Docker 容器学习笔记
容器的由来
早先,虚拟机通过操作系统实现相互隔离,保证应用程序在运行时相互独立,避免相互干扰。但是操作系统又笨又重,耗费资源严重:
容器技术只隔离应用程序的运行时环境但容器之间共享同一个操作系统,这里的运行时环境指的是程序运行依赖的各种库以及配置。
容器更加轻量级且占用资源更少,与操作系统动辄几G的内存占用相比,容器占用的空间少得多,只需要若干M的空间,因此可以在同等规格的硬件上大量部署容器,这是虚拟机无法比拟的,且容器启动速度快,其的打包服务栈提供了更加高效的方式,So cool。
容器是一种通用技术,Docker只是其中一种实现。
什么是Docker
一个用Go语言实现的开源项目,方便用户创建和使用容器,Docker将程序以及程序所有的依赖都打包到Docker container,这样程序在任何环境都有一致的表现,程序运行的依赖也就是容器就好比集装箱,容器所处的操作系统就好比货船或港口,程序的表现之和集装箱有关系(容器),与货船或者港口(操作系统)没关系。
因此我们看到Docker可以屏蔽环境差异,也就是说,只要程序打包到docker中,无论运行在什么环境下程序的行为都是一致的,不会再有“在我的环境上可以运行",可以实现"build once, run everywhere"。
此外Docker另一个好处是快速部署,是当前互联网公司最常见的应用场景,一方面原因是容器的启动速度快,另一方面的原因是只要确保一个容器中的程序正确运行,那么无论在生产环境部署多少都能正常运行。
如何使用Docker
Docker中的重要概念:
- dockerfile
- image
- container
实际上,可以简单的把image
理解为可执行程序,container
就是运行起来的进程。
写程序需要源代码,“写”image
就需要dockerfile
,dockerfile就是image的源代码,Docker就是“编译器”。
因此程序员只需要在Dockerfile中指定那些程序、依赖哪些配置,之后dockerfile交给“编译器”Docker进行“编译”,即docker build命令,生成可执行程序就是image,之后就可以运行image了,即docker run命令,image运行起来之后就是docker container。
Docker是如何工作的
实际上docker使用了常见的CS架构,也就是client-server模式,docker client负责处理用户输入的各种命令,比如docker build
、docker run
,真正工作的其实是server,即docker daemon,值得注意的是,docker client和docker daemon可以运行在同一台机器上。
可以用一下命令解释docker的工作流程:
docker build
当写完dockerfile交给docker“编译”时使用这个命令,那么client在接收到请求后转发给docker daemon,接着docker daemon根据dockerfile创建出“可执行程序”image。
docker run
有了“可执行文件”image就可以运行程序了,接下来使用命令docker run,docker daemon接收到该命令后找到具体的image,然后加载到内存开始执行,image执行起来就是所谓的container。
docker pull
其实docker build和docker run是两个最核心的命令,会用连个命令基本上docker就可以用起来了,剩下的都是一些补充。
那么docker pull是干嘛的?
我们之前说过,docker中image的概念就类似于“可执行程序”,我们可以从哪里下载到别人写好的应用程序呢?很简单,那就是APP Store,即应用商店。与之类似,既然image也是一种“可执行程序”,那么有没有"Docker Image Store"呢?答案是肯定的,这就是Docker Hub,docker官方的“应用商店”,你可以在这里下载到别人编写好的image,这样你就不用自己编写dockerfile了。
docker registry 可以用来存放各种image,公共的可以供任何人下载image的仓库就是docker Hub。那么该怎么从Docker Hub中下载image呢,就是这里的docker pull命令了。
因此,这个命令的实现也很简单,那就是用户通过docker client发送命令,docker daemon接收到命令后向docker registry发送image下载请求,下载后存放在本地,这样我们就可以使用image了。
最后可以了解一下docker的底层实现。
docker的底层实现
docker基于Linux内核提供这样几项功能实现的:
NameSpace
Linux中的PID、IPC、网络等资源师全局的,而NameSpace机制是一种资源隔离方案,在该机制下这些资源不再是全局的,而是属于某个特定的NameSpace,各个NameSpace下的资源互不干扰,使得每个NameSpace看上去就像一个独立的操作系统,但是只有NameSpace是不够的。
Control groups
虽然有了NameSpace技术可以实现资源隔离,但进程还是可以不受控的访问系统资源,比如CPU、内存、磁盘、网络等,为了控制容器中进程对资源的访问,Docker采用control groups技术(也就是cgroup),有了cgroup就可以控制容器中进程对系统资源的消耗了,比如你可以限制某个容器使用内存的上限、可以在哪些CPU上运行等等。
有了这两项技术,容器看起来就真的像是独立的操作系统了。
总结
docker是目前非常流行的技术,很多公司都在生产环境中使用,但是docker依赖的底层技术实际上很早就已经出现了,现在以docker的形式重新焕发活力,并且能很好的解决面临的问题。
内容参考自:什么是Docker?看这一篇干货文章就够了!