go to index

Docker Overview

read time 15 min read
Docker

Docker overview

本文来源:https://docker-docs.uclv.cu/get-started/overview/

Docker是一个用于开发、发布和运行应用程序的开放平台。Docker使您能够将应用程序从基础设施中分离出来,以便快速交付软件。使用Docker,您可以像管理应用程序一样管理基础架构。通过利用Docker的方法快速交付、测试和部署代码,您可以显著减少编写代码和在生产环境中运行代码之间的延迟。

Docker 可以看作是青春版的虚拟机,它不虚拟硬件,只虚拟Linux内核和文件系统。因此Docker的性能要好于虚拟机。

The Docker platform

Docker提供了在称为容器的松散隔离环境中打包和运行应用程序的能力。隔离和安全性允许您在给定主机上同时运行多个容器。容器是轻量级的,因为它们不需要额外的管理程序负载,而是直接在主机的内核中运行。这意味着与使用虚拟机相比,您可以在给定的硬件组合上运行更多的容器。你甚至可以在实际上是虚拟机的主机上运行Docker容器!

Docker提供了工具和平台来管理容器的生命周期:

  • 使用容器开发应用程序及其支持组件。
  • 容器成为分发和测试应用程序的单元。
  • 准备好后,将应用程序部署到生产环境中,作为容器或编排服务。无论您的生产环境是本地数据中心、云提供商还是两者的混合,这都是一样的。

Docker Engine

Docker引擎是一个客户端-服务器应用程序,包含以下主要组件:

  • 一种服务器,它是一种长时间运行的程序,称为守护进程(dockerd命令)。

  • 一个REST API,它指定了一些接口,程序可以使用这些接口与守护进程对话并指示它做什么。

  • 命令行客户端(CLI) (docker命令)。

命令行客户端(CLI)使用Docker REST API,通过脚本或直接的CLI命令来控制Docker守护进程或与之交互。许多其他Docker应用程序使用底层API和CLI。

守护进程创建和管理Docker对象,如镜像、容器、网络和volumes。

注意:Docker是在开源Apache 2.0许可下授权的。

What can I use Docker for?

Fast, consistent delivery of your applications

Docker允许开发者使用本地容器在标准化环境中工作,从而简化了开发生命周期。容器非常适合持续集成和持续交付(CI/CD)工作流。

考虑以下示例场景:

  • 您的开发人员在本地编写代码,并使用Docker容器与同事共享他们的工作。
  • 他们使用Docker将他们的应用程序推送到测试环境中,并执行自动和手动测试。
  • 当开发人员发现错误时,他们可以在开发环境中修复它们,并将它们重新部署到测试环境中进行测试和验证。
  • 测试完成后,向客户提供修复就像将更新后的映像推送到生产环境一样简单。

Responsive deployment and scaling

  • Docker基于容器的平台支持高度可移植的工作负载。Docker容器可以在开发人员的本地笔记本电脑上运行,也可以在数据中心的物理机或虚拟机上运行,也可以在云提供商上运行,或者在各种环境中运行。

  • Docker的可移植性和轻量级特性也使得动态管理工作负载变得容易,可以根据业务需求近乎实时地扩展或删除应用程序和服务。

Running more workloads on the same hardware

Docker轻量级且快速。它为基于管理程序的虚拟机提供了一种可行的、经济有效的替代方案,因此您可以使用更多的计算能力来实现业务目标。Docker非常适合高密度环境和需要用更少资源做更多事情的中小型部署。

Docker architecture

Docker使用客户机-服务器架构。Docker客户端与Docker守护进程通信,后者完成构建、运行和分发Docker容器的繁重工作。Docker客户端和守护进程可以运行在同一个系统上,或者您可以将Docker客户端连接到远程Docker守护进程。Docker客户端和守护进程使用REST API,通过UNIX套接字或网络接口进行通信。

The Docker daemon

The Docker daemon(Docker的守护进程)监听Docker API请求,管理Docker对象,如镜像、容器、网络和Volumns(通道)。守护进程还可以与其他守护进程通信以管理Docker服务。

The Docker client

Docker客户端(Docker)是许多Docker用户与Docker交互的主要方式。当您使用诸如docker run之类的命令时,客户端将这些命令发送给dockerd,后者执行这些命令。docker命令使用docker API。Docker客户端可以与多个守护进程通信。

Docker registries

Docker注册表存储Docker镜像。Docker Hub是一个任何人都可以使用的公共注册表,默认情况下,Docker被配置为在Docker Hub上查找映像。您甚至可以运行自己的私人注册表。如果您使用Docker数据中心(DDC),它包括Docker可信注册表(DTR)。

当您使用docker pull或docker run命令时,将从配置的注册表中提取所需的映像。当您使用docker push命令时,映像将被推送到已配置的注册表中。

Docker objects

当你使用Docker时,你正在创建和使用镜像、容器、网络、Volumns(通道)、插件和其他对象。本节是其中一些对象的简要概述。

Images-镜像

镜像是一个只读模板,带有创建Docker容器的说明。通常,一个镜像基于另一个镜像,并进行一些额外的定制。例如,您可以构建一个基于ubuntu镜像的镜像,但是安装Apache web服务器和您的应用程序,以及使应用程序运行所需的配置细节。

您可以创建自己的镜像,也可以只使用其他人创建并发布在注册表中的镜像。要构建自己的镜像,需要创建一个Dockerfile,该文件使用简单的语法来定义创建和运行镜像所需的步骤。Dockerfile中的每条指令都会在镜像中创建一个层。当你改变Dockerfile并重建镜像时,只有那些已经改变的层才会被重建。与其他虚拟化技术相比,这是镜像如此轻量级、小巧和快速的部分原因。

Containers-容器

容器是镜像的可运行实例。您可以使用Docker API或CLI创建、启动、停止、移动或删除容器。您可以将容器连接到一个或多个网络,将存储附加到其上,甚至可以根据其当前状态创建新镜像。

默认情况下,容器相对较好地与其他容器及其主机隔离。您可以控制容器的网络、存储或其他底层子系统与其他容器或主机的隔离程度。

容器是由它的镜像以及在创建或启动它时提供给它的任何配置选项定义的。当容器被删除时,任何未存储在持久存储中的对其状态的更改都会消失。

Example docker run command

下面的命令运行一个ubuntu容器,以交互方式连接到本地命令行会话,并运行/bin/bash

dockerfile
$ docker run -i -t ubuntu /bin/bash

当您运行此命令时,会发生以下情况(假设您使用默认的注册表配置):

  1. 如果你在本地没有ubuntu镜像,Docker会从你配置的注册表中提取它,就像你手动运行Docker pull ubuntu一样。

  2. Docker创建一个新容器,就像您手动运行Docker container create命令一样。

  3. Docker为容器分配一个读写文件系统,作为它的最后一层。这允许运行中的容器在其本地文件系统中创建或修改文件和目录。

  4. Docker创建了一个网络接口,将容器连接到默认网络,因为您没有指定任何网络选项。这包括为容器分配一个IP地址。默认情况下,容器可以使用主机的网络连接连接到外部网络。

  5. Docker启动容器并执行/bin/bash由于容器以交互方式运行并连接到您的终端(由于-i和-t标志),因此您可以使用键盘提供输入,同时将输出记录到您的终端。

  6. 当输入exit终止/bin/bash命令时,容器会停止,但不会被移除。您可以重新启动或删除它。

Services-服务

Services(服务)允许您跨多个Docker守护进程扩展容器,这些守护进程都作为具有多个管理器和工作器的集群一起工作。集群的每个成员都是一个Docker守护进程,所有守护进程都使用Docker API进行通信。服务允许您定义所需的状态,例如在任何给定时间必须可用的服务副本的数量。默认情况下,该服务跨所有工作节点进行负载均衡。对于消费者来说,Docker服务似乎是一个单独的应用程序。Docker引擎在Docker 1.12及更高版本中支持集群模式。

The underlying technology

Docker是用Go语言编写的,并利用了Linux内核的几个特性来实现其功能。

Namespaces

Docker使用名为命名空间的技术来提供称为容器隔离工作空间。当你运行一个容器时,Docker会为这个容器创建一组命名空间。

这些名称空间提供了一层隔离。容器的每个方面都在单独的名称空间中运行,其访问仅限于该名称空间。

Docker Engine在Linux上使用如下命名空间:

  • pid namespace:进程隔离(pid:进程ID)。
  • net namespace:管理网络接口(net: Networking)。
  • ipc namespace:管理对ipc资源的访问(ipc:进程间通信)。
  • mnt namespace:管理文件系统装入点(mnt: mount)。
  • uts namespace:隔离内核和版本标识符。(UTS: Unix分时系统)。

Control groups

Linux上的Docker引擎还依赖于另一种称为控制组(cgroups)的技术。控制组限制应用程序使用一组特定的资源。控制组允许Docker引擎向容器共享可用的硬件资源,并有选择地实施限制和约束。例如,您可以限制特定容器的可用内存。

Union file systems

Union文件系统或UnionFS是通过创建层来操作的文件系统,这使得它们非常轻量级和快速。Docker Engine使用UnionFS为容器提供构建块。Docker Engine可以使用多种UnionFS变体,包括AUFS、btrfs、vfs和DeviceMapper。

Container format

Docker引擎将命名空间、控制组和UnionFS组合成一个称为容器格式的包装器。默认的容器格式是libcontainer。在未来,Docker可能会通过集成BSD jail或Solaris Zones等技术来支持其他容器格式。