艾銻無限告訴你：容器的實現原理

2020-03-12 11:43 作者：艾銻無限 瀏覽量：

   
疫情其間，所有企業都遇到了同樣的困難，不變的成本和持續降低的營收，讓企業現金流遭受了巨大的挑戰，大部分企業未能進入正常辦公狀態，所以提升營收的可能性非常小，那為了減少負債的風險，怎樣降

低不變的運營成本呢？
 
當年管理學大師德魯克先生說，除了你的核心業務以外，其它的一切都可以外包。
 
這次疫情給企業帶來的壓力猶如烏云蔽日，很多企業即便能夠挺過來也會大傷元氣，砍掉非核心業務和裁撤冗員、提高效率三項也必然首當其沖。
 
這一輪人員優化，并不一定是因為優勝劣汰，更多的是因為經濟下行和疫情帶來的巨大壓力，很多業務被整體砍掉，不少優秀人才也要重新進入市場，就更不用說那些習慣渾水摸魚的員工了。
 
對于中小企業首先要砍掉的是自己的網管以及與網管類似的非企業核心崗位，原因是這樣的崗位對與中小企業來說是沒有必要的，通過艾銻無限服務的５０００多家企業獲得的數據，中小企業網管工作飽和度不

到３０％，還有７０％多的時間他們是沒有事可做，或做個人的事情，而且一個網管一年企業需要支付１０多萬的整體費用，這１０多萬投入營銷推廣，有可能帶來的就是幾百萬的銷售合同，如果網管平時沒有

什么管理能力，不知如何規劃企業內部的信息安全和相關密碼資料，一旦離職，發生的問題將是災難級的，我們曾經有一位客戶，網管離職后，所有路由器、服務器、存儲設備的密碼全無，后來設備宕機，直接

影響到企業網絡和系統三天沒有恢復正常，損失達到幾十萬元。
 
反過來看這件事，是不是這個離職的網管非常壞呢，其實也不是，我們采訪過近百位中小企業的網管，問過他們，如何看待中小企業網管這個職位？９９％的人會說這是一個沒有前途的職位，會先干著，一有機會就找新的工作，那還剩下的那個人說，我沒有學歷，也沒有什么能力，能有份工作就可以了。
 
所以你可以想像一下，一個人在他自己認為沒有前途的崗位上怎么能做出優秀的成績來呢，又怎么會用心做好每一件事呢。
 
中小企業最明智的選擇，就是把這個崗位外包出去，把要求明確，然后確保外包公司達到既定的目標就可以，每年直接省下的１０多萬投入到企業產品營銷推廣中，就能為公司帶來幾百萬的銷售收入。
 
那怎樣才能選到一家負責、專業、性價比高的外包公司呢？
 
艾銻無限在IT外包行業１５年，服務了５０００多年企業，有三條建議給到中國的中小企業：
 
第一，從時間上看，一家企業值不值得信賴，要看它在這個行業的時間，能超過１０年的企業是絕對值得信賴的，因為它的生存能力強，而且１０年的服務會讓他們積累了經驗豐富，最重要是對這個非暴利的行

業能堅持這么長時間一直做下去，一定有情懷在里面，一家有情懷又有能力的公司，能不值得信賴嗎。
 
第二，從服務的范圍看，有的公司只能服務某個地區，有的可以服務全國，甚至能服務全球，也許你不需要能服務這么遠的企業，但你需要有具備這樣能力的企業，因為如果有一天你出了他們的服務范圍怎么

辦，難道需要重新找另一家嗎，這又會增加不必要的成本，所以找到能服務全國的比只能服務區域的將會更有優勢。
 
第三，從行業口碑和規?？?，行業口碑決定了他們的服務質量，規模決定了服務價格，如果你只是一家中小企業你就不需要找一家大型公司給你服務，如果你是一家大型企業你可以找一家和大型企業一樣有品牌

影響力的中小企業給你提供服務，這直接就會給你節省大量的成本。
   
中小企業在百度搜索引擎找ＩＴ外包公司的話，可以搜＂全國ＩＴ外包＂，左邊就會出現能做全國ＩＴ外包服務的公司，有的是做廣告推廣排在前面，有的是自然優化的排名，在右邊會出現百度評選出來的優秀

ＩＴ服務企業，大家可以看到像中軟國際，博彥科技，文思海輝，軟通動力，東軟集團以及埃森哲都是全球排名前十的大型ＩＴ外包企業　，只有北京艾銻無限科技發展有限公司是一家中小企業，和這些巨頭能

同時出現在百度推薦的企業中，這源自于艾銻無限在IT外包行業多年服務的品質和口碑，是值得中小企業首選的ＩＴ外包服務企業。
   
作為中小企業，創業維艱，用好每一分錢才是王道，困難時期活下來才是最重要的，以最快的速度順應環境的改變，做出有效的行動，把沒有必要的費用降下來，把非核心的工作外包出去，把力量集中一點，將

會產生意想不到的效果，一起加油渡過難關.
 
 
 
 
 
 
   
 
容器的本質
容器的本質是一個進程。容器技術的核心功能，就是通過約束和修改進程的動態表現，從而為其創造出一個“邊界”。

對于docker等大多數linux容器來說，cgroups技術是用來制造約束的主要手段，而namespace技術則是用來修改進程視圖的主要方法。

首先創建一個容器試試：
docker run -it busybox /bin/sh
/ #
/ # ps
PID  USER   TIME COMMAND
  1 root   0:00 /bin/sh
  10 root   0:00 ps
從上面可以看到，docker里最開始執行的/bin/sh，這就是容器內部的第一號進程（pid=1），而這個容器一共只有2個進程，也就是說，docker隔離在了一個跟宿主機完全不同的世界當中。本來我們在宿主機上運行一個/bin/sh程序，操作系統會給它分配一個進程編號，pid=100，現在docker把這個/bin/sh程序運行在一個容器當中，使用一個“障眼法”，讓它永遠看不到其他的進程，讓它誤以為自己就是pid=1。這個就是linux的namespace機制。而namespace的使用方式也很簡單，它實際上只是linux創建新進程的一個可選參數。我們知道，linux系統中創建線程的系統調用是clone()；比如：

int pid = clone(main_function, stack_size, SIGCHLD, NULL);

這個系統調用會為我們創建一個新的進程，并且返回它的進程號pid。而但我們調用clone創建新進程時，在參數中指定CLONE_NEWPID參數：
int pid = clone(main_function, stack_size, CLONE_NEWPID | SIGCHLD, NULL);

這個時候，新創建的這個進程將會“看到”一個全興的進程空間，在這個進程空間里，它的pid就是1。
 
namespace實現了容器間資源的隔離。linux使用6中namespace，分別對應6中資源：Mount， UTS， IPC， PID，Network和User。這些就是linux容器最基本的實現原理。docker容器聽起來很玄，實際上就是在創建容器進程時，指定了這個進程所需要啟動的一組namespace參數。這樣，容器就只能看到當前namespace所限定的資源、文件、設備、狀態和配置等。而對于主機以及其他不想管的程序，它就完全看不到了。為了更好的理解容器的特性，這里討論容器的底層實現技術。

cgroup和namespace是最重要的兩種技術。cgroup實現資源限制，namespace實現資源隔離。

cgroup
linux操作系統通過cgroup可以設置進程使用CPU、內存和IO資源的限額。前面提到的–cpu-shares，-m，–device-write-bps實際就是在配置cgroup。
在/sys/fs/cgroup/cpu/docker目錄中，linux會為每個容器創建一個cgroup目錄，以容器的長ID命名。 namespace
namespace實現了容器間資源的隔離。
linux使用6中namespace，分別對應6中資源：Mount， UTS， IPC， PID，Network和User。
 
Mount namespace
Mount namespace讓容器看上去擁有整個文件系統。
 
UTS namespace
UTS ns讓容器擁有自己的hostname。容器的hostname默認是它的短ID，可以通過-h或 --hostname參數來設置。
 
IPC namespace
IPC namespace讓容器擁有自己的共享內存和信號量，實現進程間通信。
 
PID namespace Network namespace
讓容器擁有自己獨立的網卡、ip、路由等資源。
 
User namespace
讓容器能夠管理自己的用戶，host不能看到容器中創建的用戶。