专家解惑丨带你从系统管理员角度深刻了解 Docker

本文首发自“Docker公司”公众号（ID：docker-cn）
编译丨小东
每周1、3、五 与您不见不散！

此前，我作了一场题为“从系统管理员角度看 Docker”的分享，缘起于咱们常常能够看到这样的场景：一位系统管理员正坐在他的办公桌处理本身手上的事情，此时一名开发人员走进来讲：“这是新的应用，它在 Docker 镜像中。请尽快部署。”这次分享意在给系统管理员提供一些帮助，指导他们如何考虑在生产环境中管理容器化的应用。

因为时间关系，我可能没法逐一回答全部提问。如下只列出一些常见的问题及解答：

问：我正在计划部署一个应用，并但愿使用 Docker。您目前推荐使用什么云服务？我能够选择 GCP，Azure，AWS。1) 整体成本 2) 性能如何？

答：若是要准确回答这个问题，须要至关深刻地了解您的应用。因此，我可能没法提供一个很是具体的回答。我想说，若是您今天选择一个云服务提供商，并意识到未来可能会发生改变，那么 Docker 将使其变得很是容易，由于容器化的负载能够在不一样的云服务提供商之间轻松地移动。所以，先明确您的技术和业务出发点，据此选择最好的供应商。若是往后须要调整，则能够从容应对。

问：容器的最大大小是多少？

答：没有所谓的最大大小。若是须要，容器可使用给定节点的全部物理或虚拟资源。不过，若是不但愿这样作，则能够为 CPU 和内存设置最小值和最大值。

问：是否能够在运行 Docker 引擎的 Windows 主机中运行 Ubuntu 容器？

答：原生是不能够的。不过，您老是能够在 Windows 主机上运行一个 Linux 虚拟机来运行基于 Linux 容器。在 DockerCon 大会上，微软宣布他们未来会在 Windows 中包含原生的 Linux 容器。敬请关注相关的信息。

问：DDC 如今能够同时运行 Linux 和 Windows 工做负载吗？若是尚未，那么是否已经在规划相关的功能？

答：Docker的 swarm 模式目前能够在同一个群集中管理 Linux 和 Windows 工做负载。此功能将很快出如今 Docker 企业版/Docker Data Center 中。

问：Docker 是否有相似于 Black Duck 的镜像扫描工具？

答：有。Docker 企业版高级版包括 Docker 安全扫描功能。经过此功能，能够设置 Docker Trusted Registry 扫描镜像是否存在已知的漏洞和攻击。

问：是否仍推荐使用 Hypervisor 以容许群集主机？仍是真的不须要了？我可使用 Docker 原生的工具进行群集吗？或许能够用 Swarm？

答：究竟是在物理机仍是在虚拟机上运行容器，须要考虑多个因素。这并无现成的答案。您须要考虑诸如成本、性能、利旧、灾难恢复等多个因素，而后决定什么才是最合适的。不管如何，您能够构建同时包括物理机和虚拟机的 swarm 模式群集。

问：主机之间的安全通讯是什么？是 TLS 1.2？

答：是的，是 TLS 1.2。

问：我想开始尝试 DDC。是否有测试版本？Docker for Azure / AWS 是使用 DDC 做为底层吗？

答：是的，您能够从 Docker Store 中得到 Docker 企业版 30 天试用版本。Docker for Azure 和 Docker for AWS 能够部署 DDC （并非真正的底层，由于 DDC 安装在 AWS 或 Azure 基础设施上）。