浅谈Containerd、Docker和CRI-O三种容器运行时工作原理
运行时是指程序的生命周期阶段或使用特定语言执行程序的阶段。容器运行时的工作方式相同-软件包含运行和管理容器所需的组件。
这些工具可以轻松实现安全高效地使用容器,并且是容器管理的关键组成部分。
在容器架构中,容器运行时负责从存储库加载容器镜像、监控本地系统资源、分配系统资源供容器使用以及管理容器生命周期。
容器运行时的常见示例有runC、containerd和Docker。
容器运行时主要分为三种类型:低级运行时、高级运行时以及沙盒或虚拟化运行时。
在容器技术中,容器运行时可以分为三种类型:低级运行时、高级运行时以及沙盒或虚拟化运行时。
一般来说,不同类型的容器运行时各有优缺点和使用场景。
在选择容器运行时时,需要根据实际需求和限制进行权衡和选择。
低级容器运行时(LowlevelContainerRuntime)一般是指根据OCI规范实现的实现,可以接受可启动文件系统(rootfs)和配置文件(config.json)并运行隔离的进程。
该运行时只负责在相对隔离的资源空间中运行进程,不提供存储实现和网络实现。
然而,其他实现可以在系统中预设相关资源,并在低级容器运行时通过config.json声明加载相应资源。
低级运行时的特点是低级、轻量级、灵活,其限制也很明确:解决其中一项或多项限制的容器运行时称为高级容器运行时(HighlevelContainerRuntime)。
运行扩展容器时首先要做的就是显式打开OCIimagespec和runtimespec,它是为了高效地处理图像到rootfs和config.json的转换。
生成config.json非常简单,直接在运行时结合imageconfig和请求者需求即可生成;比较棘手的部分是将镜像转换为rootfs,这涉及拉取镜像、保存镜像、解压镜像层以及解压层文件系统(fslayer)以将fslayer存储并合并到rootfs中。
镜像拉取模块首先从imageregistry获取manifest文件,处理过程不仅要兼容OCIimage规范,还必须兼容考虑到Docker生态的Dockerimage规范(幸好两者差别不大)。
。
运行时实现首先从清单中获取图层列表,首先检查本地是否存在相应的图层,如果不存在,则下载相应的图层。
下载的layertar或tar.gz通常直接存储在磁盘上,为了实现快速处理,需要创建一个索引,例如从reference:tag(如docker.io/library/redis )到清单存储路径;当然,访问层比图片更频繁,对应存储路径的layersha256值也会被索引。
因此,运行时通常围绕图像索引和图像层存储组织独立的模块,为其他模块提供服务。
如果要将image层转换为rootfs,需要逐层解压到文件系统层(fslayer),然后合并。
这带来了几个问题。
首先,fslayer也是如此需要多次复用存储磁盘,所以需要有一种方式从image映射到对应的fslayer,然后与imagelayer类似,需要创建一个索引来保留parent-。
fslayers之间的子关系尽可能复用内层文件,避免重复工作;最后,运行隔离过程后会出现分层重用引起的问题,应避免对共享fslayer进行更改。
最后,高级运行时需要充当隔离的进程管理器,而低级运行时(例如runC)可以同时被多个高级运行时使用。
同时想象一下,如果隔离进程退出,如何以最快的方式恢复运行?高级运行时实现通常会引入容器抽象(或容器元),它存储ID、图像信息、低级运行时描述、OCIspec(jsonconfig)、工作层和K-V结构标签信息。
因此,只要创建了containermeta,后续所有与隔离进程相关的操作,如运行进程、信息获取进程、附件进程、日志获取进程等都可以通过containerID进行。
深入理解Docker核心原理:Namespace、Cgroups和Rootfs
深入理解Docker的基础:namespaces、cgroups和rootfs本文将深入剖析Docker容器的核心实现原理,重点关注namespaces、cgroups和rootfs等三个关键功能。首先,考虑一下容器和进程之间的区别。
Linux容器如Docker和命名空间技术可用于分离进程视图,从而允许容器和主机进行多个级别的分离。
LinuxNamespace包括NetworkNamespace、PIDNamespace等。
通过这些Namespace,可以隔离各种资源,比如网络、进程等。
命名空间的最大问题是不完全隔离。
为了提高安全性,出现了Firecracker、GVisor、Kata等不共享内核的沙箱容器。
Docker通过命名空间强制隔离,保证了容器的独立性。
在资源限制方面,Docker应用了CGroups技术。
启动容器时,您可以指定CPU和内存等资源限制。
以CPU限制为例,在cgroup目录下创建一个控制组,并配置资源限制来限制进程。
例如,一个进程只能使用0.5个CPU核心。
Cgroups设计简单且易于使用。
它设置进程组的资源限制,包括CPU、内存、磁盘、网络带宽等。
在Linux中,Cgroup以文件系统的形式呈现,可以通过mount命令查看。
对于容器镜像来说,它有rootfs是一系列层,每个层包含操作系统文件、目录和配置,但不包含内核。
Rootfs对操作系统、应用程序和依赖项进行封装,以确保应用程序在不同环境下的一致运行。
容器启动时,将rootfs挂载到根目录下。
镜像层概念简化了rootfs的复用,多个层通过联合文件系统合并挂载。
镜像中包含静态文件,容器内生成实时数据,实现容器rootfs的读写分离。
init层用于保存容器启动时需要初始化的配置信息,如/etc/hosts、/etc/resolv.conf等,包括这些动态数据,以在提交镜像时避免这样做。
简而言之,Docker容器的基础主要集中在命名空间、cgroup和rootfs的功能上。
通过这些机制,实现了容器、资源管理和镜像创建的独立性,推动了云原生技术的发展。
欢迎关注微信公众号,获取更多云原生技术和资讯。
微服务架构之「容器技术」
如今,一谈起容器技术,基本上大家都会提到Docker。但实际上,甚至在Docker出现之前,PaaS社区就已经有了以CloudFoundry和OpenShift为代表的容器技术,这些技术在当时是主流。
那么为什么Docker最终变得如此流行呢?现有的PaaS技术可以将本地应用一键部署到云端,并部署在隔离环境(容器)中,但兼容性很低。
主要原理是将本地应用程序和启停脚本打包在一起,然后上传到云服务器,然后通过云服务器上的脚本启动应用程序。
这种方法似乎很理想。
但在实际情况中,由于本地和云端环境的差异,上传到云端的应用程序经常会报各种错误并无法运行,需要对配置和参数进行各种修改以实现兼容性。
即使在项目迭代过程中,不同版本的代码也必须重新协调,非常耗费精力。
但Docker通过一个小小的创新完美解决了这个问题。
在Docker解决方案中,不仅本地应用程序,而且本地环境(操作系统的一部分)都被打包形成一个称为“Docker镜像”的文件包。
因此,这个“Docker镜像”包含应用程序运行所需的所有依赖项。
你可以直接基于这个“Docker镜像”在本地进行开发和测试,完成后可以将这个“Docker镜像”直接上传到云端并作为一个整体运行。
请点击。
Docker在本地和云环境之间完全一致,因此您知道您可以开发一次并在任何地方运行。
1.容器到底是什么?容器到底是什么?或许我们对容器了解不多,但对虚拟机却很熟悉,所以我们先来看看容器和虚拟机的对比和区别。
上图左边是虚拟机的原理,右边是Docker容器的原理。
虚拟机是基于虚拟机管理程序软件来虚拟化主机计算机操作系统所需的一组硬件设备。
然后可以将操作系统GuestOS安装在这些虚拟硬件上并在不同的GuestOS上运行。
然而,这种方法会产生大量额外的资源开销,因为创建虚拟机需要虚拟机管理程序,并且每个虚拟机必须运行完整的操作系统GuestOS。
Docker容器没有虚拟机管理程序层。
DockerEngine需要运行在主机上,但原理与Hypervisor完全不同。
它既不虚拟化硬件设备,也不独立分发整个操作系统GuestOS。
。
Docker容器没有这么复杂的实现原理。
实际上,这只是一个普通的过程,但它是一个经过特殊处理的普通过程。
当您启动容器(dockerrun )时,DockerEngine会启动一个进程,该进程在容器中运行应用程序。
但是,当DockerEngine对这个进程进行一些特殊处理后,这个进程看到的外部环境就不再是宿主机的环境了(它看不到宿主机上的其他进程,它认为这是唯一的过程)。
在当前的操作系统上),DockerEngine还限制了该进程使用的资源,以防止无限制地使用主机资源。
那么DockerEngine做了哪些特殊处理才能达到这样神奇的效果呢?2、容器如何实现资源隔离和限制?Docker容器主要使用两个技术点来解耦这个过程:要理解容器是如何工作的,理解这两个技术点非常重要。
下面我会详细解释。
3.容器中的镜像是什么?基础容器镜像实际上是一个rootfs,它包含操作系统的文件系统(文件和目录),但不包含操作系统的内核。
rootfs是一个新的文件系统,挂载在容器的根目录上,与主机的文件系统没有关系,是一个完全独立的文件系统,用于为容器提供环境。
对于Docker容器来说,需要通过ivot_root命令将容器的系统根目录切换到rootfs,这样Rootfs可以让容器为其进程构建完整的文件系统,实现与主机的环境隔离。
使用rootfs可以让基于容器的本地应用和云应用的执行环境保持一致。
另外,为了方便镜像复用,Docker在镜像中引入了分层的概念,允许不同的镜像分层堆叠。
这样,如果您想创建新映像,则可以继续在之前创建的映像上进行构建。
如上所示,在这个例子中底层是操作系统启动,顶层是基础镜像层(Linux文件系统),顶层是Docker将共同挂载的各种应用程序镜像。
a在安装点,这些映像层是只读的。
只有顶层容器层可以读写。
这种分层的解决方案实际上是基于联合文件系统UnionFS(UnionFileSystem)的技术来实现的。
您可以将不同的目录全部挂载在同一目录上。
例如,如果您有文件夹test1和test2,则这两个文件夹中的文件可能相同也可能不同。
然后,如果您使用共同挂载将这两个文件夹挂载在test3上,则test3目录中将包含test1和test2中的所有文件(相同文件将被去重,其他文件将保留)。
这个原则适用于Docker镜像。
例如,学生A已经创建了基于Linux的Java环境的映像。
由于类S正在尝试构建JavaWeb环境,因此不需要创建Java环境映像。
您可以直接添加Tomcat,并根据A同学的镜像创建一个新的镜像。
以上是对微服务架构中“容器技术”的一些思考。
如果编码并不容易,请将其传递给朋友或单击帖子右下角的“阅读”。
一文带你搞懂Docker容器的核心基石Cgroups
本文将帮助您了解Docker容器的核心基石Cgroups。
在深入了解Docker容器的核心技术之前,我们先来了解一下Cgroups(控制组)机制。
Cgroups是Linux系统内核提供的一种机制,可以将一组系统任务或子任务按照资源划分整合或划分为根据需要注册的不同组,从而提供系统资源管理的框架。
Cgroups的主要功能包括限制、记录和隔离进程组使用的物理资源,如CPU、内存、I/O等。
随着容器技术的出现,例如随着Docker和Kubernetes容器技术逐渐成为云原生最重要的基础技术之一。
利用容器技术,我们可以有效地实现资源层面的约束和隔离。
这一切都得益于Linux系统内核提供的cgroups和namespace技术。
Cgroups通过统一的资源管理框架为容器虚拟化提供了根本保障,是构建Docker等众多虚拟化管理工具的中心基石。
Cgroups是Controlgroups的缩写。
它是Linux内核提供的一种机制,用于限制、记录和隔离进程组使用的物理资源。
Cgroup允许系统管理员对资源的分配、排序、拒绝、管理和监控进行精细控制,提高整体效率。
最初由Google工程师提出,后来集成到Linux内核中,成为轻量级虚拟化技术(如LinuxContainers、XC)的基础之一。
Cgroup和命名空间都是对进程进行分组的技术,但它们的目的和功能不同。
命名空间用于隔离进程组之间的资源,而cgroup则基于分组对进程进行统一的资源监控和约束。
Cgroups包括版本v1和v2。
v1版本实现较早,功能更多。
但由于功能分散,规划不太好,造成使用和维护的不便。
v2版本的推出旨在解决v1版本的问题,支持更多功能,计划在最新的4.5内核中在生产环境中提供。
Cgroup和命名空间可以混合使用,但这会增加复杂性,通常不建议使用。
Cgroup将系统中的所有进程组织成独立的树形结构。
每棵树包含系统中的所有进程,每个节点是一个进程组。
每棵树都与处理这些组的一个或多个子系统相关联。
Cgroups的主要结构如下:
目前Linux支持12个子系统。
每棵树都可以分配给一个子系统。
最多可以创建12个组树,或者只创建一棵树并将其分配给所有子系统。
Cgroups的作用和实现
Cgroups的目标是提供一个统一的资源管理框架,集成现有的子系统和接口,以便将来开发新的子系统和接口提供子系统。
在实际应用中,cgroup适用于多种场景,从单个进程的资源控制到操作系统级虚拟化。
以CPU资源为例,系统默认将资源分为三个级别:系统、用户和机器。
每个级别可以有自己的子级别,形成层次结构。
这使得我们可以通过systemctl等系统工具来设置和管理这些级别,从而实现对资源更加精细的控制。
Cgroups允许我们针对各种应用程序需求设置资源限制和监控。
例如,您可以使用systemctl命令为特定服务或用户设置CPU、内存等资源的使用上限,或者通过配置文件系统动态或持久地控制资源分配。
要查看当前系统支持哪些子系统,可以查看/proc/cgroups文件。
使用systemd-cgls命令可以查看系统的cgroup层次结构并了解资源分配和使用情况。
另外,可以通过/proc/[pid]/cgroup查看单个进程所属的控制组,通过/sys/fs/cgroup直接查看具体资源的配置。
Cgroup是Docker容器技术的重要基石。
Cgroups通过提供统一的资源管控框架,为容器虚拟化提供了强有力的支持。
通过充分了解cgroup的工作原理和使用方法,开发者可以更高效地使用容器技术,实现资源优化、优化管理。
从容器的发展历史理解容器的本质
从容器的发展历史了解容器的本质在了解Kubernetes和容器的意义和作用之前,我们需要从它的发展历史开始。本文将分享从早期的隔离文件到现代容器化技术的关键发展过程,以更深入地了解容器的基础知识。
步骤1:分离文件——Chroot命令的诞生。
1979年,chroot命令被引入Unix系统,允许将进程的根目录锁定到特定位置,从而实现基本的文件系统隔离。
这种隔离方法对于提高系统安全性非常重要,它可以限制进程的文件访问范围,提高系统的稳定性。
第二步:隔离访问——命名空间2002年,Linux命名空间功能的推出标志着容器技术的一个重要里程碑。
命名空间通过为不同进程提供独立的视图来实现进程之间的隔离,包括文件系统、PID、UID、网络接口等关键资源。
这种隔离方法提高了安全性,并允许多个应用程序在同一台物理服务器上并行运行,而不会相互干扰。
步骤3:隔离资源——CGroups控制组功能2006年,Google工程师PaulMenage和RohitSeth提出了CGroups功能。
它通过对进程进行分组并限制CPU时间、内存、网络带宽和磁盘I/O等资源使用来实现对资源的精确控制和隔离。
CGroup在容器技术方面取得进展资源是异化的根源。
第四阶段:封装系统——LXC虚拟化LXC是Linux发布的系统级虚拟化功能,允许在同一主机上运行多个不同的Linux系统实例。
每个实例都有独立的文件系统、网络配置和进程空间。
与传统虚拟机相比,LXC更加轻量级、高效。
第五步:封装应用——Docker容器Docker的容器化能力源自LXC,libcontainer是使用Go语言开发的,以减少对LXC的依赖。
Docker的思想是封装应用程序。
容器通常包含运行单个应用程序所需的最低环境,是轻量级的并且可以快速更新。
与LXC相比,Docker具有更高的灵活性和效率。
第6步:封装集群——KubernetesKubernetes是一个容器编排框架,通过虚拟化集群环境来实现数据中心的绿色部署和自动扩展。
Kubernetes负责管理容器的集合,确保应用程序按预期运行,并处理部署、更换故障容器、服务发现、负载均衡、容器数量调整等任务。
第七步:封装容器服务——基于云服务的容器化随着云计算的普及和成熟,容器化技术进入了云服务时代。
云服务商推出了容器服务产品,例如华为云的CCE和开发人员转向云平台部署和管理容器应用,享受云计算带来的灵活性、可扩展性和成本效益。
通过云服务,可以快速构建基础核心能力,支撑大数据、人工智能等业务的复杂处理任务。
总结容器化技术经历了丰富的发展,从早期的简单隔离到现代的云服务时代,每个阶段都推动了信息技术领域的进步。
随着技术的进步,容器化将继续引领软件行业的发展,推动更多创新应用的诞生。
