李榮

“容器”無疑是近年IT業(yè)界的buzzword，不過，在不同語境下，它對不同的人有不同的含義。在本文中，將從Linux容器、容器鏡像和寫時復(fù)制等方面來闡釋容器的具體含義。

Linux容器

傳統(tǒng)意義上的Linux容器實(shí)際上只是Linux系統(tǒng)上的普通進(jìn)程。這些進(jìn)程組使用資源約束（cgroups）、Linux安全約束（Unix權(quán)限、功能、SELinux、AppArmor和seccomp等）和命名空間（PID、網(wǎng)絡(luò)和掛載等）與其他進(jìn)程組隔離開來。

如果啟動一個Linux系統(tǒng)并且查看使用cat /proc/PID/ cgroup的任意進(jìn)程，將看到在cgroup中的某一進(jìn)程。如果查看/proc/PID/status，則會看到其功能。如果查看/ proc / self / attr / current，將會獲取SELinux標(biāo)簽們。如果查看/proc/PID/ns，會在其中看到一系列命名空間的進(jìn)程。

所以，如果將容器定義為具有資源限制、Linux安全約束以及命名空間的進(jìn)程，那么根據(jù)這一定義，Linux系統(tǒng)上的每個進(jìn)程都運(yùn)行在容器中。這就是為什么有人說“Linux即容器，容器即Linux”。而容器運(yùn)行時則是修改這些資源限制、安全約束以及命名空間，并且可以啟動容器的程序。

容器鏡像

Docker引入了容器鏡像的概念，這是一個標(biāo)準(zhǔn)的TAR文件，它包含了：

容器根文件系統(tǒng)（rootfs）：在操作系統(tǒng)上帶有根目錄（/）標(biāo)識的目錄，例如：/usr，/var，/home等。

JSON文件（容器配置）：JSON文件會規(guī)定如何運(yùn)行rootfs，例如：當(dāng)容器啟動時應(yīng)該在rootfs中運(yùn)行什么指令或entrypoint，應(yīng)該為容器設(shè)置什么樣的環(huán)境變量，容器的工作目錄是什么等。

Docker基礎(chǔ)鏡像由根文件系統(tǒng)和JSON文件組成，可以通過在基礎(chǔ)鏡像的根文件系統(tǒng)中安裝所需的內(nèi)容，以更新JSON文件，并且新建一個鏡像層，通過這種方式可以制作一個新的鏡像。

容器鏡像的定義最終由Open Container Initiative（OCI）標(biāo)準(zhǔn)化為OCI鏡像規(guī)范。

用于構(gòu)建容器鏡像的工具被稱為容器鏡像構(gòu)建器（如Dockerfile），有時容器引擎也能夠完成構(gòu)建容器鏡像的工作，當(dāng)然也可以使用一些可以構(gòu)建容器鏡像的獨(dú)立工具。

Docker獲取了這些容器鏡像（tarballs）然后將他們上傳到一個Web服務(wù)中，可以從中拉取他們。然后Docker會開發(fā)一個協(xié)議以便順利拉取這些鏡像，而這一Web服務(wù)便被稱為容器鏡像倉庫。

容器引擎可以從容器鏡像倉庫中拉取鏡像，然后將其重組到容器存儲上。此外，容器引擎也能啟動容器運(yùn)行。

Copy On Write

容器存儲通常是一個寫時復(fù)制（COW）分層文件系統(tǒng)。當(dāng)從鏡像倉庫中拉取一個鏡像時，首先，要從鏡像中提取rootfs并且將其放到磁盤上。如果鏡像由多層組成，那么在COW文件系統(tǒng)中需要將下載的每一層鏡像文件儲存在不同的層中。COW文件系統(tǒng)允許每一層分開存儲，這將分層鏡像的共享最大化。容器引擎通常支持不同類型的容器存儲，如overlay，devicemapper，btrfs，aufs，zfs等。

容器運(yùn)行時

容器引擎將容器鏡像下載到容器存儲中后，它需要創(chuàng)建一個容器運(yùn)行的配置文件。這一配置文件結(jié)合了調(diào)用程序/用戶的輸入以及容器鏡像規(guī)范的內(nèi)容。舉個例子，調(diào)用程序可能想對正在運(yùn)行的容器進(jìn)行指定的安全性修改、添加環(huán)境變量或者將volumes掛載到容器上，這都是調(diào)用程序輸入的內(nèi)容。

容器運(yùn)行時配置和分解的rootfs同樣也被OCI標(biāo)準(zhǔn)化為OCI運(yùn)行時規(guī)范。

最后，容器引擎啟動讀取運(yùn)行時規(guī)范的容器運(yùn)行時，修改Linux cgroup、Linux安全約束以及命名空間，并且啟動容器命令以創(chuàng)建PID1（Process ID1）。此時，容器引擎可以將stdin / stdout傳回調(diào)用程序并控制容器（如，停止、啟動和附加等）。

請注意，許多新的容器運(yùn)行時在讓Linux的不同部分來隔離容器。人們先可以使用KVM分離（如迷你虛擬機(jī)）運(yùn)行容器，或者可以使用其他hypervisor策略（例如，攔截容器進(jìn)程中的所有系統(tǒng)調(diào)用）。既然我們已經(jīng)擁有一個標(biāo)準(zhǔn)的運(yùn)行時規(guī)范，那么就能夠通過相同的容器引擎啟動這些工具。甚至Windows也可以使用OCI運(yùn)行時規(guī)范來啟動Windows容器。

容器編排引擎

容器編排引擎，相比其他容器工具而言，則處于更高的級別。容器編排是用于協(xié)調(diào)多個不同節(jié)點(diǎn)上的容器執(zhí)行工具。容器編排引擎可以通過與容器引擎通信以管理容器，如啟動容器并且將其網(wǎng)絡(luò)連接在一起。它還能夠監(jiān)控容器以及在負(fù)載增加時啟動其他容器。

Kubernetes是目前使用最為廣泛的容器編排引擎，被大量的中小型企業(yè)用戶用于開發(fā)或生產(chǎn)環(huán)境，并且已經(jīng)成為業(yè)界公認(rèn)的容器編排管理的標(biāo)準(zhǔn)框架。但是原生的Kubernetes因其學(xué)習(xí)曲線陡峭對于大多數(shù)開發(fā)人員而言很難直接上手使用。Rancher作為一個開源的企業(yè)級Kubernetes容器管理平臺，其簡潔直觀的界面風(fēng)格和操作體驗(yàn)可以極大程度地解決這一問題。并且Rancher實(shí)現(xiàn)了Kubernetes集群在混合云+本地?cái)?shù)據(jù)中心的集中部署與管理，能統(tǒng)一納管位于不同基礎(chǔ)架構(gòu)上的Kubernetes集群。此外，Rancher也將用戶的安全問題放在首位。Kubernetes于8月6日發(fā)布新的補(bǔ)丁版本之后，Rancher反應(yīng)迅速，在1天之后發(fā)布了全新版本Rancher 2.2.7，修復(fù)了CVE并支持Kubernetes新版本。