小编说:Docker 是容器化技术的一种,那它到底有什么特别之处呢?本文将向您简单介绍什么是Docker及容器。
本文选自《Docker容器实战:原理、架构与应用》
Docker 对外宣称的是Build、Ship 和Run,Docker 要解决的核心问题就是快速地干这三件事情。它通过将运行环境和应用程序打包到一起,来解决部署的环境依赖问题,真正做到跨平台的分发和使用。而这一点和DevOps不谋而合,通过Docker可以大大提升开发、测试和运维的效率。在这个移动互联网的时代,如果一个工具能够节省人力,提升效率,必定会流行起来。
之前提到一家公司叫DotCloud,这家公司是一家法国的公司,最初也是提供PaaS服务的,他们提供了对多种语言的运行环境支持,如Java、Python、Ruby、Node.js等。但是,可能叫生不逢时吧,在PaaS 领域有太多的巨头和大企业了,有一天SolomonHykes(Docker之父)就召集了公司的哥儿几个来商量了一下,最后得出的结论是,如果要和那些大厂商硬干肯定是不行的,那么干脆就把他们做的项目Docker 开源了。即使赚不到钱,至少也在开源社区得到一个好名声。
因此,在2013 年3 月,Docker 正式以开源软件形式发布了。正是由于这次开源,让容器领域焕发了第二春,截至2015 年11 月,Docker 在GitHub 上收到了25600 个赞,超过6800 次克隆,以及超过1100 名的贡献者,成为20 个最具影响力的GitHub 开源项目。可以说,Docker 是继Linux 之后,最让人感到兴奋的系统层面的开源项目。据不完全统计,包括Docker 公司、Red Hat、IBM、Google、Cisco、亚马逊及国内的华为等,都在为它贡献代码。在美国,几乎所有的云计算厂商都在拥抱Docker 这个生态圈。
Docker 其实是容器化技术的其中一种实现,根据我们之前的介绍,容器化技术并不是最近才出现的,那为什么Docker 会如此的火爆呢?还是这个时代造就的,因为我们处在一个云计算发展异常迅猛的时代,而云计算又是所有移动互联网、IT,以及未来消费者行业的基础。从云计算服务的三层架构可以看出,传统的IaaS 层、虚拟机是基础组成部分,而虚拟机都是基于Hyper-V 架构的,也就是说,每一个虚拟机都会运行一个完整的操作系统,一个操作系统至少需要占用5GB 左右的磁盘空间,但是操作系统对于我们来说是完全无用的,我们关心的是虚拟主机所能提供的服务。因此,迫切需要轻量级的主机,那就是Docker 容器。我们可以看一下,Docker 和虚拟机的区别。
容器由于省去了操作系统,整个层级更简化,可以在单台服务器上运行更多的应用,而这正是IaaS 所需要的,可能5GB 左右的空间对你来说不是什么大事,但是如果需要对外提供成千上万的主机,那就是不得不考虑的问题,而这正是容器虚拟化要解决的问题。
容器和镜像是Docker 最核心的部分,使用Docker 时实际就是在容器里面运行一个镜像,本节将分别对两者做介绍。
很多用户在接触Docker 之初都会认为容器就是一种轻量级的虚拟机,但实际上,容器和虚拟机有非常大的区别。从根本形态上来看,容器其实就是运行在操作系统上的一个进程,只不过加入了对资源的隔离和限制。在学习操作系统时,都会学习什么是进程,简单地讲,进程就是一个运行的程序。传统上,在运行一个进程时,如果里面出现死循环,CPU 就会一下被占用完;如果出现内存泄露或者大内存分配,就可能会把系统的内存用完,这是因为默认进程间共用了CPU 和内存。但是这种不进行任何隔离的处理方式,就会遇到相互间干扰的问题,在企业级产品环境中,这一点是非常致命的,任何一个小程序都可能导致整个系统的不可用。因此,早在2006 年就出现了进程间的资源隔离技术,后来Linux 也同样有了类似的实现。最初,Linux 的容器技术是基于LXC 的,Docker 在易用性和稳定性方面做了很大改善,其三大核心功能就是CGroups、Namespace 和UnionFS。CGroups 技术用来限定一个进程的资源使用;在一个操作系统之上,用户ID、机器名等资源是全局的,运行的进程间都是访问同一份资源,为了达到隔离的目的,Linux 又出现了Namespace 技术用来划分不同的命名空间;而UnionFS 则是用来处理分层镜像的功能。
说明:LXC 是Docker 早期使用的技术,后来Docker 自行开发了libcontainer,二者都是对Linux 内核功能的封装。
在安装了Docker 的机器上,可以通过run 命令启动容器,并通过ps 命令查看已存在的容器。
容器是一个动态的概念,而镜像是一个相对静止的概念。简单来说,镜像就是容器中的文件系统。早在1980 年就出现了文件系统管理技术,那就是chroot 系统调用。通过该技术可以改变进程运行的工作目录,并将其限定在这个目录中,不过它只能做简单的隔离,而且存在安全隐患。因此,Docker 就使用了,注意不是设计了一个Layered FS,它把文件系统分成多个层,使多个容器间可以使用公共的部分。而镜像就是由Layered FS 组成的,并且它是只读的。当容器运行时,会在镜像之上再加上一层可读可写层。
说明:镜像除了包含文件系统,还集成了一部分容器运行的参数,可以将镜像看作容器的模板。
容器和镜像是密切相关的,二者缺一不可,也是可以相互进行转换的。
Docker 的镜像最初是从官方的仓库拉取获得的,之后通过docker run 即可启动一个容器运行。当需要将容器转化为镜像时,可以通过docker commit 进行转化。
小编说:容器中的文件系统是由分层文件系统提供的,包含只读层(镜像)和可读可写层(容器运行时层),这些都是被封装在容器内部的。如果用户需要将主机上的文件系统共享给容器使用,那怎么办呢? 本文选自《Docker容器实战:原理、架构与应用》,...
读者评论