Docker容器技术详解-优快云博客

本文深入探讨Docker容器技术，包括其概念、原理、安装步骤、镜像管理及如何高效利用资源。通过类比集装箱，解释Docker如何实现应用间的隔离与资源共享，适合初学者快速入门。

1、什么是Docker？

Docker是使用最广泛的开源容器引擎
一种操作系统基本的虚拟化技术
一种简单的应用程序打包工具
依赖Linux内核特性：Namespace(资源隔离) 和 Cgroup（资源限制）

== 注：每个容器拥有一套和宿主机完全隔离的文件系统（共用linux内核），程序在这个虚拟容器里运行，就好像在真实的物理机上运行一样。==

容器：

1）容器是一个操作系统级别下的虚拟化技术，运行一个容器就行运行一个进程一样

2）容器依赖linux内核特性：Namespace（资源隔离）和Cgroups（资源限制）

资源隔离：

1）Linux Namespaces机制提供一种资源隔离方案，每个namespace看上去就像一个单独的Linux系统。

2）PID,IPC(进程通信),Network等系统资源不再是全局性的，而是属于某个特定的Namespace。

3）每个namespace下的资源对于其他namespace下的资源都是透明，不可见的。

4）系统中可以同时存在两个进程号为0,1,2的进程，由于属于不同的namespace，所以它们之间并不冲突。

5）而在用户层面上只能看到属于用户自己namespace下的资源，例如使用ps命令只能列出自己namespace下的进程。

6）这样每个namespace看上去就像一个单独的Linux系统。

资源限制：

1）为了让容器中的进程更加可控，Docker 使用 Linux cgroups 来限制容器中的进程允许使用的系统资源。
2）可以在启动容器是指定每个容器可以使用的 网络、磁盘、CPU以及内存 等

2、理解

Docker的思想源于集装箱，集装箱解决了什么问题呢？
在早期运输货物需要不同分类的船，例如运输水果的船，运输生活用品的船
有了集装箱后，在大船上，可以把货物分类到不同的集装箱中，水果一个集装箱，生活用品一个集装箱
它们之间互不影响，只要把货物封装好集装箱里，就可以把不同类的货物一起运走。

3、Docker解决的问题：

高效的利用资源
单台机器得部署多个应用；
应用之间互相隔离（微服务）；
应用之间不能发生资源抢占，每个应用只能使用事先注册申请的资源。

4、Docker的框架

Docker客户端(Client): docker 命令行工具，用户也可以通过 REST API 与服务器通信
Docker服务器(Docker daemon): 服务器组件，以 Linux 后台服务的方式运行， Docker daemon 运行在 Docker host 上，负责创建、运行、监控容器，构建、存储镜像
Docker镜像(Image): 可将 Docker 镜像看着只读模板，通过它可以创建 Docker 容器
镜像仓库(Registry): Registry 是存放 Docker 镜像的仓库，Registry 分私有和公有两种
Docker容器(Container): Docker 容器就是 Docker 镜像的运行实例

5、Docker的安装

5.1、docker安装参考官方文档

1. docker官方文档：https://docs.docker.com/

2. centos安装docker：https://docs.docker.com/install/linux/docker-ce/centos/

注：docker CE只支持 centos7 不支持centos6

5.2、2、docker安装

# 1）安装依赖包
yum install -y yum-utils device-mapper-persistent-data lvm2

# 2）添加Docker软件包源(否则doker安装的不是新版本)
yum-config-manager \
--add-repo \
https://download.docker.com/linux/centos/docker-ce.repo

# 3）安装Docker CE
yum install -y docker-ce

# 4）启动Docker服务并设置开机启动
systemctl start docker
systemctl enable docker

# 5）测试docker是否安装成功（hello-world是官方提供的一个测试镜像）
docker run hello-world

# 6）查看docker基本信息
docker info
docker version

docker简单使用（创建一个ngixn容器）

# 1、创建一个nginx容器
 docker run -it nginx
 
 # 2、查看docker运行的容器(可以获取到这个容器的id)
 docker ps
 
 # 3、访问这个容器
 # 进入这个nginx容器（进入的文件系统和宿主机是完全隔离的，有自己独立的文件系统）
 docker exec -it 73877e65c07d bash
 
 # 4、查看当前容器的 IP
 docker inspect 73877e65c07d   # 73877e65c07d是通过docekr ps查看到的容器ID
 curl 172.17.0.2               # 测试这个nginx容器是否可以访问

6、Docker镜像管理

6.1、什么是docker镜像

1. docker镜像不包含Linux内核而又精简的Linux操作系统
2. docker镜像是一个分层存储的文件，一个镜像可以创建N个容器
3. 可以这么理解，docker 镜像是 docker 容器的静态视角，docker 容器是 docker 镜像的运行状态。
4. 容器只是对docker镜像的引用，如果docker镜像删除，此镜像创建的容器也都失效

6.2、docker镜像与容器的区别

1. 当由 ubuntu:14.04 镜像启动容器时，ubuntu:14.04 镜像的镜像层内容将作为容器的 rootfs；
2. 而 ubuntu:14.04 镜像的 json 文件，会由 docker daemon 解析，并提取出其中的容器执行入口 CMD 信息，以及容器进程的环境变量 ENV 信息，最终初始化容器进程。
3. 当然，容器进程的执行入口来源于镜像提供的 rootfs。

在这里插入图片描述

6.3、 rootfs

1. rootfs 是 docker 容器在启动时内部进程可见的文件系统，即 docker 容器的根目录。
2. rootfs 通常包含一个操作系统运行所需的文件系统，例如可能包含典型的类 Unix 操作系统中的目录系统，如 /dev、/proc、/bin、/etc、/lib、/usr、/tmp 及运行 docker 容器所需的配置文件、工具等。
3. 在传统的 Linux 操作系统内核启动时，首先挂载一个只读的 rootfs，当系统检测其完整性之后，再将其切换为读写模式。
4. 而在 docker 架构中，当 docker daemon 为 docker 容器挂载 rootfs 时，沿用了 Linux 内核启动时的做法，即将 rootfs 设为只读模式。
5. 在挂载完毕之后，利用联合挂载(union mount)技术在已有的只读 rootfs 上再挂载一个读写层。
6. 这样，可读写的层处于 docker 容器文件系统的最顶层，其下可能联合挂载了多个只读的层，
7. 只有在 docker 容器运行过程中文件系统发生变化时，才会把变化的文件内容写到可读写层，并隐藏只读层中的旧版本文件。

6.4、容器读写层

1. 容器其实是在镜像的最上面加了一层读写层，在运行容器里文件改动时，会先从镜像里要写的文件复制到容器自己的文件系统中（读写层）。
2. 如果容器删除了，最上面的读写层也就删除了，改动也就丢失了。
3. 所以无论多少个容器共享一个镜像，所做的写操作都是从镜像的文件系统中复制过来操作的，并不会修改镜像的源文件
4. 若想持久化这些改动，可以通过docker commit 将容器保存成一个新镜像

[root@linux-node4 diff]# docker run -itd --name=web1 -p 192.168.56.14:81:80 nginx:latest
[root@linux-node4 diff]# docker inspect web1
[
    {
        # 存储驱动
        "GraphDriver": {
            "Data": {
                "LowerDir": "/var/lib/docker/overlay2/51692869029f819494bb402dc70aa2869b8d1848c3b65c549a010a260e44cc13-init/diff:/var/lib/docker/overlay2/09fa1314e484781dfc1fb25a6cf5df2502fe35dea9025a373a3cb0202732ccce/diff:/var/lib/docker/overlay2/162ec5c9be56e5d718011c09ed087eda04b755e1a68bd1953c60f175e6635e68/diff:/var/lib/docker/overlay2/7c1b27ff59a397ae7d6bd106db579e90476f57bb1ecef9fcb1a6f1ad5ce43b7c/diff",
                "MergedDir": "/var/lib/docker/overlay2/51692869029f819494bb402dc70aa2869b8d1848c3b65c549a010a260e44cc13/merged",
                "UpperDir": "/var/lib/docker/overlay2/51692869029f819494bb402dc70aa2869b8d1848c3b65c549a010a260e44cc13/diff",
                "WorkDir": "/var/lib/docker/overlay2/51692869029f819494bb402dc70aa2869b8d1848c3b65c549a010a260e44cc13/work"
            },
            "Name": "overlay2"
        },
        "NetworkSettings": {
            "Ports": {
                "80/tcp": [
                    {
                        "HostIp": "192.168.56.14",
                        "HostPort": "81"
                    }
                ]
            },
            "MacAddress": "02:42:ac:11:00:02",
            "Networks": {
                "bridge": {
                    "Gateway": "172.17.0.1",
                    "IPAddress": "172.17.0.2",
                    "IPPrefixLen": 16,
                }
            }
        }
    }
]
[root@linux-node4 diff]# cd /var/lib/docker/overlay2/51692869029f819494bb402dc70aa2869b8d1848c3b65c549a010a260e44cc13
[root@linux-node4 51692869029f819494bb402dc70aa2869b8d1848c3b65c549a010a260e44cc13]# ll    # 查看docker工作目录都哪些内容
diff  link  lower  merged  work
diff      # 读写层的差异（在读写层做的操作由这个容器单独管理）
merged    # 引用docker进行中的文件系统
work      # 项目工作目录

6.5、docker镜像从哪里来

1. Docker Hub是由Docker公司负责维护的公共注册中心，包含大量的容器镜像，Docker工具默认从这个公共镜像库下载镜像。
2. 地址：https://hub.docker.com/explore     # docker官方镜像和使用方法参考地址
3. 配置镜像加速器：https://www.daocloud.io/mirror

[root@linux-node2 ~]#  curl -sSL https://get.daocloud.io/daotools/set_mirror.sh | sh -s http://f1361db2.m.daocloud.io　　　　　　　

[root@linux-node2 ~]#  cat /etc/docker/daemon.json           # 执行上面命令后就会将镜像源修改成国内的地址
{"registry-mirrors": ["http://f1361db2.m.daocloud.io"]}
[root@linux-node2 ~]# systemctl restart docker                  # 重启docker生效