Docker und der Host teilen sich den Kernel; der Docker-Container implementiert im Wesentlichen die Ressourcenisolation durch den Namespace und den Host.
Die Betriebsumgebung dieses Tutorials: Linux7.3-System, Docker-1.13.1-Version, Dell G3-Computer.
Docker und der Host teilen sich den Kernel
Das Wesentliche ist die Prozessisolation, die durch den Namespace und die cgroup des Kernels erreicht wird.
Wenn wir über Docker sprechen, sprechen wir oft über die Implementierung von Docker. Viele Entwickler wissen, dass Docker-Container im Wesentlichen Prozesse auf dem Host-Computer sind. Docker implementiert die Ressourcenisolation über den Namespace. Ressourcenbeschränkungen werden durch cgroups implementiert, und effiziente Dateivorgänge werden durch den Copy-on-Write-Mechanismus implementiert. Aber wenn man tiefer in die technischen Details wie Namespaces und Cgroups einsteigt, werden die meisten Entwickler ratlos sein. Hier werde ich Sie zunächst in den Linux-Kernel einführen und die technischen Details von Namespace und Cgroups verstehen.
Namespace-Ressourcenisolation
Wenn Sie einen Ressourcenisolationscontainer implementieren möchten, wo sollten Sie anfangen? Die erste Reaktion einiger Leute ist möglicherweise der Befehl chroot. Dieser Befehl vermittelt Benutzern das intuitivste Gefühl, dass der Mount-Punkt des Stammverzeichnisses / nach der Verwendung geändert wird, dh das Dateisystem ist isoliert. Um in einer verteilten Umgebung kommunizieren und lokalisieren zu können, muss der Container außerdem über eine unabhängige IP, einen Port, ein Routing usw. verfügen, sodass man natürlich an die Netzwerkisolation denkt. Gleichzeitig benötigt der Container auch einen unabhängigen Hostnamen, um sich im Netzwerk zu identifizieren. Wenn ich an das Netzwerk denke, denke ich natürlich an Kommunikation und denke auch an die Notwendigkeit einer Isolierung der Kommunikation zwischen Prozessen. Entwickler haben möglicherweise auch über das Problem der Berechtigungen nachgedacht. Durch die Isolierung von Benutzern und Benutzergruppen wird die Isolierung von Benutzerberechtigungen realisiert. Schließlich muss die im Container ausgeführte Anwendung über eine eigene (PID) verfügen und natürlich von der PID im Host isoliert sein.
Damit sind die sechs für einen Container erforderlichen Isolationen grundsätzlich abgeschlossen. Der Linux-Kernel stellt diese sechs Namespace-Isolationssystemaufrufe bereit, wie in Tabelle 1-1 gezeigt.
Tatsächlich besteht einer der Hauptzwecke des Linux-Kernels zur Implementierung des Namespace darin, leichtgewichtige Virtualisierungsdienste (Container) zu implementieren. Prozesse im selben Namensraum können die Änderungen des anderen erkennen und wissen nichts über externe Prozesse. Dies kann dem Prozess im Container die Illusion geben, dass er sich in einer unabhängigen Systemumgebung befindet, wodurch Unabhängigkeit und Isolation erreicht werden.
Empfohlenes Lernen: „Docker-Video-Tutorial“
Das obige ist der detaillierte Inhalt vonTeilt Docker den Kernel mit dem Host?. Für weitere Informationen folgen Sie bitte anderen verwandten Artikeln auf der PHP chinesischen Website!