Docker的三大Linux核心机制：Cgroup、Namespace与Union FS详解

1. 引言：Docker的"魔法"从何而来？

各位技术爱好者们，今天我们要揭开Docker这个"容器魔术师"的幕后秘密！你可能已经知道Docker比虚拟机轻量、启动快得像闪电，但你知道它到底是怎么做到的吗？答案就藏在Linux内核的三个核心机制中：Cgroup、Namespace和Union FS。这三个家伙就像Docker的"三剑客"，各司其职又紧密配合，让容器技术如此强大。

2. Cgroup：资源管理的"精算师"

2.1 什么是Cgroup？

Control Groups（控制组），简称Cgroup，是Linux内核提供的一种机制，用于限制、记录和隔离进程组的物理资源（如CPU、内存、磁盘I/O、网络等）。想象一下，Cgroup就像公司里的财务部门，严格控制每个项目的预算，防止某个项目挥霍无度导致其他项目饿肚子。

2.2 Cgroup的主要功能

1. 资源限制：可以配置内存上限，防止"内存吸血鬼"应用吃光所有资源

2. 优先级分配：给重要进程分配更多CPU时间

3. 资源统计：监控各组资源使用情况

4. 进程控制：冻结、恢复进程组

2.3 Cgroup在Docker中的应用

当你运行docker run -m 512m nginx时，Docker就是通过Cgroup来确保这个容器最多只能使用512MB内存。没有Cgroup，容器就会像脱缰的野马，可能把宿主机的资源全部耗尽。

# 查看Docker容器的Cgroup配置
$ cat /sys/fs/cgroup/memory/docker/<容器ID>/memory.limit_in_bytes
536870912  # 这就是512MB的内存限制

2.4 Cgroup的架构

Cgroup采用树形结构组织，就像公司的部门架构：

root Cgroup
├── system.slice
│   ├── docker.service
│   │   ├── <容器1>
│   │   └── <容器2>
├── user.slice
└── ...

3. Namespace：隔离的"隐身斗篷"

3.1 什么是Namespace？

如果说Cgroup管的是资源分配，那么Namespace管的就是"视野隔离"。它让每个容器都以为自己独占了系统资源，就像《哈利波特》中的隐身斗篷，让容器看不到其他容器的存在。

3.2 Linux支持的Namespace类型

Linux内核提供了多种Namespace，每种隔离不同的系统资源：

3.3 Namespace在Docker中的实际应用

当你运行一个容器时，Docker会为它创建一套独立的Namespace：

# 查看容器的Namespace
$ ls -l /proc/<容器进程PID>/ns
total 0
lrwxrwxrwx 1 root root 0 Jan 1 00:00 cgroup -> cgroup:[4026531835]
lrwxrwxrwx 1 root root 0 Jan 1 00:00 ipc -> ipc:[4026531839]
lrwxrwxrwx 1 root root 0 Jan 1 00:00 mnt -> mnt:[4026531840]
lrwxrwxrwx 1 root root 0 Jan 1 00:00 net -> net:[4026531992]
lrwxrwxrwx 1 root root 0 Jan 1 00:00 pid -> pid:[4026531836]
lrwxrwxrwx 1 root root 0 Jan 1 00:00 user -> user:[4026531837]
lrwxrwxrwx 1 root root 0 Jan 1 00:00 uts -> uts:[4026531838]

3.4 Namespace的隔离效果

• PID Namespace：容器内进程以为自己的PID=1（通常是init进程），实际上在宿主机上可能有更高的PID

• Network Namespace：每个容器有自己的网络接口、路由表、防火墙规则

• Mount Namespace：容器可以看到不同的文件系统挂载点

4. Union FS：分层的"千层蛋糕"

4.1 什么是Union文件系统？

Union文件系统（Union FS）是一种分层、轻量级的高性能文件系统，它支持对文件系统的修改作为一次提交来一层层叠加。想象一下千层蛋糕，每一层都可以添加不同的配料，但最终你吃到的是一整个完整的蛋糕。

4.2 Docker使用的存储驱动

Docker支持多种Union FS实现：

• AUFS：最早的支持，但未进入主流Linux内核

• OverlayFS：现在的主流选择，性能好

• Device Mapper：RHEL/CentOS的默认选择

• Btrfs/ZFS：提供高级功能但配置复杂

4.3 OverlayFS的工作原理

OverlayFS将文件系统分为四层：

1. lowerdir：只读的基础镜像层（可以多个）

2. upperdir：可写的容器层

3. merged：统一的挂载点

4. workdir：OverlayFS内部使用的临时目录

# 查看Docker容器的存储驱动信息
$ docker info | grep "Storage Driver"
Storage Driver: overlay2

4.4 写时复制（CoW）的魅力

Union FS采用写时复制（Copy-on-Write）技术：

• 读取文件：从最上层开始查找，找到即返回

• 修改文件：如果文件在只读层，先复制到可写层再修改

• 删除文件：在可写层创建"白障"文件标记删除

5. 三剑客的完美配合

现在让我们看看这三个机制是如何协同工作的：

1. Namespace提供隔离："你看不到我~"

2. Cgroup限制资源："你只能用这么多~"

3. Union FS管理文件："你的修改都在这一层~"

当运行docker run时：

1. Docker引擎调用containerd创建容器

2. 为容器创建各种Namespace

3. 设置Cgroup参数限制资源

4. 使用Union FS准备容器文件系统

5. 在隔离环境中启动进程

# 实际演示：查看容器进程的Namespace和Cgroup
$ docker run -d --name demo nginx
$ docker inspect demo --format '{{.State.Pid}}'
12345
​
# 查看Namespace
$ ls -l /proc/12345/ns
​
# 查看Cgroup
$ cat /proc/12345/cgroup

6. 总结：为什么这套组合拳如此强大？

Docker的轻量级、快速启动和高效资源利用都得益于这三个Linux内核机制：

1. 轻量：不需要虚拟化硬件，直接利用主机内核

2. 快速：秒级启动，无需启动完整操作系统

3. 高效：资源共享且受控，无额外虚拟化开销

4. 便携：分层文件系统使镜像易于分发

下次当你使用Docker时，记得感谢这三位幕后英雄：精打细算的Cgroup、提供隐身斗篷的Namespace和擅长做千层蛋糕的Union FS！

附录：

1. 实用命令小抄

# 查看Cgroup层次结构
$ systemd-cgls
​
# 查看Namespace信息
$ lsns -p <PID>
​
# 检查存储驱动
$ docker info | grep "Storage Driver"
​
# 查看容器资源限制
$ docker inspect <容器ID> | grep -i "memory\|cpu"

2. Cgroup详解

3. Namespace详解