*(提前申明一下,文章内容不会涉及
大白话Docker入门(一)
随着docker现在越来越热门,自己也对docker的好奇心也越来越重,终于忍不住利用了一些时间把docker学习一遍。目前的资料不少,但是由于docker的发展较快,每个团队对docker的关注点也并不相同,大部分的文章还是不够完整和易懂,所以希望有这样一篇文章能让大家通过简单的阅读来客观全面的认识一下docker。
(提前申明一下,文章内容不会涉及较深入的使用,主要为了阐述docker的概念和入门的使用。并且我也是docker的初学者,并没有过丰富的使用经验,所以内容若有不妥,请大家指正,希望能在日后不断的完善。)
先简单认识一下Docker吧
Docker由下面几样东西组成,先简单认识一下吧
- Docker Client : Docker提供给用户的客户端。Docker Client提供给用户一个终端,用户输入Docker提供的命令来管理本地或者远程的服务器。
- Docker Daemon : Docker服务的守护进程。每台服务器(物理机或虚机)上只要安装了Docker的环境,基本上就跑了一个后台程序Docker Daemon,Docker Daemon会接收Docker Client发过来的指令,并对服务器的进行具体操作。
- Docker Images : 俗称Docker的镜像,这个可难懂了。你暂时可以认为这个就像我们要给电脑装系统用的系统CD盘,里面有操作系统的程序,并且还有一些CD盘在系统的基础上安装了必要的软件,做成的一张 “只读” 的CD。
- Docker Registry : 这个可认为是Docker Images的仓库,就像git的仓库一样,用来管理Docker镜像的,提供了Docker镜像的上传、下载和浏览等功能,并且提供安全的账号管理可以管理只有自己可见的私人image。就像git的仓库一样,docker也提供了官方的Registry,叫做Dock Hub(http://hub.Docker.com)
- Docker Container : 俗称Docker的容器,这个是最关键的东西了。Docker Container是真正跑项目程序、消耗机器资源、提供服务的地方,Docker Container通过Docker Images启动,在Docker Images的基础上运行你需要的代码。 你可以认为Docker Container提供了系统硬件环境,然后使用了Docker Images这些制作好的系统盘,再加上你的项目代码,跑起来就可以提供服务了。 听到这里,可能你会觉得是不是有点像一个VM利用保存的备份或者快照跑起来环境一样,其实是挺像的,但是实际上是有本质的区别,后面我会细说。
Docker是怎么玩的?
一下接触这么多东西肯定有一点点晕了吧,没关系,我们把这些串起来走一遍就会好了。
- 首先你得安装一下docker的环境,这个我在这里就不说了,针对你的系统看一下docker的官网( http://www.docker.com/products/docker ) 吧。
- 安装好后,我们在terminal中就有了docker的命令了,这个命令就是Docker Client啦。所有的操作都是通过docker命令完成的。比如:
docker version
ruideMacBook-Pro:~ ruihuang$ docker version
Client:
Version: 1.12.1
API version: 1.24
Go version: go1.7.1
Git commit: 6f9534c
Built: Thu Sep 8 10:31:18 2016
OS/Arch: darwin/amd64
Server:
Version: 1.12.1
API version: 1.24
Go version: go1.6.3
Git commit: 23cf638
Built: Thu Aug 18 17:52:38 2016
OS/Arch: linux/amd64
- 查看一下我们拥有了哪些images吧,命令:
docker images
ruideMacBook-Pro:~ ruihuang$ docker images
REPOSITORY TAG IMAGE ID CREATED
job1 latest de714ebe3a54 29 hours ago
ubuntu latest f753707788c5 3 weeks ago
busybox latest e02e811dd08f 4 weeks ago
可以看到我们拥有3个images,其中ubuntu大家都知道,busybox是一个linux下的大工具箱,它集成压缩了 Linux 的许多工具和命令,而job1则是我自己基于busybox创建的一个image,可以通过busybox的工具进行一些命令的执行,比如 echo 'hello world'。
- 再查看一下我们有哪些Docker Container吧,命令:
docker ps
ruideMacBook-Pro:~ ruihuang$ docker ps
CONTAINER ID IMAGE COMMAND CREATED
2c08ddb62c77 ubuntu "/bin/bash" 28 hours ago
5aa853bdb033 ubuntu "/bin/bash" 28 hours ago
这里看到的都是正在运行的Container,如果要查看所有的Container就使用 docker ps -a
- 下面我们从Docker hub的Registry下载一个Image,命令:
docker pull image-name
ruideMacBook-Pro:~ ruihuang$ docker pull hello-world
Using default tag: latest
latest: Pulling from library/hello-world
c04b14da8d14: Pull complete
Digest: sha256:0256e8a36e2070f7bf2d0b0763dbabdd67798512411de4cdcf9431a1feb60fd9
Status: Downloaded newer image for hello-world:latest
再看一下现在images,命令: docker images
ruideMacBook-Pro:~ ruihuang$ docker images
REPOSITORY TAG IMAGE ID CREATED
job1 latest de714ebe3a54 30 hours ago
ubuntu latest f753707788c5 3 weeks ago
busybox latest e02e811dd08f 4 weeks ago
hello-world latest c54a2cc56cbb 4 months ago
我们看到刚才我们从docker hub上面下载了一个docker官方已经制作好的叫做hello-world的image,下载完成后,就在本地可以查看到这个image了。
- 我们把hello-world的image,放到一个docker container里面让他跑起来吧。命令
docker run image-name
ruideMacBook-Pro:~ ruihuang$ docker run hello-world
Hello from Docker!
This message shows that your installation appears to be working correctly.
To generate this message, Docker took the following steps:
1. The Docker client contacted the Docker daemon.
2. The Docker daemon pulled the "hello-world" image from the Docker Hub.
3. The Docker daemon created a new container from that image which runs the executable that produces the output you are currently reading.
4. The Docker daemon streamed that output to the Docker client, which sent it to your terminal.
这个image运行后很简单,就是打印了这段话。告诉了我们,我们已经成功的让docker daemon从docker hub上拉了一个"hello-world"的image,并且通过这个image创建了一个container,并且通过daemon将输出的内容传回了docker client,也就是我们现在看到的这段话。
- 我们最后再看一下是否真的创建了docker container,命令
docker ps -a
ruideMacBook-Pro:~ ruihuang$ docker ps -a
CONTAINER ID IMAGE COMMAND CREATED STATUS
3d9b24449cb3 hello-world "/hello" 9 minutes ago Exited (0) 9 minutes ago
c08ddb62c77 ubuntu "/bin/bash" 28 hours ago Up 28 hours
首先看到,确实已经创建了docker container了,可见 docker run
的命令实际上是create 和 start的结合命令,基于hello-world的image创建并启动了container。container启动后执行了打印的程序,打印完上面我们看到的那句话,程序执行完成,container也跟着关闭了。从STATUS可以看出,在9分钟前hello-world的这个container已经exited了。
思考一下
- 这里我们可以想象一下,这个hello-world里面到底有什么?前面我也说了,其实一个image就是一个系统盘加上你的代码,所以对于这个hello-world的image,我想里面就是一个busybox这样的命令工具箱和一个打印文本(echo ....)的个sh文件,当image加载后执行了这个sh文件这么简单。
- 那么再思考一下,如果要我去创建这个image,我也可以拿一个ubuntu的image,并且安装了jre,再写一个class,main方法里面打印这段文本,最后build成这一个image,上传到docker hub。是不是也是一个hello-world-for-java的image呢。其它人下载后也可以一样的打印出预期的结果。
小结
好了通过这个简单的演示,希望大家已经初步认识了docker是怎么运作的。下面我们再来聊docker的概念和他可以为我们带来什么吧。
上篇的大白话Docker入门(一)让我们认识了docker,知道docker大概是怎么玩的。初步的印象可能会让你觉得和现在的VM的部署方式也挺像的,比如docker image就是一
大白话Docker入门(二)
上篇的大白话Docker入门(一)让我们认识了docker,知道docker大概是怎么玩的。初步的印象可能会让你觉得和现在的VM的部署方式也挺像的,比如docker image就是一个系统备份文件,docker container就是一个跑起来的vm,那docker到底又有什么特别的呢?
不一样的Docker
简单的列一下目前这个阶段我们很容易发现的几点:
-
docker image的体积非常的小,注意看下之前我们用到的几个image的size,一个完整功能的ubuntu才100多mb。docker image如此小的体积,让我们可以方便的在网络上传输和分享,对于公司来说就提供了对大量image的管理和分发的可能。
ruideMacBook-Pro:~ ruihuang$ docker images
REPOSITORY TAG SIZE
job1 latest 1.093 MB
ubuntu latest 127.2 MB
busybox latest 1.093 MB
hello-world latest 1.848 kB
- docker的系统启动的耗时为0。昨天如果自己也尝试启动hello-world的同学可能会知道,
docker run hello-world
的命令是瞬间完成的,你并没有感觉到加载image,启动系统的耗时,命令完成就直接输出了结果。程序执行完后container也跟着关闭,也并没有保存镜像的时间,但下次再运行还是会保留你处理过的状态。
- docker系统占用资源极少,我们知道如果我们开启了一个vm的系统,不论是linux的或者windows,就算什么都不运行都会占用一部分内存,但是docker container启动后如果不运行程序,你是看不到系统资源被占用的。
这些特点是不是完全和vm不同呢?并且有了这些特点,是不是很多之前没有的应用场景就会产生?比如我们可以把一个项目build成一个image,然后方便分发出去,别人拿到后也不用关心你的项目需要什么环境或者依赖,只要docker run一下就能运行。。而且速度很快,甚至在一台开发机都可以管理成百上千的container,没有业务处理的时候也不会占用你的系统资源。。。
到这里可能你已经感受到docker的一些厉害之处了吧。。。那么是不是也很好奇docker到底是怎么做到的?那么我们继续往下。
Docker是如何做到的
我们先思考一下,一台服务器给我们开发的项目到底提供了哪些能力让他运行起来呢?cpu、内存、硬盘、网络、操作系统、工具软件还有项目的运行环境(jre等)。当具备了这些能力的机器,我们会说这台机器给项目提供了可以运行的环境。
我们知道VM技术可以将一台物理机器部署为多台虚拟机器,解决了很多物力资源的浪费以及方便的管理能力。那么VM是怎么做到的呢?关键词:Hypervisor,VM在物理机器的操作系统上建立了一个中间软件层Hypervisor,Hypervisor利用物理机器的资源,虚拟出多个新虚拟的硬件环境,这些硬件环境可以共享宿主机的资源。这些新的虚拟的硬件环境,安装操作系统和相应的软件后便形成了一台台的虚拟机器。
那么Docker有什么不同呢?Docker很聪明的利用linux的一些技术走了一条捷径:Docker选择了和虚拟化完全不同的思路,并不去虚拟化任何硬件,而是对硬件资源在不同的docker container之间做了 “隔离” 。隔离使每个docker container之间拥有了不同的环境(硬盘空间、网络、系统的工具包),并且又可以共享需要的硬件资源(cpu、内存、系统内核),达到了和虚拟机能提供的同样的功能。
Docker使用的Linux核心的组建如下:(截取自Docker的元件– Linux核心部分)
- AUFS(chroot) – 用来建立不同的操作系统和隔离运行时的硬盘空间
- Namespace – 用来隔离Container的执行空间
- Cgroup – 分配不同的硬件资源
- SELinux – 用来保护linux的网络安全
- Netlink – 用来让不同的Container之间的进程保持通信
- Netfilter – 建立Container埠為基礎的網路防火牆封包過濾
- AppArmor – 保護Container的網路及執行安全
- Linux Bridge – 讓不同Container或不同主機上的Container能溝通
- 。。。
这里面的每一项技术当然都值得我们去理解,这里我只拿其中最具代表性的AUFS来展开一下,让大家理解一下docker隔离的思路。 (除了AUFS的技术请大家自己研究吧,后面我也会整理一些资源发出来)
AUFS -> Another Union File System,AUFS的技术可以让多个文件目录union成一个新的目录,并且可以对这个新的目录进行读写操作。
那这有什么用呢?如果你有一张只读的cd数据盘,但是你却想编辑里面的内容,你通常的做法是不是把内容拷贝到本地硬盘,然后再编辑。但如果你可以利用AUFS技术,你就可以将硬盘中的一个空目录和你的cd数据盘进行union形成一个新的目录,接着你对这个目录读取,会得到的cd盘内的数据,当你对这个目录的内容进行编辑,编辑的内容AUFS会自动讲修改内容保存在你union的那个空目录内,当你再次读区的时候,AUFS也会将你硬盘中记录的改动内容优先于CD数据盘中的内容读取出来,这样对你来说这就完全是一个可编辑的目录内容了。
AUFS虽然看起来思路很简单,但是docker却利用这个技术做出了大文章。我们可以想象一下docker的Image,其实也就是一个事先制作好的只读的文件目录,当我们要使用这个系统功能的时候,docker为我们开辟了一个新的文件夹和这个image做了union,提供给docker container做为系统运行的存储,这个image里面已经包含了系统程序、工具软件、以及程序,当系统启动后产生的运行时文件(如logs、临时目录等)或新安装的软件都在这个新的文件夹内。这样我们在启动一个container的时候,其实并没有加载镜像的过程,也不会像vm一样需要安装一个系统这么负责,只是做了一次unoin,一切就和安装过系统的虚拟机同样使用了。另外docker还提供了一个 docker commit
命令,这个命令可以随时将你现在的运行中的cantainer构建成一个新的image。
- 查看当前的container列表
命令:docker ps -a
ruideMacBook-Pro:~ ruihuang$ docker ps -a
CONTAINER ID IMAGE COMMAND STATUS
78bd49d9b73e ubuntu "bash" Exited (0) 17 hours ago
-
通过一个ubuntu的container生成一个新的image,这个image内包含了在这次container中的改动
命令:docker commit container-id
ruideMacBook-Pro:~ ruihuang$ docker commit 78bd49d9b73e job2
sha256:e0c0d617d96cafedf008e3f276f35a2b95d15f1ed7535b58d19c8db8b18f8fb2
-
查看现在是不是有了一个新的container了
命令:docker images
ruideMacBook-Pro:~ ruihuang$ docker images
REPOSITORY TAG IMAGE ID SIZE
job2 latest e0c0d617d96c 127.2 MB
job1 latest de714ebe3a54 1.093 MB
ubuntu latest f753707788c5 127.2 MB
busybox latest e02e811dd08f 1.093 MB
hello-world latest c54a2cc56cbb 1.848 kB
看到这里是不是大致的理解了docker container和docker images之间的联系了。
小结一下
Dcoker通过很多的所谓 隔离 的方式,让多个docker container之间共享了同一台机器上的资源,但又是相互隔离的(比如container1 和 container2 用的是完全不同的硬盘空间、网络地址等),这样就让docker container成为了我们项目理想的开发、测试、发布的环境。非常的轻量,简单,易于分发和管理。这也就是docker的目标:Build, Ship and Run Any App, Anywhere!