文章目录
- 一、发展起源
- 1.1 传统虚拟化与容器虚拟化
- 1.2 docker底层核心技术
- 1.2.1 命名空间
- 1.2.2 控制组
- 1.3 docker工作方式
- 1.4 docker容器编排
- 1.5 docker优劣势
- 1.6 docker架构组成
- 二、yum安装docker
- 三、配置docker加速器
一、发展起源
背景了解:
- 容器是内核里的一项技术。最早的容器技术可以追遡到1982年Unix系列操作系统上的chroot工具。
- 最早的完整容器技术是LXC(LinuX Container)。它是通过一组简易使用工具和模板来实现的一个容器技术方案,虽然简化了容器技术的使用,但比起直接通过内核调用来使用容器技术,也没有那么简单,因为我们需要学习LXC的命令工具,而且LXC的隔离性也没有做的很好。
- 后来docker出现了。早期是通过对LXC进行二次封装,通过LXC做容器管理引擎,但在后来发现LXC不太好用,于0.9版本开始支持自研发的libcontainer,再到后面开始支持runc等引擎,功能也是越来越强大。
- 当然,发展到现在,也有其他容器引擎了,比如containerd等等。
1.1 传统虚拟化与容器虚拟化
对比图:
- 虚拟化分两类:
- 主机级虚拟化:全虚拟化、半虚拟化。
- 容器级虚拟化。
- 主机级虚拟化有kvm、exsi等等,是在操作系统上安装软件,再在软件上安装各个虚拟机,以此进行资源隔离。
- 容器级虚拟化docker技术是在操作系统上安装软件,直接启动docker程序,在程序里创建虚拟命名空间,每个命名空间相当于一个虚拟机,进行逻辑上的资源隔离。
- 容器隔离开的资源:
- UTS(主机名与域名)
- Mount(文件系统挂载树)
- IPC
- PID进程树
- User
- Network(tcp/ip协议栈)
1.2 docker底层核心技术
- 从操作系统功能上看,docker底层依赖的核心技术主要包括Linux操作系统的命名空间、控制组、联合文件系统和Linux虚拟网络支持。
1.2.1 命名空间
- 命名空间(Namespaces)是Linux内核针对实现容器虚拟化而引入的一个强大特性。
- 每个容器都可以拥有自己独立的命名空间,运行其中的应用都像是在独立的操作系统中运行一样。
- 命名空间保证了容器间彼此互不影响。
| namespaces | 系统调用参数 | 隔离内容 | docker支持的内核版本 |
|---|---|---|---|
| UTS | CLONE_NEWUTS | 主机名和域名 | 2.6.19 |
| IPC | CLONE_NEWIPC | 信号量、消息队列和共享内存 | 2.6.19 |
| PID | CLONE_NEWPID | 进程编号 | 2.6.24 |
| Network | CLONE_NEWNET | 网络设备、网络栈、端口等 | 2.6.29 |
| Mount | CLONE_NEWNS | 挂载点(文件系统) | 2.4.19 |
| User | CLONE_NEWUSER | 用户和用户组 | 3.8 |
1.2.2 控制组
- 控制组(CGroups)是Linux内核的一个特性,用来对共享资源进行隔离、限制、审计等。只有能控制分配到容器的资源,Docker才能避免多个容器同时运行时的系统资源竞争。
- 控制组可以提供对容器的内存、CPU、磁盘IO等资源进行限制。
- 控制组功能:
- 资源限制(Resource Limitting)组可以设置为不超过设定的内存限制。比如:内存子系统可以为进行组设定一个内存使用上限,一旦进程组使用的内存达到限额再申请内存,就会发出Out of Memory警告。
- 优先级(Prioritization)通过优先级让一些组优先得到更多的CPU等资源。
- 资源审计(Accounting)用来统计系统实际上把多少资源用到合适的目的上,可以使用cpuacct子系统记录某个进程组使用的CPU时间。
- 隔离(Isolation)为组隔离命名空间,这样一个组不会看到另一个组的进程、网络连接和文件系统。
- 控制(Control)挂起、恢复和重启等操作
| CGroups能限制的资源 | 释义 |
|---|---|
| blkio | 块设备IO |
| cpu | CPU |
| cpuacct | CPU资源使用报告 |
| cpuset | 多处理器平台上的CPU集合 |
| devices | 设备访问 |
| freezer | 挂起或恢复任务 |
| memory | 内存用量及报告 |
| perf_event | 对cgroup中的任务进行统一性能测试 |
| net_cls | cgroup中的任务创建的数据报文的类别标识符 |
1.3 docker工作方式
- 为了使容器的使用更加易于管理,docker采取一个用户空间只跑一个业务进程的方式,在一个容器内只运行一个进程。
- 比如我们要在一台主机上安装一个nginx和一个tomcat,那么nginx就运行在nginx的容器中,tomcat运行在tomcat的容器中,二者用容器间的通信逻辑来进行通信。
1.4 docker容器编排
概念:
- docker自身没有编排功能,在docker的基础上能够把应用程序之间的依赖关系、从属关系、隶属关系等等反映在启动、关闭时的次序和管理逻辑中,这种功能被称为容器编排。
常见容器编排工具:
- machine+swarm(把N个docker主机当一个主机来管理)+compose(单机编排)。
- mesos(实现统一资源调度和分配)+marathon
- kubernetes --> k8s
1.5 docker优劣势
- 删除一个容器不会影响其他容器。
- 调试不便,占空间(每个容器中都必须自带调试工具,比如ps命令)。
- 分发容易,真正意义上一次编写到处运行,比java的跨平台更彻底。
- 部署容易,无论底层系统是什么,只要有docker,直接run就可以了
- 分层构建,联合挂载
注意事项:
- 在容器中有数据称作有状态,没有数据称作无状态。在容器的使用中,我们应以有状态为耻,以无状态为荣。数据不应该放在容器中,而应放置于外部存储中,通过挂载到容器中从而进行数据的存储。
1.6 docker架构组成
- docker有两个版本,商业版docker-ee和社区版docker-ce。
- 安装了docker服务端的叫做docker服务器,安装docker客户端的叫做client,一般情况下都是安装在一台服务器上。
- 客户端使用docker命令时,会把指令发送给服务端的守护进程,有它去拉取远程仓库中的镜像并创建启动容器。
- 镜像是静态的,容器是动态的,容器存在生命周期的概念,镜像与容器的关系类似于程序与进程的关系。镜像类似于文件系统中的程序文件,而容器则类似于将一个程序运行起来的状态,也即进程。
二、yum安装docker
- 清华大学开源网站。
1.下载安装源。
//修改成国内清华地址,不然拉取默认的官网速度很慢。
wget -O /etc/yum.repos.d/docker-ce.repo https://mirrors.tuna.tsinghua.edu.cn/docker-ce/linux/centos/docker-ce.repo --no-check-certificate
sed -i 's@https://download.docker.com@https://mirrors.tuna.tsinghua.edu.cn/docker-ce@g' /etc/yum.repos.d/docker-ce.repo
sed -i 's@$releasever@7@g' /etc/yum.repos.d/docker-ce.repo
2.安装。
yum -y install docker-ce
3.安装Docker后,在/sys/fs/cgroup/memory/目录下看到对Docker组应用的各种限制项。
三、配置docker加速器
- docker-ce的配置文件是/etc/docker/daemon.json,此文件默认不存在,需要我们手动创建并进行配置,而docker加速器就是通过配置此文件来实现的。
- 配置加速器是为了提高干活效率,不然默认使用的是国外官网的很慢。
docker加速方式:
- docker cn
- 中国科技大学加速器
- 阿里云加速器(需要通过阿里云开发者平台注册帐号,免费使用个人私有的加速器)
1.启动docker。
systemctl enable --now docker
2.配置加速器。
cat > /etc/docker/daemon.json <<EOF
{
"registry-mirrors": ["https://registry.docker-cn.com"]
}
EOF
3.重启服务,查看加速器。
systemctl restart docker
docker info
4.也可以配置多个加速器。这里添加一个阿里云加速器,中间用逗号隔开。
cat /etc/docker/daemon.json
{
"registry-mirrors": ["https://registry.docker-cn.com","https://11vuihex.mirror.aliyuncs.com"]
}
//重启服务。
systemctl restart docker
//查看详细信息。
docker info
