Welche Ressourcen Docker isoliert

Durch Docker isolierte Ressourcen: 2. Netzwerk; 4. Benutzer und Benutzergruppen für Berechtigungen; 6. Hostname und Domänenname; , usw.

Die Betriebsumgebung dieses Tutorials: Linux5.9.8-System, Docker-1.13.1-Version, Dell G3-Computer.

Das Wesen eines Docker-Containers

Das Wesen eines Docker-Containers ist ein Prozess auf dem Host.

Docker implementiert Ressourcenisolation durch Namespace, Ressourcenbegrenzung durch cgroups und effiziente Dateioperationen durch *Copy-on-Write*.

Linux-Namespace-Mechanismus

Der Namespace-Mechanismus bietet eine Lösung zur Ressourcenisolation.

PID, IPC, Netzwerk und andere Systemressourcen sind nicht mehr global, sondern gehören zu einem bestimmten Namespace.

Die Ressourcen unter jedem Namespace sind transparent und für die Ressourcen unter anderen Namespaces unsichtbar.

Einer der Hauptzwecke des Linux-Kernels, der den Namespace implementiert, besteht darin, leichtgewichtige Virtualisierungsdienste (Container) zu implementieren, die Änderungen untereinander wahrnehmen können und nichts über externe Prozesse wissen, um Unabhängigkeit und Isolation zu erreichen. Was kann durch den Namespace isoliert werden? isoliert werden

Die Kommunikation zwischen Prozessen muss ebenfalls isoliert werden

Für Berechtigungen müssen Benutzer und Benutzergruppen ebenfalls isoliert werden

• Die PID innerhalb des Prozesses muss ebenfalls von der PID in isoliert werden der Host

• Der Container muss auch einen eigenen Hostnamen haben

• Mit der oben genannten Isolierung glauben wir, dass ein Container vom Host und anderen Containern isoliert werden kann.

Es kommt vor, dass der Linux-Namespace dies kann.
• Namespace
  Isolierter Inhalt
• Systemaufrufparameter

UTS

Hostname und DomänennameCLONE_NEWUTS. CLONE_NEWIPC

	IPC	Semaphore, Nachrichtenwarteschlange und gemeinsamer Speicher
Netzwerk	Netzwerkgeräte, Netzwerkstacks, Ports usw.	CLONE_NEWNET
PID	Prozessnummer	CLONE_NEWPID
Mount	Mountpunkt (Dateisystem)	CLONE_NEWNS
Benutzer	Benutzer und Benutzergruppen	CLONE_NEWUSER
UTS-Namespace UTS-Namespace (UNIX Time-Sharing System) bietet die Isolierung von Host- und Domänennamen, sodass jeder Docker-Container einen unabhängigen Hostnamen und Domänennamen haben und als unabhängiger Knoten im Netzwerk betrachtet werden kann . und nicht ein Prozess auf dem Host-Computer. In Docker wird jedes Image grundsätzlich nach dem Dienstnamen benannt, den es bereitstellt, und hat keinerlei Auswirkungen auf den Host. IPC-Namespace Zu den von Inter-Process Communication (IPC) entwickelten IPC-Ressourcen gehören gemeinsame Semaphoren, Nachrichtenwarteschlangen und gemeinsam genutzter Speicher. Bei der Beantragung von IPC-Ressourcen beantragen Sie eine weltweit eindeutige 32-Bit-ID. Der IPC-Namespace enthält die System-IPC-Kennung und das Dateisystem, das die POSIX-Nachrichtenwarteschlange implementiert. Prozesse im selben IPC-Namespace sind füreinander sichtbar, Prozesse in verschiedenen Namespaces sind jedoch für einander unsichtbar. PID-Namespace Die Isolierung von PID-Namespaces ist sehr praktisch. Sie nummeriert die Prozess-PID neu, dh Prozesse unter zwei verschiedenen Namespaces können dieselbe PID haben und jeder PID-Namespace verfügt über ein eigenes Zählprogramm. Der Kernel verwaltet eine Baumstruktur für alle PID-Namespaces. Die oberste Ebene wird bei der Systeminitialisierung erstellt und als Root-Namespace bezeichnet. Der neu erstellte PID-Namespace wird als untergeordneter Namespace bezeichnet, und der ursprüngliche PID-Namespace ist der untergeordnete Namespace des neu erstellten PID-Namespace, und der ursprüngliche PID-Namespace ist der übergeordnete Namespace des neu erstellten PID-Namespace. Auf diese Weise bilden verschiedene PID-Namespaces ein hierarchisches System. Der übergeordnete Knoten, zu dem sie gehören, kann die Prozesse in den untergeordneten Knoten sehen und die Prozesse in den untergeordneten Knoten durch Signale und andere Methoden beeinflussen. Der untergeordnete Knoten kann jedoch nichts im PID-Namespace des übergeordneten Knotens sehen. Mount-Namespace Mount-Namespace bietet Unterstützung für die Isolierung von Dateisystemen durch die Isolierung von Dateisystem-Mount-Punkten. Nach der Isolierung wirken sich Änderungen der Dateistrukturen in verschiedenen Mount-Namespaces nicht gegenseitig aus. Netzwerk-Namespace Netzwerk-Namespace bietet hauptsächlich die Isolierung von Netzwerkressourcen, einschließlich Netzwerkausrüstung, IPv4, IPv6-Protokollstapel, IP-Routing-Tabelle, Firewall, /proc/net-Verzeichnis, /sys/class/net-Verzeichnis, Suite Empfangswörter usw. Benutzernamespace Benutzernamespace isoliert installationsbezogene Bezeichner und Attribute Namespace-Operationen Namespace-API enthält clone() setns() unshare() und Teile unter /proc-Datei Zur Bestimmung Welche Namespaces isoliert werden sollen, müssen Sie einen oder mehrere der folgenden 6 Parameter angeben, um sie zu trennen. Die 6 in der Tabelle oben genannten Parameter sind CLONE_NEWUTS, CLONE_NEWIPC, CLONE_NEWPID, CLONE_NEWNET, CLONE_NEWUSER. Die Verwendung von clone() zum Erstellen eines Prozesses mit einem unabhängigen Namespace ist die gebräuchlichste Methode, und das ist sie auch Der von Docker verwendete Namespace. int clone(int(*child_func)(void *),void *child_stack,int flags, void *arg); clone() ist eine allgemeinere Implementierung des Linux-Systemaufrufs fork(), der über Flags steuern kann, wie viele Funktionen verwendet werden. Es gibt mehr als 20 Arten von CLONE_*-Flags, die alle Aspekte des Klonvorgangs steuern. child_func übergibt die Hauptfunktion des Programms, das vom untergeordneten Prozess ausgeführt wird. child_stack übergibt den vom untergeordneten Prozess verwendeten Stapelspeicher. flags gibt an, welche CLONE_*-Flags verwendet werden. Die mit dem Namespace verbundenen Flags sind hauptsächlich die 6 oben erwähnt. args werden verwendet, um Benutzerparameter zu übergeben /proc/[pid]/ns Benutzer können Dateien sehen, die auf verschiedene Namespaces unter der Datei /proc/[pid]/ns verweisen. ls -l /proc/10/ns Die Namespace-Nummer in eckigen Klammern Wenn die Namespace-Nummern, auf die zwei Prozesse verweisen, gleich sind, bedeutet dies, dass sie sich im selben Namespace befinden Der Zweck des Festlegens des Links besteht darin, dass auch wenn alle Prozesse unter dem Namespace haben Wenn es endet, wird dieser Namespace immer existieren und nachfolgende Prozesse können beitreten. Das Mounten der Verzeichnisdatei /proc/[pid]/ns mit der Methode --bind kann auch als Link fungieren Ausführen des Befehls Der Befehl erfordert die Verwendung von setns(). Durch den Systemaufruf setns() verbindet der Prozess einen vorhandenen Namespace aus dem ursprünglichen Namespace. Um den Aufrufer des Prozesses nicht zu beeinträchtigen und damit der neu hinzugefügte PID-Namespace wirksam wird, wird er normalerweise nach dem setns( Die Funktion clone() erstellt einen untergeordneten Prozess, um die Ausführung des Befehls fortzusetzen, sodass die Ausführung des ursprünglichen Prozesses beendet werden kann. touch ~/utsmount --bind /proc/10/ns/uts ~/uts Um den neu hinzugefügten Namespace nutzen zu können, ist es notwendig, die Funktionsreihe execve() einzuführen, die Benutzerbefehle ausführen kann. Die am häufigsten verwendete Funktion ist das Aufrufen von /bin/bash und das Akzeptieren von Parametern unshare() durch unshare( ) Namespace-Isolierung für den ursprünglichen Prozess Unshare ist dem Klonen sehr ähnlich, es muss kein neuer Prozess gestartet werden und kann für den ursprünglichen Prozess verwendet werden. Docker verwendet nicht den Systemaufruf fork() fork gehört nicht zur Namespace-API Leistungsstarkes Kernel-Tool cgroups cgroups ist ein vom Linux-Kernel bereitgestellter Mechanismus, der eine Reihe von Systemaufgaben und deren Unteraufgaben je nach Bedarf in verschiedene hierarchische Gruppen integrieren (oder trennen) kann und so eine Systemressourcenverwaltung ermöglicht einheitlicher Rahmen. cgroups ist ein weiteres leistungsstarkes Kernel-Tool unter Linux. Mit cgroups können Sie nicht nur die nach Namespace isolierten Ressourcen begrenzen, sondern auch Gewichtungen für Ressourcen festlegen, die Nutzung berechnen, den Start und Stopp von Aufgaben (Prozessen oder Landkreisen) steuern usw. Um es ganz klar auszudrücken: Cgroups können die von Aufgabengruppen verwendeten physischen Ressourcen (einschließlich CPU, Speicher, E/A usw.) begrenzen und aufzeichnen. Dies ist der Eckpfeiler beim Aufbau einer Reihe von Virtualisierungsverwaltungstools wie Docker. Die Rolle von cgroups cgroups bietet eine einheitliche Schnittstelle für die Ressourcenverwaltung auf verschiedenen Benutzerebenen: Von der individuellen Ressourcensteuerung bis hin zur Virtualisierung auf Betriebssystemebene bietet cgroups vier Hauptfunktionen. Ressourcenbeschränkung cgroups können die Gesamtressourcen begrenzen, die von Aufgaben verwendet werden. Wenn Sie die Obergrenze des von der Anwendung während der Ausführung verwendeten Speichers festlegen, wird eine OOM-Eingabeaufforderung ausgegeben, sobald das Kontingent überschritten wird Die Größe der E/A-Bandbreite entspricht tatsächlich der Steuerung der Priorität der ausgeführten Aufgabe Ressourcenstatistiken cgroups können die Systemressourcennutzung zählen z. B. CPU-Nutzungszeit, Speichernutzung usw. Diese Funktion eignet sich sehr gut für die Abrechnung Aufgabensteuerung Cgroups können Aufgaben anhalten und fortsetzen Empfohlenes Lernen: „ Docker-Video-Tutorial “

Das obige ist der detaillierte Inhalt vonWelche Ressourcen Docker isoliert. Für weitere Informationen folgen Sie bitte anderen verwandten Artikeln auf der PHP chinesischen Website!