Docker
  • Introdução a Containeres e Docker
    • Introdução
    • O que é um container e suas vantanges
    • VM versus Container
    • Como funcionam os containers
    • Linux
    • Container sem Docker
      • cgroup
      • cpu.max
    • LxC
    • LxD
    • Containers versus Imagens
    • Arquitetura do Docker
    • Arquitetura do Docker mais a fundo
    • Projetos Open Source
  • Instalação do Docker
    • Linux
    • Windows
      • Docker Desktop
      • Rancher Desktop
      • WSL
    • Mac
    • Visual Studio Code
  • Primeiros Passos com Docker
    • Criação e listagem básica de um container
    • Interagindo com o container
    • Executando containers continuamente
      • nginx
      • docker container run
      • docker container run nginx
      • docker container run -d nginx
      • docker container exec
    • Como usar publish de porta
      • docker container stop
      • docker container start
      • docker container rm
      • docker container rm -f $(docker container ls -qa)
    • Containers e variáveis de ambiente
      • docker container run -e
  • Desafio
    • Desafio 01 - Banco de Dados Postgresql
    • Desafio 02 - Banco de Dados MySQL
    • Desafio 03 - Banco de Dados MongoDB
  • Executando a sua primeira aplicação em containers
    • Introdução
    • Preparando o container para a aplicação
    • Executando a aplicação
      • docker container cp
  • Primeiros Passos com Docker Images
    • Introdução
    • OverlayFS na Prática
    • Copy-on-Write
    • Formas de criar uma imagem Docker
    • Como funciona o Docker Commit
    • Docker Commit na Prática
      • docker commit
    • Entendendo melhor a sua imagem
      • docker image history
      • docker image inspect
    • Entrando mais a fundo na imagem
    • Como usar a imagem Docker no modo raiz
  • Avançando em imagens Docker com Dockerfile
    • O que é Dockerfile
    • Primeira Imagem com Dockerfile
      • docker image build
    • Como funciona a construção com Dockerfile
    • Possibilidades com Dockerfile
    • FROM
    • RUN
    • WORKDIR
    • COPY
    • ADD
    • LABEL
    • ENV
    • VOLUME
    • ARG
    • EXPOSE
    • USER
    • ENTRYPOINT
    • CMD
    • ENTRYPOINT versus CMD
    • Principais comandos com imagem
    • Imagem da aplicação com Dockerfile
    • Comparando Docker Commit com Dockerfile
  • Docker Registry
    • Introdução
    • Docker Hub
    • Sua imagem com o nome certo
    • Renomear imagens com Docker Tag
      • docker image tag
    • Enviando a sua primeira imagem para o Docker Hub
      • docker image push
      • docker image pull
  • Algumas boas práticas para construção de imagem
    • Um processo por container
    • Usar imagens confiáveis
    • Otimizar sempre a sua imagem
    • Uso inteligente das camadas
    • Dockerignore
  • Multistage Build
    • Introdução
    • Multistage build na prática
    • Target para fazer o build
      • docker image build --target
    • Imagem externa no Multistage build
    • Usar um estágio de build como base
  • Docker Volume
    • Introdução
      • docker volume
    • Bind Mount
    • Particularidades do Bind Mount
    • Bind Mount no Windows
    • Exemplo com Bind Mount
    • Docker Volume
      • docker volume create
      • docker volume inspect
      • docker volume ls
      • docker volume prune
      • docker volume rm
    • Onde ficam os arquivos do Docker volume?
    • Usando o volume no Dockerfile
    • Como fazer backup de um Docker Volume
    • Exemplo com Docker Volume
    • Storage tmpfs
    • Como criar algo funcional com o que aprendemos
  • Network
    • Introdução
    • Componentes do Docker Network
    • Rede Bridge na prática
      • docker network
      • docker network create
      • docker network inspect
      • docker network ls
      • docker network prune
      • docker network rm
    • Criando a sua rede bridge
      • docker network connect
      • docker network disconnect
    • Como funciona a rede bridge por dentro
    • Rede Host na prática
    • Rede none da prática
    • Como adicionar domínios no seu container
  • Aplicação 100% no Docker
    • Introdução
    • Criação da Imagem e Envio para o Docker Hub
    • Criação do Docker Network
    • Container do PostgreSQL
    • Container da Aplicação Web
    • Atualização da aplicação
  • Docker Compose
    • Introdução
      • docker compose
    • A evolução do docker compose
    • Criação básica de um Docker Compose
      • docker compose attach
      • docker compose build
      • docker compose config
      • docker compose cp
      • docker compose create
      • docker compose down
      • docker compose events
      • docker compose exec
      • docker compose images
      • docker compose kill
      • docker compose logs
      • docker compose ls
      • docker compose pause
      • docker compose port
      • docker compose ps
      • docker compose pull
      • docker compose push
      • docker compose restart
      • docker compose rm
      • docker compose run
      • docker compose scale
      • docker compose start
      • docker compose stats
      • docker compose stop
      • docker compose top
      • docker compose unpause
      • docker compose up
      • docker compose version
      • docker compose wait
      • docker compose watch
    • Variáveis de Ambiente
    • Volume Bind Mount
    • Docker Volume
    • Docker Network - Bridge
    • Docker Network - Host Driver e Add Host
    • Ordenando a execução dos containers
    • Compose com build de imagem
    • Como Parametrizar o Compose com Variáveis de Ambiente
    • Múltiplos Composes
    • Extends
    • Merge
    • Include
    • Profiles
    • Comandos importantes do Docker Compose
  • Troubleshooting
    • Introdução
    • Docker Info
    • Docker Events
    • Docker Logs
    • Docker Inspect
    • Docker Top
    • Docker Stats
    • Docker Exec
  • Resiliência e Gerenciamento de Recursos
    • Introdução
    • Docker Restart
      • Introdução
      • on-failure
      • unless-stopped
      • always
      • Docker Compose
    • Healthcheck
      • Introdução
      • Linha de Comando
      • Docker Compose
      • Direto na Imagem
    • Gerenciamento de Recurso
      • CPU
        • Como Gerenciar CPU
        • Prática
      • Memória
        • Como Gerenciar Memória
        • Prática
      • Docker Compose
  • Fazendo um ambiente mais seguro
    • Introdução
    • Docker Scout
      • Introdução
      • Verificação Simples de Imagem
      • Como adicionar um repositório
      • Primeira melhoria na imagem
  • BUSCA RÁPIDA
    • Referências
    • Comandos
      • docker commit
      • docker compose
      • docker container
      • docker image
      • docker network
      • docker volume
    • Dockerfile
Powered by GitBook
On this page
  1. Introdução a Containeres e Docker

Container sem Docker

chroot, namespaces e cgroups

PreviousLinuxNextcgroup

Last updated 9 months ago

$ node
v.18.19.1

Criação do namespace:

$ sudo unshare --pid --fork --mount-proc /bin/bash
#

Abrir nova janela do terminal:

$ ps -ef --forest

Voltar para a janela anterior #:

# ps 
# ps -aux

Foi possível isolar o processo!

Ainda é possível acessar o sistema de arquivos do host:

#pwd
/
# ls
# cd /home
# ls

Faz-se necessário utilizar o comando chroot para obter o isolamento do sistema de arquivos.

Sair do namespace e conferir com o comando ps -ef --forest:

# exit
$ ps -ef --forest

Acessar o diretório home e criar um diretório container

$ cd ~
$ pwd
/home/marcelo
$ ls
$ mkdir Container

Ao executar o comando sudo chroot . não é possível mais acessar o /bin/bash :

$ cd Container
$ sudo chroot .

Uma opção mais otimizada que gera bastante trabalho seria copiar todas as dependências do /bin/bash:

$ ldd /bin/bash

Outra opção seria instalar o debootstrap que copia todo o sistema de arquivos da distribuição Linux para o diretório desejado:

$ sudo apt update
$ sudo apt install debootstrap
$ sudo debootstrap jammy .
$ ls

Agora é possível executar o chroot novamente e utilizar o sistema de arquivos do container:

$ sudo chroot .
#

O diretório agora é o diretório root do container:

# pwd
/
# cd /home/
# ls

Teste de isolamento para o container criado:

# pwd
/home
# echo "Teste" > teste.txt
# ls
teste.txt
# exit
$ ls /home/
marcelo

O arquivo somente está disponível no diretório do container:

$ ls /home/marcelo/Container/home
teste.txt

Ao tentar rodar o comando ps dentro do container ocorre o seguinte erro:

$ cd /home/marcelo/Container
$ sudo chroot .
# ps
Error, do this: mount -t proc proc /proc
# mount -t proc proc /proc

Ao executar o comando ps é possível visualizar todos os processos:

# ps
# ps -aux

Os processos não foram isolados pois está sendo utilizada a árvore de processos do Linux e não está sendo utilizado o namespace

Ao combinar o comando unshare com o chroot será possível isolar o processo e o sistema de arquivos:

$ sudo unshare --pid --fork --mount-proc chroot . /bin/bash
# mount -t proc proc /proc
# ps -aux

Processos e sistema de arquivos isolados

Em outro terminal é possível verificar todos os demais processos e a árvore de processos do Linux com o container isolado:

$ ps -ef --forest

Execução de instrução para sobrecarga da CPU com o objetivo de verificar a falta de controle de recurso computacional para o container criado:

# while true; do: $((2**30)); done

Manter o comando while em execução no terminal

Em outro terminal instalar o htop:

$ sudo apt update
$ sudo apt install htop
$ htop

Manter o htop em execução no terminal

Para gerenciamento de recurso computacional será utilizado o cgroup

cgroup

Abrir um novo terminal e executar o comando abaixo para verificar todas as configurações de controle de recursos:

$ ls /sys/fs/cgroup/

Mais informações: cgroup

A proposta será criar um sub-cgroup, sub grupo de recursos, para os containeres.

Habilitar o uso de CPU e CPU SET para gerenciar o uso de CPU e definir qual CPU executará determinado processo. Lembrar que o Linux é baseado em arquivos e diretórios. Serão alterados arquivos para esta configuração.

Acessar como usuário root e habilitar o CPU e CPUSET:

$ sudo su
# cd /sys/fs/cgroup/
# echo "+cpu" >> cgroup.subtree_control
# echo "+cpuset" >> cgroup.subtree_control
# cat >> cgroup.subtree_control
cpuset cpu memory pids

Serão apresentados mais arquivos no diretório /sys/fs/cgroup por conta da habilitação realizada:

Será criado um controlador filho:

# mkdir cgroup_docker

Com o diretório criado foram criados arquivos para configuração dos recursos computacionais:

Habilitar CPU e CPUSET no controlador filho:

# cd /sys/fs/cgroup/cgroup_docker
# echo "+cpu" >> cgroup.subtree_control
# echo "+cpuset" >> cgroup.subtree_control
# cat cgroup.subtree_control
cpuset cpu
# ls

Especificar em qual processador o processo deve ser executado. Para isso faz-se necessário adicionar o PID e adicionar ao processos do controlador filho. Voltar ao HTOP que está sendo executado em outro terminal e recuperar o PID. Será possível especificar que este processo 2541 será controlador por este cgroup:

# pwd
/sys/fs/cgroup/cgroup_docker
# echo "2541" >> cgroup.procs
# cat cgroup.procs
2541

Definir que o processo será executado na CPU 0, por exemplo.

Ao voltar no HTOP foi verificado que somente uma CPU estava habilitada. Como o sistema operacional está sendo executado no Oracle VM VirtualBox foi necessário desligar a máquina e habilitar mais CPUs para este laboratório. Com isso, algumas informações serão atualizadas, como o número do processo, por exemplo. Abaixo os procedimentos realizados.

Procedimentos

Verificar a quantidade de CPU habilitada:

$ htop

Criar o container e verificar os processos isolados:

$ pwd
/home/marcelo/Container
$ sudo unshare --pid --fork --mount-proc chroot . /bin/bash
# mount -t proc proc /proc
# ps-aux

Sobrecarregar o container:

# while true; do: $((2**30)); done

Verificar qual o processo sobrecarregado no htop que está sendo executado no outro terminal e identificar o processo:

Processo identificado: 2852

Adicionar o cpu e cpuset ao cgroup.subtree_control paie e filho, e o processo ao cgroup.procs ao filho:

# pwd
/sys/fs/cgroup/
# echo "+cpu" >> cgroup.subtree_control
# echo "+cpuset" >> cgroup.subtree_control
# cat cgroup.subtree_control
cpuset cpu memory pids
# cd cgroup_docker
# pwd
/sys/fs/cgroup/cgroup_docker
# echo "+cpu" >> cgroup.subtree_control
# echo "+cpuset" >> cgroup.subtree_control
# cat cgroup.subtree_control
cpuset cpu
# echo "2852" >> cgroup.procs
# cat cgroup.procs
2852

Definir que o processo será executado na CPU 0, por exemplo:

# pwd
/sys/fs/cgroup/cgroup_docker
# echo "0" >> cpuset.cpus
# cat cpuset.cpus
0

Voltar ao htop que está sendo executado em outro terminal para verificar a carga do processador 0. Para facilitar foi inserida a coluna CPU para verificar qual o processador do processo.

Inserção de coluna para verificar qual o processador do processo

Com o htop em execução, verificar a barra inferior com as funções disponívels. Fluxo de eventos:

  • F2 Setup

  • Screens

  • Main

  • Available Columns: PROCESSOR

  • F5 Add

  • F7 MoveUP

  • F10 Done

Testes para execução do processo na CPU 2, por exemplo, ao invés da CPU 0:

# echo "2" >> cpuset.cpus
# cat cpuset.cpus
2

Limitar o consumo de CPU em 50%:

# pwd
/sys/fs/cgroup/cgroup_docker/
# echo "500000 1000000" > cpu.max

cpu.max

Container criado!