Docker容器原理详解(图文全面总结)

Docker是云原生的核心,理解Docker容器原理对于掌握Docker至关重要@mikechen

Docker容器

容器是一种轻量级、可移植的软件打包技术,它将应用程序及其所有依赖项(库、配置文件等)打包到一个独立的运行环境中。

Docker容器原理详解(图文全面总结)-mikechen

与传统的虚拟机不同,容器共享主机操作系统的内核,因此启动速度更快,资源占用更少。

一次构建,多处运行(Run anywhere)。

本质上,容器就是在宿主机上运行的一个独立进程,它与宿主机共享内核,但具有自己的文件系统、网络栈、进程空间等。

 

Docker容器原理

Docker 容器的核心原理建立在 Linux 的三大关键技术基础之上:

1.Linux Namespace(命名空间)

Linux Namespace:是Docker实现容器隔离的核心技术之一,命名空间是Linux内核提供的一种隔离机制。

Linux Namespace,通过为进程提供独立的资源视图,实现进程间的隔离。

Docker容器原理详解(图文全面总结)-mikechen

Docker容器启动时,会为容器内的进程创建一组独立的命名空间,包括:

  • PID Namespace:隔离进程ID,使容器内进程拥有独立的PID空间,容器内的进程从1开始编号,宿主机无法直接看到容器内进程。

  • NET Namespace:隔离网络接口和IP地址,容器拥有独立的网络栈和网络设备。

  • IPC Namespace:隔离进程间通信资源,如System V IPC和POSIX消息队列。

  • MNT Namespace:隔离文件系统挂载点,容器拥有独立的文件系统视图。

  • UTS Namespace:隔离主机名和域名,容器可以拥有独立的主机名。

  • USER Namespace:隔离用户和组ID,实现容器内用户与宿主机用户的映射和隔离。

 

2.Linux Cgroups(控制组)

Cgroups是Linux内核提供的资源管理机制,用于限制、计量和隔离进程组使用的系统资源。

Docker容器原理详解(图文全面总结)-mikechen

功能包括:

  • 限制 CPU 使用率(如限制最多占用 2 核);

  • 限制内存(如最大使用 1GB);

  • 限制磁盘 IO;

  • 限制网络带宽…等。

通过Cgroups,Docker能够对容器的资源使用进行精细化控制,避免单个容器占用过多资源而影响其他容器或主机。

 

3.联合文件系统(UnionFS)

UnionFS是一种分层文件系统,Docker镜像和容器文件系统基于此实现。

镜像由多个只读层叠加组成,容器在镜像之上增加一层可写层。

容器运行时,所有文件操作首先在可写层进行,未修改的文件则从只读层读取。

Docker容器原理详解(图文全面总结)-mikechen

UnionFS 通过将多个文件系统“叠加”,实现高效的文件存储和共享。

这样既能节省存储,也能让多个容器共享相同的镜像层。

总之,Docker容器通过Linux Namespace实现资源视图隔离。

通过Cgroups实现资源限制和管理,通过UnionFS实现高效的文件系统层叠。

三者协同工作构建了轻量级、高效、安全的容器运行环境。

mikechen

mikechen睿哥,10年+大厂架构经验,资深技术专家,就职于阿里巴巴、淘宝、百度等一线互联网大厂。

关注「mikechen」公众号,获取更多技术干货!

后台回复架构即可获取《阿里架构师进阶专题全部合集》,后台回复面试即可获取《史上最全阿里Java面试题总结

评论交流
    说说你的看法