【云原生Docker篇】Docker基本原理及镜像管理

末离时光的搁浅
112 阅读12分钟

一、Docker的概述

1. IT架构的演进

云计算涌现出很多改变传统IT架构和运维方式的新技术,比如虚拟机、容器、微服务、Serverless(无服务),无论这些技术应用在哪些场景,降低成本、提升效率是云服务永恒的主题。

1.运行物理机,也称为裸金属

2.虚拟机VM,可以在一台物理机上创建多个虚拟机,并把物理配置分发成多个虚拟配置

  • 缺点:性能损耗大,大约损耗50%

虚拟机常用软件:

VMware workstation(windows)
vm Sphere+ESXI (Windows server)
KVM(linux内核)

3.容器 (常用软件:docker、podman、rocket、container)

  • 容器内部自身有一个小型操作系统

4.函数(函数化,代码化)

2. 什么是Docker

1722237083474.jpg

  • Docker是一个开源的应用容器引擎,基于go语言开发并遵守了apache2.0协议开源
  • Docker是在Linux容器里运行应用的开源工具
  • 是一种轻量级的“虚拟机”
  • Docker的容器技术可以在一台主机上轻松为任何应用创建一个轻量级的、可移植的、自给自足的容器

Docker的Logo设计为蓝色鲸鱼,拖着许多集装箱。 鲸鱼可看作为宿主机,集装箱可理解为相互隔离的容器,每个集装箱中都包含自己的应用程序。

Docker设计宗旨:即通过对应用组件的封装、发布、部署、运行等生命周期的管理,达到应用组件级别的一次封装、到处运行的目的。这里的组件,既可以是一个应用,也可以是一套服务,甚至是一个完整的操作系统。

3. Docker的特点

容器化越来越受欢迎,因为容器是:

  • 灵活:即使是最复杂的应用也可以集装箱化。
  • 轻量级:容器利用并共享主机内核。
  • 可互换:可以即时部署更新和升级。
  • 便携式:可以在本地构建,部署到云,并在任何地方运行。
  • 可扩展:可以增加并自动分发容器副本。
  • 可堆叠:可以垂直和即时堆叠服务。

二、Docker容器与虚拟机的区别

容器是在linux上本机运行,并与其他容器共享主机的内核,它运行的是一个独立的进程,不占用共他任何可执行文件的内存,非常轻量。

虚拟机运行的是一个完整的操作系统,每个虚拟机使用独立的内核,通过虚拟机管理程序对主机资源进行虚拟访问,相比之下需要的资源更多。

使用类型功能KVM虚拟机Docker容器Docker容器的提升
日常运维CPU利用率利用率低且不均利用率高、均匀提高了CPU的利用率
硬盘空间占用20G ~ 200G150M ~ 300M极大降低了硬盘空间的占用,避免了空间浪费
内存占用共享2G ~ 32G内存根据服务占用内存避免了内存不足的问题
服务器支持数量20个左右1000+降低成本
启动速度以分钟计量,较慢,主要是操作系统启动较为耗时以秒计量,其启动速度就是启动一个进程的时间遇到问题可快速重启或者回滚
项目延伸拓展项目需要重新部署虚拟机,过程复杂通过云平台扩容,比较方便扩容方便、快捷
新上线项目开发、测试、生产环境很难实现同步,容易出现问题能够实现所有环境统一标准,不再依赖操作系统和软件库效率大幅度上升

Docker容器与虚拟机的特性

特性Docker容器虚拟机
内核的使用共享内核独立内核
启动速度秒级(相当于启动一个进程)分钟级(启动操作系统)
计算能力损耗几乎无损耗 50%左右
性能接近原生弱于
系统支持量(单机)上千个几十个
隔离性资源隔离/限制完全隔离(因为是独立的操作系统)
操作系统主要支持Linux几乎所有(KVM)
封装程度只打包项目代码和依赖关系,共享宿主机内核完整的操作系统,与宿主机隔离
  • docker就相当于宿主机的一个进程,所以损耗微乎其微。
  • 虚拟机和操作系统之间是hypervisor,虚拟化管理程序,虚拟化各种硬件资源,这中间就会有资源损耗。

三、容器在内核中支持2种重要技术

docker本质就是宿主机的一个进程,docker是通过namespace实现资源隔离,通过cgroup实现资源限制,通过写时复制技术(copy-on-write)实现了高效的文件操作(类似虚拟机的磁盘比如分配500g并不是实际占用物理磁盘500g,只有当需要修改时才复制一份数据)。

1. Namespace 实现资源隔离

Namespace是Linux系统的底层概念,在内核层实现,即有一些不同类型的命名空间被部署在核内,各个docker容器运行在同一个docker主进程并且共用同一个宿主机系统内核,各docker容器运行在宿主机的用户空间,每个容器都要有类似于虚拟机一样的相互隔离的运行空间,但是容器技术是在一个进程内实现运行指定服务的运行环境,并且还可以保护宿主机内核不受其他进程的干扰和影响,如文件系统空间、网络空间、进程空间等,目前主要通过以下技术实现容器运行空间的相互隔离:

Linux六大namespace(命名空间):

namespace 隔离类型系统调用参数隔离内容
UTSCLONE_NEWUTS主机名和域名
IPCCLONE_NEWWIPS信号量,消息队列和共享内存
PIDCLONE_NEWPID进程编号
NETWORKCLONE_NEWNET网络设备,网络栈,端口等
MOUNTCLONE_NEWNS挂载点(文件系统)
USERCLONE_NEWUSER用户和用户组(3.8以后的内核才支持)

2. Control groups 实现资源限制

如果不对一个容器做任何资源限制,则宿主机会允许其占用无限大的内存空间,有时候会因为代码bug程序会一直申请内存,直到把宿主机内存占完,为了避免此类的问题出现,宿主机有必要对容器进行资源分配限制,比如CPU、内存等。

Cgroups 最主要的作用,就是限制一个进程组能够使用的资源上限,包括CPU、内存、磁盘、网络带宽等等。此外,还能够对进程进行优先级设置,资源的计量以及资源的控制(比如:将进程挂起和恢复等操作)。

四、Docker的核心概念

1. 镜像

  • Docker的镜像是创建容器的基础,类似虚拟机的快照,可以理解为一个面向 Docker 容器引擎的只读模板。
  • 通过镜像启动一个容器,一个镜像是一个可执行的包,其中包括运行应用程序所需要的所有内容包含代码,运行时间,库、环境变量、和配置文件。

2. 容器

  • Docker的容器是从镜像创建的运行实例,它可以被启动、停止和删除。所创建的每一个容器都是相互隔离、互不可见,以保证平台的安全性。
  • 可以把容器看做是要给简易版的linux环境(包括root用户权限、镜像空间、用户空间和网络空间等)和运行在其中的应用程序。

3. 仓库

  • Docker仓库是用来集中保存镜像的地方,当创建了自己的镜像之后,可以使用push命令将它上传到公有仓库(Public)或者私有仓库(Private)。当下次要在另外一台机器上使用这个镜像时,只需从仓库获取。
  • Docker 的镜像、容器、日志等内容全部都默认存储在 /var/lib/docker 目录下。

五、安装Docker

1. Yum安装Docker

目前 Docker 只能支持 64 位系统。

Yum安装默认安装最新版本

#关闭防火墙和selinux
systemctl stop firewalld.service
setenforce 0

#安装依赖包
yum install -y yum-utils device-mapper-persistent-data lvm2 
--------------------------------------------------------------------------------------------
#yum-utils:提供了 yum-config-manager 工具。
#device mapper: 是Linux内核中支持逻辑卷管理的通用设备映射机制,
它为实现用于存储资源管理的块设备驱动提供了一个高度模块化的内核架构。
#device mapper存储驱动程序需要 device-mapper-persistent-data 和 lvm2。
--------------------------------------------------------------------------------------------

#设置阿里云镜像源
yum-config-manager --add-repo https://mirrors.aliyun.com/docker-ce/linux/centos/docker-ce.repo 

#安装 Docker-CE并设置为开机自动启动
yum install -y docker-ce      #docker-ce-cli、containerd.io 会作为依赖包被安装

systemctl start docker.service
systemctl enable docker.service 

yum install -y docker-ce docker-ce-cli containerd.io

yum list docker-ce.x86_64 --showduplicates
#显示可安装版本
yum -y install docker-ce-19.03.15-3.el7 docker-ce-cli-19.03.15-3.el7
# 安装指定版本的Docker-CE和客户端,注意客户端也要指定,否则或造成不一致
#yum -y install docker-ce-[VERSION]
#如不指定版本默认最新

2. 查看Docker信息

#查看 docker 版本信息  
docker version  
#注意:Yum安装默认安装最新版本 

#docker信息查看
Client: Docker Engine - Community
 Version:    26.1.4
 Context:    default
 Debug Mode: false
 Plugins:
  buildx: Docker Buildx (Docker Inc.)
    Version:  v0.14.1
    Path:     /usr/libexec/docker/cli-plugins/docker-buildx
  compose: Docker Compose (Docker Inc.)
    Version:  v2.27.1
    Path:     /usr/libexec/docker/cli-plugins/docker-compose

Server:
 Containers: 0                  #容器数量
  Running: 0                   
  Paused: 0
  Stopped: 0
 Images: 0                      #镜像数量
 Server Version: 26.1.4         #server版本
 Storage Driver: overlay2       #docker使用的是overlay2 文件驱动
  Backing Filesystem: xfs       #宿主机上的底层文件系统
  Supports d_type: true
  Using metacopy: false
  Native Overlay Diff: true
  userxattr: false
 Logging Driver: json-file
 Cgroup Driver: cgroupfs        #cgroups 驱动,默认为cgroupfs,也可以修改为systemd
 Cgroup Version: 1
 Plugins:
  Volume: local
  Network: bridge host ipvlan macvlan null overlay
  Log: awslogs fluentd gcplogs gelf journald json-file local splunk syslog
 Swarm: inactive
 Runtimes: io.containerd.runc.v2 runc
 Default Runtime: runc
 Init Binary: docker-init
 containerd version: d2d58213f83a351ca8f528a95fbd145f5654e957
 runc version: v1.1.12-0-g51d5e94
 init version: de40ad0
 Security Options:
  seccomp
   Profile: builtin
 Kernel Version: 3.10.0-693.el7.x86_64
 Operating System: CentOS Linux 7 (Core)
 OSType: linux
 Architecture: x86_64
 CPUs: 2
 Total Memory: 1.781GiB
 Name: localhost.localdomain
 ID: b7a45829-4e53-47bc-b44a-4146676fa197
 Docker Root Dir: /var/lib/docker
 Debug Mode: false
 Experimental: false
 Insecure Registries:
  127.0.0.0/8
 Live Restore Enabled: false

六、Docker的镜像管理命令

1. 搜索镜像

格式:docker search 关键字(镜像名称或仓库名)

docker search nginx        #搜索nginx的镜像

docker search clearlinux   #搜索指定仓库clearlinux中的镜像

image.png

image.png

2. 获取镜像(下载镜像)

格式:docker pull 镜像名称[:标签]
#如果下载镜像时不指定标签,则默认会下载仓库中最新版本的镜像,即选择标签为 latest 的镜像。

docker pull nginx   #下载nginx镜像

image.png

3. 镜像加速下载

浏览器访问 https://cr.console.aliyun.com/cn-hangzhou/instances/mirrors 获取镜像加速器配置

#配置镜像加速器

针对Docker客户端版本大于 1.10.0 的用户

您可以通过修改daemon配置文件/etc/docker/daemon.json来使用加速器


sudo mkdir -p /etc/docker
sudo tee /etc/docker/daemon.json <<-'EOF'
{
  "registry-mirrors": ["https://zx4foujs.mirror.aliyuncs.com"]
}
EOF


systemctl daemon-reload      #重新加载
systemctl restart docker     #重启docker

docker info   #查看是否启用了镜像加速

image.png

image.png

image.png

4. 查看本地有哪些镜像

镜像下载后存放在 /var/lib/docker

#查看下载到本地的所有镜像
docker images
REPOSITORY   TAG       IMAGE ID       CREATED       SIZE
nginx        latest    605c77e624dd   2 years ago   141MB
 ------------------------------------------------------------------------------------
#注释:
REPOSITORY:镜像属于的仓库;
TAG:镜像的标签信息,标记同一个仓库中的不同镜像;
IMAGE ID:镜像的唯一ID 号,唯一标识一个镜像;
CREATED:镜像创建时间;
VIRTUAL SIZE:镜像大小;
 ------------------------------------------------------------------------------------

#镜像下载后存放在 /var/lib/docker 
#查看下载的镜像文件信息
cat /var/lib/docker/image/overlay2/repositories.json

image.png

image.png

5. 查看镜像的详细信息( 获取容器/镜像的元数据 )

格式:docker inspect 镜像ID号/容器ID     #根据镜像的唯一标识 ID 号,获取镜像详细信息

docker inspect 605c77e624dd

image.png

6. 为本地的镜像添加新的标签

添加标签后,镜像的ID号并不会改变。

格式:docker tag 名称:[标签] [仓库名/]名称:[新标签]

示例:
docker tag nginx:latest nginx:web       #为nginx镜像添加web标签
docker tag nginx:latest 仓库名/nginx:web   #为镜像添加库标识,方便上传到官方仓库,因为上传镜像时必须指定仓库
docker images | grep nginx

image.png

image.png

7. 删除镜像

注意:如果该镜像已经被容器使用,正确的做法是先删除依赖该镜像的所有容器,再去删除镜像。

删除镜像格式:
docker rmi 镜像名:标签      #删除指定标签
docker rmi 镜像ID -f       #删除指定镜像


docker rmi nginx:web            #删除nginx镜像的web标签
docker rmi 605c77e624dd         #删除镜像,该镜像只有单个标签的情况下
docker rmi 605c77e624dd -f    #删除镜像,镜像有多个标签时需要加-f

image.png

image.png

image.png

8. 批量删除镜像

 docker images        #查看本地所有镜像
 docker images -q     #查看本地有哪些镜像,只显示镜像ID
 docker rmi $(docker images -q) -f    #批量删除本地所有镜像

image.png

9. 将镜像导出

save -o 镜像文件  镜像名|镜像ID
docker save -o  nginx-web.tar nginx:web

image.png

10. 将镜像导入

将镜像导入

docker load -i  镜像文件
docker load -i nginx-web.tar
 
将镜像导入 
docker load < 镜像文件 
docker load < nginx-web.tar

image.png

image.png

11. 上传镜像

默认上传到 docker Hub 官方公共仓库,需要注册使用公共仓库的账号。https://hub.docker.com
可以使用 docker login 命令来输入用户名、密码和邮箱来完成注册和登录。
在上传镜像之前,还需要先对本地镜像添加新的标签,然后再使用 docker push 命令进行上传。

docker tag nginx:latest soscscs/nginx:web		#添加新的标签时必须在前面加上自己的dockerhub的username
docker login								#登录公共仓库
Username:LHEY
password:abc123456
docker push LHEY/nginx:web

七、总结

1. Namespace 实现资源隔离

Namespace是Linux系统的底层概念,在内核层实现,即有一些不同类型的命名空间被部署在核内,各个docker容器运行在同一个docker主进程并且共用同一个宿主机系统内核,各docker容器运行在宿主机的用户空间,每个容器都要有类似于虚拟机一样的相互隔离的运行空间,但是容器技术是在一个进程内实现运行指定服务的运行环境,并且还可以保护宿主机内核不受其他进程的干扰和影响,如文件系统空间、网络空间、进程空间等,目前主要通过以下技术实现容器运行空间的相互隔离:

Linux六大namespace(命名空间):

namespace 隔离类型系统调用参数隔离内容
UTSCLONE_NEWUTS主机名和域名
IPCCLONE_NEWWIPS信号量,消息队列和共享内存
PIDCLONE_NEWPID进程编号
NETWORKCLONE_NEWNET网络设备,网络栈,端口等
MOUNTCLONE_NEWNS挂载点(文件系统)
USERCLONE_NEWUSER用户和用户组(3.8以后的内核才支持)

2. Control groups 实现资源限制

如果不对一个容器做任何资源限制,则宿主机会允许其占用无限大的内存空间,有时候会因为代码bug程序会一直申请内存,直到把宿主机内存占完,为了避免此类的问题出现,宿主机有必要对容器进行资源分配限制,比如CPU、内存等。

Cgroups 最主要的作用,就是限制一个进程组能够使用的资源上限,包括CPU、内存、磁盘、网络带宽等等。此外,还能够对进程进行优先级设置,资源的计量以及资源的控制(比如:将进程挂起和恢复等操作)。

3. 镜像管理命令

命令作用
docker search <仓库/镜像名>搜索镜像
docker pull <仓库/镜像名>下载镜像
docker images查看本地的所有镜像
docker images -q只显示本地所有镜像的ID号
docker inspect <镜像ID/容器ID>查看镜像的详细信息( 获取镜像/容器的元数据 )
docker tag 名称:[标签] [仓库名/]名称:[新标签]为本地的镜像添加新的标签
docker rmi < 镜像名称:标签>删除镜像的某个标签
docker rmi <镜像ID> -f删除指定镜像
docker rmi $(docker images -q)删除本地所有镜像
docker save -o 镜像文件.tar 镜像名称:标签存出镜像:将镜像保存为本地文件
docker load -i[或<] 镜像文件载入镜像:将镜像文件导入到镜像库中
docker login登录公共仓库docker hub
docker push 仓库名/镜像名:标签上传镜像(将镜像上传到官方仓库)
docker logout登出docker hub
avatar
文章
阅读
粉丝