docker和LXC简介

1、什么是LXC

LXC（LinuX Container）简称Linux的容器，是世界上第一个容器应用。它将容器技术做的更加易用了，把用到的容器功能做成一种工具，简化了用户使用容器的麻烦。

但由于使用LXC还需重新学会LXC的命令工具，复杂程度依旧不小，隔离性也没有虚拟机那么强大。

2、什么是docker

所以后来便出现了docker。docker不是容器，它属于容器的管理工具。
docker是一个开源的应用容器引擎，让开发者可以打包他们的应用以及依赖包到一个可移植的容器中,然后发布到任何流行的[Linux]或Windows操作系统的机器上,也可以实现虚拟化,容器是完全使用沙箱机制,相互之间不会有任何接口。
一个完整的Docker有以下几个部分组成：

1. DockerClient客户端
2. Docker Daemon守护进程
3. Docker Image镜像
4. DockerContainer容器

docker工作方式

为了使容器的使用更加易于管理，docker采取一个用户空间只跑一个业务进程的方式，在一个容器内只运行一个进程，比如我们要在一台主机上安装一个nginx和一个tomcat，那么nginx就运行在nginx的容器中，tomcat运行在tomcat的容器中，二者用容器间的通信逻辑来进行通信。

LXC是把一个容器当一个用户空间使用，当虚拟机一样使用，里面可以运行N个进程，这就使得我们在容器内去管理时极为不便，而docker用这种限制性的方式，在一个容器中只运行一个进程的方式，使得容器的管理更加方便。

Docker产生的背景

一款产品从开发到上线，从操作系统，到运行环境，再到应用配置。作为开发+运维之间的协作我们需要关心很多东西，这也是很多互联网公司不得不面对的问题，特别是各种版本的迭代之后，不同版本环境的兼容，对运维人员是考验。
Docker之所以发展如此迅速，也是因为他对此给出了一个标准化的解决方案。
环境配置如此麻烦，换一台机器，就要重来一次，费力费时。很多人想到，能不能从根本上解决问题，软件可以带安装环境？也就是说，安装的时候，把原始环境一模一样的复制过来。让开发人员利用Docker可以消除协作编码是“在我的机器上可正常工作”的问题。
之前在服务器配置一个应用的运行环境，要安装各种软件，JAVA//TOMCAT/MYSQL等。安装和配置这些东西有多麻烦就不说了，它还不能跨平台。假如我们是在windonws上安装的这些环境，到了Linux又要重新安装。况且就算不夸操作系统，换另一台同样操作系统的服务器，要移植应用也是非常麻烦的。
传统上认为，软件棉麻开发、测试结束后所产出的成果即使是程序或者是能够编译执行的二进制字节码等（java为例）。而为了让这些程序可以顺利执行，开发团队也得准备完整的部署文件，让运维团队得以部署应用程序，开发需要清楚的告诉运维部署团队，用的全部配置文件+所有软件环境。不过，即便如此，仍然常常发行部署失败的状况。Docker镜像的设计，使得Docker得以打破过去[程序即应用]的观念。透过镜像（images）将作业系统核心除外，运作应用程序所需要的系统环境，有下而上打包，达到应用程序式跨平台之间的无缝接轨运作。

使用docker的优劣：

• 删除一个容器不会影响其他容器
• 调试不便，占空间(每个容器中都必须自带调试工具，比如ps命令)
• 分发容易，真正意义上一次编写到处运行，比java的跨平台更彻底
• 部署容易，无论底层系统是什么，只要有docker，直接run就可以了
• 分层构建，联合挂载

CGroups
控制组(CGroups)是Linux内核的一个特性，用来对共享资源进行隔离、限制、审计等。只有能控制分配到容器的资源，Docker才能避免多个容器同时运行时的系统资源竞争。

控制组可以提供对容器的内存、CPU、磁盘IO等资源进行限制。

CGroups能够限制的资源有：

blkio：块设备IO

• cpu：CPU

• cpuacct：CPU资源使用报告

• cpuset：多处理器平台上的CPU集合

• devices：设备访问

• freezer：挂起或恢复任务

• memory：内存用量及报告

• perf_event：对cgroup中的任务进行统一性能测试

• net_cls：cgroup中的任务创建的数据报文的类别标识符
  具体来看，控制组提供如下功能：

• 资源限制（Resource Limitting）组可以设置为不超过设定的内存限制。比如：内存子系统可以为进行组设定一个内存使用上限，一旦进程组使用的内存达到限额再申请内存，就会发出Out of Memory警告

• 优先级（Prioritization）通过优先级让一些组优先得到更多的CPU等资源

• 资源审计（Accounting）用来统计系统实际上把多少资源用到合适的目的上，可以使用cpuacct子系统记录某个进程组使用的CPU时间

• 隔离（Isolation）为组隔离命名空间，这样一个组不会看到另一个组的进程、网络连接和文件系统

• 控制（Control）挂起、恢复和重启等操作