第二部分-Docker核心原理——06. Docker 架构深度解析
06. Docker 架构深度解析
1. Docker 整体架构
Docker 采用 C/S(客户端-服务器)架构,由 Docker Client、Docker Daemon、containerd、runc 等多个组件协同工作。
┌─────────────────────────────────────────────────────────────────────────┐ │ Docker 整体架构 │ ├─────────────────────────────────────────────────────────────────────────┤ │ │ │ ┌─────────────────┐ ┌─────────────────────────┐│ │ │ Docker Client │ │ Docker Registry ││ │ │ │ │ ││ │ │ ┌─────────────┐ │ REST API │ ┌───────────────────┐ ││ │ │ │ docker CLI │─┼───────────────────────▶│ │ Docker Hub │ ││ │ │ └─────────────┘ │ │ │ 私有仓库 │ ││ │ │ │ │ └───────────────────┘ ││ │ │ ┌─────────────┐ │ │ ││ │ │ │ REST API │ │ └─────────────────────────┘│ │ │ │ Client │─┼─────┐ │ │ │ └─────────────┘ │ │ │ │ └─────────────────┘ │ │ │ │ │ │ ▼ │ │ ┌─────────────────────────────────────────────────────────────────┐ │ │ │ Docker Daemon (dockerd) │ │ │ │ ┌───────────────────────────────────────────────────────────┐ │ │ │ │ │ image management │ │ │ │ │ │ container management │ │ │ │ │ │ network management │ │ │ │ │ │ volume management │ │ │ │ │ └───────────────────────────────────────────────────────────┘ │ │ │ │ │ │ │ │ │ │ gRPC │ │ │ │ ▼ │ │ │ │ ┌───────────────────────────────────────────────────────────┐ │ │ │ │ │ containerd │ │ │ │ │ │ ┌─────────────────────────────────────────────────────┐ │ │ │ │ │ │ │ container lifecycle management │ │ │ │ │ │ │ └─────────────────────────────────────────────────────┘ │ │ │ │ │ │ │ │ │ │ │ │ │ ▼ │ │ │ │ │ │ ┌─────────────────────────────────────────────────────┐ │ │ │ │ │ │ │ runc │ │ │ │ │ │ │ │ (OCI 运行时,实际创建容器进程) │ │ │ │ │ │ │ └─────────────────────────────────────────────────────┘ │ │ │ │ │ └───────────────────────────────────────────────────────────┘ │ │ │ └─────────────────────────────────────────────────────────────────┘ │ │ │ └─────────────────────────────────────────────────────────────────────────┘2. 各组件详解
2.1 Docker Client
Docker 客户端是与用户交互的入口,负责接收用户命令并传递给 Docker Daemon。
# 客户端常用操作# 默认连接方式:Unix Socket (/var/run/docker.sock)dockerversion# 查看客户端和服务器版本dockerinfo# 查看系统信息# 连接到远程 Dockerdocker-Htcp://192.168.1.100:2375psexportDOCKER_HOST=tcp://192.168.1.100:2375dockerps# 使用 SSH 连接docker-Hssh://user@remote-hostps# 客户端配置# ~/.docker/config.json{"auths":{},"HttpHeaders":{},"psFormat":"table {{.Names}}\t{{.Image}}","imagesFormat":"table {{.Repository}}\t{{.Tag}}"}2.2 Docker Daemon (dockerd)
Docker 守护进程是 Docker 架构的核心,负责管理容器、镜像、网络、存储等资源。
# 查看守护进程状态systemctl statusdocker# 守护进程配置 /etc/docker/daemon.json{"debug":true,"log-level":"info","data-root":"/var/lib/docker","exec-opts":["native.cgroupdriver=systemd"],"registry-mirrors":["https://docker.mirrors.ustc.edu.cn"],"insecure-registries":["myregistry.com:5000"],"storage-driver":"overlay2","max-concurrent-downloads":10,"max-concurrent-uploads":5,"log-driver":"json-file","log-opts":{"max-size":"10m","max-file":"3"},"labels":["node=production"],"hosts":["unix:///var/run/docker.sock","tcp://0.0.0.0:2375"]}# 重启守护进程sudosystemctl daemon-reloadsudosystemctl restartdocker# 查看守护进程日志journalctl-fudocker.service2.3 containerd
containerd 是容器运行时管理组件,负责容器的生命周期管理。
┌─────────────────────────────────────────────────────────────┐ │ containerd 架构 │ ├─────────────────────────────────────────────────────────────┤ │ │ │ ┌─────────────────────────────────────────────────────┐ │ │ │ containerd │ │ │ │ ┌─────────────┐ ┌─────────────┐ │ │ │ │ │ gRPC API │ │ Metrics │ │ │ │ │ └──────┬──────┘ └──────┬──────┘ │ │ │ │ │ │ │ │ │ │ ▼ ▼ │ │ │ │ ┌─────────────────────────────────────────────┐ │ │ │ │ │ Core Components │ │ │ │ │ │ ┌──────────┐ ┌──────────┐ ┌──────────┐ │ │ │ │ │ │ │ Bundle │ │ Runtime │ │ Image │ │ │ │ │ │ │ │ Service │ │ Service │ │ Service │ │ │ │ │ │ │ └──────────┘ └──────────┘ └──────────┘ │ │ │ │ │ └─────────────────────────────────────────────┘ │ │ │ │ │ │ │ │ │ ▼ │ │ │ │ ┌─────────────────────────────────────────────┐ │ │ │ │ │ shim │ │ │ │ │ │ (每个容器一个 shim 进程) │ │ │ │ │ └─────────────────────┬───────────────────────┘ │ │ │ │ │ │ │ │ │ ▼ │ │ │ │ ┌─────────────────────────────────────────────┐ │ │ │ │ │ runc │ │ │ │ │ │ (OCI 运行时创建容器) │ │ │ │ │ └─────────────────────────────────────────────┘ │ │ │ └─────────────────────────────────────────────────────┘ │ │ │ └─────────────────────────────────────────────────────────────┘# 查看 containerd 状态systemctl status containerd# containerd 配置 /etc/containerd/config.toml# 生成默认配置containerd config default>config.toml# 使用 ctr 直接操作(调试用)ctr image pull docker.io/library/nginx:latest ctr imagelsctr container create docker.io/library/nginx:latesttesttrtask starttestctr tasklsctr taskkilltest2.4 runc
runc 是 OCI 标准的容器运行时,负责实际创建和运行容器。
# runc 是低层工具,通常不直接使用# 查看 runc 版本runc--version# runc 容器运行时目录ls-la/run/containerd/io.containerd.runtime.v2.task/default/# 查看容器进程(可以看到 runc 启动的进程)psaux|grep-E"runc|containerd-shim"3. 组件协作流程
3.1 容器启动流程
┌─────────────────────────────────────────────────────────────┐ │ 容器启动完整流程 │ ├─────────────────────────────────────────────────────────────┤ │ │ │ 用户 docker run 命令 │ │ │ │ │ ▼ │ │ Docker Client 解析命令 │ │ │ │ │ ▼ (HTTP/REST API) │ │ Docker Daemon 接收请求 │ │ │ │ │ ├──▶ 检查镜像是否存在 │ │ │ │ │ │ │ └──▶ 若不存在则从 Registry 拉取 │ │ │ │ │ ▼ │ │ 创建容器配置 │ │ │ │ │ ▼ (gRPC) │ │ containerd 接管 │ │ │ │ │ ├──▶ 创建 OCI Bundle (容器文件系统) │ │ ├──▶ 准备 rootfs │ │ └──▶ 创建容器目录 │ │ │ │ │ ▼ │ │ containerd-shim 启动 │ │ │ │ │ ▼ │ │ runc create (创建容器进程) │ │ │ │ │ ▼ │ │ runc start (启动容器) │ │ │ │ │ ▼ │ │ 容器运行中 │ │ │ └─────────────────────────────────────────────────────────────┘3.2 容器停止流程
┌─────────────────────────────────────────────────────────────┐ │ 容器停止流程 │ ├─────────────────────────────────────────────────────────────┤ │ │ │ docker stop │ │ │ │ │ ▼ │ │ Docker Daemon 收到停止请求 │ │ │ │ │ ├──▶ 发送 SIGTERM 信号给容器主进程 │ │ │ │ │ ├──▶ 等待 graceful 超时时间 (默认10秒) │ │ │ │ │ └──▶ 若未退出,发送 SIGKILL 强制杀死 │ │ │ │ │ ▼ │ │ containerd 通知 runc 停止容器 │ │ │ │ │ ▼ │ │ runc 杀死容器进程 │ │ │ │ │ ▼ │ │ containerd-shim 进程退出 │ │ │ │ │ ▼ │ │ 容器状态变为 Exited │ │ │ └─────────────────────────────────────────────────────────────┘4. 进程模型
# 查看 Docker 相关进程psaux|grep-E"dockerd|containerd|runc|docker-proxy"# 进程关系示例# UID PID PPID COMMAND# root 1234 1 /usr/bin/dockerd# root 5678 1234 /usr/bin/containerd# root 9012 5678 /usr/bin/containerd-shim-runc-v2 -namespace moby -id container-id# root 3456 9012 /usr/bin/runc# root 7890 3456 nginx: master process# 查看容器对应的进程dockerinspect--format='{{.State.Pid}}'container_name# 通过宿主机 PID 查看容器进程ps-p<PID>-opid,comm,args# 进入容器的命名空间nsenter-t<PID>-nipaddr5. 存储驱动
# 查看当前存储驱动dockerinfo|grep"Storage Driver"# 支持的存储驱动# - overlay2 (推荐,Linux 内核 4.0+)# - aufs (旧版 Ubuntu)# - devicemapper (CentOS/RHEL)# - overlay (被 overlay2 取代)# - btrfs, zfs, vfs# docker 数据目录结构ls-la/var/lib/docker/# ├── containers/ # 容器数据# ├── image/ # 镜像元数据# ├── network/ # 网络配置# ├── overlay2/ # 镜像层数据# ├── volumes/ # 数据卷# ├── builder/ # 构建缓存# └── tmp/ # 临时文件6. 网络模型
# Docker 网络组件# docker-proxy: 负责端口映射dockerrun-d-p8080:80 nginx# 查看 docker-proxy 进程psaux|grepdocker-proxy# iptables 规则sudoiptables-tnat-L-n-v# 查看网桥dockernetworklsbrctl show docker0# 网络命名空间ls-la/var/run/docker/netns/# 进入容器的网络命名空间dockerinspect--format='{{.State.Pid}}'container_namesudonsenter-t<PID>-nipaddr7. 性能优化配置
# /etc/docker/daemon.json 性能相关配置{# 使用 overlay2 驱动"storage-driver":"overlay2","storage-opts":["overlay2.override_kernel_check=true","overlay2.size=20G"],# 并发控制"max-concurrent-downloads":10,"max-concurrent-uploads":5,# 日志限制"log-driver":"json-file","log-opts":{"max-size":"10m","max-file":"3","compress":"true"},# CPU 限制"cpu-rt-runtime":950000,"cpu-rt-period":1000000,# 实验性功能"experimental":true,"metrics-addr":"0.0.0.0:9323"}8. 调试与监控
# 开启 debug 模式sudodockerd--debug# 查看守护进程状态dockersystem info# 查看守护进程事件dockersystem events# 查看磁盘使用dockersystemdf# 检查 API 版本dockerversion--format'{{.Server.APIVersion}}'# 获取 containerd 调试信息ctr version ctr imagelsctr containerls9. 常见问题
Q1: dockerd 和 containerd 的区别?
- dockerd:高层次的 Docker 守护进程,提供镜像管理、网络、卷等功能
- containerd:低层次运行时,专注容器生命周期管理
Q2: 为什么需要 containerd-shim?
- 让容器进程与 containerd 解耦
- allow 容器退出时 containerd 可以重启
- 保持 stdin/stdout 打开
Q3: runc 的作用?
- OCI 规范的具体实现
- 创建容器的实际执行者
- 设置命名空间、Cgroups 等
10. 小结
- C/S 架构:Client 通过 REST API 与 Daemon 通信
- 核心组件:dockerd、containerd、containerd-shim、runc
- containerd 管理:镜像、容器生命周期、存储、网络
- runc:OCI 运行时,实际创建容器
- 进程模型:dockerd → containerd → shim → runc → 容器进程
- 存储驱动:默认使用 overlay2