当前位置：首页 > article >正文

第二部分-Docker核心原理——06. Docker 架构深度解析

article 2026/5/7 3:06:03

06. Docker 架构深度解析1. Docker 整体架构Docker 采用 C/S客户端-服务器架构由 Docker Client、Docker Daemon、containerd、runc 等多个组件协同工作。┌─────────────────────────────────────────────────────────────────────────┐ │ Docker 整体架构 │ ├─────────────────────────────────────────────────────────────────────────┤ │ │ │ ┌─────────────────┐ ┌─────────────────────────┐│ │ │ Docker Client │ │ Docker Registry ││ │ │ │ │ ││ │ │ ┌─────────────┐ │ REST API │ ┌───────────────────┐ ││ │ │ │ docker CLI │─┼───────────────────────▶│ │ Docker Hub │ ││ │ │ └─────────────┘ │ │ │ 私有仓库 │ ││ │ │ │ │ └───────────────────┘ ││ │ │ ┌─────────────┐ │ │ ││ │ │ │ REST API │ │ └─────────────────────────┘│ │ │ │ Client │─┼─────┐ │ │ │ └─────────────┘ │ │ │ │ └─────────────────┘ │ │ │ │ │ │ ▼ │ │ ┌─────────────────────────────────────────────────────────────────┐ │ │ │ Docker Daemon (dockerd) │ │ │ │ ┌───────────────────────────────────────────────────────────┐ │ │ │ │ │ image management │ │ │ │ │ │ container management │ │ │ │ │ │ network management │ │ │ │ │ │ volume management │ │ │ │ │ └───────────────────────────────────────────────────────────┘ │ │ │ │ │ │ │ │ │ │ gRPC │ │ │ │ ▼ │ │ │ │ ┌───────────────────────────────────────────────────────────┐ │ │ │ │ │ containerd │ │ │ │ │ │ ┌─────────────────────────────────────────────────────┐ │ │ │ │ │ │ │ container lifecycle management │ │ │ │ │ │ │ └─────────────────────────────────────────────────────┘ │ │ │ │ │ │ │ │ │ │ │ │ │ ▼ │ │ │ │ │ │ ┌─────────────────────────────────────────────────────┐ │ │ │ │ │ │ │ runc │ │ │ │ │ │ │ │ (OCI 运行时实际创建容器进程) │ │ │ │ │ │ │ └─────────────────────────────────────────────────────┘ │ │ │ │ │ └───────────────────────────────────────────────────────────┘ │ │ │ └─────────────────────────────────────────────────────────────────┘ │ │ │ └─────────────────────────────────────────────────────────────────────────┘2. 各组件详解2.1 Docker ClientDocker 客户端是与用户交互的入口负责接收用户命令并传递给 Docker Daemon。# 客户端常用操作# 默认连接方式Unix Socket (/var/run/docker.sock)dockerversion# 查看客户端和服务器版本dockerinfo# 查看系统信息# 连接到远程 Dockerdocker-Htcp://192.168.1.100:2375psexportDOCKER_HOSTtcp://192.168.1.100:2375dockerps# 使用 SSH 连接docker-Hssh://userremote-hostps# 客户端配置# ~/.docker/config.json{auths:{},HttpHeaders:{},psFormat:table {{.Names}}\t{{.Image}},imagesFormat:table {{.Repository}}\t{{.Tag}}}2.2 Docker Daemon (dockerd)Docker 守护进程是 Docker 架构的核心负责管理容器、镜像、网络、存储等资源。# 查看守护进程状态systemctl statusdocker# 守护进程配置 /etc/docker/daemon.json{debug:true,log-level:info,data-root:/var/lib/docker,exec-opts:[native.cgroupdriversystemd],registry-mirrors:[https://docker.mirrors.ustc.edu.cn],insecure-registries:[myregistry.com:5000],storage-driver:overlay2,max-concurrent-downloads:10,max-concurrent-uploads:5,log-driver:json-file,log-opts:{max-size:10m,max-file:3},labels:[nodeproduction],hosts:[unix:///var/run/docker.sock,tcp://0.0.0.0:2375]}# 重启守护进程sudosystemctl daemon-reloadsudosystemctl restartdocker# 查看守护进程日志journalctl-fudocker.service2.3 containerdcontainerd 是容器运行时管理组件负责容器的生命周期管理。┌─────────────────────────────────────────────────────────────┐ │ containerd 架构 │ ├─────────────────────────────────────────────────────────────┤ │ │ │ ┌─────────────────────────────────────────────────────┐ │ │ │ containerd │ │ │ │ ┌─────────────┐ ┌─────────────┐ │ │ │ │ │ gRPC API │ │ Metrics │ │ │ │ │ └──────┬──────┘ └──────┬──────┘ │ │ │ │ │ │ │ │ │ │ ▼ ▼ │ │ │ │ ┌─────────────────────────────────────────────┐ │ │ │ │ │ Core Components │ │ │ │ │ │ ┌──────────┐ ┌──────────┐ ┌──────────┐ │ │ │ │ │ │ │ Bundle │ │ Runtime │ │ Image │ │ │ │ │ │ │ │ Service │ │ Service │ │ Service │ │ │ │ │ │ │ └──────────┘ └──────────┘ └──────────┘ │ │ │ │ │ └─────────────────────────────────────────────┘ │ │ │ │ │ │ │ │ │ ▼ │ │ │ │ ┌─────────────────────────────────────────────┐ │ │ │ │ │ shim │ │ │ │ │ │ (每个容器一个 shim 进程) │ │ │ │ │ └─────────────────────┬───────────────────────┘ │ │ │ │ │ │ │ │ │ ▼ │ │ │ │ ┌─────────────────────────────────────────────┐ │ │ │ │ │ runc │ │ │ │ │ │ (OCI 运行时创建容器) │ │ │ │ │ └─────────────────────────────────────────────┘ │ │ │ └─────────────────────────────────────────────────────┘ │ │ │ └─────────────────────────────────────────────────────────────┘# 查看 containerd 状态systemctl status containerd# containerd 配置 /etc/containerd/config.toml# 生成默认配置containerd config defaultconfig.toml# 使用 ctr 直接操作调试用ctr image pull docker.io/library/nginx:latest ctr imagelsctr container create docker.io/library/nginx:latesttesttrtask starttestctr tasklsctr taskkilltest2.4 runcrunc 是 OCI 标准的容器运行时负责实际创建和运行容器。# runc 是低层工具通常不直接使用# 查看 runc 版本runc--version# runc 容器运行时目录ls-la/run/containerd/io.containerd.runtime.v2.task/default/# 查看容器进程可以看到 runc 启动的进程psaux|grep-Erunc|containerd-shim3. 组件协作流程3.1 容器启动流程┌─────────────────────────────────────────────────────────────┐ │ 容器启动完整流程 │ ├─────────────────────────────────────────────────────────────┤ │ │ │ 用户 docker run 命令 │ │ │ │ │ ▼ │ │ Docker Client 解析命令 │ │ │ │ │ ▼ (HTTP/REST API) │ │ Docker Daemon 接收请求 │ │ │ │ │ ├──▶ 检查镜像是否存在 │ │ │ │ │ │ │ └──▶ 若不存在则从 Registry 拉取 │ │ │ │ │ ▼ │ │ 创建容器配置 │ │ │ │ │ ▼ (gRPC) │ │ containerd 接管 │ │ │ │ │ ├──▶ 创建 OCI Bundle (容器文件系统) │ │ ├──▶ 准备 rootfs │ │ └──▶ 创建容器目录 │ │ │ │ │ ▼ │ │ containerd-shim 启动 │ │ │ │ │ ▼ │ │ runc create (创建容器进程) │ │ │ │ │ ▼ │ │ runc start (启动容器) │ │ │ │ │ ▼ │ │ 容器运行中 │ │ │ └─────────────────────────────────────────────────────────────┘3.2 容器停止流程┌─────────────────────────────────────────────────────────────┐ │ 容器停止流程 │ ├─────────────────────────────────────────────────────────────┤ │ │ │ docker stop │ │ │ │ │ ▼ │ │ Docker Daemon 收到停止请求 │ │ │ │ │ ├──▶ 发送 SIGTERM 信号给容器主进程 │ │ │ │ │ ├──▶ 等待 graceful 超时时间 (默认10秒) │ │ │ │ │ └──▶ 若未退出发送 SIGKILL 强制杀死 │ │ │ │ │ ▼ │ │ containerd 通知 runc 停止容器 │ │ │ │ │ ▼ │ │ runc 杀死容器进程 │ │ │ │ │ ▼ │ │ containerd-shim 进程退出 │ │ │ │ │ ▼ │ │ 容器状态变为 Exited │ │ │ └─────────────────────────────────────────────────────────────┘4. 进程模型# 查看 Docker 相关进程psaux|grep-Edockerd|containerd|runc|docker-proxy# 进程关系示例# UID PID PPID COMMAND# root 1234 1 /usr/bin/dockerd# root 5678 1234 /usr/bin/containerd# root 9012 5678 /usr/bin/containerd-shim-runc-v2 -namespace moby -id container-id# root 3456 9012 /usr/bin/runc# root 7890 3456 nginx: master process# 查看容器对应的进程dockerinspect--format{{.State.Pid}}container_name# 通过宿主机 PID 查看容器进程ps-pPID-opid,comm,args# 进入容器的命名空间nsenter-tPID-nipaddr5. 存储驱动# 查看当前存储驱动dockerinfo|grepStorage Driver# 支持的存储驱动# - overlay2 (推荐Linux 内核 4.0)# - aufs (旧版 Ubuntu)# - devicemapper (CentOS/RHEL)# - overlay (被 overlay2 取代)# - btrfs, zfs, vfs# docker 数据目录结构ls-la/var/lib/docker/# ├── containers/ # 容器数据# ├── image/ # 镜像元数据# ├── network/ # 网络配置# ├── overlay2/ # 镜像层数据# ├── volumes/ # 数据卷# ├── builder/ # 构建缓存# └── tmp/ # 临时文件6. 网络模型# Docker 网络组件# docker-proxy: 负责端口映射dockerrun-d-p8080:80 nginx# 查看 docker-proxy 进程psaux|grepdocker-proxy# iptables 规则sudoiptables-tnat-L-n-v# 查看网桥dockernetworklsbrctl show docker0# 网络命名空间ls-la/var/run/docker/netns/# 进入容器的网络命名空间dockerinspect--format{{.State.Pid}}container_namesudonsenter-tPID-nipaddr7. 性能优化配置# /etc/docker/daemon.json 性能相关配置{# 使用 overlay2 驱动storage-driver:overlay2,storage-opts:[overlay2.override_kernel_checktrue,overlay2.size20G],# 并发控制max-concurrent-downloads:10,max-concurrent-uploads:5,# 日志限制log-driver:json-file,log-opts:{max-size:10m,max-file:3,compress:true},# CPU 限制cpu-rt-runtime:950000,cpu-rt-period:1000000,# 实验性功能experimental:true,metrics-addr:0.0.0.0:9323}8. 调试与监控# 开启 debug 模式sudodockerd--debug# 查看守护进程状态dockersystem info# 查看守护进程事件dockersystem events# 查看磁盘使用dockersystemdf# 检查 API 版本dockerversion--format{{.Server.APIVersion}}# 获取 containerd 调试信息ctr version ctr imagelsctr containerls9. 常见问题Q1: dockerd 和 containerd 的区别dockerd高层次的 Docker 守护进程提供镜像管理、网络、卷等功能containerd低层次运行时专注容器生命周期管理Q2: 为什么需要 containerd-shim让容器进程与 containerd 解耦allow 容器退出时 containerd 可以重启保持 stdin/stdout 打开Q3: runc 的作用OCI 规范的具体实现创建容器的实际执行者设置命名空间、Cgroups 等10. 小结C/S 架构Client 通过 REST API 与 Daemon 通信核心组件dockerd、containerd、containerd-shim、runccontainerd 管理镜像、容器生命周期、存储、网络runcOCI 运行时实际创建容器进程模型dockerd → containerd → shim → runc → 容器进程存储驱动默认使用 overlay2

第二部分-Docker核心原理——06. Docker 架构深度解析

相关文章：

第二部分-Docker核心原理——06. Docker 架构深度解析

免费在线PPT制作工具：如何在浏览器中创建专业演示文稿

保姆级教程：用Gazebo Garden新版为你的PX4无人机仿真‘升级’（Ubuntu 20.04环境）

别再用USB 2.0的思维画板子了！USB 3.0硬件设计避坑指南（附FT602Q实战）

量子计算在语言分类中的应用与动态注意力机制解析

视频生成中的稀疏注意力优化技术与实践

嘉励物方远心镜头

Cbc整数规划求解器深度解析：混合整数线性规划实战指南

AI代理工作流框架Primer：结构化引导AI编码，从模糊想法到可运行软件

LongLoRA：低成本扩展大模型上下文窗口，实现长文本高效处理

保姆级教程：在Debian 12/Ubuntu 22.04上编译安装Nginx 1.28.0，并启用HTTP/3模块

AN/ALR-69A(V) 全数字化雷达告警接收机：技术演进、作战应用与认知电子战升级

告别手动Limit：在Spring Boot 3里用PageHelper优雅处理前端分页请求

GEEKOM MiniAir 11迷你主机评测：Jasper Lake平台的多面手

第三方信创测试费用要多少？

智能体技能化开发：模块化设计、核心实现与主流框架集成指南

【2026年最新600套毕设项目分享】基于微信小程序的校园二手交易平台（30238）

通过Python快速编写脚本调用Taotoken提供的多种大模型

GPU张量计算优化：CUTE布局代数原理与应用

如何让AI成为你的私人中医顾问？仲景大语言模型深度解析

从菜单式MES到工业智能体：基于Hermes Agent+MCP的智能助手实战指南（完整源代码）

设计师必看：从iPhone 15 Pro Max到初代iPhone，屏幕尺寸与分辨率演变史如何影响你的设计稿？

ROFL播放器：英雄联盟回放文件终极分析指南，轻松查看比赛数据

MDB Tools深度实战：如何在Linux和macOS上高效操作Access数据库的完整解决方案

CAI框架：AI智能体如何重塑自动化网络安全攻防实践

Docker Desktop无法安装于统信UOS？替代方案已验证：Podman+Buildah国产化调试组合拳（附离线部署包SHA256校验码）

飞书日历API实战：基于Node.js与OAuth构建自动化日程助手

LazySlide·可访问且可互操作的全片图像分析

新手福音：用快马零代码基础制作九么动漫版本介绍页

别再只会看控制台了！用Docker+SEQ给你的.NET Core应用装个‘日志黑匣子’