docker

Docker 底层原理基于容器技术，依赖于 Linux 操作系统的几项核心功能，如 Namespaces、Cgroups 和 UnionFS 等机制，来实现进程隔离、资源控制和高效的文件系统管理。

1. Namespace (命名空间)

Namespace 是 Docker 实现资源隔离的基础技术。Linux 内核通过命名空间将容器内的资源与主机隔离。每个容器都有自己的独立命名空间，从而达到进程、网络、文件系统等资源的隔离。

   PID Namespace：隔离进程 ID，使得容器中的进程看不到其他容器或主机上的进程。
   Network Namespace：每个容器拥有自己独立的网络接口、路由表、IP 地址。
   Mount Namespace：提供文件系统的隔离，每个容器有自己独立的文件系统视图。
   UTS Namespace：允许容器内的进程独立修改主机名和域名。
   IPC Namespace：隔离进程间的通信，确保容器间的消息队列、信号量等是独立的。
   User Namespace：使容器内的用户和主机上的用户权限可以不同步，提供安全性。

2. Cgroups (控制组)

Cgroups 用于控制容器的资源使用，主要包括 CPU、内存、网络带宽、IO 等。Docker 使用 Cgroups 来限制、统计和隔离每个容器的资源使用。

   资源限制：通过 Cgroups，Docker 可以为每个容器设定 CPU、内存等资源上限，防止某个容器过度消耗资源。
   资源监控：Cgroups 能实时监控容器的资源使用，帮助优化性能和进行故障诊断。

3. UnionFS (联合文件系统)

UnionFS 是一种分层的文件系统技术，Docker 利用它来高效地构建和管理镜像。Docker 镜像由多个只读层组成，不同的镜像层共享基础层，这减少了存储空间的占用。

   写时复制（Copy-on-Write）：容器的可写层在启动时叠加到只读镜像层上，只有当容器需要修改数据时，才会对数据进行写时复制。
   镜像分层：Docker 镜像是分层的，基础镜像可以被多个容器共享，从而提高了镜像的构建和分发效率。

4. 容器网络

Docker 提供了多种网络模式，通过虚拟网络技术为容器提供灵活的网络配置。

   桥接网络（Bridge Network）：Docker 默认使用桥接网络，将容器连接到虚拟桥接设备上，容器之间可以通过 IP 直接通信。
   Host 网络：容器与主机共享同一个网络堆栈，使用主机的 IP 地址和端口。
   Overlay 网络：用于跨多个主机的容器通信，特别适用于 Docker Swarm 或 Kubernetes 环境。

总结来说，Docker 依赖于 Linux 内核的多种特性，如 Namespace 提供隔离，Cgroups 管理资源，UnionFS 实现高效存储管理，同时通过 Daemon 和 REST API 进行容器生命周期管理和自动化操作。Docker 的设计思想基于轻量级虚拟化，使得容器成为开发和部署现代应用的核心技术之一。