這篇文章主要介紹“怎么理解Linux容器”�����,在日常操作中,相信很多人在怎么理解Linux容器問題上存在疑惑�,小編查閱了各式資料,整理出簡單好用的操作方法���,希望對大家解答”怎么理解Linux容器”的疑惑有所幫助��!接下來�����,請跟著小編一起來學(xué)習(xí)吧��!
創(chuàng)新互聯(lián)建站是一家專業(yè)提供化隆企業(yè)網(wǎng)站建設(shè),專注與成都網(wǎng)站制作���、成都網(wǎng)站設(shè)計(jì)、H5頁面制作��、小程序制作等業(yè)務(wù)���。10年已為化隆眾多企業(yè)��、政府機(jī)構(gòu)等服務(wù)���。創(chuàng)新互聯(lián)專業(yè)網(wǎng)站設(shè)計(jì)公司優(yōu)惠進(jìn)行中。
Linux 容器
這篇文章著重來講一下 Linux 容器��,為什么強(qiáng)調(diào) Linux 容器��,而不是 Docker ����,是因?yàn)?Docker 是基于虛擬化技術(shù)來實(shí)現(xiàn)的����,但是這篇文章涉及到 Linux 容器的核心實(shí)現(xiàn)方面����,兩者不同,所以著重強(qiáng)調(diào)一下���。
容器其實(shí)是一種沙盒技術(shù)�����。顧名思義�����,沙盒就是能夠像一個(gè)集裝箱一樣��,把你的應(yīng)用裝起來���。這樣,應(yīng)用與應(yīng)用之間就有了邊界而不會相互干擾;同時(shí)裝在沙盒里面的應(yīng)用��,也可以很方便的被搬來搬去,這也是 PaaS 想要的最理想的狀態(tài)��。但是說起來容易�����,等到真正實(shí)現(xiàn)起來的時(shí)候����,就會有難度。因?yàn)槿萜魇沁\(yùn)行在宿主機(jī)上面的�,當(dāng)它運(yùn)行起來的時(shí)候���,需要加載到內(nèi)存中�,需要 CPU 完成加法操作等等�。也就是說,如果想要實(shí)現(xiàn)真正意義上的容器����,就要解決容器和宿主機(jī)真正隔離這樣的問題,但現(xiàn)實(shí)中這樣的問題還沒辦法解決��。
既然問題還沒解決�����,那么我們所說的容器,是在說什么?容器的核心功能又什么?
容器核心功能
在上面已經(jīng)說過�,容器其實(shí)是一種沙盒技術(shù),應(yīng)用和應(yīng)用之間有“邊界”�。所以容器的核心功能,就是通過約束和修改進(jìn)程的動態(tài)表現(xiàn)���,從而創(chuàng)造出一個(gè)"邊界"�。
這個(gè)官方語言可能會有點(diǎn)兒難懂�,咱們換個(gè)說法。容器用英語來說就是 Container ����,而 Container 的另一個(gè)意思是集裝箱。提到集裝箱的時(shí)候�,你的腦海里第一反應(yīng)是不是大船停靠在岸邊���,然后好多整齊劃一的箱子可以運(yùn)來運(yùn)去�。為什么這些集裝箱可以很方便的運(yùn)來運(yùn)去呢?因?yàn)樗鼈兇笮∫恢?����,而且是箱子,對?所以當(dāng)我們使用 Container 來形容容器的時(shí)候���,就是我們想要讓容器達(dá)到一個(gè)可以打包�,符合標(biāo)準(zhǔn)的狀態(tài)�。
基于以上,我覺得咱們可以達(dá)成一個(gè)共識�����,就是如果想要讓容器幫助我們達(dá)到一個(gè)可以打包��,符合標(biāo)準(zhǔn)的狀態(tài)的話�����,首先要解決的是什么問題?就是將容器和容器之間隔離出來�,這樣我才能對這個(gè)容器統(tǒng)一做一個(gè)操作�,對不對。對于 Docker 等大多數(shù) Linux 容器來說���,做到讓容器和容器之間隔離�,主要是兩種技術(shù):一種是看起來是隔離了的技術(shù):Namespace 技術(shù)�����,它是用來修改進(jìn)程視圖的主要方法,也就是說每個(gè) namespace 中的應(yīng)用看到的是不同的 IP 地址�����、用戶空間等;一種是用起來是隔離了的技術(shù):Cgroups 技術(shù)��,它是用來制造約束的主要手段��,也就是說����,我這臺服務(wù)器總共有 8G 的內(nèi)存,都給這一個(gè)應(yīng)用的話�,其他的應(yīng)用怎么跑起來呢?所以 Cgroups 技術(shù)就是對容器來做一個(gè)限制。
Namespace
Namespace 就是命名空間的意思�,如果編程使用的是,面向?qū)ο蟮某绦蛟O(shè)計(jì)語言��,那對于這個(gè)詞應(yīng)該不是很陌生�����。一個(gè)團(tuán)隊(duì)在一起寫代碼����,難免會有相同的類��,此時(shí)編譯就會沖突��。如果每個(gè)功能都有自己的命名空間���,那在不同的空間里面就算類名相同,也不會有啥沖突�。寫程序如此,在 Linux 上跑程序也是如此�。當(dāng)我們在一臺 Linux 上跑多個(gè)進(jìn)程時(shí),進(jìn)程有全局的進(jìn)程 ID ��,網(wǎng)絡(luò)也有全局的路由表�����。如果多個(gè)進(jìn)程使用不同的路由策略��,可能會導(dǎo)致這些進(jìn)程沖突��,解決辦法也很簡單��,將這些進(jìn)程放在一個(gè)獨(dú)立的 namespace 里面就可以了嘛����。
說是這樣說,但是有一點(diǎn)我希望你能明確知道�����,進(jìn)程在靜態(tài)狀態(tài)下就是程序�����,它只是磁盤上的二進(jìn)制文件罷了�����。只有當(dāng)它運(yùn)行起來時(shí)��,才成為進(jìn)程���。所以�����,當(dāng)我們開始運(yùn)行程序時(shí)��,操作系統(tǒng)都會為進(jìn)程分配一個(gè)進(jìn)程編號�,這個(gè)編號就是進(jìn)程的唯一標(biāo)識。假設(shè)我們開始運(yùn)行了一個(gè)程序���,它的 PID=100 ����。也就是說這個(gè)程序是第 100 個(gè)進(jìn)程�,在它前面還有 99 個(gè)進(jìn)程。而現(xiàn)在���,如果我們通過 Docker 把這個(gè)程序運(yùn)行在一個(gè)容器當(dāng)中�,那么 Docker 就會在第 100 個(gè)進(jìn)程創(chuàng)建時(shí)���,給它施一個(gè)"障眼法",讓它永遠(yuǎn)看不到其他 99 個(gè)進(jìn)程�,這樣這個(gè)程序就會誤以為自己是第 1 個(gè)進(jìn)程 這種機(jī)制�����,其實(shí)就是對被隔離應(yīng)用的進(jìn)程空間做了手腳����,使得這些進(jìn)程只能看到重新計(jì)算過的進(jìn)程編號����,比如上面的第 100 個(gè)進(jìn)程�����,經(jīng)過 Docker 的"障眼法"之后����,誤以為自己是第 1 個(gè)進(jìn)程�,但是實(shí)際上在宿主機(jī)的操作系統(tǒng)中,它還是原來的第 100 個(gè)進(jìn)程�。
容器限制( Cgroups )
Linux Cgroups 的全稱是 Linux Control Group 。它最主要的作用�����,就是限制一個(gè)進(jìn)程組能夠使用的資源上限���,包括 CPU �,內(nèi)存��,磁盤�,網(wǎng)絡(luò)帶寬等��。特別簡單的一句話就是�,你的電腦只有 8G 內(nèi)存��,你會允許一個(gè)進(jìn)程占用你的內(nèi)存到 7G 嘛?一般情況下應(yīng)該是不會吧����,那樣的話,做其他事情不都卡的要死嘛�����,對不對����。所以在 Linux 中,提供了一種技術(shù)��,來控制進(jìn)程組所能使用的資源���。Cgroups 的有很多子系統(tǒng)��,每一項(xiàng)子系統(tǒng)都有自己獨(dú)有的資源限制能力���,比如:
blkio :為塊設(shè)備設(shè)定 I/O 限制��,一般用于磁盤等設(shè)備;
cpuset :為進(jìn)程分配單獨(dú)的 CPU 核和對應(yīng)的內(nèi)存節(jié)點(diǎn);
memory :為進(jìn)程設(shè)定內(nèi)存使用的限制;
cpu :使用調(diào)用程序?yàn)檫M(jìn)程控制 CPU 的訪問;Linux Cgroups 的設(shè)計(jì)還是比較易用的����,它就是一個(gè)子系統(tǒng)目錄加上一組資源限制文件的組合���。對于 Docker 等 Linux 容器項(xiàng)目來說,它們只需要在每個(gè)子系統(tǒng)下面��,為每個(gè)容器創(chuàng)建一個(gè)控制組(即創(chuàng)建一個(gè)新目錄),然后在啟動容器進(jìn)程之后��,把這個(gè)進(jìn)程的 PID 填寫到對應(yīng)控制組的 tasks 文件中就可以了���。至于在這些控制組下面的資源文件里填什么值�����,那就交給用戶執(zhí)行 docker run 時(shí)的參數(shù)來指定了���。
經(jīng)過以上分析,我們可以了解到����,容器這個(gè)聽起來玄而又玄的概念�����,實(shí)際上它就是操作系統(tǒng)上的一種特殊的進(jìn)程而已�����。所以����,容器本身并沒有價(jià)值�����,有價(jià)值的是"容器編排"�。當(dāng)我們在談容器的時(shí)候,其實(shí)我們在談如何更好的去編排容器���。這也是為什么當(dāng)下 k8s 這么火的原因�����。
容器與虛擬機(jī)異同
看到這里����,你會不會有疑問,容器和虛擬機(jī)之間有什么不同呢?你可能看到過下面這個(gè)圖片:
在這張圖的左邊��,畫出了虛擬機(jī)的工作原理��,其中 Hypervisor 的軟件是虛擬機(jī)主要部分�,它通過硬件虛擬化功能,將主機(jī)的 cpu ���,內(nèi)存, I/O 設(shè)備等虛擬出來�,在這些虛擬的硬件上,安裝了一個(gè)新的操作系統(tǒng)�,也就是圖中的 GuestOS 。此時(shí)���,用戶的應(yīng)用進(jìn)程就可以運(yùn)行在這個(gè)虛擬的機(jī)器中���,它能看到的也就只有 GuestOS 的文件和目錄,使用的也是這個(gè)機(jī)器里面的虛擬設(shè)備����。這就是為什么虛擬機(jī)能夠?qū)⒉煌膽?yīng)用進(jìn)程相互隔離,因?yàn)樗鼈兯诘南到y(tǒng)本來就不是同一個(gè)系統(tǒng)��。
這張圖的右邊則是容器,它只由應(yīng)用程序本身和它的環(huán)境依賴(庫和其他應(yīng)用程序)兩部分組成�����,并且是直接在宿主機(jī)上運(yùn)行的����。當(dāng)你想要啟動容器的時(shí)候,根本不需要啟動整個(gè)操作系統(tǒng)����,因?yàn)樗緛砭褪窃谶@個(gè)操作系統(tǒng)上的。而且��,因?yàn)槿萜髦苯釉谒拗鳈C(jī)上��,所有容器都共享這個(gè)底層操作系統(tǒng)���,沒有另外新裝操作系統(tǒng)���,這就使得容器不管是在體積上,還是啟動速度方面�,都會更快,開銷更小,也更加容易遷移����。
還記得講容器的時(shí)候,介紹的 Namespace 技術(shù)嘛����,虛擬機(jī)是真實(shí)存在的,你可以直接在自己的電腦上創(chuàng)建一個(gè)�,但是容器不一樣,它沒有一個(gè)真正的“容器”運(yùn)行在宿主機(jī)里面����, Docker 項(xiàng)目幫助用戶啟動的,還是原來的應(yīng)用進(jìn)程����,只是在創(chuàng)建這些進(jìn)程時(shí)�,加上了 Namespace 參數(shù)罷了,但是對于宿主機(jī)來說��,本質(zhì)還是進(jìn)程罷了�。
到此,關(guān)于“怎么理解Linux容器”的學(xué)習(xí)就結(jié)束了�����,希望能夠解決大家的疑惑。理論與實(shí)踐的搭配能更好的幫助大家學(xué)習(xí)���,快去試試吧�!若想繼續(xù)學(xué)習(xí)更多相關(guān)知識�����,請繼續(xù)關(guān)注創(chuàng)新互聯(lián)網(wǎng)站���,小編會繼續(xù)努力為大家?guī)砀鄬?shí)用的文章�!
當(dāng)前名稱:怎么理解Linux容器
本文地址:
http://weahome.cn/article/jghsih.html
重慶分公司
重慶分公司
