Docker 底层技术

---

一、Cgroup

Cgroup（Control Group），它用于 linux 系统资源分配、限制，前面提到的 Docker 资源分配与限制就是使用的 linux 底层技术来实现。

• CPU：/sys/fs/cgroup/cpu/docker

• 内存：/sys/fs/cgroup/memory/docker

• 磁盘 IO：/sys/fs/cgroup/blkio/docker

当运行一个容器时，linux系统（宿主机）就会为这个容器创建一个 cgroup 目录，并以容器长 ID 命名，如下图：

该长 ID 目录下就有一个 cpu.shares 文件，其值为默认值或是你在运行容器时指定的值，如下图：

内存、磁盘 IO 类似。

二、Namespace

抛开宿主机后，你会发现每个容器都已自己独立的一套完整资源，如网卡设备、文件系统等，而实现这一技术的正是 namespace，namespace 管理 Host 中全局唯一资源，并可以让每个容器都觉得只有自己在使用它。其实也就是 namespace 实现了容器间资源的隔离。你也可以类比 k8s 的 namespace，在 k8s 中，namespace 可实现权限划分、资源访问等。

Linux 使用了 6 种 namespace，分别是：Mount、UTS、IPC、PID、Network 和 User。

1、Mount

该 namespace 可让容器拥有自己独立的文件系统，比如容器有自己的 / 目录，可实现相关的挂载操作（当然这些操作并不会影响我们的宿主机及其他容器）

2、UTS

该 namespace 可让容器拥有自己独立的 hostname，比如我们在运行容器时通过 -h 指定 hostname。

docker run -it -h rab ...

# 其中rab就是该容器的主机名

3、IPC

该 namespace 让容器拥有自己的共享内存和信号量，来实现进程间的通信，而不会与宿主机（Host）及其他容器混在一起。

4、PID

该 namespace 让容器拥有自己独立一套的 PID，每个容器都是以进程的形式在宿主机（Host）中运行，如图下运行了三个容器及其在 Host 中对应的 PID。

可看到，所有容器进程都挂到了 docker 容器引擎进程 /usr/bin/containerd 下。

注意：每个容器拥有自己独立一套的 PID，但容器中为 1 的 PID 并不是 Host 的 init 进程，因为容器与 Host 的 PID 是完全隔离且完整独立的。

5、Network

该 namespace 让容器拥有自己独立网卡设备、路由等资源，同样与 Host 的 Network 是完全隔离且完整独立的。

6、User

该 namespace 让容器拥有自己独立的用户空间，同样与 Host 的 User 是完全隔离且完整独立的。

---

<点击跳转至开头>