摘要:容器传统意义上的容器实际上只是系统上的普通进程。最后,容器引擎启动读取运行时规范的容器运行时,修改安全约束以及命名空间,并且启动容器命令以创建。此外,也将用户的安全问题放在首位。
“容器”无疑是近年IT业界的buzzword,不过,在不同语境下,它对不同的人有不同的含义。在本文中,我将从Linux容器、容器镜像、写时复制等方面来阐释容器的具体含义。
Linux容器
传统意义上的Linux容器实际上只是Linux系统上的普通进程。这些进程组使用资源约束(控制组,即[cgroups])、Linux安全约束(Unix权限、功能、SELinux、AppArmor、seccomp等)和命名空间(PID、网络、挂载等)与其他进程组隔离开来。
如果你启动一个Linux系统并且查看使用cat /proc/PID/cgroup的任意进程,你将看到在cgroup中的某一进程。如果你查看 /proc/PID/status,则会看到其功能。如果你查看/ proc / self / attr / current,你将会获取SELinux的标签们。如果你查看/proc/PID/ns,你会在其中看到一系列命名空间的进程。
所以,如果你将容器定义为具有资源限制、Linux安全约束以及命名空间的进程,那么根据这一定义,Linux系统上的每个进程都运行在容器中。这就是为什么有人说“Linux即容器,容器即Linux”。而容器运行时则是修改这些资源限制、安全约束以及命名空间,并且可以启动容器的程序。
容器镜像
Docker引入了容器镜像的概念,这是一个标准的TAR文件,它包含了:
Rootfs (容器根文件系统):在操作系统上带有根目录(/)标识的目录,例如:/usr 、/var 、 /home 等等。
JSON文件(容器配置):JSON文件会来规定如何运行rootfs,例如:当容器启动时应该在rootfs中运行什么指令或entrypoint,应该为容器设置什么样的环境变量,容器的工作目录是什么等等。
Docker基础镜像由根文件系统和JSON文件组成,可以通过在基础镜像的根文件系统中安装所需的内容,以更新JSON文件,并且新建一个镜像层,通过这种方式可以制作一个新的镜像。
容器镜像的定义最终由Open Container Initiative(OCI)标准化为OCI镜像规范。
用于构建容器镜像的工具被称为容器镜像构建器(如Dockerfile),有时容器引擎也能够完成构建容器镜像的工作,当然也可以使用一些可以构建容器镜像的独立工具。
Docker获取了这些容器镜像(tarballs)然后将他们上传到一个web服务中,你可以从中拉取他们。然后Docker会开发一个协议以便你顺利拉取这些镜像,而这一web服务便被称为容器镜像仓库。
容器引擎可以从容器镜像仓库中拉取镜像,然后将其重组到容器存储上。此外,容器引擎也能启动容器运行时(如下图)。
Copy On Write(COW)
容器存储通常是一个写时复制(COW)分层文件系统。当你从镜像仓库中拉取一个镜像时,首先,你要从镜像中提取rootfs并且将其放到磁盘上。如果你的镜像由多层组成,那么在COW文件系统中需要将下载的每一层镜像文件储存在不同的层中。COW文件系统允许每一层分开存储,这将分层镜像的共享最大化了。容器引擎通常支持不同类型的容器存储,如overlay、devicemapper、 btrfs、 aufs和 zfs等。
容器运行时
容器引擎将容器镜像下载到容器存储中后,它需要创建一个容器运行时的配置文件。这一配置文件结合了来自调用程序/用户的输入以及容器镜像规范的内容。举个例子,调用程序可能想要对正在运行的容器进行指定的安全性修改、添加环境变量或者将volumes挂载到容器上,这些都是调用程序输入的内容。
容器运行时配置和分解的rootfs同样也被OCI标准化为OCI运行时规范。
最后,容器引擎启动读取运行时规范的容器运行时,修改Linux cgroup、Linux安全约束以及命名空间,并且启动容器命令以创建PID1(Process ID1)。此时,容器引擎可以将stdin / stdout传回调用程序并控制容器(如,停止、启动、附加等)。
请注意,许多新的容器运行时正在让Linux的不同部分来隔离容器。人们先可以使用KVM分离(如迷你虚拟机)运行容器,或者可以使用其他hypervisor策略(例如,拦截容器进程中的所有系统调用)。既然我们已经拥有一个标准的运行时规范,那么就能够通过相同的容器引擎启动这些工具。甚至Windows也可以使用OCI运行时规范来启动Windows容器。
容器编排引擎
容器编排引擎,相比其他容器工具而言,则处于更高的级别。容器编排是用于协调多个不同节点上的容器执行工具。容器编排引擎可以通过与容器引擎通信以管理容器,如启动容器并且将其网络连接在一起。它还能够监控容器以及在负载增加时启动其他容器。
Kubernetes是目前使用最为广泛的容器编排引擎,被大量的中小型企业用户用于开发或生产环境,并且已经成为业界公认的容器编排管理的标准框架。但是原生的Kubernetes因其学习曲线陡峭对于大多数开发人员而言很难直接上手使用。Rancher作为一个开源的企业级Kubernetes容器管理平台,其简洁直观的界面风格和操作体验可以极大程度地解决这一问题。并且Rancher实现了Kubernetes集群在混合云+本地数据中心的集中部署与管理,能统一纳管位于不同基础架构上的Kubernetes集群。此外,Rancher也将用户的安全问题放在首位。Kubernetes于8月6日发布新的补丁版本之后,Rancher反应迅速,在1天之后发布了全新版本Rancher 2.2.7,修复了新近的CVE并支持Kubernetes新版本。
访问Rancher Github主页,了解更多新版本信息:
https://github.com/rancher/ra...
文章版权归作者所有,未经允许请勿转载,若此文章存在违规行为,您可以联系管理员删除。
转载请注明本文地址:https://www.ucloud.cn/yun/110567.html
摘要:入门必读提供了一系列的命令行工具来辅助我们调试和定位问题,本指南列举一些常见的命令来帮助应用管理者快速定位和解决问题。这里以为例,介绍的常用命令其他的命令类型与其一致。入门必读Kubernetes 提供了一系列的命令行工具来辅助我们调试和定位问题,本指南列举一些常见的命令来帮助应用管理者快速定位和解决问题。定位问题在开始处理问题之前,我们需要确认问题的类型,是 Pod ,Service ,或...
摘要:注意通过创建的云主机云盘等资源,删除资源请不要通过具体的产品列表页删除,否则可能导致运行不正常或数据丢失风险,可以通过将资源释放或解绑删除。会使用到以下产品的全部操作权限,例如代替你创建删除云主机,由此产生的费用由你负责,请知悉。注意:通过UK8S创建的云主机、云盘、EIP等资源,删除资源请不要通过具体的产品列表页删除,否则可能导致UK8S运行不正常或数据丢失风险,可以通过UK8S将资源释放...
摘要:楚江数据经常浪迹各类有关数据类文章中网站中,做做搬运工。在这里跟大家分享下数据分析师的知识结构,数据分析师的知识结构应当包括数据能力业务思维方法三个维度。下面书单,选取的都是行业里面的经典书籍,内容较多,建议大家采取阶段性学习。 楚江数据经常浪迹各类有关数据类文章中网站中,做做搬运工。在这里跟大家分享下数据分析师的知识结构,数据分析师的知识结构应当包括数据能力、业务sense、思维方法...
摘要:详细请见产品价格产品概念使用须知名词解释漏洞修复记录集群节点配置推荐模式选择产品价格操作指南集群创建需要注意的几点分别是使用必读讲解使用需要赋予的权限模式切换的切换等。UK8S概览UK8S是一项基于Kubernetes的容器管理服务,你可以在UK8S上部署、管理、扩展你的容器化应用,而无需关心Kubernetes集群自身的搭建及维护等运维类工作。了解使用UK8S为了让您更快上手使用,享受UK...
摘要:如何签名掘金签名是阻碍开发者集成最大的绊脚石,这里主要针对签名的生成和使用进行讲解,高级开发者可忽略。但是当我们需要去做权限管理及其封装掘金前言出来很久了,都快发布了,尽管如此还是要整理一下这块。 给所有开发者的 React Native 详细入门指南(第一阶段) - Android - 掘金本文已授权微信公众号::鸿洋(hongyangAndroid)原创首发 本文为Marno原创,...
阅读 4091·2021-11-17 09:33
阅读 1525·2021-10-18 13:30
阅读 2292·2021-10-09 10:02
阅读 2694·2021-09-28 09:35
阅读 1333·2021-09-02 15:34
阅读 763·2019-08-27 14:19
阅读 1231·2019-08-27 14:19
阅读 1926·2019-08-26 13:39
