话容器虚拟技术

本文涉及的产品
容器镜像服务 ACR,镜像仓库100个 不限时长
简介:

传统虚拟化技术与容器技术对比

1、传统的虚拟化技术

0?wx_fmt=gif&tp=webp&wxfrom=5&wx_lazy=1


传统的虚拟化技术会在已有主机的基础上创建多个虚拟主机,然后在每个虚拟主机上安装独立的操作系统,并由虚拟主机的内核空间和用户空间来运行应用程序

2、docker容器技术

0?wx_fmt=gif&tp=webp&wxfrom=5&wx_lazy=1

使用主机的硬件,在硬件之上安装一个操作系统,使用相同的内核。然后将用户空间进行隔离,从而分成多个用户空间,基于一个内核来运行。因为容器使用这种隔离用户空间的方式,使得一样可以提供多个应用程序的环境(而应用程序的环境我们称之为容器),所以可以理解为是用户空间的虚拟化技术
容器拥有更高的资源使用效率,因为其无需为每个应用分配一个独立的操作系统,可以使得应用,资源消耗较小,迁移与创建的速度更小。

区别:kvm,xen隔离的非常好,因为他们有自己的内核空间和用户空间,但是容器技术的话,整个容器只有一个内核,不同的是,各虚拟机之间隔离开的仅仅是用户空间。

容器所用到的核心技术

NameSpace:名称空间(资源隔离机制)

在内核级别:完成环境隔离的方法(类似于chroot机制)

  • PID NameSapce  Linux 2.6.24
    PID隔离,隔离PID号,能够在每一个隔离出来的容器当中来实现虚拟出各种你所需要的PID,使得每一个用户看到的PID号都是独立的,互不干扰

  • Network NameSpace:  Linux 2.6.29
    网络设备、网络栈、端口等网络资源隔离,用于网络虚拟容器隔离

  • User NameSpace  Linux 3.8
    用户和用户组资源隔离,完成用户隔离,每一个用户的名称空间当中都有可能可以存在所谓同样用户名的用户 linux 3.8(所以docker是依赖于linux 3.8以后的版本,或者要求更高,是3.10以后的版本)

  • IPC NameSpace  Linux 2.6.19
    进程间通信资源隔离(信号量、消息队列和共享内存的隔离)

  • UTS NameSpace Linux 2.6.1
    主机名和域名隔离

  • Mount NameSpace  linux 2.4.19
    挂载点隔离(真正是实现文件系统给的隔离)  实现已挂载文件系统隔离的,期望在不同的用户空间当中所通过内核看到的挂载的文件系统应该是不一样的。

向NameSpace发起调用所使用的API

我们为了向namespace发起调用,让namespace完成某些操作

  • clone()  克隆 ,实现线程的系统调用,用来创建新线程

  • setns()  设定名称空间属性,将某进程加载到某个NameSpace去

  • unshare()  做成非共享机制,使进程脱离某个NameSpace的关联到你的新NameSpace当中的

CGroup (Linux Control Group) 控制组

一个用户空间可以将整个服务器的CPU耗尽,那么其他用户空间将无法运行,所以仅有名称空间是无法满足,所以有另一个技术,叫CGroup(linux 2.6.24)

CGroup 内核级别的技术,用于限制、控制与分离一个进程组群的资源(用户自己隔离和建立的),用于实现将进程分完组以后,组内的进程能使用多少的系统级的资源,可以在内核级上加以限制
一般用于隔离一个进程集合,为进程分配足够内存带宽然后限制其访问那些设备,从而完成限制机制

CGroup + NameSpace 结合起来就能实现容器功能

CGroup实现的功能

  • Resource limitation:资源限制

  • Prioritization:优先级控制

  • Accounting:审计和统计功能,主要是为了计费(VPS计费)

  • Control:挂起进程,恢复进程

CGroup的子系统(subsystem)

可使用 lssbusys - m 查看资源组当中的子系统
cgroup 是基于单根树状结果进行组织的 ,在 /sys/fs/cgroup

  • blkio:设定块设备的IO限制

  • cpu:使用调度程序对cpu的CGroup的任务访问,设定CPU的限制(限制CPU使用的空间)

  • cpuacct:报告cgroup当中所使用的CPU资源

  • cpuset:为cgroup中的任务制定可用的cpu和内存资源(分配内存和CPU)

  • memory:设定内存的使用限制(限制内存使用的空间),分配是按段来分配,而不是按空间分配

  • device:控制cgroup中的任务对设备的访问能力

  • freezer:实现挂起进程或恢复cgroup中的任务

  • net_cls:(classid),使用等级级别标识符来标记网络数据包,以实现基于TC完成对不同的cgroup中产生的流量控制

  • perf_event:对每一个用户空间当中的任务的运行时的性能本身分别所产生的事件进行归类统计(使用后使cgroup中的任务可以进行统一的性能测试)

  • hugetlb:对HugeTLB系统进行限制,能够实现在内存分配时的减少内存分配的次数。

    CGroup中的术语

  • task(任务):指的是进程或线程

  • cgroup:一个独立的资源控制单位,可以包含一个或多个子系统。每个控制组上可以关联一个或多个子系统,一个任务只能属于一个cgroup

  • subsystem:子系统,需要关联到cgroup

  • hierarchy:资源组的层级结构,层级是有一系列cgroup以一个树状结构排列而成,每一个层级通过绑定对应的子系统进行资源控制,层级中的cgroup节点可以包含零个或多个节点,业也就是你地下还可以继续分层,而子集可以继承父级的某些资源。

AUFS: UnionFS 联合文件系统

UnionFS:能够实现把不同的物理位置的目录能够合并到同一目录中
虽然是合并,但是事实上他是一种叠加。可以合并多个,只有最上层的那个才是可写的。

  • 对于读

    • 如果合并的文件存在重复,只有最后一个合并的可被看到

    • 如果文件不重复,可以看到其他层里不重复的文件

  • 对于写

    • 合并多个目录时,只有最后一个合并的可被写

    • 在其他层看到的文件想去修改,实际上是在最上层创建一个文件进行写的操作。(他的原理有点类似PE的工作方式,比如你在PE上写,其实写的是在本地磁盘上)

640?wx_fmt=png&tp=webp&wxfrom=5&wx_lazy=

docker很依赖AUFS,所以如果没有AUFS的话,不建议docker在生产环境上使用
遗憾的是centos并不支持AUFS,在ubuntu上已经支持AUFS

Device mapper:功能类似AUTFS,LVM用的就是这个技术

Linux 2.6内核引入的最重要技术之一,用于在内核中支持逻辑卷的通用设备映射技术。

  • Mappend Device:被映射出来的设备

  • Mapping Table 映射表,指明了被虚拟出来的设备和真正底层设备有哪些。(相当于从虚拟设备到真正物理设备之间的映射路径)

  • Target Device:源设备











本文转自 运维小当家 51CTO博客,原文链接:http://blog.51cto.com/solin/1883222,如需转载请自行联系原作者
目录
相关文章
|
1月前
|
Kubernetes Cloud Native 微服务
探索云原生技术:容器化与微服务架构的融合之旅
本文将带领读者深入了解云原生技术的核心概念,特别是容器化和微服务架构如何相辅相成,共同构建现代软件系统。我们将通过实际代码示例,探讨如何在云平台上部署和管理微服务,以及如何使用容器编排工具来自动化这一过程。文章旨在为开发者和技术决策者提供实用的指导,帮助他们在云原生时代中更好地设计、部署和维护应用。
|
23天前
|
Unix Linux Docker
CentOS停更沉寂,RHEL巨变限制源代:Docker容器化技术的兴起助力操作系统新格局
操作系统是计算机系统的核心软件,管理和控制硬件与软件资源,为用户和应用程序提供高效、安全的运行环境。Linux作为开源、跨平台的操作系统,具有高度可定制性、稳定性和安全性,广泛应用于服务器、云计算、物联网等领域。其发展得益于庞大的社区支持,多种发行版如Ubuntu、Debian、Fedora等满足不同需求。
47 4
|
2月前
|
运维 Kubernetes Docker
深入理解容器化技术:Docker与Kubernetes的协同工作
深入理解容器化技术:Docker与Kubernetes的协同工作
81 14
|
2月前
|
持续交付 开发者 Docker
探索容器化技术Docker及其在现代软件开发中的应用
探索容器化技术Docker及其在现代软件开发中的应用
|
1月前
|
开发框架 安全 开发者
Docker 是一种容器化技术,支持开发者将应用及其依赖打包成容器,在不同平台运行而无需修改。
Docker 是一种容器化技术,支持开发者将应用及其依赖打包成容器,在不同平台运行而无需修改。本文探讨了 Docker 在多平台应用构建与部署中的作用,包括环境一致性、依赖管理、快速构建等优势,以及部署流程和注意事项,展示了 Docker 如何简化开发与部署过程,提高效率和可移植性。
74 4
|
1月前
|
负载均衡 网络协议 算法
Docker容器环境中服务发现与负载均衡的技术与方法,涵盖环境变量、DNS、集中式服务发现系统等方式
本文探讨了Docker容器环境中服务发现与负载均衡的技术与方法,涵盖环境变量、DNS、集中式服务发现系统等方式,以及软件负载均衡器、云服务负载均衡、容器编排工具等实现手段,强调两者结合的重要性及面临挑战的应对措施。
97 3
|
2月前
|
持续交付 开发者 Docker
探索容器化技术Docker及其在现代软件开发中的应用
探索容器化技术Docker及其在现代软件开发中的应用
|
2月前
|
运维 Kubernetes Docker
深入理解容器化技术及其在微服务架构中的应用
深入理解容器化技术及其在微服务架构中的应用
76 1
|
2月前
|
安全 持续交付 Docker
深入理解并实践容器化技术——Docker 深度解析
深入理解并实践容器化技术——Docker 深度解析
81 2
|
2月前
|
Cloud Native 云计算 Docker
云原生技术的崛起:从容器化到微服务架构
云原生技术的崛起:从容器化到微服务架构