目录

Life in Flow

知不知,尚矣;不知知,病矣。
不知不知,殆矣。

X

Docker引擎

   
    0 0 410686931

简介

 Docker引擎是用来运行和管理容器的核心软件。基于开放容器计划(OCI)相关标准要求,Docker引擎采用了模块化的设计原则,其组件是可替换的。
Docker引擎
 Docker引擎主要组件构如下:

  • Docker客户端
  • Docker守护进程
  • containerd
  • runc

摆脱LXC

 LXC提供了对诸如:命名空间、控制组、等基础工具的操作能,他们是基于Linux内核的容器虚拟化技术。
 因为LXC是基于Linux,这不利于Docker实现跨平台,其次,如果核心的组件依赖于外部工具,会给Docker项目带来巨大的风险。因此,Docker公司开发了名为Libcontainer的自研工具,用于替代LXC。Libcontainer的目标是成为与平台无关的工具,可基于不同内核为Docker上层提供必要的容器交互功能。在Docker 0.9版本中,Libcontainer取代

拆分大而全的Docker daemon

 随着时间的退役,Docker daemon的整体性带来了越来越多的问题。

  • 难于变更。
  • 运行越来越慢。

 Docker公司意识到这些问题,开始努力着手拆解大而全的Docker daemon进程,并将其模块化。目标是尽可能拆解出其中的功能特性,并用小而专的工具来实现它。这些小工具可以是可替代的,也可以被第三方拿去用于构建其他工具。
 Docker daemon 用于与Docker client 进行交互,并提供API和其他特性。

开放容器计划(OCI)的影响

 当Docker公司正在进行Docker daemon 进程拆解和重构的时候,OCI也正在着手定义两个容器相关的规范。

  • 镜像规范
  • 容器运行时规范

 Docker公司参与了这些规范的指定工作,并贡献了许多的代码。
 从Docker1.11版本开始,Docker引擎尽可能实现了OCI规范。譬如:Docker daemon 不再包含任何容器运行时代码,所有运行时代码在一个单独的OCI兼容层中实现,默认情况下,Docker使用runc来实现这一点,runc是OCI容器运行时标准的参考实现。
 除此之外,Docker引擎中的containerd组件确保了Docker镜像能够以正确的OCI Bundle 的格式传递给runc。

runc

 runc是OCI容器运行时规范的参考实现。Docker公司参与了规范的指定以及runc的开发。
 runc实质上是一个轻量级的、针对Libcontainer进行了包装的命令行交互工具。
 runc生来只有一个作用——创建容器,是一个CLI包装器,实质上就是一个独立的容器运行时工具。

containerd

 在对Docker daemon 的功能进行拆解后,所有的容器执行逻辑被重构到一个新的名为containerd的工具中。他的主要任务是容器的生命周期管理—— start | stop | pause | rm ...
 随着时间的推移,containerd被赋予了更多的功能,比如:镜像管理。 更多的额外功能被模块化,可选化,便于自行选择所需要的功能。

启动一个新的容器(示例)

docker container run --name ctrl -it alpine:latest sh
  1. docker客户端会将其转换为合适的API格式,发送到正确的API端点。
  2. API是在daemon中实现的。这套功能丰富、基于版本的REST API已经成为Docker的标志,并且被行业接受成为事实上的容器API。
  3. 一旦daemon接收到创建新容器的命令,他就会向containerd发出调用。daemon不再包含任何创建容器的代码!
  4. daemon使用一种CRUD风格的API,通过gRPC与containerd进行通信。
  5. containerd并不负责容器的创建,而是指挥runc去做。containerd将Docker镜像转换为 OCI bundle,并让 runc 基于此创建一个新的容器。
  6. runc与操作系统内核接口进行通信,基于所有必要的工具(Namespace、CGroup等)来创建容器。容器进程作为runc的子进程启动,启动完毕后,runc将会退出。

shim

 shim用于将运行中的容器与daemon解耦,以便进行deamon升级等操作。containerd指挥runc来创建新的容器,每次创建容器时它都会fork一个新的runc实例,不过,一旦容器创建完毕,对应的runc进行就会退出。因此,即使运行上百个容器,也无需保持上百个运行中的runc实例。
 一旦容器进程的父进程runc退出,相关的containerd-shim进程就会成为容器的父进程,作为容器的父进程,shim的部分职责如下:

  • 保持所有STDIN和STDOUT流是开启状态,从而当daemon重启的时候,容器不会因为管道(pipe)的关闭而终止。
  • 将容器的退出状态反馈给daemon。

daemon

 当所有的执行逻辑和运行时代码都从daemon总剥离出来之后,问题出现了——daemon中还剩什么?
 显然,随着越来越多的功能从daemon中拆解出来并被模块化,这个问题的答案也会发生变化。 目前daemon的主要功能包括:镜像管理、镜像构建、REST API、身份验证、安全、核心网络及其编排。

作者:Soulboy