Docker 利用 cgroup 来限制容器的 CPU、内存、I/O、网络等资源。你可以手动用 cgroup 创建一个 类似 Docker 的受限进程,来理解 Docker 的底层封装。
最简单的 cgroup + namespace 实现容器
Docker 不仅仅是 cgroup,还用到了 namespace(名字空间),所以我们用 unshare + cgroup 手写一个最小的 "容器"。
Demo 1:用 cgroup 限制进程
步骤 1:创建 cgroup
bash
复制编辑
mkdir /sys/fs/cgroup/demo_container
步骤 2:限制资源
(1) 限制 CPU 只能用 50%
bash
复制编辑
echo "50000 100000" > /sys/fs/cgroup/demo_container/cpu.max
(2) 限制内存最多 100MB
bash
复制编辑
echo "100000000" > /sys/fs/cgroup/demo_container/memory.max
(3) 限制进程数最多 5 个
bash
复制编辑
echo "5" > /sys/fs/cgroup/demo_container/pids.max
步骤 3:启动进程,并加入 cgroup
bash
复制编辑
sleep 99999 & echo $! > /sys/fs/cgroup/demo_container/cgroup.procs
这个进程 只能用 50% CPU、100MB 内存,最多开 5 个子进程,跟 Docker 容器的资源限制类似!
Demo 2:用 namespace 实现隔离
Docker 还用 namespace 实现进程隔离,我们可以手写一个最小容器。
步骤 1:启动隔离的进程
bash
复制编辑
unshare -m -u -i -n -p -f --mount-proc bash
解释:
-m→ 隔离 挂载点(类似chroot)-u→ 隔离 主机名-i→ 隔离 进程 ID-n→ 隔离 网络-p→ 隔离 PID-f→ 让bash变成新 namespace 的第一个进程--mount-proc→ 挂载新的/proc
步骤 2:修改 hostname
bash
复制编辑
hostname my-container
现在
hostname在这个进程里变了,外面不受影响!
步骤 3:查看进程
bash
复制编辑
ps aux
你会发现进程 ID 跟主机不一样,说明它在自己的 PID namespace 里,和 Docker 容器行为一致!
Docker 是怎么用 cgroup 和 namespace 的?
当你运行:
bash
复制编辑
docker run -it --memory=100m --cpus=0.5 ubuntu bash
Docker 其实做了三件事:
- 创建 cgroup
memory.max=100mcpu.max=50%pids.max=无限制
- 创建 namespace
mount namespace(隔离文件系统)network namespace(隔离网络)pid namespace(隔离进程)
- 运行进程
/bin/bash作为容器的第一个进程
你可以用 docker inspect <容器 ID> 看到 cgroup 具体路径,比如:
bash
复制编辑
cat /sys/fs/cgroup/memory/docker/<容器ID>/memory.max
会发现它和 docker run --memory=100m 对应上了。
总结
- cgroup:Docker 用它 限制 CPU、内存、I/O
- namespace:Docker 用它 隔离进程、网络、文件系统
- unionfs:Docker 用它 提供分层镜像
用 unshare + cgroup 手写一个最小的容器,感受 Docker 的底层封装
