Docker进阶之二:Docker内部组件

　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　Docker内部组件

一.Namespaces

　　　命名空间，Linux内核提供的一种对进程资源隔离的机制，例如进程，网络，挂载点等资源。

　　   docker run -d busybox ping baidu.com

　　　

　　  只能看见容器内的资源情况，并看不到宿主机的任何进程和文件系统.

二.CGroups

　　　控制组，Linux内核提供的一种限制进程资源的机制；例如cpu,内存等资源。

　　  

主要防止某一个容器资源过多导致宿主机资源紧张

三.UnionFS

　　   联合文件系统，支持将不同位置的目录挂载到同一虚拟文件系统，形成一种分层的模型。

　　　

　　　　　　　　　　　　　　　　虚拟机和容器的区别

　　  虚拟机：

　　  使用虚拟机运行多个相互隔离的应用时，如下图：

　　

　　

　　　　基础设施（Infrastructure）。它可以是你的个人电脑，数据中心的服务器，或者是云主机。

　　　　主操作系统（Host Operating System）。你的个人电脑之上，运行的可能是MacOS，Windows或者某个Linux发行版。

　　　　虚拟机管理系统（Hypervisor）。利用Hypervisor，可以在主操作系统之上运行多个不同的从操作系统。类型1的Hypervisor有支持MacOS的HyperKit，支持Windows的Hyper-V以及支持Linux的KVM。

　　　　类型2的Hypervisor有VirtualBox和VMWare。

　　　　从操作系统（Guest Operating System）。假设你需要运行3个相互隔离的应用，则需要使用Hypervisor启动3个从操作系统，也就是3个虚拟机。这些虚拟机都非常大，也许有700MB，这就意味着它们将占用2.1GB的磁盘空间。更糟糕的是，它们还会消耗很多CPU和内存。

　　　　各种依赖。每一个从操作系统都需要安装许多依赖。如果你的的应用需要连接PostgreSQL的话，则需要安装libpq-dev；如果你使用Ruby的话，应该需要安装gems；如果使用其他编程语言，比如Python或者Node.js，都会需要安装对应的依赖库。

　　　　应用。安装依赖之后，就可以在各个从操作系统分别运行应用了，这样各个应用就是相互隔离的。

　　　Docker：

　　　使用Docker容器运行多个相互隔离的应用时，如下图：

　　  

　　

　　　　主操作系统（Host Operating System）。所有主流的Linux发行版都可以运行Docker。对于MacOS和Windows，也有一些办法"运行"Docker。

　　　　Docker守护进程（Docker Daemon）。Docker守护进程取代了Hypervisor，它是运行在操作系统之上的后台进程，负责管理Docker容器。

　　　　各种依赖。对于Docker，应用的所有依赖都打包在Docker镜像中，Docker容器是基于Docker镜像创建的。

　　　　应用。应用的源代码与它的依赖都打包在Docker镜像中，不同的应用需要不同的Docker镜像。不同的应用运行在不同的Docker容器中，它们是相互隔离的。

虚拟机与容器区别

 启动时间
Docker秒级启动，KVM分钟级启动。
 轻量级
容器镜像大小通常以M为单位，虚拟机以G为单位。
容器资源占用小，要比虚拟机部署更快速。
性能
容器共享宿主机内核，系统级虚拟化，占用资源少，没有Hypervisor层开销，容器性能基本接近物理机;
虚拟机需要Hypervisor层支持，虚拟化一些设备，具有完整的GuestOS，虚拟化开销大，因而降低性能，没有容器性能好。
 安全性

由于共享宿主机内核，只是进程级隔离，因此隔离性和稳定性不如虚拟机，容器具有一定权限访问宿主机内核，存在一定安全隐患。

 使用要求
KVM基于硬件的完全虚拟化，需要硬件CPU虚拟化技术支持;
容器共享宿主机内核，可运行在主流的Linux发行版，不用考虑CPU是否支持虚拟化技术。

总结：虚拟机更擅长于彻底隔离整个运行环境。例如，云服务提供商通常采用虚拟机技术隔离不同的用户。

Docker通常用于隔离不同的应用，例如前端，后端以及数据库。

如果有问题可以加微信技术群共同学习和进步…..