• 逻辑分割系统物理资源抽象为可调用的虚拟化资源（KVM：逻辑分割的模块）。

• hypervisor虚拟资源管理器通过QEMU（I/O控制模块）使用接口与接的方式调用物理资源。

• 然后hypervisor把调用的虚拟资源给到虚拟机。

4.1 QEMU

①QEMU是I/O控制模块，可以理解成队列， 核心目的是调用资源内核中的资源 ，需要把KVM逻辑分割出来的有资源运输给QEMU，再个虚拟机。

②QEMU它并不是直接调用，而是用I/O方式调用，QEMU把资源用来的过程借用ioctl（运输的作用），QEMU借助libvirt这个工具调用ioctl，再通过接口，给虚拟机程序

4.2 KVM

①用来逻辑分割物理资源，抽象化为虚拟化资源，根据KVM里的配置，会逻辑分割出多少个G，给应用程序，并进行虚拟化。

②只接受来自QEMU的请求指令，对于应用程序直接归来的指令会拦截，然后通过接口发给QEMU，让QEMU判断是否需要执行，可以的话，再发给KVM，不可的话，返回。不执行该敏感指令。

对于workstation而言——》硬件辅助虚拟化，表现形式在处理器里面有一个虚拟化引擎，可以勾取硬件辅助虚拟化，看到虚拟接口/dev/kvm，可以加强辅助调用，在应用程序需要频繁调用的时候，需要开启。比如openstack。

1**、全虚拟化（寄居架构）：**将物理硬件资源全部通过软件的方式抽象化，最后进行调用。

• KVM----》产品vmware

2、**半虚拟化（裸金属架构）：**裸金属虚拟化，需要修改操作系统

• ESXI—>workstation、vsphere、xen

3、直通：直接使用物理硬件资源（需要支持，还不完善）

二、Docker容器

虚拟化技术发展已经非常强大了，那为什么还需要容器化技术呢？

如今的虚拟机解决了基础设计计算，网络，存储着几个方面的弹性，可以非常方便的扩展出应用的资源，但是仍然存在两个问题。

• 应用扩展问题： 拿双十一举例，应用在平常只需要10台机器，但是在双十一那天可能至少需要准备100台机器，就需要在非常短时间内快速完成部署应用。
• 环境迁移： 应用开发过程包含了开发–》测试—》预发布—》线上等不同的环境，如何确保每套环境的一致性，这需要投入大量的人力成本，且经常出现因环境差异导致的问题。

在云计算的时代，通常通过自动化脚本的方式解决上面的问题，但是环境差异，导致脚本维护要投入额外的人力，也有团队使用虚拟化镜像，但是镜像大且启动慢，没法满足时效性的要求。

于是，我们来看是否存在一种更加轻巧的虚拟化技术，更容易迁移和扩展应用层业务。-----------》集装箱

正式借鉴了集装箱的解决方案，就有人提出了类似集装箱的方式应用以及他的运行环境，将应用和环境打包成一个轻量化，可移植，自包含的容器。

容器化技术的优势

更高效的系统资源利用率

• 相比虚拟化技术，不需要额外的hypervisor层，会有更高的心梗和效率，单台高配物理机可以跑上千个docker容器。

启动非常快，秒级时间

• 这是由于直接运行与宿主机内核，需要启动完成的操作系统，因为可以做到秒级，升值毫秒级的启动时间。

一致的运行环境

• 容器的镜像封装应用和应用依赖的环境，确保了应用环境的一致性，避免了开发环境、测试环境、生产环境不一致的问题。

持续交付和部署

• 一次创建和配置之后，可以在任意地方运行，测试人员可以将容器与持续集成系统结合，在pipeline中自动化的完成集成测试，同时运维人员可以通过持续部署系统对应用自动完成部署。

更易于迁移

• 不管你现在运行在哪里，都可以轻松迁移到物理机，虚拟机，公有云，私有云中，且不需要担心运行环境变化导致应用运行的问题。

局限性

• 容器隔离性问题，也可是安全性问题，主要是由于共用内核和Namespace（命名空间）实现隔离的限制。

• 容器里面不存放数据，容器中的数据会随容器消失而消失，特别是对有状态的应用需要做数据的持久化设置。
• 容器的粒度更细，管理复杂度更大，在生产环境管理大量的容器带来了更大的跳转，依赖于KS8、Swarm等容器编排。

2、什么是Docker？

• Docker是一个开源的应用容器引擎，基于go语言开发并遵循apache2.0协议开源。
• Docker是在linux容器里运行的开源工具，是一种轻量的虚拟机。
• Docker的容器技术可以在一台主机上轻松为任何应用创建一个轻量级的、可移植的、自给自足的容器。
• 目前Docker只能支持64位系统。

总结

容器：提供在多台主机上运行程序相同的运行环境.

docker容器可以看做运行在宿主机上的一个进程,容器共享宿主机的内核,容器间是通过namespace(命令空间)隔离资源,通过cgroups(资源配额)去限制资源。

3、Docker的设计宗旨

Docker 的Logo设计为蓝色鲸鱼，拖着许多集装箱，鲸鱼可以看作为宿主机，集装箱可以理解为相互隔离的容器，每个集装箱中都包含自己的应用程序。

• Docker的设计宗旨：Build、Ship and Run Any APP ，Anywhere

即通过对应用组件的封装，发布、部署、运行等生命周期的管理，达到应用组件级别的 一次封装，到处运行的 目的。这里的组件，既可以是一个应用，也可以是一套服务，甚至是一个完整的操作系统。

4、Docker的优点

• 灵活： 即使是复杂的应用也可以集装箱化
• 轻量级： 容器利用并共享主机内核
• 可互换： 可以及时部署更新和升级
• 便捷式： 可以在本机构建，部署到云，并在任何地方运行
• 可扩展： 可以增加并自动分发容器副本
• 可堆叠： 可以垂直和及时堆叠服务

docker 和vm，解决了虚拟机的什么问题？

• docker解决了vm的一个环境孤岛问题

• docker可以自定义传参，（创建–创建镜像/容器，启动（基于镜像启动）之前）

5、Docker容器和虚拟机的区别

5.1 隔离和共享

虚拟机通过Hypervisor层（虚拟化中间层），虚拟出网卡，内存，cpu等虚拟硬件，再在其上建立虚拟机，每个虚拟机都有自己的系统内核，

Dcoker容器则是通过隔离（namesapce）的方式，将文件系统、进程、设备、网络等资源进行隔离，再对权限，cpu资源等进行控制（cgroup），最终让容器之间互不影响，容器无法影响宿主机。

容器与宿主机共享内核、文件系统，硬件等资源。

• 与虚拟机相比，容器资源损耗要小
• 同样的宿主机下，能够建立容器的数量要比虚拟机多
• 但是，虚拟机的安全性要比容器稍好，要从虚拟机攻破到宿主机或其它虚拟机，需要先攻破Hypervisor层，这是极其困难的。
• 而Docker容器与宿主机共享概念股内核，文件系统等资源，更有可能对其它容器、宿主机产生影响。

6、 namespace的隔离（命名空间）

docker本质就是宿主机的一个进程，docker是通过namespace实现资源隔离，通过cgroup实现资源限制，通过写时复制技术copy-on-write实现了高效的文件操作。（类似于虚拟机的磁盘，比如分配了500G并不是实际占用物理磁盘500G）

7、控制组（Control groups）

六种名称空间是由cgroup管理的

最后一种centos的cgroup管理版本是3.8版本，3.6和3.5用不了

• cgroup管理linux内核态中资源管理的模块
• cgroup管理一些系统资源
• 不是docker原生的。

8、 Docker的三个核心概念

8.1 镜像

• Docker的镜像是创建容器基础， 类似虚拟机的快照，可以理解为一个面向Docker容器的引擎的只读模板。
• 通过镜像启动一个容器，一个镜像是一个可执行的包，其中包括运行程序所需要的所有内容，包含代码、运行时间、库、环境变量和配置文件
• Docker镜像也是一个压缩包，只是这个压缩包不只是可执行文件，环境部署脚本，它还包含了完整的操作系统。因为大部分的镜像都是基于某个操作系统来构建的，所有很轻松的就可以构建本地和远程一样的环境，这也是docker镜像的精髓。

8.2 容器

• **Docker的容器创建的运行实例，**它可以被启动、停止、和删除，所创建的每一个容器都是相互隔离，互不可见的，以保证平台的安全性。
• 可以把容器看做一个简易版linux环境（包括root用户权限，镜像空间、用户空间和网络空间）和运行在其它的应用程序。

8.3 仓库（Docker Hapu）

公共仓库：docker hub

私有仓库：harhor

• Docker仓库是用来集中保存镜像的地方，当创建了自己的镜像之后，可以使用push命令将它上传到公有仓库或私有仓库，当下次要在另外一台机器上使用这个镜像时，只需要从仓库获取。
• Docker的镜像、容器、日志等全部内容都默认存储在/var/lib/docker目录下。

9、 Docker Engine（引擎）

Dcoker Engine 是具有以下主要组件“客户端-服务端（C/S架构）”的应用程序

• server端： 服务器时一种长期运行的程序，称为守护进程（dockerd命令）
• client端： REST API，它指定程序可以用来与守护程序进行通信并指示其操作的接口。
• 命令行界面（cli）客户端（docker命令）

执行命令的是客户端、执行操作的服务端

10、 Docker运行流程

• 客户端发起各种命令到服务端的守护进程。
• 服务端的守护进程会调用镜像，如果本地存在，直接使用，运行为容器，如果本地没有，从仓库拉取镜像到本机再运行为容器。

11、使用docker有什么意义

• docker 引擎 统一基础设施环境-docker容器环境（引擎）

• docker 引擎统一了程序打包（装箱）方式-docker镜像

• docker 引擎统一了程序部署（运行）方式-docker容器

镜像------》封装的某一个时刻的服务/应用状态

容器-----》应用跑起来的状态（正常提供服务的状态----运行时）

12、Docker的使用场景

①打包应用程序部署简单

②可脱离底层硬件任意迁移（实现了应用的隔离，将应用拆分并进行解耦）

• 例如：需要把服务器从腾讯云迁移到阿里云，如果采用的是docker容器技术，整个迁移的过程只需要在新的服务器上启动我们需要的容器上就可以了。

③适合做微服务的部署

④适合持续集成和持续交付（CI/CD）：开发到测试到发布

三、其它容器Podman

Podman与Docker主要区别

• docker在运行容器的时候，需要一个守护进程。其次需要root运行
• podman不需要守护进程。也不需要root用户运行，
• docker需要多个daemon才能调用OCI实现运行，
• podman直接调用OCI，通过common做为容器的管理工具。
• 在podman体系中，有个称之为common的守护进程，其运行路径通常是/usr/libexec/podman/conmon，它是各个容器进程的父进程，每个容器各有一个，common的父则通常是1号进程。podman中的common其实相当于docker体系中的containerd-shim。