简介
Docker是一个新的容器化的技术,它轻巧,且易移植,号称build once, configure once and run anywhere。
Docker是一个开源的应用容器引擎,可以轻松的为任何应用创建一个轻量级的、可移植的、自给自足的容器。利用Linux的LXC、AUFS、Go语言、cgroup实现了资源的独立,可以很轻松的实现文件、资源、网络等隔离,其最终的目标是实现类似PaaS平台的应用隔离。
Docker 特征
Docker有不少有趣的功能,通过本教程相信你会更好地理解它们。Docker的特性主要包括以下几点:
- 速度飞快以及优雅的隔离框架
- 物美价廉
- CPU/内存的低消耗
- 快速开/关机
- 跨云计算基础构架
Docker 组件与元素
Docker有三个组件和三个基本元素,读者可以快速浏览下面这个视频来了解这些组建和元素,以及它们的关系。三个组件分别是:
-
Docker Client是用户界面,它支持用户与Docker Daemon之间通信。 -
Docker Daemon运行于主机上,处理服务请求。 -
Docker Index是中央registry,支持拥有公有与私有访问权限的Docker容器镜像的备份。
三个基本要素分别是:
-
Docker Containers负责应用程序的运行,包括操作系统、用户添加的文件以及元数据。 -
Docker Images是一个只读模板,用来运行Docker容器。 -
DockerFile是文件指令集,用来说明如何自动创建Docker镜像。
在讨论Docker组件和基本要素如何交互之前,让我们来谈谈Docker的支柱。Docker使用以下操作系统的功能来提高容器技术效率:
-
Namespaces充当隔离的第一级。确保一个容器中运行一个进程而且不能看到或影响容器外的其它进程。 -
Control Groups是LXC的重要组成部分,具有资源核算与限制的关键功能。 -
UnionFS(文件系统)作为容器的构建块。为了支持Docker的轻量级以及速度快的特性,它创建了用户层。
如何把它们放在一起
运行任何应用程序,都需要有两个基本步骤:
1. 构建一个镜像。
2. 运行容器。
这些步骤都是从Docker Client的命令开始的。Docker Client使用的是Docker二进制文件。在基础层面上,Docker Client会告诉Docker Daemon需要创建的镜像以及需要在容器内运行的命令。当Daemon接收到创建镜像的信号后,会进行如下操作:
第1步:构建镜像
如前所述,Docker Image是一个构建容器的只读模板,它包含了容器启动所需的所有信息,包括运行程序和配置数据。
每个镜像都源于一个基本的镜像,然后根据Dockerfile中的指令创建模板。对于每个指令,在镜像上创建一个新的层面。
一旦镜像创建完成,就可以将它们推送到中央registry:Docker Index,以供他人使用。然而,Docker Index为镜像提供了两个级别的访问权限:公有访问和私有访问。你可以将镜像存储在私有仓库,Docker官网有私有仓库的套餐可以供你选择。总之,公有仓库是可搜索和可重复使用的,而私有仓库只能给那些拥有访问权限的成员使用。Docker Client可用于Docker Index内的镜像搜索。
第2步:运行容器
运行容器源于我们在第一步中创建的镜像。当容器被启动后,一个读写层会被添加到镜像的顶层。当分配到合适的网络和IP地址后,需要的应用程序就可以在容器中运行了。
Docker 解决了什么问题
Docker 和虚拟主机(VM)要解决的问题是非常类似的:
- 在同一台主机上运行不同的程序,而这些不同的程序之间有可能存在依赖冲突的情况;
- 即使依赖冲突能在同一台主机上解决,但随着运行的程序的数量互相交织,维护的成本也将会成指数上升;
- 程序开发过程中,由于硬件、操作系统的细微差别,在多人共同开发和部署到生产环境上后,可能会出现难以被排查出来的问题;
- 分布式/集群环境的程序分发和环境配置问题;
- 硬件资源的利用率;
Docker 和 VM 之间的区别
因为这样,以致于很多人认为 Docker 也是一种虚拟化技术,实际上我更倾向于称其为容器化/沙盒化技术。借用以下两张图来对比说明
从硬件资源利用情况看
虚拟机(VM)实际上利用了虚拟化的技术,获取了主机上实际的硬件资源(内存、CPU),通过获取到的硬件资源重新构建一个接近于真实的机器,而这部分被分配过的硬件资源(比如 512MB 内存)在虚拟机启动了以后,不管是否真的有使用到了,对于主机来说就真的少了这部分的资源了( 可用内存 = 物理内存 - 512MB);
而 Docker 利用的是 Linux 主机上的内核技术,当一个容器在运行的时候,实际上是“映射”成主机上的一批进程,这些进程相互独立,共享主机的硬件资源,假设容器1运行 MySQL 占用了 100MB 内存,容器2运行 nginx 占用 50MB 内存,在理论上(不计算容器本身的损耗的话)主机当前剩余可用内存 = 物理内存 - 100MB - 50MB;从程序运行归属情况看
VM中的程序,是在隔离于主机的一个独立的操作系统(GuestOS)中运行的,程序运行的前提是 GuestOS 处于启动的状态,而程序运行后对于主机来说是完全透明的,主机无法看到VM中运行了什么进程;
而在 Docker 容器中运行的程序,只是隔离了程序的依赖关系(Bins/Libs),程序的执行者还是属于主机的,对主机来说所有容器在执行的程序都是主机的进程,不存在 GuestOS 所以也不存在需要启动 GuestOS;从对主机操作系统的依赖看
VM依赖的是虚拟化技术(Hypervisor),当具体使用的技术是在对应的平台下能运行的话,该操作系统平台就可以创建VM并运行;
而 Docker 的运行原理是基于 LXC,这是基于 Linux 内核版本 2.6.24+ 以上才有的技术,所以依赖于 Linux,在其它平台上(Windows、OSX)无法直接使用(但可通过VM创建一个Linux系统来使用);-
Docker Logo 的解读
其实 Docker 的 Logo 很形象的说明了它自身的概念
鲸鱼通过身上的集装箱(Container)来将不同种类的货物进行隔离;而不是通过生出很多小鲸鱼(Guest OS)来承运不同种类的货物。
Docker值得关注的特性:
- 文件系统隔离:每个进程容器运行在一个完全独立的根文件系统里。
- 资源隔离:系统资源,像CPU和内存等可以分配到不同的容器中,使用cgroup。
- 网络隔离:每个进程容器运行在自己的网络空间,虚拟接口和IP地址。
- 日志记录:Docker将会收集和记录每个进程容器的标准流(stdout/stderr/stdin),用于实时检索或批量检索。
- 变更管理:容器文件系统的变更可以提交到新的映像中,并可重复使用以创建更多的容器。无需使用模板或手动配置。
- 交互式shell:Docker可以分配一个虚拟终端并关联到任何容器的标准输入上,例如运行一个一次性交互shell。
Docker通常用于如下场景:
- web应用的自动化打包和发布;
- 自动化测试和持续集成、发布;
- 在服务型环境中部署和调整数据库或其他的后台应用;
- 从头编译或者扩展现有的OpenShift或Cloud Foundry平台来搭建自己的PaaS环境。
参考资料
Docker — 从入门到实践
Docker容器学习梳理--基础知识(1)
Docker容器学习梳理--基础知识(2)
Docker应用与运维
