docker原理

docker原理是什么，让我们一起了解一下？

Docker是一个开源的应用容器引擎，让开发者可以打包他们的应用以及依赖包到一个可移植的容器中，然后发布到任何流行的Linux或Windows操作系统的机器上，也可以实现虚拟化，容器是完全使用沙箱机制，相互之间不会有任何接口。

一个完整的Docker有以下几个部分组成：

DockerClient客户端

Docker Daemon守护进程

Docker Image镜像

DockerContainer容器

Docker核心解决的问题是利用LXC来实现类似VM的功能，从而利用更加节省的硬件资源提供给用户更多的计算资源。同VM的方式不同， LXC 其并不是一套硬件虚拟化方法 - 无法归属到全虚拟化、部分虚拟化和半虚拟化中的任意一个，而是一个操作系统级虚拟化方法， 理解起来可能并不像VM那样直观。所以我们从虚拟化到docker要解决的问题出发，看看他是怎么满足用户虚拟化需求的。

用户需要考虑虚拟化方法，尤其是硬件虚拟化方法，需要借助其解决的主要是以下4个问题：

隔离性 - 每个用户实例之间相互隔离， 互不影响。 硬件虚拟化方法给出的方法是VM， LXC给出的方法是container，更细一点是kernel namespace

可配额/可度量 - 每个用户实例可以按需提供其计算资源，所使用的资源可以被计量。硬件虚拟化方法因为虚拟了CPU， memory可以方便实现， LXC则主要是利用cgroups来控制资源

移动性 - 用户的实例可以很方便地复制、移动和重建。硬件虚拟化方法提供snapshot和image来实现，docker(主要)利用AUFS实现

安全性 - 这个话题比较大，这里强调是host主机的角度尽量保护container。硬件虚拟化的方法因为虚拟化的水平比较高，用户进程都是在KVM等虚拟机容器中翻译运行的， 然而对于LXC，用户的进程是lxc-start进程的子进程， 只是在Kernel的namespace中隔离的， 因此需要一些kernel的patch来保证用户的运行环境不会受到来自host主机的恶意入侵， dotcloud(主要是)利用kernel grsec patch解决的。

以上就是小编的分享，希望可以帮助到大家。