Container 即容器，平时生活中指的是可以装下其它物品的工具， 以方便人类归纳放置物品 、存储和 异地运输 ，比如人类使用的衣柜 、行李箱、 背包等可以成为容器，Container 除了容器以外，另一个 意思是集装箱, 很多码头工人将很多装有不同物品但却整齐划一的箱子装载到停靠在岸边大船，然后方 便的运来运去。 为什么这些集装箱可以很方便的运来运去呢？因为它们大小一致标准化尺寸的箱子，并且可以安全的隔 离开,所以当我们使用 Container 来形容容器的时候，就是我们想要让容器达到一个可以打包，符合标 准的状态。 但今天我们所说的容器是一种 IT 技术。容器其实是一种沙盒技术。顾名思义，沙盒就是能够像一个集 装箱一样，把你的应用装起来。这样，应用与应用之间就有了边界而不会相互干扰;同时装在沙盒里面的 应用，也可以很方便的被搬来搬去，这也是 PaaS 想要的最理想的状态(可移植性,标准化,隔离性)。 容器是软件工业上的集装箱的技术，集装箱的标准化，减少了包装成本，大大提高货物运输和装卸效 率，是传统运输行业的重大变革。早期的软件项目中软件更新，发布低效，开发测试发布周期很长，很 难敏捷。有了容器技术，就可以利用其标准化的特点，大幅提高生产效率。 容器技术是虚拟化、云计算、大数据之后的一门新兴的并且是炙手可热的新技术， 容器技术提高了硬件 资源利用率、 方便了企业的业务快速横向扩容（可以达到秒级快速扩容）、 实现了业务宕机自愈功能 （配合K8S可以实现，但OpenStack无此功能），因此未来数年会是一个容器愈发流行

例如将centos 的镜像放在网站上面。拉取该镜像就可以使用了

各个容器内可能会出现重名的用户和用户组名称，或重复的用户UID或者GID，那么怎么隔离各个容器 内的用户空间呢？ User Namespace允许在各个宿主机的各个容器空间内创建相同的用户名以及相同的用户UID和GID， 只是会把用户的作用范围限制在每个容器内，即A容器和B容器可以有相同的用户名称和ID的账户，但是 此用户的有效范围仅是当前容器内，不能访问另外一个容器内的文件系统，即相互隔离、互不影响、永不相见。

blkio: 块设备IO限制 cpu: 使用调度程序为 cgroup 任务提供 cpu 的访问 cpuacct: 产生 cgroup 任务的 cpu 资源报告 cpuset: 如果是多核心的 cpu，这个子系统会为 cgroup 任务分配单独的 cpu 和内存 devices: 允许或拒绝 cgroup 任务对设备的访问 freezer: 暂停和恢复 cgroup 任务 memory: 设置每个 cgroup 的内存限制以及产生内存资源报告 net_cls: 标记每个网络包以供 cgroup 方便使用 ns: 命名空间子系统 perf_event: 增加了对每 group 的监测跟踪的能力，可以监测属于某个特定的 group 的所有线程 以及运行在特定CPU上的线程

有了以上的chroot、namespace、cgroups就具备了基础的容器运行环境，但是还需要有相应的容器创建与删除的管理工具、以及怎么样把容器运行起来、容器数据怎么处理、怎么进行启动与关闭等问题需要解决，于是容器管理技术出现了。目前主要是使用docker，早期使用 LXC

LXC: Linux Container。可以提供轻量级的虚拟化功能,以便隔离进程和资源,包括一系列容器的管理工 具软件,如，lxc-create,lxc-start,lxc-attach等,但这技术功能不完善,目前较少使用 官方网站: https://linuxcontainers.org/ 案例: Ubuntu安装 和使用 LXC

项目网点: https://github.com/alibaba/pouch Pouch （小袋子）起源于 2011 年，并于2017年11月19日上午，在中国开源年会现场，阿里巴巴正式 开源了基于 Apache 2.0 协议的容器技术 Pouch。Pouch 是一款轻量级的容器技术，拥有快速高效、可 移植性高、资源占用少等特性，主要帮助阿里更快的做到内部业务的交付，同时提高超大规模下数据中 心的物理资源利用率 目前的容器方案大多基于 Linux 内核提供的 cgroup 和 namespace 来实现隔离，然后这样轻量级方案 存在弊端: 容器间，容器与宿主间，共享同一个内核 内核实现的隔离资源，维度不足 面对如此的内核现状，阿里巴巴采取了三个方面的工作，来解决容器的安全问题: 用户态增强容器的隔离维度，比如网络带宽、磁盘使用量等 给内核提交 patch，修复容器的资源可见性问题，cgroup 方面的 bug 实现基于 Hypervisor 的容器，通过创建新内核来实现容器隔离

然目前 Docker 是管理 Linux 容器最好的工具，注意没有之一，但是podman的横空出现即将改变这 一点 什么是Podman？ Podman即Pod Manager tool，从名称上可以看出和kubernets的pod的密切联系，不过就其功能来 说，简而言之: alias docker = podman,是CentOS 8 新集成的功能，或许不久的未来会代替docker Podman是一个 为 Kubernetes 而生的开源的容器管理工具，原来是 CRI-O（即容器运行时接口CRI 和 开放容器计划OCI） 项目的一部分，后来被分离成一个单独的项目叫 libpod。其可在大多数Linux平台 上使用，它是一种无守护程序的容器引擎，用于在Linux系统上开发，管理和运行任何符合Open Container Initiative（OCI）标准的容器和容器镜像。 Podman 提供了一个与Docker兼容的命令行前端，Podman 里面87%的指令都和Docker CLI 相同，因 此可以简单地为Docker CLI别名，即“ alias docker = podman”，事实上，podman使用的一些库也是 docker的一部分。

Podman 和docker不同之处 docker 需要在系统上运行一个守护进程(docker daemon)，这会产生一定的开销，而podman 不 需要 启动容器的方式不同: docker cli 命令通过API跟 Docker Engine(引擎)交互告诉它我想创建一个container，然后 docker Engine才会调用 OCI container runtime(runc)来启动一个container。这代表 container的process(进程)不会是 Docker CLI的 child process(子进程)，而是 Docker Engine的 child process。 Podman是直接给 OCI containner runtime(runc)进行交互来创建container的，所以 container process直接是 podman的 child process。 因为docke有docker daemon，所以docker启动的容器支持 --restart策略，但是podman不支 持 docker需要使用root用户来创建容器。 这可能会产生安全风险，尤其是当用户知道docker run命 令的--privileged选项时。podman既可以由root用户运行，也可以由非特权用户运行 docker在Linux上作为守护进程运行扼杀了容器社区的创新。 如果要更改容器的工作方式，则需要 更改docker守护程序并将这些更改推送到上游。 没有守护进程，容器基础结构更加模块化，更容 易进行更改。 podman的无守护进程架构更加灵活和安全。

快速部署: 短时间内可以部署成百上千个应用，更快速交付到线上 高效虚拟化: 不需要额外hypervisor支持，基于linux内核实现应用虚拟化，相比虚拟机大幅提高性能和效率 节省开支: 提高服务器利用率，降低IT支出 简化配置: 将运行环境打包保存至容器，使用时直接启动即可 环境统一: 将开发，测试，生产的应用运行环境进行标准化和统一，减少环境不一样带来的各种问题 快速迁移和扩展: 可实现跨平台运行在物理机、虚拟机、公有云等环境，良好的兼容性可以方便将应用从A宿主机迁移到B宿主机，甚至是A平台迁移到B平台更好的实现面向服务的架构,推荐一个容器只运行一个应用,实现分布的应用模型,可以方便的进行横向扩展,符合开发中高内聚,低耦合的要求,减少不同服务之间的相互影响