docker学习笔记2：docker的运行原理

docker核心概念

Docker 是一个开源的容器化技术，它能够让开发者将应用及其依赖打包到一个轻量级的、可移植的容器中，这个容器可以在几乎任何机器上一致地运行。要了解 Docker 的运行原理，我们首先要理解以下几个核心概念：

1. 容器 (Container): 容器是一个轻量级的、独立的、可执行的软件包，其中包括运行应用所需的一切：代码、运行时、系统工具、库和设置。容器会运行在与其他容器相隔离的环境中。

2. 镜像 (Image): Docker 镜像是一个轻量级、独立的、可执行的软件包，包含运行应用的所有内容，包括代码、运行时、系统工具、库和设置。它是创建容器的基础。

3. Docker Engine: Docker 引擎是一个客户端-服务器类型的应用，包含：

   • 一个长时间运行的守护进程 (dockerd)
   • 一个 REST API 指定程序与守护进程通信的接口
   • 一个命令行接口 (CLI) 用户程序

Docker 的运行原理

1. 命名空间 (Namespaces): Docker 使用命名空间来为容器提供隔离的工作区。当你运行一个容器，Docker 会为容器创建一组命名空间。

2. 控制组 (cgroups or Control Groups): Docker 使用 cgroups 技术来对容器的资源进行限制和隔离。

3. 叠加文件系统 (Union File Systems): Docker 使用 Union File Systems 技术来构建容器。这使得 Docker 镜像可以由多个层组成，每一层可以增加、修改或删除内容，从而构建出一个最终的文件系统。

4. 容器格式: Docker Engine 使用的容器格式（如 runC）定义了容器的外观和生命周期。

这些技术组合在一起，使 Docker 在 Linux 内核上能够提供轻量级、快速、隔离的环境来运行应用程序。尽管 Docker 是为 Linux 设计的，但通过虚拟化技术，它也可以在其他操作系统（如 Windows 和 macOS）上运行。

简单总结，Docker 的运行原理基于 Linux 核心技术，如 cgroups、namespaces 和叠加文件系统，使得应用可以在独立、隔离、轻量级的容器中运行。

其它补充资料

1 cgroups

Linux cgroups（控制组）是Linux内核提供的一种机制，它允许你对一组进程的资源使用进行细粒度的控制。通过cgroups，系统管理员可以限制、记录和隔离进程组使用的资源（如CPU、内存、磁盘I/O、网络等）。

cgroups由一系列的内核功能组成，它允许你对任务（进程）进行分组，并将一组任务作为一个整体来管理。cgroups的功能主要包括：

1. 资源限制：你可以限制一个控制组内进程的资源使用量，例如限制CPU的使用时间比例、内存的最大占用量等。

2. 优先级分配：控制组可以定义不同进程组的资源优先级，这样重要的进程可以获得更多的资源。

3. 资源监控：cgroups能够监控控制组使用的资源量，这对于系统分析和性能调优是非常有用的。

4. 资源隔离：cgroups可以确保控制组内的任务不会影响到其他控制组，从而提供了一种虚拟化的资源隔离手段。

5. 控制：除了限制和监控，cgroups还允许对进程组进行挂起、恢复等操作。

cgroups是构建容器技术（如Docker和LXC）的基石之一，因为它们依赖于cgroups来实现资源隔离和限制。cgroups的使用通常涉及到以下几个步骤：

1. 创建控制组：在cgroup文件系统中创建一个新的目录。

2. 分配任务：将进程的PID写入到控制组目录的tasks文件中，以将其加入到控制组。

3. 设置资源限制：通过修改控制组目录中的配置文件来设置资源限制。

4. 读取资源使用情况：通过读取控制组文件系统中的特定文件来获取资源使用情况。

cgroups版本：

• cgroups v1：最初的实现，提供了基本的功能。
• cgroups v2：是对cgroups的重写，提供了更好的API、统一的层级结构和更多的功能。

cgroups是Linux内核提供的非常强大的功能，但使用它需要对系统有深入的理解。在生产环境中，很多高级的资源管理工具和服务都是基于cgroups来实现的。

2 cgroups在docker中的应用

Linux cgroups（控制组）与Docker之间有密切的关系，cgroups是Docker等容器技术实现资源隔离和限制的基础之一。下面是它们之间的关系：

1. 资源隔离和限制：Docker利用Linux cgroups来限制和隔离容器使用的资源，包括CPU、内存、磁盘I/O和网络带宽等。通过cgroups，Docker可以确保容器之间不会相互干扰，以及避免一个容器占用过多的系统资源影响其他容器和宿主机的性能。

2. 容器启动与管理：当使用Docker创建和运行容器时，Docker会利用cgroups来创建一个独立的资源控制组，并将容器内的进程放置在该控制组中。这样，Docker就可以轻松地管理容器的资源使用，并在需要时对其进行调整。

3. 性能优化：通过调整cgroups的参数，可以对Docker容器的资源分配进行优化，使得不同容器能够在系统资源的竞争中获得合适的份额，从而提高整体系统的性能和稳定性。

4. 资源监控：Docker还利用cgroups提供的资源监控功能，实时地监测容器的资源使用情况，帮助用户了解容器的运行状况，并进行必要的调整和优化。

总的来说，Linux cgroups为Docker等容器技术提供了强大的资源管理能力，使得容器可以在共享的硬件基础设施上安全、高效地运行。因此，理解和掌握cgroups对于使用Docker和其他容器技术是非常重要的。

3 叠加文件系统

Linux叠加文件系统是一种文件系统层叠的技术，它允许将多个文件系统叠加在一起，形成一个虚拟的文件系统。这种技术通常用于容器和虚拟化环境中，以实现文件系统的联合挂载和管理。其中，最常见的叠加文件系统是OverlayFS。

以下是关于OverlayFS的一些介绍：

1. 层次结构：OverlayFS基于层次结构，其中包含一个底层文件系统（称为下层）和一个或多个叠加层。下层文件系统可以是任何支持的文件系统，如ext4、XFS等。每个叠加层都可以添加、修改或隐藏下层文件系统中的文件和目录。

2. 写时复制（Copy-on-Write）：OverlayFS使用写时复制技术来处理文件修改。当文件需要修改时，OverlayFS并不直接在原始文件上进行修改，而是将修改后的内容写入到叠加层中，从而避免了对底层文件系统的直接修改，确保了文件系统的一致性和完整性。

3. 叠加规则：在OverlayFS中，文件系统的叠加规则由挂载点和层次结构决定。挂载点指定了哪个文件系统作为底层文件系统，而叠加层的顺序则由挂载时的顺序确定。叠加层的顺序越靠前，优先级越高，即先查找叠加层中的文件和目录。

4. 透明访问：叠加文件系统对用户和应用程序来说是透明的，它隐藏了底层文件系统和叠加层的细节，使得用户可以像使用普通文件系统一样访问文件和目录。

5. 容器技术中的应用：OverlayFS广泛应用于容器技术中，如Docker和Kubernetes。在这些容器平台中，每个容器通常都有自己的文件系统，使用OverlayFS可以将容器的文件系统与主机的文件系统分开管理，实现快速、轻量级的容器启动和管理。

总的来说，叠加文件系统为Linux系统提供了一种灵活的文件系统管理方式，特别适用于容器和虚拟化环境中的文件系统隔离和管理。