Docker概述篇

我想以這篇文章作為Docker的開篇，以下內容均來自Docker官方文檔，應該沒有比官方文檔更能形象生動的描述Docker了。

Docker 概述

Docker是一個開發、發布和運行應用程序的開放平臺。Docker使您能夠將應用程序與基礎架構分離，以便快速交付軟件。有了Docker，你可以像管理應用程序一樣管理你的基礎設施。通過利用Docker快速發布、測試和部署代碼的方法，您可以顯著減少編寫代碼和在生產環境中運行代碼之間的延遲。

Docker平臺

Docker提供了在容器中打包和運行應用程序的能力。隔離和安全性允許您在給定的主機上同時運行多個容器。容器是輕量級的，因為它們不需要加載額外的hypervisor，而是直接在宿主機的內核中運行。這意味著您可以在給定的硬件組合上運行比使用虛擬機時更多的容器。你甚至可以在實際是虛擬機的主機中運行Docker容器！

Docker提供了工具和平臺來管理容器的生命周期：

1、使用容器開發應用程序及其支持組件。

2、容器成為分發和測試應用程序的單元。

3、準備好后，將應用程序作為容器或編排的服務部署到生產環境中。無論您的生產環境是本地數據中心、云提供商還是兩者的混合體，這都是一樣的。

Docker 引擎

Docker Engine是一個客戶端-服務器應用程序，具有以下主要組件：

1、一種被稱為守護進程（dockerd）的長時間運行程序的服務器。

2、REST API，它指定了接口來告訴應用程序如何與守護進程進行交互。

命令行界面（CLI）客戶端（docker命令），如下圖1.1所示。

圖1.1

CLI使用Docker REST API通過腳本或直接CLI命令來控制Docker守護進程或與之交互。許多其他Docker應用程序使用底層API和CLI。

使用守護進程來創建并管理Docker對象，如鏡像、容器、網絡和卷。

注意：Docker是基于Apache2.0開源許可授權。

更多細節見下面的Docker架構。

我可以用Docker做什么？

快速、一致地交付您的應用程序。

Docker通過允許開發人員在標準化環境中使用本地容器（提供應用程序和服務）來簡化開發周期。容器非常適合做持續集成和持續交付（CI/CD）工作流。

考慮以下示例場景：

開發人員在本地編寫代碼，并使用Docker容器與同事共享他們的工作。

他們使用Docker將應用程序推入測試環境，并執行自動化和手動測試。

當開發人員發現bug時，他們可以在開發環境中修復它們，并將它們重新部署到測試環境中進行測試和驗證。

測試完成后，將更新后的鏡像推送到生產環境中就可以簡單地為客戶獲得修復。

響應式部署和擴容

基于Docker容器化平臺允許高度可移植的工作負載。Docker容器可以運行在開發人員的本地筆記本電腦、數據中心的物理機或虛擬機、云提供商又或者是混合環境中。

Docker的可移植性和輕量級特性也使得動態管理工作負載、根據業務需求擴容或收縮應用程序和服務變得非常容易，幾乎是實時的。

在同一硬件上運行更多工作負載

Docker是輕量并快速的。它為基于hypervisor的虛擬機提供了一個可行、經濟的替代方案，因此您可以使用更多的計算能力來實現業務目標。Docker非常適合高密度環境和中小型部署，在這些環境中，您需要用更少的資源做更多的事情。

Docker架構

Docker使用C-S架構。Docker客戶端與Docker守護進程通信，Docker守護進程負責構建、運行和分發Docker容器。Docker客戶端和守護進程可以在同一個系統上運行，也可以將Docker客戶端連接到遠程Docker守護進程。Docker客戶端和守護進程使用REST API，通過UNIX Socket(套接字)或網絡接口進行通信，如圖1.2所示。

圖1.2

Docker守護進程

Docker守護進程（dockerd）監聽Docker API的請求并管理Docker對象，如鏡像(images)、容器(containers)、網絡(networks)和卷(volumes)。守護進程還可以與其他守護進程通信以管理Docker服務。

Docker客戶端

Docker客戶端（docker）是許多Docker用戶與Docker進行交互的主要方式。當您使用docker run等命令時，客戶端會將這些命令發送給dockerd，dockerd會執行這些命令。docker命令使用docker API。Docker客戶端可以與多個docker守護進程通信。

Docker registry

Docker registry用來存儲Docker鏡像。Docker Hub是任何人都可以使用的公共registry，Docker默認配置為在Docker Hub上查找鏡像。您可以運行自己的私有registry。如果您使用Docker數據中心（DDC），它包括Docker Trusted Registry（DTR）。

使用docker pull或docker run命令時，將從配置的registry中提取所需的鏡像。使用docker push命令時，鏡像將被推送到配置的registry中。

Docker對象

當您使用Docker時，您可能正在創建和使用鏡像、容器、網絡、卷、插件和其他對象。

鏡像(image)

鏡像是一個只讀模板，包含了創建Docker容器的指導說明。通常，一個鏡像基于另一個鏡像，并帶有一些額外的自定義項。例如，您可以構建一個鏡像，它是基于ubuntu鏡像，然后再安裝Apache web服務器和您的應用程序，并做相關詳細配置確保應用能運行。

您也可以創建自己的鏡像，也可以只使用其他人創建并在docker hub registry中發布的鏡像。要構建自己的鏡像，需要創建一個Dockerfile，其中包含一些簡單的語法，用于定義創建鏡像并運行它所需的步驟。Dockerfile中的每條指令都會在鏡像中創建一個層。更改Dockerfile并重新生成鏡像時，僅重新生成已更改的層。與其他虛擬化技術相比，這是使鏡像如此輕量級、小型和快速的原因之一。

容器(container)

容器是鏡像的可運行實例。您可以使用Docker API或CLI創建、啟動、停止、移動或刪除容器。您可以將容器連接到一個或多個網絡，將存儲附加到該容器，甚至可以基于其當前狀態創建新鏡像。

默認情況下，容器與其他容器及其主機隔離得相對較好。您可以控制容器的網絡、存儲或其他底層子系統與其他容器或主機的隔離程度。

容器由其鏡像以及創建或啟動時提供給它的任何配置選項定義。當容器被刪除時，對其狀態的任何未存儲在持久性存儲中的更改都將丟失，即創建容器時我們要先規劃好確保有用數據是放在持久化的存儲上。

docker run命令示例

下面的命令將運行一個ubuntu容器，以交互方式連接到本地命令行會話，并運行/bin/bash。

運行此命令時，將發生以下情況（假設使用的是默認registry配置）：

# docker run -i -t ubuntu /bin/bash

1、如果你本地沒有ubuntu鏡像，Docker會從你配置的registry中去找，就像手動運行Docker pull ubuntu一樣。

2、Docker創建了一個新的容器，就像您手動運行了Docker container create命令一樣。

3、Docker為容器分配了一個可讀寫的文件系統，作為容器的最后一層。允許在正在運行的容器上創建或修改文件和目錄。

4、Docker會創建一個網絡接口，如果您沒有指定任何網絡選項，容器將連接到默認網絡。這包括為容器分配IP地址。默認情況下，容器可以使用主機的網絡連接連接到外部網絡。

5、Docker啟動容器并執行/bin/bash。容器將以交互方式運行并連接到您的終端。

6、當您鍵入exit，將終止/bin/bash，容器會停止，但不會被刪除。您可以重新啟動或刪除它。

服務

服務允許您跨多個Docker守護進程擴展容器，所有這些守護進程都與多個管理進程和工作進程協同工作。swarm的每個成員都是Docker守護進程，所有守護進程都使用Docker API進行通信。服務允許您定義所需的狀態，例如在任何給定時間必須可用的服務副本的數量。默認情況下，服務在所有工作節點上都是負載平衡的。對于消費者來說，Docker服務似乎是一個單獨的應用程序。Docker引擎要支持swarm模式，需要Docker1.12及更高版本。

基礎技術

Docker采用Go語言編寫，并且利用了Linux內核的一些高級特性來提供功能。

命名空間(Namespaces)

Docker使用命名空間(namespaces)技術來給容器提供獨立的工作空間。當您運行一個容器時，Docker會為該容器創建一組命名空間。

這些命名空間提供了一個隔離層，容器的各個資源都分別在一個單獨的命名空間中運行，其訪問權限僅限于該命名空間。

Docker Engine在Linux上使用如下名稱空間：

pid 命名空間：進程隔離（pid:Process ID）。

net 命名空間：管理網絡接口（net:Networking）。

ipc 命名空間：管理對ipc資源的訪問（ipc:InterProcess Communication）。

mnt 命名空間：管理文件系統掛載點（mnt:mount）。

uts 命名空間：隔離內核和版本標識符。（UTS: Unix Timesharing System）。

控制組(Control groups)

運行在Linux上的Docker引擎還依賴于另一種稱為控制組（cgroups）的技術。cgroup將應用程序限制在特定的資源集中。cgroup允許Docker引擎將可用的硬件資源共享給容器，并可選地實施限制和約束。例如，可以限制指定容器的可用內存。

聯合文件系統(Union file systems)

聯合文件系統（UnionFS）是通過創建層來操作的文件系統，這使得它們非常輕量和快速。Docker引擎使用UnionFS為容器提供構建塊。Docker引擎可以使用多個UnionFS變體，包括AUFS、btrfs、vfs和DeviceMapper。

容器格式(Container format)

Docker引擎將命名空間、控制組和UnionFS組合成一個稱為容器格式的封裝套件。默認的容器格式是libcontainer。未來，Docker可能會通過與BSD Jails或Solaris Zones等技術集成來支持其他容器格式。