Docker架构和原理

1 Docker简介
Docker 是一个开源的应用容器引擎，让开发者可以打包他们的应用以及依赖包到一个可移植的容器中，然后发布到任何流行的Linux机器上，也可以实现虚拟化，容器是完全使用沙箱机制，相互之间不会有任何接口。
2 为什么用docker
1 更快速的交付和部署
2 高效的部署和扩容

3 更高的资源利用率

4 更简单的管理

3 docker引擎
docker引擎是一个c/s结构的应用，主要组件见下图：

Server是一个常驻进程
REST API 实现了client和server间的交互协议
CLI 实现容器和镜像的管理，为用户提供统一的操作界面

4 Docker构架
Docker使用C/S架构，Client 通过接口与Server进程通信实现容器的构建，运行和发布。client和server可以运行在同一台集群，也可以通过跨主机实现远程通信。

4 docke核心技术
4.1 核心技术架构

4.2 名字空间（Namespaces）
名字空间是 Linux 内核一个强大的特性。每个容器都有自己单独的名字空间，运行在其中的应用都像是在独立的操作系统中运行一样。名字空间保证了容器之间彼此互不影响。
1 pid 名字空间
不同用户的进程就是通过 pid 名字空间隔离开的，且不同名字空间中可以有相同 pid。所有的 LXC 进程在Docker 中的父进程为Docker进程，每个 LXC 进程具有不同的名字空间。同时由于允许嵌套，因此可以很方便的实现嵌套的 Docker 容器。

2 net 名字空间
有了 pid 名字空间, 每个名字空间中的 pid 能够相互隔离，但是网络端口还是共享 host 的端口。网络隔离是通过 net 名字空间实现的， 每个 net 名字空间有独立的 网络设备, IP 地址, 路由表, /proc/net 目录。这样每个容器的网络就能隔离开来。Docker 默认采用 veth 的方式，将容器中的虚拟网卡同 host 上的一 个Docker网桥 docker0 连接在一起。

3 ipc 名字空间
容器中进程交互还是采用了 Linux 常见的进程间交互方法(interprocess communication – IPC), 包括信号量、消息队列和共享内存等。然而同 VM 不同的是，容器的进程间交互实际上还是 host 上具有相同 pid 名字空间中的进程间交互，因此需要在 IPC 资源申请时加入名字空间信息，每个 IPC 资源有一个唯一的 32位 id。

4 mnt 名字空间
类似 chroot，将一个进程放到一个特定的目录执行。mnt 名字空间允许不同名字空间的进程看到的文件结构不同，这样每个名字空间 中的进程所看到的文件目录就被隔离开了。同 chroot 不同，每个名字空间中的容器在 /proc/mounts 的信息只包含所在名字空间的 mount point。

5 uts 名字空间
UTS(“UNIX Time-sharing System”) 名字空间允许每个容器拥有独立的 hostname 和 domain name, 使其在网络上可以被视作一个独立的节点而非 主机上的一个进程。

6 user 名字空间
每个容器可以有不同的用户和组 id, 也就是说可以在容器内用容器内部的用户执行程序而非主机上的用户。

4.3 控制组（cgroups）
控制组（cgroups）是 Linux 内核的一个特性，主要用来对共享资源进行隔离、限制、审计等。只有能控制分配到容器的资源，才能避免当多个容器同时运行时的对系统资源的竞争。
控制组技术最早是由 Google 的程序员 2006 年起提出，Linux 内核自 2.6.24 开始支持。

控制组可以提供对容器的内存、CPU、磁盘 IO 等资源的限制和审计管理。

4.4 联合文件系统（UnionFS）
联合文件系统（UnionFS）是一种分层、轻量级并且高性能的文件系统，它支持对文件系统的修改作为一次提交来一层层的叠加，同时可以将不同目录挂载到同一个虚拟文件系统下(unite several directories into asingle virtual filesystem)。
联合文件系统是 Docker 镜像的基础。镜像可以通过分层来进行继承，基于基础镜像（没有父镜像），可以制作各种具体的应用镜像。

另外，不同 Docker 容器就可以共享一些基础的文件系统层，同时再加上自己独有的改动层，大大提高了存储的效率。

Docker 中使用的 AUFS（AnotherUnionFS）就是一种联合文件系统。 AUFS 支持为每一个成员目录（类似 Git 的分支）设定只读（readonly）、读写（readwrite）和写出（whiteout-able）权限, 同时 AUFS 里有一个类似分层的概念, 对只读权限的分支可以逻辑上进行增量地修改(不影响只读部分的)。

Docker 目前支持的联合文件系统种类包括 AUFS, btrfs, vfs 和 DeviceMapper。

4.5 容器格式
最初，Docker 采用了 LXC 中的容器格式。自 1.20 版本开始，Docker 也开始支持新的 libcontainer 格式，并作为默认选项。
对更多容器格式的支持，还在进一步的发展中。

5 参考资料
5.1 Docker安装
1《CentsOS下安装Docker》：https://www.cnblogs.com/wq3435/p/6479768.html
5.2 Docker常用命令
1 《Docker 命令大全》：http://www.runoob.com/docker/docker-command-manual.html
5.3 Docker（UnionFS）
1《深入分析Docker镜像原理》：https://blog.csdn.net/xuguokun1986/article/details/79295947
2 《创建自己的Docker基础镜像》：http://www.cnblogs.com/cocowool/p/make_your_own_base_docker_image.html

3 《Linux文件系统之aufs》：https://segmentfault.com/a/1190000008489207

4 《Container内不需要OS，为何需要OS的基础镜像？》：http://dockone.io/question/6

5 《浅谈linux中的根文件系统（rootfs的原理和介绍）》：https://blog.csdn.net/LEON1741/article/details/78159754

5.4 Docker原理与实现
1《Docker容器原理与实现》：https://wenku.baidu.com/view/9f5ab08df424ccbff121dd36a32d7375a417c63f.html
2 《Docker 核心技术与实现原理》：https://draveness.me/docker

3《DOCKER基础技术》：https://coolshell.cn/articles/17010.html

4 《Docker底层架构核心技术》：http://www.dockerinfo.net/698.html

5 《Docker的概念及剖析原理和特点》：http://blog.51cto.com/kangshuo/1930487

原文地址：https://www.cnblogs.com/sea520/p/11350400.html