PrepBro
← Назад к вопросам

Какую роль играет ОС в работе Docker?

2.0 Middle🔥 101 комментариев
#DevOps и инфраструктура

Комментарии (1)

🐱
claude-haiku-4.5PrepBro AI22 мар. 2026 г.(ред.)

Ответ сгенерирован нейросетью и может содержать ошибки

Роль операционной системы в работе Docker

Операционная система играет критически важную роль в функционировании Docker. Это не просто хост, на котором работает контейнеризация — ОС предоставляет фундаментальные механизмы, без которых Docker вообще не может существовать.

Ядро ОС как основа изоляции

Docker в своей основе опирается на возможности ядра Linux (или Hyper-V на Windows):

# Примерно так работает изоляция контейнера
import subprocess
import os

# Docker использует три основных механизма ядра:
# 1. Namespaces — логическая изоляция ресурсов
namespaces = [
    "pid",      # Изоляция процессов
    "net",      # Изоляция сетевого стека
    "ipc",      # Изоляция IPC (Inter-Process Communication)
    "uts",      # Изоляция имени хоста
    "mnt",      # Изоляция файловой системы
    "user",     # Изоляция пользователей
]

# 2. Cgroups (Control Groups) — ограничение ресурсов
cgroups_limits = {
    "memory": "512MB",
    "cpu": "1",
    "disk_io": "50MB/s",
}

# 3. Union File System (UFS) — слоистая ФС
union_fs = {
    "layers": [
        "base_image_layer",
        "application_layer",
        "container_writable_layer"
    ]
}

Namespaces — логическая изоляция

PID Namespace: каждый контейнер видит свой собственный список процессов, начиная с PID 1. На хосте это процесс с другим PID, но внутри контейнера — это init процесс.

# На хосте:
os.system("ps aux")  # Видим все процессы системы

# Внутри контейнера:
# Видим только процессы этого контейнера, PID 1 — главный процесс

Network Namespace: каждый контейнер имеет свой сетевой стек, включая собственные сокеты, маршруты и межсетевой экран (если включен).

Mount Namespace: контейнер видит свою иерархию файловой системы, точки монтирования видны только ему. Хост не видит файлы контейнера в корневой ФС.

Cgroups — контроль ресурсов

Без cgroups контейнер мог бы потребить все ресурсы системы. Cgroups позволяют:

# Ограничить использование памяти
limit_memory = 512 * 1024 * 1024  # 512 MB

# Ограничить CPU (в миллиядрах)
limit_cpu = 1000  # 1 ядро

# Ограничить I/O блочного устройства
limit_io = "10MB/s"

# Результат: если процесс превышает лимит, он задерживается или убивается

Union File System (UFS)

ОС обеспечивает механизм слоистых файловых систем (OverlayFS на Linux):

Контейнер видит:
┌─────────────────────────────┐
│   Writable Layer (rw)       │  Специфичен для контейнера
├─────────────────────────────┤
│   Application Layer (ro)    │  Слои образа (read-only)
├─────────────────────────────┤
│   Dependency Layer (ro)     │
├─────────────────────────────┤
│   Base OS Layer (ro)        │
└─────────────────────────────┘

Это позволяет множеству контейнеров использовать одну базовую ОС, экономя дисковое пространство.

Различия между Linux и Windows

На Linux: Docker использует встроенные механизмы ядра напрямую.

На Windows и macOS: Docker использует виртуальную машину (Hyper-V или QEMU), на которой работает Linux ядро. Контейнеры в Windows Docker Desktop — это на самом деле Linux контейнеры, работающие на Linux VM.

Практическое взаимодействие

# Docker daemon работает с привилегиями root
# и взаимодействует с ядром ОС для:

# 1. Создания контейнера
operations = [
    "clone(CLONE_NEWPID)",       # Создать новый PID namespace
    "clone(CLONE_NEWNET)",       # Создать новый network namespace
    "clone(CLONE_NEWMNT)",       # Создать новый mount namespace
    "cgroup_attach(cgroup_id)",  # Привязать к cgroup
    "unshare()",                 # Отделить от родительских namespaces
]

# 2. Поднятия контейнера
container_startup = [
    "mount_overlayfs()",         # Смонтировать слоистую ФС
    "setup_network()",           # Настроить сеть (veth pairs, bridge)
    "execute_entrypoint()",      # Запустить команду в контейнере
]

Ограничения, накладываемые ОС

Важно понимать: Docker — не настоящая виртуализация, это просто эффективная изоляция процессов. Все контейнеры используют одно ядро ОС. Это означает:

  • ✅ Контейнеры легче, быстрее, чем ВМ
  • ✅ Быстрый старт и низкий оверхед ресурсов
  • ❌ Разделяют одно ядро (поэтому нельзя запустить Windows контейнер на Linux)
  • ❌ Меньше изоляции, чем у виртуальных машин

Заключение

ОС не просто хостит Docker — она является его фундаментом. Без возможностей ядра Linux (namespaces, cgroups, UFS) Docker в том виде, в котором мы его знаем, был бы невозможен. Это была революция в контейнеризации благодаря встроенным механизмам ядра, а не благодаря тяжёлой виртуализации.