Docker组成原理

Docker引擎
- OCI容器标准
镜像
启动流程

本文是阅读《深入浅出Docker》的相关学习笔记

起初简单的以为Docker和容器是一种东西，后来才发现Docker是实现了Linux容器技术（LXC，可以提供轻量级的虚拟化）的一种实现

LXC技术使用Linux 内核和内核功能（Cgroups 和Namespaces）来分隔进程，以便各进程相互独立运行

于是好像有了一个定义：容器是一个相互隔离的和资源受限制的进程

当启动Docker时，会通过Namespaces和Cgropus来创建一个资源隔离的环境，然后将打包的应用程序和关联的文件复制到 Namespace 内的文件系统中

Docker引擎

Docker 引擎是用来运行和管理容器的核心软件

基于OCI标准，采用的模块化结构

主要结构：客户端、守护进程（docker daemon）、containerd和runc

他们共同负责容器的创建和运行

早期的Docker引擎结构由Docker daemon和LXC组成

Docker daemon负责创建容器和运行容器，功能都耦合在一块了

而LXC技术，使用其提供的Namespace和Cgroup来启动容器

为了摆脱LXC的依赖，解决跨平台和核心功能依赖外部工具的问题

Docker公司开发了名为Libcontainer的自研工具，用于替代LXC。Libcontainer的目标是成为与平台无关的工具，可基于不同内核为Docker上层提供必要的容器交互功能

后续Docker公司对Docker daemon进行了重构，将容器执行、容器运行是等功能做成小组件的方式

伴随着重构的进行，Docker公司也在推进着OCI标准（容器开放标准）即规范容器运行时标准(runtime-spec)和容器镜像标准(image-spec)

OCI容器标准

OCI规范了什么？

规范了容器镜像标准和容器运行时标准，两者通过一个文件系统包（filesystem bundle）来连接
filesystem bundle有什么作用？

将镜像解包成bundle，bundle包含了一个config.json配置文件和一个根文件夹，Docker引擎会识别这个bundle来运行容器

config.json的结构包含公共部分和平台适配部分

公共部分包含了版本信息、rootfs等等，平台部分则是对系统底层的适配，比如Linux的配置是cgroup和namespaces，Windows则是hypervisor

可以看到Docker是怎么实现跨平台的
镜像规范规范了什么？

规定了镜像的构建系统需要输出的内容和格式，并且可以被解包成bundle

主要包含了以下几种
1. 文件系统：一个镜像由多个层叠加组成，文件系统负责维护这些层的变更集
2. manifest：记录层和配置文件的定位信息
3. 配置文件：记录镜像运行时相关的参数和根目录的变更
4. image index：记录不同平台的manifests配置
下边是实例

关于镜像的组成下文会继续探索
容器规范规范了什么？什么是容器运行时（runtime）？

容器规范标准了容器的配置、运行环境和生命周期

配置文件就是通过解包镜像获得的config.json，并通过这个文件获取支持的平台和创建容器需要的字段

容器运行时负责运行容器的所有部分，但是实际上并不止运行程序本身；容器运行时负责：通过读取bundle里的配置文件，来准备容器所需要得环境和资源，然后创建容器并且管理他的生命周期

容器运行时有多种实现，但大多都包含lower-level和higher-level，需要注意的是，lower-level和higher-level得职责不同，解决不同的问题

lower-level需要提供容器所需要得资源（如namesapece和cgroup）

higher-level负责传输和管理镜像，解包镜像并将命令传递给low-level，hight-level还对外提供Api

runc和containerd就是从docker中分离出来的low-level和hight-level