Docker - docker学习笔记(一)

转载地址：https://blog.csdn.net/zmx729618/article/details/72930474

1.docker 的主要部件：docker(开源的容器虚拟化平台)

                                   docker hub（用于分享、管理Docker容器的Docker SaaS平台）

            docker 使用客户端-服务器(C/S)架构模式。Docker客户端会与Docker守护进程进行通信；

            docker守护进程会处理复杂繁重的任务(建立，运行，发布docker容器)

            docker客户端和守护进程可以运行在同一个系统上，也可以使用docker客户端去连接一个远程的docker守护进程；

            docker客户端和守护进程之间通过socket或者RESTful API进行通信；

2.docker 内部构建

    docker镜像：Docker images

    docker仓库：Docker registeries

    docker容器：Docker containers

3.docker镜像：

    docker镜像是docker容器运行时的只读模板，每一个镜像都由一系列的层(layers)组成。Docker使用UnionFs来将这些层联合到单独的镜像中。UnionFs允许 独立文件系统中的文件和文件夹(成为分支)被透明覆盖，形成一个单独连贯的文件系统；正是因为有了这些层的存在Docker是如此的轻量；当你改变了一个Docker镜像，不如升级到某个程序到新版本，一个新的层会被创建。因此不用替换整个原先的镜像或者重新建立(在使用虚拟机的时候你可能会这么做),只是一个新的层被添加或升级了。现在你不用重新发布镜像，只需要升级，层使得分发docker镜像变得简单和快速。

4.docker仓库

docker仓库用来保存镜像，可以理解为代码控制中的代码仓库。同样的，docker仓库也有公有和私有的概念。公有的docke仓库名称是Docker Hub。Docker Hub提供了庞大的镜像集合供使用。这些镜像可以是自己创建，或者在别人的基础上创建。Docker仓库是Docker的分发部分；

5.Docker容器

Docker容器和文件夹很类似，一个docker容器包含了所有的某个应用运行所需要的环境。每一个Docker容器都是从Docker镜像创建的。Docker容器可以运行、开始、停止、移动和删除；每一个Docker容器都是独立和安全的应用平台，Docker容器是docker的运行部分；

6.libcontainer

Docker从0.9版本开始使用libcontainer替代lxc，docker和linux的交互图如下：

7.命名空间【Namespaces】

pid namespace

不同用户的进程就是通过pid namespace隔离开的，且不同namespace中可以有相同的PID。具有下列特征：

每个namespace中的pid是有自己的pid=1的进程(类似 /sbin/init进程)

每个namespace中的进程只影响自己的同一个namespace或子namespace中的进程；

因为/proc包含正在运行的进程，因此在container中的pesudo-filesystem的/proc目录只能看到自己namespace中的进程；

因为namespace允许嵌套，父namespace可以影响namespace的进程，所以子namespace的进程可以在父namesapce中看到，但是具有不同的pid；

mnt namespace

类似chroot,将一个进程放到一个特定的目录执行。mnt namespace 允许不同namesapce的进程看到的文件结构不同，这样每个namesapce中的container在/proc/mounts的信息只包含所在namesapce的mount point。

net namespace

网络隔离是通过net namesapce实现的，每个net namesapce有独立的network devices，IP addresses,IP routing tables,/proc/net目录。这样每个container的网络就能隔离开来。docker默认采用veth的方式将container中的虚拟网卡同host上的一个docker bridge连接在一起；

uts namespace

UTS("UNIX Time-sharing System")namespace允许每一个container拥有独立的hostname和domain name，使其在网络上被视作一个独立的节点而非Host上的一个进程；

ipc namespace

container中进程交互还是采用Linux常见的进程间交互方法(interprocess communication - IPC),包括常见的信号量、消息队列和共享内存。然而同VM不同，container的进程间交互实际上还是host上具有相同pid namespace中的进程间交互，因此需要在IPC资源申请时加入namespace信息-每个IPC资源有一个唯一的32bitID；

user namespace

每个container可以有不同的user和group id ，也就是说可以以container内部的用户在container内部执行程序而非Host上的用户。

有了以上6中namespace从进程、网络、IPC、文件系统、UTS和用户角度的隔离，一个container就可以对外展现出一个独立的计算机的能力，并且不同container从OS层面实现了隔离。然而不同namespace之间资源还是相互竞争的，仍然需要类似ulimit来管理每个container所能使用的资源-cgroup；

8.资源配额【cgroups】

cgroups实现了对资源的配额和度量。cgroups的使用非常简单，提供类似文件的接口，在/cgroups目录下新建一个文件夹即可新建一个group,在此文件中新建task文件，并将pid写入该文件，即可实现对该组进程的资源控制。具体的资源配置选项可以在该文件夹中新建子subsystem，{子系统前缀}.{资源项}时典型的配置方法，如memory.usageinbytes就定义了该group在subsystem memory中的一个内存限制选项。另外，cgroups中的subsystem可以随意组合，一个subsystem可以在不同的group中，也可以一个group包含多个subsystem-也就是说一个subsystem。

    memory

            内存相关的限制；

    cpu

            在cgroup中，并不能像硬件虚拟化方案一样能够定义cup能力，但是能够定义cpu转轮的优先级，因此具有较高cpu优先级的进程会更可能得到cpu运算。通过将参数写入cup.shares，即可定义该cgroups的CPU优先级-这里是一个相对权重，而非绝对值；

    blkio

            block IO相关的统计和限制，byte/operation统计和限制(IOPS等)，读写速度限制等，但是这里主要统计的都是同步IO；

    devices

            设备权限限制