容器技术精髓剖析

namespace

namespace技术是为了对容器进行网络、通信、文件、权限等对象的隔离，namespace包含了6项隔离。

UTS：可以使主机拥有独立的主机名，隔离内容：主机名与域名

IPC：可以隔离容器之间的通信，在容器中的应用也需要拥有PID，隔离内容：信号量、消息队列和共享内容

PID：可以使同一个主机上的不同容器可以有相同的PID进程，隔离内容：进程编号

Network：可以使容器拥有自己的IP、端口、路由，隔离内容：网络设备、网络栈、端口

Mount：可以使容器拥有自己的文件系统，隔离内容：文件系统

User：可以实现用户权限的隔离，隔离内容：用户和用户组

Cgroups

Cgroups实现了对系统资源的限额和度量

利用namespace可以通过构建一个相对隔离的容器，而通过Cgroups可以为容器设置系统资源的配额包括了CPU、内存、I/O等，对于不同的系统资源，Cgroups也提供了统一的接口，对资源进行控制统计，但限制的具体方式不尽相同。如内存，当容器需要申请更多的内存时，就会触发Cgroups用户检测，如果用了超过Cgroups规定的限额，将会拒绝用户内存申请，否则会给予相应的内存并在Cgroups的统计信息中进行记录。实际操作中不仅要考虑内存的分配和回收，还要考虑不同类型的内存。

其他相关Linux Kernel技术

除了Namespace和Cgroups以外，Linux Kernel还提供了其他的技术来支撑容器的应用，如selinux、apparmor可以增强对容器的访问控制，capabilities的主要实现在于将超级用户root的权限分割成了不同的capabities权限，从而更严格地控制了容器权限，netlink技术可以完成Docker容器的网络环境配置和创建。这些Linux内核技术从安全、隔离、防火墙、访问等多个方面对容器的成熟落地打下来坚实的基础。

容器管理

Linux内核提供了各项隔离技术，容器就可以顺理成章地建立起来。两个重要技术：Lxc和libcontainer

Lxc是第一个完整意义上的容器管理技术，通过Lxc可以方便地创建、启动、停止容器，还可以通过它来操作容器中的应用，也可以查看容器中的运行状态等。

libcontainer是docker开发的用来代替Lxc的，它实际上是反向定义了一套接口标准，也就是libcontainer不是为了调用底层的namespace、cgroups等技术而设计的，而是定义了一套标准。namespace、cgroups符合这套标准，Docker引擎就可以运行起来，从而实现对容器的管理。此后如果有新的底层隔离技术也符合这套标准，docker也可以继续运行。这样的设计思想为docker的实现全面化的跨平台应用带来了可能。

Docker

Docker是传统的Client-Server架构，装好了docker以后，也就同时装好了Client端和Server端。Client端是Docker命令行工具，通过Client端可以发起创建、管理容器的指令至Server端进行处理。

Docker技术原理

Docker Daemon是通过libcontainer和lxc来完成容器管理操作的，Docker的三个重要组件execdriver、networkdriver、graphdriver。

execdriver：存储了容器定义的配置信息，libcontainer拿到这些配置信息以后，将会调用底层的namespace和cgroups等技术来完成容器的创建和管理。

networkdriver:完成Docker容器网络环境的配置，包括容器的IP地址、端口、防火墙策略、与主机的端口映射。

graphdriver：对容器镜像的管理。