Docker 两大基石：Namespace 和 Cgroups

🛠️ Docker 两大基石：解密 Namespace 与 Cgroups 的核心魔力

容器技术，尤其是 Docker，已经彻底改变了软件的构建、交付和运行方式。但其背后的魔力究竟是什么？为什么一个简单的进程，就能拥有一个"独立"的操作系统环境，并且不会拖垮整个宿主机？

答案就藏在 Linux 内核提供的两大关键技术中：Namespace（命名空间） 和 Cgroups（控制组）。

理解这两点，你就理解了容器的本质。

如果你想让一个应用感觉它独占了整个系统，你需要隔离它的视图。这就是 Namespace 的职责。

Namespace 的核心思想是：将 Linux 系统中的全局资源进行抽象和分区。它为进程创建了一个私有的、独立的资源视图，让容器内的进程只能看到和使用这个私有视图中的资源。

容器本质上就是被 Namespace 隔离和 Cgroups 限制的宿主机进程。

当一个容器启动时，它并不会创建一个虚拟机，它只是在宿主机上启动了一个或多个进程。Namespace 的作用就是欺骗这个进程，让它以为自己是系统上唯一的进程，拥有自己独立的网络、文件系统等。

Docker 容器的完整隔离性正是通过组合使用以下不同类型的 Namespace 实现的：

Namespace 类型	隔离的资源	实现的效果
PID	进程 ID	容器有自己的 `PID 1`（初始化进程）。看不到宿主机上的完整进程列表。
NET	网络栈	容器有自己的网络设备、IP 地址、路由表。
MNT	文件系统	容器有自己的根目录和文件系统结构，通过 UnionFS 实现高效叠加。
UTS	主机名	容器可以设置自己的主机名，不影响宿主机和其他容器。
IPC	进程间通信	隔离 System V IPC 资源，防止容器间干扰。
USER	用户和组 ID	隔离用户权限。容器内的 `root` 用户可以被映射为宿主机上的非特权用户，增强安全性。

通过 Namespace 的隔离，容器获得了独立性 和安全性，这是容器技术存在的前提。

光有隔离性还不够。如果一个容器进程意外进入死循环，疯狂占用 CPU 或内存，它仍然会拖垮整个宿主机。这时，就需要有人来扮演"资源管理者"的角色。

这就是 Cgroups（Control Groups）的职责。

Cgroups 允许我们将一组进程组织成一个层级结构，并对这个组及其子组进行资源限制、配额分配和使用情况核算。它确保了资源的公平使用，防止了"资源饥饿"或"资源滥用"。

Cgroups 通过不同的"控制器"来管理特定的系统资源：

Cgroups 控制器	管理的资源	实际应用示例
`cpu`	CPU 时间	使用 `--cpu-shares` 分配相对权重；使用 `--cpus` 限制绝对核心数。
`memory`	内存和 SWAP	使用 `-m` 或 `--memory` 限制容器可使用的内存上限。
`blkio`	块设备 I/O	限制容器对磁盘读写的速率，避免 I/O 密集型容器独占磁盘。
`pids`	进程数量	限制容器内可以启动的进程和线程的总数，防止叉炸弹（Fork Bomb）。

通过 Cgroups 的资源控制，容器获得了稳定性 和可靠性，保障了宿主机的稳定运行。

Namespace 和 Cgroups 是容器技术不可或缺的一体两面。

正是 Linux 内核的这两项强大而精巧的机制，共同构建了 Docker 容器的轻量级、高效和安全的运行环境。下一次当你运行 docker run 命令时，请记住：你正在启动一个进程，而这个进程正在被 Namespace 隔离，并被 Cgroups 约束着，以一种全新的方式运行你的应用程序。