本文共 780 字，大约阅读时间需要 2 分钟。

容器的基本原理

1. 容器技术是一种轻量级的虚拟化技术，通过使用cgroup+namespace+rootfs隔离（pirot_chroot）+ libcontainer， 虚拟分配计算资源，达到合理利用空闲资源的目的。
2. 各个容器是共用内核的，因此容器隔离性没有传统虚拟机隔离的彻底。比如，如果插入一个ko导致panic, 整个机器都会复位。
3. 容器= cgroup+namesapce+rootfs(文件系统隔离)+容器引擎（libcontainer, 负责容器的创建和生命周期管理）

详细技术

namespace创建

完成容器的隔离

底层api接口 clone（func, stack, flags, clone_arg） flags: CLONE_NEWPID, CLONE_NEWNS(mount 相关？), CLONE_NEWUSER, CLONE_NEWNET, CLONE_NEWIPC, CLONE_NEWUTS

相关的系统调用：

clone， setns, unshare setns 可以将一个任务放到一个特定的namespace中

cat /proc/pid/ns

后面博客在分析介绍namespace原理

cgroup资源隔离

完成资源的分配

echo $pid > /sys/fs/cgroup/cpu/tasks echo $pid > /sys/fs/cgroup/cpuset/tasks … cpu， cpuset, blkio, cpuacct, devices, freezer, memory

pirot_chroot 文件系统隔离

pivot_root(“path_of_rootfs/”, path);

exec("/bin/bash")

容器引擎

负责如上三个流程的控制以及生命周期管理

参考资料

docker 进阶与实战

转载地址：http://jsloi.baihongyu.com/