Docker基本原理与常用命令

1 docker 架构

K8S：CRI（Container Runtime Interface）

Client： 客户端；操作docker服务器的客户端（命令行或者界面）

Docker_Host：Docker主机；安装Docker服务的主机

Docker_Daemon：后台进程；运行在Docker服务器的后台进程

Containers：容器；从镜像创建的运行实例.可以被启动, 开始, 停止, 删除.每个容器都是互相隔离的. 也可以把容器看作是一个简易的linux系统(包括root用户权限,进程空间, 用户空间,网络空间等)和运行在其中的应用程序.

Images：镜像、映像、程序包；Image是只读模板，其中包含创建Docker容器的说明。容器是由Image运

行而来，Image固定不变。

Registries：仓库；存储Docker Image的地方。官方远程仓库地址：https://hub.docker.com/search

 

2 Docker隔离原理

namespace 6项隔离 （资源隔离）

　　实际上，Linux 内核实现 namespace 的一个主要目的就是实现轻量级虚拟化(容器)服务。在同一个 namespace 下的进程可以感知彼此的变化，而对外界的进程一无所知。这样就可以让容器中的进程产生错觉，认为自己置身于一个独立的系统中，从而达到隔离的目的。也就是说 linux 内核提供的 namespace 技术为 docker 等容器技术的出现和发展提供了基础条件。
　　我们可以从 docker 实现者的角度考虑该如何实现一个资源隔离的容器。比如是不是可以通过 chroot 命令切换根目录的挂载点，从而隔离文件系统（Mount）。为了在分布式的环境下进行通信和定位，容器必须要有独立的 IP、端口和路由等，这就需要对网络进行隔离(Network)。同时容器还需要一个独立的主机名以便在网络中标识自己(UTS)。接下来还需要进程间的通信(IPC)、用户权限(User)等的隔离。最后，运行在容器中的应用需要有进程号(PID)，自然也需要与宿主机中的 PID 进行隔离。也就是说这六种隔离能力是实现一个容器的基础，下面是linux提供的能力：

cgroups资源限制 （资源限制）

cgroup提供的主要功能如下：

资源限制：限制任务使用的资源总额，并在超过这个 配额 时发出提示

优先级分配：分配CPU时间片数量及磁盘IO带宽大小、控制任务运行的优先级

资源统计：统计系统资源使用量，如CPU使用时长、内存用量等

任务控制：对任务执行挂起、恢复等操作

group资源控制系统，每种子系统独立地控制一种资源。功能如下：

Dockerfile由一行行命令语句组成，并且支持以#开头的注释行。

基础的小linux系统。jdk；一般而言，Dockerfile可以分为四部分：基础镜像信息， 维护者信息， 镜像操作指令， 启动时执行指令。

 

指令	说明
指令	说明
FROM	指定基础镜像
NAINTAINER	指定维护着信息，已经过时，可以使用LABEL maintainer=xxx来替代
RUN	运行命令v
CMD	指定启动容器时默认的命令
ENTERPOINT	指定镜像的默认入口，运行命令
EXPOSE	声明镜像内服务监听的端口
ENV	指定环境变量。可以在docker run 的时候使用-e改变，会被固化到image的config里面
ADD	复制指定的src路径下的内容到容器中的dest路径下，src可以为url会自动下载，可以为tar文件会自动解压
COPY	复制本地主机的src路径下的内容到镜像中的dest路径下，但不会自动解压。
LABEL	指定生成镜像的元数据标签信息
VOLUME	创建数据卷挂载点
USER	指定运行容器时的用户名或者UID
WORKERFDIR	配置工作目录，为后续的RUN、CMD、ENTERPOINT指定配置工作目录
ARG	指定镜像内使用的参数，可以在build的时候，使用--build-args改变
OBBUILD	配置当创建的镜像作为其他镜像的基础镜像时，所指定的创建操作命令
STOPSIGNAL	容器退出的信号值
HEALTHCHRCK	健康检查
SHELL	指定使用shell时的默认shell类型