https://github.com/docker/docker
实现用户空间隔离的技术:名称空间(NameSpace),CGroup(控制组)
什么是NameSpace::简单的理解就是,每一个虚拟的用户空间可以基于名称空间实现进程pid号、用户名等相同的机制,且每一个虚拟的用户空间相互不受干扰
什么是CGroup:控制资源使用率的机制
Docker由GO语言研发,遵守Apache开源协议
Docker由C/S架构实现,客户端称为:docker client、服务端称为:docker server
NameSpace名称空间实现用户空间隔离
1:network namespace
实现隔离网络协议栈、端口号等
2:user namespace
实现用户和用户组隔离
3:IPC namespace
实现进程间通信的隔离
4:pid namespace
实现进程号隔离
5:mount namespace
实现挂载隔离
6:UTS namespace
实现主机名和域名隔离
CGroup控制组实现用户空间隔离
CGroup用户组实现对资源的使用率隔离
归纳总结
1:那么到底什么是容器技术?
容器技术 = namespace + Linux的CGroup机制
2:namespace隔离出多个用户空间
3:Linux的CGroup机制为每一个用户空间的分配资源空间
例如:分配多少CPU资源,分配多少内存资源,分配多少I/O资源
CGroup的子系统
/sys/fs/cgroup目录介绍
1:blkio
控制访问块设备的i/o资源
2:cpu
控制CPU资源的使用率
3:cpuacct
审计CPU使用时长
4:cpuset
控制CPU的核心数配比、控制内存物理资源空间的配比(可以理解为分配了一条内存条)
5:memory
控制内存资源的使用率
6:devices
控制任务对设备的访问权限
7:freezer
控制挂起或激活某个任务
8:net_cls
控制网络i/o资源对不同的用户空间的分配
9:perf_event
控制性能事件的分配机制
10:hugetlb
控制大内存页面进行控制
Docker文件系统AUFS(advanced multi-layered unification filesystem):
Docker容器是建立在Aufs基础上的,Aufs是一种Union FS, 简单来说就是支持将不同的目录挂载到同一个虚拟文件系统下,并实现一种layer的概念。Aufs将挂载到同一虚拟文件系统下的多个目录分别设置成read-only,read-write以及whiteout-able权限,对read-only目录只能读,而写操作只能实施在read-write目录中。重点在于,写操作是在read-only上的一种增量操作,不影响read-only目录。当挂载目录的时候要严格按照各目录之间的这种增量关系,将被增量操作的目录优先于在它基础上增量操作的目录挂载,待所有目录挂载结束了,继续挂载一个read-write目录,如此便形成了一种层次结构。
docker强依赖于AUFS,因为每一种应用程序都需要特定的运行环境,包括rootfs、以及程序运行的库文件、配置文件
Docker 概念、简要应用