[TOC] ## chroot chroot，即change root directory(更改root目錄)。在Linux系統中，系統默認的目錄結構都是以"/"，使用 chroot命令可以將指定的位置作為"/"位置。 ### 為什么使用chroo命令 * **增加系統的安全性，限制了用戶的權限：** 經過chroot之后，在新根下將訪問不到舊系統的根目錄結構和文件。 * **建立一個與原系統隔離的系統目錄結構，方便用戶的開發：** 使用chroot后，系統讀取的是新根下的目錄和文件，這是一個與原系統根下文件不相關的目錄結構。在這個新的環境中，可以用來測試軟件的靜態編譯以及一些與系統不相關的獨立開發。 * **切換系統的根目錄位置，引導 Linux 系統啟動以及急救系統等** chroot 的作用就是切換系統的根位置，而這個作用最為明顯的是在系統初始引導磁盤的處理過程中使用，從初始 RAM 磁盤 (initrd) 切換系統的根位置并執行真正的 init。 Docker 是利用 Linux 的 **Namespace** 、**Cgroups** 和**聯合文件系統**三大機制來保證實現的。 使用**Namespace**做主機名、網絡、PID等資源的隔離；使用**Cgroups**對進程或者進程組做資源限制；**聯合文件系統**用于鏡像的構建和容器運行環境。 ## Namespace Namespace是Linux內核的一項功能，該功能對內核資源進行隔離，使得容器中的進程都可以在單獨的命名空間中運行，并且只可以訪問當前容器命名空間的資源。Namespace可以隔離進程ID、主機名、用戶ID、文件名、網絡訪問和進程間通信等相關資源。 Docker主要用到以下命名空間。 **pid namespace**： 用于隔離進程ID。 **net namespace**：隔離網絡接口，在虛擬的net namespace內用戶可以擁有自己獨立的IP、路由、端口等。 **mnt namespace**：文件系統掛載點隔離。 **ipc namespace**：信號量，消息隊列和共享內存的隔離。 **uts namespace**：主機名和域名的隔離。 ## Cgroups Cgroups是一種內核功能，可以限制和隔離進程的資源使用情況（CPU、內存、磁盤I/O、網絡等）。在容器中實現中，Cgroups通常用來限制容器的CPU和內存等資源的使用。 ## 聯合文件系統 聯合文件系統，又叫UnionFS，是一種通過創建文件層進程操作的文件系統。因此，聯合文件系統非常輕快。Docker使用聯合文件系統為容器提供構建層，使得容器可以實現寫時復制以及鏡像的分層構建和存儲。常用的聯合文件系統有AUFS、Overlay和Devicemapper等。 ***** **Docker鏡像是由文件系統疊加而成。** 最底端是引導`文件系統`，即bootfs。當一個容器啟動后，會被移到內存中，引導文件系統會被卸載(umount)，以留出更多的內存供initrd磁盤鏡像使用。 第二層是root文件系統，即rootfs，位于引導文件系統之上。rootfs可以使一種或多種操作系統。 在Docker里，root文件系統永遠只能是只讀狀態，并且Docker利用聯合加載(union mount) 技術又會在root文件系統層上加載更多的只讀文件系統。 一個鏡像可以放到另一個鏡像的頂部。位于下面的鏡像成為**父鏡像**，依次類推。最底部的鏡像成為**基礎鏡像**。當從一個鏡像啟動容器時，Docker會在該鏡像的頂部加載一個讀寫文件系統，在Docker中運行的程序就是在這個讀寫層中執行的。