【仕組み解説】Dockerはどうやってコンテナを動かしているのか — 仮想化との違いも図解

いい質問だね。仮想マシンはハードウェアごと丸ごとエミュレートして、その上にゲストOSを載せる仕組みなんだ。一方コンテナは、ホストOSのカーネルを共有しながら、アプリケーションの実行環境だけを隔離する技術だよ。だからVMよりずっと軽量で、起動も数秒で済むんだ。

そこで活躍するのがLinuxの「namespace（ネームスペース）」という仕組みだよ。namespaceはプロセスID、ネットワーク、ファイルシステム、ユーザーIDなどをコンテナごとに隔離してくれるんだ。コンテナAからはコンテナBのプロセスが見えないし、ネットワークも別々になる。カーネルは共有してるけど、各コンテナは自分だけの世界にいるように振る舞えるんだよ。

それを防ぐのが「cgroups（コントロールグループ）」だよ。cgroupsはCPU時間、メモリ使用量、ディスクI/O、ネットワーク帯域などのリソースをコンテナごとに制限できる仕組みなんだ。たとえば「このコンテナはメモリ512MBまで」と設定すれば、それ以上は使えない。namespaceが「見える範囲の隔離」なら、cgroupsは「使える量の制限」と覚えるといいよ。

Dockerイメージは「Union FS（ユニオンファイルシステム）」というレイヤー構造になっているんだ。Dockerfileの各命令（FROM、RUN、COPYなど）が1つのレイヤーになって、それが積み重なってイメージができる。たとえばベースOSのレイヤー、パッケージインストールのレイヤー、アプリコードのレイヤーという具合だね。各レイヤーは読み取り専用で、コンテナ起動時にその上に書き込み可能なレイヤーが1枚追加される仕組みだよ。

大きなメリットは2つあるよ。1つ目は「キャッシュ」。Dockerfileを変更してビルドし直すとき、変わっていないレイヤーは再利用されるから、ビルドが高速になる。2つ目は「共有」。同じベースイメージを使う複数のコンテナがあっても、共通レイヤーはディスク上で1コピーだけ保持されるから、ストレージを節約できるんだ。これがDocker効率のカギだよ。

現代のDockerは大きく3層構造になっているよ。まずユーザーが操作する「Docker CLI」、次にコンテナのライフサイクルを管理する「containerd（コンテナディー）」、そして実際にnamespaceやcgroupsを設定してコンテナプロセスを起動する「runc（ランシー）」だ。docker runを実行すると、CLIがDocker Daemonに指示を送り、containerdがイメージの準備をして、runcがLinuxカーネルの機能を使ってコンテナを立ち上げる流れだね。

実はそうじゃないんだ。これらはOCI（Open Container Initiative）という業界標準に基づいて作られているよ。OCIはコンテナイメージの形式とランタイムの仕様を標準化したもので、Docker以外のツール（PodmanやKubernetesなど）も同じ標準に準拠しているんだ。だからDockerで作ったイメージをKubernetesでそのまま動かせるのも、この標準化のおかげだよ。

まとめると、DockerはLinuxカーネルが持つnamespace（隔離）、cgroups（リソース制限）、Union FS（レイヤー構造）という3つの要素技術を組み合わせて、アプリの実行環境をパッケージングしているんだ。VMのようにOSごと仮想化するのではなく、カーネルを共有することで軽量・高速を実現している。そしてcontainerdやruncといったOCI準拠のコンポーネントが実際の処理を担当しているから、エコシステム全体で互換性が保たれているんだよ。コンテナは「魔法」じゃなくて、Linuxの機能を賢く組み合わせた技術だということを覚えておくといいね。