yyfaith的博客

支持docker虚拟化技术的核心技术：docker隔离：名字空间做环境隔离cgroup做资源隔离存储驱动：1、名字空间（namespace）名字空间是Linux为我们提供的用于分离进程树，网络接口，挂载点等资源的机制。Linux的名字空间机制提供了七种不同的命名空间：CLONE_NEWCGROUPCLONE_NEWIPCCLONE_NEWNETCLONE_NEWNSCLONE_NEWPIDCLON...

要点：容器=镜像+读写层运行态容器：一个运行态容器可被定义为一个可读写的统一文件系统加上隔离的进程空间和包含其中的进程等。针对文件系统隔离技术，一个容器中的进程可能会对文件进行修改，删除，创建等，这些变动都发生在文件读写层。...

docker create <image-id>为指定的镜像添加一个可读写层，构成一个新的容器，但是并不运行它。docker start <container-id>为容器文件系统创建了一个进程隔离空间，每个容器都只有一个进程隔离空间。docker run <image-id>run是合并了create和start操作。docker ps列出所有运行中的容器，但...

镜像的概念主要就是把运行环境和业务代码进行镜像打包。每个镜像都可以分层很多个layer，每个layer都有它对应的ID和大小，比如一个ubuntu镜像有四层组成：镜像层都是只读的，不能往里面写数据。想写数据就需要在其上启动一层container layer，就是相当于把镜像启动成一个容器。在容器层，我们是可写的。子镜像与父镜像：上层的image依赖于下层的image，因此想要从一个image启动c...

1、需要在物理机上运行一个root域的docker damon。2、远程创建仓库。

内部网络解决机制在启动一个容器时，可以通过两种方式实现容器服务的访问：1、容器端口映射机器。这个就是通过将主机本地的端口映射到容器内的端口，如指定-P，Docker会随机映射一个49000~49900的端口到内部容器开放的网络端口。或指定-p，可以指定要映射的端口，一个指定端口上只可以绑定一个容器。将主机端口的数据包转发到容器内对应端口上。docker会启一个docker-proxy来监听主机对应...

dockerfile文件分为四部分：基础镜像信息，维护者信息，镜像操作指令和容器启动时执行指令。

未启动任何容器的情况下：dockerd 守护进程，是以root身份启动的。有一个子进程 docker-containe，这个子进程是多线程工作。dockerd本身也是多线程工作。启动一个nginx容器以后：新开了一个子进程：docker-proxy，应该是用来进行网络桥接代理使用。docker-containe新开了一个子进程docker-containe：nginx会运行在这个子进程中。进入容器...