【docker】docker的起源与容器的由来、docker容器的隔离机制

news/2024/12/13 7:40:35

Docker 的起源与容器的由来

1. 虚拟机的局限:容器的需求萌芽

在 Docker 出现之前,开发和部署软件主要依赖虚拟机(VMs):

  • 虚拟机通过模拟硬件运行操作系统,每个应用程序可以运行在自己的独立环境中。
  • 虽然虚拟机解决了隔离问题,但它们的缺点也很明显:
    • 占用资源多:每个虚拟机需要运行一个完整的操作系统,占用大量内存和存储。
    • 启动慢:启动虚拟机往往需要几分钟,影响开发和测试效率。
    • 部署繁琐:跨环境迁移应用时,环境差异容易引发问题。

这些问题推动了对更轻量级、快速启动、隔离性强的解决方案的需求,容器技术由此诞生。

2. 容器技术的前身

容器的概念并非 Docker 发明,而是基于 Linux 系统的已有技术演变而来:

  • 2001年:Chroot 环境
    Linux 的 chroot 技术可以改变进程的根文件系统,让进程只看到特定的目录。虽然简单,但它的隔离能力有限。
  • 2008年:LXC 容器技术
    Linux 开始支持 Linux Containers (LXC),基于 cgroupsnamespace 提供了资源控制和进程隔离的能力。这是容器的雏形,但 LXC 的操作复杂,开发者使用门槛较高。
3. Docker 的诞生
  • 2013年:Docker 横空出世
    一个名为 DotCloud 的创业公司开发了 Docker,目标是简化容器的使用:
    • 基于 LXC 技术:早期的 Docker 使用 LXC 容器技术。
    • 易用性:Docker 提供简单的命令行工具和友好的 API,让开发者轻松使用容器。
    • 镜像理念:Docker 引入了轻量级、可移植的镜像,将应用程序及其运行环境封装到一个标准化的包中,方便跨环境部署。

随着 Docker 的发展,它逐步替换 LXC,构建了自己的容器引擎 libcontainer,进一步增强性能和隔离性。


Docker 容器的隔离机制

容器的核心理念是隔离:让每个容器看起来像是独立运行的“微型计算机”。Docker 使用 Linux 的内核功能实现这一点,主要依赖以下两大机制:

1. Namespace:命名空间(隔离视图)

Namespace 提供进程的视图隔离,每个容器有自己的“世界”,看不到其他容器或宿主机的资源。

  • 进程隔离(PID Namespace)
    每个容器有自己的进程树,容器内部的进程只能看到自己的进程,无法干扰宿主机或其他容器的进程。
  • 文件系统隔离(Mount Namespace)
    容器内有独立的文件系统,依赖 Docker 镜像加载。容器只能访问分配给它的文件系统部分。
  • 网络隔离(Net Namespace)
    每个容器有自己的虚拟网卡和 IP 地址,容器之间、容器与宿主机之间的网络通信通过桥接或 NAT 控制。
  • 用户隔离(User Namespace)
    容器内的用户和宿主机的用户隔离,例如容器内的 root 用户并不是真正的宿主机 root。
2. Cgroups:控制组(资源限制)

Cgroups 提供进程的资源限制,防止某个容器耗尽系统资源。

  • CPU 限制:限制单个容器的 CPU 使用率,确保多个容器公平共享 CPU。
  • 内存限制:为容器分配固定内存,防止内存泄漏影响宿主机或其他容器。
  • I/O 限制:限制容器的磁盘读写速度,避免某些高 I/O 的容器影响整体性能。
3. UnionFS:分层文件系统

Docker 使用分层文件系统(如 AUFS、OverlayFS)管理镜像和容器的文件:

  • 镜像分层:Docker 镜像由多层组成,每层存储变化部分。
  • 写时复制:容器启动时创建一个可写层,所有对文件的修改只影响这一层,不改变原始镜像。

这种设计让镜像可以高效复用和快速构建,同时减少存储占用。


生动比喻

  • 虚拟机 vs 容器

    • 虚拟机就像是一栋栋独立的房子,每栋房子需要自己的地基(硬件),而且盖起来很耗时。
    • 容器就像是公寓中的单元,所有单元共用同一个地基(宿主机的内核),但每个单元都有自己的门、窗、墙壁,住户互不干扰。
  • 隔离机制的比喻

    • Namespace 就像每个单元的“视野”:单元内的住户只能看到自己的房间,看不到其他单元的情况。
    • Cgroups 就像物业对每个单元的资源限制:每户用电、用水有配额,超出了就会被限制。
    • UnionFS 就像一个多层的建筑结构:底层是固定的(镜像层),住户只在顶层装修(容器层),不会破坏建筑结构。

总结

Docker 是为了解决虚拟机的资源开销和环境迁移问题而生的,它通过 Linux 的 Namespace 和 Cgroups 实现隔离,通过 UnionFS 提高文件管理效率。这种轻量级的虚拟化方式彻底改变了现代应用的开发、测试和部署方式,为容器化技术奠定了基础。


https://dhexx.cn/news/show-5466005.html

相关文章

云技术基础(泷羽sec)

声明 学习视频来自B站UP主 泷羽sec,如涉及侵泷羽sec权马上删除文章。 笔记只是方便各位师傅学习知识,以下网站只涉及学习内容,其他的都与本人无关,切莫逾越法律红线,否则后果自负 这节课旨在扩大自己在网络安全方面的知识面,了解网络安全领域的见闻,了…

Sofia-SIP 使用教程

Sofia-SIP 是一个开源的 SIP 协议栈,广泛用于 VoIP 和即时通讯应用。以下是一些基本的使用教程,帮助你快速上手 Sofia-SIP。 1. 安装 Sofia-SIP 首先,你需要安装 Sofia-SIP 库。你可以从其官方 GitHub 仓库克隆源代码并编译安装&#xff1a…

C++优选算法十六 BFS解决最短路问题

1.BFS解决最短路问题的优势与局限 BFS是一种有效的解决最短路问题的算法,特别适用于无权图或边权相等的图。 优势: BFS能够逐层遍历图中的所有节点,直到找到目标节点或遍历完所有可达节点。对于无权图(即边权为1的图&#xff0…

在内网工作时,如何使用 vscode remote ssh 去连接内网服务器?

来源:https://stackoverflow.com/questions/56671520/how-can-i-install-vscode-server-in-linux-offline 看这个回答: 一般来说,内网会提供 vscode 安装包,remote-ssh 的 vsix,先安装好。 随后,保证自己…

C++设计模式:桥接模式(Bridge)

什么是桥接模式? 桥接模式(Bridge Pattern)是一个用来解耦的设计模式,它将抽象层和实现层分离开,让它们可以独立变化。用最简单的话来说,就是让你能够改变抽象的功能和具体的实现,而不需要修改…

Zariski交换代数经典教材Commutative Algebra系列(pdf可复制版)

Zariski的名字估计学代数几何的人都耳熟能详,先是入门时期的交换代数教材,然后就是深入研究时期随处可见的Zariski拓扑。本帖我们分享的便是著名的Zariski交换代数教材。 Oscar Zariski & Pierre Samuel写的交换代数经典教材Commutative Algebra&am…

AppFlow:支持飞书机器人调用百炼应用

AppFlow:支持飞书机器人调用百炼应用 简介: 本文介绍了如何创建并配置飞书应用及机器人,包括登录飞书开发者后台创建应用、添加应用能力和API权限,以及通过AppFlow连接流集成阿里云百炼服务,最后详细说明了如何将机器…

尚硅谷学习笔记——Java设计模式(一)设计模式七大原则

一、介绍 在软件工程中,设计模式(design pattern)是对软件设计中普遍存在(反复出现)的各种问题,提出的解决方案。我们希望我们的软件能够实现复用性、高稳定性、扩展性、维护性、代码重用性,所以…

虚拟机ubuntu-20.04.6-live-server搭建OpenStack:Victoria(一:工具、环境准备-controller node)

文章目录 一、软件准备A. 下载ubuntu-live-server:B. 下载并安装Xshell: 二、安装Ubuntu(控制节点主机)A. 开启服务B. 先预安装C. 虚拟机设置D. 安装系统 三、连接XshellA. 配置网络接口B. 连接 Xshell 一、软件准备 温馨提示&…

音视频基础扫盲之视频码率控制策略(CBR、VBR还是ABR)

视频码率控制策略 CBR(Constant Bit Rate)、VBR(Variable Bit Rate)和ABR(Average Bit Rate)是三种常见的比特率控制方式,以视频码率控制为例,视频码率控制策略主要是在保证视频质量…