泊坞窗基本概念与架构

什么是容器？

• 一种虚拟化的方案

• 操作系统级别的虚拟化

• 只能运行相同或相似内核的操作系统

• 依赖于Linux内核特性：Namespace和Cgroups（控制组）

Linux容器技术vs虚拟机

什么是多克？

• 将应用程序自动部署到容器

• 去语言开源引擎Github地址：https：//github.com/docker/docker

• 2013年初dotCloud

• 基于Apache2.0的开源授权协议发行

泊坞窗的目标

• 提供简单轻量的建模方式

• 职责的逻辑分离

• 快速高效的开发生命周期

• 鼓励使用面向服务的架构

泊坞窗的使用场景

1. 使用泊坞窗容器开发，测试，部署服务。

2. 创建隔离的运行环境

3. 搭建测试环境

4. 构建多用户的平台即服务（PaaS的）基础设施

5. 提供软件即服务（SaaS）的应用程序

6. 高性能，超大规模的宿主机部署

码头工人的基本组成

• Docker Client客户端

• Docker Daemon守护进程

• Docker Image镜像

• Docker Container容器

• Docker Registry仓库

泊坞客户端/守护进程

• C / S架构

• 本地/远程

Docker Image镜像

• 容器的基石

• 层叠的只读文件系统

• 联合加载（union mount）

Docker Container容器

• 通过镜像启动

• 启动和执行阶段

• 写时复制（copy on write）

Docker Registry仓库

1. 公有

2. 私有

3. Docker Hub

泊坞窗容器的相关技术简介

泊坞窗依赖的Linux的内核特性

• 命名空间命名空间

• 对照组（cgroups）控制组

命名空间命名空间：

• 编程语言：封装 - >代码隔离

• 操作系统：系统资源的隔离（进程，网络，文件系统......）

命名空间命名空间的五种隔离技术

• PID（进程ID）进程隔离

• NET（网络）管理网络接口

• IPC（InterProcess Communication）管理跨进程通信的访问

• MNT（山）管理挂载点

• UTS（Unix Timesharing System）隔离内核和版本标识

控制组控制组

• 用来分配资源

• 来源于谷歌

• Linux内核2.6.24@2007

控制组控制组可以做什么？

• 资源限制

• 优先级设定

• 资源计量

• 资源控制

泊坞窗容器的能力

• 文件系统隔离：每个容器都有自己的根文件系统

• 进程隔离：每个容器都运行在自己的进程环境中

• 网络隔离：容器间的虚拟网络接口和IP地址都是分开的

• 资源隔离和分组：使用的cgroup将CPU和内存之类的资源独立分配给每个泊坞容器