Docker关键知识点儿汇总

Docker关键知识点儿汇总

容器

容器=cgroup+namespace+rootfs+容器引擎（用户态工具）

Cgroup：资源控制。 Namespace：访问隔离。 rootfs：文件系统隔离。 容器引擎：生命周期控制。

容器两个核心技术

NameSpaceNamespace又称为命名空间（也可翻译为名字空间），它是将内核的全局资源做封装，使得每个Namespace都有一份独立的资源，因此不同的进程在各自的Namespace内对同一种资源的使用不会互相干扰。

IPC：隔离System V IPC和POSIX消息队列。 Network：隔离网络资源。 Mount：隔离文件系统挂载点。 PID：隔离进程ID。 UTS：隔离主机名和域名。 User：隔离用户ID和组ID。

CgroupCgroup是control group的简写，属于Linux内核提供的一个特性，用于限制和隔离一组进程对系统资源的使用，也就是做资源QoS，这些资源主要包括CPU、内存、block I/O和网络带宽。

devices：设备权限控制。 cpuset：分配指定的CPU和内存节点。 cpu：控制CPU占用率。 cpuacct：统计CPU使用情况。 memory：限制内存的使用上限。 freezer：冻结（暂停）Cgroup中的进程。 net_cls：配合tc（traffic controller）限制网络带宽。 net_prio：设置进程的网络流量优先级。 huge_tlb：限制HugeTLB的使用。 perf_event：允许Perf工具基于Cgroup分组做性能监测。

Docker五种网络模式

None不为容器配置任何网络功能。

Container与另一个运行中的容器共享NetworkNamespace，共享相同的网络视图。

Host与主机共享Root Network Namespace，容器有完整的权限可以操纵主机的协议栈、路由表和防火墙等，所以被认为是不安全的。

版权声明：本文内容由网络用户投稿，版权归原作者所有，本站不拥有其著作权，亦不承担相应法律责任。如果您发现本站中有涉嫌抄袭或描述失实的内容，请联系我们jiasou666@gmail.com 处理，核实后本网站将在24小时内删除侵权内容。