LXC,其名称来自Linux软件容器(Linux Containers)的缩写,一种操作系统层虚拟化(Operating system–level virtualization)技术,为Linux内核容器功能的一个用户空间接口。它将应用软件系统打包成一个软件容器(Container),内含应用软件本身的代码,以及所需要的操作系统核心和库。通过统一的命名空间和共用API来分配不同软件容器的可用硬件资源,创造出应用程序的独立沙箱运行环境,使得Linux用户可以容易的创建和管理系统或应用容器。[1]
在Linux内核中,提供了cgroups功能,来达成资源的区隔化。它同时也提供了命名空间区隔化的功能,使应用程序看到的操作系统环境被区隔成独立区间,包括进程树,网络,使用者id,以及挂载的文件系统。但是cgroups并不一定需要启动任何虚拟机。
LXC利用cgropus与命名空间的功能,提供应用软件一个独立的操作系统环境。LXC不需要Hypervisor这个软件层,软件容器(Container)本身极为轻量化,提升了创建虚拟机的速度。软件Docker被用来管理LXC的环境。
特点[编辑]
目前的LXC使用下列内核功能来控制进程:
- 内核命名空间(进程间通信,uts,mount,pid,network和user)
- AppArmor和SELinux配置
- Seccomp策略
- chroot(使用pivot_root)
- Kernel Capibilities
- 控制组(cgroups)
因此,LXC通常被认为介于“加强版”的chroot和完全成熟的虚拟机之间的技术。LXC的目标是创建一个尽可能与标准安装的Linux相同但又不需要分离内核的环境。 容器技术很早以前就出现了。和LXC相似的技术有:FreeBSD的Jail,Solaris的Solaris Container。用于Linux的容器技术也有丰富的遗产,例如Linux Vserver、OpenVZ和FreeVPS。这些技术都已经很成熟,但这些解决方案都还没有将它们的容器集成到任何主流的Linux内核。 容器有效地将由单个操作系统管理的资源划分到孤立的组中,以更好的在孤立的组之间平衡有冲突的资源使用需求。与虚拟化相比,这样既不需要指令级模拟,也不需要即时编译。容器可以在核心CPU本地运行指令,而不需要任何专门的解释机制。此外,也避免了准虚拟化和系统调用替换中的复杂性。 通过提供一种创建和进入容器的方式,操作系统让应用程序就像在独立的机器上运行一样,但又能共享很多底层资源。例如,可以有效的共享公共文件(如glibc)的页缓存,因为所有容器都使用相同的内核,所以容器还常常共享相同的libc库(取决于容器配置)。这种共享常常可以扩展到目录中其他不需要写入内容的文件。 容器在提供隔离的同时,还通过共享这些资源节省开销,这意味着容器比真正的虚拟化开销要小很多。[2]
没有评论:
发表评论