나는 최근에 docker를 배우기 시작했고 대부분의 무거운 작업은 네임 스페이스와 cgroup을 사용하는 리눅스 커널에 의해 수행되는 것 같습니다.
내가 헷갈리는 몇 가지 사항은 다음과 같습니다.
-
네임 스페이스와 cgroup의 차이점은 무엇입니까? 그들이 다루는 다른 사용 사례는 무엇입니까?
-
인기를 얻기 위해 이것 위에도 커가 구현 된 것은 무엇입니까?
-
이러한 기능의 내부 및 구현 방법을 알고 싶습니다.
답변
이 두 개념에 대한 적절한 링크는 PR 14307 에서 수정되었습니다 .
내부적으로 Docker는 다음 구성 요소를 기반으로합니다.
Linux 커널 의 cgroup 및
namespaces기능
와:
- cgroup : 제어 그룹은 작업 세트와 미래의 모든 자식을 특수 동작을 가진 계층 그룹으로 집계 / 분할하는 메커니즘을 제공합니다.
- namespace : 전역 리소스의 자체 격리 된 인스턴스가있는 네임 스페이스 내의 프로세스에 표시되도록하는 추상화에서 전역 시스템 리소스를 래핑합니다.
요컨대 :
- Cgroups = 사용할 수있는 양을 제한합니다.
- 네임 스페이스 = 볼 수있는 항목 제한 (따라서 사용)
Jérôme Petazzoni의 ” Anatomy of a Container : Namespaces, cgroups & Some Filesystem Magic ” 에서 자세한 내용을 참조하십시오 .
Cgroup에는 리소스 측정 및 제한이 포함됩니다.
- 기억
- CPU
- 블록 I / O
- 회로망
네임 스페이스는 프로세스에 자체 시스템보기를 제공합니다.
여러 네임 스페이스 :
- pid
- 그물
- mnt
- UTS
- ipc
- 사용자 : userns 가되어 고정 표시기 1.10에서 실험 졸업
(당 데몬 인스턴스 권한이없는 사용자에 컨테이너 루트의 매핑 진행 중입니다 : PR 12648 : 그 참조 디자인 )
답변
cgroups 는 프로세스 또는 프로세스 집합이 CPU, 메모리, 네트워크 I / O 또는 파일 시스템에 대한 액세스 등 이러한 리소스를 사용할 수있는 리소스를 제한하는 반면 네임 스페이스는 프로세스 그룹의 가시성을 나머지 시스템으로 제한합니다.
자세한 내용은 Linux 커널 Cgroup 및 네임 스페이스가 현대 컨테이너를 가능하게하는 방법을 참조하십시오.
답변
Cgroups (control groups)는 자원 관리를합니다.
컨테이너에 제공 할 호스트 머신 리소스의 양을 결정합니다.
예 :-다음과 같은 서비스를 만들기 위해 docker-compose yaml 파일에 리소스를 정의합니다.
자원:
제한:
cpus : "0.1"(100 밀리 커)
메모리 : 50M
여기에서이 예에서는 cgroup에게 이러한 리소스를 특정 컨테이너에 할당하도록 명시 적으로 요청합니다.
네임 스페이스 : 프로세스 격리, 컨테이너의 완전한 격리, 별도의 파일 시스템을 제공합니다.
네임 스페이스에는 6 가지 유형이 있습니다.
1. mount ns-파일 시스템 용.
2. UTS (Unique time sharing) ns- 실행중인 컨테이너의 서로 다른 호스트 이름을 확인합니다.
3. IPC ns-프로세스 간 통신
4. 네트워크 ns- 다른 컨테이너에 대한 서로 다른 IP 할당을
처리합니다. 5. PID ns-프로세스 ID 격리
6. 사용자 ns- 다른 사용자 이름 (uid)
