Docker 架构与核心原理深度解析:容器到底是怎么实现的?

Ne0inhk

4 min read
Docker 架构与核心原理深度解析:容器到底是怎么实现的?

很多人把 Docker 理解为“轻量级虚拟机”。
这是一个非常不严谨的说法。

Docker 本身并不是容器技术的创造者,它只是把 Linux 内核已有的能力工程化、产品化。要理解 Docker,必须回到内核层面。

本文将从以下几个方面展开:

  1. 容器与虚拟机的本质区别
  2. Namespace 隔离机制
  3. Cgroups 资源控制
  4. UnionFS 分层文件系统
  5. Docker Engine 架构解析
  6. Docker 与 containerd 的关系

一、容器 vs 虚拟机:本质差异

虚拟机依赖 Hypervisor,在物理机上虚拟出完整硬件环境,每个虚拟机都运行一个完整的 Guest OS。

典型架构如下:

物理机 → Hypervisor → Guest OS → 应用

而容器架构则是:

物理机 → Host OS → 容器(共享内核)→ 应用

关键差异在于:容器共享宿主机内核。

这带来三点核心影响:

  1. 启动速度快(无需启动完整 OS)
  2. 资源开销小
  3. 隔离强度依赖内核机制

Docker 只是将 Linux 提供的隔离与资源控制能力封装成可操作的接口。

二、Namespace:进程隔离的核心机制

Namespace 是 Linux 内核提供的资源隔离机制。
每个容器运行在独立的 Namespace 中。

常见类型:

  • pid:进程隔离
  • net:网络栈隔离
  • mnt:文件系统挂载点隔离
  • uts:主机名隔离
  • ipc:进程通信隔离
  • user:用户映射隔离

举例说明:

当容器内执行 ps aux 时,你看到的只是当前 pid namespace 下的进程,而不是宿主机全部进程。

这意味着:

容器本质上是一组被隔离的进程,而不是一台“虚拟机器”。

这也是容器轻量化的根本原因。

三、Cgroups:资源控制的底层实现

隔离不等于限制。

Namespace 解决“看不见”,Cgroups 解决“用多少”。

Cgroups(Control Groups)用于限制:

  • CPU 使用率
  • 内存使用
  • IO 带宽
  • 进程数量
  • 网络带宽

当你执行:

docker run -m 512m --cpus=1 nginx

本质上是 Docker 在底层创建了对应的 cgroup 控制组,并将容器进程加入该组。

在 Kubernetes 体系中,容器资源限制依然依赖 Cgroups。

四、UnionFS:镜像分层的关键

Docker 镜像之所以体积小、可复用,是因为采用了分层文件系统。

常见实现包括:

  • aufs(早期)
  • overlay2(主流)

UnionFS 的核心思想:

多层只读层 + 一层可写层

每次 Dockerfile 中执行一条指令,就会生成一个新的镜像层。

例如:

FROM ubuntu
RUN apt update
RUN apt install nginx

会产生多个 layer。

容器运行时:

底层镜像只读
最上层添加一层可写层(copy-on-write)

这使得:

  1. 镜像可以复用
  2. 传输效率高
  3. 构建速度快

但也带来一个问题:

层数过多会导致镜像体积膨胀。

五、Docker Engine 架构解析

Docker 的整体架构可以拆分为三部分:

  1. CLI
  2. REST API
  3. daemon

工作流程如下:

docker run → CLI → REST API → dockerd → containerd → runc

核心组件包括:

  • dockerd:守护进程
  • containerd:容器运行管理
  • runc:真正创建容器的低级运行时

这里涉及一个重要组织:

Open Container Initiative

OCI 制定了容器运行时标准。

Docker 后期将底层运行时抽象为符合 OCI 标准的结构,使得 runc 成为标准实现。

六、Docker 与 containerd 的关系

早期 Docker 是一个大而全的系统。

后来架构拆分:

  • Docker 负责镜像管理、构建、CLI
  • containerd 负责容器生命周期管理
  • runc 负责真正调用内核接口

Kubernetes 在 1.24 版本之后移除了 dockershim,直接对接 containerd。

这说明:

Docker 更像一个“开发者工具平台”,
containerd 才是纯粹的容器运行时。

七、总结:Docker 本质是什么?

Docker 不是虚拟机技术。
它是:

Namespace + Cgroups + UnionFS + OCI 标准 的工程整合。

换句话说:

容器不是一个“迷你操作系统”,
它只是被精细隔离与控制的一组进程。

理解这一点,后面学习:

  • 容器网络
  • 容器存储
  • Kubernetes 调度
  • 资源限制

都会变得非常清晰。

Read more

MCP 工具速成:npx vs. uvx 全流程安装指南

MCP 工具速成:npx vs. uvx 全流程安装指南

在现代 AI 开发中,Model Context Protocol(MCP)允许通过外部进程扩展模型能力,而 npx(Node.js 生态)和 uvx(Python 生态)则是两种即装即用的客户端工具,帮助你快速下载并运行 MCP 服务器或工具包,无需全局安装。本文将从原理和对比入手,提供面向 Windows、macOS、Linux 的详细安装、验证及使用示例,确保你能在本地或 CI/CD 流程中无缝集成 MCP 服务器。 1. 工具简介 1.1 npx(Node.js/npm) npx 是 npm CLI(≥v5.2.0)

By Ne0inhk
解锁Dify与MySQL的深度融合:MCP魔法开启数据新旅程

解锁Dify与MySQL的深度融合:MCP魔法开启数据新旅程

文章目录 * 解锁Dify与MySQL的深度融合:MCP魔法开启数据新旅程 * 引言:技术融合的奇妙开篇 * 认识主角:Dify、MCP 与 MySQL * (一)Dify:大语言模型应用开发利器 * (二)MCP:连接的桥梁 * (三)MySQL:经典数据库 * 准备工作:搭建融合舞台 * (一)环境搭建 * (二)安装与配置 Dify * (三)安装与配置 MySQL * 关键步骤:Dify 与 MySQL 的牵手过程 * (一)安装必要插件 * (二)配置 MCP SSE * (三)创建 Dify 工作流 * (四)配置 Agent 策略 * (五)搭建MCP

By Ne0inhk
如何在Cursor中使用MCP服务

如何在Cursor中使用MCP服务

前言 随着AI编程助手的普及,越来越多开发者选择在Cursor等智能IDE中进行高效开发。Cursor不仅支持代码补全、智能搜索,还能通过MCP(Multi-Cloud Platform)服务,轻松调用如高德地图API、数据库等多种外部服务,实现数据采集、处理和自动化办公。 本文以“北京一日游自动化攻略”为例,详细讲解如何在 Cursor 中使用 MCP 服务,完成数据采集、数据库操作、文件生成和前端页面展示的全流程。 学习视频:cursor中使用MCP服务 一、什么是MCP服务? MCP(Multi-Cloud Platform)是Cursor内置的多云服务接口,支持调用地图、数据库、文件系统等多种API。通过MCP,开发者无需手动写HTTP请求或繁琐配置,只需在对话中描述需求,AI助手即可自动调用相关服务,极大提升开发效率。 二、环境准备 2.1 cursor Cursor重置机器码-解决Too many free trials. 2.

By Ne0inhk
MCP客户端与服务端初使用——让deepseek调用查询天气的mcp来查询天气

MCP客户端与服务端初使用——让deepseek调用查询天气的mcp来查询天气

本系列主要通过调用天气的mcp server查询天气这个例子来学习什么是mcp,以及怎么设计mcp。话不多说,我们开始吧。主要参考的是B站的老哥做的一个教程,我把链接放到这里,大家如果有什么不懂的也可以去看一下。 https://www.bilibili.com/video/BV1NLXCYTEbj?spm_id_from=333.788.videopod.episodes&vd_source=32148098d54c83926572ec0bab6a3b1d https://blog.ZEEKLOG.net/fufan_LLM/article/details/146377471 最终的效果:让deepseek-v3使用天气查询的工具来查询指定地方的天气情况 技术介绍 MCP,即Model Context Protocol(模型上下文协议),是由Claude的母公司Anthropic在2024年底推出的一项创新技术协议。在它刚问世时,并未引起太多关注,反响较为平淡。然而,随着今年智能体Agent领域的迅猛发展,MCP逐渐进入大众视野并受到广泛关注。今年2月,

By Ne0inhk