超详细的Docker总结
文章目录
- 一、Docker简介
- 1. Docker概念
- Image(镜像)
- Container(容器)
- Repository(仓库)
- 2. Docker优势
- 3. Docker劣势
- 4. 容器技术VS虚拟机技术
- 二、Docker安装
- 三、Docker底层运行原理
- 四、Docker常用命令
- 五、 Docker File解析
- 1. 概念
- 2. 构建步骤
- 3. DockerFile构建过程解析
- 六、Docker容器数据卷
- 卷的概念
一、Docker简介
1. Docker概念
- Docker是基于Go语言实现的云开源项目。Docker的主要目标是“Build,Ship and Run Any App,Anywhere”,也就是通过对应用组件的封装、分发、部署、运行等生命周期的管理,使用户APP及其运行环境可以做到“一次封装、到处运行”。
- Docker属于Linux容器的一种封装,提供简单易用的容器使用接口。也是目前非常流行的linux容器解决方案,Docker容器在任何操作系统上都是一致的,可以实现跨平台、跨服务器。只需要一次配置好环境,换到别的机子上就可以一键部署好,大大简化了操作。
Linux容器是Linux发展出的另一种虚拟化技术,也就是说,Linux容器不是模拟一个完整的操作系统,而是对进程进行隔离,将进程放到了容器中,对于容器里的进程来说,它接触到的各种资源都是虚拟的,从而实现了与底层系统的隔离。
-
Docker 将应用程序与该程序的依赖,打包在一个文件里面。运行这个文件,就会生成一个虚拟容器。程序在这个虚拟容器里运行,就好像在真实的物理机上运行一样。有了 Docker ,就不用担心环境问题。
-
总体来说, Docker 的接口相当简单,用户可以方便地创建和使用容器,把自己的应用放入容器。容器还可以进行版本管理、复制、分享、修改,就像管理普通的代码一样。
-
Docker中包含三个基本的概念:Image(镜像)、Container(容器)、Repository(仓库)。其中镜像是Docker运行容器的前提,仓库是存放镜像的地点。
Image(镜像)
镜像是一种轻量级、可以执行的独立软件包,用来打包软件运行环境和基于运行环境开发的软件,它包含运行某个软件所需的所有内容,包含代码、运行时、环境变量、配置文件。
UnionFS(联合文件系统)
Union文件系统(UnionFS)是一种分层、轻量级并且高性能的文件系统,它支持对文件系统的修改作为一次提交来一层层的叠加, 同时可以将不同目录挂载到同一个虚拟文件系统下(unite several directories into a single virtual filesystem)。Union 文件系统是 Docker镜像的基础。镜像可以通过分层来进行继承,基于基础镜像(没有父镜像),可以制作各种具体的应用镜像。
UnionFS特性:一次同时加载多个文件系统,但从外面看起来,只能看到一个文件系统,联合加载会把各层文件系统叠加起来,这样最终的文件系统会包含所有底层的文件和目录
Docker镜像加载原理
docker的镜像实际上由一层一层的文件系统组成,这种层级的文件系统UnionFS。
bootfs(boot file system)主要包含bootloader和kernel, bootloader主要是引导加载kernel, Linux刚启动时会加载bootfs文件系统, 在Docker镜像的最底层是bootfs。 这一层与我们典型的Linux/Unix系统是一样的,包含boot加载器和内核。当boot加载完成之后整个内核就都在内存中了,此时内存的使用权已由bootfs转交给内核,此时系统也会卸载bootfs。
rootfs (root file system) ,在bootfs之上 。包含的就是典型 Linux 系统中的 /dev, /proc, /bin, /etc 等标准目录和文件。rootfs就是各种不同的操作系统发行版,比如Ubuntu,Centos等等。
问:平时我们安装进虚拟机的CentOS都是好几个G,为什么docker才200M左右?
答:对于一个精简的OS,rootfs可以很小,只需要包括最基本的命令、工具和程序库就可以了,因为底层直接用Host的kernel,自己只需要提供 rootfs 就行了。由此可见对于不同的linux发行版, bootfs基本是一致的, rootfs会有差别, 因此不同的发行版可以公用bootfs。
问:为什么Docker镜像要采用这种分层结构呢?
答: 最大的一个好处就是 - 共享资源
比如:有多个镜像都从相同的 base 镜像构建而来,那么宿主机只需在磁盘上保存一份base镜像,同时内存中也只需加载一份 base 镜像,就可以为所有容器服务了。而且镜像的每一层都可以被共享。
问: Docker镜像特点是什么?
答: Docker镜像都是只读的。当容器启动时,一个新的可写层被加载到镜像顶部。这一层通常被称作“容器层”,容器层之下的都叫“镜像层”。镜像可以用来创建Docker容器,一个镜像可以创建很多容器。
Container(容器)
- 容器是镜像创建的运行实例。它可以被启动、开始、停止、删除。每个容器都是互相隔离的,保证安全的平台。
- 可以把容器看做是一个简易版的Linux环境(包括root权限、进程空间、用户空间和网络空间等等)和运行在其中的应用程序。
- 容器的定义和镜像几乎一摸一样,也是一层层的堆叠,唯一的区别就是在容器的最上层是可读可写的,而镜像的所有层都是只读的。
可以理解为:容器=镜像+读写层(最上层)
Repository(仓库)
Docker仓库是集中存放镜像文件的场所。当镜像构建完成之后,可以很容易的在当前宿主机上运行,但是,如果需要在其它服务器上使用这个镜像,我们就需要一个集中的存储、分发镜像的服务。
Docker Registry(仓库注册服务器)就是负责集中存储、分发镜像的服务。Docker仓库的概念和git类似,仓库注册服务器可以理解为github这样的托管服务。一个Docker注册服务器可以包含多个仓库,每个仓库可以包含多个镜像,每个镜像有着不同的标签(每个标签对应一个镜像)。所以说。镜像仓库是Docker用来集中存放镜像文件的地方,类似我们的代码仓库。
通常,一个仓库包含同一个软件的不同版本的镜像,标签对应于该软件的各个版本。我们可以通过<仓库名>:<标签>的格式来指定具体这个软件是哪个版本的镜像,如果不给标签,将以latest作为默认标签。
仓库分为公开仓库和私有仓库两种形式。最大的公开仓库是Docker Hub,存放了大量镜像供用户下载。国内的公开仓库包括阿里云、网易云等等。
Docker架构图
Docker使用C/S架构,Client 通过接口与Server进程通信实现容器的构建,运行和发布。client和server可以运行在同一台集群,也可以通过跨主机实现远程通信。
总结: 需要正确的理解仓储/镜像/容器这几个概念
Docker本身是一个容器运行载体或称之为管理引擎。我们把应用程序和配置依赖打包好形成一个可交付的运行环境,这个打包好的运行环境就似乎 image镜像文件。只有通过这个镜像文件才能生成 Docker 容器。image 文件可以看作是容器的模板。Docker 根据 image文件生成容器的实例。同一个 image 文件,可以生成多个同时运行的容器实例。
- image文件生成的容器实例,本身也是一个文件,称为镜像文件。
- 一个容器运行一种服务,当我们需要的时候,就可以通过docker客户端创建一个对应的运行实例,也就是我们的容器。
- 至于仓储,就是放了一堆镜像的地方,我们可以把镜像发布到仓储中,需要的时候从仓储中拉下来就可以了。
2. Docker优势
- 启动快速。docker启动属于秒级别,虚拟机启动通常要几分钟。
- 所需资源少。docker在操作系统级别进行虚拟机,docker容器和内核进行交互,几乎没有性能损耗,性能优于通过hypervisor层与内核层的虚拟化。
- 更加轻量级。docker的架构可以共用一个内核与共享应用程序库,所占内存小。同样的硬件环境下,docker运行的镜像数远远多于虚拟机数量,对系统利用率非常高。
- 更快的应用交付和部署。docker化后只需要交付少量容器镜像文件,在正式生产环境加载镜像并运行即可,应用安装配置在镜像里已经内置好,大大节省部署配置和测试验证时间。
- 快速创建、删除:虚拟机创建是分钟级别的,Docker容器创建是秒级别的,Docker的快速迭代性,决定了无论是开发、测试、部署都可以节约大量时间。
- 更简单的系统运维。
- 更高效的计算资源利用。一台物理机可以运行多个容器实例,可以大大提升物理服务器的CPU和内存的利用率。
- 高可用性和可恢复性。docker对业务的高可用支持是通过快速重新部署实现的。虚拟化具备负载均衡、高可用、容错、迁移和数据保护等经过生产实践检验的成熟保障机制,VMware可以承诺虚拟机99.999%高可用,保证业务的连续性。
3. Docker劣势
- 隔离性较弱。docker属于进程之间的隔离,虚拟机可实现系统级别的隔离,所以与虚拟机相比,docker的隔离性更弱。
- 安全性较弱。docker的租户root和宿主机的root等同,一旦容器内的用户权限升级为root用户,它就具备了宿主机的root权限,安全性能降低,目前容器技术还没有任何形式上的硬件隔离,这使得容器容易受到攻击。而虚拟机的租户root和宿主机的root权限是完全分离的,虚拟机利用硬件隔离技术可以防止虚拟机突破和彼此交互。
- 可管理性较差。docker的集中化管理工具还不够成熟。各种虚拟化技术都有成熟的管理工具和完备的虚拟机管理能力,比如VMware 。
4. 容器技术VS虚拟机技术
- 传统虚拟机技术是虚拟出一套硬件后,在其上运行一个完整操作系统,在该系统上再运行所需应用进程;
- 虚拟机缺点:1、资源占用多 2、冗余步骤多 3、启动慢
- 容器内的应用进程直接运行于宿主的内核,容器内没有自己的内核, 而且也没有进行硬件虚拟 。因此容器要比传统虚拟机更为轻便。
- 每个容器之间互相隔离,每个容器有自己的文件系统 ,容器之间进程不会相互影响,能区分计算资源。
| 特点 | 容器 | 虚拟机 |
|---|---|---|
| 启动 | 秒级 | 分钟级别 |
| 硬盘使用 | 一般为MB | 一般为GB |
| 性能 | 接近原生,几乎无额外性能损失 | 操作系统额外的CPU、内存消耗 |
| 系统支持量 | 单机支持上千个容器 | 一般是几十个 |
| 操作系统 | 与宿主机共享OS | 在宿主机OS上运行虚拟机OS |
| 存储大小 | 镜像小,便于存储和传输 | 镜像庞大(vmdk、vdi等) |
| 移植性 | 轻便、灵活、适应于Linux | 笨重、与虚拟化技术耦合度高 |
| 硬件亲和性 | 面向软件开发者 | 面向硬件运维者 |
问:为什么Docker比VM虚拟机快?
答:1)docker有着比虚拟机更少的抽象层。由于docker不需要Hypervisor实现硬件资源虚拟化,运行在docker容器上的程序直接使用实际物理机的硬件资源。因此docker在利用CPU、内存资源上更加高效有优势。
2)docker利用的是宿主机的内核,因此在新建一个容器的时候,docker不需要和虚拟机一样重新加载一个操作系统内核,可以避免这个比较费时非资源的过程。虚拟机的新建需要加载Guest OS,这是分钟级别的创建。而docker直接利用宿主机操作系统,省略了这个过程,因此新建一个docker容器是秒级别的。
二、Docker安装
参考:docker官方文档
Docker的安装前提是需要支持X86-64的架构。具体可以在官网查询。
Docker分为CE(社区版,免费)和EE(企业版,付费)。下载看官网网站
Docker CE 的安装可参考官方文档,下面是常见操作系统的Docker安装。
MacOS下安装Docker CE教程
Windows下安装Docker CE教程
CentOS下安装Docker CE教程
Ubuntu下安装Docker CE教程
我安装的是CentoOS7,这里将一下CentOS7安装docker的步骤:
- root账户登录,查看内核版本如下
[root@hlearn ~]# uname -a
Linux hlearn 3.10.0-957.el7.x86_64 #1 SMP Thu Nov 8 23:39:32 UTC 2018 x86_64 x86_64 x86_64 GNU/Linux
- 首先先查看自己有没有安装过docker,如果安装了,先卸载旧版本
[root@hlearn ~]# yum remove docker \
docker-client \
docker-client-latest \
docker-common \
docker-latest \
docker-latest-logrotate \
docker-logrotate \
docker-engine
- 将yum包更新到最新(期间要选择确认,输入 y 即可)
[root@hlearn ~]# yum update
- 设置yum源(下面的选择其中一个执行就行,我选阿里仓库,快些)
yum-config-manager --add-repo http://download.docker.com/linux/centos/docker-ce.repo(中央仓库)
yum-config-manager --add-repo http://mirrors.aliyun.com/docker-ce/linux/centos/docker-ce.repo(阿里仓库)
5. 可以查看所有仓库中所有docker版本,并选择特定版本安装
[root@hlearn hehuan]# yum list docker-ce --showduplicates | sort -r
6.安装Docker,命令:yum install docker-ce-版本号,我选的是docker-ce-18.03.1.ce,如下(期间遇到选择,选择y即可)
[root@hlearn hehuan]# yum install docker-ce-18.03.1.ce
docker安装完成。。。。。
三、Docker底层运行原理
Docker是一个C/S结构的系统,Docker守护进程运行在主机上, 然后通过Socket连接从客户端访问,守护进程从客户端接受命令并管理运行在主机上的容器 。 容器,是一个运行时环境,就是我们前面说到的集装箱。
四、Docker常用命令
Docker命令大全
常用命令
| 命令 | 解释 |
|---|---|
| attach | 当前 shell 下 attach 连接指定运行镜像 |
| build | 通过 Dockerfile 定制镜像 |
| commit | 提交当前容器为新的镜像 |
| cp | 从容器中拷贝指定文件或者目录到宿主机中 |
| create | 创建一个新的容器,同 run,但不启动容器 |
| diff | 查看 docker 容器变化 |
| events | 从 docker 服务获取容器实时事件 |
| Exec | 在已存在的容器上运行命令 |
| export | 导出容器的内容流作为一个 tar 归档文件[对应 import ] |
| history | 展示一个镜像形成历史 |
| images | 列出系统当前镜像 |
| import | 从tar包中的内容创建一个新的文件系统映像[对应export] |
| info | 显示系统相关信息 |
| inspect | 查看容器详细信息 |
| kill | kill 指定 docker 容器 |
| load | 从一个 tar 包中加载一个镜像[对应 save] |
| login | 注册或者登陆一个 docker 源服务器 |
| logout | 从当前 Docker registry 退出 |
| logs | 输出当前容器日志信息 |
| port | 查看映射端口对应的容器内部源端口 |
| pause | 暂停容器 |
| ps | 列出容器列表 |
| pull | 从docker镜像源服务器拉取指定镜像或者库镜像 |
| push | 推送指定镜像或者库镜像至docker源服务器 |
| restart | 重启运行的容器 |
| rm | 移除一个或者多个容器 |
| rmi | 移除一个或多个镜像[无容器使用该镜像才可删除,否则需删除相关容器才可继续或 -f 强制删除] |
| run | 创建一个新的容器并运行一个命令 |
| save | 保存一个镜像为一个 tar 包[对应 load] |
| search | 在 docker hub 中搜索镜像 |
| start | 启动容器 |
| stop | 停止容器 |
| tag | 给源中镜像打标签 |
| top | 查看容器中运行的进程信息 |
| unpause | 取消暂停容器 |
| version | 查看 docker 版本号 |
| wait | 截取容器停止时的退出状态值 |
五、 Docker File解析
1. 概念
dockerFile是用来构建Docker镜像的构建文件,是由一系列命令和参数构成的脚本。
2. 构建步骤
- 编写DockerFile文件
- Docker build
- Docker run
3. DockerFile构建过程解析
1)dockerfile内容要求
- 每条保留字指令都必须为大写字母,并且后面要至少要跟随一个参数。
- 指令按照从上到小,顺序执行。
- #表示注释
- 每条指令都会创建一个新的镜像层,并对镜像进行提交
2)docker执行dockerfile流程
- docker从基础镜像运行一个容器
- 执行一条指令并对容器进行修改
- 执行类似docker commit操作提交一个新的镜像层
- docker再基于刚提交的镜像运行一个新的容器
- 执行dockerfile中的下一条指令知道所有指令都执行完成
总结:
从应用软件的角度来看,Dockerfile、Docker镜像与Docker容器分别代表软件的三个不同阶段,
- Dockerfile是软件的原材料
- Docker镜像是软件的交付品
- Docker容器则可以认为是软件的运行态。
Dockerfile面向开发,Docker镜像成为交付标准,Docker容器则涉及部署与运维,三者缺一不可,合力充当Docker体系的基石。
1、Dockerfile,需要定义一个Dockerfile,Dockerfile定义了进程需要的一切东西。Dockerfile涉及的内容包括执行代码或者是文件、环境变量、依赖包、运行时环境、动态链接库、操作系统的发行版、服务进程和内核进程(当应用进程需要和系统服务和内核进程打交道,这时需要考虑如何设计namespace的权限控制)等等;
2、 Docker镜像,在用Dockerfile定义一个文件之后,docker build时会产生一个Docker镜像,当运行 Docker镜像时,会真正开始提供服务;
3、 Docker容器,容器是直接提供服务的。
六、Docker容器数据卷
我们知道在docker中,我们程序的运行放在容器中进行,但是在docker中产生的数据,如果不通过docker commit生成新的镜像,使得数据作为镜像的一部分保存下来,那么容器删除后,数据也会跟着删除,那么如何保存这些数据呢(如何使得数据持久化呢)?
为了能够保存数据在docker中我们使用卷。
卷的概念
卷就是目录或者文件,存在于一个或者多个容器中,由docker挂载到容器,但是不属于联合文件系统,因此能够绕过Union File System提供一些用于持续存储或者共享数据的特性。
卷的设计目的就是数据的持久化,完全独立于容器的生存周期,因此docker不会在容器删除时删除其挂载的数据卷。
特点:
- 数据卷可在容器之间共享或者重用数据
- 卷中的更改可以直接生效
- 数据卷中的更改不会包含在镜像的更新中
- 数据卷的生命周期一直持续到没有容器使用它为止
参考文章:https://blog.csdn.net/deng624796905/article/details/86493330
https://blog.51cto.com/ityouknow/2083688
https://blog.csdn.net/fgf00/article/details/51893771
https://www.runoob.com/docker/docker-command-manual.html