树莓成长记5-1:深入理解docker - namespace和cgroup

我们通过一个容器的inspect信息来说明docker的原理和架构体系

docker inspect 647fc150e282

打印信息为一串长JSON,其最外层信息如下
树莓成长记5-1:深入理解docker - namespace和cgroup_第1张图片
我们对这些信息进行组织罗列
树莓成长记5-1:深入理解docker - namespace和cgroup_第2张图片
图中标红的部分说明,docker本质上是一个进程,我们可以使用以下命令查看docker进程的信息

ps -ef|grep 25936 (25936即inspect内容中pid的值)

在这里插入图片描述
可以看到进程内运行的是redis-server的命令,运行的端口是6379,但是在宿主机中查找6379端口占用情况

lsof -i:6379

发现并没有进程在占用这个端口,说明这个端口并不是宿主机真正的端口,而是虚拟镜像中的端口,是与宿主机隔离出的空间,这个空间也就是namespace

namespace

namespace是linux内核的一项功能,用以进行进程间资源隔离。目前linux有以下几种namespace

名称 含义
Mount 隔离挂载点
PID 进程编号
Network 网络设备、堆栈、端口等
IPC 系统IPC、POSIX消息队列
UTS 系统主机名和NIS主机名
User 用户和组ID
Cgroup Cgroup根目录

Linux上的任意进程,一定是每种namespace的一个实例,docker进程当然也不例外,我们可以使用以下命令查看docker进程对应的namespace

sudo ls -l /proc/25936/ns (ns即为namespace)

树莓成长记5-1:深入理解docker - namespace和cgroup_第3张图片
再查看主机的namespace信息

sudo ls -l --time-style='+' /proc/$$/ns

树莓成长记5-1:深入理解docker - namespace和cgroup_第4张图片
可以看出容器和主机的net namespace是隔离的,两者并不共享一套端口体系。如果想要让两者共享端口体系需要加上 --net host参数

docker run -d --rm --net host redis

然后再查看6379端口占用
在这里插入图片描述
发现端口正在被redis-server占用。
但是对比主机namespace和docker namespace信息,发现有两种namespace是一致的,也就是默认没有隔离,分别是cgroup和user。user一致说明docker使用的用户和用户组和主机是一致的,而Cgroup一致说明容器和主机共享Cgroup配置根目录

Cgroup

Cgroups (control groups),Cgroups的主要功能,就是现实、控制与分离一个进程组的资源,这里所说的资源,主要分为四种,分别是CPU、内存、IO、网络,而Cgroup则是Cgroups的技术实现,在这里我们可以认为两者是一致的。
我们可以通过以下方法来查看一个容器对应的cgroup配置信息

  • 查看容器cgroup挂载信息
cat /proc/18565/cgroup


内容按照 ‘:’ 可以分为三列

cgroups层次结构索引 以逗号分割的控制器名称 控制组的路径名称
如果为0则说明使用了v2版本 如果使用V2版本则为空 路径是相对于cgruops挂载点而言的

那么如果查看层次索引对应的真正内容呢?

cat /proc/cgroups

树莓成长记5-1:深入理解docker - namespace和cgroup_第5张图片
可以看到,索引对应的内容也就是第二列对应的控制器名称。
假如我们要看容器cpuset的cgroup配置信息,首先需要按照控制器名称找到cpuset cgruops对应的挂载点 , 这里的挂载点应该就是指上述主机和docker一致的根目录

mount | grep cgroup |grep cpuset


挂载点目录加上第三列路径就是cgroup配置的完全路径

tree -L 2 /sys/fs/cgroup/cpuset/system.slice/docker-083910f6cd2b9d22e8451d5e7b1bbbfd95a202398b0e8a644f85d76934a6a754.scope

你可能感兴趣的:(树莓派成长记,docker,linux)