weixin_30294709的博客
12-05 238
ylbtech-操作系统-容器-引擎容器-百科:Docker Docker 是一个开源的应用容器引擎,让开发者可以打包他们的应用以及依赖包到一个可移植的容器中,然后发布到任何流行的Linux机器上,也可以实现虚拟化。容器是完全使用沙箱机制,相互之间不会有任何接口。 1.返回顶部 1、 简介 Docker 是一个开源的应用容器引擎,...
什么是容器
Linux运维老纪的博客
06-08 2288
什么是容器容器是一种轻量级的虚拟化技术,它允许将应用程序及其依赖项打包在一起,形成一个独立、可移植的运行环境。Docker 的容器技术可以在一台主机上轻松为任何 应用创建一个轻量级的、自给自足的容器。通过这种容器打包应用程序,意味着简化了重新部署、调试这些琐碎的重复工作,极大的提高了工作效率
小学生都能看懂系列 - 容器容器管理系统
chuuuing的博客
04-20 729
容器是什么,容器管理系统容器又是什么?Docker,Kubernetes,OpenShift他们之间是什么关系?
容器技术Docker容器基础操作指南:镜像与容器管理及Web应用部署流程详解
07-15
适用人群:适用于对 Docker 感兴趣的技术人员,尤其是有一定 Linux 和命令行基础的开发者、运维人员和系统管理员使用场景及目标:①帮助用户快速掌握 Docker 容器的基本操作,如启动、停止、进入容器等;②通过...
容器安全指南.pdf
09-02
指南的读者群体主要是系统和安全管理员、安全程序管理员、信息系统安全员以及应用程序开发人员,要求读者具备一定的操作系统、网络和安全知识,以及虚拟化技术背景。由于容器技术的快速发展,建议读者结合其他资源...
Docker 命令详解:镜像与容器管理操作指南
02-05
适用人群:对虚拟化软件 Docker 感兴趣的操作员或开发者群体,尤其是在云平台部署应用时希望高效管理和调度应用实例的人士。 使用场景及目标:帮助用户更好地掌握 Linux 容器化解决方案——Docker 中涉及的众多实用...
Docker容器技术与实战指南
最新发布
08-11
本书《Docker容器技术与实战指南》由杰夫·尼克洛夫和斯蒂芬·昆兹利合著,旨在为开发者、系统管理员及计算机用户提供一套完整的Docker及Linux容器概念入门教程。书中不仅详细讲解了Docker的核心概念和技术细节,还...
【云计算与容器编排】Kubernetes集群部署与配置:网络设置、组件安装及Dashboard部署指南文档的主要内容
04-15
适合人群:具备一定Linux操作基础和容器化技术(如Docker)基础知识的技术人员,特别是对Kubernetes集群搭建感兴趣的运维工程师或系统管理员使用场景及目标:①适用于需要快速搭建k8s集群进行项目开发、测试或...
容器的文件系统
运维Linux和python
05-18 960
序言很多时候都会焦虑,为什么会焦虑呢,因为变化的太快了?急于看到结果?基于事实去看的话,焦虑可能要少点儿,焦虑的时候多注意观察,慢慢积累沉淀。留恋温柔乡,...
The node was low on resource: ephemeral-storage. Container kube-proxy was using 12Ki, which exceeds
热门推荐
谦190的博客
09-19 2万+
启动kubernetes时候,发现kube-proxy无法启动,状态是Evicted。查看详情是: The node was low on resource: ephemeral-storage. Container kube-proxy was using 12Ki, which exceeds its request of 0。 用df -h查看磁盘的使用空间,发现根目录还剩下80%,删除...
pod被驱逐追溯根因
MyySophia的博客
09-13 1982
收到pod报警,看到其状态是error,新的pod又在另外一台机器上起来了。
K8S 相关问题 报错信息
Lyndon的专栏
03-22 1492
Kubernetes问题整理
容器---介绍
2401_85112250的博客
06-21 1107
一 .什么是容器。首先,当我们登录到操作系统之后,可以通过 ps 等操作看到各式各样的进程,这些进程包括系统自带的服务和用户的应用进程。1. 进程 都有什么样的特点?第一,这些进程可以相互看到、相互通信;第二,它们使用的是同一个文件系统,可以对同一个文件进行读写操 作;第三,这些进程会使用相同的系统资源。2.这样的三个特点会带来什么问题呢?3. 如何为进程提供一个独立的运行环境呢?4. 应该如何定义这样的进程集合呢?就是一个。所谓“视图隔离”就是能够看到部分进程以及具有独立的主机名等;
体验ephemeral-storage特性来对Kubernetes中的应用做存储的限制和隔离
weixin_34014555的博客
05-18 4331
Kubernetes在1.8的版本中引入了一种类似于CPU,内存的新的资源模式:ephemeral-storage,并且在1.10的版本在kubelet中默认打开了这个特性。ephemeral-storage是为了管理和调度Kubernetes中运行的应用的短暂存储。在每个Kubernetes的节点上,kubelet的根目录(默认是/var/lib/k...
遇到问题--kubernets--k8s-argo-The node was low on resource: nodefs和Pod The node was low on resource: [Di
直到世界的尽头
06-19 3436
情况 argo运行任务报错如下: STEP PODNAME DURATION MESSAGE ● impute2-name-zbh8b └-● module-step ...
Docker引擎的安装
babahai的博客
07-07 1885
Docker理论知识   Docker 是一个开源的应用容器引擎,基于 Go 语言 并遵从 Apache2.0 协议开源。Docker 可以让开发者打包他们的应用以及依赖包到一个轻量级、可移植的容器中,然后发布到任何流行的 Linux 机器上,也可以实现虚拟化。容器是完全使用沙箱机制,相互之间不会有任何接口(类似 iPhone 的 app),更重要的是容器性能开销极低。   Docker 从 17.03 版本之后分为 CE(Community Edition: 社区版) 和 EE(Enterprise Ed
掌握Solaris容器管理员指南
容器技术为系统管理员提供了更为高效和经济的方式来管理资源、进行开发测试以及提供服务。 ### 知识点详述 1. **容器技术概述**: - 容器技术是虚拟化的一种形式,允许在一个物理服务器上运行多个相互隔离的操作...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值