容器技术主要包括Cgroup和Namespace这两个内核特性。
Cgroup是control group,又称为控制组,它主要是做资源控制。原理是将一组进程放在放在一个控制组里,通过给这个控制组分配指定的可用资源,达到控制这一组进程可用资源的目的。
Namespace又称为命名空间,它主要做访问隔离。其原理是针对一类资源进行抽象,并将其封装在一起提供给一个容器使用,对于这类资源,因为每个容器都有自己的抽象,而他们彼此之间是不可见的,所以就可以做到访问隔离。
1 pid = clone(fun,stack,flags,clone_arg);
2 echo $pid> /sys/fs/cgroup/cpu/tasks
{
...
pivot_root("path_of_rootfs/",path);
exec("/bin/bash");
...
}
1 通过clone系统调用,传入各个Namespace对应的clone flag,创建了一个新的子进程,该进程拥有自己的Namespace。
2 将代码段一中产生的进程pid写入各个Cgroup子系统中,这样该进程就受到相应Cgroup子系统的控制。
3 该func函数由上面生成的新进程执行,在func()函数中,通过pivlot_root系统调用,使进程进入一个新的rootfs,之后通过exec系统调用,在新的Namespace,Cgroup,rootfs中执行“bin/bash”程序。
通过以上操作,成功在一个“微型容器”中运行了一个bash程序。
网友评论