02、Docker概述

1. 背景与设计哲学

Docker的诞生源于操作系统级虚拟化技术的演进。

​ Docker 的思想来自于集装箱，集装箱解决了什么问题？在一艘大船上，可以把货物规整地摆放起来。并且各种各样的货物被装在集装箱里，集装箱和集装箱之间不会互相影响。

​ 那么我就不需要专门运送蔬菜的船和专门运送货物的船了。只要这些货物在集装箱里封装的好好的，那我就可以用一艘大船把他们都运走。 docker 就是类似的理念。云计算就好比大货轮。docker 就是集装箱。

其设计思想类比海运集装箱：

📦 集装箱革命：传统运输需专用船只（如油船/冷藏船），而集装箱通过标准化封装实现货物混载、隔离运输，大幅提升效率。
🔄 技术映射：Docker容器将应用及其依赖（库/环境/配置）打包为独立单元，实现 “Build once, run anywhere” ，彻底解决环境差异问题。

技术演进里程碑：

2. Docker核心架构与优势

优势维度	技术实现	性能对比
快速启动	利用Linux内核进程隔离（namespace/cgroups）	启动速度：容器<1s** vs **VM>20s
资源轻量	共享宿主机内核，无Guest OS开销	内存占用：容器~MB级 vs VM~GB级
持续交付	Dockerfile声明式构建 + 镜像版本控制	部署频率提升10倍（DevOps实践数据）
跨平台性	容器运行时（containerd）抽象基础设施	支持多云/K8s/边缘计算混合部署

版本体系对比：

功能	Docker CE（社区版）	Docker EE（企业版）
镜像扫描	❌ 基础功能	✅ 漏洞深度检测
集群管理	❌	✅ Swarm/K8s集成
合规审计	❌	✅ CIS基准认证
商业支持	社区论坛	24/7 SLA保障

3. docker 缺点

所有容器共用 linux kernel 资源，资源能否实现最大限度利用，所以在安全上也会存在漏洞。

内核共享风险缓解策略：

风险类型	防护方案	工具示例
内核漏洞渗透	Seccomp系统调用过滤	--security-opt seccomp
容器逃逸	AppArmor/SELinux强制访问控制	安全策略模板
资源竞争	cgroups硬限制 + 实时监控	docker stats + Prometheus
Windows兼容性	LinuxKit内核 + Windows容器模式	LCOW（Linux Containers on Windows）