docker基础
一、docker概述
1、Docker发展
Docker 最初是dotCloud公司创始人Solomon Hykes在法国期间发起的一个公司内部项目,它是dotCloud公司多年云服务技术的一次革新,并与2013年3月以Apache 2.0 授权协议开源,主要代码在 GitHub 上进行维护。Docker项目后来还加入了 Linux 基金会,并成立推动开放容器联盟(OCI)。
Docker 使用 Google 公司推出的 GO语言 进行开发实现,基于Linux内核的cgroup、namespace,以及AUFFS类的 Unions FS等技术,对进程进行封装隔离,属于操作系统层面的虚拟化技术。由于隔离的进程独立于宿主机和其它的隔离的进程,因此也称之为容器。
Docker在容器的基础上,进行了进一步的封装,从文件系统、网络互连到进程隔离等等,极大的简化了容器的创建和维护。使得Docker技术比虚拟机技术更为轻便快捷。
2、Docker技术与虚拟机技术比较
虚拟机技术:传统虚拟机技术是虚拟出一套硬件后,在其上运行一套完整的操作系统,在该系统上再运行所需应用进程;
Docker技术(容器):容器内的进程直接运行与宿主机的内核,容器内没有自己的内核,而且也没有进行硬件虚拟。
3、为什么使用Docker
更高效的利用系统资源:容器不需要进行硬件的虚拟化以及一套完整的操作系统,因此Docker对系统的利用率更高。无论是执行速度、内存损耗或者是文件存储速度,都要比传统的虚拟机技术更高效。因此,相比虚拟机技术,一个相同配置的主机,往往可以运行更多数量的应用
更快速的启动时间:传统的细腻及技术启动应用服务往往需要几分钟,而Docker容器应用,由于直接运行于宿主机内核,无需启动完整的操作系统,因此可以做到秒级,甚至是毫秒级的启动时间。大大节约了开发、测试、部署的时间
一致的运行环境:开发过程中一些常见的问题是环境的一致性问题。由于开发环境、测试环境、生产环境不一致,导致有些bug并未在开发过程中被发现。而Docker的镜像提供了除内核外完整的运行时环境,确保了应用运行环境的一致性。从而避免了环境不一致的问题
持续交互和部署:对开发和运维(DevOps)人员来说,最希望的就是一次创建或配置,可以在任意 地方正常运行。 使用 Docker 可以通过定制应用镜像来实现持续集成、持续交付、部署。
开发人员 可以通过 Dockerfile 来进行镜像构建,并结合 持续集成(Continuous Integration) 系 统进行集成测试,而运维人员则可以直接在生产环境中快速部署该镜像,甚至结合 持续部署(Continuous Delivery/Deployment) 系统进行自动部署。
而且使用 Dockerfile 使镜像构建透明化,不仅仅开发团队可以理解应用运行环 境,也方便运维团队理解应用运行所需条件,帮助更好的生产环境中部署该镜像。
更轻松的迁移:由于 Docker 确保了执行环境的一致性,使得应用的迁移更加容易。Docker 可以在 很多平台上运行,无论是物理机、虚拟机、公有云、私有云,甚至是笔记本,其运 行结果是一致的。因此用户可以很轻易的将在一个平台上运行的应用,迁移到另一 个平台上,而不用担心运行环境的变化导致应用无法正常运行的情况
更轻松的维护和扩展:Docker 使用的分层存储以及镜像的技术,使应用重复部分的复用更为容易,也使得应用的维护更新更加简单,基于基础镜像进一步扩展镜像也变得非常简单。此外,Docker 团队同各个开源项目团队一起维护了一大批高质量的 官方镜像,既可以直接在生产环境使用,又可以作为基础进一步定制,大大的降低了应用服务的镜 像制作成本
对比传统虚拟机总结
| 特性 | 容器 | 虚拟机 |
| 启动 | 秒级 | 分钟级 |
| 硬盘使用 | 一般为MB | 一般为GB |
| 性能 | 接近原生 | 弱于 |
| 系统支持量 | 单机支持上千个容器 | 一般几十个 |
二、Docker的基本概念
1、镜像(Image)
Docker镜像:我们都知道操作系统分为内核和用户空间。对于Linux而言,内核启动后,会挂载 root 文件系统为其提供用户用户空间支持。而Docker镜像(Image),就相当于一个root文件系统。
Docker镜像是一个特殊的文件系统,除了提供容器运行是所需要的程序、库、资源、配置等文件外,还包含一些为运行时准备的一些配置参数(如匿名卷、环境变量、用户等)。镜像不包含任何动态数据,其内容在构建之后也不会被改变。
分层存储:因为镜像包含操作系统完整的root文件系统,其体积往往是比较大的。因此,docker在设计的时候,充分利用Union FS技术。将其设计为分层存储的架构。所以,镜像并非一个ISO那样的打包文件,实际是由多层文件系统联合组成
镜像构建时,会一层层构建,前一层是后一层的基础。每一层构建成功后就不会再发生改变,后一层的改变只发生在自己这一层。比如,删除前一层的文件,实际并没有删除,只是在当前层标记为已经删除,文件会一直跟随镜像
分层存储的特征还使得镜像的复用、定制变的更为容易。甚至可以用之前构建好的 镜像作为基础层,然后进一步添加新的层,以定制自己所需的内容,构建新的镜像。
2、容器(Container)
容器:镜像(Image)和容器(Container)的关系,就像面向对象程序设计中的 类 和 实例 一样,镜像是静态的定义,容器是镜像运行时的实体。容器可以被创建、启动、停止、删除、暂停等
容器的实质是进程,但与直接运行在宿主机上的进程不同,容器进程有属于自己的独立的命名空间。因此容器可以拥有自己的root文件系统、网络配置、进程空间,甚至自己的用户ID空间。
容器内的进程是运行在一个隔离的环境里,使用起来就好像是在一个独立于宿主机的系统下操作一样。这种特性使得容器封装的应用比直接在宿主机上运行更加安全
容器存储层:每一个容器运行时,是以镜像为基础层,在其上创建容器存储层,我们称这个为容器运行时读写而准备的存储层为容器存储层
容器存储层的生命周期和容器一样,容器消亡时,容器存储层也随之消亡,因此,所有保存在容器存储层的信息都会随容器删除而丢失
按照 Docker 最佳实践的要求,容器不应该向其存储层内写入任何数据,容器存储 层要保持无状态化。所有的文件写入操作,都应该使用 数据卷(Volume)、或者 绑定宿主目录,在这些位置的读写会跳过容器存储层,直接对宿主(或网络存储) 发生读写,其性能和稳定性更高
3、仓库(Repository)
Docker Registory:一个集中存储、分发镜像的服务。 一个Docker Registory可以包含多个仓库(Repository);每个仓库可以包含多个标签(Tag);每个标签对应一个镜像
通常,一个仓库会包含同一个软件不同版本的镜像,而标签就常用于对应该软件的 各个版本。我们可以通过 <仓库名>:<标签> 的格式来指定具体是这个软件哪个版 本的镜像。如果不给出标签,将以 latest 作为默认标签。
仓库名经常以 两段式路径 形式出现,比如 jwilder/nginx-proxy ,前者往往意 味着 Docker Registry 多用户环境下的用户名,后者则往往是对应的软件名。但这 并非绝对,取决于所使用的具体 Docker Registry 的软件或服务。
公有Docker Registory:Docker Registry 公开服务是开放给用户使用、允许用户管理镜像的 Registry 服 务。一般这类公开服务允许用户免费上传、下载公开的镜像,并可能提供收费服务 供用户管理私有镜像。
最常使用的 Registry 公开服务是官方的 Docker Hub,这也是默认的 Registry,并 拥有大量的高质量的官方镜像。
由于某些原因,在国内访问这些服务可能会比较慢。国内的一些云服务商提供了针 对 Docker Hub 的镜像服务( Registry Mirror ),这些镜像服务被称为加速 器。常见的有 阿里云加速器、DaoCloud 加速器 等。使用加速器会直接从国内的地址下载 Docker Hub 的镜像,比直接从 Docker Hub 下载速度会提高很多。在 安装 Docker 一节中有详细的配置方法。
私有Docker Registory:在本地搭建私有 Docker Registry,Docker 官方提供了 Docker Registry 镜像,可以直接使用做为私有 Registry 服务。
开源的 Docker Registry 镜像只提供了 Docker Registry API 的服务端实现,足以支 持 docker 命令,不影响使用。但不包含图形界面,以及镜像维护、用户管理、 访问控制等高级功能。在官方的商业化版本 Docker Trusted Registry 中,提供了这 些高级功能。
除了官方的 Docker Registry 外,还有第三方软件实现了 Docker Registry API,甚 至提供了用户界面以及一些高级功能。比如,VMWare Harbor 和 Sonatype Nexus。
三、Docker版本管理
Docker分为CE和EE两大版本,CE是社区版(免费,支持周期7个月),EE是企业版(付费,强调安全,支持周期24个月)
Docker CE 分为stable、test和 nightly三个频道,每6个月发布一个stable版本。
待完善
1、虚拟化技术