目录

Life in Flow

知不知,尚矣;不知知,病矣。
不知不知,殆矣。

X

Docker引擎

   
    0 0 410686931

简介

 Docker 引擎是用来运行和管理容器的核心软件。基于开放容器计划(OCI)相关标准要求,Docker 引擎采用了模块化的设计原则,其组件是可替换的。
Docker 引擎
 Docker 引擎主要组件构如下:

  • Docker 客户端
  • Docker 守护进程
  • containerd
  • runc

摆脱 LXC

 LXC 提供了对诸如:命名空间、控制组、等基础工具的操作能,他们是基于 Linux 内核的容器虚拟化技术。
 因为 LXC 是基于 Linux,这不利于 Docker 实现跨平台,其次,如果核心的组件依赖于外部工具,会给 Docker 项目带来巨大的风险。因此,Docker 公司开发了名为 Libcontainer 的自研工具,用于替代 LXC。Libcontainer 的目标是成为与平台无关的工具,可基于不同内核为 Docker 上层提供必要的容器交互功能。在 Docker 0.9 版本中,Libcontainer 取代

拆分大而全的 Docker daemon

 随着时间的退役,Docker daemon 的整体性带来了越来越多的问题。

  • 难于变更。
  • 运行越来越慢。

 Docker 公司意识到这些问题,开始努力着手拆解大而全的 Docker daemon 进程,并将其模块化。目标是尽可能拆解出其中的功能特性,并用小而专的工具来实现它。这些小工具可以是可替代的,也可以被第三方拿去用于构建其他工具。
 Docker daemon 用于与 Docker client 进行交互,并提供 API 和其他特性。

开放容器计划(OCI)的影响

 当 Docker 公司正在进行 Docker daemon 进程拆解和重构的时候,OCI 也正在着手定义两个容器相关的规范。

  • 镜像规范
  • 容器运行时规范

 Docker 公司参与了这些规范的指定工作,并贡献了许多的代码。
 从 Docker1.11 版本开始,Docker 引擎尽可能实现了 OCI 规范。譬如:Docker daemon 不再包含任何容器运行时代码,所有运行时代码在一个单独的 OCI 兼容层中实现,默认情况下,Docker 使用 runc 来实现这一点,runc 是 OCI 容器运行时标准的参考实现。
 除此之外,Docker 引擎中的 containerd 组件确保了 Docker 镜像能够以正确的 OCI Bundle 的格式传递给 runc。

runc

 runc 是 OCI 容器运行时规范的参考实现。Docker 公司参与了规范的指定以及 runc 的开发。
 runc 实质上是一个轻量级的、针对 Libcontainer 进行了包装的命令行交互工具。
 runc 生来只有一个作用——创建容器,是一个 CLI 包装器,实质上就是一个独立的容器运行时工具。

containerd

 在对 Docker daemon 的功能进行拆解后,所有的容器执行逻辑被重构到一个新的名为 containerd 的工具中。他的主要任务是容器的生命周期管理—— start | stop | pause | rm ...
 随着时间的推移,containerd 被赋予了更多的功能,比如:镜像管理。 更多的额外功能被模块化,可选化,便于自行选择所需要的功能。

启动一个新的容器(示例)

1docker container run --name ctrl -it alpine:latest sh
  1. docker 客户端会将其转换为合适的 API 格式,发送到正确的 API 端点。
  2. API 是在 daemon 中实现的。这套功能丰富、基于版本的 REST API 已经成为 Docker 的标志,并且被行业接受成为事实上的容器 API。
  3. 一旦 daemon 接收到创建新容器的命令,他就会向 containerd 发出调用。daemon 不再包含任何创建容器的代码!
  4. daemon 使用一种 CRUD 风格的 API,通过 gRPC 与 containerd 进行通信。
  5. containerd 并不负责容器的创建,而是指挥 runc 去做。containerd 将 Docker 镜像转换为 OCI bundle,并让 runc 基于此创建一个新的容器。
  6. runc 与操作系统内核接口进行通信,基于所有必要的工具(Namespace、CGroup 等)来创建容器。容器进程作为 runc 的子进程启动,启动完毕后,runc 将会退出。

shim

 shim 用于将运行中的容器与 daemon 解耦,以便进行 deamon 升级等操作。containerd 指挥 runc 来创建新的容器,每次创建容器时它都会 fork 一个新的 runc 实例,不过,一旦容器创建完毕,对应的 runc 进行就会退出。因此,即使运行上百个容器,也无需保持上百个运行中的 runc 实例。
 一旦容器进程的父进程 runc 退出,相关的 containerd-shim 进程就会成为容器的父进程,作为容器的父进程,shim 的部分职责如下:

  • 保持所有 STDIN 和 STDOUT 流是开启状态,从而当 daemon 重启的时候,容器不会因为管道(pipe)的关闭而终止。
  • 将容器的退出状态反馈给 daemon。

daemon

 当所有的执行逻辑和运行时代码都从 daemon 总剥离出来之后,问题出现了——daemon 中还剩什么?
 显然,随着越来越多的功能从 daemon 中拆解出来并被模块化,这个问题的答案也会发生变化。 目前 daemon 的主要功能包括:镜像管理、镜像构建、REST API、身份验证、安全、核心网络及其编排。

作者:Soulboy