Docker的學習

Docker是一個開源的應用容器引擎，使用Go語言開發，基於Linux內核的cgroup， namespace， Union FS等技術，對應用進程進行封裝隔離，而且獨立於宿主機與其餘進程，這種運行時封裝的狀態稱爲容器。Docker早起版本實現是基於LXC，並進一步對其封裝，包括文件系統、網絡互聯、鏡像管理等方面，極大簡化了容器管理。從0.7版本之後開始去除LXC，轉爲自行研發的libcontainer，從1.11版本開始，進一步演進爲使用runC和containerd。Docker理念是將應用及依賴包打包到一個可移植的容器中，可發佈到任意Linux發行版Docker引擎上。使用沙箱機制運行程序，程序之間相互隔離。

它是經過內核虛擬化技術來提供容器的資源的隔離和安全保證等等，由於docker是經過操做系統層的虛擬化實現隔離，因此docker容器在運行的時候是不須要額外的虛擬化管理程序，他是內核級別的虛擬化，能夠實現更加高效的性能，同事對資源的額外的需求很低，他的最本質的特徵，docker是經過隔離來進行建立容器。

2 Docker的體系結構：

咱們經過Docker 客戶端發送指令，經過Docker引擎來分發指令，是下載鏡像或者是建立容器，若是本地有鏡像直接引用，若是本地沒有就從倉庫拉取，通知Containerd 建立容器，Containerd在收到Engine的請求以後會啓動一個shim,shim 會讓runc提供一個容器的運行環境，runC就會去掛載文件系統，最後runC就會在文件系統啓動一個進程。

Containerd：是一個簡單的守護進程，使用runC管理容器。向Docker Engine提供接口
Shim：只負責管理一個容器。
runC：是一個輕量級的工具，只用來運行容器。

3 Docker 的內部組件

Namespace

　　命名空間，Linux內核提供的一種對進程資源隔離的一種機制，例如進程、網絡、掛載點等資源,把他們封裝在一個名稱空間中，只能看到本容器內的資源

CGroups

　　控制組，LInux內核提供的一種限制進程資源的機制：例如CPU、內存等資源

　　咱們能夠在宿主機上經過 ls /sys/fs/cgroup 看到咱們隊哪些資源進行了限制，限制的資源有 blkio cpu cpuacct cpu,cpuacct cpuset devices freezer hugetlb memory net_cls net_cls,net_prio net_prio perf_event pids systemd

UnionFS：

　　聯合文件系統，支持將不一樣位置的目錄掛載到同一個虛擬文件系統，造成一種分層的模型