容器技术的前世今生

概述

什么是容器,在Docker官方网站中,特地地对这个名词进行了定义,容器是一个标准化的软件单元。

进一步的解释为容器是打包代码及其所有依赖项的软件的标准单元,它将软件和其运行环境隔离开来,

因此应用程序可以从一个计算环境快速可靠地运行到另一个计算环境。

1JV7wT.png

可以说Docker是当今最知名的容器平台之一,它于2013年开源,但是容器化和隔离的技术却有很长

的历史,了解这部分的历史将有助于我们对容器技术的理解

容器发展简史

  • 1979年,Unix7在开发过程中引入了Chroot Jail和Chroot系统调用,它允许用户将进程及其子进程与操作

系统的其余部分隔离开来。但是这种隔离未考虑安全机制,根进程可以轻松地退出chroot

那问题便来了,chroot jail是什么,jail为监狱的意思,似乎要把什么东西锁起来。在类UNIX的操作系统

上,默认的根目录均为“ / ”,而chroot的作用就是改变正在运行的进程及它的子进程的根目录。例如,将某

个程序的根目录从原先的默认的系统根目录更改为“ /home/ ”,则这个/home目录就变成了这个程序的逻辑

根目录,与此同时,这个被修改了根目录环境的程序就不能再进入这个逻辑根目录之外的路径了。所以这就

相当于限制某个程序能进入的目录树,称为监狱也是情有可原了

  • 2000年,FreeBSD Jail被引入到FreeBSD OS中,旨在为简单的Chroot文件隔离带来更多的安全性,此

外FreeBSD还实现了将进程及其活动隔离到文件系统的特定视图中(不懂,暂时略过)

  • 2001年,Linux VServer被推出,它使用了类似chroot的机制与“安全上下文”及操作系统虚拟化来提供虚

拟化解决方案,相比于chroot进步了许多,允许在单个Linux发行版(VPS)上运行多个Linux的发行版

VPS (Virtual Private Servers) :虚拟专用服务器

  • 2004年,Oracle推出了Solaris Containers,这是一个用于X86和SPARC处理器的Linux-VServer版本

Solaris Containers是由系统资源控制和“区域”提供的边界隔离组合而成

SPARC是一套RISC(精简指令集)架构

  • 2005年,OpenVZ推出,它和Linux-VServer一样,使用操作系统级虚拟化,但是这样有一定的限制,容器

共享相同的体系结构和内核版本,当客户需要不同于主机的内核版本时就有点力不从心了;而且

OpenVZ未将一些用于创建隔离的控制机制的补丁集成到内核中

  • 2007年,Google发布了CGroups,这是一种机制,它能限制和隔离一系列进程的资源使用(如:CPU、

内存、磁盘I/O和网络等),而且被集成到了Linux内核中

  • 2008年,LXC(Linux Containers)发布,该项目借鉴前人成熟的容器设计理念,并基于一系列新的

内核特性实现了更具扩展性的虚拟化容器方案,而且它被集成到了主流的Linux内核中,进而成为

Linux系统轻量级容器技术的标准

1JeeC4.png

  • 2013年,Cloud Foundry创建了Warden,它是一个只包含容器部分轻量级容器;同年,Docker诞生

  • 2014年,Google推出了LMCTFY(Let me contain that for you),这是谷歌容器栈的开源版本,它使用

CGroup、命名空间和其他Linux内核功能来实现在同一内核上的隔离环境中运行应用程序的;

同年,CoreOS推出RKT,这也是一款类似于Docker的容器引擎

1JZ2B6.png

总结

Jails、Zones(Solaris容器简称)、VPS、VM和容器都是为了实现隔离和资源控制的技术,但是每种技

术是通过不同的方式来实现,每种方式都有其局限性和优势。而Docker作为目前最广泛使用的容器技术,

已成为行业的标准,但它也是基于以往的这些技术不断改进的

参考文献

https://medium.com/faun/the-missing-introduction-to-containerization-de1fbb73efc5

Docker技术入门与实战-杨保华 戴王剑 曹亚伦