【Docker系列】入门一:简介

欧丫吉
362 阅读7分钟

一、简介

Docker提供了在松散隔离的环境(称为容器)中打包和运行应用程序的功能。隔离和安全性使您可以在给定主机上同时运行多个容器。容器轻巧,因为它们不需要虚拟机管理程序的额外负载,而是直接在主机的内核中运行。这意味着与使用虚拟机相比,在给定的硬件组合上可以运行更多的容器。您甚至可以在实际上是虚拟机的主机中运行Docker容器!

Docker提供了工具和平台来管理容器的生命周期:

  • 使用容器开发应用程序及其支持组件。
  • 容器成为分发和测试应用程序的单元。
  • 准备就绪后,可以将应用程序作为容器或协调服务部署到生产环境中。无论您的生产环境是本地数据中心,云提供商还是两者的混合,其工作原理都相同。

二、Docker Engine

Docker Engine是具有以下主要组件的客户端-服务器应用程序:

  • 服务器是一种长期运行的程序,称为守护程序进程( dockerd命令)。
  • REST API,它指定程序可以用来与守护程序进行通信并指示其操作的接口。
  • 命令行界面(CLI)客户端(docker命令)。

CLI使用Docker REST API通过脚本或直接CLI命令控制或与Docker守护程序交互。许多其他Docker应用程序都使用基础API和CLI。

注意:守护程序主要是创建和管理Docker对象,例如图像,容器,网络和卷。

三、Docker架构

Docker使用客户端-服务器架构。Docker 客户端与Docker 守护程序进行对话,该守护程序完成了构建,运行和分发Docker容器的繁重工作。Docker客户端和守护程序可以 在同一系统上运行,或者您可以将Docker客户端连接到远程Docker守护程序。Docker客户端和守护程序在UNIX套接字或网络接口上使用REST API进行通信。

1.Docker daemon(docker 守护进程)

Docker daemon(dockerd)监听Docker API请求并管理Docker对象,例如图像,容器,网络和卷。守护程序还可以与其他守护程序通信以管理Docker服务。

2.Docker client(Docker 客户端)

Docker客户端(docker)是许多Docker用户与Docker交互的主要方式。当您使用诸如之类的命令时docker run,客户端会将这些命令发送到dockerd,以执行这些命令。该docker命令使用Docker API。Docker客户端可以与多个守护程序通信。

3.Docker registries

Docker registry存储Docker images。Docker Hub是任何人都可以使用的公共注册中心,并且Docker配置为默认在Docker Hub上查找镜像。您甚至可以运行自己的私人注册中心。 使用docker pull或docker run命令时,所需的图像将从配置的注册表中提取。使用该docker push命令时,推送镜像到配置的注册中心。

4.Docker objects(docker 对象)

使用Docker时,您正在创建和使用映像,容器,网络,卷,插件和其他对象。本节是其中一些对象的简要概述。

  • (1)镜像: 镜像是用于创建一个docker容器指令的只读模板。通常,一个镜像基于另一个镜像,并进行一些其他自定义。例如,您可以基于该ubuntu 镜像构建镜像,但是安装Apache Web服务器和您的应用程序,以及运行该应用程序所需的配置详细信息。 您可以创建自己的镜像,也可以仅使用其他人创建并在注册表中发布的镜像。要构建自己的镜像,您可以 使用简单的语法创建一个Dockerfile,以定义创建镜像并运行它所需的步骤。Dockerfile中的每条指令都会在镜像中创建一个层。当您更改Dockerfile并重建镜像时,仅重建那些已更改的层。与其他虚拟化技术相比,这是使镜像如此轻巧,小型和快速的部分原因。

  • (2)容器: 容器是镜像的可运行实例。您可以使用Docker API或CLI创建,启动,停止,移动或删除容器。您可以将容器连接到一个或多个网络,将存储连接到它,甚至根据其当前状态创建一个新映像。 默认情况下,容器与其他容器及其主机之间的隔离度相对较高。您可以控制容器的网络,存储或其他基础子系统与其他容器或主机的隔离程度。 容器由其映像以及在创建或启动时为其提供的任何配置选项定义。删除容器后,未存储在永久性存储中的状态更改将消失。

  • (3)服务: 服务允许你扩展在多个码头工人守护进程的容器,这是所有工作一起作为一个群有多个管理人员和工人。群的每个成员都是Docker守护程序,所有守护程序都使用Docker API进行通信。服务允许您定义所需的状态,例如在任何给定时间必须可用的服务副本的数量。默认情况下,该服务在所有工作节点之间是负载平衡的。对于消费者而言,Docker服务似乎是一个单独的应用程序。Docker Engine在Docker 1.12及更高版本中支持集群模式。

四、底层技术

命名空间

Docker使用一种称为namespaces提供容器的隔离工作区的技术。运行容器时,Docker会为该容器创建一组 名称空间。这些名称空间提供了一层隔离。容器的每个方面都在单独的名称空间中运行,并且其访问仅限于该名称空间。

Docker Engine在Linux上使用以下名称空间:

  • pid命名空间:进程隔离(PID:进程ID)。
  • net命名空间:管理网络接口(NET:网络)。
  • ipc命名空间:管理访问IPC资源(IPC:进程间通信)。
  • mnt命名空间:管理文件系统挂载点(MNT:摩)。
  • uts命名空间:隔离内核和版本标识符。(UTS:Unix时间共享系统)。

对照组

Linux上的Docker引擎还依赖于另一种称为控制组 (cgroups)的技术。cgroup将应用程序限制为一组特定的资源。控制组允许Docker Engine将可用的硬件资源共享给容器,并有选择地实施限制和约束。例如,您可以限制特定容器可用的内存。

联合文件系统

联合文件系统或UnionFS是通过创建图层进行操作的文件系统,使其非常轻便且快速。Docker Engine使用UnionFS为容器提供构建模块。Docker Engine可以使用多个UnionFS变体,包括AUFS,btrfs,vfs和DeviceMapper。

注意:Docker 镜像是多层存储结构,并且可以继承、复用,因此不同镜像可能会因为使用相同的基础镜像,从而拥有共同的层。由于基于 Union FS技术(联合文件系统),相同的层只需要保存一份即可,所以实际镜像硬盘使用空间可能要比这个小的多。

比如下拉取如下镜像,由于已经存在部分的同样的层的(sha唯一),所以不需要再去拉取

user@user:~$ sudo docker pull openjdk:8-jre-alpine
8-jre-alpine: Pulling from library/openjdk
e7c96db7181b: Already exists     ##已经存在
f910a506b6cb: Already exists     ##已经存在
b6abafe80f63: Pull complete 
Digest: sha256:f362b165b870ef129cbe730f29065ff37399c0aa8bcab3e44b51c302938c9193
Status: Downloaded newer image for openjdk:8-jre-alpine
docker.io/library/openjdk:8-jre-alpine

docker image ls 命令列出的镜像体积总和并非是所有镜像实际消耗硬盘空间,可以通过以下命令来查看镜像、容器、数据卷所占用的空间。

user@user:~$ sudo docker system df
TYPE                TOTAL               ACTIVE              SIZE                RECLAIMABLE
Images              71                  14                  18.29GB             15.84GB (86%)
Containers          14                  14                  9.873MB             0B (0%)
Local Volumes       253                 11                  5.656GB             5.654GB (99%)
Build Cache         0                   0                   0B                  0B

容器格式

Docker Engine将名称空间,控制组和UnionFS组合到一个称为容器格式的包装器中。默认容器格式为libcontainer。将来,Docker可以通过与BSD Jails或Solaris Zones等技术集成来支持其他容器格式。

资料: 官方文档

avatar
文章
阅读
粉丝