Docker 01 Introduction
Docker的组成:
- Docker Engine,一个轻量级、强大的开源容器虚拟化平台,使用包含了工作流的虚拟化技术,帮助用户建立、并容器化一个应用。
- Docker Hub,提供的一个SaaS服务,用来分享和管理你的程序栈
Docker的优点:
- 应用程序快速交付
- 部署和扩展更加简便
- 更高的部署密度,更满的运行负载
- 更快的部署使得管理更加简单
Docker的架构:
Docker使用CS的架构,包括Docker Client和Docker Daemon两个部分。Docker Client和Docker进行通话,Daemon完成重量级的任务,包括建立、运行、分发Docker容器。Client和Daemon可以运行在同一个物理机上,Client也可以连接一个远程的Daemon。Client和Daemon之间通过socket或者REST API进行通信。
Docker架构示意图如下:
- Docker Daemon
运行在宿主机(host machine)上,用户不直接与Docker进行交互,而是通过Docker Client进行连接。
- Docker Client
以docker:一个二进制文件的形式存在,是Docker的主要用户接口,它接受用户输入命令,并与Docker Daemon进行通信。
Docker的内部结构:
- Docker images(镜像)
一个Docker Image是一个只读的模板。比如,一个镜像可以是一个包含了Apache服务器的Ubuntu操作系统,并安装了你的应用程序。镜像用来创建Docker容器。Docker提供了一种简单的方式去创建一个新的镜像,或者更新镜像,或者下载别的用户已经创建好的镜像。Docker Image是Docker的建立模块。
- Docker registries(登记)
Docker registries管理镜像。registry对于用户上传、下载的镜像,或者标记为公有存储,或者标记为私有存储。公有的登记叫做Docker Hub。它提供了大量的现成镜像供用户使用。这些镜像可以是用户自己创建的,或者别人已经创建好的。Docker registries是Docker的发布模块。
- Docker containers(容器)
Docker containers和文件夹类似。一个Docker容器保存一个应用程序运行所需要的一切。每个容器都是基于一个镜像创建。Docker可以被运行、开始、停止、移动、删除。每个容器是一个独立、安全的应用程序平台。Docker container是Docker的运行模块。
Docker如何工作:
- 建立一个包含应用程序的镜像;
- 基于建立的镜像,创建一个Docker容器来运行应用程序;
- 可以通过公有的Docker Hub或者自己的登记来共享Docker镜像。
Docker组件如何工作:
- Docker镜像如何工作:
我们已经看到,Docker镜像是Docker容易创建时候用到的一个只读的模板。每个镜像由若干“层”构成,Docker镜像使用UnionFS将这些“层”整合成一个镜像。UnionFS允许文件和目录使用不同的文件系统(称为“分支”),各层之间透明叠加,构成一个整体、一致的文件系统。
Docker之所有这样轻量级与这些“层”有关,当需要修改一个镜像:比如将应用更新到一个新的版本——建立了一个新的“层”。在一个虚拟机里面,需要替换整个镜像,或者整个重新建立一个镜像;而Docker只需要将该新建层添加到镜像里面,或者做“层”更新即可。这样就不需要发布一个新的镜像,只需要更新一下,这样使得发布Docker镜像更快更简单。
每个镜像都起始于一个基础镜像,比如Ubuntu,一个基础的Ubuntu镜像,fedora,一个基础的fedora镜像。也可以使用用户自己制作的镜像作为一个基础镜像,比如用户创建一个Apache镜像,可以据此创建用户的Web应用镜像。
通常,Docker从Docker Hub上获取这些基础镜像。
之后,Docker镜像基于这些基础镜像,使用一组简单的、描述性的步骤——称之为“指令”。每个指令在镜像上创建一个新的“层”。指令包括如下的动作:
- 执行一个命令
- 添加一个文件或目录
- 创建一个环境变量
- 当基于当前镜像载入一个容器时,执行那个进程
这些指令被保存在一个叫做Dockerfile的文件里。当用户请求建立一个镜像时,Docker读取这些Dockerfile,执行里面的指令,然后返回一个最终的镜像。
- Docker登记如何工作:
Docker登记是对Docker镜像的一个管理库。当用户创建完一个Docker镜像之后,可以将镜像推送到公共的登记库Docker Hub,或者运行在防火墙内的个人登记库。
使用Docker Client可以搜索已经发布的Docker镜像,然后将镜像拖到本地的Docker host,基于这些镜像创建容器。
Docker Hub提供了公有和私有的镜像存储机制。公有镜像可以被任何人搜索、下载。私有镜像会在搜索结果中排除,并且只有你和你的用户可以下载镜像,基于他们创建容器。用户可以在这里创建一个存储计划。
- Docker容器如何工作:
一个容器包括:操作系统、用户添加的应用、元数据。每个容器都是基于镜像创建,镜像告诉Docker:容器包含哪些内容,
容器载入时运行哪些进程,以及其他多种配置数据。Docker镜像是只读的,当Docker运行一个容器,它会在只读的镜像上面添加一个“读写层”(使用之前提到的UnionFS),应用程序可以在这一层上运行。
- 运行一个容器的内部机制
用docker程序或者API,Docker Client通知Docker Daemon运行一个容器:
$ sudo docker run -i -t ubuntu /bin/bash
对上面的命令进行拆解:
Docker Client — 使用docker程序启动;
|- 使用run通知Docker Daemon载入一个新的容器;
|- ubuntu,容器基于那个镜像创建;
|- /bin/sh,容器载入完毕后,在容器内执行什么样的命令;
在载入容器的时候,至少要告诉Docker Daemon基于那个镜像创建容器,以及容器载入后执行什么样的命令。
上面这行命令执行的时候,内部的实现机制如下:
- 下载ubuntu镜像:Docker检查ubuntu镜像是否存在,如果本地不存在,就从Docker Hub下载;如果已经存在,就基于本地的ubuntu镜像创建容器;
- 创建一个新的容器:一旦拥有了镜像,就利用镜像创建容器;
- 分配一个文件系统并创建一个读写层:容器在这个文件系统里面创建,并且一个读写层添加到原有的基础镜像上;
- 分配 网络\网桥 接口:创建一个网络接口,允许容器与本地host通信;
- 分配IP地址:从资源池中寻找并绑定一个可用的IP地址;
- 执行用户指定的进程:运行你指定的应用;
- 捕获并提供应用程序输出:连接并记录标准输入、输出、报错,将这些信息提供给用户,供其了解应用程序如何运行。
拥有了一个运行的容器,之后用户可以管理容器,与应用程序交互,当运行结束后,关闭、移除容器。
Docker底层技术:
Docker用Go语言编写,利用了Linux内核的一些特性来提供我们看到的一些功能。
- Namespaces(名字空间)
Docker使用了叫做namespaces技术,来提供我们叫做容器的隔离工作区。当运行一个容器的时候,Docker为该容器创建一组namespaces。
这样就创建了一个隔离层:每个容器实例(aspect of container)运行在它自己的名字空间,且在外部无法对其访问。
Docker用到的一些名字空间包括:
-
- pid:Process ID,进程隔离;
- net:Networking,管理网络接口;
- ipc:InterProcess Communication,管理对IPC资源的访问;
- mnt:Mount,管理挂载点;
- uts:Unix Timesharing System,内核隔离及版本识别。
- Control groups(控制组)
隔离地运行应用程序的关键,是控制应用程序使用合法的资源。这保证容器在宿主机上是良好的多租客用户。控制组允许Docker共享宿主机的硬件资源给容器,并支持对容器可用资源进行限制和约束。比如,限制指定容器的可用内存。
Union file systems(联合文件系统)
联合文件系统,或者UnionFS,是一种特殊的文件系系统:通过创建“层”进行操作,这种文件系统够快,够轻巧。Docker使用联合文件系统提供容器的创建模块。Docker支持多种联合文件系统的变种,包括:AUFS, btrfs, vfs, and DeviceMapper
- Container format(容器格式)
Docker将这些组件打包成一个包装器,叫做容器格式。缺省的容器格式叫做libcontainer。Docker也支持使用LXC的传统Linux容器。未来,Docker将支出其他的容器格式,比如,与BSD Jails和Solaris Zones集成。
Reference:
https://docs.docker.com/introduction/understanding-docker/