docker

Docker

目录

• docker发展史
• docker基本用法
  • OCI&OCF
    • 保密中心
    • 断续器
  • docker 架构
  • docker镜像与镜像仓库
  • docker对象
  • 安装及使用docker
    • docker常用操作
• docker存储驱动

docker发展史

Docker一种运行于 Linux 和 Windows 上的软件，用于创建、管理和编排容器。是在 GitHub 上开发的 Moby 开源项目的一部分。

2008

2008年，Solomon Hykes 和他的朋友 Kamel Founadi、Sebastien Pahl 共同创立了一家名为 DotCloud 的公司，目标是利用一种叫做容器的技术来创建他们称作是“大规模的创新工具”：任何人都可以使用的编程工具。

2010

2010年，dotCloud获得了创业孵化器Y Combinator的支持，并开始吸引到一些真正的投资，在接下来的3年中，dotCloud内部孵化了一款名为Docker的产品。

2013

2013 年 3 月 Docker 创始人 Solomon Hykes 在 PyCon 大会上的演讲中首次公开介绍了 Docker 这一产品。在2013 年 PyCon 大会之后，Docker 的创新式镜像格式以及容器运行时迅速成为社区、客户和更广泛行业的实际标准和基石。Docker 的强大之处在于它通过可移植的形式和易于使用的工具在应用程序和基础设施之间创造了独立性。其结果是，Docker将容器技术大众化，并解决了困扰数百万开发人员的“matrix from hell”问题，使容器技术成为主流。

2013年3月20日，dotCloud发布了 Docker 的首个版本，并将Docker源码进行开源。

2013年9月 红帽公司成为Docker的主要合作伙伴，利用Docker来驱动他的OpenShift云业务。随后，谷歌、亚马逊以及DigitalOcean也迅速的在其云服务平台提供了Docker的支持。主流云厂商的加入，加速Docker的发展进度。

随着Docker技术的开源，此项技术能够将Linux容器中的应用代码打包并轻松的在服务器之间迁移，Docker技术瞬时的风靡了全球，2013年底DotCloud Inc则更名为Docker Inc，并全力的主攻到Docker项目开发中。

2014

2014年6月的DockerCon大会上Docker正式发布了Docker 1.0 版本。这也意味着Docker的稳定性和可靠性已经基本满足了生产环境的运行需求。会议上同时发布Docker Image的镜像仓库Docker Hub（http://hub.docker.com/），并指出已经有超过14,000个Docker化的应用存储在他们的publc registry中。

也是同样的2014年6月，基于谷歌内部强大的Borg系统而开发出来的kubernetes横空处世，刷新了人们对容器的理解。

2014年8月份，Docker Inc宣布将用于PaaS业务服务的DotCloud软件出售给德国柏林的PaaS服务厂商CloudControl，自此以后，DotCloud正式的和Docker分道扬镳了。

2014年12月举行的DockerConEU大会上，Docker Swarm 和Docker Machine同时面世。Docker Swarm是一个Docker集群管理工具，而Docker Machine是部署Docker主机的命令工具。

2014年12月里，CoreOS宣布开发自家的容器运行环境rkt以及appc容器规范。

2015

容器技术不只Docker，很早之前Google就投资了CoreOS来做竞争的容器--Rocket。那时是三家鼎立：Docker/Rocket/Warden，为了避免惨烈的竞争，大家终于统一意见，决定成立固定的标准来良好发展容器技术。

2015年6月，由Docker、IBM、微软、红帽及Google等厂商所组成的开放容器项目OCP联盟成立，该项目旨在建立软件容器的通用标准。OCP成立于Linux基金会之下，其使命是使用户和公司能够继续创新和开发基于容器的解决方案，并充满信心地保护其先前的开发工作，并且不会造成行业分散。作为该计划的一部分，Docker将捐赠其软件容器格式，运行时以及相关规范的代码。应用容器规范（“ appc”）计划的领导者，包括创始成员CoreOS，也将把他们的技术领导力和支持带到OCP。

2015 年，Docker 发布了 runC工具，runc是根据OCI标准生成的一个cli工具，一个轻量级的跨平台的容器运行时命令行小工具，可以直接利用 libcontainer 运行容器，而无需通过 docker engine。runC 的目标是使标准容器在任何地方都可用。

2016

2016年6月的DockerCon上，Docker宣布了Open Container Initiative的正式成立。OCI意在业界一起合作，开发一个开放的、标准的容器格式和runtime。OCI也属于Linux基金会的协作项目，一直秉承着开放的模式来管理，其roadmap在GitHub上

2016年，OCI标准制定后，Docker 将 containerd 独立拆分，并将其捐赠给了社区。将这个组件分解为一个单独的项目，使得 docker 将容器的管理功能移出 docker 的核心引擎并移入一个单独的守护进程(即 containerd)。

在2016年，人们认识到容器技术本身的价值时在于容器的编排，而此时的Docker项目令人惊讶的放弃了Swarm项目，而是想将容器的编排和集群的管理功能添加到Docker项目当中。而Kubernetes却与Docker不同的是推进民主化架构，使得通过暴露Kubernetes API的方法，让更多的人来不断丰富kubernetes的插件。

2017

从2013年3月开始推出0.1.0版本，到17年2月1.13的版本都采用x.x的形式。从 2017 年第一季度开始，Docker 版本号遵循 YY.MM-xx 格式。

2017 年是容器成为主流技术的一年，这就是为什么 Docker 在 Linux 之外支持众多平台的原因（Docker for Mac，Docker for Windows，Docker for AWS，GCP 等）。

2017 年于 Austin 举办的 DockerCon 上开源Docker项目正式命名为 Moby 项目。由于这次改名，GitHub 上的 docker/docker 库也被转移到了 moby/moby，并且拥有了项目自己的 Logo

于此同时，将Docker本身拆分为Docker-CE免费版和Docker-EE商业版。

Docker-CE目前是docker公司维护的开源项目，是一个基于Moby项目的免费的容器产品。

Docker-EE目前是docker公司维护的闭源项目，是docker公司的商业产品。

至此，容器天下三分。其中Moby由社区维护，Docker-CE由Docker公司维护，Docker-EE是Docker公司闭源的商业产品。

2018

2018年3月 Docker 公司创始人Solomon Hykes 在 Docker 博客上（https://www.docker.com/blog/au-revoir/ 或者 https://blog.csdn.net/dt763C/article/details/79752939）宣布已正式从 Docker 公司离职，不再担任公司的日常运作工作。Solomon Hykes 表示，他未来的身份将是 Docker 的董事会成员、主要股东，以及 Docker 维护者，但不再负责担任公司的日常工作。

2019及未来

2019年容器市场基本趋于稳定，一切都向着优化改进方向发展。Docker公司是底层容器引擎及运行时的。容器的编排进过几轮的激烈竞争，基本是GOOGLE的Kubernetes一家独大。

新的战斗已经由容器和编排的战场，逐渐迁移到应用领域。云原生CNCF将引领新的技术方向，微服务、ServcieMesh、Envoy、ServerLess等正在路上

docker基本用法

什么是docker

Docker 是一个开源的引擎，可以轻松的为任何应用创建一个轻量级的、可移植的、自给自足的容器。开发者可以打包他们的应用以及依赖包到一个可移植的镜像中，然后发布到任何支持docker的机器上运行。容器是完全使用沙盒机制，相互之间不会有任何接口调用。

docker中的容器：

• lxc --> libcontainer --> runC

OCI&OCF

保密中心

开放容器倡议

• 由Linux基金会主导于2015年6月创立
• 旨在围绕容器格式和运行时制定一个开放的工业化标准
• 包含两种规格
  • 运行时规范（运行时规范）
  • 图像规范（图像规范）

断续器

开放容器格式

runC 是一个 CLI 工具，用于根据 OCI 规范生成和运行容器

• 容器作为 runC 的子进程启动，可以嵌入到各种其他系统中，而无需运行守护程序
• runC 建立在 libcontainer 之上，同样的容器技术为数百万个 Docker 引擎安装提供支持

docker提供了一个专门容纳容器镜像的站点：https://hub.docker.com

docker 架构

docker镜像与镜像仓库

为什么镜像仓库名字是Registry而不是repository？在docker中仓库的名字是以应用的名称取名的。

镜像是静态的，而容器是动态的，容器有其生命周期，镜像与容器的关系类似于程序与进程的关系。镜像类似于文件系统中的程序文件，而容器则类似于将一个程序运行起来的状态，也即进程。所以容器是可以删除的，容器被删除后其镜像是不会被删除的。

docker对象

使用 Docker 时，您正在创建和使用映像、容器、网络、卷、插件和其他对象。

• 图像
  • 映像是一个只读模板，其中包含有关创建 docker 容器的说明。
  • 通常，一个映像基于另一个映像，并具有一些额外的自定义。
  • 您可以创建自己的映像，也可以仅使用其他人创建并在注册表中发布的映像。
• 器皿
  • 控制器是映像的可运行实例。
  • 您可以使用 Docker API 或 CLI 创建、运行、停止、移动或删除容器。
  • 可以将容器连接到一个或多个网络，将存储附加到该容器，甚至可以基于其当前状态创建新映像。

安装及使用docker

docker安装
[root@localhost ~]# cd /etc/yum.repos.d/
[root@localhost yum.repos.d]# wget https://mirrors.tuna.tsinghua.edu.cn/docker-ce/linux/centos/docker-ce.repo
[root@localhost yum.repos.d]# sed -i 's@https://download.docker.com@https://mirrors.tuna.tsinghua.edu.cn/docker-ce@g' docker-ce.repo
[root@localhost yum.repos.d]# dnf -y install docker-ce

配置镜像加速器

docker-ce的配置文件是/etc/docker/daemon.json，此文件默认不存在，需要我们手动创建并进行配置，而docker的加速就是通过配置此文件来实现的。

docker的加速有多种方式：

• docker cn
• 中国科技大学加速器
• 阿里云加速器（需要通过阿里云开发者平台注册帐号，免费使用个人私有的加速器）

[root@localhost ~]# sudo mkdir -p /etc/docker
[root@localhost ~]# sudo tee /etc/docker/daemon.json <<-'EOF'
> {
>   "registry-mirrors": ["https://t82gwevc.mirror.aliyuncs.com"]
> }
> EOF
{
  "registry-mirrors": ["https://t82gwevc.mirror.aliyuncs.com"]
}
[root@localhost ~]# sudo systemctl daemon-reload
[root@localhost ~]# sudo systemctl restart docker
[root@localhost ~]# 
显示docker版本信息
[root@localhost ~]# docker version
Client: Docker Engine - Community
 Version:           20.10.17
 API version:       1.41
 Go version:        go1.17.11
 Git commit:        100c701
 Built:             Mon Jun  6 23:03:11 2022
 OS/Arch:           linux/amd64
 Context:           default
 Experimental:      true

Server: Docker Engine - Community
 Engine:
  Version:          20.10.17
  API version:      1.41 (minimum version 1.12)
  Go version:       go1.17.11
  Git commit:       a89b842
  Built:            Mon Jun  6 23:01:29 2022
  OS/Arch:          linux/amd64
  Experimental:     false
 containerd:
  Version:          1.6.6
  GitCommit:        10c12954828e7c7c9b6e0ea9b0c02b01407d3ae1
 runc:
  Version:          1.1.2
  GitCommit:        v1.1.2-0-ga916309
 docker-init:
  Version:          0.19.0
  GitCommit:        de40ad0
显示整个系统的信息
[root@localhost ~]# docker info
Client:
 Context:    default
 Debug Mode: false
 Plugins:
  app: Docker App (Docker Inc., v0.9.1-beta3)
  buildx: Docker Buildx (Docker Inc., v0.8.2-docker)
  scan: Docker Scan (Docker Inc., v0.17.0)

Server:
 Containers: 0
  Running: 0
  Paused: 0
  Stopped: 0
 Images: 0
 Server Version: 20.10.17
 Storage Driver: overlay2
  Backing Filesystem: xfs
  Supports d_type: true
  Native Overlay Diff: true
  userxattr: false
 Logging Driver: json-file
 Cgroup Driver: cgroupfs
 Cgroup Version: 1
 Plugins:
  Volume: local
  Network: bridge host ipvlan macvlan null overlay
  Log: awslogs fluentd gcplogs gelf journald json-file local logentries splunk syslog
 Swarm: inactive
 Runtimes: io.containerd.runc.v2 io.containerd.runtime.v1.linux runc
 Default Runtime: runc
 Init Binary: docker-init
 containerd version: 10c12954828e7c7c9b6e0ea9b0c02b01407d3ae1
 runc version: v1.1.2-0-ga916309
 init version: de40ad0
 Security Options:
  seccomp
   Profile: default
 Kernel Version: 4.18.0-348.el8.x86_64
 Operating System: CentOS Linux 8
 OSType: linux
 Architecture: x86_64
 CPUs: 4
 Total Memory: 3.623GiB
 Name: localhost.localdomain
 ID: 6CPI:2YVN:YAY6:LM5U:P3EX:OOB5:C3GU:OCFM:AWBE:5ZDH:T6LN:MBJU
 Docker Root Dir: /var/lib/docker
 Debug Mode: false
 Registry: https://index.docker.io/v1/
 Labels:
 Experimental: false
 Insecure Registries:
  127.0.0.0/8
 Registry Mirrors:
  https://t82gwevc.mirror.aliyuncs.com/
 Live Restore Enabled: false

[root@localhost ~]# 

docker常用操作

命令	功能
docker search	在Docker Hub上查找镜像
docker pull	从镜像仓库中拉取或者更新指定镜像
docker images	列出本地镜像
docker create	创建一个新的容器但不启动它
docker start	启动容器
docker run	创建一个新的容器并运行一个命令
docker attach	连接到运行的容器
docker ps	列出容器
docker logs	查看容器日志
docker restart	重启容器
docker stop	停止容器
docker kill	干掉一个或多个运行中的容器
docker rm	删除一个或多个容器
docker exec	在运行的容器中运行命令
docker info	显示整个系统的信息
docker inspect	返回Docker对象的低级信息

//从镜像仓库中拉取或者更新指定镜像
[root@localhost ~]# docker pull httpd
Using default tag: latest
latest: Pulling from library/httpd
a2abf6c4d29d: Pull complete 
dcc4698797c8: Pull complete 
41c22baa66ec: Pull complete 
67283bbdd4a0: Pull complete 
d982c879c57e: Pull complete 
Digest: sha256:0954cc1af252d824860b2c5dc0a10720af2b7a3d3435581ca788dff8480c7b32
Status: Downloaded newer image for httpd:latest
docker.io/library/httpd:latest
[root@localhost ~]# 
//列出本地镜像
/创建一个新的容器但不启动它
[root@localhost ~]# docker create --name web -p 80:80 httpd
9fdaf3c409dac424fababe2f40d16f3ffd4059dc61a0e2a2b92262e947876a9b
//列出容器
[root@localhost ~]# docker ps		//列出容器不包括未启动的
CONTAINER ID   IMAGE     COMMAND   CREATED   STATUS    PORTS     NAMES
[root@localhost ~]# docker ps -a		//列出所有容器包括未启动的
CONTAINER ID   IMAGE     COMMAND              CREATED          STATUS    PORTS     NAMES
9fdaf3c409da   httpd     "httpd-foreground"   21 seconds ago   Created             web
//启动容器
[root@localhost ~]# docker start web		//可以用ID或者名字
web
[root@localhost ~]# docker ps 
CONTAINER ID   IMAGE     COMMAND              CREATED         STATUS         PORTS                               NAMES
9fdaf3c409da   httpd     "httpd-foreground"   2 minutes ago   Up 9 seconds   0.0.0.0:80->80/tcp, :::80->80/tcp   web		//查看是否启动
//关闭容器
[root@localhost ~]# docker stop web			//可以用ID或者名字
web
[root@localhost ~]# docker ps -a
CONTAINER ID   IMAGE     COMMAND              CREATED         STATUS                     PORTS     NAMES
9fdaf3c409da   httpd     "httpd-foreground"   3 minutes ago   Exited (0) 3 seconds ago             web		
//重启容器
[root@localhost ~]# docker restart web		//可以用ID或者名字
web
[root@localhost ~]# docker ps 
CONTAINER ID   IMAGE     COMMAND              CREATED         STATUS         PORTS                               NAMES
9fdaf3c409da   httpd     "httpd-foreground"   4 minutes ago   Up 5 seconds   0.0.0.0:80->80/tcp, :::80->80/tcp   web		
//干掉运行中的容器  //stop正常退出 kill强制关闭
[root@localhost ~]# docker kill web
web
[root@localhost ~]# docker ps -a
CONTAINER ID   IMAGE     COMMAND              CREATED         STATUS                       PORTS     NAMES
9fdaf3c409da   httpd     "httpd-foreground"   6 minutes ago   Exited (137) 4 seconds ago             web

//删除一个或多个容器 运行时不可以删除	
[root@localhost ~]# docker ps -a
CONTAINER ID   IMAGE     COMMAND              CREATED          STATUS         PORTS                               NAMES
9fdaf3c409da   httpd     "httpd-foreground"   13 minutes ago   Up 2 minutes   0.0.0.0:80->80/tcp, :::80->80/tcp   web
[root@localhost ~]# docker stop web		//先停止
web
[root@localhost ~]# docker rm web		//在进出删除
web
[root@localhost ~]# docker ps -a
CONTAINER ID   IMAGE     COMMAND   CREATED   STATUS    PORTS     NAMES
//-f 在运行时可以强制删除
[root@localhost ~]# docker ps -a
CONTAINER ID   IMAGE     COMMAND     CREATED          STATUS                     PORTS     NAMES
662e0fdfb4ca   httpd     "/bin/sh"   25 seconds ago   Exited (0) 3 seconds ago             test
[root@localhost ~]# docker rm -f test		
test
[root@localhost ~]# docker ps -a
CONTAINER ID   IMAGE     COMMAND   CREATED   STATUS    PORTS     NAMES

docker存储驱动

docker存储驱动有：1、AUFS，是文件级的存储驱动；2、Overlay，是一种Union FS；3、Device mapper，是映射框架机制；4、Btrfs，也是文件级存储驱动；5、ZFS，一种全新的文件系统。

1、AUFS

AUFS（AnotherUnionFS）是一种Union FS，是文件级的存储驱动。AUFS能透明覆盖一或多个现有文件系统的层状文件系统，把多层合并成文件系统的单层表示。简单来说就是支持将不同目录挂载到同一个虚拟文件系统下的文件系统。这种文件系统可以一层一层地叠加修改文件。无论底下有多少层都是只读的，只有最上层的文件系统是可写的。当需要修改一个文件时，AUFS创建该文件的一个副本，使用CoW将文件从只读层复制到可写层进行修改，结果也保存在可写层。在Docker中，底下的只读层就是image，可写层就是Container。

2、Overlay

Overlay是Linux内核3.18后支持的，也是一种Union FS，和AUFS的多层不同的是Overlay只有两层：一个upper文件系统和一个lower文件系统，分别代表Docker的镜像层和容器层。当需要修改一个文件时，使用CoW将文件从只读的lower复制到可写的upper进行修改，结果也保存在upper层。在Docker中，底下的只读层就是image，可写层就是Container。
3、Device mapper

Device mapper是Linux内核2.6.9后支持的，提供的一种从逻辑设备到物理设备的映射框架机制，在该机制下，用户可以很方便的根据自己的需要制定实现存储资源的管理策略。前面讲的AUFS和OverlayFS都是文件级存储，而Device mapper是块级存储，所有的操作都是直接对块进行操作，而不是文件。Device mapper驱动会先在块设备上创建一个资源池，然后在资源池上创建一个带有文件系统的基本设备，所有镜像都是这个基本设备的快照，而容器则是镜像的快照。所以在容器里看到文件系统是资源池上基本设备的文件系统的快照，并不有为容器分配空间。当要写入一个新文件时，在容器的镜像内为其分配新的块并写入数据，这个叫用时分配。当要修改已有文件时，再使用CoW为容器快照分配块空间，将要修改的数据复制到在容器快照中新的块里再进行修改。Device mapper 驱动默认会创建一个100G的文件包含镜像和容器。每一个容器被限制在10G大小的卷内，可以自己配置调整。

4、Btrfs

Btrfs被称为下一代写时复制文件系统，并入Linux内核，也是文件级存储驱动，但可以像Device mapper一直接操作底层设备。Btrfs把文件系统的一部分配置为一个完整的子文件系统，称之为subvolume 。采用 subvolume，一个大的文件系统可以被划分为多个子文件系统，这些子文件系统共享底层的设备空间，在需要磁盘空间时便从底层设备中分配，类似应用程序调用 malloc()分配内存一样。为了灵活利用设备空间，Btrfs 将磁盘空间划分为多个chunk 。每个chunk可以使用不同的磁盘空间分配策略。比如某些chunk只存放metadata，某些chunk只存放数据。这种模型有很多优点，比如Btrfs支持动态添加设备。用户在系统中增加新的磁盘之后，可以使用Btrfs的命令将该设备添加到文件系统中。Btrfs把一个大的文件系统当成一个资源池，配置成多个完整的子文件系统，还可以往资源池里加新的子文件系统，而基础镜像则是子文件系统的快照，每个子镜像和容器都有自己的快照，这些快照则都是subvolume的快照。当写入一个新文件时，在容器的快照里为其分配一个新的数据块，文件写在这个空间里，这个叫用时分配。而当要修改已有文件时，使用CoW复制分配一个新的原始数据和快照，在这个新分配的空间变更数据，变结束再更新相关的数据结构指向新子文件系统和快照，原来的原始数据和快照没有指针指向，被覆盖。
5、ZFS

ZFS 文件系统是一个革命性的全新的文件系统，它从根本上改变了文件系统的管理方式，ZFS 完全抛弃了“卷管理”，不再创建虚拟的卷，而是把所有设备集中到一个存储池中来进行管理，用“存储池”的概念来管理物理存储空间。过去，文件系统都是构建在物理设备之上的。为了管理这些物理设备，并为数据提供冗余，“卷管理”的概念提供了一个单设备的映像。而ZFS创建在虚拟的，被称为“zpools”的存储池之上。每个存储池由若干虚拟设备（virtual devices，vdevs）组成。这些虚拟设备可以是原始磁盘，也可能是一个RAID1镜像设备，或是非标准RAID等级的多磁盘组。于是zpool上的文件系统可以使用这些虚拟设备的总存储容量。