Docker कसरी पर्दाको पछाडि काम गर्छ?

Question

Accepted Answer

Docker ले Linux kernel को सुविधाहरू — **namespaces** (अलगीकरण), **cgroups** (स्रोत नियन्त्रण), र **union filesystems** (तहको छविहरू) — प्रयोग गरेर हल्का कन्टेनरहरू सिर्जना गर्छ। अन्तर्निहित संयन्त्रहरू बुझ्नले कन्टेनरहरू कसरी अलगीकरण र दक्षता प्राप्त गर्छ भन्ने कुरा स्पष्ट गर्छ।

## Namespaces — अलगीकरण

```text
Linux NAMESPACES isolate what a process can SEE — giving each container its own view:
  PID namespace     → its own process tree (container sees only its processes)
  NET namespace     → its own network interfaces, IPs, ports
  MNT namespace     → its own filesystem mounts
  UTS namespace     → its own hostname
  IPC, USER namespaces → isolated IPC, user/group ID mapping
→ Namespaces are WHY a container feels like a separate machine (isolated view),
  while actually sharing the host kernel.
```

## cgroups — स्रोत नियन्त्रण

```text
Control Groups (CGROUPS) LIMIT and account for resource usage per container:
  → CPU, memory, disk I/O, network bandwidth
→ cgroups are WHY you can set resource limits (-m, --cpus) — the kernel enforces them.
```

## Union filesystem — तहको छविहरू

```text
UNION/OVERLAY filesystems (overlayfs) stack image LAYERS:
  → read-only image layers + a thin writable container layer on top, merged into one view
  → layers are SHARED between images/containers (one copy on disk) → space-efficient
→ This is WHY images are layered, cached, and shareable, and containers are lightweight.
```

## आर्किटेक्चर

```text
Docker CLI → Docker DAEMON (dockerd) → containerd → runc (creates containers using
  namespaces + cgroups). The daemon manages images, containers, networks, volumes.
→ Containers are just ISOLATED PROCESSES on the host (not VMs) — using kernel features,
  sharing the host kernel → lightweight and fast.
```

## यो किन महत्त्वपूर्ण छ

Docker कसरी पर्दाको पछाडि काम गर्छ भन्ने कुरा बुझ्नु मूल्यवान senior-स्तरको ज्ञान हो किनभने यसले **कन्टेनरहरूलाई रहस्यमुक्त गर्छ** र तिनीहरूको मुख्य गुणहरू (अलगीकरण, दक्षता, स्रोत नियन्त्रण) को व्याख्या गर्छ, कन्टेनरीकृत प्रणालीहरूको बारेमा सोच्ने क्षमता गहिरो गर्छ।

आवश्यक अन्तर्दृष्टि यो छ कि **कन्टेनरहरू VMs होइनन् — तिनी होस्टमा अलगीकृत प्रक्रियाहरू हुन्** Linux kernel सुविधाहरू प्रयोग गरेर, जसकारण तिनी हल्का र द्रुत छन् (अलग OSहरू चलाउनुको सट्टा होस्ट kernel साझेदारी गरी)।

**तीनवटा मुख्य संयन्त्रहरू** बुझ्नले गुणहरूको व्याख्या गर्छ: **namespaces** ले प्रक्रियाले के देख्न सक्छ भन्ने कुरा अलगीकृत गर्छ (यसको आफ्नै प्रक्रिया वृक्ष, नेटवर्क, filesystem, hostname — यो *किन* कन्टेनर अलग मेसिन जस्तो लाग्छ kernel साझेदारी गरे पनि), **cgroups** ले स्रोत प्रयोग सीमित र हिसाब गर्छ (यो *किन* तपाई CPU र memory सीमाहरू सेट गर्न सक्नुहुन्छ — kernel ले तिनलाई लागू गर्छ), र **union/overlay filesystems** ले छवि तहहरू स्ट्याक गर्छ (यो *किन* छविहरू तहको छन्, cached, र साझेदार छन्, र कन्टेनरहरू हल्का छन् — read-only तहहरू कन्टेनरहरू भरि साझेदार गरिएका छन् पातलो writable तहको साथ)।

**आर्किटेक्चर** (CLI → daemon → containerd → runc, daemon ले सबै कुरा व्यवस्थापन गरी) बुझ्नले Docker कसरी काम गर्छ भन्ने कुरा सम्पूर्ण चित्र प्रदान गर्छ।

यो गहिरो बुझाइ अलगीकरण सीमाहरूको बारेमा सोच्न (र तिनीहरूको सुरक्षा निहितार्थहरू, किनभने कन्टेनरहरू kernel साझेदारी गर्छन्), कार्यक्षमता र दक्षता विशेषताहरू व्याख्या गर्न, र समस्या निवारण गर्न मदद गर्छ।

अन्तर्निहित संयन्त्रहरू (namespaces, cgroups, union filesystems) बुझ्नु *किन* कन्टेनरहरू जस्तो व्यवहार गर्छन् — तिनीहरूको अलगीकरण, दक्षता, स्रोत नियन्त्रण, र महत्त्वपूर्ण तथ्य कि तिनी होस्ट kernel साझेदारी गर्छन् (सुरक्षा निहितार्थहरूसहित) — र कन्टेनरीकृत प्रणालीहरूसँग काम गर्ने क्षमता गहिरो गर्छ भनेर, Docker पर्दाको पछाडि कसरी काम गर्छ भन्ने कुरा बुझ्नु मूल्यवान senior-स्तरको ज्ञान हो जसले Docker प्रयोग गर्नुदेखि यसलाई साँच्चै बुझ्नमा परिवर्तन गर्छ, एक विषय जसले senior भूमिकाहरूको लागि अपेक्षित गहिराइ प्रतिबिम्बित गर्छ र कन्टेनर व्यवहार, सुरक्षा सीमाहरू, र कार्यक्षमताको बारेमा सोच्नको लागि उपयोगी छ।