Docker 容器和虚拟机的区别
- 虚拟机需要安装Guest OS。如果运行多个虚拟机,需要安装多个Guest OS。比较浪费存储资源。
- Docker运行的机器不用安装多个Guest OS,Docker container的容器其实还是主机的操作系统上运行。
- 虚拟机启动需要经历安装的操作系统启动过程,启动比较缓慢。
- Docker容器的启动仅仅是启动一个在宿主机运行的进程,启动非常快速。
- 虚拟机可以实现完全彻底的资源隔离(CPU,内存,磁盘和网络)。但是未使用的资源也不会被其他虚拟机使用,存在一定的资源浪费。
- Docker使用namespace实现资源的隔离,但不是真正的资源物理隔离。资源隔离没有使用虚拟机彻底。但是资源利用率高。
- 虚拟机每个Guest OS都有一套独立的内核和程序库。可以在不同虚拟机中运行多个完全不同的系统和软件环境。但是虚拟机占用资源较高。
- Docker和宿主系统共用一个内核和应用程序库。占用资源少,同样资源机器可运行的容器数远大于可运行的虚拟机数量。
Docker联合文件系统AUFS
AUFS全称为Another Union File System。是一种联合文件系统。它可以把不同物理位置的文件合并mount到同一个目录。
Docker镜像为分层结构,任何对镜像的修改都是创建一个新层,新层中保存了镜像的修改内容。最后,将这个新层,连同之前所有的分层一起,保存为新的镜像。
AUFS将这些层挂载到同一个目的地,于是在使用Docker时候,我们看到的是这些分层合并后的结果。
不建议自己创建的Docker镜像存在过多不必要的分层。镜像最多为127层,超过这个层数为会出现问题。过多的分层会占用过多的存储空间,减慢镜像加载的速度。
Docker如何隔离资源
使用cgroup限制容器资源的使用。
使用内核的namespace进行运行环境的隔离。
- Mount Namespace:每个容器能看到不同的文件系统层次结构
- UTS Namespace:每个容器可以有自己的 hostname 和 domainame
- IPC Namespace:每个容器有其自己的 System V IPC 和 POSIX 消息队列文件系统,因此,只有在同一个 IPC namespace 的进程之间才能互相通信
- PID Namespace:每个 PID namespace 中的进程可以有其独立的 PID; 每个容器可以有其 PID 为 1 的root 进程;也使得容器可以在不同的 host 之间迁移,因为 namespace 中的进程 ID 和 host 无关了。这也使得容器中的每个进程有两个PID:容器中的 PID 和 host 上的 PID。
- Network Namespace:每个容器用有其独立的网络设备,IP 地址,IP 路由表,/proc/net 目录,端口号等等。这也使得一个 host 上多个容器内的同一个应用都绑定到各自容器的 80 端口上。
- User Namespace:在 user namespace 中的进程的用户和组 ID 可以和在 host 上不同;每个 container 可以有不同的 user 和 group id;一个 host 上的非特权用户可以成为 user namespace 中的特权用户。
Docker的相关概念
Image
类似于虚拟机的快照。容器中运行时需要的文件都需要储存在Image中。运行时Docker会读取所有层的内容生成一个文件系统,同时在最上层创建一个可写层。在运行时这个可写层可以保存数据,但是停止运行的时,这个可写层的内容会被销毁。每次从Image启动一个container都是一个“干净”的运行环境。
Container
Container是Docker的运行实例。可以从一个Image运行产生多个Docker container(这些container之间没有任何关系)。Container是可以读写的,但是任何修改的内容都是临时的,不会保存在Image中。
Network
默认来说即便是同一个Docker Daemon下运行的container之间的网络也是互相隔离的。用户可以创建一个或多个network,并分配给container。通过这种方式可以控制哪些container之间的网络是互通的。
Volume
Volume是Docker的数据卷。可以持久化保存container中生成的数据。即便是container被销毁有重建,volume中的数据也不会丢失。
Dockerfile
Dockerfile用于创建Docker Image。Dockerfile描述了Image文件构建的步骤,内容包含基于哪个Image,构建时需要执行什么命令,以及启动container时候的入口命令等。
