02 容器技术精髓剖析

1. namespace技术

namespace是为了对容器进行网络、通信、文件、权限等对象的隔离。
namespace包含了六项隔离：

• UTS ——主机名与域名
• IP ——通信（信号量、消息队列和共享内容）
• PID ——进程编号，通过PID技术，同个主机上的不同容器可以有相同的PID进程。
• Network ——网络设备、网络栈、端口
• Mount ——让文件拥有自己的文件系统
• User ——用户和用户组，实现用户权限的隔离

2.cgroups技术

通过cgroups可以为容器设定系统资源的配额，包括CPU、内存、I/O等等。对于不同的系统资源，cgroups提供了统一的接口，对资源进行控制和统计。
限制的具体方式不尽相同，实际的流程很复杂。

3.其它相关Linux Kernel技术

• selinux和apparmor：增强对容器的访问控制
• capabilities：将超级用户root的权限分割成各种不同的capability权限，从而更严格地控制容器的权限。
• netlink：完成Docker的网络环境配置和创建
  这些技术从安全、隔离、防火墙、访问等方面为容器的成熟落地打下了坚实的基础。

4.容器管理

容器的管理技术

4.1 lxc（第一节“容器的发展与演进”里有！）

是第一个完整意义上的容器管理技术。通过lxc可以方便的创建、启动和停止一个容器。还可以通过lxc来操纵容器中的应用，也可以查看容器的运行状态。
Docker的出现把2008年的lxc的复杂的使用方式简化为自己的一套体系。

4.2 libcontainer

Docker后来开发了原生的libcontainer代替了lxc。
libcontainer实际上反向定义了一组接口标准。

• 反向定义：libcontainer并不是为了调用底层的Linux Kernel技术而设计的，而是Linux Kernel技术符合了定义出来的libcontainer标准，Docker引擎才能运行起来。如果此后还有新技术符合这套标准，Docker引擎还是可以正常运行。
  这样的设计思路为Docker的跨平台实现和全面化应用带来了可能。

5. Docker技术原理

• Docker构造：Client-Server

Docker结构

装好了Docker工具之后，也就同时装好了Client端和Server端。
Client端可以是Docker命令行工具，也可以是GitHub上开源的图形化工具。通过Client工具可以发起创建、管理容器的指令到Server端。

• Docker Daemon

Docker Daemon

Docker Daemon通过libcontainer、lxc的技术来完成容器管理操作。
Docker Daemon的三个重要组件：

• execdriver：存储了容器定义的配置信息，libcontainer拿到配置信息以后调用底层的namespace等技术来完成容器的创建和管理。
• networkdriver：完成容器网络环境的配置，包括了容器的IP地址、端口、防火墙策略，以及与主机的端口映射等。
• graphdriver: 负责对容器镜像的管理。