Docker底层技术:
docker底层的2个核心技术分别是Namespace和Cgroup.
Cgroup:
Cgroup 全称control group,用来限定一个进程的资源使用,主要起到限制作用,由Linux 内核支持,可以限制和隔离Linux进程组 (process groups) 所使用的物理资源 ,比如cpu,内存,磁盘和网络IO,是Linux container技术的物理基础。
Cgroup的具体作用如下:
限制资源的使用:Cgroup可以对进程组使用的资源总额进行限制;
优先级控制:通过分配CPU时间片数量及磁盘IO带宽大小,实际上就是相当于控制子进程运行的优先级。
资源统计:Cgroup可以统计系统资源使用量,比如CPU使用时间,内存使用量等。可用于按量计费。
进程控制:恢复执行进程;
使用Cgroup,我们可以更具体地控制对系统资源的分配、优先顺序、拒绝、管理和监控。可更好地根据任务和用户分配硬件资源,提高总体的效率,这样可以在docker容器中的服务受到外部干扰时,可以将其限制在容器之中,而不会影响宿主机或其他容器的运行,提高了安全性。
那么我们怎么才可以对系统资源进行限制呢?
那下面我就来尝试一下对容器cpu的限制
Namespace:
Namespace又被称作命名空间和资源隔离,顾名思义,是对资源进行隔离用的,原理是将一类资源进行抽象,并将其封装在一起供给一个容器使用,每个容器有自己的抽象,因此起到了隔离的作用。
其中主要对一下六种资源进行隔离,分别是:
UTS 隔离的内容是主机名和域名
IPC 隔离的内容主要是信号量、消息队列和共享内存
PID 隔离的内容主要是进程编号
Network 隔离的内容是网络设备、网络栈、接口等
Mount 隔离的内容主要是挂载点(文件系统)
User 隔离的内容主要是用户和用户组
当Docker创建一个容器时,它会创建新的以上六种NameSpace的实例,然后把容器中的所有进程放到这些NameSpace之中,使得容器这个父进程只对自己的子进程有感知,而对于宿主机其他进程一无所知,从而产生一种它就是一个独立的系统的“错觉”。
领取专属 10元无门槛券
私享最新 技术干货