Arquitetura do Docker mais a fundo

Docker Daemon

O Docker Daemon, também conhecido como dockerd, é o processo principal do Docker que roda em segundo plano no host e é responsável por gerenciar todos os aspectos do ciclo de vida dos contêineres Docker. Ele desempenha um papel central na arquitetura do Docker, coordenando todas as operações relacionadas a contêineres, imagens, redes e volumes.

Principais Funções

Gerenciamento de:

Contêineres

O Docker Daemon cria, inicia, interrompe, e remove contêineres com base nos comandos recebidos via Docker CLI ou API REST.

Ele também gerencia o estado dos contêineres, garantindo que eles estejam em execução e monitorando o seu desempenho.

Imagens

O daemon é responsável por baixar (pull) imagens de registries como o Docker Hub, criar (build) novas imagens a partir de um Dockerfile e fazer o upload (push) de imagens para registries.

Volumes e Redes

Ele cria e gerencia volumes, que são usados para persistir dados entre a execução dos contêineres.

O daemon também gerencia as redes Docker, facilitando a comunicação entre contêineres e entre contêineres e o mundo exterior.

API REST

O Docker Daemon expõe uma API RESTful que permite a interação programática com o Docker. Isso significa que ferramentas externas e scripts podem enviar solicitações HTTP para o daemon para realizar operações Docker.

Orquestração de Contêineres

No modo Docker Swarm, o Docker Daemon pode atuar como um gerente ou worker, coordenando a execução de contêineres em um cluster distribuído.

Funcionamento

O Docker Daemon escuta solicitações via socket Unix ou via uma porta TCP/IP.

Quando você executa um comando Docker (como docker run), a CLI se comunica com o daemon para executar essa ação.

O daemon lida com todas as operações complexas, como configurar o ambiente do contêiner, alocar recursos, configurar redes e volumes, e monitorar o estado do contêiner.

Execução

O Docker Daemon é normalmente iniciado automaticamente como um serviço do sistema quando o Docker é instalado.

Em sistemas Linux, o daemon pode ser gerenciado com comandos como systemctl start docker, systemctl stop docker, etc.

No Windows e macOS, o Docker Daemon é gerenciado pelo Docker Desktop.

Logs e Configuração

O Docker Daemon gera logs que podem ser consultados para depurar problemas.

A configuração do daemon pode ser personalizada através de um arquivo de configuração (geralmente encontrado em /etc/docker/daemon.json em sistemas Linux) ou através de flags de linha de comando.

O Docker Daemon é essencial para o funcionamento do Docker, sendo o responsável por todas as operações de backend que possibilitam o uso de contêineres de maneira eficiente e escalável.

Arquitetura LxC

A arquitetura do Docker é um exemplo de como as tecnologias de virtualização leve, como contêineres, podem ser implementadas e gerenciadas eficientemente em um ambiente Linux. Abaixo, vou explicar como o Docker Daemon, LXC e o kernel Linux (com namespaces, cgroups, entre outros) interagem para fornecer essa funcionalidade.

Docker Daemon

O Docker Daemon (dockerd) é o coração do Docker, gerenciando contêineres, imagens, volumes e redes. Ele fornece uma interface de alto nível para os desenvolvedores interagirem com os contêineres, abstraindo muitos detalhes complexos do sistema subjacente.

Quando você executa um comando Docker, como docker run, o Docker Daemon recebe esse comando via API REST ou CLI, interpreta-o, e realiza as ações necessárias para criar e gerenciar o contêiner. Essas ações incluem a interação com o kernel Linux para criar espaços de nomes (namespaces) e grupos de controle (cgroups), que são fundamentais para a implementação de contêineres.

Kernel Linux

O kernel Linux fornece as funcionalidades subjacentes que tornam possível a existência de contêineres, garantindo isolamento e controle de recursos.

Namespaces

Namespaces são uma funcionalidade do kernel Linux que isola diferentes aspectos de um processo. Cada contêiner é executado em seu próprio conjunto de namespaces, o que lhe dá a ilusão de que está executando em um sistema separado. Existem diferentes tipos de namespaces:

• PID Namespace: Isola o espaço de IDs de processos, fazendo com que processos dentro de um contêiner vejam apenas os processos daquele contêiner.

• NET Namespace: Isola a pilha de rede, incluindo interfaces de rede, IPs, tabelas de roteamento, etc., permitindo que os contêineres tenham suas próprias redes virtuais.

• MNT Namespace: Isola o sistema de arquivos, permitindo que cada contêiner tenha sua própria visão dos pontos de montagem.

• UTS Namespace: Isola o nome do host e o domínio, permitindo que o contêiner tenha seu próprio hostname.

• IPC Namespace: Isola mecanismos de comunicação entre processos, como filas de mensagens e semáforos.

• USER Namespace: Isola IDs de usuários e grupos, permitindo que um contêiner funcione como root dentro do contêiner, mas como um usuário não-privilegiado no host.

Cgroups (Control Groups)

Cgroups são outra funcionalidade do kernel Linux que permite limitar, priorizar e monitorar o uso de recursos (CPU, memória, disco, rede) pelos processos. Cada contêiner é atribuído a um conjunto de cgroups, garantindo que ele não ultrapasse os limites de recursos estabelecidos, permitindo um controle fino sobre a alocação de recursos.

Por exemplo, você pode garantir que um contêiner não consuma mais do que uma determinada quantidade de CPU ou memória, isolando-o dos outros contêineres e do sistema host.

LXC (Linux Containers)

LXC é uma tecnologia de contêinerização que precedeu o Docker e ainda é usada em alguns casos para gerenciar contêineres de forma mais direta, sem a abstração oferecida pelo Docker.

LXC também utiliza namespaces e cgroups do kernel Linux, mas fornece um nível de controle mais baixo, permitindo que os usuários configurem manualmente os contêineres com grande detalhe. No entanto, o Docker, por padrão, não usa diretamente LXC como runtime (ele usava em versões mais antigas). Atualmente, o Docker usa uma biblioteca chamada runc para criar e gerenciar contêineres, que é uma implementação do padrão OCI (Open Container Initiative).

Enquanto o Docker simplifica a criação e gerenciamento de contêineres com uma interface amigável e fluxos de trabalho integrados (como a construção de imagens), o LXC oferece maior flexibilidade para aqueles que desejam controlar diretamente os namespaces e cgroups sem a camada de abstração do Docker.

Interação entre Docker, LXC/runc, e o Kernel

Quando o Docker Daemon recebe um comando para criar um contêiner, ele utiliza o runc (ou, em versões antigas, LXC) para interagir diretamente com o kernel e configurar os namespaces e cgroups necessários. O runc cria o contêiner, configura os isolamentos de namespace, aplica os limites de cgroups, e lança o processo dentro do contêiner.

Todo esse processo é transparente para o usuário, que só precisa interagir com a CLI ou API Docker, sem se preocupar com as complexidades de namespaces ou cgroups.

Resumo

A arquitetura do Docker aproveita as funcionalidades avançadas do kernel Linux para fornecer isolamento (via namespaces) e controle de recursos (via cgroups). O Docker Daemon atua como uma camada de abstração e gerenciamento, facilitando o uso dessas tecnologias por desenvolvedores e administradores. Embora LXC tenha sido a tecnologia de contêinerização original usada pelo Docker, a transição para runc reflete o movimento em direção a um padrão mais aberto e interoperável para contêineres.

ContainerD, shim e runc

O Docker Daemon (dockerd) é o componente central do Docker responsável por gerenciar a criação, execução e monitoramento de contêineres. Dentro dessa arquitetura, há uma série de outros componentes essenciais que trabalham juntos para realizar essas tarefas: containerd, shim, runc e os próprios contêineres. Vamos explorar como cada um desses elementos se integra ao Docker Daemon.

Docker Daemon (dockerd)

O Docker Daemon é o serviço de fundo que escuta solicitações da API Docker (por exemplo, comandos da CLI) e gerencia todos os componentes envolvidos na execução de contêineres.

Ele não cria ou executa contêineres diretamente, mas coordena o processo, delegando tarefas específicas a outros componentes como containerd, runc, e shim.

containerd

containerd é um runtime de contêineres de nível baixo, altamente eficiente, responsável por gerenciar o ciclo de vida dos contêineres. Isso inclui operações como:

• Download de imagens: containerd lida com o download, armazenamento e gerenciamento de imagens de contêineres.

• Execução de contêineres: Ele inicia, pausa, retoma e finaliza contêineres.

• Gerenciamento de snapshots: Garante que os sistemas de arquivos usados pelos contêineres sejam gerenciados corretamente.

O Docker Daemon utiliza containerd como um intermediário para lidar com essas operações de baixo nível. Isso permite que o dockerd se concentre em fornecer uma API de alto nível enquanto delega as tarefas pesadas para containerd.

containerd-shim

O shim é um processo que atua como um intermediário entre containerd e runc. Ele é crucial por alguns motivos:

• Persistência do contêiner: Após a inicialização do contêiner, o shim mantém o contêiner em execução, mesmo que o processo pai (containerd) seja reiniciado ou falhe.

• Separação de responsabilidades: Com o shim, cada contêiner é desacoplado do containerd, garantindo que o containerd possa ser atualizado ou reiniciado sem afetar os contêineres em execução.

• Gerenciamento de sinal e I/O: O shim também lida com sinais de controle e redirecionamento de entrada/saída entre o contêiner e o sistema host.

runc

runc é o componente que realmente cria e executa os contêineres. Ele é responsável por:

• Aplicação de namespaces e cgroups: runc utiliza funcionalidades do kernel Linux para configurar os namespaces (isolamento) e cgroups (controle de recursos) de cada contêiner.

• Execução do processo: Uma vez que o ambiente do contêiner está configurado, runc inicia o processo principal dentro do contêiner.

runc é uma implementação de referência do padrão OCI (Open Container Initiative), o que garante que ele funcione de maneira consistente em diferentes ambientes de contêineres.

Contêiner

O contêiner em si é a unidade final que encapsula uma aplicação e suas dependências em um ambiente isolado e replicável.

A partir da execução do contêiner, ele é gerenciado por containerd e monitorado pelo shim, com seu ambiente sendo configurado por runc.

Os contêineres são instâncias isoladas, mas compartilham o kernel do sistema operacional host, o que os torna muito mais leves que máquinas virtuais tradicionais.

Resumo da Interação

1. Docker Daemon (dockerd) recebe comandos e delega a containerd as operações de contêiner.

2. containerd gerencia o ciclo de vida do contêiner e delega a execução real ao runc.

3. runc cria o ambiente do contêiner utilizando namespaces e cgroups, e inicia o processo dentro do contêiner.

4. containerd-shim mantém o contêiner em execução, gerencia sinais e I/O, garantindo que o contêiner continue funcionando mesmo se o containerd reiniciar.

5. O Contêiner executa o processo de aplicação isolado e controlado, fornecendo a funcionalidade desejada.

Essa arquitetura modular e desacoplada permite ao Docker ser altamente eficiente e flexível, com cada componente desempenhando um papel específico e bem definido no ciclo de vida dos contêineres.

Laboratório

Instalação do docker no Ubuntu:

$ sudo apt update
$ sudo apt install docker.io

Criação de 2 conteineres:

$ docker container run -d nginx
$ docker container run -d nginx
$ docker container ls

$ ps -ef --forest

É possível visualizar:

• containerd

• containerd-shim

• containeres nginx