06. Docker 架构深度解析1. Docker 整体架构Docker 采用 C/S客户端-服务器架构由 Docker Client、Docker Daemon、containerd、runc 等多个组件协同工作。┌─────────────────────────────────────────────────────────────────────────┐ │ Docker 整体架构 │ ├─────────────────────────────────────────────────────────────────────────┤ │ │ │ ┌─────────────────┐ ┌─────────────────────────┐│ │ │ Docker Client │ │ Docker Registry ││ │ │ │ │ ││ │ │ ┌─────────────┐ │ REST API │ ┌───────────────────┐ ││ │ │ │ docker CLI │─┼───────────────────────▶│ │ Docker Hub │ ││ │ │ └─────────────┘ │ │ │ 私有仓库 │ ││ │ │ │ │ └───────────────────┘ ││ │ │ ┌─────────────┐ │ │ ││ │ │ │ REST API │ │ └─────────────────────────┘│ │ │ │ Client │─┼─────┐ │ │ │ └─────────────┘ │ │ │ │ └─────────────────┘ │ │ │ │ │ │ ▼ │ │ ┌─────────────────────────────────────────────────────────────────┐ │ │ │ Docker Daemon (dockerd) │ │ │ │ ┌───────────────────────────────────────────────────────────┐ │ │ │ │ │ image management │ │ │ │ │ │ container management │ │ │ │ │ │ network management │ │ │ │ │ │ volume management │ │ │ │ │ └───────────────────────────────────────────────────────────┘ │ │ │ │ │ │ │ │ │ │ gRPC │ │ │ │ ▼ │ │ │ │ ┌───────────────────────────────────────────────────────────┐ │ │ │ │ │ containerd │ │ │ │ │ │ ┌─────────────────────────────────────────────────────┐ │ │ │ │ │ │ │ container lifecycle management │ │ │ │ │ │ │ └─────────────────────────────────────────────────────┘ │ │ │ │ │ │ │ │ │ │ │ │ │ ▼ │ │ │ │ │ │ ┌─────────────────────────────────────────────────────┐ │ │ │ │ │ │ │ runc │ │ │ │ │ │ │ │ (OCI 运行时实际创建容器进程) │ │ │ │ │ │ │ └─────────────────────────────────────────────────────┘ │ │ │ │ │ └───────────────────────────────────────────────────────────┘ │ │ │ └─────────────────────────────────────────────────────────────────┘ │ │ │ └─────────────────────────────────────────────────────────────────────────┘2. 各组件详解2.1 Docker ClientDocker 客户端是与用户交互的入口负责接收用户命令并传递给 Docker Daemon。# 客户端常用操作# 默认连接方式Unix Socket (/var/run/docker.sock)dockerversion# 查看客户端和服务器版本dockerinfo# 查看系统信息# 连接到远程 Dockerdocker-Htcp://192.168.1.100:2375psexportDOCKER_HOSTtcp://192.168.1.100:2375dockerps# 使用 SSH 连接docker-Hssh://userremote-hostps# 客户端配置# ~/.docker/config.json{auths:{},HttpHeaders:{},psFormat:table {{.Names}}\t{{.Image}},imagesFormat:table {{.Repository}}\t{{.Tag}}}2.2 Docker Daemon (dockerd)Docker 守护进程是 Docker 架构的核心负责管理容器、镜像、网络、存储等资源。# 查看守护进程状态systemctl statusdocker# 守护进程配置 /etc/docker/daemon.json{debug:true,log-level:info,data-root:/var/lib/docker,exec-opts:[native.cgroupdriversystemd],registry-mirrors:[https://docker.mirrors.ustc.edu.cn],insecure-registries:[myregistry.com:5000],storage-driver:overlay2,max-concurrent-downloads:10,max-concurrent-uploads:5,log-driver:json-file,log-opts:{max-size:10m,max-file:3},labels:[nodeproduction],hosts:[unix:///var/run/docker.sock,tcp://0.0.0.0:2375]}# 重启守护进程sudosystemctl daemon-reloadsudosystemctl restartdocker# 查看守护进程日志journalctl-fudocker.service2.3 containerdcontainerd 是容器运行时管理组件负责容器的生命周期管理。┌─────────────────────────────────────────────────────────────┐ │ containerd 架构 │ ├─────────────────────────────────────────────────────────────┤ │ │ │ ┌─────────────────────────────────────────────────────┐ │ │ │ containerd │ │ │ │ ┌─────────────┐ ┌─────────────┐ │ │ │ │ │ gRPC API │ │ Metrics │ │ │ │ │ └──────┬──────┘ └──────┬──────┘ │ │ │ │ │ │ │ │ │ │ ▼ ▼ │ │ │ │ ┌─────────────────────────────────────────────┐ │ │ │ │ │ Core Components │ │ │ │ │ │ ┌──────────┐ ┌──────────┐ ┌──────────┐ │ │ │ │ │ │ │ Bundle │ │ Runtime │ │ Image │ │ │ │ │ │ │ │ Service │ │ Service │ │ Service │ │ │ │ │ │ │ └──────────┘ └──────────┘ └──────────┘ │ │ │ │ │ └─────────────────────────────────────────────┘ │ │ │ │ │ │ │ │ │ ▼ │ │ │ │ ┌─────────────────────────────────────────────┐ │ │ │ │ │ shim │ │ │ │ │ │ (每个容器一个 shim 进程) │ │ │ │ │ └─────────────────────┬───────────────────────┘ │ │ │ │ │ │ │ │ │ ▼ │ │ │ │ ┌─────────────────────────────────────────────┐ │ │ │ │ │ runc │ │ │ │ │ │ (OCI 运行时创建容器) │ │ │ │ │ └─────────────────────────────────────────────┘ │ │ │ └─────────────────────────────────────────────────────┘ │ │ │ └─────────────────────────────────────────────────────────────┘# 查看 containerd 状态systemctl status containerd# containerd 配置 /etc/containerd/config.toml# 生成默认配置containerd config defaultconfig.toml# 使用 ctr 直接操作调试用ctr image pull docker.io/library/nginx:latest ctr imagelsctr container create docker.io/library/nginx:latesttesttrtask starttestctr tasklsctr taskkilltest2.4 runcrunc 是 OCI 标准的容器运行时负责实际创建和运行容器。# runc 是低层工具通常不直接使用# 查看 runc 版本runc--version# runc 容器运行时目录ls-la/run/containerd/io.containerd.runtime.v2.task/default/# 查看容器进程可以看到 runc 启动的进程psaux|grep-Erunc|containerd-shim3. 组件协作流程3.1 容器启动流程┌─────────────────────────────────────────────────────────────┐ │ 容器启动完整流程 │ ├─────────────────────────────────────────────────────────────┤ │ │ │ 用户 docker run 命令 │ │ │ │ │ ▼ │ │ Docker Client 解析命令 │ │ │ │ │ ▼ (HTTP/REST API) │ │ Docker Daemon 接收请求 │ │ │ │ │ ├──▶ 检查镜像是否存在 │ │ │ │ │ │ │ └──▶ 若不存在则从 Registry 拉取 │ │ │ │ │ ▼ │ │ 创建容器配置 │ │ │ │ │ ▼ (gRPC) │ │ containerd 接管 │ │ │ │ │ ├──▶ 创建 OCI Bundle (容器文件系统) │ │ ├──▶ 准备 rootfs │ │ └──▶ 创建容器目录 │ │ │ │ │ ▼ │ │ containerd-shim 启动 │ │ │ │ │ ▼ │ │ runc create (创建容器进程) │ │ │ │ │ ▼ │ │ runc start (启动容器) │ │ │ │ │ ▼ │ │ 容器运行中 │ │ │ └─────────────────────────────────────────────────────────────┘3.2 容器停止流程┌─────────────────────────────────────────────────────────────┐ │ 容器停止流程 │ ├─────────────────────────────────────────────────────────────┤ │ │ │ docker stop │ │ │ │ │ ▼ │ │ Docker Daemon 收到停止请求 │ │ │ │ │ ├──▶ 发送 SIGTERM 信号给容器主进程 │ │ │ │ │ ├──▶ 等待 graceful 超时时间 (默认10秒) │ │ │ │ │ └──▶ 若未退出发送 SIGKILL 强制杀死 │ │ │ │ │ ▼ │ │ containerd 通知 runc 停止容器 │ │ │ │ │ ▼ │ │ runc 杀死容器进程 │ │ │ │ │ ▼ │ │ containerd-shim 进程退出 │ │ │ │ │ ▼ │ │ 容器状态变为 Exited │ │ │ └─────────────────────────────────────────────────────────────┘4. 进程模型# 查看 Docker 相关进程psaux|grep-Edockerd|containerd|runc|docker-proxy# 进程关系示例# UID PID PPID COMMAND# root 1234 1 /usr/bin/dockerd# root 5678 1234 /usr/bin/containerd# root 9012 5678 /usr/bin/containerd-shim-runc-v2 -namespace moby -id container-id# root 3456 9012 /usr/bin/runc# root 7890 3456 nginx: master process# 查看容器对应的进程dockerinspect--format{{.State.Pid}}container_name# 通过宿主机 PID 查看容器进程ps-pPID-opid,comm,args# 进入容器的命名空间nsenter-tPID-nipaddr5. 存储驱动# 查看当前存储驱动dockerinfo|grepStorage Driver# 支持的存储驱动# - overlay2 (推荐Linux 内核 4.0)# - aufs (旧版 Ubuntu)# - devicemapper (CentOS/RHEL)# - overlay (被 overlay2 取代)# - btrfs, zfs, vfs# docker 数据目录结构ls-la/var/lib/docker/# ├── containers/ # 容器数据# ├── image/ # 镜像元数据# ├── network/ # 网络配置# ├── overlay2/ # 镜像层数据# ├── volumes/ # 数据卷# ├── builder/ # 构建缓存# └── tmp/ # 临时文件6. 网络模型# Docker 网络组件# docker-proxy: 负责端口映射dockerrun-d-p8080:80 nginx# 查看 docker-proxy 进程psaux|grepdocker-proxy# iptables 规则sudoiptables-tnat-L-n-v# 查看网桥dockernetworklsbrctl show docker0# 网络命名空间ls-la/var/run/docker/netns/# 进入容器的网络命名空间dockerinspect--format{{.State.Pid}}container_namesudonsenter-tPID-nipaddr7. 性能优化配置# /etc/docker/daemon.json 性能相关配置{# 使用 overlay2 驱动storage-driver:overlay2,storage-opts:[overlay2.override_kernel_checktrue,overlay2.size20G],# 并发控制max-concurrent-downloads:10,max-concurrent-uploads:5,# 日志限制log-driver:json-file,log-opts:{max-size:10m,max-file:3,compress:true},# CPU 限制cpu-rt-runtime:950000,cpu-rt-period:1000000,# 实验性功能experimental:true,metrics-addr:0.0.0.0:9323}8. 调试与监控# 开启 debug 模式sudodockerd--debug# 查看守护进程状态dockersystem info# 查看守护进程事件dockersystem events# 查看磁盘使用dockersystemdf# 检查 API 版本dockerversion--format{{.Server.APIVersion}}# 获取 containerd 调试信息ctr version ctr imagelsctr containerls9. 常见问题Q1: dockerd 和 containerd 的区别dockerd高层次的 Docker 守护进程提供镜像管理、网络、卷等功能containerd低层次运行时专注容器生命周期管理Q2: 为什么需要 containerd-shim让容器进程与 containerd 解耦allow 容器退出时 containerd 可以重启保持 stdin/stdout 打开Q3: runc 的作用OCI 规范的具体实现创建容器的实际执行者设置命名空间、Cgroups 等10. 小结C/S 架构Client 通过 REST API 与 Daemon 通信核心组件dockerd、containerd、containerd-shim、runccontainerd 管理镜像、容器生命周期、存储、网络runcOCI 运行时实际创建容器进程模型dockerd → containerd → shim → runc → 容器进程存储驱动默认使用 overlay2