chroot
容器技術從1979年chroot的首次問世便已嶄露頭角。
維基百科對chroot的定義如下:
是在 Unix 和 Linux 系統的一個操作,針對正在運行的軟體進程和它的子進程,改變它外顯的根目錄。一個運行在這個環境下,經由 chroot 設置根目錄的程序,它不能夠對這個指定根目錄之外的文件進行訪問動作,不能讀取,也不能更改它的內容。
通俗地說 ,chroot 就是可以改變某進程的根目錄,使這個程序不能訪問目錄之外的其他目錄,這個跟我們在一個容器中是很相似的。下面我們通過一個實例來演示下 chroot。
chroot實例說明:
1)、mkdir rootfs
#在當前目錄下創建一個名稱為:rootfs 的目錄
2)、cd rootfs
#進入目錄名稱為:rootfs 目錄下
3)、Docker export $(docker create docker101tutorial) -o
docker101tutorial.tar
#將容器名為:docker101tutorial的文件系統作為一個docker101tutorial.tar歸檔文件導出到docker101tutorial.tar中並保存
#也可以簡單理解為在rootfs下創建了一些目錄和放置了一些二進位文件
4)、tar -xf docker101tutorial.tar
#解壓docker101tutorial.tar文件內容
5)、ls
#查看當前 rootfs 目錄下的文件內容
6)、chroot /Users/xiaoqin.wu/rootfs /bin/sh
#啟動一個sh 進程,並且把 /Users/xiaoqin.wu/rootfs 作為sh 進程的根目錄
對比上圖中命令5:ls查看/Users/xiaoqin.wu/rootfs目錄下文件內容的結果與在sh進程中使用命令7:ls查看當前進程的結果是一致,至此,說明使用chroot實現了當前進程與主機的隔離,一個目錄隔離的容器就完成了,但是還不能稱之為一個容器。
原因如下:
使用命令8:netstat -nr查看路由信息
由結果發現,網絡信息並未隔離,實際上進程等信息此時也並未隔離,要想實現一個完整的容器,需要Linux的其他三項技術來實現,分別是:
- Namespace
- Cgroup
- 聯合文件系統
Docker
2013年,Docker的橫空出世使得容器技術迅速發展
Docker是利用Linux的Namespace、Cgroup、聯合文件系統三大機制來保證實現的。
原理如下:
Namespace:
是 Linux 內核的一項功能,該功能對內核資源進行隔離,使得容器中的進程都可以在單獨的命名空間中運行,並且只可以訪問當前容器命名空間的資源。
Namespace 可以隔離進程 ID、主機名、用戶 ID、文件名、網絡訪問和進程間通信等相關資源。
Docker 主要用到以下五種命名空間。
pid namespace:用於隔離進程 ID。
net namespace:隔離網絡接口,在虛擬的 net namespace 內用戶可以擁有自己獨立的 IP、路由、埠等。
mnt namespace:文件系統掛載點隔離。
ipc namespace:信號量,消息隊列和共享內存的隔離。
uts namespace:主機名和域名的隔離。
Cgroups:
是一種 Linux 內核功能,可以限制和隔離進程的資源使用情況(CPU、內存、磁碟 I/O、網絡等)。在容器的實現中,Cgroups 通常用來限制容器的 CPU 和內存等資源的使用。
聯合文件系統:
用於鏡像構建和容器運行環境。
聯合文件系統,又叫 UnionFS,是一種通過創建文件層進程操作的文件系統,因此,聯合文件系統非常輕快。Docker 使用聯合文件系統為容器提供構建層,使得容器可以實現寫時複製以及鏡像的分層構建和存儲。常用的聯合文件系統有 AUFS、Overlay 和 Devicemapper 等。
從1973年chroot的出現至2013年,因為Docker加入了鏡像功能,並且封裝了鏡像倉庫使得鏡像分發更加方便。因此在2013年Docker最終爆發,成為容器技術的代表。