docker OCI runtime

　　Open Container Initiative(OCI)目前有2个标准：runtime-spec以及image-spec。前者规定了如何运行解压过的filesystem bundle。OCI规定了如何下载OCI镜像并解压到OCI filesystem bundle，这样OCI runtime就能够运行OCI bundle了。OCI(当前)至关于规定了容器的images和runtime的协议，只要实现了OCI的容器就能够实现其兼容性和可移植性。implements中列出了部分OCI标准的实现。本文不讨论windows下的实现，具体参见Open Container Initiative Runtime Specification

system bundle是个目录，用于给runtime提供启动容器必备的配置文件和文件系统。标准的容器bundle包含如下内容：

config.json:该文件包含了容器运行的配置信息，该文件必须存在bundle的根目录，且名字必须为config.json
容器的根目录，能够由config.json中的root.path指定

下面使用runc来运行一个容器，runc是根据OCI标准生成的一个cli工具。前面两个命令用于提取filesystem，最后一个用于生成config.json，二者组织在一块儿就是一个filesystem bundle

# mkdir rootfs
# docker export $(docker create busybox) | tar -C rootfs -xvf -
# runc spec

　　使用runc来运行这个bundle，可使用state查看该容器的状态

# runc run busybox
# runc state busybox
{
  "ociVersion": "1.0.0",
  "id": "busybox",
  "pid": 41732,
  "status": "running",
  "bundle": "/home/test",
  "rootfs": "/home/test/rootfs",
  "created": "2018-12-25T14:41:58.82202891Z",
  "owner": ""

 

OCI runtime包含runtime，runtime-linux，config，config-linux

• runtime规定了以下内容
  • state
    • ociVersion：建立容器时的OCI版本
    • id：容器惟一的ID
    • status：容器的runtime状态，能够为以下值
      • creating：容器正在被建立（lifecycle的第2步）
      • created：容器完成建立，但没有返回错误且没有执行用户程序（lifecycle的第2步以后）
      • running：容器正在执行用户程序且没有返回错误（lifecycle的第5步以后）
      • stoped：容器进程退出（lifecycle的第7步）
    • pid：host上看到的容器进程
    • bundle：host上容器bundle目录的绝对路径
    • annotation：容器相关的标注，可选

因为runc实现了OCI runtime，使用runc state查看上述busybox能够获得state相关的信息

{
   "ociVersion": "1.0.0",
    "id": "busybox",
    "pid": 41732,
    "status": "running",
    "bundle": "/home/test",
    "rootfs": "/home/test/rootfs",
    "created": "2018-12-25T14:41:58.82202891Z",
    "owner": ""
}

• • lifecycle 描述了容器从建立到退出的事件触发点
    1. OCI runtime的create调用与bundle的路径和id相关
    2. OCI runtime的必须依据config.json中的设置来建立环境，若是没法建立config.json中指定的环境，则返回错误。此阶段主要建立config.json中的资源，并无执行用户程序。该步骤以后任何多config.json的修改都不会影响容器
    3. runtime使用容器的惟一id来执行start容器命令
    4. runtine必须执行 prestart hooks，若是 prestart hooks执行失败，则返回错误，并中止容器，执行第9条操做
    5. runtime必须执行用户程序
    6. runtime必须执行poststart hooks，若是poststart hooks执行失败，则必须记录warning日志，而poststart hooks和lifecycle继续运行
    7. 容器进程退出，可能由错误退出，人为退出，程序崩溃或runtime 执行kill命令引发
    8. runtime使用容器的惟一id来执行delete容器操做
    9. 若是在容器建立阶段（第2步）没有完成某些步骤，则容器必须被销毁
    10. runtime必须执行poststop hooks，若是poststop hooks执行失败，则必须记录warning日志，而poststop hooks和lifecycle继续运行
  • operation runtime必须支持以下操做
    • query state：state <container-id>，参见上述state描述
    • create：create <container-id> <path-to-bundle>，runtime应该提供检测id惟一性的功能。该操做中会用到config.json除process以外的配置属性(由于process实在start阶段用到的)。实现中可能会与本规范不一致，如在create操做以前实现了pre-create
    • start：start <container-id>，执行config.json的process中定义的程序，若是process没有设定，则返回错误
    • kill：kill <container-id> <signal>，向一个非running状态的容器发送的信号会被忽略。此操做用于向容器进程发送信号
    • delete：delete <container-id>，尝试删除一个非stopped的容器会返回错误。容器删除后其id可能会被后续的容器使用

# runc delete busybox
cannot delete container busybox that is not stopped: running

• • hooks：定义了每一个操做先后的动做，参见runtime configuration for hooks
• configuration定义了进程运行，环境变量等配置。现有json和go版本的配置，其中go中定义了与平台(linux，solaris，windows相关的tag)，以下：

// Linux is platform-specific configuration for Linux based containers.
Linux *Linux `json:"linux,omitempty" platform:"linux"`
// Solaris is platform-specific configuration for Solaris based containers.
Solaris *Solaris `json:"solaris,omitempty" platform:"solaris"`
// Windows is platform-specific configuration for Windows based containers.
Windows *Windows `json:"windows,omitempty" platform:"windows"`
// VM specifies configuration for virtual-machine-based containers.
VM *VM `json:"vm,omitempty" platform:"vm"`

• • Specification version：必选，指定了bundle使用的OCI的版本
  • root：
    • path：容器的bundle路径，能够是相对路径和绝对路径，该值一般为rootfs
    • readonly：当设置为true时，容器的根文件为只读，默认false
  • mount：按照配置的顺序进行挂载
    • destination：容器中的挂载点，必须是绝对路径
    • source：挂载的设备名称，文件或目录名称(bind mount时)，当option中有bind或rbind时改mount类型为bind mount
    • option：mount的选项，参见mount
  • process：定义了容器的进程信息
    • terminal：默认false，为true时，linux系统会为该进程分配一个pseudoterminal(pts)，并使用标准输入输出流
    • consoleSize：指定terminal的长宽规格，width和height
    • cwd：执行命令的绝对路径
    • env：环境变量
    • args：命令参数，至少须要指定一个参数，首参数即被execvp执行的文件

根据平台不一样支持以下配置

POSIX process 支持设置POSIX和Linux平台

• • rlimits：设置进程的资源，如cpu，内存，文件大小等，参见getrlimit。docker里面使用--ulimit来设置单个进程的资源
    
    • type：linux和Solaris
    • soft：内核分配给该进程的资源
    • hard；可配置的资源的最大值，即soft的最大值。unprivileged进程(没有CAP_SYS_RESOURCE capability)能够将soft设置为0-hard之间的值

Linux process：

• • apparmorProfile：指定进程的apparmor文件
  • capabilities：指定进程的capabilities
  • noNewPrivileges：设置为true后能够防止进程获取额外的权限(如使得suid和文件capabilities失效)，该标记位在内核4.10版本以后能够在/proc/$pid/status中查看NoNewPrivs的设置值。更多参见no_new_privs
  • oomScoreAdj ：给进程设置oom_score_adj值，进程的oom涉及如下3个文件，oom_adj和oom_score_adj功能相似，oom_adj主要用于兼容老版本，oomScoreAdj的功能就是设置/proc/$PID/oom_score_adj中的值(范围-1000~1000)，系统经过该值和oom_score来决定kill进程的优先级。oom_score为只读文件，oom经过对系统全部进程的oom_score进行排序，值越大，越可能在内存不足时被kill掉。（参见linux oom机制分析和oom介绍）

/proc/$PID/oom_adj
/proc/$PID/oom_score
/proc/$PID/oom_score_adj

能够经过以下命令查看系统全部进程的oom_score

ps -eo pid,comm,pmem --sort -rss | awk '{"cat /proc/"$1"/oom_score" | getline oom; print $0"\t"oom}'

• • selinuxLabel :设置进程的SELinux 标签，即MAC值
  • user 用于控制运行进程的用户
    • uid：指定容器命名空间的user id
    • gid：指定容器命名空间的group id
    • additionalGids：指定容器命名空间中附加的group id
  • hostname：指定容器进程看到的hostname
  • Platform-specific configuration：包含在linux，Windows，solaris，vm等host平台上使用namespaces，cgroup等。下面以linux为例
    • Default Filesystems：以下路径须要正确挂载到容器中，以便容器进程的正确执行

Path        Type
/proc       proc
/sys        sysfs
/dev/pts    devpts
/dev/shm    tmpfs

• • • namespaces，为包含以下参数的数组
      • type：指定namespace类型，为ipc，mount，user，network，uts，pid，cgroup，若是没有指定namespace type，则继承父namespace的属性
      • path：namespace的文件，若是没有指定，则生成一个新的namespace
    • User namespace mappings，uidMappings和gidMappings指定了user和group从host到容器的映射关系，为结构图数组，包含containerid，hostid和size这3个属性
    • device：列出了必须在容器中存在的设备，为结构体数组，有以下属性
      • type：设备的类型
      • path:容器中的全路径
      • major, minor：设备的主设备号和次设备号，主设备号表示类型，次设备号表示分区，可使用"ls -al /dev"查看主次设备号。设置能够参见device
      • fileMode：文件ADC访问权限
      • uid：容器中设备的uid
      • gid：容器中设备的gid
    • cgroup：用于控制容器的资源以及设备接入等。
      
      • Cgroups Path：cgroup的路径，该路径能够是绝对路径，也能够是相对路径。若是没有设置该值，cgroup会使用默认的cgroup路径

可使用resources字段来配置cgroup，注意：只有在须要更新cgroup的时候才配置该字段内容

    "cgroupsPath": "/myRuntime/myContainer",
    "resources": {
        "memory": {
        "limit": 100000,
        "reservation": 200000
        },
        "devices": [
            {
                "allow": false,
                "access": "rwm"
            }
        ]
   }

Device whitelist：用于配置设备白名单

• allow (boolean, REQUIRED) -容许
• type (string, OPTIONAL) - 设备相似: a (all), c (char), or b (block). 默认为all
• major, minor (int64, OPTIONAL) - 设备的主次号. 默认all
• access (string, OPTIONAL) - 设备的cgroup权限.r (read), w (write), 和m (mknod).

Memory：具体能够参见cgroup memory

• limit (int64, OPTIONAL) - 设置内存使用limit
• reservation (int64, OPTIONAL) - 设置内存的soft limit
• swap (int64, OPTIONAL) - 设置memory+Swap使用limit
• kernel (int64, OPTIONAL) -  设置内存的hard limit
• kernelTCP (int64, OPTIONAL) - 设置内核TCP buffer的hard limit
• swapness：设置swap的使用比例
• disableOOMKiller：是否开启oomkiller

CPU:具体能够参见cgroup CPU

• shares (uint64, OPTIONAL) - cgroup中task使用的cpu的相对比例
• quota (int64, OPTIONAL) - 一个period中使用的cpu时间
• period (uint64, OPTIONAL) - 以毫秒为单位的cpu周期 (CFS scheduler only)
• realtimeRuntime (int64, OPTIONAL) - 以毫秒为单位的 cgroup tasks连续使用cpu资源的最长周期
• realtimePeriod (uint64, OPTIONAL) - 实时调度的 period
• cpus (string, OPTIONAL) - CPU列表
• mems (string, OPTIONAL) - memory nodes列表

Block IO：

Huge page limits：

• pageSize ：大页大小
• limit：bytes为单位限制的大页的使用上限

Network：

• classID：cgroup网络报文的标签
• priorities

name：网卡名称
priority：网卡优先级

PIDs：

limit：cgroup限制的pid的数目

RDMA

Sysctl：容许在容器运行过程当中修改内核参数

Seccomp：在linux内核中为应用提供了一种沙盒机制。更多参见seccomp

seccomp

defaultAction：seccomp的默认动做，容许值类型为syscalls[].action

architectures：系统调用的平台，以下

SCMP_ARCH_X86
SCMP_ARCH_X86_64
SCMP_ARCH_X32
SCMP_ARCH_ARM
SCMP_ARCH_AARCH64
SCMP_ARCH_MIPS
SCMP_ARCH_MIPS64
SCMP_ARCH_MIPS64N32
SCMP_ARCH_MIPSEL
SCMP_ARCH_MIPSEL64
SCMP_ARCH_MIPSEL64N32
SCMP_ARCH_PPC
SCMP_ARCH_PPC64
SCMP_ARCH_PPC64LE
SCMP_ARCH_S390
SCMP_ARCH_S390X
SCMP_ARCH_PARISC
SCMP_ARCH_PARISC6

syscalls：匹配seccomp的系统调用，该属性可选

name：系统调用的名称，至少有一个

action：seccomp的动做规则。libseccomp v2.3.2中以下：

SCMP_ACT_KILL
SCMP_ACT_TRAP
SCMP_ACT_ERRNO
SCMP_ACT_TRACE
SCMP_ACT_ALLOW

args：

index (uint, REQUIRED) - 系统调用的index
value (uint64, REQUIRED) - 系统调用参数的值
valueTwo (uint64, OPTIONAL) - 系统调用参数的值
op (string, REQUIRED) - 系统调用参数的动做。 libseccomp v2.3.2以下

SCMP_CMP_NE
SCMP_CMP_LT
SCMP_CMP_LE
SCMP_CMP_EQ
SCMP_CMP_GE
SCMP_CMP_GT
SCMP_CMP_MASKED_EQ

Rootfs Mount Propagation

rootfsPropagation：设置rootfs的mount Propagation类型，slave，private或shared

• • • Linux Runtime：该规范规定了容器文件描述符相关的内容。默认下runtime只会打开stdin, stdout和stderr这3个文件描述符

Masked Paths

maskedPaths:容器没法读取该设置的路径

    "maskedPaths": [
        "/proc/kcore" ]

Readonly Paths

readonlyPaths：容器只读该设置的路径

• • POSIX-platform Hooks：支持使用hooks来设置lifecycle中用户自定义动做
    
    • hooks
      • prestart：在用户程序运行前以及容器命名空间建立后执行，包含以下属性的数组：
        • path：相似execv的路径，为均对路径
        • args：相似execv的参数
        • env：环境变量
        • timeout：终端hooks的超时时间
      • poststart：在用户程序执行以后且在start步骤返回前执行，同 prestart的数组同样
      • poststop：在容器删除以后且在delete步骤返回前执行，同prestart的数组同样
  • Annotations：为key-value类型的任意字符串，若是没有annotation，该字段能够为空，也能够不存在
  • extensibility：遇到没法识别的字段须要返回错误

 TIPS:

• openshift 3.11版本的runc采用的是其本身实现的runtime，位于/usr/libexec/docker/docker-runc-current，实际与runc相似。

 

参考：

https://cizixs.com/2017/11/05/oci-and-runc/

https://github.com/opencontainers/runtime-spec/blob/master/config.md

https://github.com/opencontainers/runtime-spec/blob/master/specs-go/config.go

Rootfs Mount Propagation