Docker能做些什么?
1.docker能够解决虚拟机能够解决的问题
2.隔离应用依赖
3.创建应用镜像并复制
4.创建容易分发的即启即用的应用
5.docker的想法是创建软件程序可移植的轻量容器
镜像
1.docker的镜像类似虚拟机的快照
2.在现有镜像的基础上创建镜像
容器
1.可以从镜像中创建容器
2.容器和虚拟机一样是隔离的,它也拥有一个唯一ID和唯一供读人的名字,docker允许公开容器的公开端口
3.容器是被来设计运行一个应用的 而不是一台机器
4.容器应该是短暂和一次性的
链接:
1.容器启动时将会被分配一个私有IP,其他容器可以使用这个IP与其进行通讯,因此,容器可以共享一个本地网络
2.docker允许你在创建一个新容器时引用其他现存容器,在你刚创建的容器中被引用的容器会获得一个别名,我们就可以定义 ,这两个容器链接在了一起。
3.比如一个DB容器已经在运行,我们创建web容器的时候引用这个DB容器,给它起一个别名叫做dbapp,那么在这个新建的web容器中,我们可以在任何时候使用主机名dbapp和DB通信
docker的两样法宝
Cgroups
作用:
限制linux进程组的资源占用
为进程组制作PIDS,UTS,IPC,网络和装载命名空间
Cgroup创建一个环境,进程可以在其中运行,并与操作系统的其他进程进行隔开
容器runtime
容器runtime是容器真正运行的地方,runtime需要和操作系统kernel紧密结合,为容器提供运行环境。
比如说,java程序比作一个容器,JVM就是runtime。JVM为java程序提供运行环境。
所以容器只能在runtime里面运行
lxc、runc 和 rkt 是目前主流的三种容器 runtime。
lxc 是 Linux 上老牌的容器 runtime。Docker 最初也是用 lxc 作为 runtime。
runc 是 Docker 自己开发的容器 runtime,符合 oci 规范,也是现在 Docker 的默认 runtime。
rkt 是 CoreOS 开发的容器 runtime,符合 oci 规范,因而能够运行 Docker 的容器。
容器管理工具
除了运行环境,使用者也得需要工具来管理容器。容器管理工具对内与runtime交互,对外为用户提供interface.
lxd是lxc对应的容器管理工具;runc的管理工具是docker
engine。docker engine 包含后台 deamon 和 cli 两个部分。我们通常提到 Docker,一般就是指的 docker
engine。rkt 的管理工具是 rkt cli。
容器定义工具
容器定义工具允许用户定义容器的内容属性,这样容器就能够被保存,共享和重建
docker image 是 docker 容器的模板,runtime 依据 docker image 创建容器。
dockerfile 是包含若干命令的文本文件,可以通过这些命令创建出 docker image。
ACI (App Container Image) 与 docker image 类似,只不过它是由 CoreOS 开发的 rkt 容器的 image 格式。
仓库Registy
容器是通过image创建的,需要一个仓库统一存放image,这个仓库就叫做Registy
企业可以用 Docker Registry 构建私有的 Registry。
Docker Hub(https://hub.docker.com)是 Docker 为公众提供的托管 Registry,上面有很多现成的 image,为 Docker 用户提供了极大的便利。
Quay.io(https://quay.io/ )是另一个公共托管 Registry,提供与 Docker Hub 类似的服务。
容器OS
因为容器有runtime,所以几乎所有的linux、MAC OS和windows都可以运行容器
容器 OS 是专门运行容器的操作系统。与常规 OS 相比,容器 OS 通常体积更小,启动更快。因为是为容器定制的 OS,通常它们运行容器的效率会更高。
目前已经存在不少容器 OS,CoreOS、atomic 和 ubuntu core 是其中的杰出代表。
容器平台技术
容器核心技术能够让让容器在单个主机上运行,容器平台技术能够让容器作为集群在分布式环境中运行。容器平台技术如下图:
分为容器编排技术、容器管理平台、基于容器的PaaS。
容器编排引擎
基于容器的应用一般会采用微服务架构。在这中间架构下,应用被划分成不同的组件,并以服务的方式运行在各个容器中,通过API对外提供服务,为了保证服务的高可用,每个组件会运行多个相同的容器。
这些容器会组成集群,集群中的容器会根据业务动态的创建、迁移和销毁。
这样基于微服务架构的系统实际上是一个动态可伸缩的系统。容器编排引擎就排上用场了。
编排(orchestration),通常包括容器管理、调度、集群定义和服务发现。通过容器编排引擎、容器被有机的组合成微服务应用,实现业务需求。
docker swarm 是 Docker 开发的容器编排引擎。
kubernetes 是 Google 领导开发的开源容器编排引擎,同时支持 Docker 和 CoreOS 容器。
mesos 是一个通用的集群资源调度平台,mesos 与 marathon 一起提供容器编排引擎功能。
以上三者是当前主流的容器编排引擎。
容器管理平台
容器管理平台是在容器编排引擎之上的一个更为通用的平台。通常容器管理平台能够支持多个编排引擎,抽象了编排引擎的底层实现细节。
比如:application catalog和一键应用部署
Rancher和Containership是容器管理平台的典型代表
容器支持技术
容器网络
容器使得网络变得复杂,用户需要专门的解决方案来管理容器与容器,容器与其他实体之间的连通性和隔离性。
docker network是docker原生的解决方案。
服务发现
微服务的最大特点是动态变化,当负载增加时,集群会自动创建新的容器;负载减小,多余的容器就会被销毁。容器也会根据主机的资源情况在不同主机上迁移,容器的IP和端口也随之改变。
在这种情况下,必须要让客户端能够知道如何访问容器提供的服务。这就是服务发现的工作。
服务发现会保存集群中所有微服务的最新信息,比如IP和端口,对外提供的API,提供服务和查询等。
比较主流的是etcd,consul,zookeeper。
制作第一个容器
准备这些条件:
1.一个Ubuntu系统
2.这个系统能够联网,最起码ping www.baidu.com是可以的
这些准备条件准备好了,接下来就开始做准备工作。
Docker 分为开源免费的 CE(Community Edition)版本和收费的 EE(Enterprise Edition)版本。下面我们将按照文档,通过以下步骤在 Ubuntu 16.04 上安装 Docker CE 版本。
这里下载的是CE版本。
配置Docker的apt源
打开ubuntu虚拟机,ping 一下百度
OK,可以的,因为制作容器的过程中需要联网,这个条件是必要的。
1.安装包,允许 apt
命令 HTTPS 访问 Docker 源。执行命令:
sodo apt-get install apt-transport-https ca-certificate curl software-properties-common
然后会下载一些东西,等待下载完成即可
2.添加 Docker 官方的 GPG
sudo curl -fsSL https://download.docker.com/linux/ubuntu/gpg | sudo apt-key add -
3.将Docker的源添加到/etc/apt/source.list
sodu add-apt-repository "deb [arch=amd64] https://download.docker.com/linux/ubuntu $(lsb_release -cs) stable"
4.刷新apt源
sudo apt-get update
5.安装Docker
sudo apt-get install docker-ce
这步完成之后,Docker也就安装完成了,是不是很简单,接下来就是如何使用Dokcer的问题了。
下载你的第一个容器:
docker run -d -p 80:80 httpd
这个过程是,首先docker发现主机上没有http,然后就会去下载(镜像中已经安装好了 Apache HTTP Server),下载完毕之后再运行运行,将容器的80端口映射到主机的80端口。
接下来检测一下容器是否正常运行,浏览器中输入该主机的IP,我这里是192.168.90.71
OK,web服务器运行成功!
Docker的第一个helloworld也就大功告成!
什么是容器?
容器是一个自包含,可移植,轻量级的软件打包技术。是应用程序在任何地方几乎以相同方式运行。开发人员在开发机上创建好容器,无需任何修改就能在虚拟机,云服务器或公有云主机上运行。
容器与虚拟机
容器有两部分组成:
1.应用程序本身
2.应用程序所依赖的环境,库
容器在主机中运行,与操作系统中其他的进程隔离,这一点区别于虚拟机。
传统的虚拟机技术,如:vmvare,他是创建一个完整的虚拟机,为了运行应用程序,部署系统,还需要安装整个操作系统(几十GB),
下图展示了两者的区别:
从右图中可以看见,所有容器都共享一个系统,对于虚拟机来说,都是一个单独的系统。
启动容器不需要启动整个系统,所以容器部署和启动速度更快,开销更小,也更容易迁移。
为什么要使用容器技术?
因为方便。这取决于容器使得软件具备超强的可移植能力。
现如今软件开发的部署相对于以前来说,要复杂很多,开发人员需要使用多种服务构建和组装应用,而且系统还可能会部署到不同的环境中。
而且这个服务都有自己依赖的库和环境,还有可能存在着动态迁移到不同的环境中。
大家做过软件开发的都知道,软件部署是一件很麻烦的事情,那么有没有一种技术使得软件部署很平滑呢?
开发人员受到了集装箱的启发。
以前运送货物,会担心货物类型不同而担心损失,比如运送的食物被其他货物压坏了。后来人们发明了集装箱,标准集装箱可以被高效地装卸、重叠和长途运输。现代化的起重机可以自动在卡车、轮船和火车之间移动集装箱。集装箱被誉为运输业与世界贸易最重要的发明。
Docker 将集装箱思想运用到软件打包上,为代码提供了一个基于容器的标准化运输系统。Docker 可以将任何应用及其依赖打包成一个轻量级、可移植、自包含的容器。容器可以运行在几乎所有的操作系统上。
容器意味着环境隔离和可重复性。开发人员只需为应用创建一次运行环境,然后打包成容器便可在其他机器上运行。另外,容器环境与所在的 Host 环境是隔离的,就像虚拟机一样,但更快更简单。
Docker的核心组件:
1.Docker客户端 - Client
2.Docker服务器 - Docker deamon
3.Docker镜像 - Image
4.仓库 - Registry
5.Docker容器 - Container
Docker架构图如下:
Docker采用的是C/S架构,客户端向服务器发送请求,服务器负责创建、运行和分发容器。
Docker客户端:
Docker客户端的命令如下:
Docker服务器:
Docker deamon是服务器组件,以Linux后台服务方式运行。
Docker daemon 运行在 Docker host 上,负责创建、运行、监控容器,构建、存储镜像。
默认配置下,Docker daemon 只能响应来自本地 Host 的客户端请求。如果要允许远程客户端请求,需要在配置文件中打开 TCP 监听,步骤如下:
1.编辑配置文件 /etc/systemd/system/multi-user.target.wants/docker.service,在环境变量 -H tcp://0.0.0.0
,允许来自任意 IP 的客户端连接。
2.重启 Docker daemon。
3.服务器 IP 为 192.168.56.102,客户端在命令行里加上 -H 参数,即可与远程服务器通信
Docker镜像 :
可将Docker镜像看成一个只读模板。一个镜像里可能含有一个系统,或者一个Tomcat。
镜像有多种生成方法:
可以从无到有开始创建镜像
也可以下载并使用别人创建好的现成的镜像
还可以在现有镜像上创建新的镜像
我们可以将镜像的内容和创建步骤描述在一个文本文件中,这个文件被称作 Dockerfile,通过执行 docker build <docker-file>
命令可以构建出 Docker 镜像。
Docker容器:
Docker容器就是Docker运行的环境。对于软件而言,镜像像是生命周期的构建和打包阶段,容器则是启动和运行阶段。
Docker仓库Registry:
镜像有多种生成方法:
可以从无到有开始创建镜像
也可以下载并使用别人创建好的现成的镜像
还可以在现有镜像上创建新的镜像
我们可以将镜像的内容和创建步骤描述在一个文本文件中,这个文件被称作 Dockerfile,通过执行 docker build <docker-file>
命令可以构建出 Docker 镜像.
docker pull 命令是从Registry下载镜像
docker run命令是先下载镜像 然后再启动容器
下面看一个运行实例:
Docker 客户端执行
docker run
命令。Docker daemon 发现本地没有 httpd 镜像。
daemon 从 Docker Hub 下载镜像。
下载完成,镜像 httpd 被保存到本地。
Docker daemon 启动容器。
docker images 可以看下已经下载到本地的镜像。
dokcer ps 可以查看哪些容器正在运行
镜像的分层结构:
实际上,Docker Hub 中 99% 的镜像都是通过在 base 镜像中安装和配置需要的软件构建出来的。比如我们现在构建一个新的镜像,Dockerfile 如下:
① 新镜像不再是从 scratch 开始,而是直接在 Debian base 镜像上构建。
② 安装 emacs 编辑器。
③ 安装 apache2。
④ 容器启动时运行 bash。
构建过程如下图所示:
可以看到,新镜像是从 base 镜像一层一层叠加生成的。每安装一个软件,就在现有镜像的基础上增加一层。
问什么 Docker 镜像要采用这种分层结构呢?
最大的一个好处就是 - 共享资源。
比如:有多个镜像都从相同的 base 镜像构建而来,那么 Docker Host 只需在磁盘上保存一份 base 镜像;同时内存中也只需加载一份 base 镜像,就可以为所有容器服务了。而且镜像的每一层都可以被共享,我们将在后面更深入地讨论这个特性。
这时可能就有人会问了:如果多个容器共享一份基础镜像,当某个容器修改了基础镜像的内容,比如 /etc 下的文件,这时其他容器的 /etc 是否也会被修改?
答案是不会!
修改会被限制在单个容器内。因为容器的Copy-on-Write特性
可写的容器层
当容器启动时,一个新的可写层被加载到镜像的顶部。
这一层通常被称作“容器层”,“容器层”之下的都叫“镜像层”。
所有对容器的改动 - 无论添加、删除、还是修改文件都只会发生在容器层中。
添加文件
在容器中创建文件时,新文件被添加到容器层中。读取文件 在容器中读取某个文件时,Docker 会从上往下依次在各镜像层中查找此文件。一旦找到,立即将其复制到容器层,然后打开并读入内存。
修改文件 在容器中修改已存在的文件时,Docker 会从上往下依次在各镜像层中查找此文件。一旦找到,立即将其复制到容器层,然后修改之。
删除文件 在容器中删除文件时,Docker 也是从上往下依次在镜像层中查找此文件。找到后,会在容器层中记录下此删除操作。
只有当需要修改时才复制一份数据,这种特性被称作 Copy-on-Write。可见,容器层保存的是镜像变化的部分,不会对镜像本身进行任何修改。
这样就解释了我们前面提出的问题:容器层记录对镜像的修改,所有镜像层都是只读的,不会被容器修改,所以镜像可以被多个容器共享。
如何构建镜像
使用现成镜像的好处除了省去自己做镜像的工作量外,更重要的是可以利用前人的经验。特别是使用那些官方镜像,因为 Docker 的工程师知道如何更好的在容器中运行软件。
当然,某些情况下我们也不得不自己构建镜像,比如:
找不到现成的镜像,比如自己开发的应用程序。
需要在镜像中加入特定的功能,比如官方镜像几乎都不提供 ssh。
所以本节我们将介绍构建镜像的方法。同时分析构建的过程也能够加深我们对前面镜像分层结构的理解。
Docker 提供了两种构建镜像的方法:
docker commit 命令
Dockerfile 构建文件
Docker官方推荐使用Dockerfile构建镜像。
镜像缓存
Docker 会缓存已有镜像的镜像层,构建新镜像时,如果某镜像层已经存在,就直接使用,无需重新创建。
Dockerfile 中每一个指令都会创建一个镜像层,上层是依赖于下层的。无论什么时候,只要某一层发生变化,其上面所有层的缓存都会失效。
也就是说,如果我们改变 Dockerfile 指令的执行顺序,或者修改或添加指令,都会使缓存失效。
DockerFile
Dockerfile指令说明 |
||
指令 |
说明 |
用法 |
FROM |
指定base镜像 |
两种用法: 1.FROM <image> 指定基础image为该image的最后修改的版本 2.FROM <image>:<tag> 指定基础image为该image的一个tag版本。 |
MAINTAINER |
设置镜像的作者,用于将image的制作者相关的信息写入到image中 |
MAINTAINER <name> |
RUN |
在容器中运行制定的命令, 一般用于装软件 |
两种格式: 1.RUN <command> (the command is run in a shell - `/bin/sh -c`) 2.RUN ["executable", "param1", "param2" ... ] (exec form) |
CMD |
(设置container启动时执行的操作) |
三种方式
第三种方式:当指定了ENTRYPOINT,那么使用下面的格式 CMD ["param1","param2"] (as default parameters to ENTRYPOINT) ENTRYPOINT指定的是一个可执行的脚本或者程序的路径,该指定的脚本或者程序将会以param1和param2作为参数执行。所以如果CMD指令使用上面的形式,那么Dockerfile中必须要有配套的ENTRYPOINT。 |
ENTRYPOINT |
配置容器启动后执行的命令,并且不可被 docker run 提供的参数覆盖。 每个 Dockerfile 中只能有一个 ENTRYPOINT,当指定多个时,只有最后一个起效。 |
ENTRYPOINT ["executable", "param1", "param2"] (like an exec, the preferred form) ENTRYPOINT command param1 param2 (as a shell) 该指令的使用分为两种情况,一种是独自使用,另一种和CMD指令配合使用。 当独自使用时,如果你还使用了CMD命令且CMD是一个完整的可执行的命令,那么CMD指令和ENTRYPOINT会互相覆盖只有最后一个CMD或者ENTRYPOINT有效。 # CMD指令将不会被执行,只有ENTRYPOINT指令被执行 CMD echo “Hello, World!” ENTRYPOINT ls -l 另一种用法和CMD指令配合使用来指定ENTRYPOINT的默认参数,这时CMD指令不是一个完整的可执行命令,仅仅是参数部分;ENTRYPOINT指令只能使用JSON方式指定执行命令,而不能指定参数。 FROM ubuntu CMD ["-l"] ENTRYPOINT ["/usr/bin/ls"] |
EXPOSE |
设置指令,该指令会将容器中的端口映射成宿主机器中的某个端口。当你需要访问容器的时候,可以不是用容器的IP地址而是使用宿主机器的IP地址和映射后的端口。要完成整个操作需要两个步骤,首先在Dockerfile使用EXPOSE设置需要映射的容器端口,然后在运行容器的时候指定-p选项加上EXPOSE设置的端口,这样EXPOSE设置的端口号会被随机映射成宿主机器中的一个端口号。 |
EXPOSE <port> [<port>...] |
ENV |
用于设置环境变量 |
设置了后,后续的RUN命令都可以使用,容器启动后,可以通过docker inspect查看这个环境变量,也可以通过在docker run --env key=value时设置或修改环境变量。 假如你安装了JAVA程序,需要设置JAVA_HOME,那么可以在Dockerfile中这样写: ENV JAVA_HOME /path/to/java/dirent |
ADD |
从src复制文件到容器的dest路径 如果是一个目录,那么会将该目录下的所有文件添加到容器中,不包括目录;如果文件是可识别的压缩格式,则docker会帮忙解压缩(注意压缩格式) |
ADD <src> <dist> <src>是相对被构建的源目录的相对路径,可以是文件或目录的路径,也可以是一个远程的文件url; <dist>是容器的绝对路径 |
VOLUMN |
设置指令,使容器中的一个目录具有持久化存储数据的功能,该目录可以被容器本身使用,也可以共享给其他容器使用。我们知道容器使用的是AUFS,这种文件系统不能持久化数据,当容器关闭后,所有的更改都会丢失。当容器中的应用有持久化数据的需求时可以在Dockerfile中使用该指令。 |
VOLUME ["<mountpoint>"] 例: FROM unbuntu VOLUMN [“/tmp/data”]运行通过该Dockerfile生成image的容器,/tmp/data目录中的数据在容器关闭后,里面的数据还存在。 |
WORKDIR |
可以多次切换(相当于cd命令),对RUN,CMD,ENTRYPOINT生效。 |
例:# 在 /p1/p2 下执行 vim a.txt WORKDIR /p1 WORKDIR p2 RUN vim a.txt |