Docker是一种应用容器引擎,结合Linux的Namespace和Cgroup技术实现环境隔离和资源控制。相较于LXC,Docker提供更全面的资源管理能力,包括网络、磁盘空间等。它依赖Chroot、Veth、UnionFS、Iptables、Tc、Quota和Setrlimit等技术,确保高效、安全的容器运行。Docker容器本质上是宿主机的一个进程,建议在3.10以上内核版本运行。
Docker 是什么
Docker 是一种应用容器引擎。
什么是容器
Linux系统提供了Namespace和Cgroup技术实现环境隔离和资源控制
其中Namespace是Linux提供的一种内核级别环境隔离的方法,能使一个进程和该进程创建的子进程的运行空间都与Linux的超级父进程相隔离
注意Namespace只能实现运行空间的隔离,物理资源还是所有进程共用的
为了实现资源隔离,Linux系统提供了Cgroup技术来控制一个进程组群可使用的资源(如CPU、内存、磁盘IO等)
把这两种技术结合起来,就能构造一个用户空间独立且限定了资源的对象,这样的对象称为容器。
Linux Container是Linux系统提供的容器化技术,简称LXC,它结合 Namespace 和 Cgroup 技术为用户提供了更易用的接口来实现容器化。
LXC仅为一种轻量级的容器化技术,它仅能对部分资源进行限制,无法做到诸如网络限制、磁盘空间占用限制等。
什么是Docker
DotCloud公司结合LXC和以下列出的技术实现了Docker容器引擎,相比于LXC,Docker具备更加全面的资源控制能力,是一种应用级别的容器引擎。
• Chroot:在container里构造完整的Linux文件系统。Chroot 可以增进系统的安全性,限制使用者能做的事;
• Veth:在主机上虚拟出一张网卡与container里的eth0网卡进行桥接,实现容器与主机、容器之间的网络通信;
• UnionFS:联合文件系统,Docker利用该技术“Copy on Write”的特点实现容器的快速启动和极少的资源占用;
• Iptables/netfilter:控制container网络访问策略;
• Tc&
最低0.47元/天 解锁文章
扫一扫
481
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
