docker與宿主機是共享內核的;Docker容器本質上是宿主機上的進程,Docker通過namespace實現了資源隔離,docker和宿主機共享內核本質上是通過內核的namespace和cgroup來實現的進程隔離。
本教程操作環境:linux7.3系統、docker-1.13.1版、Dell G3電腦。
docker與宿主機共享內核嗎
docker與宿主機是共享內核的
其本質是通過內核的namespace合cgroup來實現的進程隔離
當談論Docker時,常常會聊到Docker的實現方式。很多開發者都知道,Docker容器本質上是宿主機上的進程。Docker通過namespace實現了資源隔離。通過cgroups實現了資源限制,通過寫時復制機制實現了高效的文件操作。但更進一步深入namespace和cgroups等技術細節時,大部分開發者都會感到茫然無措。所以在這里,先帶領大家走進Linux內核,了解namespace和cgroups的技術細節。
namespace資源隔離
想要要實現一個資源隔離的容器,應該從哪些方面入手呢?可能有人第一反應可能就是chroot命令,這條命令給用戶最直觀的感覺就是使用后根目錄/的掛載點切換了,即文件系統被隔離了。接著,為了在分布式的環境下進行通信和定位,容器必然需要一個獨立的IP、端口、路由等,自然就想到了網絡的隔離。同時,容器還需要一個獨立的主機名以便在網絡中標識自己。想到網絡,順其自然就想到通信,也就想到了進程間通信需要隔離。開發者可能也想到了權限的問題,對用戶和用戶組的隔離就實現了用戶權限的隔離。最后,運行在容器中的應用需要有自己的(PID),自然也需要與宿主機中的PID進行隔離。
由此,基本上完成了一個容器所需要做的六項隔離,Linux內核中就提供了這六種namespace隔離的系統調用,如表1-1所示。
實際上,Linux內核實現namespace的一個主要目的,就是為了實現輕量級虛擬化(容器)服務。在同一個namespace下的進程可以感知彼此的變化,而對外界的進程一無所知。這樣就可以讓容器中的進程產生錯覺,仿佛自己置身于一個獨立的系統環境中,以此達到獨立和隔離的目的。
推薦學習:《docker視頻教程》
