Docker 技术介绍

https://github.com/docker/docker

`实现用户空间隔离的技术：名称空间（NameSpace），CGroup（控制组）`

`什么是NameSpace：`：简单的理解就是，每一个虚拟的用户空间可以基于名称空间实现进程pid号、用户名等相同的机制，且每一个虚拟的用户空间相互不受干扰

`什么是CGroup`：控制资源使用率的机制

Docker由`GO语言`研发，遵守`Apache开源协议`

Docker由C/S架构实现，`客户端称为：docker client`、`服务端称为：docker server`

NameSpace名称空间实现用户空间隔离

1：network namespace

实现隔离网络协议栈、端口号等

2：user namespace

实现用户和用户组隔离

3：IPC namespace

实现进程间通信的隔离

4：pid namespace

实现进程号隔离

5：mount namespace

实现挂载隔离

6：UTS namespace

实现主机名和域名隔离

CGroup控制组实现用户空间隔离

CGroup用户组实现对资源的使用率隔离

归纳总结

1：那么到底什么是容器技术？

容器技术 = namespace + Linux的CGroup机制

2：namespace隔离出多个用户空间

3：Linux的CGroup机制为每一个用户空间的分配资源空间

例如：分配多少CPU资源，分配多少内存资源，分配多少I/O资源

CGroup的子系统

/sys/fs/cgroup目录介绍

1：blkio

控制访问块设备的i/o资源

2：cpu

控制CPU资源的使用率

3：cpuacct

审计CPU使用时长

4：cpuset

控制CPU的核心数配比、控制内存物理资源空间的配比（可以理解为分配了一条内存条）

5：memory

控制内存资源的使用率

6：devices

控制任务对设备的访问权限

7：freezer

控制挂起或激活某个任务

8：net_cls

控制网络i/o资源对不同的用户空间的分配

9：perf_event

控制性能事件的分配机制

10：hugetlb

控制大内存页面进行控制

Docker文件系统AUFS(advanced multi-layered unification filesystem)：

Docker容器是建立在Aufs基础上的，Aufs是一种Union FS，简单来说就是支持将不同的目录挂载到同一个虚拟文件系统下，并实现一种layer的概念。Aufs将挂载到同一虚拟文件系统下的多个目录分别设置成read-only，read-write以及whiteout-able权限，对read-only目录只能读，而写操作只能实施在read-write目录中。重点在于，写操作是在read-only上的一种增量操作，不影响read-only目录。当挂载目录的时候要严格按照各目录之间的这种增量关系，将被增量操作的目录优先于在它基础上增量操作的目录挂载，待所有目录挂载结束了，继续挂载一个read-write目录，如此便形成了一种层次结构。

docker强依赖于AUFS，因为每一种应用程序都需要特定的运行环境，包括rootfs、以及程序运行的库文件、配置文件

Docker 概念、简要应用

1：registry：`类似综合仓库，用于保存docker image、layer information`

2：repository：`一般基于操作系统发行版本分类`

3：index：`管理registry的检索，例如docker search ubantu 就会先检索index`

4：graph：`管理本地docker的本地镜像的元数据`