本文深入解析了容器技术,探讨其作为沙盒技术的本质,以及如何通过Cgroups和Namespace为进程创造边界,实现资源限制和隔离。详细介绍了Linux Cgroups和Namespace在Docker等容器中的应用。
容器其实是一种沙盒技术。顾名思义,沙盒就是能够像一个集装箱一样,把你的应用“装”起来的技术。这样,应用与应用之间,就因为有了边界而不至于相互干扰。
容器技术的核心功能,就是通过约束和修改进程的动态表现,从而为其创造一个边界。
对于 Docker 等大多数 Linux 容器来说,Cgroups 技术是用来制造约束的主要手段,而Namespace 技术则是用来修改进程视图的主要方法。
Namespace:
除了我们刚刚用到的 PID Namespace,Linux操作系统还提供了 Mount、UTS、IPC、Network 和 User 这些 amespace,
用来对各种不同的进程上下文进行“障眼法”操作。
Cgroups:
Linux Cgroups 就是 Linux 内核中用来为进程设置资源限制的一个重要功能。它最主要的作用,就是限制一个进程组能够使用的资源上限,包括 CPU、内存、磁盘、网络带宽等等。
此外,Cgroups 还能够对进程进行优先级设置、审计,以及将进程挂起和恢复等操作。
Linux Cgroups 的设计还是比较易用的,简单粗暴地理解呢,它就是一个子系统目录加上一组资源限制文件的组合。而对于 Docker 等 Linux 容器项目来说,它们只需要在每个子系统下面,为每个容器创建一个控制组(即创建一个新目录),然后在启动容器进程之后,把这个进程的 PID 填写到对应控制组的 tasks 文件中就可以了。
扫一扫
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
