认识docker

1、Docker工做原理

2、Docker容器和虚拟机对比

3、镜像容器管理

一、Docker关键组件

二、Docker架构

三、Docker内部组件

镜像（Image）——一个特殊的文件系统
Docker 镜像是一个特殊的文件系统，除了提供容器运行时所需的程序、库、资源、配置等文件外，还包含了一些为运行时准备的一些配置参数（如匿名卷、环境变量、用户等）

容器（Container)——镜像运行时的实体
容器是镜像运行时的实体。容器能够被建立、启动、中止、删除、暂停等

仓库（Repository）——集中存放镜像文件的地方
镜像构建完成后，能够很容易的在当前宿主上运行，可是， 若是须要在其它服务器上使用这个镜像，咱们就须要一个集中的存储、分发镜像的服务，Docker Registry就是这样的服务

Docker采用了C/S架构。客户端和服务端能够运行在一个机器上,也能够经过socket或者RESTful API 来进行通讯。
Docker  Daemon： 通常在宿主机后台运行,等待接收客户端的消息
Docker Client：则为客户提供一系列可执行的命令, 用户使用这些命令跟docker daemon交互

Docker daemon：
Docker daemmon是Docker架构中的主要用户接口。首先，它提供了API Server用于接收来自Docker client的请求，其后根据不一样的请求分发给Docker daemon的不一样模块执行相应的工做

Image managerment：
须要建立DOcker容器时，可经过镜像管理（image management）部分的distribution和registry模块从Docker registry中下载镜像，并经过镜像管理的image、reference和layer存储镜像的元数据，经过镜像存储驱动graphdriver将镜像文件存储于具体的文件系统中

Network：
当须要为Docker容器建立网络环境时，经过网络模块network调用libnetwork建立并配置Docker容器的网络环境

Volume：
当须要为容器建立数据卷volume时，则经过volume模块调用某个具体的volumedrive，来建立一个数据卷并负责后续的挂载操做

Execdriver:
当须要限制Docker容器运行资源或执行用户指令操做时，则经过execdrive来完成

Libcontainer:
是对cgroups和namespace的二次封装，execdrive是经过libcontainer来实现对容器的具体管理，包括利用UTS、IPC、PID、Network、Mount、User等namespace实现容器之间的资源隔离和利用cgroups实现对容器的资源限制.当运行容器的命令执行完毕后，一个实际的容器就处于运行状态，该容器具备独立的文件系统、相对安全且相互隔离的运行环境.

一、用户是使用Docker Client与Docker Daemon创建通讯，并发送请求给后者

二、Engine执行Docker内部的一系列工做，每一项工做都是以一个Job的形式的存在。

三、Job的运行过程当中，当须要容器镜像时，则从Docker Registry中下载镜像，并经过镜像管理驱动graphdriver将下载镜像以Graph的形式存储；当须要为Docker建立网络环境时，经过网络管理驱动networkdriver建立并配置Docker容器网络环境；当须要限制Docker容器运行资源或执行用户指令等操做时，则经过execdriver来完成。libcontainer是一项独立的容器管理包，networkdriver以及execdriver都是经过libcontainer来实现具体对容器进行的操做。

一、容器和虚拟机对比

二、Docker的优点

三、Docker的劣势

四、Docker的应用场景

Docker 的的优点：

持续部署和测试
发到产品发布的整个过程当中使用相同的容器来确保没有任何差别或者人工干预。Docker能够保证测试环境、开发环境、生产环境的一致性。

可移植性
容器能够移动到任意一台Docker主机上，而不须要过多关注底层系统。

弹性伸缩更快速
配合K8S能够很容易的无状态应用的弹性伸缩，只须要改一个yml的数字便可。利用docker能在几秒钟以内启动大量的容器，这是虚拟机没法办到的，快速启动，秒级和分钟级的对比。

资源利用率高
因为docker不须要Hypervisor实现硬件资源虚拟化，docker容器和内核交互，几乎没有性能损耗，性能优于经过Hypervisor层与内核层的虚拟化。一台机器启动上前台容器也没问题。

对硬件无要求
不须要CPU支持虚拟化

Docker 的的劣势

资源隔离
docker是利用cgroup实现资源隔离的，只能限制资源消耗的最大值，而不能隔绝其余应用程序占用本身的资源； docker属于进程之间的隔离，虚拟机可实现系统级别隔离；

安全性问题
一个用户拥有执行docker的权限，能够删除任何用户建立的容器。

兼容性问题
docker目前还在版本快速更新中，细节功能调整较大，一些核心的模块依赖于高版本的内核，存在兼容性的问题。

一、Docker安装

二、认识镜像和容器

三、镜像容器管理

什么是镜像？
镜像是一个多层的联合只读的文件系统。

什么是容器？
容器是在镜像基础上加上读写层。容器即进程。

构建镜像的过程？
镜像->镜像+可写层+执行命令->commit为新的镜像(新的一层)->镜像+可写层+执行命令->commit为新的镜像(新的一层)->…

典型文件系统启动 ：
一个典型的 Linux 文件系统由 bootfs 和 rootfs 两部分组成，

bootfs(boot file system)

主要包含 bootloader 和 kernel，bootloader 主要用于引导加载 kernel，当 kernel 被加载到内存中后 bootfs 会被 umount 掉

rootfs (root file system)

包含的就是典型 Linux 系统中的/dev，/proc，/bin，/etc 等标准目录和文件

加载过程：
bootfs 时会先将 rootfs 设为 read-only，而后在系统自检以后将 rootfs 从 read-only 改成 read-write，

Docker文件系统启动：

Docker 在 bootfs 自检完毕以后并不会把 rootfs 的 read-only 改成 read-write，而是利用 union mount（UnionFS 的一种挂载机制）将 image 中的其余的 layer 加载到以前的 read-only 的 rootfs 层之上，每一层 layer 都是 rootfs 的结构，而且是read-only 的。因此，咱们是没法修改一个已有镜像里面的 layer 的！只有当咱们建立一个容器，也就是将 Docker 镜像进行实例化，系统会分配一层空的 read-write 的 rootfs ，用于保存咱们作的修改

Dockerfile

FROM centos

ENV TZ "Asia/Shanghai"

ADD echo.sh /opt/echo.sh

RUN chmod +x /opt/echo.sh

CMD ["/opt/echo.sh"]

docker build -t test -f Dockerfile .

镜像工做原理：
若是运行中的容器修改一个已经存在的文件，那么会将该文件从下面的只读层复制到读写层，只读层的这个文件就会覆盖（隐藏），但还存在。
若是删除一个文件，在最上层会被标记隐藏，实际只读层的文件还存在。
这就实现了文件系统隔离，当删除容器后，读写层的数据将会删除，只读镜像不变。

查看具体的挂载逻辑

[root@centos7 l]# mount|grep overlay

overlay on

/var/lib/docker/overlay2/56375ce93fd54484061ef08a48a7093905be680dd14754642970616127b30fca/merged type overlay (rw,relatime,seclabel,lowerdir=/var/lib/docker/overlay2/l/A6JYT4QIFZMKOPIGY675JWKS7F:/var/lib/docker/overlay2/l/4L4SUINS3DX6XPD5BL2J54JQDT,upperdir=/var/lib/docker/overlay2/56375ce93fd54484061ef08a48a7093905be680dd14754642970616127b30fca/diff,workdir=/var/lib/docker/overlay2/56375ce93fd54484061ef08a48a7093905be680dd14754642970616127b30fca/work)

Overlay和overlay2的区别

overlay: 只挂载一层,其余层经过最高层经过硬链接形式共享(增长了磁盘inode的负担)

overlay2: 逐层挂载（最多128层）

基础镜像的层信息

docker pull centos

tree -L 2 /var/lib/docker/overlay2/

构建后镜像的层信息

cd layer_dockerfile/

docker build -t centos:test -f ./Dockerfile .

tree -L 2 /var/lib/docker/overlay2/

每一层都包含了”该层独有的文件”以及”和其低层共享的数据的链接”，在Docker 1.10以前的版本中，目录的名字和镜像的UUID相同，而Docker 1.10后则采用了新的存储方式，能够看到目录名和下载镜像的UUID并不相同

Diff
存放挂载点的具体的文件内容

Link
对应l目录的连接源的名称

Lower
根没有lower，其它的lower指向的父层的连接

L：
”l“目录包含一些符号连接做为缩短的层标识符. 这些缩短的标识符用来避免挂载时超出页面大小的限制

docker run -idt --name centos_con centos:test /bin/bash

tree -L 2 /var/lib/docker/overlay2/

多出的两层“……”为读写层，“…..-init”为初始层。

初始层：

初始层中大可能是初始化容器环境时，与容器相关的环境信息，如容器主机名，主机host信息以及域名服务文件等。

读写层：

全部对容器作出的改变都记录在读写层

Diff
存放挂载点的具体的文件内容

Link
对应l目录的连接源的名称

Lower
根没有lower，其它的lower指向的父层的连接

Merged
若是是读写层会有一个Merged

Commit:容器提交为镜像

docker run -idt --name test centos

Touch liwei

docker commit 6de test2

Create:建立容器可是不启动

docker create --name nginx-con -p80:80 nginx:latest

Start:启动容器

docker start nginx-con

Stop:中止容器

docker stop nginx-con

Kill:杀掉容器，和中止相比不友好

docker kill nginx-con

Pause:暂停容器

docker pause nginx-con

Unpause:恢复暂停的容器

docker unpause nginx-con

Run:建立且启动容器

docker run -idt --restart=always --name nginx_con -v /tmp/:/mnt -p 88:80 -e arg1=arg1 nginx
Docker attach nginx_con
Ctrl+^p+^q

CP:宿主机和容器之间copy文件

docker cp docker_install.sh nginx_con:/opt

docker exec nginx_con ls /opt

docker cp nginx_con:/opt/docker_install.sh ./1.sh

Exec:执行命令，也可附加到容器

docker exec nginx_con ls /opt

Attach：附加到容器

docker attach nginx_con

docker exec -it nginx_con /bin/bash

Logs:查看容器日志

docker logs –f nginx_con

Inspect:查看元数据，能够查看镜像和容器

docker inspect nginx_con

Port:查看容器端口映射

docker port nginx_con

Top：查看容器中正在运行的进程

docker top nginx_con

Ps：查看容器

docker ps

docker ps -a

docker ps -aq

查看正在运行的容器，加上-a查看全部容器（包含中止和暂停状态的容器）

Rm：删除容器

docker rm nginx_con 删除容器

docker rm -f nginx_con 强行删除容器

Export：导出容器

docker pull busybox

docker run -itd busybox

docker export 983989307eef>busybox.tar

Import:导入容器

docker import busybox.tar busybox:1.3

Save：导出镜像

docker save busybox:1.3>busybox1.3.tar

Load：导入镜像

docker load -i busybox1.3.tar

Tag：镜像打标签

docker tag busybox:1.3 192.168.199.160/test/busybox:latest

Build：从dockerfile构建镜像

FROM centos

ENV TZ "Asia/Shanghai"

ADD echo.sh /opt/echo.sh

RUN chmod +x /opt/echo.sh

CMD ["/opt/echo.sh"]

docker build -t centos:test -f Dockerfile .

Pull：从 registry拉取镜像

docker pull nginx 从dockerhub上拉取

docker pull 192.168.199.160/test/nginx:latest 从内网harbor上拉取

Push:推送镜像到仓库[第一次须要输入密码，后续不须要了]

docker login 192.168.199.160

admin

Harbor12345

docker push 192.168.199.160/test/busybox:latest

Info、version、events

docker info 查看docker相关信息信息

Docker version 查看docker相关版本信息

Docker events 查看docker事件

【注】
一、建立容器后防火墙不要再动

二、cmd会被覆盖的问题，须要注意，可能会致使/bin/bash 把启动命令覆盖了，启动不了的问题例如
docker run -idt --restart=always --name nginx_con -v /tmp/:/mnt -p 88:80 -e arg1=arg1 nginx /bin/bash

三、cmd的命令都会在挂在后执行。