1.docker和docker应用程序的区别
2.daemonlinux
3.PVE部署LXC运行docker
4.Linux内核源码解析---cgroup实现之整体架构与初始化
5.如何在Ubuntu上借助Docker管理Linux容器
6.如何计算容器的CPU使用值

docker和docker应用程序的区别

       å¦‚果你是数据中心或云计算IT圈子的人，这一年多来应该一直在听到普通的容器、尤其是Docker，关于它们的新闻从未间断过。Docker1.0在今年6月发布后，声势更是达到了前所未有的程度。

       åŠ¨é™ä¹‹æ‰€ä»¥è¿™ä¹ˆå¤§ï¼Œå°±æ˜¯å› ä¸ºè®¸å¤šå…¬å¸åœ¨ä»¥æƒŠäººçš„速度采用Docker。在今年7月的开源大会（OSCon）上，我遇到了早已将服务器应用程序从虚拟机（VM）转移到容器的无数企业。的确，Docker公司主管服务和支持的副总裁James Turnbull在会上告诉我，其中有三家大银行一直在使用Docker的测试版，现已在生产环境中使用Docker。对任何早期技术来说，这无疑是极大的充满自信的举动，要知道它在安全至上的金融界几乎闻所未闻。

       ä¸Žæ­¤åŒæ—¶ï¼ŒDocker这项开源技术不仅仅是红帽和Canonical等Linux巨头眼里的宠儿。微软等专有软件公司也在热烈拥抱Docker。

       é‚£ä¹ˆï¼Œä¸ºä»€ä¹ˆå¤§å®¶éƒ½è¿½æ§å®¹å™¨å’ŒDocker呢？James Bottomley是Parallels公司的服务器虚拟化首席技术官，也是一位知名的Linux内核开发人员。他向我解释，Hyper-V、KVM和Xen等虚拟机管理程序都“基于虚拟化硬件仿真机制。这意味着，它们对系统要求很高。”

       ç„¶è€Œï¼Œå®¹å™¨å´ä½¿ç”¨å…±äº«çš„操作系统。这意味着它们在使用系统资源方面比虚拟机管理程序要高效得多。容器不是对硬件进行虚拟化处理，而是驻留在单单一个Linux实例上。这反过来意味着，你可以“丢弃没有用的.9%的虚拟机垃圾，剩下一个小巧简洁的胶囊式容器，里面含有你的应用程序，”Bottomley如是说。

       æ®Bottomley声称，因此，借助经过全面调优的容器系统，你就可以在同一硬件上拥有数量比使用Xen虚拟机或KVM虚拟机多出四到六倍的服务器应用实例。

       æ˜¯ä¸æ˜¯è§‰å¾—听起来很不错？毕竟，你可以让服务器运行多得多的应用程序。那么，为什么之前没有人做过呢？实际上，之前有人做过。容器其实是个旧概念。

       å®¹å™¨å¯ä»¥è¿½æº¯åˆ°è‡³å°‘å¹´å’ŒFreeBSD Jails。甲骨文Solaris也有一个类似概念，名为Zones；Parallels、谷歌和Docker等公司一直在致力于研发诸如OpenVZ和LXC（Linux容器）之类的开源项目，旨在让容器运行起来顺畅又安全。

       çš„确，很少有人知道容器，但大多数人多年来一直在使用容器。谷歌就有自己的开源容器技术lmctfy（Let Me Contain That For You，意为“让我容纳你的程序”）。只要你使用谷歌的某项功能：比如搜索、Gmail、Google Docks或无论其他什么，就分配了一个新的容器。

       ç„¶è€Œï¼ŒDocker建立在LXC的基础上。与任何容器技术一样，就该程序而言，它有自己的文件系统、存储系统、处理器和内存等部件。容器与虚拟机之间的区别主要在于，虚拟机管理程序对整个设备进行抽象处理，而容器只是对操作系统内核进行抽象处理。

       è¿™åè¿‡æ¥æ„å‘³ç€ï¼šè™šæ‹Ÿæœºç®¡ç†ç¨‹åºèƒ½åšå®¹å™¨åšä¸äº†çš„一件事就是，使用不同的操作系统或内核。所以，举例说，你可以使用微软Azure，同时运行Windows Server的实例和SUSE Linux企业级服务器的实例。至于Docker，所有容器都必须使用同样的操作系统和内核。

       å¦ä¸€æ–¹é¢ï¼Œå¦‚果你只是想让尽可能多的服务器应用实例在尽可能少的硬件上运行，可能不大关心运行多个操作系统虚拟机。要是同一应用程序的多个副本正是你需要的，那么你会喜欢上容器。

       æ”¹ç”¨Docker这一举措有望每年为数据中心或云计算服务提供商节省数千万美元的电力和硬件成本。所以难怪它们在一窝蜂地尽快采用Docker。

       Docker带来了之前技术所没有的几个新特点。第一是，与之前的方法相比，Docker让容器部署和使用起来更容易、更安全。此外，由于Docker与其他容器领域的巨擘进行了合作，包括Canonical、谷歌、红帽和Parallels，共同开发其关键的开源组件libcontainer，它为容器带来了迫切需要的标准化。

       ä¸Žæ­¤åŒæ—¶ï¼Œå¹¿å¤§å¼€å‘人员可以使用Docker封装、交付和运行任何应用程序，应用程序成为轻型的、可移植的、自给自足的LXC容器，可以在任何地方运行。正如Bottomley告诉我，“容器让你立即享有应用程序可移植性。”

       å¸‚场研究公司 Research的资深分析师Jay Lyman补充道：“企业组织力求以一种高效、标准化、可重复的方式，让应用程序和工作负载更易于移植和分发，而有时很难做到这点。正如GitHub通过共享源代码来促进合作和创新那样，Docker Hub、Official Repos和商业支持也在帮助众多企业通过改进封装、部署和管理应用程序的方式，应对这个难题。”

       æœ€åŽä½†å¹¶éžæœ€ä¸é‡è¦çš„，Docker容器易于部署到云端。正如Ben Lloyd Pearson在opensource.com上写道：“Docker采用了一种特别的方式，以便可以整合到大多数DevOps（开发运营）应用程序当中，包括Puppet、Chef、Vagrant和Ansible，或者可以独自使用，以管理开发环境。主要卖点是，它简化了通常由另外这些应用程序执行的好多任务。具体来说，有了Docker，人们就可以搭建与活动服务器一模一样的本地开发环境，从同一个主机运行多个开发环境（每个开发环境有独特的软件、操作系统和配置），在新的或不同的服务器上测试项目，以及让任何人都可以在设置一模一样的情况下处理同一项目，无论本地主机环境怎样。”

       ç®€è€Œè¨€ä¹‹ï¼ŒDocker能为你做的事情就是：相比其他技术，它能让更多数量的应用程序在同一硬件上运行；它让开发人员易于快速构建可随时运行的容器化应用程序；它大大简化了管理和部署应用程序的任务。总而言之，我能理解作为一项企业级技术，Docker为何一下子蹿红。我只是希望它不负众望，否则外头会有一些忧心忡忡的CEO和CIO。

daemonlinux

       linux提供了daemon函数用于创建守护进程，实现原理与上文中介绍的是一样的。

       #include

       intdaemon(intnochdir,intnoclose);

       1．daemon()函数主要用于希望脱离控制台，以守护进程形式在后台运行的程序。

       2．当nochdir为0时，daemon将更改进城的随访源码根目录为root(“/”)。

       3．当noclose为0是，daemon将进城的STDIN,STDOUT,STDERR都重定向到/dev/null。

       daemon的实现大致如下：

       intdaemon(intnochdir,intnoclose)

       {

       pid_tpid;

       if(!nochdirchdir("/")!=0)//如果nochdir=0,那么改变到"/"根目录

       return-1;

       if(!noclose)//如果没有noclose标志

       {

       intfd=open("/dev/null",O_RDWR);

       if(fd0)

       return-1;

       /*重定向标准输入、输出、错误到/dev/null，

       键盘的博亦源码输入将对进程无任何影响，进程的输出也不会输出到终端

       */

       dup(fd,0);

       dup(fd,1);

       dup(fd,2);

       close(fd);

       }

       pid=fork();//创建子进程.

       if(pid0)//失败

       return-1;

       if(pid>0)

       _exit(0);//返回执行的是父进程,那么父进程退出,让子进程变成真正的孤儿进程.

       //创建的daemon子进程执行到这里了

       if(setsid()0)//创建新的会话，并使得子进程成为新会话的领头进程

       return-1;

       return0;//成功创建daemon子进程

       }

       使用实例：

       intmain()

       {

       daemon(1,1)；//参数根据需求确定

       /*在这里添加你需要在后台做的工作代码*/

       }

       如何杀死这样的进程：

       通过ps+grep找到对应的后台进程，使用kill命令将进程杀死；也可创建shell脚本对进程的启动、关闭、重启进行自动管理

       docker教程？

       docker是一个开源的应用容器引擎，让开发者可以打包他们的应用以及依赖包到一个可移植的镜像中，然后发布到任何流行的Linux或Windows机器上，也可以实现虚拟化。

       容器是完全使用沙箱机制，相互之间不会有任何接口。

       一个完整的05的源码docker有以下几个部分组成：

       1.DockerClient客户端

       2.DockerDaemon守护进程

       3.DockerImage镜像

       4.DockerContainer容器

       docker是PaaS提供商dotCloud开源的一个基于LXC的高级容器引擎，源代码托管在Github上,基于go语言并遵从Apache2.0协议开源。

       docker自年以来非常火热，无论是从github上的代码活跃度，还是Redhat在RHEL6.5中集成对docker的支持,就连Google的ComputeEngine也支持docker在其之上运行。

       在Linux环境下如何安装和使用Docker？

       Docker从1.版本之后采用时间线的方式作为版本号，分为社区版CE和企业版EE

       以Centos操作系统安装CE版为例：

       一.卸载

       1）查看系统中docker-ce安装包

       2）卸载docker-ce安装包

       3）删除docker的镜像目录文件

       rm-rf/var/lib/docker/

       4）删除docker的镜像目录文件

       rm-rf/var/run/docker/

       二.安装

       1）配置yum仓库docker-ce镜像源

       yum-config-manager--add-repo。你可以找到详细的源码镜像配置在提供的链接中。

       安装SSH或启用LXC的SSH功能是必要的，以便能够远程连接。随后，按照官方文档安装docker，安博源码以确保正确性。为了加速镜像的下载，需要更改docker的镜像源。

       测试镜像下载、查看镜像信息、历史记录和搜索官方库是基本操作。在使用过程中，如果镜像被其他容器依赖，删除前需先停止相关容器。此外，可以临时运行docker实例，燕窝漱源码同时查看并管理所有容器，以及清理无用的镜像。

Linux内核源码解析---cgroup实现之整体架构与初始化

       cgroup在年由Google工程师开发，于年被融入Linux 2.6.内核。它旨在管理不同进程组，监控一组进程的行为和资源分配，是Docker和Kubernetes的基石，同时也被高版本内核中的LXC技术所使用。本文基于最早融入内核中的代码进行深入分析。

       理解cgroup的核心，首先需要掌握其内部的常用术语，如子系统、层级、cgroupfs_root、cgroup、css_set、cgroup_subsys_state、cg_cgroup_link等。子系统负责控制不同进程的行为，例如CPU子系统可以控制一组进程在CPU上执行的时间占比。层级在内核中表示为cgroupfs_root，一个层级控制一批进程，层级内部绑定一个或多个子系统，每个进程只能在一个层级中存在，但一个进程可以被多个层级管理。cgroup以树形结构组织，每一棵树对应一个层级，层级内部可以关联一个或多个子系统。

       每个层级内部包含的节点代表一个cgroup，进程结构体内部包含一个css_set，用于找到控制该进程的所有cgroup，多个进程可以共用一个css_set。cgroup_subsys_state用于保存一系列子系统，数组中的每一个元素都是cgroup_subsys_state。cg_cgroup_link收集不同层级的cgroup和css_set，通过该结构可以找到与之关联的进程。

       了解了这些概念后，可以进一步探索cgroup内部用于结构转换的函数，如task_subsys_state、find_existing_css_set等，这些函数帮助理解cgroup的内部运作。此外，cgroup_init_early和cgroup_init函数是初始化cgroup的关键步骤，它们负责初始化rootnode和子系统的数组，为cgroup的使用做准备。

       最后，需要明确Linux内一切皆文件，cgroup基于VFS实现。内核启动时进行初始化，以确保系统能够正确管理进程资源。cgroup的初始化过程分为早期初始化和常规初始化，其中早期初始化用于准备cpuset和CPU子系统，确保它们在系统运行时能够正常工作。通过这些步骤，我们可以深入理解cgroup如何在Linux内核中实现资源管理和进程控制。

如何在Ubuntu上借助Docker管理Linux容器

       è™½è¯´æ ‡å‡†çš„硬件虚拟化技术（比如KVM、Xen或Hyper-V）擅长于在一个物理主机上运行多个操作系统的完全隔离的实例，但这种虚拟化技术在性能、资源和资源配置时间等方面存在各种各样的开销。标准的机器虚拟化实际上可能没有必要，这取决于你的实际使用场合。

       å¦å¤–一种轻型虚拟化方法就是所谓的Linux容器（LXC），它提供了操作系统级别的虚拟化。由于不存在运行虚拟机带来的开销，LXC让用户可以在轻型容器沙盒里面运行标准Linux操作系统的多个实例。如果你搭建一个可复制的开发/测试环境，或者在安全沙盒里面部署应用程序，容器就派得上大用场。

       Docker就是为了便于部署Linux容器而开发的这样一款开源工具。Docker正迅速成为容器技术方面的一项事实上的标准，已经被诸如Ubuntu和红帽之类的各大Linux发行版所采用。

       æˆ‘在本教程中将演示如何在Ubuntu .上，借助Docker管理Linux容器。请注意：对Ubuntu的早期版本而言，操作步骤可能略有不同。

       çœ¼ä¸‹ï¼ŒUbuntu上可用的Docker程序包只支持位系统。想在位机器上运行它，你就要利用源代码构建位版本的Docker（详见这里）。

       å®‰è£…Docker

       å€ŸåŠ©apt-get命令，安装Docker是件轻而易举的事。

       $ sudo apt-get install docker.io

       ä¸ºäº†å…è®¸éžæ ¹ç”¨æˆ·ä¹Ÿå¯ä»¥è¿è¡ŒDocker，将你自己添加到docker群组。下面这个命令会允许当前用户运行Docker，无需根用户权限。

       $ sudo usermod -a -G docker $USER

       é€€å‡ºï¼Œç„¶åŽé‡æ–°ç™»å½•ï¼Œä»¥æ¿€æ´»ç¾¤ç»„成员的变化。

       ä¸‹ä¸€æ­¥ï¼Œç¼–辑Docker配置文件，以便更新Docker二进制代码的位置。

       $ sudo vi /etc/default/docker.io

       DOCKER="/usr/bin/docker.io"

       é‡å¯Docker服务。

       $ sudo service docker.io restart

       ç®¡ç†Docker容器

       å¦‚果你想启动Ubuntu操作系统的一个新的Docker容器，首先需要获取Ubuntu Docker映像文件。下面这个命令会通过网络下载Docker映像文件。

       $ docker pull ubuntu

       ä½ å¯ä»¥ä»¥ä¸€ç§äº¤äº’模式来开启Ubuntu Docker，如下所示。最后一个参数“/bin/bash”是一旦启动就将在容器里面执行的命令，这里是一个简单的bash外壳命令。

       $ docker run -i -t ubuntu /bin/bash

       ä¸Šè¿°å‘½ä»¤ä¼šç«‹å³å¯åŠ¨ä¸€ä¸ªUbuntu容器（这正是容器的魅力所在！），并为你提供容器里面的外壳提示符。这时候，你应该能够访问沙盒环境里面的标准的Ubuntu操作系统了。

       æƒ³é€€å‡ºDocker容器，在容器里面的提示符处键入“exit”。

       ä½ å¯ä»¥å¯åŠ¨ä¸åŒå½¢å¼çš„容器。比如，想启动Fedora容器，请执行下面这个命令：

       $ docker.io run -i -t fedora /bin/bash

       å¦‚果本地没有Fedora Docker映像文件，该命令就会首先自动下载映像文件，然后启动Docker。

       å¦‚果你想启动采用某个发行版版本的容器，也可以这么做。比如说，想启动Ubuntu . Docker，请执行下面这个命令：

       $ docker.io run -i -t ubuntu:. /bin/bash

       å®¹å™¨ç½‘络

       Docker使用Linux网桥将容器彼此互联起来，并将它们连接到外部网络。安装了Docker后，你应该会看到默认情况下自动组建的docker0 Linux网桥。你创建的每个容器都将连接到docker0网桥接口。

       è‡ªå®šä¹‰Linux网桥

       å¦‚果你想，也可以使用自定义Linux网桥将诸容器互联起来。为此，你可以建立一个自定义网桥，并对它进行配置，如下所示。你可以为该网桥分配一个单独的子网，并且从子网为Docker分配IP地址。我会使用.0.0.0/作为Docker子网。

       $ sudo apt-get install bridge-utils

       $ sudo brctl addbr br0

       $ sudo ifconfig br0 .0.0.1 netmask ...0

       æƒ³è®©Docker使用自定义网桥，将“-b=br0”添加到/etc/default/docker.io中的DOCKER_OPTS变量，然后重启Docker服务。

       $ sudo service docker.io restart

       è‡³æ­¤ï¼Œä»»ä½•æ–°çš„容器都会连接到br0，其IP地址会自动从.0.0.0/来分配。

       å…¶ä»–定制

       è¿˜æœ‰å¦å¤–几种方法可以定制Docker的默认网络设置，主要是通过改动/etc/default/docker.io中的DOCKER_OPTS变量来实现。

       â€œ-dns 8.8.8.8 -dns 8.8.4.4”：指定容器使用的DNS服务器。

       â€œ-icc=false”：让诸容器彼此隔离开来。

       æ•…障排查

       1. 运行docker.io命令时，你会遇到下面这个错误。

       dial unix /var/run/docker.sock: no such file or directory（没有此类文件或目录）

       å‡ºçŽ°è¿™ä¸ªé”™è¯¯ï¼Œå¯èƒ½æ˜¯ç”±äºŽDocker守护程序没在运行。检查Docker守护程序的状态，确保先启动它。

       $ sudo service docker.io status

       $ sudo service docker.io start

如何计算容器的CPU使用值

       å› ä¸ºç›‘控系统调整需要，需要从宿主机获取容器的 CPU 使用率。

        以前在给容器分配 CPU 资源的时候，是绑定指定 CPU 的方式，那宿主只要计算不同容器绑定的 CPU 使用率即可。但是最近对 CPU 资源的分配方式进行了调整，通过 CPU使用时间 的方式对 CPU 使用率进行限制。（通过 CPU使用时间 限制有不少优势，另外写文章介绍。）

        原来的方法不再适用。既然 Cgroup 可以通过 CPU 时间对 CPU 资源进行限制，那必然在某个地方会统计 CPU 的使用时间。于是我在网络上搜索了一番，大部分的结果都是告诉我可以通过以下命令获取容器的 CPU 使用率。

        显然，现在一旦说到容器，基本上都会认为说的是 docker，其实我用的是LXC。不过不管怎样，计算方法应该是一致的。

        摸索一番，发现在以下路径就能找到一个容器（这里是LXC）的 CPU 使用时间，时间单位是纳秒：

        利用这个时间，再计算实际经过的时间，就能得出在一段时间内，CPU的使用率。

        PS. 通过这个方法，不仅能计算整个 CPU 使用率，还可以计算出用户态和内核态分别使用的情况，在特定情况会更有助于了解应用程序的使用情况。（见 cpuacct.usage_sys 和 cpuacct.usage_user )

        CPU使用时间就是上一节文中提到的cgroup文件下的 cpuacct.usage 文件里的时间。

        当前时间，以纳秒计算，可以通过以下函数获取：

        只要两个时间点的当前时间相减，就可以得到总共经过的时间了。

        这个程序的源码也可以贴出来，有需要的朋友也可以去Github上可克隆：

       /aaron/lxc-cpu-usage