Linux容器作為一類操作系統(tǒng)層面的虛擬化技術(shù)成果，旨在立足于單一Linux主機(jī)交付多套隔離性Linux環(huán)境。與虛擬機(jī)不同，容器系統(tǒng)并不需要運(yùn)行特定的訪客操作系統(tǒng)。相反，容器共享同一套主機(jī)操作系統(tǒng)內(nèi)核，同時(shí)利用訪客操作系統(tǒng)的系統(tǒng)庫(kù)以交付必要的系統(tǒng)功能。由于無(wú)需借助于專門的操作系統(tǒng)，因此容器在啟動(dòng)速度上要遠(yuǎn)遠(yuǎn)優(yōu)于虛擬機(jī)。

圖片來(lái)源：Docker有限公司

容器能夠利用Namespaces、Apparmor、SELinux配置、chroot以及CGroups等Linux內(nèi)核功能，從而交付一套類似于虛擬機(jī)的隔離性環(huán)境。Linux安全模塊能夠確保來(lái)自容器的主機(jī)設(shè)備與內(nèi)核訪問(wèn)行為受到妥善管理，從而避免入侵活動(dòng)的發(fā)生。除此之外，容器還能夠通過(guò)其主機(jī)操作系統(tǒng)運(yùn)行多種不同Linux發(fā)行版——只要各類操作系統(tǒng)擁有同樣的底層CPU架構(gòu)要求。

總體而言，容器技術(shù)提供了一種立足于各類Linux發(fā)行版的容器鏡像創(chuàng)建方式，同時(shí)利用API進(jìn)行容器生命周期管理，通過(guò)客戶端工具實(shí)現(xiàn)與該API的交互，進(jìn)而提供快照以及不同容器主機(jī)之間容器實(shí)例遷移等能力。

容器技術(shù)發(fā)展歷程

以下為從維基百科以及其它信息源處收集到的容器發(fā)展歷程總結(jié)：

1979年 — chroot

容器技術(shù)的概念可以追溯到1979年的UNIX chroot。這是一套“UNIX操作系統(tǒng)”系統(tǒng)，旨在將其root目錄及其它子目錄變更至文件系統(tǒng)內(nèi)的新位置，且只接受特定進(jìn)程的訪問(wèn)。這項(xiàng)功能的設(shè)計(jì)目的在于為每個(gè)進(jìn)程提供一套隔離化磁盤(pán)空間。1982年其被添加至BSD當(dāng)中。

2000年 — FreeBSD Jails

FreeBSD Jails是由Derrick T. Woolworth于2000年在FreeBSD研發(fā)協(xié)會(huì)中構(gòu)建而成的早期容器技術(shù)之一。這是一套“操作系統(tǒng)”系統(tǒng)，與chroot的定位類似，不過(guò)其中包含有其它進(jìn)程沙箱機(jī)制以對(duì)文件系統(tǒng)、用戶及網(wǎng)絡(luò)等資源進(jìn)行隔離。通過(guò)這種方式，它能夠?yàn)槊總€(gè)Jail、定制化軟件安裝包乃至配置方案等提供一個(gè)對(duì)應(yīng)的IP地址。

2001年 — Linux VServer

Linux VServer屬于另一種jail機(jī)制，其能夠被用于保護(hù)計(jì)算機(jī)系統(tǒng)之上各分區(qū)資源的安全(包括文件系統(tǒng)、CPU時(shí)間、網(wǎng)絡(luò)地址以及內(nèi)存等)。每個(gè)分區(qū)被稱為一套安全背景(security context)，而其中的虛擬化系統(tǒng)則被稱為一套虛擬私有服務(wù)器。

2004年 — Solaris容器

Solaris容器誕生之時(shí)面向x86與SPARC系統(tǒng)架構(gòu)，其最初亮相于2004年2月的Solaris 10 Build 51 beta當(dāng)中，隨后于2005年正式登陸Solaris 10的完整版本。Solaris容器相當(dāng)于將系統(tǒng)資源控制與由分區(qū)提供的邊界加以結(jié)合。各分區(qū)立足于單一操作系統(tǒng)實(shí)例之內(nèi)以完全隔離的虛擬服務(wù)器形式運(yùn)行。

2005年 — OpenVZ

OpenVZ與Solaris容器非常相似，且使用安裝有補(bǔ)丁的Linux內(nèi)核以實(shí)現(xiàn)虛擬化、隔離能力、資源管理以及檢查點(diǎn)交付。每套OpenVZ容器擁有一套隔離化文件系統(tǒng)、用戶與用戶群組、一套進(jìn)程樹(shù)、網(wǎng)絡(luò)、設(shè)備以及IPC對(duì)象。

2006年 — Process容器

Process容器于2006年由谷歌公司推出，旨在對(duì)一整套進(jìn)程集合中的資源使用量(包括CPU、內(nèi)存、磁盤(pán)I/O以及網(wǎng)絡(luò)等等)加以限制、分配與隔離。此后其被更名為Control Groups(即控制組)，從而避免其中的“容器”字眼與Linux內(nèi)核2.6.24中的另一術(shù)語(yǔ)出現(xiàn)沖突。這表明了谷歌公司率先重視容器技術(shù)的敏銳眼光以及為其做出的突出貢獻(xiàn)。

2007年 — Control Groups

正如上文所提及，Control Groups也就是谷歌實(shí)現(xiàn)的cgroups，其于2007年被添加至Linux內(nèi)核當(dāng)中。

2008年 — LXC

LXC指代的是Linux Containers，其也是第一套完整的Linux容器管理實(shí)現(xiàn)方案。其功能通過(guò)cgroups以及Linux namespaces實(shí)現(xiàn)。LXC通過(guò)liblxc庫(kù)進(jìn)行交付，并提供可與Python3、Python2、Lua、Go、Ruby以及Haskell等語(yǔ)言相對(duì)接的API。相較于其它容器技術(shù)，LXC能夠在無(wú)需任何額外補(bǔ)丁的前提下運(yùn)行在原版Linux內(nèi)核之上。目前LXC項(xiàng)目由Canonical有限公司負(fù)責(zé)贊助及托管。

2011年 — Warden

Warden由CloudFoundry公司于2011年所建立，其利用LXC作為初始階段，隨后又將其替換為自家實(shí)現(xiàn)方案。與LXC不同，Warden并不會(huì)與Linux緊密耦合。相反，其能夠運(yùn)行在任意能夠提供多種隔離環(huán)境方式的操作系統(tǒng)之上。Warden以后臺(tái)進(jìn)程方式運(yùn)行并提供API以實(shí)現(xiàn)容器管理。感興趣的朋友可以點(diǎn)擊此處與此處了解更多與Warden相關(guān)的細(xì)節(jié)信息(英文原文)。

2013年 — LMCTFY

Lmctfy代表的是“Let Me Contain That For You(幫你實(shí)現(xiàn)容器化)”。它其實(shí)屬于谷歌容器技術(shù)堆棧的開(kāi)源版本，負(fù)責(zé)提供Linux應(yīng)用程序容器。谷歌公司在該項(xiàng)目的起步階段宣稱其能夠提供值得信賴的性能表現(xiàn)、高資源利用率、共享資源機(jī)制、充裕的發(fā)展空間以及趨近于零的額外資源消耗。Kubernetes目前所使用的cAdvisor工具最初就來(lái)源于lmctfy項(xiàng)目。2013年10月lmctfy的首個(gè)版本正式推出，谷歌公司在2015年決定將lmctfy的核心概念與抽象機(jī)制轉(zhuǎn)化為libcontainer。在失去了主干之后，如今lmctfy已經(jīng)失去一切積極的發(fā)展勢(shì)頭。

Libcontainer項(xiàng)目最初由Docker公司建立，如今已經(jīng)被歸入開(kāi)放容器基金會(huì)的管轄范疇。

2013年 — Docker

截至2016年1月，Docker是目前最具人氣且應(yīng)用最為廣泛的容器管理系統(tǒng)。Docker項(xiàng)目最初是由一家名為dotCloud的平臺(tái)即服務(wù)廠商所打造，其后該公司更名為Docker。與Warden類似，Docker同樣在起步階段使用LXC，而后利用自己的libcontainer庫(kù)將其替換下來(lái)。與其它容器平臺(tái)不同，Docker引入了一整套與容器管理相關(guān)的生態(tài)系統(tǒng)。其中包括一套高效的分層式容器鏡像模型、一套全局及本地容器注冊(cè)表、一個(gè)精簡(jiǎn)化REST API以及一套命令行界面等等。在后期發(fā)展階段，Docker公司還構(gòu)建起一套名為Docker Swarm的容器集群管理解決方案。

2014年 — Rocket

Rocket最初由CoreOS開(kāi)發(fā)而成，專門用于解決部分Docker當(dāng)中存在的缺陷。CoreOS方面也提到，他們當(dāng)初的開(kāi)發(fā)目標(biāo)是在安全性與生產(chǎn)要求滿足能力上超越Docker。更重要的是，其基于App Container規(guī)范并使其成為一項(xiàng)更為開(kāi)放的標(biāo)準(zhǔn)。除了Rocket之外，CoreOS還開(kāi)發(fā)出了多種其它與容器相關(guān)的產(chǎn)品，且已經(jīng)被Docker與Kubernetes所使用：CoreOS操作系統(tǒng)、etcd以及flannel。

2016年 — Windows容器

微軟公司也已經(jīng)于2015年采取初步舉措，希望將容器支持能力添加到微軟Windows Server操作系統(tǒng)當(dāng)中，而這項(xiàng)旨在幫助Windows應(yīng)用實(shí)現(xiàn)容器化的項(xiàng)目被稱為Windows容器(Windows Containers)。其即將隨微軟的Windows Server 2016一同推出。在這碩方案當(dāng)中，Docker能夠以原生方式在Windows平臺(tái)上運(yùn)行容器，而無(wú)需運(yùn)行虛擬機(jī)或者多層Docker(早期Docker需要利用Linux虛擬機(jī)才能與Windows系統(tǒng)相對(duì)接)。

容器之發(fā)展愿景

截至目前(2016年1月)，整個(gè)技術(shù)行業(yè)已經(jīng)越來(lái)越多地將軟件應(yīng)用程序部署基礎(chǔ)由虛擬機(jī)轉(zhuǎn)移向容器。之所以出現(xiàn)這種趨勢(shì)，一大重要原因在于容器能夠提供遠(yuǎn)優(yōu)于虛擬機(jī)的靈活性與使用成本。谷歌公司多年來(lái)一直在利用Borg and Omega容器集群管理平臺(tái)等容器技術(shù)以實(shí)現(xiàn)各類谷歌應(yīng)用的規(guī)?；\(yùn)行。更重要的是，谷歌公司還通過(guò)實(shí)現(xiàn)cgroups以及參與libcontainer項(xiàng)目等方式為容器技術(shù)的發(fā)展做出了突出貢獻(xiàn)。谷歌方面在過(guò)去幾年當(dāng)中已經(jīng)利用容器技術(shù)實(shí)現(xiàn)了可觀的性能提升、資源利用率改善以及整體執(zhí)行效率優(yōu)化。就在最近，微軟公司這位從未將任何操作系統(tǒng)層級(jí)虛擬化機(jī)制引入Windows平臺(tái)的軟件巨頭亦快速在Windows Server上實(shí)現(xiàn)了原生容器支持能力。

Docker、Rocket以及其它容器平臺(tái)都無(wú)法運(yùn)行在生產(chǎn)環(huán)境中的單一主機(jī)之上，這是因?yàn)樗鼈兌即嬖谥鴨吸c(diǎn)故障隱患。盡管一整套容器集合能夠運(yùn)行在單一主機(jī)上，然而一旦該主機(jī)發(fā)生故障，所有運(yùn)行于其上的容器也將全面癱瘓。谷歌公司在這方面搶先一步，憑借從Borg項(xiàng)目中積累到的經(jīng)驗(yàn)打造出名為Kubernetes的開(kāi)源容器集群管理系統(tǒng)。Docker公司也針對(duì)這一難題開(kāi)發(fā)出了Docker Swarm解決方案。目前，這些解決方案尚處于早期發(fā)展階段，而且可能還需要數(shù)月甚至一年才能真正具備完整的功能集，從而以穩(wěn)定及廣泛的方式被引入容器行業(yè)的生產(chǎn)環(huán)境當(dāng)中。

微服務(wù)則是另一項(xiàng)突破性技術(shù)成果，而不僅僅是一套利用容器機(jī)制實(shí)現(xiàn)自身部署的軟件架構(gòu)。雖然微服務(wù)的概念算不上什么新鮮事物，但這種Web服務(wù)的輕量化實(shí)現(xiàn)機(jī)制確實(shí)能夠提供遠(yuǎn)超過(guò)標(biāo)準(zhǔn)Web服務(wù)的啟動(dòng)速度。之所以能夠?qū)崿F(xiàn)這項(xiàng)目標(biāo)，是因?yàn)槠鋵⒁徽坠δ軉卧源虬绞?可能包括單一服務(wù)/API方法)整合在一項(xiàng)服務(wù)當(dāng)中，再將服務(wù)嵌入一套輕量化Web服務(wù)器二進(jìn)制文件。

考慮到以上背景信息，我們可以預(yù)測(cè)在未來(lái)幾年當(dāng)中，容器技術(shù)將逐步取代虛擬機(jī)甚至能夠在一定程度上徹底占據(jù)其適用環(huán)境。去年，我曾經(jīng)幫助多家企業(yè)立足于POC層級(jí)部署基于容器的解決方案。當(dāng)時(shí)他們幾乎還都不想把容器引入生產(chǎn)環(huán)境。然而這種狀況可能隨著容器集群管理系統(tǒng)的逐步成熟而快速得到扭轉(zhuǎn)。

原文標(biāo)題：The History of Linux Containers from chroot to the Future

【51CTO.com獨(dú)家譯稿，合作站點(diǎn)轉(zhuǎn)載請(qǐng)注明來(lái)源】