观察containerd-shim-runc-v2进程与容器里的1号进程

我们使用docker run 启用一个容器时，docker 会给每个容器都启动一个containerd-shim-runc-v2进程，一开始，我以为这个containerd-shim-runc-v2就是容器里的1号进程（PID=1）,但实际上不是。

如何证明containerd-shim-runc-v2不是容器里的1号进程（PID=1）呢？

证明如下：

第1步：环境检查。

 [root@workstation ~]# ps -ef|grep containerd
root       1120      1  0 Apr22 ?        00:08:04 /usr/bin/containerd
root       1271      1  0 Apr22 ?        00:03:36 /usr/bin/dockerd -H fd:// --containerd=/run/containerd/containerd.sock
root     121644 119770  0 08:46 pts/3    00:00:00 grep --color=auto containerd
[root@workstation ~]#

可以看到，当前没有容器在这台机器上跑，只有一个containerd进程，没有containerd-shim-runc-v2进程。

第2步：启动一个busybox容器，启动命令为：sleep 10000秒。

[root@workstation ~]# docker run -d hb.cn/repo/busybox:1.28 sleep 10000
42f741209ecc1c79fe10dbf4262972c54264a62df25dcad1522e79f8f9028025
[root@workstation ~]#
[root@workstation ~]#
[root@workstation ~]#
[root@workstation ~]# ps -ef|grep containerd
root       1120      1  0 Apr22 ?        00:08:05 /usr/bin/containerd
root       1271      1  0 Apr22 ?        00:03:36 /usr/bin/dockerd -H fd:// --containerd=/run/containerd/containerd.sock
root     122012      1  0 08:49 ?        00:00:00 /usr/bin/containerd-shim-runc-v2 -namespace moby -id 42f741209ecc1c79fe10dbf4262972c54264a62df25dcad1522e79f8f9028025 -address /run/containerd/containerd.sock
root     122139 116625  0 08:49 pts/1    00:00:00 grep --color=auto containerd
[root@workstation ~]#

可以看到，宿主机上，多了一个/usr/bin/containerd-shim-runc-v2进程，PID为122012，它是由1号进程fork出来的，不是containerd进程。

第3步：我们继续看一下这个containerd-shim-runc-v2进程，生出了那些“宝宝”（子进程）

[root@workstation ~]# ps -ef|grep 122012
root     122012      1  0 08:49 ?        00:00:00 /usr/bin/containerd-shim-runc-v2 -namespace moby -id 42f741209ecc1c79fe10dbf4262972c54264a62df25dcad1522e79f8f9028025 -address /run/containerd/containerd.sock
root     122032 122012  0 08:49 ?        00:00:00 sleep 10000
root     122660 116625  0 08:53 pts/1    00:00:00 grep --color=auto 122012
[root@workstation ~]#

可以看到，containerd-shim-runc-v2进程fork出sleep 10000进程（PID=122032), 这正是容器的启动进程，是通过docker run 时设置进去的。

备注：也可以使用docker top [容器ID]来查看。

第4步：进入到容器中看看。

[root@workstation ~]# docker exec 42f741209ec ps -ef
PID   USER     TIME  COMMAND1 root      0:00 sleep 1000015 root      0:00 ps -ef
[root@workstation ~]#

除了ps 进程外，容器里，只有一个sleep 10000的进程，它在容器里为PID=1，起着操作系统的systemd作用。那个ps 进程(PID=15）就是由它衍生出来的。

第5步：ps命令跑完结束了，我们在容器里跑一个长期运行的命令：sleep 20000

[root@workstation ~]# docker exec 42f741209ec sleep 20000

第6步：换一个终端，继续观察。

[root@workstation ~]# ps -ef|grep 122012
root     122012      1  0 08:49 ?        00:00:00 /usr/bin/containerd-shim-runc-v2 -namespace moby -id 42f741209ecc1c79fe10dbf4262972c54264a62df25dcad1522e79f8f9028025 -address /run/containerd/containerd.sock
root     122032 122012  0 08:49 ?        00:00:00 sleep 10000
root     123879 122012  0 09:01 ?        00:00:00 sleep 20000
root     124070 117905  0 09:02 pts/2    00:00:00 grep --color=auto 122012
[root@workstation ~]#

可以看到，在宿主机上，那个containerd-shim-runc-v2又多生一个宝宝：sleep 20000（PID=123879)

第7步：再次进入到容器里观察。

[root@workstation ~]# docker exec 42f741209ec ps -ef
PID   USER     TIME  COMMAND1 root      0:00 sleep 1000022 root      0:00 sleep 2000029 root      0:00 ps -ef
[root@workstation ~]#

容器里的sleep 10000进程（容器里的1号进程）fork出sleep 20000进程（容器里的22号进程）

示意图上如下：

总结与思考：

1）容器里的1号进程，并不是containerd进程，也不是containerd-shim-runc-v2。

containerd-shim-runc-v2进程的作用是什么？每个容器配置一个containerd-shim-runc-v2进程，为什么要这样设计？

2）容器里的1号进程，除可以通过docker run指定，还可以在dockerfile中指定。

3）容器的启动进程为容器里的1号进程，具有特殊意义。它要接收容器停止时的信号，实现优雅退出。

4）Docker鼓励“一个容器一个进程(one process per container)”的方式。

上面3点，请参考：理解Docker容器的进程管理 - ilinux_one - 博客园

5）在容器里看到的所有进程，其实都是在宿主机上的（废话），容器技术只不过中用了“障眼法”，把它们的pid改了，让我们误以为容器是跑一个独立的环境中，这个技术叫PID Namespace。