Docker概述篇

时间 2019-12-24

标签 docker 概述栏目 Docker 繁體版

原文原文链接

我想以这篇文章做为Docker的开篇，如下内容均来自Docker官方文档，应该没有比官方文档更能形象生动的描述Docker了。web

Docker 概述docker

Docker是一个开发、发布和运行应用程序的开放平台。Docker使您可以将应用程序与基础架构分离，以便快速交付软件。有了Docker，你能够像管理应用程序同样管理你的基础设施。经过利用Docker快速发布、测试和部署代码的方法，您能够显著减小编写代码和在生产环境中运行代码之间的延迟。ubuntu

Docker平台安全

Docker提供了在容器中打包和运行应用程序的能力。隔离和安全性容许您在给定的主机上同时运行多个容器。容器是轻量级的，由于它们不须要加载额外的hypervisor，而是直接在宿主机的内核中运行。这意味着您能够在给定的硬件组合上运行比使用虚拟机时更多的容器。你甚至能够在实际是虚拟机的主机中运行Docker容器！bash

Docker提供了工具和平台来管理容器的生命周期：服务器

一、使用容器开发应用程序及其支持组件。网络

二、容器成为分发和测试应用程序的单元。架构

三、准备好后，将应用程序做为容器或编排的服务部署到生产环境中。不管您的生产环境是本地数据中心、云提供商仍是二者的混合体，这都是同样的。app

Docker 引擎ide

Docker Engine是一个客户端-服务器应用程序，具备如下主要组件：

一、一种被称为守护进程（dockerd）的长时间运行程序的服务器。

二、REST API，它指定了接口来告诉应用程序如何与守护进程进行交互。

命令行界面（CLI）客户端（docker命令），以下图1.1所示。

图1.1

CLI使用Docker REST API经过脚本或直接CLI命令来控制Docker守护进程或与之交互。许多其余Docker应用程序使用底层API和CLI。

使用守护进程来建立并管理Docker对象，如镜像、容器、网络和卷。

注意：Docker是基于Apache2.0开源许可受权。

更多细节见下面的Docker架构。

我能够用Docker作什么？

快速、一致地交付您的应用程序。

Docker经过容许开发人员在标准化环境中使用本地容器（提供应用程序和服务）来简化开发周期。容器很是适合作持续集成和持续交付（CI/CD）工做流。

考虑如下示例场景：

开发人员在本地编写代码，并使用Docker容器与同事共享他们的工做。

他们使用Docker将应用程序推入测试环境，并执行自动化和手动测试。

当开发人员发现bug时，他们能够在开发环境中修复它们，并将它们从新部署到测试环境中进行测试和验证。

测试完成后，将更新后的镜像推送到生产环境中就能够简单地为客户得到修复。

响应式部署和扩容

基于Docker容器化平台容许高度可移植的工做负载。Docker容器能够运行在开发人员的本地笔记本电脑、数据中心的物理机或虚拟机、云提供商又或者是混合环境中。

Docker的可移植性和轻量级特性也使得动态管理工做负载、根据业务需求扩容或收缩应用程序和服务变得很是容易，几乎是实时的。

在同一硬件上运行更多工做负载

Docker是轻量并快速的。它为基于hypervisor的虚拟机提供了一个可行、经济的替代方案，所以您可使用更多的计算能力来实现业务目标。Docker很是适合高密度环境和中小型部署，在这些环境中，您须要用更少的资源作更多的事情。

Docker架构

Docker使用C-S架构。Docker客户端与Docker守护进程通讯，Docker守护进程负责构建、运行和分发Docker容器。Docker客户端和守护进程能够在同一个系统上运行，也能够将Docker客户端链接到远程Docker守护进程。Docker客户端和守护进程使用REST API，经过UNIX Socket(套接字)或网络接口进行通讯，如图1.2所示。

图1.2

Docker守护进程

Docker守护进程（dockerd）监听Docker API的请求并管理Docker对象，如镜像(images)、容器(containers)、网络(networks)和卷(volumes)。守护进程还能够与其余守护进程通讯以管理Docker服务。

Docker客户端

Docker客户端（docker）是许多Docker用户与Docker进行交互的主要方式。当您使用docker run等命令时，客户端会将这些命令发送给dockerd，dockerd会执行这些命令。docker命令使用docker API。Docker客户端能够与多个docker守护进程通讯。

Docker registry

Docker registry用来存储Docker镜像。Docker Hub是任何人均可以使用的公共registry，Docker默认配置为在Docker Hub上查找镜像。您能够运行本身的私有registry。若是您使用Docker数据中心（DDC），它包括Docker Trusted Registry（DTR）。

使用docker pull或docker run命令时，将从配置的registry中提取所需的镜像。使用docker push命令时，镜像将被推送到配置的registry中。

Docker对象

当您使用Docker时，您可能正在建立和使用镜像、容器、网络、卷、插件和其余对象。

镜像(image)

镜像是一个只读模板，包含了建立Docker容器的指导说明。一般，一个镜像基于另外一个镜像，并带有一些额外的自定义项。例如，您能够构建一个镜像，它是基于ubuntu镜像，而后再安装Apache web服务器和您的应用程序，并作相关详细配置确保应用能运行。

您也能够建立本身的镜像，也能够只使用其余人建立并在docker hub registry中发布的镜像。要构建本身的镜像，须要建立一个Dockerfile，其中包含一些简单的语法，用于定义建立镜像并运行它所需的步骤。Dockerfile中的每条指令都会在镜像中建立一个层。更改Dockerfile并从新生成镜像时，仅从新生成已更改的层。与其余虚拟化技术相比，这是使镜像如此轻量级、小型和快速的缘由之一。

容器(container)

容器是镜像的可运行实例。您可使用Docker API或CLI建立、启动、中止、移动或删除容器。您能够将容器链接到一个或多个网络，将存储附加到该容器，甚至能够基于其当前状态建立新镜像。

默认状况下，容器与其余容器及其主机隔离得相对较好。您能够控制容器的网络、存储或其余底层子系统与其余容器或主机的隔离程度。

容器由其镜像以及建立或启动时提供给它的任何配置选项定义。当容器被删除时，对其状态的任何未存储在持久性存储中的更改都将丢失，即建立容器时咱们要先规划好确保有用数据是放在持久化的存储上。

docker run命令示例

下面的命令将运行一个ubuntu容器，以交互方式链接到本地命令行会话，并运行/bin/bash。

运行此命令时，将发生如下状况（假设使用的是默认registry配置）：

# docker run -i -t ubuntu /bin/bash

一、若是你本地没有ubuntu镜像，Docker会从你配置的registry中去找，就像手动运行Docker pull ubuntu同样。

二、Docker建立了一个新的容器，就像您手动运行了Docker container create命令同样。

三、Docker为容器分配了一个可读写的文件系统，做为容器的最后一层。容许在正在运行的容器上建立或修改文件和目录。

四、Docker会建立一个网络接口，若是您没有指定任何网络选项，容器将链接到默认网络。这包括为容器分配IP地址。默认状况下，容器可使用主机的网络链接链接到外部网络。

五、Docker启动容器并执行/bin/bash。容器将以交互方式运行并链接到您的终端。

六、当您键入exit，将终止/bin/bash，容器会中止，但不会被删除。您能够从新启动或删除它。

服务

服务容许您跨多个Docker守护进程扩展容器，全部这些守护进程都与多个管理进程和工做进程协同工做。swarm的每一个成员都是Docker守护进程，全部守护进程都使用Docker API进行通讯。服务容许您定义所需的状态，例如在任何给定时间必须可用的服务副本的数量。默认状况下，服务在全部工做节点上都是负载平衡的。对于消费者来讲，Docker服务彷佛是一个单独的应用程序。Docker引擎要支持swarm模式，须要Docker1.12及更高版本。

基础技术

Docker采用Go语言编写，而且利用了Linux内核的一些高级特性来提供功能。

命名空间(Namespaces)

Docker使用命名空间(namespaces)技术来给容器提供独立的工做空间。当您运行一个容器时，Docker会为该容器建立一组命名空间。

这些命名空间提供了一个隔离层，容器的各个资源都分别在一个单独的命名空间中运行，其访问权限仅限于该命名空间。

Docker Engine在Linux上使用以下名称空间：

pid 命名空间：进程隔离（pid:Process ID）。

net 命名空间：管理网络接口（net:Networking）。

ipc 命名空间：管理对ipc资源的访问（ipc:InterProcess Communication）。

mnt 命名空间：管理文件系统挂载点（mnt:mount）。

uts 命名空间：隔离内核和版本标识符。（UTS: Unix Timesharing System）。

控制组(Control groups)

运行在Linux上的Docker引擎还依赖于另外一种称为控制组（cgroups）的技术。cgroup将应用程序限制在特定的资源集中。cgroup容许Docker引擎将可用的硬件资源共享给容器，并可选地实施限制和约束。例如，能够限制指定容器的可用内存。

联合文件系统(Union file systems)

联合文件系统（UnionFS）是经过建立层来操做的文件系统，这使得它们很是轻量和快速。Docker引擎使用UnionFS为容器提供构建块。Docker引擎可使用多个UnionFS变体，包括AUFS、btrfs、vfs和DeviceMapper。

容器格式(Container format)

Docker引擎将命名空间、控制组和UnionFS组合成一个称为容器格式的封装套件。默认的容器格式是libcontainer。将来，Docker可能会经过与BSD Jails或Solaris Zones等技术集成来支持其余容器格式。