Docker基础
有时候有些东西明明看过,面试还是想不起来,终归是纸上得来终觉浅。
Dockerfile
-
结构
- 基础镜像信息、维护者信息、镜像操作指令、容器启动时执行指令
-
指令:
FROM、MAINTAINER、RUN、CMD、EXPOSE、ENV、ADD、COPY、ENTRYPOINT、VOLUME、USER、WORKDIR、ONBUILD
MAINTAINER:维护者信息
RUN:在镜像基础上执行命令,提交为新的镜像
CMD:容器启动时执行的命令,每个Dockerfile只能有一个,如果存在多个只执行最后一个
EXPOSE:告诉服务器暴露的端口,供外部连接使用
ENV:指定环境变量,后续可以被RUN使用,以及容器运行起来后使用
ADD:拷贝来自远程URL或本地的文件、目录,支持通配符,自动解压压缩文件
COPY:拷贝宿主机上的文件或目录
ENTRYPOINT:用于配置容器启动后执行的命令,不能被docker run提供的参数覆盖,最后一个生效
VOLUME:创建在本地主机或其他容易可以挂载的数据卷
USER:指定容器运行的用户名或UID,在之前可以先用RUN创建需要的用户
WORKDIR:为RUN CMD ENTRYPOINT指定工作目录,可以使用多个
ONBUILD:命令出现的Dockerfile里不会执行指令,但被其他Dockerfile所引用的时候会执行
-
镜像分层构建
- Dockerfile中每个指令都会创建一个新的镜像层
- 镜像层将会被缓存和复用
- 当Dockerfile的指令修改了,复制的文件变化了,或者构建镜像时指定的变量不同了,对应的缓存就会失效
- 某一层的镜像缓存失效后,它之后的镜像层缓存就会都失效
- 镜像层是不可变的,即便下一层删除某个文件,其镜像中仍然会包含该文件
原理
Namespce
主要用来做资源隔离。Linux内核共实现了以下几种Namespce:
- UTS:表示不同的 namespace 可以配置不同的 hostname
- User:表示不同的 namespace 可以配置不同的用户和组
- Mount:表示不同的 namespace 的文件系统挂载点是隔离的
- PID:表示不同的 namespace 有完全独立的 pid
- Network:表示不同的 namespace 有独立的网络协议栈
- IPC:表示不同的namespace有不同的IPC对象
查询Docker容器的Namespace信息如下:
# 获取容器ID
docker ps
# 获取容器对应的进程PID
docker inspect f604f0e34bc2
# 查询PID对应的ns信息
ls -l /proc/58212/ns
lrwxrwxrwx 1 root root 0 Jul 16 19:19 ipc -> ipc:[4026532278]
lrwxrwxrwx 1 root root 0 Jul 16 19:19 mnt -> mnt:[4026532276]
lrwxrwxrwx 1 root root 0 Jul 16 01:43 net -> net:[4026532281]
lrwxrwxrwx 1 root root 0 Jul 16 19:19 pid -> pid:[4026532279]
lrwxrwxrwx 1 root root 0 Jul 16 19:19 user -> user:[4026531837]
lrwxrwxrwx 1 root root 0 Jul 16 19:19 uts -> uts:[4026532277]
操作Namespace的方式如下:
# 进入指定的namespace
nsenter --target 58212 --mount --uts --ipc --net --pid -- env --ignore-environment -- /bin/bash
# 离开当前ns,并加入新的ns
unshare --mount --ipc --pid --net --mount-proc=/proc --fork /bin/bash
# 创建子进程,并将子进程放到新的ns中。父进程不变
# arg可选:CLONE_NEWUTS、CLONE_NEWUSER、CLONE_NEWNS、CLONE_NEWPID。CLONE_NEWNET
int clone(int (*fn)(void *), void *child_stack, int flags, void *arg);
# 将当前进程放到已有的ns中
# nstype 用来指定 namespace 的类型,可以设置为 CLONE_NEWUTS、CLONE_NEWUSER、CLONE_NEWNS、CLONE_NEWPID 和 CLONE_NEWNET
int setns(int fd, int nstype);
# 使当前进程退出当前的 namespace,并加入到新创建的namespace中
int unshare(int flags);
CGroups
全称Control Group,主要用来限制资源使用。CGroups定义了下面一系列子系统,每个子系统用于控制某一类资源:
- cpu:限制进程的 cpu 使用率
- cpuacct:统计 cgroups 中的进程的 cpu 使用报告
- cpuset:为 cgroups 中的进程分配单独的 cpu 节点或者内存节点
- memory:限制进程的 memory 使用量
- blkio:限制进程的块设备 io
- devices:控制进程能够访问某些设备
- net_cls:标记 cgroups 中进程的网络数据包,然后可以使用 tc 模块(traffic control)对数据包进行控制。
- freezer:可以挂起或者恢复 cgroups 中的进程
在 Linux 上,为了操作 Cgroup,有一个专门的 Cgroup 文件系统,位于/sys/fs/cgroup/目录下。目录结构如下所示:
drwxr-xr-x 5 root root 0 May 30 17:00 blkio
lrwxrwxrwx 1 root root 11 May 30 17:00 cpu -> cpu,cpuacct
lrwxrwxrwx 1 root root 11 May 30 17:00 cpuacct -> cpu,cpuacct
drwxr-xr-x 5 root root 0 May 30 17:00 cpu,cpuacct
drwxr-xr-x 3 root root 0 May 30 17:00 cpuset
drwxr-xr-x 5 root root 0 May 30 17:00 devices
drwxr-xr-x 3 root root 0 May 30 17:00 freezer
drwxr-xr-x 3 root root 0 May 30 17:00 hugetlb
drwxr-xr-x 5 root root 0 May 30 17:00 memory
lrwxrwxrwx 1 root root 16 May 30 17:00 net_cls -> net_cls,net_prio
drwxr-xr-x 3 root root 0 May 30 17:00 net_cls,net_prio
lrwxrwxrwx 1 root root 16 May 30 17:00 net_prio -> net_cls,net_prio
drwxr-xr-x 3 root root 0 May 30 17:00 perf_event
drwxr-xr-x 5 root root 0 May 30 17:00 pids
drwxr-xr-x 5 root root 0 May 30 17:00 systemd
Docker操作CGroups的方式如下图所示:
操作cgroup
实践技巧
-
如何借助宿主机上工具排查问题?考察命名空间
kubectl debug、nsenter
参考:
构建Docker镜像的原理_人人都是酸菜鱼又酸又菜又多余的博客-CSDN博客_docker镜像构建原理
uufree/ubook: 读书笔记 (github.com)
