docker机制
docker是容器化的一种实现,可用来部署。
docker hub提供了很多社区开发的容器。
docker用了一种叫做client-server的机制。
client:
命令行工具docker用于和docker server基于RESTful API来执行操作
server:
docker在一个操作系统上作为一个进程,构建build, 运行和下载容器镜像。这个进程可以和docker client运行在同一个操作系统上,可以运行在远端。
Docker核心元素
images:
镜像是一个只读模版,包含了一个实时运行环境所需的所有的库和应用程序本身。镜像可以用来创建容器。镜像可以创建,更新和下载用于实时的使用。
registries
仓库存储共有和私由的images. 比较知名的公开的registries是docker hub.它存储了许多由社区开发的镜像。但是私有的registries可以被创建,提供给内部镜像的开发。
containers
containers是在共有host OS上应用程序之间相互隔离的用户环境。
container 和Linux kernel
container是Docker创建的,从docker image中,隔离于其他linux内核的一些标准功能。
这些标准功能包括:
命令空间
内核可以将对特定进程可见的特定系统资源分配到一个命名空间。在这个命令空间,只有在这个命令空间的进程可以看到这些资源。可被分配到命名空间的资源由网络接口,进程ID列表,挂载点,IPC资源和这个系统自己的hostname信息。例如,在不同命名空间的2个进程拥有不同的根文件系统。每个容器都被加到一个特定组的命名空间,这个命名空间为container独有。
cgroups
control groups将进程和他们的子进程进行分组,以便于去管理和限制其所消耗的资源。
cgroup对属于特定容器用的系统和资源进行限制。这就使容器不会耗费container host的资源。
SELinux
SELinux是一个强制访问控制系统,用于将container与其他container, container和container hosts进行保护。 Container以一个限制的SELinux type来运行,其对系统资源只有非常有限的访问权限。每个container的进程被放在一个唯一的种类将彼此隔离。
Docker Container Images
每一个docker image包含了许多层,这些层叠加起来,让容器化的程序看起来就是一个独立的虚拟的文件系统。docker images是不可改变的。只有层之间的叠加而不存在下一层之间改变上一层。
创建image的两种方式
1. 用一个正在运行的container.
一个不变的image启动一个container instance, 任何的简化和更新都会产生一个新的层。Docker 命令‘docker commit’可以存储这个新的层生成新的image。这是生成image最方便的方法。但是我们并不推荐这么做,因为这样生成的image会因为存在临时文件或日志文件等不需要的文件是变的很大。
2. Dockerfile
Container images 可以从一个base image经过Dockerfile中的一些步骤进行编译。每一步都创建了一个新的层直到最后的container image. 这是我们推荐的build image的方法。因为它非常清楚了记录了那些层有那些文件。
网友评论