先從認識容器開始
什麼是容器?
官方解釋:
一句話概括容器:容器就是將軟件打包成標準化單元,以用於開發、交付和部署。
- 容器鏡像是輕量的、可執行的獨立軟件包 ,包含軟件運行所需的所有內容:代碼、運行時環境、系統工具、系統庫和設置。
- 容器化軟件是跨平臺的,適用於基於Linux、Windows和Mac OS等應用,在任何環境中都能夠始終如一地運行。
- 容器賦予了軟件獨立性,使其免受外在環境差異(例如,開發和預演環境的差異)的影響,從而有助於減少團隊間在相同基礎設施上運行不同軟件時的衝突。
通俗解釋:
容器就是一個存放東西的地方,就像書包可以裝各種文具、衣櫃可以放各種衣服、鞋架可以放各種鞋子一樣。我們現在所說的容器存放的東西可能更偏向於應用比如網站、程序甚至是系統環境。
圖解物理機、虛擬機與容器
關於虛擬機與容器的對比在後面會詳細介紹到,這裏只是通過網上的圖片加深大家對於物理機、虛擬機與容器這三者的理解。
物理機:
虛擬機:
容器:
通過上面這三張抽象圖,我們大概可以通過類比概括出:
- 虛擬機技術是虛擬出一套硬件後,在其上運行一個完整操作系統;
- 容器虛擬化的是操作系統而不是硬件,容器之間是共享同一套操作系統資源的,因此容器的隔離級別會稍低一些。
再來談談Docker的一些概念
什麼是Docker
- Docker是世界領先的軟件容器平臺。
- Docker使用Google公司推出的Go語言進行開發實現,基於Linux內核的cgroup,namespace,以及AUFS類的UnionFS等技術,對進程進行封裝隔離,屬於操作系統層面的虛擬化技術。 由於隔離的進程獨立於宿主和其它的隔離的進程,因此也稱其爲容器。Docke最初實現是基於LXC。
- Docker能夠自動執行重複性任務,例如搭建和配置開發環境,從而解放了開發人員以便他們專注在真正重要的事情上:構建傑出的軟件。
- 用戶可以方便地創建和使用容器,把自己的應用放入容器。容器還可以進行版本管理、複製、分享、修改,就像管理普通的代碼一樣。
Docker容器的特點
- 輕量,在一臺機器上運行的多個Docker容器可以共享這臺機器的操作系統內核;它們能夠迅速啓動,只需佔用很少的計算和內存資源。鏡像是通過文件系統層進行構造的,並共享一些公共文件。這樣就能儘量降低磁盤用量,並能更快地下載鏡像。
- 標準,Docker容器基於開放式標準,能夠在所有主流Linux版本、Microsoft Windows以及包括VM、裸機服務器和雲在內的任何基礎設施上運行。
- 安全,Docker賦予應用的隔離性不僅限於彼此隔離,還獨立於底層的基礎設施。Docker默認提供最強的隔離,因此應用出現問題,也只是單個容器的問題,而不會波及到整臺機器。
爲什麼要用Docker
- Docker的鏡像提供了除內核外完整的運行時環境,確保了應用運行環境一致性,從而不會再出現“這段代碼在我機器上沒問題啊”這類問題;——一致的運行環境
- 可以做到秒級、甚至毫秒級的啓動時間。大大的節約了開發、測試、部署的時間。——更快速的啓動時間
- 避免公用的服務器,資源會容易受到其他用戶的影響。——隔離性
- 善於處理集中爆發的服務器使用壓力;——彈性伸縮,快速擴展
- 可以很輕易的將在一個平臺上運行的應用,遷移到另一個平臺上,而不用擔心運行環境的變化導致應用無法正常運行的情況。——遷移方便
- 使用Docker可以通過定製應用鏡像來實現持續集成、持續交付、部署。——持續交付和部署
容器 VS 虛擬機
簡單來說: 容器和虛擬機具有相似的資源隔離和分配優勢,但功能有所不同,因爲容器虛擬化的是操作系統,而不是硬件,因此容器更容易移植,效率也更高。
兩者對比圖
傳統虛擬機技術是虛擬出一套硬件後,在其上運行一個完整操作系統,在該系統上再運行所需應用進程;而容器內的應用進程直接運行於宿主的內核,容器內沒有自己的內核,而且也沒有進行硬件虛擬。因此容器要比傳統虛擬機更爲輕便。
容器與虛擬機 (VM) 總結
- 容器是一個應用層抽象,用於將代碼和依賴資源打包在一起。 多個容器可以在同一臺機器上運行,共享操作系統內核,但各自作爲獨立的進程在用戶空間中運行 。與虛擬機相比, 容器佔用的空間較少(容器鏡像大小通常只有幾十兆),瞬間就能完成啓動 。
- 虛擬機(VM)是一個物理硬件層抽象,用於將一臺服務器變成多臺服務器。 管理程序允許多個VM在一臺機器上運行。每個VM都包含一整套操作系統、一個或多個應用、必要的二進制文件和庫資源,因此佔用大量空間。而且VM啓動也十分緩慢 。
通過Docker官網,我們知道了這麼多Docker的優勢,但是大家也沒有必要完全否定虛擬機技術,因爲兩者有不同的使用場景。虛擬機更擅長於徹底隔離整個運行環境。例如,雲服務提供商通常採用虛擬機技術隔離不同的用戶。而Docker通常用於隔離不同的應用 ,例如前端,後端以及數據庫。
容器與虛擬機(VM)兩者是可以共存的
對於兩者無所謂誰會取代誰,而是兩者可以和諧共存。
Docker基本概念
Docker包括三個基本概念:
- 鏡像(Image)
- 容器(Container)
- 倉庫(Repository)
![在這裏插入圖片描述]()
鏡像(Image)——一個特殊的文件系統
操作系統分爲內核和用戶空間。對於Linux而言,內核啓動後,會掛載root文件系統爲其提供用戶空間支持。而Docker鏡像(Image),就相當於是一個root文件系統。
Docker鏡像是一個特殊的文件系統,除了提供容器運行時所需的程序、庫、資源、配置等文件外,還包含了一些爲運行時準備的一些配置參數(如匿名卷、環境變量、用戶等)。 鏡像不包含任何動態數據,其內容在構建之後也不會被改變。
Docker設計時,就充分利用Union FS的技術,將其設計爲分層存儲的架構。 鏡像實際是由多層文件系統聯合組成。
鏡像構建時,會一層層構建,前一層是後一層的基礎。每一層構建完就不會再發生改變,後一層上的任何改變只發生在自己這一層。比如,刪除前一層文件的操作,實際不是真的刪除前一層的文件,而是僅在當前層標記爲該文件已刪除。在最終容器運行的時候,雖然不會看到這個文件,但是實際上該文件會一直跟隨鏡像。因此,在構建鏡像的時候,需要額外小心,每一層儘量只包含該層需要添加的東西,任何額外的東西應該在該層構建結束前清理掉。
分層存儲的特徵還使得鏡像的複用、定製變的更爲容易。甚至可以用之前構建好的鏡像作爲基礎層,然後進一步添加新的層,以定製自己所需的內容,構建新的鏡像。
容器(Container)——鏡像運行時的實體
鏡像(Image)和容器(Container)的關係,就像是面向對象程序設計中的類和實例一樣,鏡像是靜態的定義,容器是鏡像運行時的實體。容器可以被創建、啓動、停止、刪除、暫停等 。
容器的實質是進程,但與直接在宿主執行的進程不同,容器進程運行於屬於自己的獨立的命名空間。前面講過鏡像使用的是分層存儲,容器也是如此。
容器存儲層的生存週期和容器一樣,容器消亡時,容器存儲層也隨之消亡。因此,任何保存於容器存儲層的信息都會隨容器刪除而丟失。
按照Docker最佳實踐的要求,容器不應該向其存儲層內寫入任何數據 ,容器存儲層要保持無狀態化。所有的文件寫入操作,都應該使用數據卷(Volume)、或者綁定宿主目錄,在這些位置的讀寫會跳過容器存儲層,直接對宿主(或網絡存儲)發生讀寫,其性能和穩定性更高。數據卷的生存週期獨立於容器,容器消亡,數據卷不會消亡。因此, 使用數據卷後,容器可以隨意刪除、重新run,數據卻不會丟失。
倉庫(Repository)——集中存放鏡像文件的地方
鏡像構建完成後,可以很容易的在當前宿主上運行,但是, 如果需要在其它服務器上使用這個鏡像,我們就需要一個集中的存儲、分發鏡像的服務,Docker Registry就是這樣的服務。
一個Docker Registry中可以包含多個倉庫(Repository);每個倉庫可以包含多個標籤(Tag);每個標籤對應一個鏡像。所以說:鏡像倉庫是Docker用來集中存放鏡像文件的地方類似於我們之前常用的代碼倉庫。
通常,一個倉庫會包含同一個軟件不同版本的鏡像,而標籤就常用於對應該軟件的各個版本 。我們可以通過<倉庫名>:<標籤>的格式來指定具體是這個軟件哪個版本的鏡像。如果不給出標籤,將以latest作爲默認標籤。
Docker的底層原理
Namespaces
Linux Namespace提供了一種內核級別隔離系統資源的方法,通過將系統的全局資源放在不同的Namespace中,來實現資源隔離的目的。不同Namespace的程序,可以享有一份獨立的系統資源。
- Mount Namespaces:掛載命名空間,用於隔離掛載目錄
爲什麼要通過Mount namespace隔離掛載目錄?
如果說隔離在某個namespace中的程序,可所掛載的目錄進行修改,那麼另一個nemaspace中運行的程序也能察覺到,這樣就在無形之中影響了其他Namespace中程序的運行,顯然達不達這樣的隔離效果;
所以要進行程序之間的隔離,
首先是要把程序所使用的掛載目錄進行隔離,讓不同的Nemaspaces擁有獨立掛載結構,而程序對掛載信息的修改,也不會影響到其他的namespace中程序的運行; - UTS Namespaces:UTS命名空間,用於隔離主機及網絡域等信息
通過UTS命名空間,可以爲不同的Namespaces設置不同的主機名和網絡域 能夠簡單的將程序隔離到一個獨立的網絡命名空間 - IPC Namespaces:用於隔離進程之間的調用,也就是隔離進程之間的通信;
主要針對系統信號量,消息隊列以及共享內存;但是需要注意的是,IPC對於需要進行進程之間通信的程序,只能與同一個命名空間進行通信,無法做到不同命名空間進行信息交換通信; - PID Namespaces:進程命名空間,用於隔離進程的運行信息
進程是程序運行最直接的體現方式,要實現進程隔離,將進程信息進行隔離是必須的,爲了最大的節約轉換的損耗,每一個運行在Namespaces中的進程,其實就真是的運行在Linux系統中,我們雖然可以在宿主機中找到Namespaces隔離
的進程信息,但是namespaces中的PID與宿主機系統中你那個的進程PID並不相同,這也就是得益於PIDNamespaces實現的進程信息的隔離,PID Namespaces爲命名空間設置了一個獨立的進程管理棧,其中就包括了獨立的進程號管理
,每個運行在Namespaces中的進程,會分配到一個屬於這個命名空間 - Network Namespaces:網絡命名空間,用於隔離網絡配置和訪問
- User Namespace:用於隔離用戶和用戶組信息
通過專門的用戶隔離機制,防止運行在Namespaces中的程序直接操作宿主機系統中的用戶,以避免影響其他Namespaces中的運行程序;
Control groups
cgroups是Linux下控制一個(或一組)進程的資源限制機制,全稱是control groups,可以對cpu、內存等資源做精細化控制,比如目前很多的Docker在Linux下就是基於cgroups提供的資源限制機制來實現資源控制的;除此之外,開發者也可以指直接基於cgroups來進行進程資源控制,比如8核的機器上部署了一個web服務和一個計算服務,可以讓web服務僅可使用其中6個核,把剩下的兩個核留給計算服務。cgroups cpu限制除了可以限制使用多少/哪幾個核心之外,還可以設置cpu佔用比(注意佔用比是各自都跑滿情況下的使用比例,如果一個cgroup空閒而另一個繁忙,那麼繁忙的cgroup是有可能佔滿整個cpu核心的)。
- cpu 子系統,主要限制進程的 cpu 使用率。
- cpuacct 子系統,可以統計 cgroups 中的進程的 cpu 使用報告。
- cpuset 子系統,可以爲 cgroups 中的進程分配單獨的 cpu 節點或者內存節點。
- memory 子系統,可以限制進程的 memory 使用量。
- blkio 子系統,可以限制進程的塊設備 io。
- devices 子系統,可以控制進程能夠訪問某些設備。
- net_cls 子系統,可以標記 cgroups 中進程的網絡數據包,然後可以使用 tc 模塊(traffic control)對數據包進行控制。
- freezer 子系統,可以掛起或者恢復 cgroups 中的進程。
- ns 子系統,可以使不同 cgroups 下面的進程使用不同的 namespace。
聯合文件系統
聯合文件系統(UnionFS)是一種分層、輕量級並且高性能的文件系統,它支持對文件系統的修改作爲一次提交來一層層的疊加,同時可以將不同目錄掛載到同一個虛擬文件系統下(unite several directories into a single virtual filesystem)。
聯合文件系統是 Docker 鏡像的基礎。鏡像可以通過分層來進行繼承,基於基礎鏡像(沒有父鏡像),可以製作各種具體的應用鏡像。
另外,不同 Docker 容器就可以共享一些基礎的文件系統層,同時再加上自己獨有的改動層,大大提高了存儲的效率。
Docker 中使用的 AUFS(AnotherUnionFS)就是一種聯合文件系統。 AUFS 支持爲每一個成員目錄(類似 Git 的分支)設定只讀(readonly)、讀寫(readwrite)和寫出(whiteout-able)權限, 同時 AUFS 裏有一個類似分層的概念, 對只讀權限的分支可以邏輯上進行增量地修改(不影響只讀部分的)。
網絡系統
host模式
container模式
none模式
bridge模式
bridge模式是docker的默認網絡模式,不寫–net參數,就是bridge模式。使用docker run -p時,docker實際是在iptables做了DNAT規則,實現端口轉發功能。可以使用iptables -t nat -vnL查看。
Docker架構
- 命令行應用程序:JSON格式的HTTP(S)報文是與 dockerd通信的標準。
- dockerd:dockerd負責監聽用戶請求,並根據預先定義的路由對這些請求進行處理。
- containerd:containerd 是一個守護進程,它使用了符合OCI規格的運行時來監管容器的生命週期。正如Michael Crosby所描述的,containerd是容器的監管者。
![在這裏插入圖片描述]()
