Docker简介
一、什么是Docker?
Docker时Docker.Lnc公司开源的一个基于LXC(Linux Container)技术之上搭建的Container容器引擎。提供一系列更强的功能,比如镜像、Dockerfile等。源代码托管在Github上,基于Go语言并遵从Apache2.0协议开源。
Docker属于Linux容器的一种封装,Docker理念是将应用及依赖包打包到一个可移植的容器中,可发布到任意Linux发行版Docker引擎上。
Docker将应用程序与该程序的依赖,打包在一个文件里面。运行这个文件,就会生成一个虚拟容器。程序在这个虚拟容器里运行,就好像在真实的物理机上运行一样。有了Docker,就不用担心环境问题。
二、Docker的架构
Docker采用C/S架构,Dcoker daemon作为服务端接受来自客户端请求,并处理这些请求,比如创建、运行容器等。客户端为用户提供一系列指令与Docker daemon交互。
| Docker | 功能 |
|---|---|
| docker 客户端(client) | docker客户端通过命令行形式与docker守护进程通信 |
| docker 主机(host) | 一个物理或虚拟机用于执行docker进程和容器 |
| docker仓库(registry) | docker仓库用来存放镜像 |
三、Docker的组件
LXC:
Linux容器技术,共享内核,容器共享宿主机资源,使用namespace和cgroups对资源限制于隔离。
Cgroups(control groups):
Linux内核提供的一种限制单进程或多进程资源的机制。例如:CPU、内存等资源的使用限制。
NameSpace:
命名空间,Linux内核提供的一种限制进程或者多进程资源隔离机制,一个进程可以属于多个命名空间。Linux提供了6种NameSpace:UTS、IPC、PID、Network、Mount、User。
| NAMESPACE | 功能 |
|---|---|
| UTS | 提供主机名,域名的隔离能力 |
| IPC | 提供进程之间通信、消息内存的隔离能力 |
| PID | 提供进程间隔离的能力 |
| Network | 提供网络隔离能力 |
| Mount | 提供磁盘挂载点和文件系统的隔离能力 |
| User | 提供用户、用户组隔离的能力 |
AUFS(advanced multi layered unification filesystem):
高级多层统一文件系统,是UFS的一种,每个branch可以指定readonly(ro只读)、readwrite(读写)和whiteout-able(wo隐藏)权限;一般情况下,aufs只有最上层的branch才有读写权限,其他branch均为只读权限。
UFS(UnionFS):
联合文件系统,支持将不同位置的目录挂载到同一虚拟文件系统,形成一种分层的模型;成员目录称为虚拟文件系统的一个分支(branch)。
四、Docker的优点
| Docker的优点 | 详解 |
|---|---|
| 持续集成 | 在项目快速迭代情况下,轻量级容器对项目快速构建、环境打包、发布等流程就能提高工作效率。 |
| 版本控制 | 每个镜像就是一个版本,在一个项目多个版本时可以很方便管理。 |
| 可移植性 | 容器可以移动到任意一台Docker主机上,而不需要过多关注底层系统 |
| 标准化 | 应用程序环境及依赖、操作系统等问题,增加了生产环境故障率,容器保证了所有配置、依赖始终不变。 |
| 隔离性和安全性 | 容器之间的进程是相互隔离的,一个容器出现问题不会影响其他容器。 |
五、虚拟机与容器区别
KVM、VMware
硬件–》操作系统–》hypevisor–》--VM(guest OS、app)
Docker
硬件–》操作系统–》docker engine(docker引擎)–》container(app)
KVM、VMware:完整的操作系统
Docker:容器只包含了 文件系统级、内核、物理资源的调度:
启动时间:
Docker秒级别、KVM分钟级。
轻量级:
容器景象大小通常用M为单位、虚拟机以G为单位。
容器资源占用小、要比虚拟机部署更快。
性能:
容器共享的宿主机的内核、系统级虚拟化,占用资源少、没用hypervisor层开销,容器性能基本接近物理机。
虚拟机需要hypevisor层支持,虚拟化一些设备,具有完整的GuestOS(虚拟机操作系统),虚拟机开销大,因此降低性能,没有容器新能好。
安全性:
由于共享宿主机内核,只是进程级隔离,因此隔离性稳定性不如虚拟机。
容器具有一定权限访问宿主主机内核,存在一定安全隐患。
使用要求:
KVM基于硬件的完全虚拟化,需要硬件cpu虚拟化技术支持。
容器共享宿主主机内核,可以运行在主流的Linux发行版本,不需要考虑cpu是否支持虚拟化技术。