目录
容器技术在操作系统层面实现了对计算机系统资源的虚拟化,在操作系统中,通过对 CPU、内存和文件系统等资源的隔离、划分和控制,实现进程之间透明的资源使用。
虚拟机和容器在实现架构上的区别:
每个虚拟机都 有自己的操作系统、系统库以及应用,而容器并没有 Hypervisor 层(虚拟化通常在 Hypervisor 层实现对硬件资源的虚拟化),每个容器是和主机共享硬件资源及操作系统。?
容器的概念最早可以追溯到 1979 年的 Unix 工具 Chroot;
2008 年出现的 LXC(Linux Containers)可以说是第一个完整的 Linux 容器管理实现方案;
2013 年DotCloud 开源了其内部的容器项目 Docker;
2014 年CoreOS 发布了容器引擎 Rocket;
2015 年微软在?Windows Server 上为基于 Windows 的应用添加了容器支持;
2017 年阿里巴巴开源了其基于 Apache 2.0 许可协议的轻量级容器技术 Pouch。
容器技术发展历程?:
镜像是容器运行的基础,容器引擎服务可使用不同的镜像启动相应的容器。在容器出 现错误后,能迅速通过删除容器、启动新的容器来恢复服务,这都需要以容器镜像作为支撑技术。
镜像是由按层封装好的文件系统和描述镜像的元数据构成的文件系统包,包含应用所 需要的系统、环境、配置和应用本身等。镜像由开发者构建好之后上传至镜像仓库,使用 者获取镜像之后就可以使用镜像直接构建自己的应用。
与虚拟机所用的系统镜像不同,容器镜像不仅没有 Linux 系统内核,同时在格式上也 有很大的区别。虚拟机镜像是将一个完整系统封装成一个镜像文件,而容器镜像不是一个文件,而是分层存储的文件系统。
每个镜像都是由一系列的“镜像层”组成,当需要修改镜像内的某个文件时,只会对最上方的读写层进 行改动,不会覆盖下层已有文件系统的内容。当提交这个修改生成新的镜像时,保存的内容仅为最上层可读写文件系统中被更新过的文件,这样就实现了在不同的容器镜像间共享镜像层。
容器镜像结构图如下:
最上层是容器的读写层,剩余的是只读层。
写时复制策略即在多个容器之间共享镜像,每个容器在启动时并不需要单独复制一份镜像文件,而是将所有镜像层以只读的方式挂载到一个挂载点,再在上面覆盖一个可读写的容器层。在未更改文件内容时,所有容器共享同一份数据,只有在容器运行过程中文件系统发生变化时,才会把变化的文件内容写到可读写层,并隐藏只读层中的老版本文件。写时复制配合分层机制减少了镜像对磁盘空间的占 用和容器启动时间。
根据文件的内容来索引镜像和镜像层,对镜像层的内容计算校验和,生成一个内容哈希值,并以此哈希值作为镜像层的唯一标识,该机制提高了镜像的安全性,并在 pull、push、load 、save 操作后检测数据的完整性。
可以在一个挂载点上同时挂载多个文件系统,将挂载点的原目录与被挂载内容进行整合,使得最终可见的文件系统包含整合之后各层的文件和目录,将多个镜像层的文件系统挂载到一个挂载点来实现一个统一文件系统视图的途径,是下层存储驱动实现分层合并的方式。