docker概述

docker的起源

Docker 的前身是一家名叫 dotCloud 的公司。

dotCloud ：主要提供基于Pass的云计算技术服务，具体说来就是与 LXC 有关的容器技术。

作为一家创业小公司，dotCloud 在行业竞争中步履维艰！于是dotCloud 的几个创始人就聚一起想啊想，想啊想，想着想着决定开源！既然养不起了，就把 dotCloud的内部保密程序源代码开放给所有人，让大家一起参与进来养活它·····

2013年3月，dotCloud 的创始人决定将 Golang 编写的 Docker 项目开源！这，不开则以，一开飞天！

Docker 开源项目爆火以后，dotCloud 公司干脆将名字改成了Docker Inc. 。

而 Docker 之所以会火，其主要原因就是区别于当时业界的网红：虚拟机，在资源隔离层面更“轻”、更“灵活”！

总之，我们在这里说了半天的 Docker ，其本身并不是容器，它是创建容器的工具，是开源的应用容器引擎。

什么是容器

简单地说，一个容器包含了完整的运行时环境：除了应用程序本身之外，这个应用所需的全部依赖、类库、其他二进制文件、配置文件等，都统一被打入了一个称为容器镜像的包中。通过将应用程序本身，和其依赖容器化，操作系统发行版本和其他基础环境造成的差异，都被抽象掉了。

容器分离开的资源：

• UTS(主机名与域名)
• Mount(文件系统挂载树)
• IPC
• PID进程树
• User
• Network(tcp/ip协议栈)

LXC

LXC为Linux Container的简写。可以提供轻量级的虚拟化，以便隔离进程和资源，而且不需要提供指令解释机制以及全虚拟化的其他复杂性。相当于C++中的NameSpace。容器有效地将由单个操作系统管理的资源划分到孤立的组中，以更好地在孤立的组之间平衡有冲突的资源使用需求。与传统虚拟化技术相比，它的优势在于：
（1）与宿主机使用同一个内核，性能损耗小；
（2）不需要指令级模拟；
（3）不需要即时(Just-in-time)编译；
（4）容器可以在CPU核心的本地运行指令，不需要任何专门的解释机制；
（5）避免了准虚拟化和系统调用替换中的复杂性；
（6）轻量级隔离，在隔离的同时还提供共享机制，以实现容器与宿主机的资源共享。

总结：Linux Container是一种轻量级的虚拟化的手段。
Linux Container提供了在单一可控主机节点上支持多个相互隔离的server container同时执行的机制。Linux Container有点像chroot，提供了一个拥有自己进程和网络空间的虚拟环境，但又有别于虚拟机，因为lxc是一种操作系统层次上的资源的虚拟化。

CGroups

cgroups的一个设计目标是为不同的应用情况提供统一的接口，从控制单一进程（像nice）到操作系统层虚拟化（像OpenVZ，Linux-VServer，LXC）。
cgroups提供：

• 资源限制：组可以被设置不超过设定的内存限制；这也包括虚拟内存。
• 优先级：一些组可能会得到大量的CPU或磁盘IO吞吐量。
• 结算：用来衡量系统确实把多少资源用到适合的目的上。
• 控制：冻结组或检查点和重启动。

CGroups能够限制的资源有：

• blkio：块设备IO
• cpu：CPU
• cpuacct：CPU资源使用报告
• cpuset：多处理器平台上的CPU集合
• devices：设备访问
• freezer：挂起或恢复任务
• memory：内存用量及报告
• perf_event：对cgroup中的任务进行统一性能测试
• net_cls：cgroup中的任务创建的数据报文的类别标识符

Linux Namespaces

命名空间(Namespaces)是Linux内核针对实现容器虚拟化而引入的一个强大特性。

每个容器都可以拥有自己独立的命名空间，运行其中的应用都像是在独立的操作系统中运行一样。命名空间保证了容器间彼此互不影响。

namespaces	系统调用参数	隔离内容	内核版本
UTS	CLONE_NEWUTS	主机名和域名	2.6.19
IPC	CLONE_NEWIPC	信号量、消息队列和共享内存	2.6.19
PID	CLONE_NEWPID	进程编号	2.6.24
Network	CLONE_NEWNET	网络设备、网络栈、端口等	2.6.29
Mount	CLONE_NEWNS	挂载点（文件系统）	2.4.19
User	CLONE_NEWUSER	用户和用户组	3.8

centos6的内核版本是2.6.32
centos7的内核版本是3.10.0
centos8的内核版本是4.18