Docker组成原理
本文是阅读《深入浅出Docker》的相关学习笔记
起初简单的以为Docker和容器是一种东西,后来才发现Docker是实现了Linux容器技术(LXC,可以提供轻量级的虚拟化)的一种实现
LXC技术使用Linux 内核和内核功能(Cgroups 和Namespaces)来分隔进程,以便各进程相互独立运行
于是好像有了一个定义:容器是一个相互隔离的和资源受限制的进程
当启动Docker时,会通过Namespaces和Cgropus来创建一个资源隔离的环境,然后将打包的应用程序和关联的文件复制到 Namespace 内的文件系统中
Docker引擎
Docker 引擎是用来运行和管理容器的核心软件
基于OCI标准,采用的模块化结构
主要结构:客户端、守护进程(docker daemon)、containerd和runc
他们共同负责容器的创建和运行
早期的Docker引擎结构由Docker daemon和LXC组成
Docker daemon负责创建容器和运行容器,功能都耦合在一块了
而LXC技术,使用其提供的Namespace和Cgroup来启动容器
为了摆脱LXC的依赖,解决跨平台和核心功能依赖外部工具的问题
Docker公司开发了名为Libcontainer的自研工具,用于替代LXC。Libcontainer的目标是成为与平台无关的工具,可基于不同内核为Docker上层提供必要的容器交互功能
后续Docker公司对Docker daemon进行了重构,将容器执行、容器运行是等功能做成小组件的方式
伴随着重构的进行,Docker公司也在推进着OCI标准(容器开放标准)即规范容器运行时标准(runtime-spec)和容器镜像标准(image-spec)
OCI容器标准
OCI规范了什么?
规范了容器镜像标准和容器运行时标准,两者通过一个文件系统包(filesystem bundle)来连接
filesystem bundle有什么作用?
将镜像解包成bundle,bundle包含了一个config.json配置文件和一个根文件夹,Docker引擎会识别这个bundle来运行容器
config.json的结构包含公共部分和平台适配部分
公共部分包含了版本信息、rootfs等等,平台部分则是对系统底层的适配,比如Linux的配置是cgroup和namespaces,Windows则是hypervisor
可以看到Docker是怎么实现跨平台的
镜像规范规范了什么?
规定了镜像的构建系统需要输出的内容和格式,并且可以被解包成bundle
主要包含了以下几种
- 文件系统:一个镜像由多个层叠加组成,文件系统负责维护这些层的变更集
- manifest:记录层和配置文件的定位信息
- 配置文件:记录镜像运行时相关的参数和根目录的变更
- image index:记录不同平台的manifests配置
下边是实例
关于镜像的组成下文会继续探索容器规范规范了什么?什么是容器运行时(runtime)?
容器规范标准了容器的配置、运行环境和生命周期
配置文件就是通过解包镜像获得的config.json,并通过这个文件获取支持的平台和创建容器需要的字段
容器运行时负责运行容器的所有部分,但是实际上并不止运行程序本身;容器运行时负责:通过读取bundle里的配置文件,来准备容器所需要得环境和资源,然后创建容器并且管理他的生命周期
容器运行时有多种实现,但大多都包含
lower-level
和higher-level
,需要注意的是,lower-level和higher-level得职责不同,解决不同的问题lower-level需要提供容器所需要得资源(如namesapece和cgroup)
higher-level负责传输和管理镜像,解包镜像并将命令传递给low-level,hight-level还对外提供Api
runc和containerd就是从docker中分离出来的low-level和hight-level
镜像
镜像只会包含必要的应用和服务以及所需要的依赖,以保持较小的体积
镜像由多个层组成,每层叠加之后,从外部看来就如一个独立的对象
当拉取镜像的时候,可以看到这和镜像需要哪些层,结构如下图
也可以使用docker image inspect 镜像 -f "{{.RootFS}}"
命令来查看镜像里的分层,可以看到分层都是使用了sha256来散列过的
所有的Docker镜像都起始于一个基础镜像层,当进行修改或增加新的内容时,就会在当前镜像层之上,创建新的镜像层
当添加一个补丁,会继续增加新的分层,因为分层式只读的,不过上层的修改会覆盖下层的
镜像的层会共享,当拉取镜像的时候,Docker可以识别出要拉取的镜像中,哪几层已经在本地存在
启动流程
可以看出Docker将创建和管理容器的逻辑都从Docker daemon中移除,意味着容器运行时与Docker daemon是解耦的,有时称之为“无守护进程的容器(daemonlesscontainer)”,如此,对Docker daemon的维护和升级工作不会影响到运行中的容器
Docker daemon收到请求后会将命令传递给Containerd,Containerd会把镜像解包,将bundle传递给runc,注意到runc之上还有一个shim
shim的作用是允许runc创建完容器后退出,避免每一个容器都创建一个runc,此时会创建一个shim进程,再由shim来调用runc来创建容器、
当runc创建完容器退出后,shim就会成为容器进程的父进程
参考
https://www.qikqiak.com/post/containerd-usage/
https://www.cnblogs.com/michael9/p/13039700.html
https://iximiuz.com/en/posts/container-learning-path/
https://www.modb.pro/db/145438
https://www.waynerv.com/posts/container-fundamentals-learn-container-with-oci-spec/
https://iximiuz.com/en/posts/container-learning-path/
Docker组成原理的更多相关文章
- Docker个人理解总结
最新在学习Docker,记录下自己对Docker的理解. 一.Docker是什么? 1. Docker是一个能够把开发的应用程序自动部署到容器的开源引擎. 2.Docker使用Google公司推出的G ...
- 说透 Docker:虚拟化
本章内容将讲解 Docker 虚拟化.虚拟化本质.namespace.cgroups. Docker 虚拟化 关于Docker 本小节将介绍 Docker 虚拟化的一些特点. Docker 是一个开放 ...
- docker——容器安装tomcat
写在前面: 继续docker的学习,学习了docker的基本常用命令之后,我在docker上安装jdk,tomcat两个基本的java web工具,这里对操作流程记录一下. 软件准备: 1.jdk-7 ...
- Docker笔记一:基于Docker容器构建并运行 nginx + php + mysql ( mariadb ) 服务环境
首先为什么要自己编写Dockerfile来构建 nginx.php.mariadb这三个镜像呢?一是希望更深入了解Dockerfile的使用,也就能初步了解docker镜像是如何被构建的:二是希望将来 ...
- Docker 第一篇--初识docker
已经多年不写博客, 看完<晓松奇谈>最后一期猛然觉醒, 决定仔细梳理下自己这几年的知识脉络. 既然决定写, 那么首先就从最近2年热门的开源项目Docker开始.Docker 这两年在国内很 ...
- 在docker中运行ASP.NET Core Web API应用程序(附AWS Windows Server 2016 widt Container实战案例)
环境准备 1.亚马逊EC2 Windows Server 2016 with Container 2.Visual Studio 2015 Enterprise(Profresianal要装Updat ...
- docker for mac 学习记录
docker基本命令 docker run -d -p 80:80 --name webserver nginx 运行容器并起别名 docker ps 展示目前启动的容器 docker ps -a 展 ...
- scrapy爬虫docker部署
spider_docker 接我上篇博客,为爬虫引用创建container,包括的模块:scrapy, mongo, celery, rabbitmq,连接https://github.com/Liu ...
- [原][Docker]特性与原理解析
Docker特性与原理解析 文章假设你已经熟悉了Docker的基本命令和基本知识 首先看看Docker提供了哪些特性: 交互式Shell:Docker可以分配一个虚拟终端并关联到任何容器的标准输入上, ...
随机推荐
- 帝国cms插件 一键替换数据表中已发表文章的内容关键字
你是不是也在优化网站,是不是网站发展了一段时间之后才来做优化的,这样当然就会导致已经发表文章里的内容关键字,不能得到替换了! 小编根据后台替换内容关键字的程序,重写了一段 通过运行单个页面就能直接替换 ...
- SpringMVC基础原理
1.拦截所有请求到DispatcherServlet 2.去寻找映射器 3.根据处理器适配器处理业务,返回视图 4.视图解析器解析显示视图
- 【课程汇总】OpenHarmony 成长计划知识赋能第二期课程(附链接)
OpenHarmony 开源开发者成长计划第二期知识赋能直播课程以入门为主,共设置 8 节课,覆盖了应用开发.设备开发.内核驱动等多个技术领域.带领开发者快速了解如何玩转 OpenHarmony.如何 ...
- vue3 数据可视化项目
可视化面板介绍 应对现在数据可视化的趋势,越来越多企业需要在很多场景(营销数据,生产数据,用户数据)下使用,可视化图表来展示体现数据,让数据更加直观,数据特点更加突出. 01-使用技术 完成该项目 ...
- FreeRTOS --(2)内存管理 heap1
转载自https://blog.csdn.net/zhoutaopower/article/details/106631237 FreeRTOS 提供了5种内存堆管理方案,分别对应heap1/heap ...
- 【microPython与esp8266】之一——呼吸灯与PWM
呼吸灯与pwm pwm是什么? PWM的全称是脉冲宽度调制(Pulse-width modulation),是通过将有效的电信号分散成离散形式从而来降低电信号所传递的平均功率的一种方式: 简而言之,使 ...
- JS 加载
DOM 加载完毕后执行,不需要等待image.js.css.iframe等加载 1.$(function() {}) 2.$(document).ready(function() {}) 不要写成 ...
- CentOS7安装部署Mongodb
1.下载安装包 打开官网,跳转至下载界面,选择对应版本的安装包,拷贝其链接,这里是手动安装,所以下载tgz安装包,如果要自动化安装,选择server的rpm自动安装包 https://www.mong ...
- 并查集——以nuist OJ P1648炼丹术为例
并查集 定义:并查集是一种树形的数据结构,用于处理一些不相交集合的合并及查询问题 主要构成: 并查集主要由一个整型数组pre[]和两个函数find().join()构成. 数组pre[]记录了每个点的 ...
- iTextSharp 提取签名图像
原文 本文使用 iTextSharp 5.5.13.2,记录使用 iTextSharp 提取图片时,获得的知识点. pdf 中的签名并不是单纯的一张图片,它是由一张基础的底色图和一张蒙版图片组成.需要 ...