1. namespace技术
namespace是为了对容器进行网络、通信、文件、权限等对象的隔离。
namespace包含了六项隔离:
- UTS ——主机名与域名
- IP ——通信(信号量、消息队列和共享内容)
- PID ——进程编号,通过PID技术,同个主机上的不同容器可以有相同的PID进程。
- Network ——网络设备、网络栈、端口
- Mount ——让文件拥有自己的文件系统
- User ——用户和用户组,实现用户权限的隔离
2.cgroups技术
通过cgroups可以为容器设定系统资源的配额,包括CPU、内存、I/O等等。对于不同的系统资源,cgroups提供了统一的接口,对资源进行控制和统计。
限制的具体方式不尽相同,实际的流程很复杂。
3.其它相关Linux Kernel技术
- selinux和apparmor:增强对容器的访问控制
- capabilities:将超级用户root的权限分割成各种不同的capability权限,从而更严格地控制容器的权限。
-
netlink:完成Docker的网络环境配置和创建
这些技术从安全、隔离、防火墙、访问等方面为容器的成熟落地打下了坚实的基础。
4.容器管理
容器的管理技术
4.1 lxc(第一节“容器的发展与演进”里有!)
是第一个完整意义上的容器管理技术。通过lxc可以方便的创建、启动和停止一个容器。还可以通过lxc来操纵容器中的应用,也可以查看容器的运行状态。
Docker的出现把2008年的lxc的复杂的使用方式简化为自己的一套体系。
4.2 libcontainer
Docker后来开发了原生的libcontainer代替了lxc。
libcontainer实际上反向定义了一组接口标准。
-
反向定义:libcontainer并不是为了调用底层的Linux Kernel技术而设计的,而是Linux Kernel技术符合了定义出来的libcontainer标准,Docker引擎才能运行起来。如果此后还有新技术符合这套标准,Docker引擎还是可以正常运行。
这样的设计思路为Docker的跨平台实现和全面化应用带来了可能。
5. Docker技术原理
- Docker构造:Client-Server
Docker结构
装好了Docker工具之后,也就同时装好了Client端和Server端。
Client端可以是Docker命令行工具,也可以是GitHub上开源的图形化工具。通过Client工具可以发起创建、管理容器的指令到Server端。
- Docker Daemon
Docker Daemon
Docker Daemon通过libcontainer、lxc的技术来完成容器管理操作。
Docker Daemon的三个重要组件:
- execdriver:存储了容器定义的配置信息,libcontainer拿到配置信息以后调用底层的namespace等技术来完成容器的创建和管理。
- networkdriver:完成容器网络环境的配置,包括了容器的IP地址、端口、防火墙策略,以及与主机的端口映射等。
- graphdriver: 负责对容器镜像的管理。
