一、Docker简介
Docker是一个开源的应用容器引擎,基于 GO语言并遵从Apache2.0协议开源。Docker可以让开发者打包他们的应用以及依赖包到一个轻量级、可移植的容器中,然后发布到任何流行的 Linux 机器上,可以实现虚拟化。
Docker所代表的容器虚拟化技术属于操作系统级虚拟化:内核通过创建多个虚拟的操作系统实例(内核和库)来隔离不同的进程。并且传统虚拟化技术是在硬件层面实现虚拟化,增加了系统调用链路的环节,有性能损耗;容器虚拟化技术以共享Kernel的方式实现,几乎没有性能损耗。这里可以将容器理解为一种沙盒。每个容器内运行一个应用,不同的容器相互隔离,容器之间可以建立通信机制。容器的创建和停止都十分快速(秒级),容器自身对资源的需求十分有限,远比虚拟机本身占用的资源少。
1-1、Docker和虚拟化的对比
虚拟化:
图片.pngDocker:
图片.pngDocker的优势在于可以直接使用主机操作系统的资源进行虚拟化,对主机资源的利用率比较高。并且借助Docker和云计算技术可以简化程序,实现快速部署,弹性使用资源等。
1-2、Docker架构
Docker架构如下图:
图片.png相关概念:
-
Docker Daemon(Docker进程):Docker进程是部署在linux操作系统上,负责支撑Docker Container的运行以及本地Image的管理。
-
Docker Client:用户不直接操作Docker daemon,用户通过Docker Client访问Docker,Docker Client提供pull、run等操作命令。
-
Docker Image:Docker镜像就是一个只读的模板。例如:一个镜像可以包含一个完整的 ubuntu 操作系统环境,里面仅安装了 Apache 或用户需要的其它应用程序。
镜像可以用来创建 Docker 容器。Docker 提供了一个很简单的机制来创建镜像或者更新现有的镜像,用户甚至可以直接从其他人那里下载一个已经做好的镜像来直接使用。 -
Docker Container:Docker 利用容器来运行应用。容器是从镜像创建的运行实例。它可以被启动、开始、停止、删除。每个容器都是相互隔离的、保证安全的平台。可以把容器看做是一个简易版的 Linux环境(包括root用户权限、进程空间、用户空间和网络空间等)和运行在其中的应用程序。
-
Docker Registry:仓库分为公开仓库(Public)和私有仓库(Private)两种形式
最大的公开仓库是 Docker Hub,存放了数量庞大的镜像供用户下载。用户也可以在本地网络内创建一个私有仓库。当用户创建了自己的镜像之后就可以使用 push 命令将它上传到公有或者私有仓库,这样下次在另外一台机器上使用这个镜像时候,只需要从仓库上 pull 下来就可以了。
Docker使用客户端-服务器 (C/S) 架构模式,使用远程API来管理和创建Docker容器。Docker容器通过Docker镜像来创建,这里容器与镜像的关系类似于面向对象编程中的对象与类的关系。
Docker简单架构图如下:
图片.png二、Docker核心概念:镜像
2-1、docker镜像底层原理
-
bootFS(boot file system)主要包括bootloader和kernel,bootloader主要是引导加载kernel,内核加载进内存后,系统会卸载bootFS节省内存。
-
rootFS(root file system),位于bootFS之上,包含的是例如典型Linux中的/dev,/proc、/bin、/etc等标准目录和文件。
- 在传统模式中,系统启动内核挂载rootFS时会先将其挂载为只读模式,等系统完成自检后将其挂载为读写模式。
- 但是在docker中,内核挂载rootFS时只会将其挂载为只读模式,而后通过UnionFS技术再挂载一个可写层。
对于一个精简的OS,rootFS可以很小,只需包括最基本的命令、工具和程序库即可,然后直接使用宿主机的内核,自己只需提供rootFS即可。rootFS就是各种不同系统的发行版,例如CentOS、Ubuntu等等。对于不同的Linux发行版,bootFS基本是一致的,可以公用的,rootFS会有差别。
-
联合文件系统(UnionFS)是一种分层、轻量级并且高性能的文件系统,可以将对文件系统的修改作为一次提交来一层一层的叠加,并且可以将不同目录挂载到同一虚拟文件系统下面。这样一次同时加载多个文件系统,同时联合加载机制会将各种文件系统叠加起来,这样最终的文件系统会包括所有底层的文件和目录。
2-2、docker镜像加载原理
镜像的基础就是UnionFS。镜像可以通过分层来进行继承,基于基础镜像,可以制作各种具体的应用镜像。镜像其实就是一堆只读层(read-only layer)的统一视角,如图所示:
镜像.png从左边我们看到了多个只读层,它们重叠在一起。除了最下面一层,其它层都会有一个指针指向下一层。这些层是Docker内部的实现细节,并且能够在Docker宿主机的文件系统上访问到。UnionFS技术能够将不同的层整合成一个文件系统,为这些层提供了一个统一的视角,这样就隐藏了多层的存在,在用户的角度看来,只存在一个文件系统。我们可以在图片的右边看到这个视角的形式。
2-3、docker镜像使用分层结构的好处
镜像采用分层结构,最大的好处就是可以共享资源,例如多个镜像都从相同的base镜像构建而来,那么宿主机的磁盘和内存中,也只需加载一份base镜像就可以为所有的容器服务,镜像的每一层都是共享的。
三、Docker核心概念:容器
容器是从镜像创建的应用运行实例,容器之间是相互隔离、互不可见的。可以把容器看做一个简易版的linux系统环境(包括root权限、进程空间、用户空间和网络空间等),以及运行在这个环境上的应用打包而成的应用盒子。镜像自身是自读的,容器从镜像启动的时候,docker会在镜像的最上层创建一个可写文件层,镜像本身保持不变。
容器(container)的定义和镜像(image)几乎一模一样,也是一堆层的统一视角,唯一区别在于容器的最上面那一层是可读可写的。可以这样理解,容器 = 镜像 + 读写层。
容器.png一个运行态容器(running container)被定义为一个可读写的统一文件系统加上隔离的进程空间和包含其中的进程。下面这张图片展示了一个运行中的容器。
运行态容器.png一个容器中的进程可能会对文件进行修改、删除、创建,这些改变都将作用于可读写层(read-write layer)。下面这张图展示了这个行为。
容器中的进程修改文件.png四、Docker核心概念:仓库
Docker仓库(Repository)类似与代码仓库,是Docker集中存放镜像文件的场所。
有时候会看到有资料将Docker仓库和注册服务器(Registry)混为一谈,并不严格区分。实际上,注册服务器是存放仓库的地方,其上往往存放着多个仓库。每个仓库集中存放某一类镜像,往往包括多个镜像文件,通过不同的标签(tag)来进行区分。例如存放Ubuntu操作系统镜像的仓库,称为Ubuntu仓库,其中可能包括14.04,12.04等不同版本的镜像。
根据存储的镜像公开分享与否,Docker仓库分为公开仓库(Public)和私有仓库(Private)两种形式。目前,最大的公开仓库是Docker Hub ,存放了数量庞大的镜像供用户下载。国内的阿里云既提供了加速功能,也提供了仓库功能,也就是我们可以将自己的镜像上传到阿里云仓库。如果用户不希望公开分享自己的镜像文件,Docker也支持用户在本地网络内创建一个只能自己访问的私有仓库。
当用户创建了自己的镜像之后就可以使用push将它上传到指定的公有或则私有仓库。这样用户下次在另一台机器上使用该镜像时,只需将其从仓库pull下来就可以了。
网友评论