Docker初识
- 3. Docker原理
• 名字空间(Name Spaces)
– 容器内外进程之间不可见,独立目录
• 控制组(Control Groups)
– 资源访问限制,CPU/内存/硬盘
• 联合文件系统(Aufs/Device mapper/Btrfs/Vfs)
– 容器复用和版本管理
• 容器格式
– LXC/1.20V后支持 libcontainer*
- 5. Virtual Machine VS Docker
*
Docker优势
• 节省虚拟Guest OS需要的大量空间
– 硬盘空间以GB为单位,内存以MB位单位
– Guest OS越多越体现Docker优势
• 性能接近原生系统
• 轻量级,快速创建和启动
- 14. 安全性
• 名字空间(Name Spaces)
– 2.6.15 版本(2008 年)之后被引入,数年间可靠性在诸多大型系统中被实践验证
• 控制组(Control Groups)
– 始于 2006 年,内核从 2.6.24 版本开始引入
• Docker守护进程拥有root权限
– 采用本地UNIX Socket取代127.0.0.1
– SSL证书加强客户端和守护进程之间的安全机制
– 容器root映射到宿主机非root,未来重点在于允许守护进程工作在非root
• Linux内核能力机制
– 限制容器进程能力,白名单
*
- 15. 参考
• 第一本Docker书
• Docker —— 从入门到实践
• Docker基础技术:Linux Namespace(上)
• What is Docker?
• containers-docker-virtual-machines-and-hpc
• performance-of-docker-vs-vms
• introduction-to-docker
*