容器入门教程（九）

Docker底层技术：

docker底层的2个核心技术分别是Namespace和Cgroup.

Cgroup：

Cgroup 全称control group，用来限定一个进程的资源使用，主要起到限制作用，由Linux 内核支持，可以限制和隔离Linux进程组 (process groups) 所使用的物理资源 ，比如cpu，内存，磁盘和网络IO，是Linux container技术的物理基础。

Cgroup的具体作用如下：

限制资源的使用：Cgroup可以对进程组使用的资源总额进行限制；

优先级控制：通过分配CPU时间片数量及磁盘IO带宽大小，实际上就是相当于控制子进程运行的优先级。

资源统计：Cgroup可以统计系统资源使用量，比如CPU使用时间，内存使用量等。可用于按量计费。

进程控制：恢复执行进程；

使用Cgroup，我们可以更具体地控制对系统资源的分配、优先顺序、拒绝、管理和监控。可更好地根据任务和用户分配硬件资源，提高总体的效率，这样可以在docker容器中的服务受到外部干扰时，可以将其限制在容器之中，而不会影响宿主机或其他容器的运行，提高了安全性。

那么我们怎么才可以对系统资源进行限制呢？

那下面我就来尝试一下对容器cpu的限制

Namespace：

Namespace又被称作命名空间和资源隔离，顾名思义，是对资源进行隔离用的，原理是将一类资源进行抽象，并将其封装在一起供给一个容器使用，每个容器有自己的抽象，因此起到了隔离的作用。

其中主要对一下六种资源进行隔离，分别是：

UTS 隔离的内容是主机名和域名

IPC 隔离的内容主要是信号量、消息队列和共享内存

PID 隔离的内容主要是进程编号

Network 隔离的内容是网络设备、网络栈、接口等

Mount 隔离的内容主要是挂载点（文件系统）

User 隔离的内容主要是用户和用户组

当Docker创建一个容器时，它会创建新的以上六种NameSpace的实例，然后把容器中的所有进程放到这些NameSpace之中，使得容器这个父进程只对自己的子进程有感知，而对于宿主机其他进程一无所知，从而产生一种它就是一个独立的系统的“错觉”。