Linux Containers,Linux的容器,容器嘛,可以想象成一个大的装东西的罐子,罐子口很大,里面可以装很多同样形状,只不过大小不同的小罐子。专业的话,叫做基于容器的操作系统层面的虚拟化技术。
在这个大的容器里面,可以装很多小的容器,每一个容器都具备完整的运行环境,如特定的CPU、memory节点、可分配的cpu时间,IO时间,受限的内存大小(包括内存和SWAP),提供对底层设备的访问,拥有独立的namespace(网络、pid、ipc、mmt和uts)。
LXC项目地址:https://linuxcontainers.org/
LXC在github上的地址:https://github.com/lxc/lxc
一个LXC的实例,我们称之为container,类比于PC机器上面的Virtual Box和Vmware。
LXC具体组成
LXC项目在Sourceforge上面的,它有一个Linux内核补丁和一些用户空间的工具组成,其中内核补丁提供底层新特性,上层工具使用这些新特性,提供一套简化的工具来维护容器。
LXC在资管管理方面,依赖与Linux内核密切相关的Cgroups子系统,这个子系统是Linux内核提供的一个基于进程组的资源管理框架,可以为特定的进程组限定可以使用的资源,借助cgroups子系统,在当前Linux环境下,实现一个轻量化的虚拟机。
LXC在隔离控制方面,依赖于Linux内核提供的namespace特性,具体来说,就是在clone的时候加入相应的flag。
LXC的优势
LXC是操作系统层面的虚拟化技术,与传统的HAL层次的虚拟化技术相比,有以下优势:
1. 更小的虚拟化开销。LXC的诸多特性基本有内核提供
2. 快速部署。只需要安装LXC,就可以利用LXC的相关命令来创建并且启动容器,为应用提供虚拟执行环节。而传统的虚拟化技术,需要先创建虚拟机,然后安装系统,再部署应用。
3. 虚拟机的rootfs就在/var/lib/lxc/container_name ,可以在宿主机上轻松修改container的文件系统。
4. LXC使用apparmor,应用程序访问控制系统来确保主机不受容器内实例的恶意行为。
LXC的缺点
1. 缺少对磁盘限额(disk quota)的支持,目前使用LVM来限定支持。
2. 缺少对写时复制(copy on write)的支持,对于每个容器来说,都是一份操作系统的用户态实例,都有属于自己的系统库函数文件等必需文件。在一个系统有多个容器的情况下,这会造成磁盘空间的浪费。这里可以借鉴写时复制的概念,对于容器共用的文件,在没有对共享文件进行写入之前,可以只保存一份拷贝,其他容器采用硬链接的方式来共享,当有容器对共享文件进行写入时,为其单独创建一份拷贝。
3. 进程和容器之间的动态关联还不够完善
理想情况下,进程和容器之间是动态关联的,进程可以在容器之间迁移。在LXC中,资源管理是通过cgroups实现的,进程可以在cgroup之间有条件的迁移。命名空间的隔离是通过namespace实现的,目前内核只支持进程变更有限的几类命名空间。
4. 不支持checkpoint
checkpoint技术可以将容器中所有的进程暂时frozen,将当时容器完整的状态存储在磁盘上,类似于Vmware的snapshot,目前LXC不支持checkpoint技术,只是借助cgroups的freezer子系统,将进程暂时frozen和resume,没有完整的存储容器的状态。
5. 不支持容器的动态迁移
动态迁移是指将正在运行的容器从一个机器上迁移到另一个机器上,在此过程中,容器中的进程无需停止,此项技术可以用来优化服务器集群的资源配置。目前LXC不支持动态迁移。
LXC安装使用
在Ubuntu系统下,可以使用apt命令来安装或者使用源码来安装,建议使用apt来安装,这种方式在安装过程中会自动安装LXC所依赖的其他软件.
在正确使用lxc之前,需要对其配置文件进行简单的介绍,以便更好的理解LXC的工作原理.
a. /etc/lxc/lxc.conf 创建lxc容器的时候默认使用的配置文件,默认内容如下。
b. /usr/lib/lxc/templates/ 该目录保存当前LXC支持的各种发行版本的Linux模板配置文件
c. /var/lib/lxc/ 该目录存放每个创建的容器实例,只有root用户才有权限访问其内容
d. /var/cache/lxc 该目录存放容器实例的cache,加快容器实例创建速度。
LXC根据容器类型的不同而有所不同,一种是系统容器,一种是应用程序容器。系统容器类似于虚拟机,
lxc-start –n name init ,运行init程序。
应用程序容器只是创建用于隔离一个应用程序的单独的命名空间,类似的命令,lxc-execute –n name cmd
LXC常用命令
1. lxc-checkconfig 用于判断Linux内核是否支持LXC
2. lxc-create 用于创建一个容器
lxc-create –n name [ –f config_file ]
name 创建的容器名称
config_file 容器配制文件的路径
备注: 容器名称是全局的,也就是说,系统不允许存在重名的容器。lxc-create创建的容器,在停止运行后,不会自动销毁。
3. lxc-destroy 用于销毁一个容器
4. lxc-execute 用于在一个容器执行应用程序
lxc-execute –n name [ –f config_file] [ –s KEY=VAL ] command
name 容器名称
config_file 容器配制文件路径
-s 后面跟配制键值对 例如 lxc.cgroup.cpu.shares = 512
command 待执行的命令
备注:如果不存在name容器,lxc-execute会自动创建一个,容器停止运行后会自动销毁。
执行过程中,有限选用 –f 指定的配置文件参数。 -s选项可以特别改变配置文件中的某一项参数值。
lxc-execute 先创建lxc-init进程,然后在lxc-init中fork一个进行来执行命令,常用于在容器中执行应用程序。
5. lxc-start 用于在容器中执行给定命令
lxc-start –n name [-f config_file ] [-c console_file ] [-d] [-s KEY=VAL] [command]
-d : 将容器当做守护进程执行
-c : 指定一个文件作为容器的控制台输出,默认为终端
备注:如果容器还不存在,lxc-start会自动创建一个,容器停止允许后会自动销毁。它是直接创建进程来运行命令。
lxc-start 用于在容器中启动system
6. lxc-kill 用于发送信号给容器中的第一个用户进程(容器内部进程号为1的为init,进程号为2的为第一个用户进程),默认信号为SIGKILL。
lxc-kill –n name [SIGNUM]
7. lxc-stop 用于停止容器中所有的进程
lxc-stop –n name
8. lxc-destroy 用于销毁容器
lxc-destroy –n name
9. 其他命令,等到需要的时候再补充。
使用上述命令,需要root权限来执行。
在成成的虚拟机容器中,有config配置文件,可以在里面添加针对这个虚拟机的各种资源限制范围。
经验总结
1. 创建虚拟机,需要以root权限来创建和执行上述相关的命令
2. 当尝试在容器中执行命令出现如下错误时,
由于LXC采用cgroup对容器进行资源管理,在实际使用lxc之前,必须执行mount none –t cgroup /cgroup 来挂载cgroup系统,或者将此命令写到/etc/fstab中,让系统每次启动时,自动挂载cgroup。
解决方法: https://groups.google.com/forum/#!topic/ns-3-users/brjBDmGU4PE
Cgroup部分的配置都是以lxc.cgroup.[subsystem name].key=value的形式出现的.例如:
lxc.cgroup.cpu.shares=512
lxc.cgroup.cpuset.cpus=1.2
cgroup下面有cpu子系统、cpuset子系统、memory子系统、blkio子系统、network部分、rootfs部分这些来设置。