深入剖析Kubernetes学习笔记：深入理解镜像（08）

一、Python 应用案例环境

[root@k8s-node1 Flask]# pwd
/opt/Dockerfile/Flask
[root@k8s-node1 Flask]# ll
total 12
-rw-r--r-- 1 root root 352 Feb  1 10:08 app.py
-rw-r--r-- 1 root root 518 Feb  1 10:20 Dockerfile
-rw-r--r-- 1 root root   6 Feb  1 10:09 requirements.txt
[root@k8s-node1 Flask]# cat app.py
from flask import Flask
import socket
import os
 
app = Flask(__name__)
 
@app.route('/')
def hello():
    html = "<h3>Hello {name}!</h3>" \
           "<b>Hostname:</b> {hostname}<br/>"
    return html.format(name=os.getenv("NAME", "world"), hostname=socket.gethostname())
 
if __name__ == "__main__":
    app.run(host='0.0.0.0', port=80)
[root@k8s-node1 Flask]# cat requirements.txt
Flask
[root@k8s-node1 Flask]# cat Dockerfile
# 使用官方提供的 Python 开发镜像作为基础镜像
FROM python:2.7-slim
 
# 将工作目录切换为 /app
WORKDIR /app
 
# 将当前目录下的所有内容复制到 /app 下
ADD . /app
 
# 使用 pip 命令安装这个应用所需要的依赖
RUN pip install --trusted-host pypi.python.org -r requirements.txt
 
# 允许外界访问容器的 80 端口
EXPOSE 80
 
# 设置环境变量
ENV NAME World
 
# 设置容器进程为：python app.py，即：这个 Python 应用的启动命令
CMD ["python", "app.py"]

Dockerfile的设计思想，是使用一些标准的原语(即大写高亮的词语)，描述我们所要构建的Docker镜像，并且这些原语，都是按顺序处理的

需要注意的是，Dockerfile中的每个原语执行后，都会生成一个对应的镜像层

[root@k8s-node1 Flask]# docker images|grep docker.io/python
docker.io/python

二、启动容器以及相关操作

1、启动容器

$ docker run -p 4000:80 helloworld

2、查看进程

$ docker ps
CONTAINER ID        IMAGE               COMMAND             CREATED
4ddf4638572d        helloworld       "python app.py"     10 seconds ago

3、测试是否可用

$ curl http://localhost:4000
<h3>Hello World!</h3><b>Hostname:</b> 4ddf4638572d<br/>

4、上传镜像到仓库

[root@k8s-node1 ~]# docker exec -it 900e7b6e1984 /bin/sh#
# touch test.txt#
# exit#
[root@k8s-node1 ~]# docker tag helloworld 10.0.128.4:500/helloworld:v1#
[root@k8s-node1 ~]# docker push 10.0.128.4:500/helloworld:v1#
The push refers to a repository [10.0.128.4:500/helloworld]#
Get https://10.0.128.4:500/v1/_ping: dial tcp 10.0.128.4:500: getsockopt: connection refused                                     "/bin/sh"                2 days ago          Exited (137) 2 days ago  grave_mclean#

三、docker exec 是怎么做到进入容器里的呢？

1、docker exec 的实现原理

[root@k8s-node1 Flask]# docker exec -it 43c49903582e /bin/sh
# pwd
/app
# ls
Dockerfile  app.py  requirements.txt  test.txt

这里，我使用了docker exec 命令进入到了容器当中，在了解了Linux Namespace的隔离机制后，你应该会很自然地想到一个问题
docker exec 是怎么做到进入容器里的呢？

[root@k8s-node1 Flask]# docker inspect --format '{{ .State.Pid }}' 43c49903582e
2400
[root@k8s-node1 opt]# ls -l /proc/2400/ns
total 0
lrwxrwxrwx 1 root root 0 Feb 20 17:20 ipc -> ipc:[4026532495]
lrwxrwxrwx 1 root root 0 Feb 20 17:19 mnt -> mnt:[4026532493]
lrwxrwxrwx 1 root root 0 Feb 20 17:19 net -> net:[4026532498]
lrwxrwxrwx 1 root root 0 Feb 20 17:20 pid -> pid:[4026532496]
lrwxrwxrwx 1 root root 0 Feb 20 17:23 user -> user:[4026531837]
lrwxrwxrwx 1 root root 0 Feb 20 17:20 uts -> uts:[4026532494]

这也就意味着：一个进程，可以选择加入到某个进程已有的 Namespace 当中，从而达到“进入”这个进程所在容器的目的，这正是 docker exec 的实现原理

2、docker exec 的实现原理刨析实验

1、依赖文件

_startmainopen@@GLIBC_2.2.5perror@@GLIBC_2.2.5_Jv_RegisterClassesexecvp@@GLIBC_2.2.5exit@@GLIBC_2.2.5__TMC_END___ITM_registerTMCloneTable_init
[root@k8s-node1 opt]# cat set_ns.c
#define _GNU_SOURCE
#include <fcntl.h>
#include <sched.h>
#include <unistd.h>
#include <stdlib.h>
#include <stdio.h>
 
#define errExit(msg) do { perror(msg); exit(EXIT_FAILURE);} while (0)
 
int main(int argc, char *argv[]) {
    int fd;
 
    fd = open(argv[1], O_RDONLY);
    if (setns(fd, 0) == -1) {
        errExit("setns");
    }
    execvp(argv[2], &argv[2]);
    errExit("execvp");
}

2、执行

[root@k8s-node1 opt]# gcc -o set_ns set_ns.c
[root@k8s-node1 opt]# ./set_ns /proc/2400/ns/net /bin/bash
[root@k8s-node1 opt]# ifconfig
eth0: flags=4163<UP,BROADCAST,RUNNING,MULTICAST>  mtu 1500
        inet 172.16.6.2  netmask 255.255.255.0  broadcast 0.0.0.0
        inet6 fe80::42:acff:fe10:602  prefixlen 64  scopeid 0x20<link>
        ether 02:42:ac:10:06:02  txqueuelen 0  (Ethernet)
        RX packets 8  bytes 648 (648.0 B)
        RX errors 0  dropped 0  overruns 0  frame 0
        TX packets 8  bytes 648 (648.0 B)
        TX errors 0  dropped 0 overruns 0  carrier 0  collisions 0
 
lo: flags=73<UP,LOOPBACK,RUNNING>  mtu 65536
        inet 127.0.0.1  netmask 255.0.0.0
        inet6 ::1  prefixlen 128  scopeid 0x10<host>
        loop  txqueuelen 1  (Local Loopback)
        RX packets 0  bytes 0 (0.0 B)
        RX errors 0  dropped 0  overruns 0  frame 0
        TX packets 0  bytes 0 (0.0 B)
        TX errors 0  dropped 0 overruns 0  carrier 0  collisions 0

3、查看进程的进程的 Namespace

[root@k8s-node1 opt]# ps aux|grep /bin/bash
root       2615  0.1  0.0 116204  2876 pts/0    S    17:28   0:00 /bin/bash
root       2652  0.0  0.0 112660   972 pts/0    R+   17:28   0:00 grep --color=auto /bin/bash
[root@k8s-node1 opt]# ls -l /proc/2615/ns/net
lrwxrwxrwx 1 root root 0 Feb 20 17:30 /proc/2615/ns/net -> net:[4026532498]
[root@k8s-node1 opt]# ls -l /proc/2400/ns/net
lrwxrwxrwx 1 root root 0 Feb 20 17:19 /proc/2400/ns/net -> net:[4026532498]

转了一个大圈子，我其实是为你详细解读了这个操作背后，linux namespace更具体的工作原理

这种通过操作系统进程相关的知识，逐步刨析Docker容器的方法，是理解容器的一个关键思路，希望你一定要掌握