Docker hoạt động bên dưới như thế nào?

Question

Accepted Answer

Docker dùng các tính năng kernel Linux — **namespace** (cô lập), **cgroup** (kiểm soát tài nguyên), và **union filesystem** (image phân layer) — để tạo các container nhẹ. Hiểu các cơ chế bên dưới giải thích cách các container đạt được cô lập và hiệu quả.

## Namespace — cô lập

```text
NAMESPACE Linux cô lập cái mà một process có thể THẤY — cho mỗi container góc nhìn riêng:
  PID namespace     → cây process riêng (container chỉ thấy các process của nó)
  NET namespace     → các interface network, IP, cổng riêng
  MNT namespace     → các mount hệ thống tệp riêng
  UTS namespace     → hostname riêng
  IPC, USER namespace → IPC cô lập, ánh xạ user/group ID
→ Namespace là LÝ DO một container cảm thấy như một máy riêng biệt (góc nhìn cô lập),
  trong khi thực tế chia sẻ kernel của host.
```

## cgroup — kiểm soát tài nguyên

```text
Control Group (CGROUP) GIỚI HẠN và tính toán mức sử dụng tài nguyên mỗi container:
  → CPU, bộ nhớ, I/O đĩa, băng thông network
→ cgroup là LÝ DO bạn có thể đặt giới hạn tài nguyên (-m, --cpus) — kernel thực thi chúng.
```

## Union filesystem — image phân layer

```text
UNION/OVERLAY filesystem (overlayfs) xếp chồng các LAYER image:
  → các layer image chỉ đọc + một layer container ghi được mỏng ở trên, hợp nhất thành một góc nhìn
  → các layer được CHIA SẺ giữa các image/container (một bản sao trên đĩa) → tiết kiệm không gian
→ Đây là LÝ DO các image được phân layer, cache và chia sẻ, và các container nhẹ.
```

## Kiến trúc

```text
Docker CLI → Docker DAEMON (dockerd) → containerd → runc (tạo các container dùng
  namespace + cgroup). Daemon quản lý image, container, network, volume.
→ Container chỉ là các PROCESS CÔ LẬP trên host (không phải VM) — dùng các tính năng kernel,
  chia sẻ kernel của host → nhẹ và nhanh.
```

## Tại sao điều này quan trọng

Hiểu cách Docker hoạt động bên dưới là kiến thức cấp senior có giá trị vì nó **làm sáng tỏ các container** và giải thích các thuộc tính chính của chúng (cô lập, hiệu quả, kiểm soát tài nguyên), làm sâu sắc khả năng lập luận, cấu hình và khắc phục sự cố các hệ thống container hóa.

Hiểu biết quan trọng là **container không phải VM — chúng là các process cô lập trên host** dùng các tính năng kernel Linux, đó là lý do chúng nhẹ và nhanh (chia sẻ kernel của host thay vì chạy các OS riêng biệt).

Hiểu **ba cơ chế cốt lõi** giải thích các thuộc tính: **namespace** cô lập cái mà một process có thể thấy (cây process, network, hệ thống tệp, hostname riêng — đó là *lý do* một container cảm thấy như một máy riêng biệt dù chia sẻ kernel), **cgroup** giới hạn và tính toán mức sử dụng tài nguyên (đó là *lý do* bạn có thể đặt giới hạn CPU và bộ nhớ — kernel thực thi chúng), và **union/overlay filesystem** xếp chồng các layer image (đó là *lý do* các image được phân layer, cache và chia sẻ, và các container nhẹ — các layer chỉ đọc được chia sẻ qua các container với một layer ghi được mỏng ở trên).

Hiểu **kiến trúc** (CLI → daemon → containerd → runc, với daemon quản lý mọi thứ) cung cấp bức tranh hoàn chỉnh về cách Docker vận hành.

Hiểu biết sâu hơn này giúp lập luận về các ranh giới cô lập (và các tác động bảo mật của chúng, vì các container chia sẻ kernel), giải thích các đặc tính hiệu năng và hiệu quả, và hỗ trợ khắc phục sự cố.

Vì hiểu các cơ chế bên dưới (namespace, cgroup, union filesystem) giải thích *tại sao* các container hành xử như chúng làm — cô lập, hiệu quả, kiểm soát tài nguyên của chúng, và sự thật quan trọng là chúng chia sẻ kernel của host (với các tác động bảo mật) — và làm sâu sắc khả năng làm việc với các hệ thống container hóa một cách tự tin, hiểu cách Docker hoạt động bên dưới là kiến thức cấp senior có giá trị nâng một người từ việc sử dụng Docker lên việc thực sự hiểu nó, một chủ đề phản ánh chiều sâu được mong đợi cho các vai trò senior và hữu ích để lập luận về hành vi container, các ranh giới bảo mật và hiệu năng.