Docker容器底层原理深度解析
Docker不是虚拟机,它的本质是Linux内核特性的巧妙封装。搞懂namespace和cgroups,你才能真正理解容器是什么,以及它的边界在哪里。
一、容器隔离的基础:Linux Namespace
Namespace让每个容器拥有独立的系统视图,就像进程以为自己独占了整台机器。
| Namespace类型 | 隔离内容 | 应用场景 |
|---|---|---|
| PID | 进程ID空间 | 容器内PID从1开始 |
| NET | 网络栈(IP,端口,路由) | 容器独立IP |
| MNT | 文件系统挂载点 | 容器看不到宿主文件 |
| UTS | 主机名和域名 | 容器有独立hostname |
| IPC | 进程间通信资源 | 隔离共享内存 |
| USER | 用户和组ID映射 | 容器root≠宿主root |
# 查看容器使用的namespace
docker run -d --name myapp nginx
PID=$(docker inspect myapp --format '{{.State.Pid}}')
ls -la /proc/$PID/ns/
# lrwxrwxrwx 1 root root 0 net -> net:[4026532123]
# lrwxrwxrwx 1 root root 0 pid -> pid:[4026532124]
# 进入容器network namespace调试
nsenter -t $PID -n ip addr show
# 可以看到容器内的网络接口二、资源限制的基础:cgroups
Namespace负责隔离,cgroups(Control Groups)负责限制资源使用。Docker的 –memory 和 –cpus 参数最终都映射到cgroups配置。
# Docker资源限制实战
docker run -d \
--memory=512m \
--memory-swap=512m \
--cpus=0.5 \
--name limited_app myapp:v1
# 在宿主机查看cgroups配置
cat /sys/fs/cgroup/memory/docker//memory.limit_in_bytes
# 536870912 (= 512 * 1024 * 1024 bytes)
# 查看容器实时资源使用
docker stats limited_app --no-stream 三、镜像层原理:OverlayFS联合文件系统
Docker镜像是分层的,每个RUN/COPY指令产生一层。多个容器可以共享同一个基础层,节省磁盘空间。
# 查看镜像层
docker image inspect nginx --format '{{json .RootFS.Layers}}' | python3 -m json.tool
# 输出每一层的SHA256
# 查看OverlayFS挂载点
docker inspect myapp --format '{{.GraphDriver.Data}}'
# UpperDir: 容器读写层(容器特有)
# LowerDir: 只读层(镜像层,多容器共享)
# MergedDir: 合并视图(容器看到的文件系统)
# WorkDir: OverlayFS工作目录四、Dockerfile最佳实践:让镜像又小又快
# 错误示范 (镜像体积大)
FROM node:18
COPY . .
RUN npm install
RUN npm run build
# 镜像大小: ~900MB
# 正确做法: 多阶段构建
FROM node:18-alpine AS builder
WORKDIR /app
COPY package*.json ./
RUN npm ci --only=production # 仅安装生产依赖
COPY . .
RUN npm run build
FROM nginx:alpine
COPY --from=builder /app/dist /usr/share/nginx/html
# 镜像大小: ~25MB 减少96%!
# 技巧: 把不常变的层放前面(利用缓存)
# COPY package.json -> RUN npm install -> COPY源代码
# 这样修改源代码不会重建npm install层五、容器网络模式详解
# bridge模式(默认): 容器通过docker0桥接
docker run --network bridge myapp
# host模式: 共享宿主机网络栈,性能最好
docker run --network host myapp
# 自定义网络(推荐): 容器间可以用服务名通信
docker network create mynet
docker run --network mynet --name db mysql:8
docker run --network mynet --name app myapp
# app容器内可以直接 ping db 或连接 mysql://db:3306总结:Docker = Namespace(隔离) + cgroups(限制) + OverlayFS(文件系统) + 网络虚拟化。理解这四个底层技术,你就能清楚容器能做什么、不能做什么,在生产环境出问题时也更容易定位。