Введение в контейнеры

Контейнер — это изолированное дерево процессов, построенное из образа: тарбола слоёв корневой файловой системы плюс метаданные. Ядро общее с хостом, поэтому старт почти мгновенный, а накладные расходы минимальны. Используйте контейнеры, чтобы доставлять приложение вместе с точным runtime, библиотеками и конфигом — оно одинаково ведёт себя на ноутбуке, CI-раннере и продовом сервере. Базовый поток: docker run. Продвинутый: реестры образов, OCI-runtime (runc, crun), namespaces и cgroups, оркестрация через Compose или Kubernetes.

Как это работает

Введение в контейнеры начинается с понимания: контейнер — это процесс (или дерево процессов) на ядре хоста со своими namespace для файловой системы, сети, PID — не VM. Ядро Linux даёт namespaces (изоляция) и cgroups (лимиты ресурсов); Docker — один из runtime, оборачивающий эти примитивы в удобный CLI + формат образов. Образы собираются один раз и запускаются везде, где есть совместимое ядро; слоёная модель даёт дешёвые пересборки за счёт кэша.

Когда применять

Берите контейнеры, когда нужно (а) воспроизводимые сборки между dev/CI/prod, (б) плотное размещение сервисов на одном хосте, (в) быстрый старт по сравнению с VM, (г) переносимый артефакт для дистрибуции. Пропустите для одноразовых shell-скриптов, hard-realtime нагрузок или приложений с привилегированным доступом к ядру (containers + privileged даёт тот же blast radius, что и VM, часто без VM-уровня изоляции).

Типичные ошибки

Ловушки Введение в контейнеры: путаница контейнеров с VM и ожидание полной изоляции (контейнер делит ядро — kernel-CVE пробивает границу); запуск контейнеров как root внутри (escapes проще); поставка 2 GB Ubuntu-образа для запуска 5 MB Go-бинарника; монтирование /var/run/docker.sock в контейнер "для удобства" (это root на хосте). Считайте контейнеры частью модели безопасности, не границей безопасности сами по себе.

Связанные понятия

• Почему существуют контейнеры
• Контейнеры против виртуальных машин
• Linux Namespaces & cgroups
• Стандарт OCI & Runtime