01-认识Docker

发表评论
3,664 views

A+

所属分类：Docker

摘要：本文内容摘自网络，我是一名技术的搬运工

官方文档写的特别好，认识docker可以看官方文档

官方文档：https://docs.docker.com/get-started/#docker-concepts

中文文档：https://yeasy.gitbooks.io/docker_practice/content/

目录：

1. Docker简介

1.1 什么是LXC（容器）？

1.2 什么是Docker？

1.3 Docker的三大核心概念？

1.3.1 镜像

1.3.2 容器

1.3.3 仓库

1.4 Docker的工作模式

1.5 Docker的八种应用场景

1.6 docker与openstack对比

1.7 Docker八种开发模式

1.8 Docker九个基本事实

1.9 Docker改变嘞什么？

1. Docker简介

Docker 最初是 dotCloud 公司创始人 Solomon Hykes 在法国期间发起的一个公司内部项目，它是基于 dotCloud 公司多年云服务技术的一次革新，并于 2013 年 3 月以 Apache 2.0 授权协议开源，主要项目代码在 GitHub 上进行维护。Docker 项目后来还加入了 Linux 基金会，并成立推动开放容器联盟（OCI）。

Docker 自开源后受到广泛的关注和讨论，至今其 GitHub 项目已经超过 4 万 6 千个星标和一万多个 fork。甚至由于 Docker 项目的火爆，在 2013 年底，dotCloud 公司决定改名为 Docker。Docker 最初是在 Ubuntu 12.04 上开发实现的；Red Hat 则从 RHEL 6.5 开始对 Docker 进行支持；Google 也在其 PaaS 产品中广泛应用 Docker。

Docker 使用 Google 公司推出的 Go 语言进行开发实现，基于 Linux 内核的 cgroup，namespace，以及AUFS 类的 Union FS 等技术，对进程进行封装隔离，属于操作系统层面的虚拟化技术。由于隔离的进程独立于宿主和其它的隔离的进程，因此也称其为容器。最初实现是基于 LXC，从 0.7 版本以后开始去除 LXC，转而使用自行开发的 libcontainer，从 1.11 开始，则进一步演进为使用 runC 和 containerd。

Docker 在容器的基础上，进行了进一步的封装，从文件系统、网络互联到进程隔离等等，极大的简化了容器的创建和维护。使得 Docker 技术比虚拟机技术更为轻便、快捷。

下面的图片比较了 Docker 和传统虚拟化方式的不同之处。传统虚拟机技术是虚拟出一套硬件后，在其上运行一个完整操作系统，在该系统上再运行所需应用进程；而容器内的应用进程直接运行于宿主的内核，容器内没有自己的内核，而且也没有进行硬件虚拟。因此容器要比传统虚拟机更为轻便。

图1-传统虚拟化

图2-Docker

1.1 什么是LXC（容器）？

LXC是Linux Containers的简写。Linux Containers容器是一种内核虚拟化技术，可以提供轻量级的虚拟化，以便隔离进程和资源，而且不需要提供指令解释机制以及全虚拟化的其他复杂性。相当于C++中的NameSpace。容器有效地将由单个操作系统管理的资源划分到孤立的组中，以更好地在孤立的组之间平衡有冲突的资源使用需求。与传统虚拟化技术相比，它的优势在于：

- 与宿主机使用同一个内核，性能损耗小；

- 不需要指令级模拟；

- 不需要即时(Just-in-time)编译；

- 容器可以在CPU核心的本地运行指令，不需要任何专门的解释机制；

- 避免了准虚拟化和系统调用替换中的复杂性；

- 轻量级隔离，在隔离的同时还提供共享机制，以实现容器与宿主机的资源共享。

总结：Linux Containers是一种轻量级的虚拟化的手段。

1.2 什么是Docker？

Docker是开发人员和系统管理员使用容器开发，部署和运行应用程序的平台。使用Linux容器来部署应用程序称为集装箱化。容器不是新的，但它们用于轻松部署应用程序。

Docker的组成其实很简单。你需要搭建registry，专属于你自己的私有仓库，然后就是docker的镜像和docker的容器。Docker的镜像，就类似与windos的系统盘，你只有有了它，你才能够跑起来容器

集装箱化越来越受欢迎，因为集装箱是：

- 灵活：即使是最复杂的应用程序也可以装箱。

- 轻量级：容器利用并共享主机内核。

- 可互换：您可以即时部署更新和升级。

- 便携式：您可以在本地构建，部署到云中并在任何地方运行。

- 可扩展性：您可以增加和自动分发容器副本。

- 可堆叠：您可以垂直堆叠服务并即时堆叠服务。

关于什么是docker可参考网址：https://www.docker.com/what-docker

docker的理念：构建，运输，运行

Docker 是Docker.lnc公司开源的一个基于LXC技术之上构建的contailer容器引擎，源代码托管在github上，基于go语言并遵从Apache2.0协议开源。

Docker是通过内核虚拟化技术（namespace及cgroups等）来提供容器的资源隔离与安全保障等，由于Docker通过操作系统层的虚拟化实现隔离，所以Docker容器在运行时，不需要类似虚拟机VM额外的操作系统开销，提高资源利用率。

镜像和容器的关系

通过运行镜像启动容器。一个镜像是一个可执行的包，其中包括运行应用程序所需的所有内容的代码，库，环境变量，和配置文件。

容器是镜像的运行时实例，当被执行时（即，具有状态的镜像，或用户进程）你可以使用该命令查看正在运行的容器的列表(docker ps)，就像在Linux中一样

1.3 Docker的三大核心概念

1.3.1 镜像

我们都知道，操作系统分为内核和用户空间。对于 Linux 而言，内核启动后，会挂载 root 文件系统为其提供用户空间支持。而 Docker 镜像（Image），就相当于是一个 root 文件系统。比如官方镜像 ubuntu:16.04 就包含了完整的一套 Ubuntu 16.04 最小系统的 root 文件系统。

Docker 镜像是一个特殊的文件系统，除了提供容器运行时所需的程序、库、资源、配置等文件外，还包含了一些为运行时准备的一些配置参数（如匿名卷、环境变量、用户等）。镜像不包含任何动态数据，其内容在构建之后也不会被改变。

分层存储

因为镜像包含操作系统完整的 root 文件系统，其体积往往是庞大的，因此在 Docker 设计时，就充分利用 Union FS 的技术，将其设计为分层存储的架构。所以严格来说，镜像并非是像一个 ISO 那样的打包文件，镜像只是一个虚拟的概念，其实际体现并非由一个文件组成，而是由一组文件系统组成，或者说，由多层文件系统联合组成。

镜像构建时，会一层层构建，前一层是后一层的基础。每一层构建完就不会再发生改变，后一层上的任何改变只发生在自己这一层。比如，删除前一层文件的操作，实际不是真的删除前一层的文件，而是仅在当前层标记为该文件已删除。在最终容器运行的时候，虽然不会看到这个文件，但是实际上该文件会一直跟随镜像。因此，在构建镜像的时候，需要额外小心，每一层尽量只包含该层需要添加的东西，任何额外的东西应该在该层构建结束前清理掉。

分层存储的特征还使得镜像的复用、定制变的更为容易。甚至可以用之前构建好的镜像作为基础层，然后进一步添加新的层，以定制自己所需的内容，构建新的镜像。

1.3.2 容器

镜像（Image）和容器（Container）的关系，就像是面向对象程序设计中的类和实例一样，镜像是静态的定义，容器是镜像运行时的实体。容器可以被创建、启动、停止、删除、暂停等。

容器的实质是进程，但与直接在宿主执行的进程不同，容器进程运行于属于自己的独立的命名空间。因此容器可以拥有自己的 root 文件系统、自己的网络配置、自己的进程空间，甚至自己的用户 ID 空间。容器内的进程是运行在一个隔离的环境里，使用起来，就好像是在一个独立于宿主的系统下操作一样。这种特性使得容器封装的应用比直接在宿主运行更加安全。也因为这种隔离的特性，很多人初学 Docker 时常常会混淆容器和虚拟机。

前面讲过镜像使用的是分层存储，容器也是如此。每一个容器运行时，是以镜像为基础层，在其上创建一个当前容器的存储层，我们可以称这个为容器运行时读写而准备的存储层为容器存储层。

容器存储层的生存周期和容器一样，容器消亡时，容器存储层也随之消亡。因此，任何保存于容器存储层的信息都会随容器删除而丢失。

按照 Docker 最佳实践的要求，容器不应该向其存储层内写入任何数据，容器存储层要保持无状态化。所有的文件写入操作，都应该使用数据卷（Volume）、或者绑定宿主目录，在这些位置的读写会跳过容器存储层，直接对宿主（或网络存储）发生读写，其性能和稳定性更高。

数据卷的生存周期独立于容器，容器消亡，数据卷不会消亡。因此，使用数据卷后，容器删除或者重新运行之后，数据却不会丢失。

1.3.3 仓库

Docker Registry

镜像构建完成后，可以很容易的在当前宿主机上运行，但是，如果需要在其它服务器上使用这个镜像，我们就需要一个集中的存储、分发镜像的服务，Docker Registry 就是这样的服务。

一个 Docker Registry 中可以包含多个仓库（Repository）；每个仓库可以包含多个标签（Tag）；每个标签对应一个镜像。

通常，一个仓库会包含同一个软件不同版本的镜像，而标签就常用于对应该软件的各个版本。我们可以通过 <仓库名>:<标签> 的格式来指定具体是这个软件哪个版本的镜像。如果不给出标签，将以 latest 作为默认标签。

以 Ubuntu 镜像为例，ubuntu 是仓库的名字，其内包含有不同的版本标签，如，14.04, 16.04。我们可以通过 ubuntu:14.04，或者 ubuntu:16.04 来具体指定所需哪个版本的镜像。如果忽略了标签，比如 ubuntu，那将视为 ubuntu:latest。

仓库名经常以两段式路径形式出现，比如 jwilder/nginx-proxy，前者往往意味着 Docker Registry 多用户环境下的用户名，后者则往往是对应的软件名。但这并非绝对，取决于所使用的具体 Docker Registry 的软件或服务。

Docker Registry 公开服务

Docker Registry 公开服务是开放给用户使用、允许用户管理镜像的 Registry 服务。一般这类公开服务允许用户免费上传、下载公开的镜像，并可能提供收费服务供用户管理私有镜像。

最常使用的 Registry 公开服务是官方的 Docker Hub，这也是默认的 Registry，并拥有大量的高质量的官方镜像。除此以外，还有 CoreOS 的 Quay.io，CoreOS 相关的镜像存储在这里；Google 的 Google Container Registry，Kubernetes 的镜像使用的就是这个服务。

由于某些原因，在国内访问这些服务可能会比较慢。国内的一些云服务商提供了针对 Docker Hub 的镜像服务（Registry Mirror），这些镜像服务被称为加速器。常见的有阿里云加速器、DaoCloud 加速器等。使用加速器会直接从国内的地址下载 Docker Hub 的镜像，比直接从 Docker Hub 下载速度会提高很多。在安装 Docker 一节中有详细的配置方法。

国内也有一些云服务商提供类似于 Docker Hub 的公开服务。比如时速云镜像仓库、网易云镜像服务、DaoCloud 镜像市场、阿里云镜像库等。

私有 Docker Registry

除了使用公开服务外，用户还可以在本地搭建私有 Docker Registry。Docker 官方提供了 Docker Registry镜像，可以直接使用做为私有 Registry 服务。在私有仓库一节中，会有进一步的搭建私有 Registry 服务的讲解。

开源的 Docker Registry 镜像只提供了 Docker Registry API 的服务端实现，足以支持 docker 命令，不影响使用。但不包含图形界面，以及镜像维护、用户管理、访问控制等高级功能。在官方的商业化版本 Docker Trusted Registry 中，提供了这些高级功能。

除了官方的 Docker Registry 外，还有第三方软件实现了 Docker Registry API，甚至提供了用户界面以及一些高级功能。比如，VMWare Harbor 和 Sonatype Nexus。

1.4 Docker的工作模式

学习Docker的源码并不是一个枯燥的过程，反而可以从中理解Docker架构的设计原理。

Docker对使用者来讲是一个C/S模式的架构，而Docker的后端是一个非常松耦合的架构，模块各司其职，并有机组合，支撑Docker的运行。

用户是使用Docker Client与Docker Daemon建立通信，并发送请求给后者。而Docker Daemon作为Docker架构中的主体部分，首先提供Server的功能使其可以接受Docker Client的请求；而后Engine执行Docker内部的一系列工作，每一项工作都是以一个Job的形式的存在。

Job的运行过程中，当需要容器镜像时，则从Docker Registry中下载镜像，并通过镜像管理驱动graphdriver将下载镜像以Graph的形式存储；当需要为Docker创建网络环境时，通过网络管理驱动networkdriver创建并配置Docker容器网络环境；当需要限制Docker容器运行资源或执行用户指令等操作时，则通过execdriver来完成。而libcontainer是一项独立的容器管理包，networkdriver以及execdriver都是通过libcontainer来实现具体对容器进行的操作。当执行完运行容器的命令后，一个实际的Docker容器就处于运行状态，该容器拥有独立的文件系统，独立并且安全的运行环境等。

1.5 Docker八种应用场景

1、简化配置,统一配置,通过镜像快速启动(Simplifying)

2、代码流水线管理,开发环境->测试环境->预生产环境->灰度发布->正式发布，docker在这里实现了快速迁移(Code Oioeline Management)

3、开发效率,对开发人员,有了镜像,直接启动容器即可(Developer Productivity)

4、应用隔离,相对于虚拟机的完全隔离会占用资源,docker会比较节约资源(App lsolation)

5、服务器整合,一台服务器跑多个docker容器,提高服务器的利用率(Server Consolidation)

6、调试能力,debug调试(Debugging Capabilties)

7、多租户,一个租户多个用户,类似于阿里公有云的一个project下多个用户(Multi-tenancy)

8、快速部署,不需要启动操作系统,实现秒级部署(Rapid Deplovment)

1.6 docker与openstack对比

类别	Docker	OpenStack	结论
部署难度	非常简单	组件多，部署复杂	因为平台是对已有的线上生产环境进行改造，必须选择侵入性较小的容器化技术
启动速度	秒级	分钟级	面对流量峰值,速度就是一切
执行性能	和物理系统几乎一致	VM会占用一些资源	微博核心业务对服务SLA要求非常苛刻
镜像体积	镜像是MB级别	虚拟机镜像是GB级别	当集群大规模部署时，体积小就代表更大的并发调度量
管理效率	管理简单	组件相互依赖，管理复杂	生产系统集群可控性是核心竞争力
隔离性	隔离性高	彻底隔离
可管理性能	单进程、不建议启动SSH	完整的系统管理
网络连接	比较弱	借助Neutron可以灵活组建各类网络架构

为什么要使用 Docker？

- 更高效的利用系统资源

- 更快速的启动时间

- 一致的运行环境

- 持续交付和部署

- 更轻松的迁移

- 更轻松的维护和扩展

- 对比传统虚拟机总结

参考网址：https://yeasy.gitbooks.io/docker_practice/content/introduction/why.html

1.7 Docker八中开发模式

1. 共享基础容器

2. 共享卷开发容器

3. 开发工具容器

4. 不同环境下测试容器

5. 构建容器

6. 安装容器

7. 盒子中默认服务容器

8. 基础设施/粘合剂容器

1.8 Docker九个基本事实

1. 容器不同于虚拟机

2. 容器不如虚拟机来得成熟

3. 容器可以在几分之一秒内启动

4. 容器已在大规模环境证明了自身的价值

5. IT人员称容器为轻量级

6. 容器引发了安全问题

7. Docker已成为容器的代名词，但它不是唯一的提供者

8. 容器能节省IT人力，加快更新

9. 容器仍面临一些没有解决的问题

1.9 Docker改变了什么？

面向产品：产品交付

面向开发：简化环境配置

面向测试：多版本测试

面向运维：环境一致性，环境回滚。

面向架构：自动化扩容(微服务)

Docker更快速的交付和部署

对于开发和人员来说，最希望的就是一次创建和配置，可以在任意地方正常运行。

开发者可以使用一个标准的镜像来构建一套开发容器，开发完成之后，运维人员可以直接使用这个容器来部署代码。Docker可以快速创建容器，快速迭代应用程序，并让整个过程全称可见，使团队中的其他成员更容易理解应用程序是如何创建和工作。Docker容器很轻很快！容器的启动时间是秒级的，大量第节约开发、测试、部署的时间。

Docker更高效的虚拟化

Docker容器的运行不需要额外的Hypervisor支持，它是内核级的虚拟化，因此可以实现更高的性能和效率。

Docker更轻松的迁移和扩展

Docker容器几乎可以字啊任意的平台上运行，包括物理机、虚拟机、公有云、私有云、个人电脑、服务器等。这种兼容性可以让用户把一个应用程序从一个平台直接迁移到另外一个。

Docker更简单的管理

使用Docker，只需要小小的修改，就可以替代往大量的更新工作。所有的修改都以增量的方式被分发和更新，从而实现自动化并且高效的管理。