Docker是一个用于开发、发布和运行应用程序的开放平台。Docker使你能够将应用程序与基础设施分离,以便你可以快速交付软件。使用Docker,你可以像管理应用程序一样管理基础设施。通过利用Docker快速发布、测试和部署代码的方法,你可以显著减少编写代码和在生产中运行代码之间的延迟。
Docker提供了在称为容器的松散隔离环境中打包和运行应用程序的能力。隔离特性和安全性允许你在给定主机上同时运行多个容器。容器是轻量级的,并且包含了运行应用程序所需的一切,因此你不需要依赖主机上当前安装的内容。你可以在工作时轻松地共享容器,并确保与你共享的每个人都获得以相同方式工作的同一个容器。
Docker提供了管理容器生命周期的工具和平台:
使用容器开发应用程序及其支持组件。
容器成为分发和测试应用程序的单元。
准备就绪后,将应用程序作为容器或编排服务部署到生产环境中。无论你的生产环境是本地数据中心、云服务提供商还是两者的混合,这都是一样的。
Docker允许开发人员使用提供应用程序和服务的本地容器在标准化环境中工作,从而简化了开发生命周期。容器非常适用于持续集成和持续交付(CI/CD)工作流。
考虑以下示例场景:
你的开发人员在本地编写代码并使用Docker容器与同事分享他们的工作。
他们使用Docker将应用程序推送到测试环境,并执行自动化和手动测试。
当开发人员发现bug时,可以在开发环境中将其修复,再重新部署到测试环境中进行测试和验证。
测试完成后,向客户提供修复程序非常简单,只需将更新后的镜像推送到生产环境即可。
Docker的基于容器的平台允许高度可移植的工作负载。Docker容器可以在开发人员的本地笔记本电脑、数据中心的物理机或虚拟机、云服务提供商或混合环境中运行。Docker的可移植性和轻量级特性还使得动态管理工作负载、根据业务需求近乎实时地扩展或拆卸应用程序和服务变得容易。
Docker是轻量级和快速的。它为基于虚拟机管理程序的虚拟机提供了一种可行且经济高效的替代方案,因此你可以使用更多的计算能力来实现业务目标。Docker非常适合高密度环境以及需要用更少资源完成更多工作的中小型部署。
Docker使用客户端-服务器(client-server)架构。Docker客户端(client)与Docker守护进程(daemon)通信,后者负责构建、运行和分发Docker容器的重担。Docker客户端和守护进程可以在同一系统上运行,也可以将Docker客户端连接到远程Docker守护进程。Docker客户端和守护进程通过UNIX套接字或网络接口使用REST API进行通信。另一个Docker客户端是Docker Compose,它让你可以处理由一组容器组成的应用程序。
Docker守护进程(dockerd
)监听Docker API请求并管理Docker对象,例如镜像、容器、网络和卷。守护进程还可以与其他守护进程通信以管理Docker服务。
Docker客户端(docker
)是许多Docker用户与Docker交互的主要方式。当你使用诸如docker run
之类的命令时,客户端将这些命令发送到dockerd
,dockerd
执行这些命令。docker
命令使用docker API。Docker客户端可以与多个守护进程通信。
Docker Desktop是一款适用于Mac、Windows或Linux环境的易于安装的应用程序,使你能够构建和共享容器化应用程序和微服务。Docker Desktop包括Docker daemon(dockerd
)、Docker client(docker
)、Docker Compose、Docker Content Trust、Kubernetes和Credential Helper。有关更多信息,请参阅Docker Desktop。
Docker仓库存储Docker镜像。 Docker Hub是一个任何人都可以使用的公共仓库,并且Docker默认配置为在Docker Hub上查找镜像。你甚至可以搭建和使用自己的私有仓库。
使用docker pull
或docker run
命令时,所需的镜像将从配置的仓库中提取。使用docker push
命令时,你的镜像将被推送到配置的仓库中。
当你使用 Docker 时,你正在创建和使用镜像、容器、网络、卷、插件和其他对象。本节简要概述了其中一些对象。
镜像是一个只读模板,其中包含创建Docker容器的说明。通常,一个镜像是以另一个镜像为基础,加上一些额外的定制的内容。例如,你可以构建一个基于ubuntu
镜像的镜像,但会安装Apache Web服务器和你的应用程序,以及运行应用程序运行所需的配置详细信息。
你可以创建自己的镜像,也可以只使用其他人创建并在仓库中发布的镜像。要构建你自己的镜像,你需要创建一个Dockerfile,它使用简单的语法定义创建镜像并运行镜像所需的步骤。Dockerfile中的每条指令在镜像中创建一个层。更改Dockerfile并重建镜像时,仅重建那些已更改的层。与其他虚拟化技术相比,这是使镜像如此轻量、小巧和快速的部分原因。
容器是镜像的可运行实例。你可以使用Docker API或CLI创建、启动、停止、移动或删除容器。你可以将容器连接到一个或多个网络,将存储连接到该容器,甚至可以基于其当前状态创建新镜像。
默认情况下,容器与其他容器及其主机相对良好地隔离。你可以控制容器的网络、存储或其他底层子系统与其他容器或主机的隔离程度。
容器由其镜像以及创建或启动时提供给它的任何配置选项所定义。移除容器后,任何未存储在持久化存储中的状态更改都会消失。
以下命令运行一个ubuntu
容器,以交互方式连接到本地命令行会话,并运行/bin/bash
。
docker run -i -t ubuntu /bin/bash
运行此命令时,会发生以下情况(假设你使用默认的仓库配置):
如果在本地没有ubuntu
映像,Docker会从配置的仓库中提取它,就像你手动运行docker pull ubuntu
命令一样。
Docker创建一个新容器,就像你手动运行了docker container create
命令一样。
Docker为容器分配一个读写文件系统,作为它的最后一层。 这允许正在运行的容器在其本地文件系统中创建或修改文件和目录。
Docker创建一个网络接口,将容器连接到默认网络,因为你没有指定任何网络选项。这包括为容器分配IP地址。默认情况下,容器可以使用主机的网络连接连接到外部网络。
Docker启动容器并执行/bin/bash
。由于容器以交互方式运行并连接到终端(由于-i
和-t
标志),因此可以使用键盘提供输入,输出也会记录到终端。
当您输入exit
以终止/bin/bash
命令时,容器会停止但不会被删除。你可以重新启动或删除它。
Docker是用Go编程语言编写的,并利用Linux内核的几个特性来提供其功能。Docker使用一种名为命名空间(namespaces
)的技术来提供称为容器的隔离工作区。当你运行容器时,Docker会为该容器创建一组命名空间。
这些命名空间提供了一层隔离。容器的各个层面都在单独的命名空间中运行,并且其访问权限仅限于相应的命名空间。