windocker容器位置 windows容器技术

容器（Container）技术

文章目录

• 容器（Container）技术

• 一、Windows Container VS Docker（“Docker image不同”）

• 1. Window Server Contianer 和 Hyper-V Container
• 2、Windows Container 只能运行 Windows应用程序
• 3. 容器编排平台（Swarm）支持混合部署Windows和Linux服务器节点
• 4、Windows Container的授权方式将跟随所运行的操作系统而定

• 二、Docker底层技术

• 1、内核

• 1）概念 （“一组软件”）
• 2）分类（“单内核/微内核”）
• 3）CPU权限：用户/内核态
• 4）CISC / RISC（“程序和指令 - 80% vs 20%”）

• 2、Linux中Docker的底层技术

一、Windows Container VS Docker（“Docker image不同”）

Windows在安装Docker Desktop时，会有这个选项

那么Windows Container 和Linux Container有什么区别？在安装时建不建议勾选呢？在使用docker拉取image时，都可以生成可执行的Windows Container 或 Linux Container吗？

1. Window Server Contianer 和 Hyper-V Container

Windows Container提供2种运行时：Window Server Contianer 或者 Hyper-V Container

Windows 提供2种类型的容器运行时模型。其中，Windows Server Container 与大家所熟悉的Linux Contianer容器模型一致，容器与底层操作系统共享内核，所以它们会很轻量而且运行迅速。当你在容器中启动一个进程的时候，这个进程实际上运行在宿主机上，你可以使用任务管理器或者Powershell 命令 Get-Process 获取到这个进程的信息。

Hyper-V Contianer则是一种全新的容器运行时模型，它将在宿主机上启动一个很小的虚拟机(Windows默认安装Docker Desktop时会使用Windows系统自带的Hypervisor，即Hyper-V），所以容器将具备自己独立的操作系统内核。当你在Hyper-V Container中启动进程的时候，宿主机对这个进程是无感知的。Hyper-V Container提供了更好的隔离性，而且这个虚拟机被裁减得非常小，所以性能仍然会不错。在Windows Server 2016上，你可以在2种不同的运行时之间选择；而Windows 10上虽然也提供了容器服务，但是只能运行Hyper-V Contianer。

无论是哪种运行时，你都可以使用标准的Docker命令行进行操作，同时容器镜像的格式也和Linux容器镜像保持一致。这意味着Windows Container 可以通过 docker hub 分发，你之前在Linux容器上的经验积累也可以被继承到Windows容器上。

2、Windows Container 只能运行 Windows应用程序

很多朋友都问过这个问题：我是不是可以在Windows容器服务中运行Linux应用，或者反过来。Docker很厉害，但还木有辣么厉害。你无法在Windows上直接运行Linux进程，同样你也无法在Windows Container中运行Linux进程。这个情况对于以上提到的2中运行时都适用，无论哪种运行时模型，底层操作系统都是Windows，所以你无法运行Linux进程。

这同样意味着，当前Docker Hub上面的大量镜像无法在Windows Container 中使用。微软已经开始在Docker Hub上提供Windows容器镜像，你可以使用同样的docker pull命令或者去这些镜像。比如：microsoft/windowservercore 镜像是一个完整的服务器镜像（大概3G大小），在这个镜像中你可以使用标准的msi安装包，通过Dockerfile来构建你自己镜像，可以安装和运行完整的.net framework和其他的Windows应用程序。microsoft/nanoserver 镜像则是一个精简版的操作系统镜像（大概300M），不提供msi支持，只能运行.net core应用，同时需要使用powershell进行管理。

虽然微软在过去的几年中变得越来越开放，但是Windows和Linux仍然是2个完全不同的操作系统，我们看到了bash for windows，也看到 powershell on linux，但其中的界限仍然存在。具微软在Ignite大会上提供的信息，未来也许可以通过Hyper-V Container提供在Windows上运行Linux Container的支持(2020年已经可以了）。

3. 容器编排平台（Swarm）支持混合部署Windows和Linux服务器节点

Swarm是Docker提供的容器编排平台，从1.12版本开始，任何的服务器节点都可以加入Swarm集群，这同样适用于Windows服务器。因此，你可以在一个Swarm集群中混合部署Windows和Linux节点，虽然不同的操作系统节点上只能运行对应的容器，但是它们都可以通过swarm network进行通讯，构建一个完整的应用。

对于微服务拆分来说，可以构建跨平台的分布式应用非常具有吸引力。如果你的应用现在是一个传统的asp.net单体应用，你可以先采用microsoft/windowservercore镜像对整个单体应用进行容器化部署，然后逐步的将其中的某些组件进行拆分，使用microsoft/nanoserver上的.net core来运行这些微服务组件，你甚至可以引入nginx作为你的反向代理服务器，并将其运行在linux服务器节点上。

混合的Docker Swarm集群为你提供了更佳的微服务拆分路径，并在拆分过程中提供了更灵活的跨平台选择，这对于任何的团队都非常具有吸引力。

4、Windows Container的授权方式将跟随所运行的操作系统而定

如果你到Docker Hub上查看微软的windows server core和nano server容器镜像，你会注意到说明中都带有授权说明（EULA）。按照其中的说明，容器将随所运行的操作系统授权，也就是说根据你使用服务器版本而定，如：DataCenter或者Standard版本。

上图是我在微软官方的Windows Server 2016授权白皮书上找到的，根据这个说明，你可以在DataCenter上运行无限个Hyper-V Container，而在Standard版本上运行2个；而对于原生的Windows Server Container 则都是无限。

虽然在Docker Hub上的大多数镜像都是开源软件，但是开源并不意味着免费。同时Docker也已经开始通过 Docker Store 提供商业化的容器镜像分发服务，这些镜像则都是收费的。

二、Docker底层技术

1、内核

我理解的“内核”是指被操作对象的核心功能，是对底层硬件的抽象，向外提供的软件接口：

• 操作系统内核是指为上层软件提供对计算机硬件安全访问的一部分软件，主要负责操作系统中硬件操作的核心功能：进程管理，内存管理，文件管理，设备管理，网络管理等（说到底，操作系统就是为进程服务的，内核就是为可运行的程序提供硬件层面的抽象，提供（最）基本的操作）。
• 浏览器内核是指渲染引擎，负责对网页语法的解释并渲染（显示）网页。主要包括Google引擎，Firefox引擎，IE引擎

1）概念 （“一组软件”）

参考操作系统内核_360百科 (so.com)

内核，是一个操作系统的核心。它负责管理系统的进程、内存、设备驱动程序、文件和网络系统，决定着系统的性能和稳定性（说到底，操作系统就是为进程服务的，内核就是为可运行的程序提供硬件层面的抽象，这种抽象不单单是硬件接口，就比如线程，进程这类抽象）。

"内核"指的是一个提供硬件抽象层、磁盘及文件系统控制、多任务等功能的系统软件。一个内核不是一套完整的操作系统。一套基于Linux内核的完整操作系统叫作Linux操作系统，或是GNU/Linux。

内核是操作系统最基本的部分。它是为众多应用程序提供对计算机硬件的安全访问的一部分软件，这种访问是有限的，并且内核决定一个程序在什么时候对某部分硬件操作多长时间。直接对硬件操作是非常复杂的，所以内核通常提供一种硬件抽象的方法来完成这些操作。硬件抽象隐藏了复杂性，为应用软件和硬件提供了一套简洁，统一的接口，使程序设计更为简单。

严格地说，内核并不是计算机系统中必要的组成部分。程序可以直接地被调入计算机中执行，这样的设计说明了设计者不希望提供任何硬件抽象和操作系统的支持，它常见于早期计算机系统的设计中。最终，一些辅助性程序，例如程序加载器和调试器，被设计到机器核心当中，或者固化在只读存储器里。这些变化发生时，操作系统内核的概念就渐渐明晰起来了。

2）分类（“单内核/微内核”）

单内核：代码高度集成，代码修改困难

单内核(Monolithic kernel)，是个很大的进程。它的内部又能够被分为若干模块(或是层次或其他)。但是在运行的时候，它是个单独的二进制大映象。其模块间的通讯是通过直接调用其他模块中的函数实现的，而不是消息传递。

单内核结构在硬件之上定义了一个高阶的抽象界面，应用一组原语(或者叫系统调用)来实现操作系统的功能，例如进程管理，文件系统，和存储管理等等，这些功能由多个运行在核心态的模块来完成。

尽管每一个模块都是单独地服务这些操作，内核代码是高度集成的，而且难以编写正确。因为所有的模块都在同一个内核空间上运行，一个很小的bug都会使整个系统崩溃。然而，如果开发顺利，单内核结构就可以从运行效率上得到好处。

单内核结构的例子: 传统的UNIX内核----例如伯克利大学发行的版本，Linux内核。

微内核：只负责几个关键操作，其他高级操作由用户态程序完成，模块化

微内核(Microkernelkernel)结构由一个非常简单的硬件抽象层和一组比较关键的原语或系统调用组成，这些原语仅仅包括了建立一个系统必需的几个部分，如线程管理，地址空间和进程间通信等。

微核的目标是将系统服务的实现和系统的基本操作规则分离开来。例如，进程的输入/输出锁定服务可以由运行在微核之外的一个服务组件来提供。这些非常模块化的用户态服务器用于完成操作系统中比较高级的操作，这样的设计使内核中最核心的部分的设计更简单。一个服务组件的失效并不会导致整个系统的崩溃，内核需要做的，仅仅是重新启动这个组件，而不必影响其它的部分。

微内核只提供了很小一部分的硬件抽象，大部分功能由一种特殊的用户态程序:服务器来完成。微核经常被用于机器人和医疗器械的嵌入式设计中，因为它的系统的关键部分都处在相互分开的，被保护的存储空间中。这对于单核设计来说是不可能的，就算它采用了运行时加载模块的方式。

3）CPU权限：用户/内核态

参考用户态和内核态 - mxgboy - 博客园 (cnblogs.com)

用户态 & 内核态

内核态：cpu可以访问内存的所有数据，包括外围设备，例如硬盘，网卡，cpu也可以将自己从一个程序切换到另一个程序。

用户态：只能受限的访问内存，且不允许访问外围设备，占用cpu的能力被剥夺，cpu资源可以被其他程序获取。

为什么要有用户态和内核态？

由于需要限制不同的程序之间的访问能力, 防止他们获取别的程序的内存数据, 或者获取外围设备的数据, 并发送到网络, CPU划分出两个权限等级 – 用户态和内核态。

用户态与内核态的切换

所有用户程序都是运行在用户态的, 但是有时候程序确实需要做一些内核态的事情, 例如从硬盘读取数据, 或者从键盘获取输入等. 而唯一可以做这些事情的就是操作系统, 所以此时程序就需要先操作系统请求以程序的名义来执行这些操作.

这时需要一个这样的机制: 用户态程序切换到内核态, 但是不能控制在内核态中执行的指令

这种机制叫系统调用, 在CPU中的实现称之为陷阱指令(Trap Instruction)

他们的工作流程如下:

1. 用户态程序将一些数据值放在寄存器中, 或者使用参数创建一个堆栈(stack frame), 以此表明需要操作系统提供的服务.
2. 用户态程序执行陷阱指令
3. CPU切换到内核态, 并跳到位于内存指定位置的指令, 这些指令是操作系统的一部分, 他们具有内存保护, 不可被用户态程序访问
4. 这些指令称之为陷阱(trap)或者系统调用处理器(system call handler). 他们会读取程序放入内存的数据参数, 并执行程序请求的服务
5. 系统调用完成后, 操作系统会重置CPU为用户态并返回系统调用的结果

当一个任务（进程）执行系统调用而陷入内核代码中执行时，我们就称进程处于内核运行态（或简称为内核态）。此时处理器处于特权级最高的（0级）内核代码中执行。当进程处于内核态时，执行的内核代码会使用当前进程的内核栈。每个进程都有自己的内核栈。当进程在执行用户自己的代码时，则称其处于用户运行态（用户态）。即此时处理器在特权级最低的（3级）用户代码中运行。当正在执行用户程序而突然被中断程序中断时，此时用户程序也可以象征性地称为处于进程的内核态。因为中断处理程序将使用当前进程的内核栈。这与处于内核态的进程的状态有些类似。

内核态与用户态是操作系统的两种运行级别,跟intel cpu没有必然的联系, intel cpu提供Ring0-Ring3三种级别的运行模式，Ring0级别最高，Ring3最低。Linux使用了Ring3级别运行用户态，Ring0作为 内核态，没有使用Ring1和Ring2。Ring3状态不能访问Ring0的地址空间，包括代码和数据。Linux进程的4GB地址空间，3G-4G部 分大家是共享的，是内核态的地址空间，这里存放在整个内核的代码和所有的内核模块，以及内核所维护的数据。用户运行一个程序，该程序所创建的进程开始是运 行在用户态的，如果要执行文件操作，网络数据发送等操作，必须通过write，send等系统调用，这些系统调用会调用内核中的代码来完成操作，这时，必 须切换到Ring0，然后进入3GB-4GB中的内核地址空间去执行这些代码完成操作，完成后，切换回Ring3，回到用户态。这样，用户态的程序就不能 随意操作内核地址空间，具有一定的安全保护作用。
至于说保护模式，是说通过内存页表操作等机制，保证进程间的地址空间不会互相冲突，一个进程的操作不会修改另一个进程的地址空间中的数据。

4）CISC / RISC（“程序和指令 - 80% vs 20%”）

所谓程序就是一组计算机能识别和执行的指令。ARM，X86架构都支持Linux，如果说Linux内核在不同的CPU架构中是一样，那么我可以理解成内核是指在计算机硬件上第一层的软件接口（函数命名规范是一致的，比如创建线程，摧毁线程；只不过内部实现不同）

CISC：复杂指令集计算机（不等长指令）

长期来，计算机性能的提高往往是通过增加硬件的复杂性来获得．随着集成电路技术．特别是VLSI（超大规模集成电路）技术的迅速发展，为了软件编程方便和提高程序的运行速度，硬件工程师采用的办法是不断增加可实现复杂功能的指令和多种灵活的编址方式。甚至某些指令可支持高级语言语句归类后的复杂操作．至使硬件越来越复杂，造价也相应提高．为实现复杂操作，微处理器除向程序员提供类似各种寄存器和机器指令功能外．还通过存于只读存贮器(ROM)中的微程序来实现其极强的功能 ，微处理在分析每一条指令之后执行一系列初级指令运算来完成所需的功能，这种设计的型式被称为复杂指令集计算机(Complex Instruction Set Computer-CISC)结构．一般CISC计算机所含的指令数目至少300条以上，有的甚至超过500条．

RISC：精简指令集计算机（等长指令）

采用复杂指令系统的计算机有着较强的处理高级语言的能力．这对提高计算机的性能是有益的．当计算机的设计沿着这条道路发展时．有些人没有随波逐流．他们回过头去看一看过去走过的道路，开始怀疑这种传统的做法：IBM公司在纽约Yorktown的JhomasI.Wason研究中心于1975年组织力量研究指令系统的合理性问题．因为当时已感到，日趋庞杂的指令系统不但不易实现．而且还可能降低系统性能．1979年以帕特逊教授为首的一批科学家也开始在美国加册大学伯克莱分校开展这一研究．结果表明，CISC存在许多缺点．首先．在这种计算机中．各种指令的使用率相差悬殊：一个典型程序的运算过程所使用的80％指令．只占一个处理器指令系统的20％．事实上最频繁使用的指令是取、存和加这些最简单的指令．这样-来，长期致力于复杂指令系统的设计，实际上是在设计一种难得在实践中用得上的指令系统的处理器．同时．复杂的指令系统必然带来结构的复杂性．这不但增加了设计的时间与成本还容易造成设计失误．此外．尽管VLSI技术现在已达到很高的水平，但也很难把CISC的全部硬件做在一个芯片上，这也妨碍单片计算机的发展．在CISC中，许多复杂指令需要极复杂的操作，这类指令多数是某种高级语言的直接翻版，因而通用性差．由于采用二级的微码执行方式，它也降低那些被频繁调用的简单指令系统的运行速度．因而．针对CISC的这些弊病．帕特逊等人提出了精简指令的设想即指令系统应当只包含那些使用频率很高的少量指令．并提供一些必要的指令以支持操作系统和高级语言．按照这个原则发展而成的计算机被称为精简指令集计算机(Reduced Instruction Set Computer-RISC)结构．简称RISC．

CISC与RISC的区别

从硬件角度来看CISC处理的是不等长指令集，它必须对不等长指令进行分割，因此在执行单一指令的时候需要进行较多的处理工作。而RISC执行的是等长精简指令集，CPU在执行指令的时候速度较快且性能稳定。因此在并行处理方面RISC明显优于CISC，RISC可同时执行多条指令，它可将一条指令分割成若干个进程或线程，交由多个处理器同时执行。由于RISC执行的是精简指令集，所以它的制造工艺简单且成本低廉。
　　从软件角度来看，CISC运行的则是我们所熟识的DOS、Windows操作系统。而且它拥有大量的应用程序。因为全世界有65%以上的软件厂商都为基于CISC体系结构的PC及其兼容机服务的，象赫赫有名的Microsoft就是其中的一家。而RISC在此方面却显得有些势单力薄。虽然在RISC上也可运行DOS、Windows，但是需要一个翻译过程，所以运行速度要慢许多。
　　目前CISC与RISC正在逐步走向融合，Pentium Pro、Nx586、K5就是一个最明显的例子，它们的内核都是基于RISC体系结构的。他们接受CISC指令后将其分解分类成RISC指令以便在同一时间内能够执行多条指令。由此可见，下一代的CPU将融合CISC与RISC两种技术，从软件与硬件方面看二者会取长补短。