关于云计算:Docker速学三-网络用户和进程

46次阅读

共计 4115 个字符,预计需要花费 11 分钟才能阅读完成。

在前文,咱们介绍了 Docker 学习的根本办法和原理,以及根底三大件:镜像、容器、仓库。还有 Dockerfile 和数据卷。

回顾:

Docker 小白入门倡议及基本原理介绍

Docker 速学(一)镜像和容器

Docker 速学(二)Dockerfile 和数据卷

明天,小九给大家介绍的内容是用户、网络和过程。在学习中深刻理解 Docker 网络的概念和原理是十分重要的。接下来,让咱们一起学习吧~

网络

因为容器是用于部署利用的,因而它须要频繁的被其余服务所拜访,深刻理解 Docker 网络的概念和原理就显得至关重要。

组网

对于 Docker 零碎来说,默认有一个容器路由性能,简略的说,Docker 会给每个部署好的 Container 生成一个内网 IP 地址。例如,Docker 下运行了容器,Docker 就主动调配了 3 个内网地址:

容器 1 172.18.0.1
容器 2 172.18.0.2
容器 3 172.18.0.23

对于其中任何 Container 来说,都能够通过 IP 地址作为拜访通道

端口

每个 Container,都能够映射到服务器的一个端口上,以便于内部拜访这个 Container。例如:172.18.0.1 上运行了 MySQL,且 MySQL 自身开启了内部拜访。这个时候,如何通过服务器的 IP 地址来拜访这个 MySQL 呢?

  1. 首先,将容器 1 的做一个端口映射,退出映射到都服务器的 3306 端口
  2. 而后,通过 服务器 IP:3306 就能够拜访 MySQL

问题:Container 中的利用为什么有端口号?Container 是带最简的操作系统的,有操作系统就肯定会通过端口拜访程序

用户

一般来说 Docker 不倡议以 root 用户运行容器过程,因而 Dockerfile 的编写者都会在代码中创立普通用户,而后以普通用户运行过程。

如果没有创立普通用户,容器就会默认以 root 用户权限运行

容器的 root 与宿主机的 root 是同一个用户,但容器 root 的权限是无限的,如果加上 –privileged=true,那么它就等同于宿主机 root 权限

UID

尽管有用户名的概念,但因为 Linux 内核最终治理的用户对象是以 uid 为标识,所以本节均以 uid 来代替用户名。

容器因为是基于虚构隔离技术的并共享操作系统内核的独立过程,而内核只治理一套 uid 和 gid,所以容器中的 uid 和 gid 实际上与宿主机内核是一套体系。

了解容器中用户权限、uid、gid 等实质,重点在于了解《Linux User Namespace》

当容器过程尝试写文件时,内核会查看此容器的 uid 和 gid,以确定其是否具备足够的特权来批改文件。

提权

咱们在 Dockerfile 会发现,当须要对用户提权的时候,采纳的不是 su,而是上面两个命令的组合

  • gosu
  • exec

过程

有人说,容器的实质就是过程。不论这句话是否相对,但可见过程对于容器的重要性显而易见。

查问过程

通过运行 docker top containerid 查问过程。

为了便于了解,咱们先运行一个 Docker 利用:docker-wordpress(opens new window)

然当前别离查问各个容器的过程。

[root@test ~]# docker top wordpress-mysql
UID                 PID                 PPID                C                   STIME               TTY                 TIME                CMD
polkitd             22107               22080               0                   Aug01               ?                   00:01:52            mysqld

[root@test ~]# docker top wordpress
UID                 PID                 PPID                C                   STIME               TTY                 TIME                CMD
33                  807                 22090               0                   Aug01               ?                   00:00:00            apache2 -DFOREGROUND
33                  1675                22090               0                   Aug01               ?                   00:00:01            apache2 -DFOREGROUND
33                  2935                22090               0                   Aug01               ?                   00:00:00            apache2 -DFOREGROUND
33                  21955               22090               0                   Aug01               ?                   00:00:00            apache2 -DFOREGROUND
root                22090               22054               0                   Aug01               ?                   00:00:06            apache2 -DFOREGROUND
33                  26327               22090               0                   Aug01               ?                   00:00:00            apache2 -DFOREGROUND
33                  28793               22090               0                   Aug01               ?                   00:00:01            apache2 -DFOREGROUND
33                  30253               22090               0                   Aug01               ?                   00:00:00            apache2 -DFOREGROUND
33                  31445               22090               0                   Aug01               ?                   00:00:01            apache2 -DFOREGROUND
33                  31955               22090               0                   Aug01               ?                   00:00:01            apache2 -DFOREGROUND
33                  32734               22090               0                   Aug01               ?                   00:00:01            apache2 -DFOREGROUND

可见有的容器只运行了一个过程,而有的容器运行了多个过程(Apache 作为 HTTP 服务器,其天生是多过程设计)。

也能够进入其中一个容器,再运行 ps -ef 命令查看过程:

UID        PID  PPID  C STIME TTY          TIME CMD
root         1     0  0 Aug01 ?        00:00:06 apache2 -DFOREGROUND
www-data   153     1  0 Aug01 ?        00:00:01 apache2 -DFOREGROUND
www-data   181     1  0 Aug01 ?        00:00:00 apache2 -DFOREGROUND
www-data   193     1  0 Aug01 ?        00:00:01 apache2 -DFOREGROUND
www-data   209     1  0 Aug01 ?        00:00:01 apache2 -DFOREGROUND
www-data   214     1  0 Aug01 ?        00:00:01 apache2 -DFOREGROUND
www-data   215     1  0 Aug01 ?        00:00:00 apache2 -DFOREGROUND
www-data   218     1  0 Aug01 ?        00:00:01 apache2 -DFOREGROUND
www-data   219     1  0 Aug01 ?        00:00:00 apache2 -DFOREGROUND
www-data   224     1  0 Aug01 ?        00:00:00 apache2 -DFOREGROUND
www-data   225     1  0 Aug01 ?        00:00:00 apache2 -DFOREGROUND
root       253     0  0 06:17 pts/0    00:00:00 bash
root       261   253  0 06:18 pts/0    00:00:00 ps -ef

可见,两者的成果是一样的。

新开一个 Shell 窗口,再运行 pstree -a 命令,回看到如下的过程树

  ├─containerd-shim -namespace moby -id 8a7712fe435afaa79c08e7281de7e1a658cd00261fecc7ba02da1847d47d1715 -address /run/containerd/containerd.sock
  │   ├─apache2 -DFOREGROUND
  │   │   ├─apache2 -DFOREGROUND
  │   │   ├─apache2 -DFOREGROUND
  │   │   ├─apache2 -DFOREGROUND
  │   │   ├─apache2 -DFOREGROUND
  │   │   ├─apache2 -DFOREGROUND
  │   │   ├─apache2 -DFOREGROUND
  │   │   ├─apache2 -DFOREGROUND
  │   │   ├─apache2 -DFOREGROUND
  │   │   ├─apache2 -DFOREGROUND
  │   │   └─apache2 -DFOREGROUND
  │   ├─bash
  │   └─12*[{containerd-shim}]
  ├─containerd-shim -namespace moby -id d287c79eaced1fcdde94b2b6d45781937cb17a0ddf4848d26907dee40602e80f -address /run/containerd/containerd.sock
  │   ├─mysqld
  │   │   └─30*[{mysqld}]
  │   └─13*[{containerd-shim}]

你会发现,这个查问后果也根本类同。

创立过程

通过下面的阐明,咱们曾经有了十分具体的过程印象,那么当初咱们再深刻一些:容器的过程是如何创立的呢?

咱们先回顾 Dockerfile 中的 CMD 和 ENTRYPOINT,其余它就是容器的运行时,镜像提供了容器运行所需的软件包和软件环境,但如果不通过 CMD 和 ENTRYPOINT 来启动各种利用,容器就不会产生过程。

非服务过程

容器个别的用于承载服务,但在开发中,容器镜像也能够用作短暂的过程:在咱们计算机上运行的、容器化的可执行命令。这些容器执行繁多的工作,生命周期短暂,而且通常能够在应用后被删除。咱们称之为可执行镜像,这样的镜像创立的容器的过程能够称之为 非服务过程

主过程

在 Docker 中有一个很非凡的过程(PID=1 的过程),这也是 Docker 的主过程,通过 Dockerfile 中的 ENTRYPOINT 和 / 或 CMD 指令指定。当主过程退出的时候,容器所领有的 PIG 命名空间就会被销毁,容器的生命周期也会完结 Docker 最佳实际倡议的是一个 container 一个 service,并不强制要你一个 container 一个线程。有的服务,会催生更多的子过程,比方 Apache 和 uwsgi,这是齐全能够的。

PID1 过程须要对本人创立的子过程负责,当主过程没有设计好,不能优雅地让子过程退出,就会照成很多问题,比方数据库 container,如果解决数据的过程没有优雅地退出,可能会照成数据失落。如果很可怜,你的主过程就是这种治理不了子过程的那种,Docker 提供了一个小工具,帮忙你来实现这部分内容。你只须要在 run 创立 container 的时候提供一个 —init flag 就行,Docker 就会手动为你解决好这些问题。

Docker 的主过程因为是一个很非凡的存在,它的生命周期就是 docker container 的生命周期,它得对产生的子过程负责,在写 Dockerfile 的时候,务必明确 PID1 过程是什么。

下篇内容:

Docker 速学(四)编排、集群和常见命令总结

本文由 Websoft9 原创公布,转载请注明出处。

正文完
 0