45、容器技术：从基础到实战

云朵来信

于 2025-10-03 14:21:14 发布

阅读量25

点赞数

CC 4.0 BY-SA版权

分类专栏：掌控Windows Server 2022 文章标签：容器技术 Docker Docker Hub

本文链接：https://blog.youkuaiyun.com/b0c1d2/article/details/152638271

掌控Windows Server 2022 专栏收录该内容

49 篇文章 ¥499.90

订阅专栏¥69.90

会员秒杀 ¥9.9 重磅福利

超级会员免费看

容器技术：从基础到实战

1. 理解容器

虚拟机（VMs）可被视为基础设施即服务（IaaS）。系统管理员在管理虚拟服务器时，无需关注底层硬件，可将精力集中在操作系统和应用程序上。而容器则在此基础上更进一步，每个容器负责运行一个应用程序。应用程序被打包在镜像中，使得容器可以随时启动和停止，非常适合平台即服务（PaaS）场景。在这种场景下，开发者只需专注于测试代码，无需担心服务器的配置问题。

容器的核心思想是，每个容器内的应用程序拥有其运行所需的所有资源。这意味着，你可以将容器部署到任何容器主机上，应用程序的所有需求都能得到满足，因为这些需求（如.NET）会随着应用程序一起被封装在容器内。

1.1 Windows 中的容器架构

在 Windows Server 操作系统中，启用容器功能后，需要安装 Docker Engine。Docker Engine 负责容器的打包和部署。自 Windows Server 2016 起，微软与 Docker 合作，支持在 Windows 操作系统上运行容器。

1.2 重要的容器术语

容器主机（Container host） ：配置了 Windows 容器功能的系统，可以是物理主机，也可以是通过嵌套虚拟化技术实现的虚拟主机。所有容器共享主机的资源。
容器镜像（Container image） ：可部署的镜像，包含了对原始镜像所做的更改，这些更改存储在沙箱中。容器镜像不包含操作系统，而是在容器操作系统镜像之上添加的一层定制化内容。
沙箱（Sandbox） ：用于保存对容器镜像所做的更改，包括文件系统和注册表的修改，以及新安装的应用程序。沙箱中保存的更改可以保存为容器镜像，以便重复使用。
容器操作系统镜像（Container OS image） ：不可修改，是容器的第一层，为容器提供操作系统。
容器仓库（Container repository） ：用于存储容器镜像及其依赖项，以便重复使用。可以是本地仓库，也可以在 Docker Hub 上创建私有或公共仓库。仓库也被称为注册表，如 Docker Hub 常被称为容器注册表。

1.3 容器在 Windows 上的运行方式

容器在 Windows Server 上使用 Docker Engine 运行。虽然容器技术在 Windows Server 2016 中首次引入，但 Docker 本身的历史更为悠久。Docker 负责容器镜像的打包和交付，这些镜像可以基于 Windows 或 Linux 操作系统，并在 Windows Server 2022 数据中心中运行。

1.4 容器的使用场景

开发者 ：容器包含了应用程序运行所需的所有依赖项，因此可以在任何运行 Windows Server 2016 或更高版本的系统上移动。这意味着开发者可以在任何地方开始开发工作，并将容器镜像部署到生产环境中。此外，Docker Hub 上有超过 180,000 个预打包的应用程序，可大大加快开发工作。
系统管理员 ：容器为开发团队和生产支持团队提供了即时打包的环境，无需再使用繁琐的清单。当需要对容器进行更改或更新时，只需更新容器所基于的镜像，下次基于该镜像创建容器时，所有容器都会自动更新。如果更新或更改导致问题，可以将容器回滚到上一个镜像。

1.5 容器类型的选择

Windows Server 提供了两种管理容器的方法：
- Windows Server 容器 ：简单易用，适用于对安全性和隔离性要求不高的工作负载。这种容器共享容器主机的内核，因此不具备真正的隔离性。如果编写的代码可能具有破坏性，不建议使用这种容器。同时，主机和容器必须使用相同的内核版本，这可能会给开发者的测试工作带来一定的限制。
- Hyper - V 容器 ：提供更高的安全性和隔离性，每个容器在自己的虚拟机中运行，不与容器主机或其他容器共享内核。适用于对安全性要求较高的工作负载，或运行不可信代码的场景。如果不可信代码导致问题，可以轻松创建新的 Hyper - V 容器并重新尝试。

你可以根据需要随时更改容器的类型，例如将 Hyper - V 容器转换为 Windows 容器。

1.6 大规模管理容器

Dockerfile 可以自动化容器镜像的创建过程，类似于容器的脚本，它指定了需要安装的功能并配置容器。微软在 GitHub 上维护了一个包含大量 Dockerfile 示例的仓库，你可以访问 https://github.com/MicrosoftDocs/Virtualization - Documentation/tree/master/windows - container - samples 查看。该仓库涵盖了多种用例，不仅包括微软产品，还有 Apache、MongoDB、MySQL 和 nginx 等的 Dockerfile。

2. Docker 和 Docker Hub

2.1 Docker 简介

Docker 是一个开源平台，用于协助应用程序的打包和部署。在容器主机上可以运行多个容器，由于它们共享主机的内核，因此比虚拟机（VMs）使用更少的资源，无需使用管理程序的开销。

2.2 Docker 架构

Docker 采用客户端 - 服务器模型。Docker 客户端与 Docker 服务器组件（称为守护进程）进行通信。客户端可以与守护进程在同一服务器上运行，也可以从工作站运行。
- Docker 服务器 ：是 Docker 的核心，负责管理 Docker 中的大部分操作，包括创建各种对象以及与 Docker 应用程序编程接口（API）进行通信。
- Docker 客户端 ：是用户与容器进行交互的主要界面，所有 Docker 命令都从客户端执行。
- Docker 注册表 ：用于存储 Docker 镜像，也被称为仓库。在 Docker 文档中，官方术语是注册表，但许多开发者习惯称之为仓库，这两个术语可以互换使用。
- Docker 对象 ：指的是多种不同的组件，如图像、容器和服务。

2.3 基本 Docker 命令

命令	描述
docker pull	从配置的注册表中拉取容器镜像
docker push	将容器镜像推送到配置的注册表中
docker run	如果容器镜像不可用，则先拉取镜像，然后从该镜像创建新容器
docker images	列出本地容器主机上存储的所有容器镜像
docker login	用于登录注册表，访问公共注册表时不需要，访问私有注册表时需要
docker stop [容器名称]	停止指定名称的运行中的容器
docker ps	列出当前正在运行的所有容器

2.4 Docker Hub 简介

Docker Hub 是 Docker 拥有的公共注册表，可用于在各个仓库中存储容器镜像。企业也可以使用 Docker Hub 创建私有仓库，存储专有容器镜像。许多可用的镜像来自大型开源项目，也有不少来自非开源组织。例如，微软在 Docker Hub 上有一个公共仓库，目前包含约 68 个容器镜像。

2.5 查找公共镜像

查找公共镜像非常简单，无需账户即可搜索和拉取公共镜像。只需在顶部的搜索框中输入查询内容，例如搜索“Windows Server”，即可找到相关的容器镜像。如果搜索结果只有一个匹配的容器镜像，将直接进入该镜像的详细页面；如果搜索组织名称或返回多个结果，则会显示搜索结果列表。可以通过选择左侧的“Verified Publisher”筛选出官方的容器镜像。

点击容器镜像可以查看其详细信息，包括可用的标签、使用该镜像所需的命令（通常用于接受许可协议）、软件要求、可用的环境变量以及完整的标签列表。如果未指定标签，默认获取带有“latest”标签的容器镜像。同时，还可以看到该容器镜像的拉取次数，这对于不熟悉镜像提供者的用户来说非常有用。

例如，要拉取 Microsoft SQL Server 容器镜像，可以使用以下命令：

docker pull mcr.microsoft.com/mssql/server

要启动一个运行 SQL Express 的 MS SQL 服务器实例，可以使用以下命令：

docker run -e 'ACCEPT_EULA=Y' -e 'SA_PASSWORD=yourStrong(!)Password' -e 'MSSQL_PID=Express' -p 1433:1433 -d mcr.microsoft.com/mssql/server:2019 - latest

2.6 创建私有仓库

如果不想让容器镜像公开可用，可以创建私有仓库。在拉取或推送容器镜像到私有仓库时，需要使用 docker login 命令进行身份验证。

默认情况下，Docker Hub 提供一个免费的私有仓库。如果需要更多私有仓库，可以升级到付费计划，例如每月支付 5 美元的 Pro 计划可获得无限的私有仓库。

2.7 创建 Docker Hub 账户

创建 Docker Hub 账户非常简单且免费。从主页右上角点击“Sign Up”链接，选择一个 Docker ID，输入电子邮件地址和密码，接受 Docker 的条款，勾选验证码，然后点击“Sign Up”。注册后，会收到一封验证电子邮件，点击邮件中的链接激活账户。

2.8 创建私有仓库

创建账户并登录 Docker Hub 后，会被询问是否要创建仓库或组织。创建私有仓库的步骤如下：
1. 点击“Create a Repository”。
2. 输入仓库名称和描述。
3. 将可见性更改为“Private”。
4. 点击“Create”。

可以选择将仓库链接到 GitHub 或 Bitbucket 账户，以实现容器镜像的自动构建。创建仓库后，仓库将为空，但会提供一个示例命令，用于将镜像推送到该仓库。

通过以上内容，你对容器技术有了更深入的了解，从容器的基本概念、Windows 中的容器架构，到 Docker 和 Docker Hub 的使用，以及如何选择合适的容器类型和大规模管理容器。希望这些信息能帮助你更好地应用容器技术。

3. 容器技术实战操作示例

3.1 搭建简单的 Web 应用容器

假设我们要搭建一个基于 Apache 的简单 Web 应用容器，以下是具体步骤：

3.1.1 编写 Dockerfile

# 使用官方的 Apache 基础镜像
FROM httpd:2.4

# 将本地的 HTML 文件复制到容器内的 Apache 文档根目录
COPY ./public-html/ /usr/local/apache2/htdocs/

在上述代码中，我们使用了官方的 Apache 2.4 镜像作为基础，然后将本地 public-html 目录下的文件复制到容器内的 Apache 文档根目录。

3.1.2 创建本地 HTML 文件

在本地创建一个 public-html 目录，并在其中创建一个 index.html 文件，内容如下：

<!DOCTYPE html>
<html lang="en">
<head>
    <meta charset="UTF-8">
    <title>My Simple Web App</title>
</head>
<body>
    <h1>Welcome to my simple web app!</h1>
</body>
</html>

3.1.3 构建容器镜像

在包含 Dockerfile 的目录下，打开终端并执行以下命令：

docker build -t my-apache-app .

这个命令会根据 Dockerfile 构建一个名为 my-apache-app 的容器镜像，最后的 . 表示使用当前目录作为构建上下文。

3.1.4 运行容器

构建完成后，使用以下命令运行容器：

docker run -d -p 8080:80 my-apache-app

这个命令会在后台运行容器，并将容器内的 80 端口映射到主机的 8080 端口。现在，你可以在浏览器中访问 http://localhost:8080 来查看你的 Web 应用。

3.2 容器网络配置

容器之间的通信和与外部网络的连接需要进行网络配置，以下是几种常见的网络模式：

3.2.1 桥接网络（Bridge）

桥接网络是 Docker 默认的网络模式，容器通过主机上的虚拟网桥与外部网络通信。当你使用 docker run 命令创建容器时，如果不指定网络模式，默认使用桥接网络。例如：

docker run -d --name my-container my-image

这个容器会连接到 Docker 主机的默认桥接网络。

3.2.2 主机网络（Host）

使用主机网络模式时，容器直接使用主机的网络栈，不会创建独立的网络命名空间。这种模式下，容器可以直接使用主机的 IP 地址和端口。例如：

docker run -d --network=host my-image

3.2.3 自定义网络

你还可以创建自定义的网络，以实现容器之间的隔离和通信。以下是创建自定义桥接网络的示例：

docker network create my-custom-network

然后在创建容器时指定使用这个自定义网络：

docker run -d --network=my-custom-network my-image

3.3 容器数据管理

容器中的数据需要进行有效的管理，以确保数据的持久化和可共享性。以下是几种常见的数据管理方式：

3.3.1 数据卷（Volumes）

数据卷是 Docker 中用于持久化数据的一种机制，它可以将主机上的目录或文件挂载到容器内。以下是创建和使用数据卷的示例：

# 创建一个数据卷
docker volume create my-volume

# 在运行容器时挂载数据卷
docker run -d -v my-volume:/app/data my-image

这个命令会将名为 my-volume 的数据卷挂载到容器内的 /app/data 目录。

3.3.2 绑定挂载（Bind Mounts）

绑定挂载是将主机上的一个目录或文件直接挂载到容器内。例如：

docker run -d -v /host/path:/container/path my-image

这个命令会将主机上的 /host/path 目录挂载到容器内的 /container/path 目录。

4. 容器技术的优势与挑战

4.1 容器技术的优势

资源高效利用 ：容器共享主机的内核，相比虚拟机，不需要额外的操作系统开销，因此可以更高效地利用资源。
快速部署 ：容器可以在秒级内启动和停止，大大缩短了应用程序的部署时间。
环境一致性 ：容器将应用程序及其依赖项打包在一起，确保在不同的环境中运行一致。
可移植性 ：容器可以在不同的操作系统和云平台上运行，提高了应用程序的可移植性。

4.2 容器技术的挑战

安全问题 ：由于容器共享主机的内核，一旦容器被攻破，可能会影响到主机和其他容器的安全。
网络复杂性 ：容器的网络配置相对复杂，需要对网络知识有一定的了解。
数据管理 ：容器中的数据持久化和备份需要额外的配置和管理。

4.3 应对挑战的策略

安全方面 ：使用安全的基础镜像，定期更新容器和主机的安全补丁，限制容器的权限等。
网络方面 ：合理规划网络拓扑，使用防火墙和网络策略来保护容器的网络安全。
数据管理方面 ：定期备份数据卷，使用分布式存储系统来提高数据的可靠性。

5. 容器技术的未来发展趋势

5.1 与云原生技术的深度融合

容器技术是云原生技术的重要组成部分，未来将与 Kubernetes、Istio 等云原生技术进一步融合，实现更高效的容器编排和管理。

5.2 人工智能和机器学习领域的应用

随着人工智能和机器学习的发展，容器技术可以用于快速部署和管理机器学习模型，提高模型的训练和推理效率。

5.3 边缘计算中的应用

在边缘计算场景中，容器技术可以实现应用程序的快速部署和更新，满足边缘设备的实时性和可靠性要求。

5.4 安全技术的提升

未来容器安全技术将不断发展，包括更强大的身份验证、加密和访问控制机制，以保障容器环境的安全。

通过对容器技术的深入学习和实践，你可以更好地利用容器技术的优势，应对挑战，并紧跟其未来发展趋势，为你的应用程序开发和部署带来更多的便利和价值。希望这篇博客能帮助你在容器技术的道路上更进一步。