Docker是云原生的核心,也是大厂必备技能,下面我就全面来详解Docker核心原理@mikechen
Docker核心原理
Docker 是一个开源的容器化平台,用于构建、分发和运行轻量级、可移植的应用容器。
Docker 通过结合内核级隔离(namespaces、cgroups)、分层镜像和标准化运行时。
提供了轻量、可移植且高效的应用封装与部署方式。
Docker架构
Docker 的架构由多个互相协作的组件构成,主要包括:
Docker 客户端(CLI):用户与 Docker 交互的命令行工具,发送 API 请求到 Docker 守护进程。
Docker 守护进程(dockerd):负责镜像管理、容器生命周期、网络与存储驱动等核心功能,响应客户端请求并管理容器运行。
Docker 镜像仓库(Registry):用于存储与分发镜像的服务,公共仓库为 Docker Hub,也支持私有仓库(如 Harbor)。
Docker核心技术
Docker 的实现依赖若干 Linux 内核特性与用户空间组件,主要包括:
Namespaces(命名空间)
首先,命名空间(Namespaces)通过对进程、网络、PID、挂载点等系统资源的隔离。
命名空间使得容器内的进程仿佛运行在独立主机上:它们拥有独立的进程编号空间、独立的网络接口与路由表。
独立的文件系统挂载点等,从而避免了不同容器之间的相互干扰,提升了安全性与可管理性。
cgroups(控制组)
其次,控制组(cgroups)负责对 CPU、内存、I/O 等物理资源进行限制与配额管理。
通过对资源使用的精细控制,cgroups 能在多容器并存的场景中保证资源分配的公平性与稳定性。
防止单个容器过度消耗而影响同宿主机上其他服务的可用性。
此外,cgroups 还支持统计与监控,为运维与自动伸缩提供依据。
联合文件系统(UnionFS)
最后,联合文件系统(UnionFS)如 AUFS、OverlayFS 等,为容器镜像提供分层(layered)存储机制。
分层镜像允许多个镜像共享只读层,仅在需要时创建可写层,从而实现镜像复用、节省存储空间并加快镜像分发速度。
该机制还简化了镜像构建过程,便于版本管理与增量更新。
Docker运行流程
当你敲下 docker run [ImageName] 时,背后发生了一系列“魔术”:
1.客户端发送请求
Docker Client 解析命令,通过 API 将请求发送给 Docker Daemon。
2.检查镜像
Daemon 检查本地是否有 [ImageName] 镜像。
如果没有,就从配置的 Registry(如 Docker Hub)中拉取 (Pull) 镜像。
3.准备环境
Daemon 利用 AUFS/OverlayFS 等联合文件系统,将镜像各层挂载,并在最上层创建一个可读写层。
同时,利用 Namespace 为新容器创建隔离的环境(网络栈、PID 空间、文件系统等)。
分配资源: Daemon 利用 Cgroups 设置容器的资源限制(CPU、内存等)。
作者简介
陈睿|mikechen,10年+大厂架构经验,BAT资深面试官,就职于阿里巴巴、淘宝、百度等一线互联网大厂。
关注作者「mikechen」公众号,获取更多技术干货!
后台回复【架构】,即可获取《阿里架构师进阶专题全部合集》,后台回复【面试】即可获取《史上最全阿里Java面试题总结》