docker是一个轻量级容器,属于操作系统层面的虚拟化技术,封装了文件系统(AUFS)以及网络互联,进程隔离等特性。

传统虚拟化架构:

docker虚拟化架构:

可以看出,docker是没有Guest OS一层的,它属于宿主机上面开启的一个单独进程,共享宿主机的内核和硬件。 传统虚拟化技术每个实例都要虚拟出一套OS的硬件支持,当一台宿主机开启多个虚拟机的时候,这些硬件虚拟无疑是重复的,且占用了大量宿主机的资源。 因此,docker这种轻量级的容器技术会更高效地使用宿主机的内核和硬件资源。同时由于没有完整OS的启动,docker的启动也很快,如同你在win10里面开启一个浏览器一样,可以类比出,docker的级别与OS的application是一层的。

docker库的架构: docker registry -> docker repository -> docker image

docker registry相当于一个邮轮,repository则是邮轮上的集装箱,image就是集装箱内部的系统镜像。

docker的最小单元为image,docker image是只读的,不支持修改,因此当你看上去修改了一个docker image,哪怕是只改了它的名字,docker的真实操作却是复制出来一份列在下面,原来的仍旧被保留。同时为便于文件管理,docker image 可以通过命令被export为tar包存在本地任何位置,也可以import tar包成为本地的image。


注意:docker只是提供了一个环境,这个概念是独特的,其他虚拟机是一个完全隔离开的封闭的就像一个完整的物理机那样,而docker的用户获得的是一个基于通用OS上面的一个相同的环境,只要使用相同的image,docker能运行起来,那么环境就是一致的。目前docker已经可以支持几乎所有流行的OS,它并不限制OS的种类、版本,这就使docker变成了跨平台技术,避免了用户环境变化导致的Bug。

docker container 是 docker image 的实例化。

docker提供的这个环境,可以达到如一个纯净OS的效果,可对其进行具体的操作,如安装新的包,文件变更等。而上文提到了,docker的image是只读,不支持修改image本身,那么这个环境变更真的不是对image进行操作吗?

答:确实不是的,docker的文件系统是AUFS,当我们对image进行修改的时候,表面上是进入那个container容器内部,然后做安装命令,文件变更等修改,其实这些变更并不是发生在像传统虚拟系统那样在容器内部,而是在外部!docker container并不是一个封闭独立的空间。

这些变更是存在于本地文件路径/var/lib/docker/aufs/下,每次与原image不同的修改都会放在该目录中。然而docker也提供了修改这个默认目录的方式,就是在启动容器的时候,使用-v选项设置这个本地目录的映射参数,启动后每一次修改都是针对映射的这个本地目录,但是要注意以后的每次启动都要带着这个-v参数和这个本地目录,否则又指向了默认的目录相当于启动一个基于原始image的新container了。

我们来深究一下上面的操作,进入docker container以后,会发现终端的用户名和主机名,包括该用户的root目录(user@dockermachine:~/)都与进入之前不同了,好像真的进入了一个传统虚拟机,这其实是linux的change root命令的效果,利用chroot命令将当前目录映射为该用户的root目录。当exit的时候,又恢复为原真正的用户root目录,其对应的container也就被退了出来。

如果想提交这个最新的变更后的环境,让更多同事使用,实际也是提交一个本地的image,通常是使用commit和dockerfile的方式。commit方式每次都要提交具体的变更细节,深入docker的实现原理,它是将每次的commit的差异文件存在AUFS文件系统的diff文件夹中,每次部署环境的时候,如果要检查其中某次提交的文件变更,就要捋顺一遍这个commit列表,这实在是不方便。因此dockerfile的方式被广泛应用,dockerfile会记录以初始的基础image为原点的每次对环境的变更,例如安装了某个新的命令,它像一个描述文件有着自己的语法格式,每当以dockerfile启动的时候,会先启动其依赖的基础image,然后再按照dockerfile中的命令顺序一条条去执行,最终会获得一个变更后的统一环境。这样,部署人员只需要维护dockerfile中的代码即可。所有docker的用户只需要本地留一个基础image,然后按照业务需要去get相应的dockerfile,启动的时候就会获得最新的环境,与同组其他同事获得的能够保持一致。

总结一下,docker是如此轻巧灵活仅相当于一个普通app开启一个宿主机的进程,image是只读,dockerfile用来描述变更,container修改其实是映射到本地卷。


补充:

上面多次提到了docker的aufs文件系统,它非常强大,对应的路径是在/var/lib/docker/aufs,它可以分块(Blob)存储一个image,由于image是只读的,分块存储可加快地读取。如果不做-v修改本地映射卷的话,它还可以存储用户在container中修改的变更文件。还可以存储commit时与基础image的差异文件。

提到分块存储image的特性,就要说一下linux的mount命令,它可以将两个具体路径映射成一个目录,合并包含两个具体路径下的内部文件。例如,mount -t aufs -o dirs="/tmp/a;/tmp/b" none /mnt。执行以后,原/tmp/a和/tmp/b中的内容都会出现在/mnt中。

在docker run一个image的时候,如果不加任何参数,则默认是在https://hub.docker.com/ 下载,这就如同maven,有一个public registry,也应该有一个nexus服务于局域网。如果我想给team也建立一个局域网的“邮轮”,提高传输(上传下载,push和pull)的效率,方便内部管理,就要自己创建一个registry服务端。

registry创建也非常简单。registry服务本身在docker hub中仍旧是以一个image的形式存在的,所以直接在服务器上docker run registry就ok了。

客户端container可以指定服务端的IP加端口去pull image,也可以将本地的image tag成服务端的IP加端口下的image,然后push到服务端去。

虚拟化明星——深挖轻量级容器docker的更多相关文章

  1. 认识大明星——轻量级容器docker知识树点亮

    docker是一个轻量级容器,属于操作系统层面的虚拟化技术,封装了文件系统(AUFS)以及网络互联,进程隔离等特性. 传统虚拟化架构: docker虚拟化架构: 可以看出,docker是没有Guest ...

  2. 轻量级容器Docker+微服务+RESTful API

    [宗师]李锟(44035001) 10:23:03感觉Docker这样的轻量级容器+微服务+RESTful API三者可以形成一个铁三角.这也代表了PaaS未来的发展方向. [宗师]李锟(440350 ...

  3. 大型网站技术学习-3. 容器Docker与kubernetes

    大型网站技术基石篇-容器Docker与kubernetes   Docker和Kubernetes的关系就如Xen与OpenStack. Docker是一种容器技术,和Hypervisor(KVM/X ...

  4. 使用 SELinux 和 Smack 增强轻量级容器

    http://www.bitscn.com/os/linux/200904/158771.html 安全 Linux 容器实现指南 轻量级容器 又称作 Virtual Private Servers ...

  5. OpenStack Newton:集虚拟化,裸金属和容器部署的统一云平台(转载)

    2016-10-08木屐大数据在线 国庆长假第六天,OpenStack第十四版本Newton(牛顿?)发布,官方介绍中强调这是一个集虚拟化.裸金属和容器技术的一体化平台,可通过一套API来管理裸金属. ...

  6. 深挖JDK动态代理(二):JDK动态生成后的字节码分析

    接上一篇文章深挖JDK动态代理(一)我们来分析一下JDK生成动态的代理类究竟是个什么东西 1. 将生成的代理类编程一个class文件,通过以下方法 public static void transCl ...

  7. 深挖JDK动态代理(一)

     最近在研究RPC框架,避免不了的就是在RPC调用中使用最多的则是动态代理的机制了,基于此,我们先来研究一下JDK动态代理 我们先来尝试着编写一下JDK动态代理的代码 1. 由于JDK动态代理是基于接 ...

  8. 删除所有已经停止的容器 docker rm $(docker ps -a -q)

    杀死所有正在运行的容器docker kill $(docker ps -a -q) 删除所有已经停止的容器docker rm $(docker ps -a -q) 删除所有未打 dangling 标签 ...

  9. 操作系统-容器-Docker:如何将应用打包成为 Docker 镜像?

    ylbtech-操作系统-容器-Docker:如何将应用打包成为 Docker 镜像? 1.返回顶部 1. 虽然 DockerHub 提供了大量的镜像,但是由于企业环境的多样性,并不是每个应用都能在 ...

随机推荐

  1. 搜狗Q3业绩迅猛增长,战略整合稳步推进

        继9月16日腾讯与搜狗战略结盟之后,最近搜狗再次吸引了业界关注的目光,10月29日,搜狗公布了截至2013年9月30日的第三季度未经审计的财务报告.财报显示,新搜狗Q3营收达5700万美元,同 ...

  2. linux与unix时间戳互转

    linux与unix时间戳互转 今天在消费kafka数据时遇到了这样一个问题,kafka数据中所有的数据时间戳格式都是unix上时间戳的格式,例如:1505786829101,看到这个时间戳真的是头都 ...

  3. javascript中的with关键字

    说起js中的with关键字,很多小伙伴们的第一印象可能就是with关键字的作用在于改变作用域,然后最关键的一点是不推荐使用with关键字.听到不推荐with关键字后,我们很多人都会忽略掉with关键字 ...

  4. ASP.NET Core使用EF Core操作MySql数据库

    ASP.NET Core操作MySql数据库, 这样整套环境都可以布署在Linux上 使用微软的 Microsoft.EntityFrameworkCore(2.1.4) 和MySql出的 MySql ...

  5. ASP.NET 实现多页面合并一页显示

    目前业务有一个需求: 就是把多个网页合并到一个页面显示, 在实现过程中我一般使用两种方法: 利用母版页设置导航栏, 定位到每个网页; 利用用户控件( .acsx 后缀的文件), 但是有个问题就是传参比 ...

  6. 一步一步学习Swift之(二):好玩的工具playground与swfit基础语法

    playground好于在于能一边写代码一边看到输出的常量变量的值.不需要运行模拟器. 我们来试一下该工具的用法. 打开xcode6开发工具,选择Get started with a playgrou ...

  7. 机器学习、深度学习、和AI算法可以在网络安全中做什么?

    本文由  网易云发布. 本文作者:Alexander Polyakov,ERPScan的首席技术官和联合创始人.EAS-SEC总裁,SAP网络安全传播者. 现在已经出现了相当多的文章涉及机器学习及其保 ...

  8. C博客第03次作业---函数

    1.本章学习总结 1.1 思维导图 1.2 本章学习体会及代码量学习体会 1.2.1 学习体会 首先,对于学习了函数的我来说是很开心的,因为学了函数之后可以解决很多以前不懂的问题,可以说函数是C语言中 ...

  9. java的类继承(与c++对比)

    1. interface的引入 使用interface来定义某一类通用操作,而又不强制规定其实现,对于Java的流行真是太重要了. 以JDBC举例.在Java之前,C++与数据库建立连接,常用的一个技 ...

  10. java的几种定时任务

    本篇博文主要是讲述2.x 版本的quartz下的实现方案,1.x 版本的实现方式大致原理一致,但是具体的实现方式有些不一致,具体体现在获取  scheduler 这个类的方式上有些不同,这里不作过多的 ...