Docker依赖的Linux内核特性

发表于 评论数: 本文字数: 482 阅读时长 ≈ 2 分钟

  Docker 是一个开源的应用容器引擎,让开发者可以打包他们的应用以及依赖包到一个可移植的容器中,然后发布到任何流行的 Linux 机器上,也可以实现虚拟化。容器是完全使用沙箱机制,相互之间不会有任何接口。 这里记录一些基本的概念

Docker依赖的Linux内核特性

Namespaces 命名空间

  命名空间是 Linux 内核的一个强大特性,为容器虚拟化的实现带来了极大的便利。利用这一特性,每个容器都可以拥有自己单独的命名空间,运行在其中的应用都像是在独立的操作系统环境中一样。命名空间机制保证了容器之间彼此互不影响。

  • PID (process ID) 进程ID隔离
  • NET(network) 管理网络端口
  • IPC(InterProcess Communication)
  • 管理跨进程通信的访问
  • MNT(Mount) 管理挂载点
  • UTS(Unix Timesharing System) 隔离内核和版本标识
  • Control groups(c groups) 控制组

Control groups(c groups) 控制组

  控制组是 Linux 内核的一个特性,主要用来对共享资源进行隔离、限制、审计等,只有能控制分配到容器的资源,才能避免多个容器同时运行时对宿主机系统的资源竞争。

  • 资源限制
  • 优先级设定
  • 资源计量
  • 资源控制
  • 用来分配资源
  • 来源于Google
  • Linux kernel 2.6.24 @ 2007

Docker容器的能力

  • 文件系统隔离:每个容器都有自己的root文件系统。
  • 进程隔离:每个容器都运行在自己的进程环境中。
  • 网络隔离:容器间的虚拟网络接口和IP地址都是分开的。
  • 资源隔离和分组:使用cgroup将CPU和内存之类的资源独立分配给每个Docker容器。

参考资料:
《Docker技术入门与实战》