docker依赖于Linux的两个特性:命名空间(namespace)和控制组(cgroups)命名空间(namespace):实现系统资源的隔离,如进程、网络、文件系统等。实现轻量级虚拟化服务,即容器。PID(ProcessID)进程隔离NET(network)管理网络接口IPC(InterProcessCommunication)管理跨进程通信访问MNT(mount)管理挂载点UTS(UNIXTimesharingSystem)隔离内核和版本号控制组:资源限制控制Memoryusage和onlineprioritysetting控制哪些资源可以优先使用Memoryandotherresourcemetering:统计进程组使用的系统资源资源控制:资源暂停或恢复docker容器的文件系统隔离,让每个系统都有自己的根文件系统。进程隔离使得每个容器都运行在自己的环境中,互不干扰。网络隔离,容器之间的虚拟网络接口和IP是分开的。资源隔离和分组,使用cgroups为每个docker容器独立分配CPU和内存。
