(本文的内容主要来源于Google、百科和学过的一些专栏,目前没有实际的企业级应用容器化部署经验,写的比较浅薄见笑了)
为什么会接触到Docker
运维同学使用k8s将业务迁移上云时遇到一些问题解决不了,需要我去验证一下并帮助解决问题。了解到容器是k8s的基础,并且根据我对问题的推测认为主要原因是文件目录没有挂载,所以我决定学习一下Docker.
Docker容器
Docker这东西使用起来一点都不复杂,跟着Docker官网的说明,聪明的程序员十来分钟应该就能搞定,即使像我一样不太聪明的,结合Google上的部署教程1小时左右的时间也能搞定。
简单来说,它就是个小工具,让开发者可以打包他们的应用以及依赖包到一个可移植的镜像中,然后发布到任何流行的 Linux或Windows操作系统的机器上,也可以实现虚拟化。容器是完全使用沙箱机制,相互之间不会有任何接口。
遇到的是什么问题,这个问题的根本原因是什么,如何解决?
问题描述:容器无法获取到宿主机的设备信息,具体点说就是无法在容器上执行dmidecode命令。
想要解决这个问题,需要先了解一下执行dmidecode命令需要具备的条件以及容器的实现机制。
dmidecode命令
dmidecode命令可以让你在Linux系统下获取有关硬件方面的信息包括UUID、BIOS、系统、主板、处理器、内存、缓存等等。
常用用法如下(需要root权限):
[root@localhost ~]$ dmidecode # 打印所有硬件信息
[root@localhost ~]$ dmidecode -q # 打印所有硬件信息,比较简洁[root@localhost ~]$ dmidecode -h # 获取帮助
[root@localhost ~]$ dmidecode | grep 'Product Name' # 以过滤的方式来查看指定的硬件信息
[root@localhost ~]$ dmidecode --type bios # 查看BIOS相关的硬件信息
[root@localhost ~]$ dmidecode --type system # 查看系统相关的硬件信息
[root@localhost ~]$ dmidecode --type baseboard # 查看主板相关的硬件信息
[root@localhost ~]$ dmidecode --type chassis # 查看机箱相关的硬件信息
[root@localhost ~]$ dmidecode --type processor # 查看处理器相关的硬件信息
[root@localhost ~]$ dmidecode --type memory # 查看内存相关的硬件信息
我们不可能每次都使用root权限执行命令,这时候我们可以提前使用chmod + s升级目录权限。chmod+s 就是给某个文件以suid权限,当一个具有执行权限的文件设置SUID权限后,用户执行这个文件时将以文件所有者的身份执行。
具体代码如下:
chmod +s /usr/sbin/dmidecode
或者
sudo chmod +s /usr/sbin/dmidecode
再来看看容器背后的实现机制
容器的两大关键技术Namespace和Cgroups。我看过的教程都说,理解了这两个概念,基本上就能彻底搞懂容器的核心原理了。我的感受是,虽然没有彻底搞懂容器的核心原理,但是对容器的实现机制有一个大概的了解,然后能搞清楚运维同学提到的问题为什么会出现了。
下面开始分享我学习两大关键技术的经验:
首先我是跟着教程用容器启动服务
具体的做法是先创建一个镜像,然后用这个镜像启动一个容器,也就是启动我们的jar包。(具体的操作可以看Docker官网教程)此时我们的项目就已经被Docker隔离在了一个跟宿主机完全不同的世界当中,这个世界可以称之为“沙盒”。“沙盒”的进程、网络还有文件系统都是独立的。
然后就是思考Docker容器实现“沙盒”的技术手段。
首先是学习实现“边界”的手段Namespace
也就是思考容器的独立运行环境到底是怎么创造的。
容器是一个“单进程”模型,是一种特殊的进程。容器对被隔离应用的进程空间做了手脚,使得这些进程之间”相互隔离“,不能访问彼此的资源,这种技术,就是Linux里面的Namespace机制。
这种隔离有两个作用:第一是可以充分地利用系统的资源,也就是说在一台宿主机上可以运行多个容器;第二是保证了安全性,因为不同容器之间不能访问对方的资源。
容器的网络和文件系统不一样,如何做到的呢?
其实这里依靠的是Network Namespace和Mount Namespace:
Mount Namespace,用于让被隔离进程只看到当前Namespace里的挂载点信息;
Network Namespace,用于让被隔离进程看到当前Namespace里的网络设备和配置。
当然除了上面这些, Linux操作系统还提供了Mount、UTS、IPC、Network和User这些Namespace,用来对各种不同的进程上下文进行“障眼法”操作。
这些Namespace尽管类型不同,但都是为了隔离容器资源,正是通过在创建容器进程时,指定了这个进程所需要启用的一组Namespace参数。所以,容器就只能“看”到当前Namespace所限定的资源、文件、设备、状态,或者配置。而对于宿主机以及其他不相关的内容,它就完全看不到了。
再就是学习约束“边界”的手段Cgroups
上面我们学习了,容器,是一种特殊的进程,它使用Namespace实现“障眼法”,即它的“视线”被操作系统做了限制,只能“看到”某些指定的内容。但对于宿主机来说在宿主机真实的进程空间里,这些被“隔离”了的进程跟其他进程并没有太大区别。也就是说这种做法有个问题就是:隔离得不彻底。
虽然容器之间在Namespace“障眼法”的干扰下相互之间看不到对方容器内的情况。但是宿主机上,它与其他所有进程之间依然是平等的竞争关系。这就意味着,容器表面上被隔离了起来,但是它所能够使用到的资源(比如CPU、内存、磁盘、网络带宽),却是可以随时被宿主机上的其他进程(或者其他容器)占用的。
所以我们要对容器做一些限制,实现限制的技术手段就是Linux Cgroups,全称是Linux Control Group。它最主要的作用,就是限制一个进程组能够使用的资源上限,包括CPU、内存、磁盘、网络带宽等等。
在今天的分享中,我就不和大家去深入学习Cgroups了。感兴趣的同学可以自行Google学习一下。
问题的答案
dmidecode命令和容器背后的实现机制讲完了,但运维同学提出的问题好像还没有解决,我直接把答案放出来吧。
如果要在docker容器中运行dmidecode命令,那么要将宿主机的如下两个目录挂载到容器中。
1. /sbin/dmidecode --这个目录是dmidecode程序的目录,如果不挂载那么容器中识别不了dmidecode命令。
2. /dev/mem --dmidecode调用时会使用到mem这个文件,如果不挂载会找不到文件。
3. 在启动时增加 --privileged 这个参数,让容器获得近似于宿主机root的权限。
完整的运行命令如下:
docker run -d --privileged -v /sbin/dmidecode:/sbin/dmidecode -v /dev/mem:/dev/mem --name my-demo -p 9090:8080 demo
(以近似于root的权限用后台模式启动demo这个镜像,取别名为my-demo,并挂载两个宿主机目录到容器中,将容器的8080端口映射到宿主机9090端口)
总结一下,其实容器中想要用的任何东西,无论是文件还是程序还是什么别的,都可以通过挂载的形式从宿主机中挂载到容器中,让容器中可以访问到。
安全性问题
Docker容器确实非常火热也很好用,但是在生产环境下当Docker运行在云提供商平台上时,安全性变得更加复杂,所以企业生产环境需要特别注意容器安全问题。
比如说,上文使用Privileged参数,让容器获得近似于宿主机root的权限,这个配置就是不安全的。
为什么这个Privileged配置不安全?
如果配置了privileged参数,容器就可以获取所有的capabilities,那什么是capabilities呢?
Linux capabilities:对于任意一个进程,在做任意一个特权操作的时候,都需要有这个特权操作对应的capability。
privileged 由于包含了所有的capabilities, 这样容器就可以轻易获取宿主机上的所有资源,这会对宿主机的安全产生威胁。类似于root权限的概念。
所以,我们要根据容器中进程需要的最少特权来赋予capabilities。添加权限的参数是 --cap-add ,具体要授权什么 capabilities 可以Google搜索“linux capabilities手册”了解。
一些思考
写了这么多其实只是学习了一些表面的东西。可能有同学会问我为什么不深入地去学习,比如说探究Cgroups、Namespace原理,深入学习容器进程、网络、安全、存储、内存模块,甚至是自己去实现Docker。
对此我的回答是,在深入学习容器之前我需要先去学习linux和一点C,这不是我现阶段想做的事情。
最后
我把上面的答案告诉运维同学后,他们反馈说,用K8s挂载不了上面提到的目录。限于我目前对K8s不了解,这个问题他们也不着急,所以只能暂时搁置一下,等我学完k8s再去解决。学习完k8s之后我会和今天一样把学习经验分享出来。我在微信公众号发表了本文的英文版(借助了翻译软件),如果您感兴趣可以关注一下我: ProgrammerAlan。
作者简介
鑫茂,深圳,Java开发工程师,2022年3月参加工作。
喜读思维方法、哲学心理学以及历史等方面的书,偶尔写些文字。
希望通过文章,结识更多同道中人。如果你对我感兴趣欢迎添加我的联系方式,可以一起讨论如何赚钱,实现共同富裕。
