Docker 引擎

三层，

最下面的是一个一直运行的后台进程 dockerd

REST API提供了外界同dockerd交互的途径

最上面的docker CLI就是使用了RESTAPI

其他很多docker应用使用了CLI和RESTAPI

Docker架构属于CS模式，有daemon作为server，处理请求。客户端client可以在同一台机器上，也可以远程调用daemon的服务。

daemon负责管理镜像、容器、网络、挂载等资源，也可以同其他deamon交互，共同管理service

看第二张图上，又出来一个新的概念 Registry

这是存放镜像的地方。默认的公共镜像仓库就是https://hub.docker.com/

我们也可以搭建自己的镜像仓库，一般公司里都是这么干的

在执行docker pull 或者 docker run时，会从镜像仓库拉取镜像

执行docker push时，把自己打好的镜像，推送到仓库

一些概念：

IMAGES：镜像。只读的，构建容器的模板。一般我们构建镜像，都是基于一个更基础的镜像。在基础镜像之上，再加上自己的一些设置。就成了自己的镜像。这些是通过编写Dockerfile文件来做的。镜像是一层层叠加起来的。你在dockerfile里没写一个指令，就是在基础镜像上加一层。很像盖房子。当你修改了一些配置，重新构建镜像时，只有你修改的部分会重新构建，这是docker能做到轻量化的原因之一。

container ：容器。一个镜像的运行实例。除了可以进行创建、运行、停止、删除、移动等基础操作之外，还可以基于当前容器的状态打出一个镜像。每个容器的运行环境和其他容器都是隔离的。也可以手工配置网络、存储等的隔离级别。容器的network是会利用主机的网络的。

Services ：服务。对服务的消费者来看，一个Service就是一个单独的应用。但实际上，一个服务可以有多个容器节点支撑，通过负载均衡来抗很大的压力。通过服务编排，我们可以配置比如说要有多少个实例，这样一旦有容器节点宕机，服务编排会自动拉起新的容器，来达到我们设定的数量。

底层技术：

docker利用了很多linux的内核特性。

Namespaces：docker能做到容器间隔离，利用了namaspace技术。当拉起一个容器时，docker会为这个容器创建一组namespaces。通过namespace来保障容器的隔离性，有以下namespace：

pid namesapce：进程间隔离

net namespace：基于网络栈的隔离，每个容器有自己的网络

ipc namespace： 进程间通信

mnt namespace：基于文件挂载点的隔离

uts namespace：基于内核版本隔离

control groups，也称cgroups

cgroups技术是docker引擎用来限制容器可以使用的资源

本质上对CGroup的所有操作都是对系统挂载的CGroup目录进行修改，在/sys/fs/cgroup/<controller>目录下创建新的目录

Union file systems 联合文件系统

docker在构建镜像时，用到这个技术。前面说过，镜像是一层层叠加的，正是利用了ufs。

container format 容器的格式

docker引擎将上面这三种底层技术组合起来称为一个container format。默认的container format是libcontainer