1.容器概述

1.1什么是容器

容器是一种沙盒技术，主要目的是为了将应用运行在其中，与外界隔离；及方便这个沙盒可以被转移到其它宿主机器。本质上，它是一个特殊的进程。通过名称空间（Namespace）、控制组（Control groups）、切根（chroot）技术把资源、文件、设备、状态和配置划分到一个独立的空间。

通俗点的理解就是一个装应用软件的箱子，箱子里面有软件运行所需的依赖库和配置。开发人员可以把这个箱子搬到任何机器上，且不影响里面软件的运行。

1.2 容器原理

为了实现容器进程对外界的隔离，容器底层主要运用了名称空间（Namespaces）、控制组（Control groups）和切根（chroot）

名称空间：

1. PID Namespace：不同容器就是通过pid名字空间隔离开的，不同名字空间中可以有相同的pid。
2. Mount Namespace：mount允许不同名称空间的进程看到的文件结构不同，因此不同名称空间中的进程所看到的文件目录就被隔离了。另外，每个名称空间中的容器在/proc/mounts的信息只包含当前名称的挂载点。
3. IPC Namespace：容器中进程交互还是采用Linux常见的进程交互方法（interprocess communication -IPC），包括信号量、消息队列和共享内存等。
4. Network Namespace：网络隔离是通过Net实现，每个Net有独立的网络设备，IP地址，路由表，/proc/net目录。这样每个容器的网络就能隔离开来。
5. UTS Namespace：UTS（UNIX Time-sharing System）允许每个容器拥有独立的hostname和domain name，使其在网络上可以被视作一个独立的节点而非主机上的一个进程。
6. User Namespace：每个容器可以有不同的用户和组id，也就是说可以在容器内用容器内部的用户执行程序而非主机上的用户。

控制组（Control groups）：
Cgroups是Linux内核提供的一种可以限制、记录、隔离进程组的物理资源机制。因为Namespace技术只能改变进程的视觉范围，不能真实地对资源做出限制。所以就必须采用Cgroup技术对容器进行资源限制，防止某个容器把宿主机资源全部用完导致其它容器也宕掉。在Linux的/sys/fs/cgroup目录中，有cpu、memory、devices、net_cls等子目录，可以根据需要修改相应的配置文件来设置某个进程ID对物理资源的最大使用率。

切根（change to root）：
切根的意思就是改变一个程序运行时参考的根目录位置，让不同容器在不同的虚拟根目录下工作，从而相互不直接影响。

1.3 容器与虚拟机

虚拟机通常包括整个操作系统和应用程序，里面运行的是一个真实的操作系统。本质上虚拟机是Hypervisor虚拟化出来的硬件上安装不同的操作系统，而容器是宿主机上运行的不同进程。从用户体验上来看，虚拟机是重量级的，占用物理资源多，启动时间长。容器则占用物理资源少，启动迅速。相对地，虚拟机隔离的更彻底，容器则要差一些。

1.4容器发展历程

2 Docker

聊到容器，大家都默认指docker，为啥其它不行？原因很简单，就是因为docker使用起来简单方便，解决了绝大多数用户需求。其它容器或多或少存在打包不方便、兼容性差等问题。而docker的方案中，不仅打包了本地应用程序，同时将本地环境（操作系统一部分）一起打包，实现本地与服务器的环境完全一致，做到了真正的一次开发随处运行。

Docker 是一个开源的应用容器引擎，基于 Go 语言 并遵从 Apache2.0 协议开源。

Docker 可以让开发者打包他们的应用以及依赖包到一个轻量级、可移植的容器中，然后发布到任何流行的 Linux 机器上，也可以实现虚拟化。

容器是完全使用沙箱机制，相互之间不会有任何接口（类似 iPhone 的 app）,更重要的是容器性能开销极低。

Docker是一个虚拟环境容器，可以将你的开发环境、代码、配置文件等一并打包到这个容器中，并发布和应用到任意平台中。比如，你在本地用Python开发网站后台，开发测试完成后，就可以将Python3及其依赖包、Flask及其各种插件、Mysql、Nginx等打包到一个容器中，然后部署到任意你想部署到的环境

docker和nvidia-docker
docker是容器，nvidia-docker是支持docker使用的插件。对于一般web应用而言，无需用到nvidia-docker。

2.1 Docker的优点

Docker 是一个用于开发，交付和运行应用程序的开放平台。Docker 使您能够将应用程序与基础架构分开，从而可以快速交付软件。借助 Docker，您可以与管理应用程序相同的方式来管理基础架构。通过利用 Docker 的方法来快速交付，测试和部署代码，您可以大大减少编写代码和在生产环境中运行代码之间的延迟

1. 快速，一致地交付您的应用程序
Docker 允许开发人员使用您提供的应用程序或服务的本地容器在标准化环境中工作，从而简化了开发的生命周期。

容器非常适合持续集成和持续交付（CI / CD）工作流程，请考虑以下示例方案：

您的开发人员在本地编写代码，并使用 Docker 容器与同事共享他们的工作。
他们使用 Docker 将其应用程序推送到测试环境中，并执行自动或手动测试。
当开发人员发现错误时，他们可以在开发环境中对其进行修复，然后将其重新部署到测试环境中，以进行测试和验证。
测试完成后，将修补程序推送给生产环境，就像将更新的镜像推送到生产环境一样简单。

2.响应式部署和扩展
Docker 是基于容器的平台，允许高度可移植的工作负载。Docker 容器可以在开发人员的本机上，数据中心的物理或虚拟机上，云服务上或混合环境中运行。

Docker 的可移植性和轻量级的特性，还可以使您轻松地完成动态管理的工作负担，并根据业务需求指示，实时扩展或拆除应用程序和服务。

2. 在同一硬件上运行更多工作负载
Docker 轻巧快速。它为基于虚拟机管理程序的虚拟机提供了可行、经济、高效的替代方案，因此您可以利用更多的计算能力来实现业务目标。Docker 非常适合于高密度环境以及中小型部署，而您可以用更少的资源做更多的事情。

2.2 容器与镜像

docker的生命周期中，镜像和容器是最重要的两部分。其中镜像是文件，是一个只读的模板，一个独立的文件系统，里面包含运行容器所需的数据，可以用来创建新的容器；而容器是基于镜像创建的进程，容器中的进程依赖于镜像中的文件，容器具有写的功能，可以根据需要改写里面的软件、配置等，并可以保存为新的镜像。如果是用import方法生成，则是一个完全新的镜像。如果用的是commit方法生成的新的镜像，则新镜像与原来的镜像之间存在着继承关系。

2.3 Docker 环境安装

https://blog.csdn.net/qq_38345468/article/details/110128659
docker安装

3 Docker 的使用入门

Docker 使用常用流程：
从仓库（一般为DockerHub）下载（pull）一个镜像，Docker执行run方法得到一个容器，用户在容器里执行各种操作。Docker执行commit方法将一个容器转化为镜像。Docker利用login、push等命令将本地镜像推送（push）到仓库。其他机器或服务器上就可以使用该镜像去生成容器，进而运行相应的应用程序了。

Docker 自定义镜像
Docker入门操作

附录：

1. docker 官网 https://docs.docker.com/
2. docker hub ：https://hub.docker.com/