容器其实是一种特殊的进程而已。
可执行镜像
为了能够让这些代码正常运行'我们往往还要给它提供数据'比如我们这个加法程序所需要的输人文件°这些数据加上代码本身的二进制文件放在磁盘上'就是我们平常所说的一个程序,也叫代码的可执行镜像(executablejmage)°然后'我们就可以在计算机上运行这个程序了。
进程
- 对于进程来说'它的静态表现就是程序'平常都安安静静地待在磁盘上;而---且运行起来'它就变成了计算机里的数据和状态的总和,这就是它的动态表现。
容器
-
容器技术的核心功能'就是通过约束和修改进程的动态表现'为其创造一个'边界,'。
-
对于Docker等大多数Llnux容器来说, Cgroups技术是用来制造约束的主要手段而Namespace技术是荆来修改进程视图的主要方法.
$ docker run -it busybox /bin/sh
$ ps
可以看到'在Docker里最开始执行的/b1n/sh就是这个容器内部的第1号进程(PID=l )'而这个容器里共有两个进程在运行。
这就意味着'前面执行的/b1n/sh以及刚刚执行的ps,已经被Docker隔离在了一个跟宿主机完全不同的世界当中。
这种机制其实就是对被隔离应用的进程空间动了手脚'使得这些进程只能'看到,重新计算过的PID,比如PID=1。可实际上'在宿主机的操作系统里,它还是原来的第100号进程。