到虚拟化技术,我们首先想到的一定是Docker,经过四年的快速发展Docker已经成为了很多公司的标配,也不再是一个只能在开发阶段使用的玩具了。作为在生产环境中广泛应用的产品,Docker有着非常成熟的社区以及大量的使用者,代码库中的内容也变得非常庞大。
同样,由于项目的发展、功能的拆分以及各种奇怪的改名PR,让我们再次理解Docker的的整体架构变得更加困难。
虽然Docker目前的组件较多,并且实现也非常复杂,但是本文不想过多的介绍Docker具体的实现细节,我们更想谈一谈Docker这种虚拟化技术的出现有哪些核心技术的支撑。
首先,Docker的出现一定是因为目前的后端在开发和运维阶段确实需要一种虚拟化技术解决开发环境和生产环境环境一致的问题,通过Docker我们可以将程序运行的环境也纳入到版本控制中,排除因为环境造成不同运行结果的可能。但是上述需求虽然推动了虚拟化技术的产生,但是如果没有合适的底层技术支撑,那么我们仍然得不到一个完美的产品。本文剩下的内容会介绍几种Docker使用的核心技术,如果我们了解它们的使用方法和原理,就能清楚Docker的实现原理。
Namespaces
命名空间(namespaces)是Linux为我们提供的用于分离进程树、网络接口、挂载点以及进程间通信等资源的方法。在日常使用Linux或者macOS时,我们并没有运行多个完全分离的服务器的需要,但是如果我们在服务器上启动了多个服务,这些服务其实会相互影响的,每一个服务都能看到其他服务的进程,也可以访问宿主机器上的任意文件,这是很多时候我们都不愿意看到的,我们更希望运行在同一台机器上的不同服务能做到完全隔离,就像运行在多台不同的机器上一样。
在这种情况下,一旦服务器上的某一个服务被入侵,那么入侵者就能够访问当前机器上的所有服务和文件,这也是我们不想看到的,而Docker其实就通过Linux的Namespaces对不同的容器实现了隔离。
Linux的命名空间机制提供了以下七种不同的命名空间,包括CLONE_NEWCGROUP、CLONE_NEWIPC、CLONE_NEWNET、CLONE_NEWNS、CLONE_NEWPID、CLONE_NEWUSER和CLONE_NEWUTS,通过这七个选项我们能在创建新的进程时设置新进程应该在哪些资源上与宿主机器进行隔离。
进程
进程是Linux以及现在操作系统中非常重要的概念,它表示一个正在执行的程序,也是在现代分时系统中的一个任务单元。在每一个*nix的操作系统上,我们都能够通过ps命令打印出当前操作系统中正在执行的进程。
当前机器上有很多的进程正在执行,在上述进程中有两个非常特殊,一个是pid为1的/sbin/init进程,另一个是pid为2的kthreadd进程,这两个进程都是被Linux中的上帝进程idle创建出来的,其中前者负责执行内核的一部分初始化工作和系统配置,也会创建一些类似getty的注册进程,而后者负责管理和调度其他的内核进程。
Docker通过Linux的命名空间实现了网络的隔离,又通过iptables进行数据包转发,让Docker容器能够优雅地为宿主机器或者其他容器提供服务。
结束语:以上就是关于DocKer的核心技术与实现原理的全部内容,更多内容请关注学步园。