各位小伙伴大家好，我是运维虫子！

上一篇，我们一起学习了docker的起源以及docker的简单运用，今天我们来从软件层面来了解一下docker的具体工作原理。

Linux进程

进程是在 CPU 及内存中运行的程序代码，而每个进程可以创建一个或多个进程(父子进程)。

通常通过ps -ef来查看

namespace(隔离内核资源)

我们先来创建一个容器

docker pull centosdocker run -itd --name centos centos /bin/bash

在容器运行的时候，我们通过下面的命令进入容器以后

[root@Docker ~]# docker exec -it centos bash[root@c682c328d6ad /]# ps  PID TTY          TIME CMD   15 pts/1    00:00:00 bash   28 pts/1    00:00:00 ps

通过ps 查看进程以后发现，确实只有当前容器运行的进程。上一个图中宿主机的其他进程都看不到了，感觉上确实相当于一个独立的操作系统，但事实上确实是这样吗？

在回答上面的问题之前，我们先来了解一下，Linux自带的namespace。

namespace 是 Linux 内核用来隔离内核资源的方式。通过 namespace 可以让一些进程只能看到与自己相关的一部分资源，而另外一些进程也只能看到与它们自己相关的资源，这两拨进程根本就感觉不到对方的存在。具体的实现方式是把一个或多个进程的相关资源指定在同一个 namespace 中。

namespace其实是Linux创建进程时候的一个可选参数，目前docker用到了以下6种namespace：

上面说的东西可能比较抽象，我们以刚刚创建的centos容器为例，来具体了解：

通过docker ps 查询容器短ID

[root@Docker ~]# docker psCONTAINER ID        IMAGE               COMMAND                  CREATED             STATUS              PORTS                    NAMESc682c328d6ad        centos              "/bin/bash"              22 minutes ago      Up 22 minutes                                centos

在宿主机上利用 ps axf 来查询centos容器的真实进程。

 ps axf | grep c682c328d6ad

查询到这个容器的PID为：31232

当前内核版本的namespace放在/proc/[pid]/ns 目录下：

[root@Docker ~]# ll /proc/31232/ns/total 0lrwxrwxrwx 1 root root 0 Dec  7 10:37 ipc -> ipc:[4026531839]lrwxrwxrwx 1 root root 0 Dec  7 10:37 mnt -> mnt:[4026531840]lrwxrwxrwx 1 root root 0 Dec  7 10:37 net -> net:[4026531956]lrwxrwxrwx 1 root root 0 Dec  7 10:37 pid -> pid:[4026531836]lrwxrwxrwx 1 root root 0 Dec  7 10:37 user -> user:[4026531837]lrwxrwxrwx 1 root root 0 Dec  7 10:37 uts -> uts:[4026531838]

我们发现这个进程利用namespace的ipc、mount、net、pid等资源隔离技术，相对于封装了一个完整的系统给docker来使用。

一个完整的容器已经通过namespace创建好了，但是资源该怎么管理呢？就用到了下面提到的cgroup。

Cgroup(kernel的配额管理机制)

Cgroup 是 Control group 的简称，是 Linux 内核提供的一个特性，用于限制和隔离一组进程对系统资源的使用。对不同资源的具体管理是由各个子系统分工完成的。

同样Cgroup也有以下几种限制内容：

cpu：限制cgroup的CPU使用cpuacct：统计cgroup的CPU的使用率。cpuset：绑定cgroup到指定CPUs和NUMA节点。memory：统计和限制cgroup的内存的使用率，包括process memory, kernel memory, 和swap。devices：限制cgroup创建(mknod)和访问设备的权限。freezer：suspend和restore一个cgroup中的所有进程。net_cls：将一个cgroup中进程创建的所有网络包加上一个classid标记，用于tc和iptables。 blkio：限制cgroup访问块设备的IO速度。perf_event：对cgroup进行性能监控net_prio：针对每个网络接口设置cgroup的访问优先级。hugetlb：限制cgroup的huge pages的使用量。pids：限制一个cgroup及其子孙cgroup中的总进程数。

通过限制容器io举例，来理解cgroup是如何限制的：

docker run -it --name yunweichongzi --device-write-bps /dev/vda:40MB centos

进入容器进行io测试：

time dd if=/dev/zero of=test bs=1M count=500 oflag=direct

可以看出磁盘写入的数理为40.1MB/s,用时2.61s。

同样，我们在宿主机上执行IO测试：

可以看出磁盘写入的数理为812MB/s,用时0.129s。

总结

通过对namespace和cgroup的了解，是不是发现docker与之前的虚拟化是有不同的，之前的虚拟化是通过虚拟化工具虚拟成一个完整的虚拟机，而docker是利用Linux的内核特性对进程进行隔离，对资源进行限制来达成一种轻量的虚拟化。

我们再来看一下这个图，是不是发现稍微有点不符合docker，docker其实是一个资源隔离工具，从进程中来看，docker与APP A、B等等其实是一样的。

了解完namespace的进程限制与隔离、cgroup的资源限制。是不是还缺一个内容，那就是文件系统。

所以下一篇，我们来聊一聊：“rootfs：根文件系统，docker的创新技术镜像。”

多年致力于互联网搬砖，各种互联网技术都稍有涉猎。如果大家遇到一些问题可以私信或者留言给我。我们可以一起讨论！