PrepBro
← Назад к вопросам

Какие инструменты в основе Docker лежат в Linux

2.2 Middle🔥 231 комментариев
#Docker и контейнеризация#Linux и администрирование

Комментарии (1)

🐱
deepseek-v3.2PrepBro AI5 апр. 2026 г.(ред.)

Ответ сгенерирован нейросетью и может содержать ошибки

Основные инструменты Linux, лежащие в основе Docker

Docker, как платформа контейнеризации, не является монолитной системой — это высокоуровневая обёртка над рядом ключевых технологий и компонентов ядра Linux, которые обеспечивают изоляцию, безопасность и эффективность контейнеров. В основе лежат три фундаментальные технологии ядра: namespaces, cgroups и Union File Systems, а также ряд вспомогательных инструментов.

1. Namespaces (пространства имён)

Namespaces обеспечивают изоляцию ресурсов на уровне ядра, позволяя процессу видеть только выделенную ему часть системы. Docker использует несколько типов пространств имён:

  • PID namespace: Изолирует дерево процессов. Процессы в контейнере видят только свои собственные процессы, начиная с PID 1.
  • Network namespace: Изолирует сетевые стеки (интерфейсы, таблицы маршрутизации, порты). Каждый контейнер получает виртуальный сетевой интерфейс и собственный loopback (lo).
  • Mount namespace: Изолирует точки монтирования файловых систем. Позволяет контейнеру иметь собственное корневое дерево каталогов.
  • IPC namespace: Изолирует механизмы межпроцессного взаимодействия (очереди сообщений, сегменты разделяемой памяти).
  • UTS namespace: Изолирует системные идентификаторы hostname и domainname.
  • User namespace: Изолирует пространство UID/GID. Позволяет мапить пользователей внутри контейнера на непривилегированных пользователей на хосте (повышает безопасность).

Без namespaces контейнер был бы просто набором процессов, видящих все ресурсы хоста.

2. Control Groups (cgroups)

Cgroups (control groups) — это механизм ядра для ограничения, учёта и изоляции потребления ресурсов (CPU, память, диск I/O, сеть) группой процессов. Именно cgroups предотвращают ситуацию, когда один контейнер может монополизировать ресурсы хоста.

  • Ограничение памяти (memory.limit_in_bytes): Задаёт максимальный лимит RAM для контейнера.
  • Ограничение CPU (cpu.cfs_quota_us): Ограничивает долю времени CPU, доступную для процессов контейнера.
  • Учёт ресурсов: Позволяет мониторить реальное потребление ресурсов каждым контейнером.

Пример проверки cgroups для запущенного контейнера:

# Найти cgroup контейнера (например, по ID)
docker run -d --name test-nginx nginx
CONTAINER_ID=$(docker inspect --format='{{.Id}}' test-nginx)

# Посмотреть лимиты памяти в cgroup (путь может отличаться в зависимости от системы)
cat /sys/fs/cgroup/memory/docker/${CONTAINER_ID}/memory.limit_in_bytes

3. Union File Systems (UnionFS)

Union File Systems — это тип файловой системы, который создаёт виртуальные слои, накладывая их друг на друга. Это ключ к образу жизни Docker: лёгкость, неизменность и повторное использование образов.

  • Слоистость: Образ контейнера состоит из множества read-only слоёв (каждая инструкция в Dockerfile создаёт новый слой). Контейнер добавляет поверх них тонкий read-write слой.
  • Copy-on-Write (CoW): При модификации файла в нижнем read-only слое, система копирует его в верхний read-write слой. Это обеспечивает эффективность по диску и скорости.
  • Основные драйверы: overlay2 (рекомендуемый, современный), aufs (использовался по умолчанию ранее), devicemapper, btrfs, zfs.

Пример проверки используемого драйвера хранения:

docker info | grep "Storage Driver"

4. Вспомогательные инструменты и компоненты

  • Container Runtime (containerd/runc): Современный Docker использует containerd в качестве высокоуровневого рантайма, который, в свою очередь, вызывает низкоуровневый OCI-совместимый рантайм runc. runc — это инструмент, который непосредственно использует namespaces и cgroups для создания и запуска контейнеров по спецификации OCI.
  • Networking: Docker создаёт виртуальные сетевые мосты (docker0 по умолчанию) с помощью утилиты bridge-utils (brctl) и управляет iptables/nftables правилами для NAT и изоляции сетей.
  • Capabilities и SECCOMP: Для усиления безопасности Docker использует механизмы Linux Capabilities (ограничение привилегий процесса) и профили SECCOMP (ограничение системных вызовов).

Связь компонентов на примере запуска контейнера

  1. Пользователь выполняет docker run -it alpine sh.
  2. Docker CLI обращается к Docker Daemon (dockerd).
  3. dockerd запрашивает образ у containerd.
  4. containerd подготавливает rootfs, используя драйвер UnionFS (например, overlay2).
  5. containerd вызывает runc, передавая спецификацию OCI (config.json).
  6. runc — ключевой исполнитель:
    *   Создаёт новые namespaces (PID, network, mount и т.д.).
    *   Создаёт и настраивает cgroups для контейнера.
    *   Запускает процесс (`sh`) внутри этой изолированной среды.

Таким образом, Docker — это интеллектуальная оркестрация низкоуровневых механизмов Linux. Понимание namespaces, cgroups и UnionFS критически важно для эффективного управления контейнерами, диагностики проблем (например, утечек памяти, сетевых неполадок) и проектирования безопасных и производительных окружений. Современные реализации (Kubernetes, Podman) также опираются на эти же фундаментальные технологии, что делает их знание универсальным для любого инженера, работающего с контейнерами в Linux.