树莓成长记5-1：深入理解docker - namespace和cgroup

我们通过一个容器的inspect信息来说明docker的原理和架构体系

docker inspect 647fc150e282

打印信息为一串长JSON，其最外层信息如下

我们对这些信息进行组织罗列

图中标红的部分说明，docker本质上是一个进程，我们可以使用以下命令查看docker进程的信息

ps -ef|grep 25936 (25936即inspect内容中pid的值)

可以看到进程内运行的是redis-server的命令，运行的端口是6379，但是在宿主机中查找6379端口占用情况

lsof -i:6379

发现并没有进程在占用这个端口，说明这个端口并不是宿主机真正的端口，而是虚拟镜像中的端口，是与宿主机隔离出的空间，这个空间也就是namespace

namespace

namespace是linux内核的一项功能，用以进行进程间资源隔离。目前linux有以下几种namespace

名称	含义
Mount	隔离挂载点
PID	进程编号
Network	网络设备、堆栈、端口等
IPC	系统IPC、POSIX消息队列
UTS	系统主机名和NIS主机名
User	用户和组ID
Cgroup	Cgroup根目录

Linux上的任意进程，一定是每种namespace的一个实例，docker进程当然也不例外，我们可以使用以下命令查看docker进程对应的namespace

sudo ls -l /proc/25936/ns (ns即为namespace)

再查看主机的namespace信息

sudo ls -l --time-style='+' /proc/$$/ns

可以看出容器和主机的net namespace是隔离的，两者并不共享一套端口体系。如果想要让两者共享端口体系需要加上 --net host参数

docker run -d --rm --net host redis

然后再查看6379端口占用

发现端口正在被redis-server占用。
但是对比主机namespace和docker namespace信息，发现有两种namespace是一致的，也就是默认没有隔离，分别是cgroup和user。user一致说明docker使用的用户和用户组和主机是一致的，而Cgroup一致说明容器和主机共享Cgroup配置根目录

Cgroup

Cgroups （control groups），Cgroups的主要功能，就是现实、控制与分离一个进程组的资源，这里所说的资源，主要分为四种，分别是CPU、内存、IO、网络，而Cgroup则是Cgroups的技术实现，在这里我们可以认为两者是一致的。
我们可以通过以下方法来查看一个容器对应的cgroup配置信息

• 查看容器cgroup挂载信息

cat /proc/18565/cgroup

内容按照 ‘:’ 可以分为三列

cgroups层次结构索引	以逗号分割的控制器名称	控制组的路径名称
如果为0则说明使用了v2版本	如果使用V2版本则为空	路径是相对于cgruops挂载点而言的

那么如果查看层次索引对应的真正内容呢？

cat /proc/cgroups

可以看到，索引对应的内容也就是第二列对应的控制器名称。
假如我们要看容器cpuset的cgroup配置信息，首先需要按照控制器名称找到cpuset cgruops对应的挂载点 , 这里的挂载点应该就是指上述主机和docker一致的根目录

mount | grep cgroup |grep cpuset

挂载点目录加上第三列路径就是cgroup配置的完全路径

tree -L 2 /sys/fs/cgroup/cpuset/system.slice/docker-083910f6cd2b9d22e8451d5e7b1bbbfd95a202398b0e8a644f85d76934a6a754.scope