1.docker—— 前言
1. 虚拟化
1.1 什么是虚拟化
在计算机中,虚拟化是一种资源管理技术,是将计算机的各种实体资源,如服务器、网络、内存及存储等,予以抽象、转换后呈现出来,打破实体结构间的不可切割的障碍,使用户可以比原本的组态更好的方式来应用这些资源,这些资源的新虚拟部分是不受现有资源的架设方式、地域或组态所限制的。一般所指的虚拟化资源包括计算能力和资料存储。
在实际生产环境中,虚拟化技术主要用来解决高性能的物理硬件产能过剩和老的旧的硬件产能过低的重组重用,透明化底层物理硬件,从而最大化的利用物理硬件,对资源充分利用。
虚拟化技术种类很多,例如:软件虚拟化、硬件虚拟化、内存虚拟化、网络虚拟化(vip)、桌面虚拟化、服务虚拟化、虚拟机等。
1.2 虚拟化种类
1.2.1 全虚拟化架构
虚拟机的监视器(hypervisor)是类似于用户的应用程序运行在主机的OS之上,如VMare的workstation,这种虚拟化产品提供了虚拟硬件。
如图:
1)Hardware Layer:硬件层
2)host OS:本地操作系统
3)Virtual Machine Manager:虚拟机的管理系统
4)虚拟机的管理系统上面的部分就是虚拟化的内容了,分别是虚拟硬盘、虚拟系统、应用。
我们经常使用的VM就是一个典型的全虚拟化架构软件。
1.2.2 OS层虚拟化架构
从图中可以看出,OS层虚拟架构没有虚拟硬件层,它直接通过虚拟层Virtualization Layer来进行虚拟化,因为没有虚拟化硬盘,所以该方式的运行速度要快,但是该方式也有一个局限性,就是虚拟的操作系统必须要和本机的操作系统保持同类,因为它没有虚拟化硬盘
1.2.3 硬件层虚拟化
硬件层的虚拟化具有高性能的隔离性,因为hypervisor直接在硬件上运行,有利于控制VM的OS访问硬件资源,使用这种解决方案的产品有VMare ESXI和Xen Server
hypervisor是一种运行在物理服务器和操作系统之间的中间软件层,可允许许多个操作系统和应用共享一套基础物理硬件,因此,也可以看做是虚拟环境中的“元”操作系统,它可以协调访问服务器上的所有物理设备和虚拟机,也叫虚拟机监视器(Virtual Machine Monitor,VMM).
hypervisor是所有虚拟化技术的核心,当服务器启动并执行hypervisor时,他会给每一台虚拟机分配适量的内存、CPU、网络和磁盘,并加载所有虚拟机的客户操作系统,宿主机
hypervisor是所有虚拟化技术的核心,软硬件架构和管理更高效、更灵活,硬件的效能可以更好的发挥出来。常见的产品有VMware、KVM、Xen等。
2. Docker
2.1 什么是Docker
Docker可以用来将我们的环境进行打包,也就是一个软件的搬运工的角色。
2.1.1 容器技术叙述
容器与管理程序虚拟化有所不同,管理程序虚拟化通过中间层将一台或者多台独立的机器虚拟运行于物理硬件之上,而容器则是直接运行在操作系统内核之上的用户空间,因此,容器虚拟化也被称之为“操作系统级虚拟化”,容器技术可以让多个独立的用户空间运行在同一台机器上。
由于“客居”于操作系统,容器只能运行在底层宿主机或者相似的操作系统,这看起来并不是非常灵活。例如:可以在Ubuntu服务中运行RedHat,但是无法运行windows
相对于彻底隔离的管理程序虚拟化,容器被认为是不安全的,而反对这一观点的人则认为,由于虚拟容器所虚拟的是一个完整的操作系统,这无疑增大了攻击范围,而且还要考虑管理程序层潜在的暴露风险。
尽管有诸多局限性,容器还是被广泛部署于各种各样的应用场合,在超大规模的多租户服务部署、轻量级沙盒以及对安全要求不太高的隔离环境中,容器技术非常流行,最常见的一个例子就是“权限隔离监牢(chroot jail)”,它创建一个隔离的目录环境来运行进程。如果权限隔离监牢正在运行的进程被入侵者攻破,入侵者变会发现自己身陷囹圄,因为权限不足被困在容器所创建的目录中,无法对宿主机进一步破坏。
最新的容器技术引入了OpenV2、Solaris Zones以及Linux容器(LXC)。使用这些技术,容器不在仅仅是一个单纯的运行环境,在自己的权限类内,容器更像是一个完整的宿主机,对Docker来说,它得益于现代Linux特性,如控件组(control group)、命名空间(namespace)技术,容器和宿主机之间的隔更加彻底,容器有独立的网络和存储栈,还拥有自己的资源管理能力,使得同一台宿主机中的多个容器可以友好的共存。
尽管有着光辉的历史,容器仍未得到广泛的认可,一个很重要的原因就是容器技术的复杂性,容器本身就比较复杂、不易安装,管理和自动化也很困难。而Docker就是为了改变这一切而生的。
总结一点,什么是容器了,容器就类似于我们的OS层虚拟化架构
2.1.2 Docker的特点
1)上手快
用户只需要几分钟,就可以把自己的程序“Docker”化,Docker依赖于“写时复制(copy-on-write)”模型,使修改应用程序也非常迅速,可以说达到“随心所欲,代码即改”的境界。
随后,就可以创建容器来运行应用程序了。大多数Docker容器只需要不到1秒钟即可启动,由于去除了管理程序的开销,Docker容器拥有很高的性能,同时同一台宿主机中也可以运行更多的容器,使用户尽可能的充分利用系统资源。
2)职责的逻辑分类
使用Docker,开发人员只需要关心容器中运行的应用程序,而运维人员只需要关心如何管理容器。Docker设计的目的就是要加强开发人员写代码的开发环境与应用程序要部署的生产环境一致性。从而降低那种“开发时一切正常,上线后一堆问题”的情况发生。
3)快速高效的开发生命周期
Docker的目的之一就是缩短代码从开发、测试到部署、上线运行的周期,让你的应用程序具备可移植性,易于构建,易于协作。(通俗一点说,Docker就像一个盒子,里面可以装很多物件,如果需要这些物件的可以直接将该大盒子拿走,而不需要从该盒子中一件一件的取)
4)鼓励使用面向服务的架构
Docker还鼓励面向服务的体系结构和微服务架构。Docker推荐单个容器只运行一个应用程序或者进程,这样就形成了一个分布式的应用程序模型。在这种模型下,应用程序或者服务都可以表示为一系列内部互联的容器,从而使分布式部署应用程序、扩展或调试应用程序都变得非常简单,同时也提高了程序的内省性。(当然可以在一个容器中运行多个应用程序)
2.2 Docker组件
2.2.1 Docker客户端和服务器
Docker是一个客户端-服务器(C/S)架构程序。Docker客户端只需要向Docker服务器或者守护进程发起请求,服务器或者守护进程将完成所有的工作并返回结果。Docker提供了一个命令行工具Docker以及一整套Restful API。你可以在同一台宿主机上进行Docker守护进程和客户端,也可以从本地的Docker客户端连接到运行在另一台宿主机上的远程Docker守护进程。
2.2.2 Docker镜像
镜像是构建Docker的基石。用户基于镜像来运行自己的容器,镜像也是Docker生命周期中的“构建”部分。镜像是基于联合文件系统的一种层式结构,有一系列指令一步一步构建出来。例如:
添加一个文件:
执行一个命令:
打开一个窗口:
也可以将镜像当做容器的“源代码”。镜像体积很小,非常“便携”,易于分享、存储和更新。
2.2.3 Registry(注册中心)
Docker用Registry来保存用户构建的镜像。Registry分为公共和私有两种。Docker公司运营公共的Registry叫做Docker Hub。用户可以在Docker Hub注册账号,分享并保存自己的镜像。
注意;在Docker Hub上下载镜像超级慢,可以自己构建私有的Registry。
2.2.4 Docker容器
Docker可以帮助你构建和部署容器,你只需要把自己的应用程序或者服务打包放进容器即可。容器是基于镜像启动起来的,容器中可以运行一个或多个进程。我们可以认为,镜像是Docker生命周期中的构建或者打包阶段,而容器则是启动或者执行阶段。
容器基于镜像启动,一旦容器启动完成后,我们就可以登录到容器中安装自己需要的软件或服务。
所以,Docker容器就是;
一个镜像格式:
一系列的标准操作;
一个执行环节:
Docker借鉴了标准集装箱的概念,标准集装箱将获取运往世界各地,Docker将这个模型运用到自己的设计中,唯一不同的是:集装箱运输货物,而Docker运输软件。
和集装箱一样,Docker在执行上述操作时,并不关心容器中到底装了什么,它不管是web服务器还是数据库,或者是应用程序服务器什么的,所有的容器都按照相同的方式将内容“装载”进去。
Docker也不关心你要把容器运往何方,我们可以在自己的PC上构建容器,上传到Register,然后下载到一个物理的或者虚拟的服务器来测试,在把容器部署到具体的主机中。像标准的集装箱一样,Docker容器方便替换,可以叠加,易于分发,并且尽量通用。
使用Docker,我们可以快速的构建一个应用程序服务器、一个消息总线、一套实用工具、一个持续集成(CI)测试环境或者任意一种应用程序、服务或工具。我们可以在本地构建一个完整的测试环境,也可以为生产或者开发快速的复制一套复杂的应用程序栈。