Docker 的基本概念和框架

文章首发于微信公众号《程序员果果》 地址：mp.weixin.qq.com/s/8VM-c_Ukx…

1、Docker简介

什么是容器 ？

• 一种虚拟化的方案
• 操做系统级别的虚拟化
• 只能运行相同或类似的内核操做系统
• 依赖于Linux内核特性：Namespace和Cgroups（Control Group）

容器技术有哪些优势 ？

从图中咱们很容器看出，容器技术资源占用比较少，因为虚拟机须要模拟硬件的行为，对CUP和内存的损耗比较大。因此一样配置的服务器，容器技术就有如下优势：

• 资源占用比较少
• CPU/内存消耗低

那既然容器有这些优势，为何直到Docker的出现，才真正的被关注呢？一个重要缘由就是容器技术的复杂性。容器自己就很复杂，他依赖于Linux内核的不少特性，并且他不易安装，也不易于管理和实现自动化。而Docker就是为了改变这一切而产生的。

什么是Docker ？

• 将应用自动部署到容器的开源引擎
• Go语言实现的开源项目，诞生于2013年初，最初发起者是dotCloud公司

Docker的特色

• 提供简单轻量的建模方式：简单，Docker很是容器上手，用户只须要几分钟，就能把本身的项目Docker化。
• 职责的逻辑分离：使用Docker，开发人员只须要关心容器中运行的程序，运维人员只须要关心如何管理容器；Docker设计的目的就是增强开发人员写代码的环境与应用程序要部署的生成环境的一致性。
• 快速高效的开发生命周期：Docker的目标之一是缩短代码开发到测试到部署上线的运行周期，让应用程序具有可移植性，在容器中开发，以容器的形式交付和分发，这样开发、测试、生产，都使用相同的环境，这样也就避免了额外的调试和部署上的开销，这样就能有效的缩短产品的上线周期。
• 鼓励使用面向服务的架构：Docker推荐单个容器只运行一个应用程序或者进程，这样就造成了一个分布式的应用程序模型，在这种模式下应用程序或服务均可以表述为一系列内部互联的容器，从而使分布式部署应用程序扩展或调试都变得很是简单。这就像咱们开发中经常使用的思想；高内聚，低耦合，单一任务。这样就能避免在同一服务器上部署不一样服务时，可能带来的服务之间相互影响。这样服务运行中出现问题时，也比较容易定位问题的所在。

Docker的使用场景

• 1. 使用Docker容器开发、测试、部署服务：由于Docker自己很是轻量化，因此本地开发人员能够构建、运行并分享Docker容器。容器能够在开发环境中建立，而后再提交到测试，最终进入生产环境。
• 2. 建立隔离的运行环境：在不少企业应用中，同一服务的不一样版本可能服务于不一样的用户，那么使用Docker很是容易建立不一样的生成环境来运行不一样的服务。
• 3. 搭建测试环境：因为Docker的轻量化，因此开发者很容易利用Docker在本地搭建测试环境，用来测试程序在不用系统下的兼容性；甚至搭建集群的部署测试。
• 4. 构建多用户的平台即服务（PaaS）基础设施。
• 5. 提供软件即服务（SaaS）应用程序。
• 6. 高性能、超大规模的宿主机部署。

2、Docker的基本组成

Docker 包含了一下几个重要主要部分：

• Docker Client 客户端
• Docker Daemon 守护进程
• Docker Image 镜像
• Docker Container 容器
• Docker Registry 仓库

Docker 客户端 / 守护进程

• Docker是C/S架构的程序：Docker客户端向Docker服务器端，也就是Docker的守护进程发出请求，守护进程处理完全部的请求工做并返回结果。
• Docker 客户端对服务器端的访问既能够是本地也能够经过远程来访问。

Docker Image 镜像

• 镜像是Docker容器的基石，容器基于镜像启动和运行。镜像就比如容器的源代码，保存了用于启动容器的各类条件。
• Docker镜像是一个层叠的只读文件系统。
• Docker镜像使用联合加载技术

docker的镜像是一个层叠的只读文件系统，最低端是一个引导文件系统（即bootfs），第二层是root文件系统（即rootfs），它位于bootfs之上，能够是一种或多种操做系统，好比ubuntu或者centos。在docker中，root文件系统永远只能是只读状态，而且docker运用联合加载技术又会在root文件系统之上加载更多的只读文件系统，联合加载指的是一次加载多个文件系统，可是在外面看起来只能看到一个文件系统，联合加载会将各层文件系统叠加到一块儿，这样最终的文件系统会包含全部的底层文件和目录，docker将这样的文件系统称为镜像。

Docker Container 容器

• 容器经过镜像来启动，Docker的容器是Docker的执行来源，容器中能够运行客户的一个或多个进程，若是说镜像是Docker声明周期中的构建和打包阶段，那么容器则是启动和执行阶段。

当一个容器启动时，docker会在该镜像的最顶层加载一个读写文件系统，也就是一个可写的文件层，咱们在docker运行的程序，就是在这个层中进行执行的，当docker第一次启动一个容器时，初始的读写层是空的，当文件系统发生变化时，这些变化都会应用到这一层上，好比像修改一个文件，该文件首先会从读写层下面的只读层复制到该读写层，该文件的只读版本依然存在，可是已经被读写层中的该文件副本所隐藏，这就是docker的一个重要技术：写时复制（copy on write)。每一个只读镜像层都是只读的，永远不会变化，当建立一个新容器时，docker会构建出一个镜像栈，以下图所示：

Docker Registry 仓库

• docker用仓库来保存用户构建的镜像，仓库分为公有和私有两种,Docker公司提供了一个公有的仓库Docker Hub。

3、Docker 依赖的 Linux内核特性

Docker依赖于Linux内核的两个重要特性：

• Namespaces 命名空间
• Control groups (cgroups) 控制组

Namespaces 命名空间

不少编程语言都包含了“命名空间”的概念，咱们能够认为“命名空间”是一种“封装”的概念， 而“封装”自己实际上实现的是代码的隔离。而在操做系统中，命名空间提供的是系统资源的隔离，而系统资源包括了进程、网络、文件系统等。

咱们从Docker公开的文档来看，它使用了5种命名空间：

• PID（Process ID） 进程隔离
• NET（Network）管理网络接口
• IPC（InterProcess Communication）管理跨进程通讯的访问
• MNT（Mount）管理挂载点
• UTS（Unix Timesharing System） 隔离内核和版本标识

那么，这些隔离的资源，是如何被管理起来的呢？这就须要用到——Control groups(cgroup)控制组了。

Control groups (cgroups) 控制组

Control groups是Linux内核提供的，一种能够限制、记录、隔离进程组所使用的物理资源的机制。 最初是由google工程师提出，而且在2007年时被Linux的内核的2.6.24版本引进。能够说，Control groups就是为容器而生的，没有Control groups就没有容器技术的今天。

Control groups提供了如下功能：

• 资源限制：例如，memory(内存)子系统能够为进程组设定一个内存使用的上限，一旦进程组使用的内存达到了限额，该进程组再发出内存申请时，就会发出“out of memory”(内存溢出)的警告。

• 优先级设定：它能够设定哪些进程组可使用更大的CPU或者磁盘IO的资源。

• 资源计量：它能够计算进程组使用了多少系统资源。尤为是在计费系统中，这一点十分重要。

• 资源控制：它能够将进程组挂起或恢复。

Namespace 和 cgroup带给Docker的能力

到这里咱们了解了Namespace和CGroup的概念和职能，而这两个特性带给了Docker哪些能力呢？以下：

• 文件系统隔离：首先是文件系统的隔离，每一个Docker的容器，均可以拥有本身的root文件系统。

• 进程隔离：每一个容器都运行在本身的进程环境中。

• 网络隔离：容器间的虚拟网络接口和IP地址都是分开的。

• 资源的隔离和分组：使用cgroups将cpu和内存之类的资源独立分配给每一个Docker容器。

欢迎扫码或微信搜索公众号《程序员果果》关注我，关注有惊喜~