docker容器原理与实现.docxVIP

Docker容器的原理与实现 周成玉 【摘要】Linux容器（Linux Container，LXC）是docker的核心技术之一，LXC利用chroot、namespace和cgroup等技术实现资源的隔离和配额，文章剖析了LXC的原理和实现。 【关键词】chroot, namespace, cgroup, LXC 1、概述 海关已经广泛使用虚拟机技术多年，IT资源利用率得到有效提高。近年来，基于Docker的轻量级虚拟化技术正成为IT技术热点之一。与传统虚拟机相比，Docker技术本质上是一种LXC引擎。VM和LXC关注的问题都是资源的隔离和配额，VM采用CPU、memory、disk等硬件虚拟化技术，LCX则借助了chroot、namespace和cgroups等系统调用。 2、LXC的资源隔离 2.1、chroot chroot（change root directory,更改root目录），最早在1979年的Unix V7使用，并在各个版本的linux系统中得以保留。在linux系统中，系统默认的目录结构都是以“/”，即根(root)开始的。 通过使用chroot，系统读取到的目录和文件将不在是旧系统根下的而是指定的新位置下的目录结构和文件，这样带来两个好处： （1）增加系统的安全性，限制用户权力。经过chroot之后，在新根下将访问不到旧系统的根目录结构和文件，这样就增强了系统的安全性。在登录(login)前使用chroot，阻止用户访问特定目录。 （2）建立一个与原系统隔离的系统目录结构，方便用户的开发。使用chroot后，系统读取的是新根下的目录和文件，这是一个与原系统根下文件不相关的目录结构。在这个新的环境中，可以用来测试软件的静态编译以及一些与系统不相关的独立开发。 Docker就是利用chroot功能，实现每个容器里看到的文件系统都是一个完整的linux系统。下面来看一个简单shell脚本，将某个进程及其子进程访问根目录限制在“/home/container”目录，该进程及其子进程将不能访问linux系统的其他目录。 先创建目录/home/container，将bash、ls和pwd三个shell命令及运行这三个命令需要的库复制到对应目录。脚本如下： 执行脚本后，在/home下增加了container文件系统，如下图蓝色部分所示： 执行chroot /home/container /bin/bash后，会启动一个bash进程，这个进程及其所有子进程对应的根目录就限制在“/home/container”，且对于它们而言，就认为是自己的根目录。 执行命令结果如下： 由于进程的根（对应物理机系统的/home/container）下面只有bash、pwd和ls三个命令，子进程不能访问物理机的其他命令，所以当执行clear命令时就会报“command not found”错。可见，chroot有效地限制了进程访问操作系统文件系统的权限。 2.2、namespace Namespace是Linux内核功能，用来隔离各种系统资源，比如进程树、用户号、网络接口、挂载点等。当一台物理机同时运行多个应用时，有些用户会访问、修改或关闭他应用的某些资源，这样就会导致各个应用之间互相干扰。通过使用Namespace，系统就可以做到各种资源隔离。 namespace建立系统的不同视图（可以理解为简易容器），每个namespace内用户看起来，像单独的一台Linux计算机，有自己的init进程（PID为1），其他进程的PID依次递增。如图所示，namespace A和namespace B都有PID为1的init进程，子容器的进程映射到父容器的进程上，父容器可以知道每一个子容器的运行状态，而子容器与子容器之间是隔离的。图中，进程3在父命名空间里面PID 为3，但是在namespace A就是1,也就是说namespace A内用户看到的进程3就像 init 进程一样，认为这是自己的初始化进程，但是从整个操作系统来看，它只是3号进程虚拟化出来的一个namespace而已。 当前Linux一共实现六种不同类型的namespace，分别是mount、UTS、IPC、PID、network、User等的隔离机制。各种类型namespace实现的功能和发行系统版本关系如下： Namespace 系统调用参数 隔离内容 内核版本 Mount CLONE_NEWNS 挂载点（文件系统） Linux 2.4.19 UTS CLONE_NEWUTS 主机名与域名 Linux 2.6.19 IPC CLONE_NEWIPC 进程间通信 Linux 2.6.19 PID CLONE_NEWPID 进程编号 Linux 2.6.24 Network CLON