LXC的介绍

wskickahn

　　LXC又名Linux container，是一种虚拟化的解决方案，这种是内核级的虚拟化。(主流的解决方案Xen ,KVM, LXC)
介绍
　　通过namespace进行资源的隔离,Gust1下的进程与Guset2下的进程是独立的，可以看作运行在两台物理机上一样。Contaniner管理工具就是对Guest进行管理的(创建、销毁)。
　　图是对LXC架构的介绍

　　下图是LXC与KVM技术的比较,KVM的优点是一个物理机上可以跑多个操作系统(Guest-OS),然后在每个操作系统运行应用,通过这种方式实现应用的隔离。而使用LXC技术直接可以在Host-OS的基础上实现隔离的。这就是LXC的优势--运行快。但是，如果有两个应用一个是在windows运行的，一个是在linux上运行的，这时只能使用KVM技术来实现了。

namespace
　　namespace是container中的重要技术之一，是对系统资源的操作上的隔离。使Guest-OS1的操作对Guest-OS2无法产生影响。
　　当然namespace的实现还在完善中，下面是3.8以上的内核实现的namespace

Mount
　　Mount namespace是对挂载的文件系统布局进行隔离。图中显示在Namespace1中的进程看到的文件系统的挂载方式是一致的，但是在Mount Namespace2中看到的是一另一种情况

IPC
　　处于同一namespace下的进程才可以进行进程间通信。

NET
　　NET NAMESPACE实现网络协议栈上的隔离，在自己的namespace中对网络的设置只能在本namespace中生效。

PID
　　我们通过fork来创建进程时可以为每个进程指定命名空间。linux下的进程关系是一棵树，所以有了父命名空间和子名字空间之分。
　　在namespace2创建的P2进程有两个pid。第一个是在父命名空间的下的它的PID号，一个是在自己空间下的PID号。之所以有父pid号是因为P2最终还是在父命名空间下运行的，而为进程指定命名空间是为了让P2和P3实现隔离。

USER
　　User namespace中使用到了map转换，由于container并不是真正的虚拟化，所以在Guest-OS中创建的root用户会被映射到Host-OS中的普通用户中去。

　　下图中的例子中，root用户在自己的namespace下创建了一个文件，那这个文件的所有者ID应该是0，当时在磁盘上存的时候文件UID会被转换为kuid,并且所有者ID为1000。想说名一点是在Guest-OS下你是个root用户，但是在Host-OS你只不过被转为一个普通用户而已。因为我们知道在Host-OS下已经有一个root用户了。

system API/ABI

　　linux下的proc目录是对整个系统状态的描述，用户可以通过查看proc目录来了解当前的系统状态。在proc目录下有很多数字，这些数字对应的是系统创建的进程ID，以前我们说进程是看不见摸不着的，但是通过proc目录我们的确可以看到一些关于进程的信息。
　　每个进程下有个ns目录，在目下记录了该进程使用的到namespace

clone函数的使用
　　clone函数是系统的API,是用于创建进程的。我们常用到的fork函数其实底层调用的是clone函数。在使用clone函数的可以为其指定namespace。下面是一个指定IPC名字空间的例子。

　　p2会运行在新的IPC namespace中，其他namespace会从P1继承下来
unshare函数
　　unshare函数用于修改当前的进程的namespace的信息。比如更换当前进程的namespace等等。
setns函数
　　将当前进程的namespace设置为另一进程的namespace

container管理工具

container与KVM的比较
　　container并未实现完全虚拟化，在Guest-OS中执行的一些操作会直接影响到HOST-OS。下面是两者的对比。

参考博文
　　http://www.ibm.com/developerworks/cn/linux/l-cn-chroot/
　　http://www.open-open.com/lib/view/open1427350543512.html
　　http://www.cnblogs.com/wang_yb/p/3923040.html