1.容器其实不是什么新技术,说白了就是namespace对资源进行隔离,再加UFS实现分层镜像,以及cgroup实现资源限制。这些技术,都是linux中已有的技术,而且有些技术很早之前就有了。

2.上面说了,容器就是用了隔离+分层+限制技术,所以和虚拟机是完全不同的东西,虚拟机那是真真正正的一个操作系统。

3.在/roc/pid/ns下,保存着每一个进程对应的namespace,一共6种,分别是:① 进程通信ns(ipc)、② 挂载ns(mnt)、③pid ns、④网络ns(net)、⑤用户ns(user)、⑥隔离hostname和NIS domain name的uts。

一个进程属于哪个namespace,那么就建立一个链接到该namespace。比如下面,我有一个容器,它里面有两个进程,7344和7327:

$ docker top nginx   ↵

UID PID PPID C STIME TTY TIME CMD

root    : pts/ :: nginx: master process nginx -g daemon off;

    : pts/ :: nginx: worker process

看一下这两个在同一个容器中的进程他们的namespace以及cgroup:

sudo ls -l /proc//ns                                         ↵

total

lrwxrwxrwx  root root  Jan  : cgroup -> 'cgroup:[4026531835]'

lrwxrwxrwx  root root  Jan  : ipc -> 'ipc:[4026532496]'

lrwxrwxrwx  root root  Jan  : mnt -> 'mnt:[4026532494]'

lrwxrwxrwx  root root  Jan  : net -> 'net:[4026532499]'

lrwxrwxrwx  root root  Jan  : pid -> 'pid:[4026532497]'

lrwxrwxrwx  root root  Jan  : pid_for_children -> 'pid:[4026532497]'

lrwxrwxrwx  root root  Jan  : user -> 'user:[4026531837]'

lrwxrwxrwx  root root  Jan  : uts -> 'uts:[4026532495]'
udo ls -l /proc//ns                                          ✔

total

lrwxrwxrwx     Jan  : cgroup -> 'cgroup:[4026531835]'

lrwxrwxrwx     Jan  : ipc -> 'ipc:[4026532496]'

lrwxrwxrwx     Jan  : mnt -> 'mnt:[4026532494]'

lrwxrwxrwx     Jan  : net -> 'net:[4026532499]'

lrwxrwxrwx     Jan  : pid -> 'pid:[4026532497]'

lrwxrwxrwx     Jan  : pid_for_children -> 'pid:[4026532497]'

lrwxrwxrwx     Jan  : user -> 'user:[4026531837]'

lrwxrwxrwx     Jan  : uts -> 'uts:[4026532495]'

发现是相同的,说明他们是在同一个namespace中的。

然后我们来看看普通的进程(容器外的),zsh和systemd这连个进程:

sudo ls -l /proc//ns                                            ↵

[sudo] password for xlinliu:

total

lrwxrwxrwx  root root  Jan  : cgroup -> 'cgroup:[4026531835]'

lrwxrwxrwx  root root  Jan  : ipc -> 'ipc:[4026531839]'

lrwxrwxrwx  root root  Jan  : mnt -> 'mnt:[4026531840]'

lrwxrwxrwx  root root  Jan  : net -> 'net:[4026532000]'

lrwxrwxrwx  root root  Jan  : pid -> 'pid:[4026531836]'

lrwxrwxrwx  root root  Jan  : pid_for_children -> 'pid:[4026531836]'

lrwxrwxrwx  root root  Jan  : user -> 'user:[4026531837]'

lrwxrwxrwx  root root  Jan  : uts -> 'uts:[4026531838]'
ls -l /proc/$$/ns                                                 ✔

total

lrwxrwxrwx  xlinliu xlinliu  Jan  : cgroup -> 'cgroup:[4026531835]'

lrwxrwxrwx  xlinliu xlinliu  Jan  : ipc -> 'ipc:[4026531839]'

lrwxrwxrwx  xlinliu xlinliu  Jan  : mnt -> 'mnt:[4026531840]'

lrwxrwxrwx  xlinliu xlinliu  Jan  : net -> 'net:[4026532000]'

lrwxrwxrwx  xlinliu xlinliu  Jan  : pid -> 'pid:[4026531836]'

lrwxrwxrwx  xlinliu xlinliu  Jan  : pid_for_children -> 'pid:[4026531836]'

lrwxrwxrwx  xlinliu xlinliu  Jan  : user -> 'user:[4026531837]'

lrwxrwxrwx  xlinliu xlinliu  Jan  : uts -> 'uts:[4026531838]'

发现也是一样的,说明他们也是在同意namespace下。另外我们还可以看到有一个 pid_for_children ,这是什么呢?这是因为pid namespace是可以嵌套的,父级可以看到子级的进程的pid,但子级看不到父集,正式因为这样,所以我们在宿主机中,是可以看到所有容器的进程的,并且每个进程都有pid。 比如上面的nginx容器,他的CMD进程在容器里的pid是1,但是在宿主机中也可以看到它,pid是7344。

参考:

1 DOCKER基础技术:LINUX NAMESPACE(上) 以及 DOCKER基础技术:LINUX NAMESPACE(下)

Linux Namespace和Cgroup

DOCKER基础技术:AUFS

DOCKER基础技术:DEVICEMAPPER

linux 网络虚拟化: network namespace 简介

关于docker的理解随记的更多相关文章

  1. Docker个人理解总结

    最新在学习Docker,记录下自己对Docker的理解. 一.Docker是什么? 1. Docker是一个能够把开发的应用程序自动部署到容器的开源引擎. 2.Docker使用Google公司推出的G ...

  2. 用前端姿势玩docker【一】Docker通俗理解常用功能汇总与操作埋坑

    前言 首先一句话表达个人对docker的理解:与传统虚拟技术基于硬件及物理资源的虚拟化相比,Docker更加轻量化,docker为基于操作系统或内核级别的虚拟化,并且提供了从各种机制与操作以满足从开发 ...

  3. docker 深入理解之cgroups

    cgroups 资源限制 cgroups 是什么 cgroups 最初名为process container,有Google工程师Paul Menage和Rohit Seth于 2006 年提出,后由 ...

  4. 初识docker与理解

    因最近公司的一个新项目,有一个业务场景是需要给多个甲方的服务器配置运行环境与部署,所以考虑使用docker来实现环境配置的统一 1.docker是什么 docker是一种容器虚拟化技术的实现,相当于在 ...

  5. Docker入门——理解Docker的核心概念

    1 前言 相信不少人听过这么一句话: 人类的本质是复读机. 在软件开发领域也一样,我们总是想寻找更好地方式复制优秀的逻辑或系统.最核心的方法是抽取通用逻辑和组件,把差异化的东西接口化或配置化,达到复用 ...

  6. docker的理解

    作者:刘允鹏链接:https://www.zhihu.com/question/28300645/answer/67707287来源:知乎著作权归作者所有.商业转载请联系作者获得授权,非商业转载请注明 ...

  7. docker&k8s填坑记

    本篇主要用于记录在实施docker和kubenetes过程中遇到的一个问题和解决办法. 本节部分内容摘自互联网,有些部分为自己在测试环境中遇到到实际问题,后面还会根据实际情况不断分享关于docker/ ...

  8. docker 深入理解之namespace

    namespace 名称空间 docker容器主要通过资源隔离来实现的,应该具有的6种资源隔 namespace 的六项隔离 namespace 系统调用参数 隔离的内容 UTS CLONE_NEWU ...

  9. docker简单理解

    Docker是开源的一个基于轻量级虚拟化技术的容器引擎项目.它通过分层镜像标准化和内核虚拟化技术,使得应用开发者和运维工程师可以以统一的方式跨平台发布应用,并且以几乎没有额外开销的情况下提供资源隔离的 ...

随机推荐

  1. solr-DIH:dataimport增量全量创建索引

    索引创建完毕,就要考虑怎么定时的去重建, 除了写solrj,可以定时调用下面两条url进行增量或者全量创建索引   全量:http://ip:port/webapp_name/core_name/da ...

  2. C#——Socket

    最近公司让我搞个socket小程序(服务端). 主要的功能:客户端发字符串到服务端,服务端接收后在界面上显示. 参照了网上许多代码,自己从中修改整理代码. public Form4() { Initi ...

  3. 热更新(一) 之Lua语法的学习

    热更新 如热更新果需要更换UI显示,或者修改游戏的逻辑,这个时候,如果不使用热更新,就需要重新打包,然后让玩家重新下载(浪费流量和时间,体验不好).热更新可以在不重新下载客户端的情况下,更新游戏的内容 ...

  4. “java.lang.NullPointerException”异常分析

    1.父类定义的某个属性,没有被子类使用,或者在子类中,又重新定义一次. 2.因为调用了一个object的方法,且此object的reference为null:比如说:String a=null; // ...

  5. 【OCP-12c】2019年CUUG OCP 071考试题库(76题)

    76.View the exhibit and examine the description of the DEPARTMENTSand EMPLOYEEStables. The retrieve ...

  6. 第八届蓝桥杯JavaB---承压计算

    标题:承压计算 X星球的高科技实验室中整齐地堆放着某批珍贵金属原料. 每块金属原料的外形.尺寸完全一致,但重量不同. 金属材料被严格地堆放成金字塔形. 7 5 8 7 8 8 9 2 7 2 8 1 ...

  7. LOJ#3083. 「GXOI / GZOI2019」与或和(单调栈)

    题面 传送门 题解 按位考虑贡献,如果\(mp[i][j]\)这一位为\(1\)就设为\(1\)否则设为\(0\),对\(or\)的贡献就是全为\(1\)的子矩阵个数,对\(and\)的贡献就是总矩阵 ...

  8. ROS(机器视觉)

    通过ROS打开摄像头 查看话题信息和消息 图像数据: 默认调用笔记本自带摄像头,如需调用外接摄像头,需要将其中video0改成video1.

  9. kinect 2 for xbox畸变矫正

    kinect 2 for xbox畸变矫正 畸变校正的详细方法在iai_kinect2/kinect2_calibration的readme文件中. 由于通过kinect2获得的图像数据有不同的模式( ...

  10. [php审计实战篇]BlueCms v1.6 Union注入

    非常基础的代码审计练习,适合有php基础的审计新手练习 本文作者:Aedoo 来源:i春秋社区 0×01 代码跟踪 首先,进入首页代码 :index.php 包含了php文件:/include/com ...