LXC、LXD、Docker的区别与联系(by quqi99)

版权声明：可以任意转载，转载时请务必以超链接形式标明文章原始出处和作者信息及本版权声明

( http://blog.csdn.net/quqi99 )

容器

• namespace技术用来进行做进程间的隔离，linux namespace包括：mount namespace, uts namespace, ipc namespace, pid namespace, network namespace, user namespace六种，用于将mount点、UTS(hostname, domain name)、IPC资源、进程、网络、用户等六种资源做到进程级别的隔离。容器作为一个普通的进程，使用namespace技术作隔离。
• pivot_root根文件系统切换。mount –bind /etc /tmp/test/etc方式允许从任何其他位置访问任何文件或目录，但是其他用户仍然能看到这些mount点，而mount namespace可以做到mount点在各个进程之间隔离。尽管如此，目前没有对文件/目录做进程间隔离的namespace，所以有必要制作根文件系统再采用pivot_root命令在容器内替换为这个根文件系统（注：chroot只是在指定的根文件系统下运行命令）。
• cgroups技术用来做资源限制，这些资源包括CPU、内存、存储、网络等。
• AUFS文件系统采用CoW写时复制技术将多个文件系统联合到一个挂载点，这样可以为容器实现一个只读的base镜像加一个可写的镜像，从而缩小镜像的体积。
• 可以基于上述技术实现容器

LXC

LXC基本上也是使用上述的思想实现的一个用于管理容器的命令行工具(参考：https://stgraber.org/2013/12/20/lxc-1-0-blog-post-series/）：

- 它允许嵌套

- 安全方面：采用seccomp来隔离潜在危险的系统调用；采用AppArmor来对mount, socket, ptrace和文件访问提供额外的限制，特别是限制跨容器通信；采用Capabilities来阻止容器加载内核模块，修改主机系统时间等等；采用CGroups限制资源使用，防止针对主机的DoS攻击等。见：https://stgraber.org/2014/01/01/lxc-1-0-security-features/

- 存储后端也可以是btrfs, lvm, overlayfs, zfs等，见：https://stgraber.org/2013/12/27/lxc-1-0-container-storage/

- 提供了基于C语言的API

LXD

上面的LXC有一些问题(参见LXD 2.0系统文章：http://os.51cto.com/art/201607/515087.htm）：

- LXC只是单机的命令行工具，没有daemon进程，所以它无法提供REST API，也无法有效支持跨主机之间的容器迁移。

- LXC的命令也太底层，普通用户无法理解

- LXD作为一个daemon进程弥补了上述问题，让LXC更易用。

Docker

LXD侧重于在容器里运行系统容器（即在容器里运行完整的操作系统），所以它将LXC里的一些侧重于安全的技术也都包装后重新暴露出来了。但是Docker侧重于在容器里运行普通应用，更加重视管理应用这些PaaS的功能。