linux 父子进程 资源_从零开始学K8S(二):进程隔离让docker看起来像虚拟化
各位小伙伴大家好,我是运维虫子!
上一篇,我们一起学习了docker的起源以及docker的简单运用,今天我们来从软件层面来了解一下docker的具体工作原理。
Linux进程
进程是在 CPU 及内存中运行的程序代码,而每个进程可以创建一个或多个进程(父子进程)。
通常通过ps -ef来查看
namespace(隔离内核资源)
我们先来创建一个容器
docker pull centosdocker run -itd --name centos centos /bin/bash
在容器运行的时候,我们通过下面的命令进入容器以后
[root@Docker ~]# docker exec -it centos bash[root@c682c328d6ad /]# ps PID TTY TIME CMD 15 pts/1 00:00:00 bash 28 pts/1 00:00:00 ps
通过ps 查看进程以后发现,确实只有当前容器运行的进程。上一个图中宿主机的其他进程都看不到了,感觉上确实相当于一个独立的操作系统,但事实上确实是这样吗?
在回答上面的问题之前,我们先来了解一下,Linux自带的namespace。
namespace 是 Linux 内核用来隔离内核资源的方式。通过 namespace 可以让一些进程只能看到与自己相关的一部分资源,而另外一些进程也只能看到与它们自己相关的资源,这两拨进程根本就感觉不到对方的存在。具体的实现方式是把一个或多个进程的相关资源指定在同一个 namespace 中。
namespace其实是Linux创建进程时候的一个可选参数,目前docker用到了以下6种namespace:
上面说的东西可能比较抽象,我们以刚刚创建的centos容器为例,来具体了解:
通过docker ps 查询容器短ID
[root@Docker ~]# docker psCONTAINER ID IMAGE COMMAND CREATED STATUS PORTS NAMESc682c328d6ad centos "/bin/bash" 22 minutes ago Up 22 minutes centos
在宿主机上利用 ps axf 来查询centos容器的真实进程。
ps axf | grep c682c328d6ad
查询到这个容器的PID为:31232
当前内核版本的namespace放在/proc/[pid]/ns 目录下:
[root@Docker ~]# ll /proc/31232/ns/total 0lrwxrwxrwx 1 root root 0 Dec 7 10:37 ipc -> ipc:[4026531839]lrwxrwxrwx 1 root root 0 Dec 7 10:37 mnt -> mnt:[4026531840]lrwxrwxrwx 1 root root 0 Dec 7 10:37 net -> net:[4026531956]lrwxrwxrwx 1 root root 0 Dec 7 10:37 pid -> pid:[4026531836]lrwxrwxrwx 1 root root 0 Dec 7 10:37 user -> user:[4026531837]lrwxrwxrwx 1 root root 0 Dec 7 10:37 uts -> uts:[4026531838]
我们发现这个进程利用namespace的ipc、mount、net、pid等资源隔离技术,相对于封装了一个完整的系统给docker来使用。
一个完整的容器已经通过namespace创建好了,但是资源该怎么管理呢?就用到了下面提到的cgroup。
Cgroup(kernel的配额管理机制)
Cgroup 是 Control group 的简称,是 Linux 内核提供的一个特性,用于限制和隔离一组进程对系统资源的使用。对不同资源的具体管理是由各个子系统分工完成的。
同样Cgroup也有以下几种限制内容:
cpu:限制cgroup的CPU使用cpuacct:统计cgroup的CPU的使用率。cpuset:绑定cgroup到指定CPUs和NUMA节点。memory:统计和限制cgroup的内存的使用率,包括process memory, kernel memory, 和swap。devices:限制cgroup创建(mknod)和访问设备的权限。freezer:suspend和restore一个cgroup中的所有进程。net_cls:将一个cgroup中进程创建的所有网络包加上一个classid标记,用于tc和iptables。 blkio:限制cgroup访问块设备的IO速度。perf_event:对cgroup进行性能监控net_prio:针对每个网络接口设置cgroup的访问优先级。hugetlb:限制cgroup的huge pages的使用量。pids:限制一个cgroup及其子孙cgroup中的总进程数。
通过限制容器io举例,来理解cgroup是如何限制的:
docker run -it --name yunweichongzi --device-write-bps /dev/vda:40MB centos
进入容器进行io测试:
time dd if=/dev/zero of=test bs=1M count=500 oflag=direct
可以看出磁盘写入的数理为40.1MB/s,用时2.61s。
同样,我们在宿主机上执行IO测试:
可以看出磁盘写入的数理为812MB/s,用时0.129s。
总结
通过对namespace和cgroup的了解,是不是发现docker与之前的虚拟化是有不同的,之前的虚拟化是通过虚拟化工具虚拟成一个完整的虚拟机,而docker是利用Linux的内核特性对进程进行隔离,对资源进行限制来达成一种轻量的虚拟化。
我们再来看一下这个图,是不是发现稍微有点不符合docker,docker其实是一个资源隔离工具,从进程中来看,docker与APP A、B等等其实是一样的。
了解完namespace的进程限制与隔离、cgroup的资源限制。是不是还缺一个内容,那就是文件系统。
所以下一篇,我们来聊一聊:“rootfs:根文件系统,docker的创新技术镜像。”
多年致力于互联网搬砖,各种互联网技术都稍有涉猎。如果大家遇到一些问题可以私信或者留言给我。我们可以一起讨论!
linux 父子进程 资源_从零开始学K8S(二):进程隔离让docker看起来像虚拟化相关推荐
- 同一个容器实例可以同时运行在多个宿主机_从零开始学K8s: 3.什么是容器
Kubernetes使用Linux容器技术来实现应用的隔离.因此在深入学习k8s之前,我们需要先学习容器的基础知识以便更好地去理解k8s的原理机制. 揭开容器的神秘面纱 当一个应用只由较少数量的大组件 ...
- docker 不包含依赖 打包_从零开始学K8s: 4.Docker是什么
"Docker"可以指代的对象可以有如下几个: Docker 容器技术:可以创建和使用Linux容器 Docker 社区:开源Docker社区致力于改进这些技术,使所有用户受益(h ...
- 某系统有6台输出设备 有多个进程均需要使用2台_从零开始学K8s: 2.开发与部署方式的演变...
近年来,应用开发和部署发生了一些变化.这些变化是由两方面促成的,一方面是大型单体应用被拆解为更多小型的微服务,另一方面是应用程序运行所依赖的基础架构发生了变化.理解这些变化,将使我们更好的看到使用k8 ...
- k8s ready 不调度_从零开始学K8s: 10.在K8s上运行应用
上一节我们学习了如何使用Minikube搭建一个k8s环境,这一节开始我们来学习如何将之前创建的Node.js应用程序部署到这个k8s环境里 在部署之前,通常我们都会先准备好YAML或者JSON格式的 ...
- k8s一个容器多个镜像_从零开始学K8s: 6.运行一个简单的容器
如果觉得本文对您有帮助,可以关注.转发.点赞,您的支持是我持续创作的最大动力! 如果要在Kubernetes中运行应用程序,需要先将它们打包到容器镜像中.本文以Docker为例来进行具体讲解. 1.安 ...
- python仿真搭建_仿真秀学院|从零开始学ANSA二次开发:如何利用Designer搭建窗口,含安装步骤...
原标题:仿真秀学院|从零开始学ANSA二次开发:如何利用Designer搭建窗口,含安装步骤 作者 | 团长 仿真秀专栏作者 首发 |仿真秀App 导读:大家好,我是团长,是一名CAEer,还是一名C ...
- 米筐量化不支持c语言_从零开始学量化(三):数据获取途径
本系列的前两篇都是一些笼统的介绍,供小白制定学习计划时参考,现在该铺垫的都铺垫的差不多了.循序渐进,从本篇开始会写一些能实操的内容,尽量写的很细节,有任何问题欢迎私戳. 本篇给出一些数据获取途径,基本 ...
- linux 父子进程 资源_linux 父子进程 资源_实验4 Linux父子进程同步
实验 4 Linux 父子进程同步 [实验目的] ( 1 )熟悉在 c 语言源程序中使用 linux 所提供的系统调用界面的方法. ( 2 )理解同步的概念. ( 3 )使用系统调用 wait() ...
- xenserver 虚拟机扩容lvm磁盘分区的方法_从零开始学Linux运维|35.LVM(逻辑卷管理)的创建...
简单来说 LVM是建立在硬盘和分区之上的一个逻辑层,提高磁盘分区管理的灵活性 如果没有使用LVM,我们直接访问文件系统读取硬盘内容 使用了LVM我们是通过逻辑卷的东西来读取硬盘内容 使用LVM增加一个 ...
最新文章
- 企业对网站空间的抉择有可能影响着网站日常运营水平
- 微信小游戏 Egret开发数据域官方Demo下载地址
- 分数加减法_JAVA
- 如何为Apache JMeter开发插件(一)
- gearman mysql编译_gearman初探(一、编译和安装)
- catia钣金根据线段折弯_钣金折弯加工注意事项有哪些?钣金折弯要点介绍
- python重定向_Python接口自动化(十)重定向(Location)
- 最好的ppt转pdf软件
- 大型网站架构系列:缓存在分布式系统中的应用
- python输出语句中引用多个变量
- 准考证打印系统关闭怎么办_2021国家公务员考试准考证打印系统关闭了怎么办...
- Java拼接sql,并组装成建表语句
- 科研画图——流程图软件draw.io
- Vue实现简单的音乐播放器
- Android源码开发之蓝牙通知振动
- OpenCV—python 图像矫正(基于傅里叶变换—基于透视变换)
- 2022-Arch安装(详细)
- 西门子TIA博途软件多版本共存安装教程
- 中标麒麟 NeoKylin 5.1 安装C++环境
- win10系统电脑声音图标正常,但没有声音
热门文章
- SurfaceFlinger与Hardware Composer
- C++创建对象new与不new区别
- tensorflow之安装opencv
- ubuntu-多网卡聚合-bond技术教程
- div和div之间画横线,如何在两个div之间画一条线?
- vba 字体颜色_Excel填充单元格颜色和改变字体颜色,用VBA是怎样实现的呢?
- SpringBoot 笔记
- 不清楚SBUS,这份SBUS协议详解请收藏
- 安装mysql查看随机密码命令_deepin安装MySQL没有弹出设置root密码怎么进行修改
- mc服务器常用指令_我的世界:游戏内高频使用指令,这个“神秘代码”你用过吗?...