# Docker Engine
Это программное обеспечение, которое позволяет создавать, разворачивать и администрировать контейнеризированные приложения. Основные компоненты:
- **Docker Daemon** - это сервер Docker, который ожидает запросов к API Docker, 
- **REST API** - интерфейс, с помощью которого взаимодействуют программы с демоном, 
- **Docker CLI** - клиентская утилита командной строки, через которую пользователи взаимодействуют с Docker.

Docker Engine - основной компонент Docker, включает в себя функци и возможности, которые делают его мощным инструментом для управления контейнерами и их окружением. 
Основные функции Docker Engine:

1. **Управление контейнерами**: позволяет создавать, запускать, останавливать и удалять контейнеры. Это основной механизм для управления изолированными окружениями приложений.

2. **Управление образами**: предоставляет средства для создания, хранения, изменения и распространения Docker-образов.

3. **Сетевые сервисы**: включает в себя встроенную поддержку для настройки сетевых соединений контейнеров между собой и с внешними сетями. Это включает виртуальные сетевые интерфейсы, мосты, общие сети и другие механизмы для управления сетевой конфигурацией контейнеров.

4. **Хранение данных**: поддерживает механизмы для управления данными в контейнерах, включая возможность создания и монтирования томов (volumes) и использование хранилищ данных Docker.

5. **Управление ресурсами**:  позволяет настраивать ограничения на использование ресурсов, таких как CPU и память, для контейнеров. Это помогает эффективно использовать ресурсы хоста и предотвращать перегрузки.

6. **Мониторинг и логирование**: предоставляет инструменты для мониторинга работоспособности контейнеров, их состояния и логирования вывода приложений, работающих в контейнерах.

7. **Мультихостовая установка**: позволяет настраивать мультихостовую установку, что позволяет управлять несколькими инстансами Docker и их ресурсами с помощью единого интерфейса.

8. **Безопасность**: включает механизмы для обеспечения безопасности контейнеров, такие как разграничение привилегий, управление доступом к ресурсам хоста и изоляция контейнеров друг от друга.

9. **Интеграция с различными платформами**: поддерживает работу на различных операционных системах и облачных платформах, что обеспечивает гибкость и переносимость контейнеризированных приложений.



## Изоляция контейнеров

Изоляция контейнеров обеспечивют:

1. **Пространство имен (Namespaces)**: Docker использует различные пространства имен (например, PID, сеть, файловая система), чтобы контейнеры могли видеть только их собственные процессы, сетевые интерфейсы и файловые системы. Это предотвращает конфликты и предоставляет каждому контейнеру изолированное окружение.

2. **Control Groups (cgroups)**: Docker использует управляющие группы (cgroups), для управления и ограничения ресурсов, выделенных каждому контейнеру. Cgroups позволяют контролировать и ограничивать использование CPU, памяти, дискового пространства и других системных ресурсов контейнерами. Это способствует справедливому распределению ресурсов между контейнерами на хосте и предотвращает ситуации, когда один контейнер может монополизировать все доступные ресурсы, негативно влияя на работу других контейнеров или системы в целом.



**Контроль доступа к файловой системе (File system access control)**: Контейнеры имеют собственное изолированное представление файловой системы. Docker использует технологии, такие как overlayfs или aufs, чтобы предоставлять контейнерам свой собственный вид файловой системы, что делает их независимыми друг от друга.

**Изоляция сети (Network isolation)**: Каждый контейнер имеет свой собственный виртуальный сетевой интерфейс и IP-адрес, что позволяет контейнерам общаться друг с другом и с внешним миром, но изолированно.


### Настройка изоляции контейнеров



1. **Совместное использование сети хоста**: По умолчанию каждый контейнер имеет свой собственный виртуальный сетевой стек. Если нужно, чтобы контейнер использовал сеть хоста напрямую, можно запустить контейнер с флагом `--network=host`. Это позволяет контейнеру использовать сетевые интерфейсы хоста без изоляции.

   ```bash
   docker run --network=host [имя_образа]
   ```

2. **Общий доступ к файловой системе хоста**: Иногда требуется, чтобы контейнер имел доступ к файлам на хосте, например, для обмена данными или для монтирования директорий. Для этого можно использовать опцию `-v` (volume mount) при запуске контейнера, чтобы примонтировать директорию хоста в контейнер.

   ```bash
   docker run -v /путь_на_хосте:/путь_в_контейнере [имя_образа]
   ```

3. **Отключение ограничений ресурсов**: Если требуется, чтобы контейнер мог использовать все доступные ресурсы хоста без ограничений, можно запустить контейнер с использованием опций `--cpus="0.0"` и `--memory="0"` для отключения ограничений на CPU и память соответственно.

   ```bash
   docker run --cpus="0.0" --memory="0" [имя_образа]
   ```

Эти опции полезны, но требуют осторожности, так как они могут снижать уровень безопасности и изоляции контейнеров. По возможности, рекомендуется использовать стандартные методы работы с Docker, чтобы сохранить изоляцию и безопасность контейнеризированных приложений.

#### Пример 1

Запустить контейнер с названием alpine-100mb из образа alpine, ограничив его память 100mb:

In [9]:
! docker run -d --name alpine-100mb --memory 100m alpine

55b1fe9d9f6988e1f16902875f8603ed5fa2bb0c52284141685208a4fada4682


#### Пример 2
Посмотреть сетевые интерфейсы контейнера:

In [10]:
! docker run -it alpine ip addr show

1: lo: <LOOPBACK,UP,LOWER_UP> mtu 65536 qdisc noqueue state UNKNOWN qlen 1000
    link/loopback 00:00:00:00:00:00 brd 00:00:00:00:00:00
    inet 127.0.0.1/8 scope host lo
       valid_lft forever preferred_lft forever
    inet6 ::1/128 scope host 
       valid_lft forever preferred_lft forever
14: eth0@if15: <BROADCAST,MULTICAST,UP,LOWER_UP,M-DOWN> mtu 1500 qdisc noqueue state UP 
    link/ether 02:42:ac:11:00:02 brd ff:ff:ff:ff:ff:ff
    inet 172.17.0.2/16 brd 172.17.255.255 scope global eth0
       valid_lft forever preferred_lft forever


Ессли использовать сеть хоста, то картина следующая

In [11]:
! docker run -it --net=host alpine ip addr show

1: lo: <LOOPBACK,UP,LOWER_UP> mtu 65536 qdisc noqueue state UNKNOWN qlen 1000
    link/loopback 00:00:00:00:00:00 brd 00:00:00:00:00:00
    inet 127.0.0.1/8 scope host lo
       valid_lft forever preferred_lft forever
    inet6 ::1/128 scope host 
       valid_lft forever preferred_lft forever
2: ens33: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc fq_codel state UP qlen 1000
    link/ether 00:0c:29:73:d6:a3 brd ff:ff:ff:ff:ff:ff
    inet 192.168.61.130/24 brd 192.168.61.255 scope global dynamic noprefixroute ens33
       valid_lft 1024sec preferred_lft 1024sec
    inet6 fe80::2cb6:ff3f:7c06:ca08/64 scope link noprefixroute 
       valid_lft forever preferred_lft forever
3: docker0: <NO-CARRIER,BROADCAST,MULTICAST,UP> mtu 1500 qdisc noqueue state DOWN 
    link/ether 02:42:9b:36:ca:29 brd ff:ff:ff:ff:ff:ff
    inet 172.17.0.1/16 brd 172.17.255.255 scope global docker0
       valid_lft forever preferred_lft forever
    inet6 fe80::42:9bff:fe36:ca29/64 scope link 
       valid_lft for