老套路哈，第一章先科普一下三种常见的云服务类型，第二和第三章节写docker学习笔记。

一 、IAAS、PAAS、SAAS

IAAS (Infrastructure as a Service)：基础即服务，供应商仅提供给用户最基础设施的服务资源，也就是服务器资源，包括：计算资源、存储资源、网络资源。用户可以根据自身需求自由的租赁、释放这些资源，灵活的扩展和管理自己的应用程序。

PAAS（Plantform as a Service）：平台即服务，供应商在提供给用户基础设施的服务资源外，还会提供给用户一个开发环境和工具，如操作系统、中间件、运行环境等。用户可以在这个环境上构建、测试、部署和管理自己的应用程序。使用户可以专注于应用程序的开发而不必关心底层的基础设施。

SAAS（Software as a Service）：软件即服务，用户通过互联网访问云端的应用程序，无需在本地安装或维护。这种服务模式通常基于多租户架构，意味着许多用户共享同一份软件资源，并按照订阅模式支付费用。

docker就是属于PAAS的实现的一种。

二、docker介绍

Docker就是虚拟化的一种轻量级替代技术。Docker的容器技术不依赖任何语言、框架或系统，可以将App变成一种标准化的、可移植的、自管理的组件，并脱离服务器硬件在任何主流系统中开发、调试和运行。简单的说就是，在 Linux 系统上迅速创建一个容器（类似虚拟机）并在容器上部署和运行应用程序，并通过配置文件可以轻松实现应用程序的自动化安装、部署和升级，非常方便。因为使用了容器，所以可以很方便的把生产环境和开发环境分开，互不影响。

三、docker的核心技术

1、cgroups

Linux系统中经常有个需求就是希望能限制某个或者某些进程的分配资源。于是就出现了cgroups的概念，cgroup就是controller group （资源控制组），在这个group中，有分配好的特定比例的cpu时间，IO时间，可用内存大小等。 cgroups是将任意进程进行分组化管理的Linux内核功能。最初由google的工程师提出，后来被整合进Linux内核中。

cgroups中的 重要概念是“子系统”，也就是资源控制器，每种子系统就是一个资源的分配器，比如cpu子系统是控制cpu时间分配的。首先挂载子系统，然后才有control group的。比如先挂载memory子系统，然后在memory子系统中创建一个cgroup节点，在这个节点中，将需要控制的进程id写入，并且将控制的属性写入，这就完成了内存的资源限制。cgroups 被Linux内核支持，有得天独厚的性能优势，发展势头迅猛。在很多领域可以取代虚拟化技术分割资源。cgroup默认有诸多资源组，几乎可以限制所有服务器上的资源：如cpu mem iops,iobandwide,net,device acess等。

ps:内核隔离也称为内核空间隔离，是一种将系统进程隔离开来，防止非法访问的技术。在传统的操作系统中，所有进程都可以共享系统内核，这使得一个进程在崩溃或被攻击时，可能会影响到其他进程甚至整个系统的稳定运行。而内核隔离通过将不同的进程隔离开来，使得每个进程都有自己的内存空间和资源，从而提高了系统的安全性。

内核隔离的好处：提高安全性、增强稳定性、满足安全性标准

2、LXC

LXC是Linux containers的简称，是一种基于容器的操作系统层级的虚拟化技术。借助于namespace的隔离机制和cgroup限额功能，LXC提供了一套统一的API和工具来

建立和管理container。LXC跟其他操作系统层次的虚拟化技术相比，最大的优势在于LXC被整合进内核，不用单独为内核打补丁

LXC 旨在提供一个共享kernel的 OS 级虚拟化方法，在执行时不用重复加载Kernel, 且container的kernel与host共享，因此可以大大加快container的 启动过程，并显著

减少内存消耗，容器在提供隔离的同时，还通过共享这些资源节省开销，这意味着容器比真正的虚拟化的开销要小得多。 在实际测试中，基于LXC的虚拟化方法的IO和CPU

性能几乎接近 baremetal 的性能。 虽然容器所使用的这种类型的隔离总的来说非常强大，然而是不是像运行在hypervisor上的虚拟机那么强壮仍具有争议性。如果内核停止，那么所有的容器就会停止运行。（虚拟机：物理机停止虚拟机会挂起，当再次打开虚拟机时会返回到物理机关机前的状态。容器在物理机关机后，再次开启容器不会回到物理机关机之前的状态）

• 性能方面： LXC远远高于KVM

• 内存利用率： LXC远远高于KVM

• 隔离程度： KVM远远高于LXC

3、AUFS photoshop 图层，qcow2后端镜像

AuFS：是一个能透明覆盖一或多个现有文件系统的层状文件系统。 支持将不同目录挂载到同一个虚拟文件系统下，可以把不同的目录联合在一起，组成一个单一的目录。这种是一种虚拟的文件系统，文件系统不用格式化，直接挂载即可。

Docker一直在用AuFS作为容器的文件系统。当一个进程需要修改一个文件时，AuFS创建该文件的一个副本。AuFS可以把多层合并成文件系统的单层表示。这个过程称为“写实拷贝”（ copy on write ）。AuFS允许Docker把某些镜像作为容器的基础。例如，你可能有一个可以作为很多不同容器的基础的CentOS系统镜像。多亏AuFS，只要一个CentOS镜像的副本就够了，这样既节省了存储和内存，也保证更快速的容器部署。使用AuFS的另一个好处是Docker的版本容器镜像能力。每个新版本都是一个与之前版本的简单差异改动，有效地保持镜像文件最小化。但这也意味着你总是要有一个记录该容器从一个版本到另一个版本改动的审计跟踪。

四、其他技术

1、Docker Image 镜像

Docker Image是一个极度精简版的Linux程序运行环境，比如vi这种基本的工具没有，官网的Java镜像包括的东西更少，除非是镜像叠加方式的，如Centos+Java7

Docker Image是需要定制化Build的一个“安装包”，包括基础镜像+应用的二进制部署包

Docker Image 内不建议有运行期需要修改的配置文件

Dockerfile 用来创建一个自定义的image, 包含了用户指定的软件依赖等。当前目录下包Dockerfile,使用命令build来创建新的image

Docker Image的最佳实践之一是尽量重用和使用网上公开的基础镜像

2、Docker Container 容器

Docker Container是Image的实例，共享内核

Docker Container里可以运行不同Os的Image，比如Ubuntu的或者Centos

Docker Container不建议内部开启一个SSHD服务，1.3版本后新增了docker exec命令进入容器排查问题。

Docker Container没有对外的IP地址，通常不会有服务端口暴露，是一个封闭的“盒子/沙箱”

3、Docker Daemon 守护进程

Docker Daemon 是创建和运行Container的Linux守护进程，也是Docker最主要的核心组件

Docker Daemon 可以理解为Docker Container的Container

Docker Daemon 可以绑定本地端口并提供Rest API服务，用来远程访问和控制

4、Docker Registry/Hub 仓库

Docker之所以这么吸引人，除了它的新颖的技术外，围绕官方Registry（Docker Hub）的生态圈也是相当吸引人眼球的地方。在Docker Hub上你可以很轻松下载到大量已经容器化好的应用镜像，即拉即用。这些镜像中，有些是Docker官方维护的，更多的是众多开发者自发上传分享的。而且 你还可以在Docker Hub中绑定你的代码托管系统（目前支持Github和Bitbucket）配置自动生成镜像功能，这样Docker Hub会在你代码更新时自动生成对应的Docker镜像。