Docker核心实现技术

从操作系统功能上看，Docker底层依赖的核心技术主要包括linux操作系统的命名空间，控制组，联合文件系统和linux网络虚拟化支持。

基本架构

• 服务端
  Docker目前采用标准的C/S架构，Docker Daemon一般在宿主主机上运行，作为服务端接受来自客户端的请求，并处理请求。
• 客户端
  Docker客户端为用户提供一系列可执行命令，与服务端交互。

命名空间

命名空间是linux内核的一个强大特性，每个容器拥有自己单独的命名空间，运行在容器的应用像是在独立的操作系统中一样，保证了容器之间互不影响。

• 进程命名空间
  有了pid命名空间，每个命名空间中的进程就会相互隔离。
• 网络命名空间
  通过网络命名空间，可以实现网络隔离,将不同容器的网络隔离开来。
• IPC命名空间
• 挂载命名空间
  -UTS命名空间
• 用户命名空间

控制组

控制组是linux内核的一个特性，主要用来对共享资源进行隔离，限制，审计等。通过控制分配到具体容器的资源 ，来避免多个容器同时运行时对宿主主机系统的资源竞争。

联合文件系统

联合文件系统支持将文件系统中的修改信息作为一次提交，并层层叠加，是Docker镜像的实现基础。可以通过docker history来查看一个镜像由哪些层组成。
执行docker history hub.c.163.com/public/ubuntu:16.04-tools后输出如下：

[vagrant@localhost ~]$ docker history hub.c.163.com/public/ubuntu:16.04-tools
IMAGE               CREATED             CREATED BY                                      SIZE                COMMENT
1196ea15dad6        14 months ago       /bin/sh -c #(nop)  CMD ["/usr/bin/supervisor…   0B
<missing>           14 months ago       /bin/sh -c #(nop) COPY file:32c4496c7e250e69…   70B
<missing>           14 months ago       /bin/sh -c #(nop)  EXPOSE 22/tcp                0B
<missing>           14 months ago       /bin/sh -c cp -f /usr/share/zoneinfo/Asia/Sh…   414B
<missing>           14 months ago       /bin/sh -c sed -i s/"PermitRootLogin without…   2.53kB
<missing>           14 months ago       /bin/sh -c apt-get update     && apt-get upd…   112MB
<missing>           15 months ago       /bin/sh -c mkdir -p /var/run/sshd               0B
<missing>           15 months ago       /bin/sh -c #(nop)  MAINTAINER netease "ops"     0B
<missing>           2 years ago         /bin/sh -c #(nop) CMD ["/usr/sbin/sshd" "-D"]   0B
<missing>           2 years ago         /bin/sh -c #(nop) EXPOSE 22/tcp                 0B
<missing>           2 years ago         /bin/sh -c sed -ri 's/^#PasswordAuthenticati…   2.54kB
<missing>           2 years ago         /bin/sh -c mkdir /var/run/sshd                  0B
<missing>           2 years ago         /bin/sh -c apt-get install -y openssh-server…   83.5MB
<missing>           2 years ago         /bin/sh -c apt-get update                       22.4MB
<missing>           2 years ago         /bin/sh -c #(nop) CMD ["/bin/bash"]             0B
<missing>           2 years ago         /bin/sh -c sed -i 's/^#\s*\(deb.*universe\)$…   1.9kB
<missing>           2 years ago         /bin/sh -c echo '#!/bin/sh' > /usr/sbin/poli…   701B
<missing>           2 years ago         /bin/sh -c #(nop) ADD file:9ade4e2863c54c630…   118MB

这些层都是只读，不可修改的 。当docker利用镜像启动一个容器的时候，在文件系统的顶层再挂载一个新的可读写的层给容器，进行更新操作。