docker引擎内部原理
docker主要由以下主要组件构成:docker客户端、docker守护进程(daemon)、containerd、runc、shim
daemon
daemon的主要功能包括镜像管理、镜像构建、REST API、身份验证、安全、核心网络以及编排。
containerd
主要任务就是对容器的生命周期管理---start|stop|pause|rm......
shim
shim是实现无daemon的容器(用于将运行中的容器与daemon解耦,以便进行daemon升级等的操作)
containerd指挥runc来创建新容器。事实上,每次创建容器时它都会fork一个新的runc示例,一旦容器创建完成对应runc进程会退出,然后containerd-shim进程就会成为容器的父进程,shim部分职责如下
- 保持所有STDIN和STDOUT流是开启状态,从而当daemon重启的时候,容器不会因为管道的关闭而终止
- 将容器的退出状态反馈给daemon
runc
runc生来只有一个作用-----创建容器,这一点它速度很快
启动一个新的容器
docker container run -it --name test 7faaec683238 bash
-
当使用docker命令行工具执行如上命令是,docker客户端会将其转换为合适的api格式,并发送到正确的api端点
-
api是在daemon中实现的。这套功能丰富、基于版本的rest api已经成为docker的标志
-
一旦daemon接收到创建新容器的命令,它就会向containerd发出调令。(daemon已经不会再包含任何创建代码的模块了 分工明确)
-
虽然名叫containerd 但是它并不负责创建容器,而是指挥runc去做。containerd将docker镜像转换为oci bundle 并让runc基于此创建一个新容器
-
runc与操作系统内核接口进行通信,基于所有必要的工具来创建容器。容器进程作为runc的子进程启动,启动完毕后,runc将会退出,然后containerd-shim进程就会成为容器的父进程
-
由于将所有用于启动、管理容器的逻辑和代码都从daemon中移除,意味着容器运行时与daemon是解耦的,对于docker daemon的升级维护工作不会影响到运行中的容器