PaaS：

一、虚拟化分类：

        虚拟化资源提供者：

        1）硬件平台虚拟化

        2）操作系统虚拟化

        虚拟化实现方式：

        type I: 半虚拟化

        type II：硬件辅助全虚拟化

        type III：

                软件全虚拟化：

                操作系统虚拟化：

       

主机虚拟化与容器虚拟化的优缺点：

        主机虚拟化：

                应用程序运行环境强隔离；

                虚拟机操作系统与底层操作系统无关化

                虚拟机内部操作不会影响到物理机

                拥有操作系统会占用部署资源及存储

                网络传输效率低

                当应用程序需要调用硬件响应用户访问时间延时大

        容器虚拟化

                优点：可以实现应用程序的隔离

                直接使用物理机的操作系统可以快速响应用户需求

                不占用部署时间（不需要安装操作系统）

                占用少量磁盘空间

                缺点：学习成本增加、操作控制复杂、网络控制与主机虚拟化有所区别、服务治理更难。服务与服务调用关系就很麻烦。容器的编排。（微服务架构工程师）

云平台技术的实现：

 分别对应的是：

IaaS 虚拟机：

        阿里云ECS

        OpenStack VM实例

PaaS容器CaaS（容器即服务）：

        LXC

        Docker

        OpenShift

        Rancher

SaaS应用程序：

        互联网中的应用

容器比虚拟机更抽象。

容器所涉及的内核技术：

六大命名空间：

UTS：UNIX Time-sharing System，命名空间允许每个容器拥有独立的主机名和域名，从而可以虚拟出一个独立主机名和网络空间的环境，就跟网络上的一台独立的主机一样。每一个命令空间都拥有独立的主机名或域名。

IPC：Interprocess Communication。每个容器依旧使用Linux内核中进程交互的方法，实现进程间通信。包括信号量、消息队列和共享内存等。不同空间的进程无法交互。同一个IPC命令空间内的进程彼此可见，允许进行交互。

Mount：类似chroot，将一个进程放到一个特定的目录执行，挂载命名空间允许不同命名空间的进程看到的文件结构不同，这样每个命名空间中的进程所看到的文件目录彼此隔离。每个容器的文件系统是独立的。

NET：通过网络命名空间，可以实现网络隔离。网络命令空间为进程提供了一个完全独立的网络协议的视图，包括网络设备接口、IPv4和IPv6协议栈，IP路由表、防火墙规则、Sockets等，这样，每个容器的网络就能隔离开来。Docker采用虚拟网络设备（Virtual Network Device）的方式，将不同命名空间的网络设备连接在一起，默认情况下，容器中的虚拟网络卡将同本地主机上的docker0网桥连接在一起。

USER：每个容器可以有不同的用户和组id，也就是说可以在容器内使用特定的内部用户执行程序，而非本地系统上存在的用户。

每个容器内部都可以有root账号，但跟宿主机的root用户不在一个命名空间。

通过使用隔离的用户命名空间可以提高安全性，避免容器内进程获得额外的权限。

PID：Linux通过命名空间管理进程号，对于同一个进程（即同一个task_struct）在不同的命名空间中，看到的进程号不相同，每个进程命名空间有一套自己的进程号管理方法。进程命名空间是一个父子关系的结构，子空间的进程对于父空间是可见的，新fork出的进程在父命名空间和子命名空间将分别有一个进程号来对应。每个容器都有独立的进程树，由容器是物理机中的一个进程，所以容器中的进程是物理机的线程。

总结：

容器的命令空间有哪些？

应用程序运行环境隔离的空间，就是一个容器。每个容器都将拥有UTS、IPC、Mount、Net、User、PID。