Docker Internal

Docker sử dụng rất nhiều tính năng của Linux Kernal để có thể cung cấp các chức năng của nó.

Namespaces là gì?

• Namespaces là một tính năng của Linux kernal, được Docker sử dụng để cung cấp sự cô lập cho container.

• Mỗi khía cạnh trong container đều được chạy trong các namespaces riêng và truy cập của container được giới hạn trong namespace đó.

• Docker engine sử dụng những namespaces sau trên Linux:
  • PID namespace đê cô lập các tiến trình.
  • NET namespace để cô lập các tài nguyên mạng như interface, port, Iptables.
  • IPC namespace để quản lý và cô lập truy cập đến tài nguyên IPC(Internal Process Communication)
  • MNT namespace để cô lập và quản lý filesystem mount point.
  • UTS namespace để cô lập hostname, domain name.
  • 

• Thư mục /proc//ns/ chứa một số namespace của các loại.

• Để vào namespace của một container Docker:

  • Tìm process ID của container:

      PID=$(docker inspect --format     <container-id>)
      echo $PID
    

  • Sử dụng nsenter để truy cập vào namespace của process:

      sudo nsenter --target $PID --mount --uts --ipc --net --pid /bin/sh
    

Cgroups

• Docker sử dụng control group để phân bổ tài nguyên.

• Một Cgroup giới hạn một ứng dụng trong một lượng tài nguyên chỉ định. Nó giúp Docker chia sẻ tài nguyên phần cứng cho container và có thể tùy chọn giới hạn chúng.

• Docker sử dụng các cgroup sau:

  • memory cgroup: để tính toán, giới hạn và thông báo về ram.
  • HugeTLB cgroup: để giới hạn và tính toán HugeTLB page của nhóm tiến trình.
  • CPU cgroup: quản lý thời gian và lượng sử dụng CPU của người dùng hay hệ thống.
  • CPUSet cgroup: dùng để ràng buộc một nhóm đến một CPU cụ thể. Hữu ích cho ứng dụng realtime và hệ thông NUMA với bộ nhớ cục bộ trên mỗi CPU.
  • BlkIO cgroup: dùng để đo lường và giới hạn lượng block IO của nhóm.
  • net_cls,net_prio: để gắn thẻ lưu lượng mạng và quản lý độ ưu tiên cho chúng.
  • Device cgroup: để đọc và gì các thiết bị truy cập.
  • Freezer cgroup: để đóng băng tiến trình thuộc nhóm.

    root@dell:/sys/fs/cgroup# find /sys/fs/cgroup/ -name docker 
    /sys/fs/cgroup/perf_event/docker
    /sys/fs/cgroup/cpuset/docker
    /sys/fs/cgroup/pids/docker
    /sys/fs/cgroup/blkio/docker
    /sys/fs/cgroup/freezer/docker
    /sys/fs/cgroup/memory/docker
    /sys/fs/cgroup/devices/docker
    /sys/fs/cgroup/cpu,cpuacct/docker
    /sys/fs/cgroup/net_cls,net_prio/docker
    /sys/fs/cgroup/hugetlb/docker
    /sys/fs/cgroup/systemd/docker
  

Union File Systems

Union file systems hoạt động bằng việc tạo nhiều lớp và khiến chúng nhẹ và nhanh. Docker Engine sử dụng UnionFS để cung cấp building block cho các container. Docker có thể sử dụng nhiều biến thể của UnionFS, bao gồm AUFS, btrfs, vfs, devicemapper.

Container format

Docker Engine gộp namespace, control group và Unionfs thành một khái niệm bao bọc là container format. Container format mặc định là libcontainer

Security

Docker Engine tận dụng những tính năng của kernel như AppArmor, Seccomp, Capabilities cho mục đích bảo mật

• AppArmor cho phép hạn chế khả năng của ứng dụng với profile theo từng chương trình.
• Seccomp sử dụng để lọc các syscall được tạo bởi một chương trình.
• Capabilities cho để kiểm tra quyền.

o o o o o o o o

Tài liệu tham khảo:

• https://slideshare.net/RohitJnagal/docker-internals
• https://medium.com/@nagarwal/understanding-the-docker-internals-7ccb052ce9fe
• http://man7.org/linux/man-pages/man7/namespaces.7.html