Docker基本概念、linux

一 认识容器

Docker是全球领先的软件容器平台，因此要搞懂Docker的概念，首先需要从容器入手。

1.1 容器是什么？

容器是将软件打包成标准化的单元，便于项目开发、交付和部署。

• 轻量：容器的运行环境镜像是轻量、可独立执行的软件包，其中包含软件运行的所有内容，包括运行环境、系统库、系统工具、设置参数和代码；
• 稳定：容器化的软件适用于Linux和Window系统的应用，且在任何环境下都能够稳定地运行；
• 独立：容器赋予软件独立性，使其免受外部环境差异的影响，例如系统开机预演环境改变，从而有助于减少项目在团队间交付的冲突。
  容器是一个存放东西的地方，像书包可以装各种文具、衣柜可以方衣服。我们使用容器存放的东西更偏向于应用，例如前端页面、后端数据库甚至是系统环境。
  

1.2 对比容器和虚拟机

简单来说，虚拟机就像在物理机上建多套房，例如可以在一台服务器上运行多个虚拟机。而容器是每套房独立的小隔间，这些小隔间共享套房的水电、WIFI等资源。

1.2.1 虚拟化的差异

• 传统虚拟机是虚拟出一套硬件，在上面运行一个完整的操作系统，在该系统上运行所需的应用进程。因此，启动时间较慢，硬盘使用较多。
• 容器虚拟化的是操作系统，而不是硬件，因此更容易高效率地迁移。
  

1.2.2 资源利用总结

两者都具有各自的优势，无所谓谁取代谁。可以在服务器上运行多个虚拟机，在虚拟机上运行容器，因此两者可以和谐共存。

• 虚拟机将一台服务器变成多台，是物理硬件层抽象。每个VM包含一整套操作系统，多个应用以及必要的库资源和文件，因此占用大量空间，启动也十分缓慢。
• 容器将代码和依赖的资源打包，是应用层的抽象。多个容器在同一个机器上运行，共享操作系统内核，但各自独立的进程在用户空间运行。因此，相比于虚拟机，占用空间较少，能瞬间启动。

二 Docker基本概念

2.1 Docker是什么？

• 来源：Docker由Google公司的Go语言开发，给予Linux内核的CGroup和Namespace实现。
• 原理：对进程进行封装隔离，属于操作系统层面的虚拟化技术。由于隔离的进程独立于宿主机和其他进程，因此也成为了容器。
• 用途：Docker能够自动执行重复性的任务，例如搭建和配置开发系统，解放了开发人员的配置成本，把更多精力专注于更重要的软件开发上。
• 作用：便于创建和使用容器，存放自己的应用到容器内。容器还可以进行版本管理、复制、分享、修改，就像管理代码一样。

2.2 Docker 的思想与核心

• 思想：集装箱（容器）、标准化（运输方式，存储方式，API接口）、隔离
• 核心：镜像、容器、仓库

2.3 Docker容器的特点

• 轻量：在一台宿主机上可以运行多个Docker容器共享操作系统内核，这些容器迅速启动，只需少量的算力和内存资源。镜像通过文件系统层构建，属于静态文件，只需少量磁盘内存，且镜像文件容易被下载。
• 标准：Docker容器给予开放式标准，能够在主流的Linux版本、Windows以及VM、裸机和云服务器设备上使用。
• 安全：Docker容器的应用不仅彼此隔离，还独立于底层的基础设施。Docker默认提供最强的隔离，因此当应用出现问题，也只是当个容器的问题，不会涉及整台机器。

2.4 为什么使用Docker？

基于Docker 的特点，其容易应用于项目开发、交付和部署，优点如下：

• 一致的运行环境：Docker提供了除内核外的完整运行环境，确保应用运行环境一致性；
• 快速启动：容器应用可以做到毫秒级的启动时间，节省了开发、测试和部署的时间；
• 隔离：避免了公共主机资源会被其他用户使用的影响；
• 快速扩展：Docker善于处理集中爆发的服务器使用压力；
• 迁移方便：可以很轻易迁移Docker容器的应用到另外一个平台上，而不用担心运行环境差异带来的影响；
• 持续交付和部署：可以自定制应用镜像来实现持续集成、交付和部署。

三 Docker的核心

理解Docker的整个生命周期需了解三个基本概念

• 镜像（Image）
• 容器（Container）
• 仓库（Repository）
  

3.1 镜像（Image）：特殊的文件系统

• 挂载文件：操作系统分为内核和用户空间。对于Linux，当启动内核时，会挂在root文件夹下的固定文件提供用户空间支持。而镜像，就相当于一个root文件系统。
• 配置文件：除了容器运行时所需的程序代码、库、资源和配置文件外，还包括了运行时准备的一些配置参数（如匿名卷、环境变量、用户）。镜像不包含任何动态数据，其内容在构建之后不会被改变。
• 分布式存储架构：镜像构建时，前一层时后一层的基础，构建完不再改变。分布式存储是的镜像复用、定制变得容易。甚至还可以用之前构建好的镜像作为基础层，再往上添加新的层，定制自己所需的内容。

3.2 容器（Container）：镜像运行时的实体

• 实质上是进程：与直接在宿主机执行的进程不同，容器进程运行于属于自己独立的命名空间，其使用了类似于镜像的分布式存储。
• 生命周期：容器存储层的生命周期和容器一样，容器消亡时，存储层也会随着消亡。
• 数据卷：为增加使用效率，容器不应该向其存储层写入任何数据，要保持无状态化。写入的文件应该使用数据集（volume）、或者绑定宿主目录，其直接跳过容器存储层进行读写，性能和稳定性更高。数据卷的生命周期独立于容器，使用数据卷后，容器可以随意删除，重新run，数据也不会丢失。

3.3 仓库（Repository）：集中存放镜像文件

• 集中存储分发：为了方便其他服务器使用构造的镜像，需要一个集中的存储、分发镜像的服务，Docker Registry就是这样的服务。一个 Docker Registry 中可以包含多个仓库（Repository）；每个仓库可以包含多个标签（Tag）；每个标签对应一个镜像。镜像仓库是 Docker 用来集中存放镜像文件的地方类似于我们之前常用的代码仓库。
• Docker Registry 公开服务：是开放给用户使用、允许用户管理镜像的 Registry 服务。一般这类公开服务允许用户免费上传、下载公开的镜像，并可能提供收费服务供用户管理私有镜像。
• 官方镜像：最常使用的 Registry 公开服务是官方的 Docker Hub ，这也是默认的 Registry，并拥有大量的高质量的官方镜像，网址为：https://hub.docker.com/.
• 私有Registry：用户还可以在本地搭建私有Registry，Docker 官方提供了 Docker Registry 镜像，可以直接使用做为私有 Registry 服务。

四 常见Docker命令

4.1 基本命令

• [ ]
• [ ]

docker version # 查看docker版本 
docker images # 查看所有已下载镜像，等价于：docker image ls 命令 
docker container ls #	查看所有容器 
docker ps #查看正在运行的容器
docker image prune # 清理临时的、没有被使用的镜像文件。-a, --all:删除所有没有用的镜像，而不仅仅是临时文件；

4.2 拉取镜像

docker search mysql # 查看mysql相关镜像
docker pull mysql:5.7 # 拉取mysql镜像
docker image ls # 查看所有已下载镜像

4.3 删除镜像

docker image rm [镜像名] #删除某一个镜像
docker ps #确保这个镜像没有被容器引用（可以通过标签名称或者镜像 ID删除）
docker stop mysql #暂停mysql容器

五 构建、运输和运行

Docker 运行过程也就是去仓库把镜像拉到本地，然后用一条命令把镜像运行起来变成容器。它就像工人搬运码头的货物一样，主要涉及的字样有 Build、Ship、and Run

• Build（构建镜像）： 镜像就像是集装箱包括文件以及运行环境等等资源。
• Ship（运输镜像）：主机和仓库间运输，这里的仓库就像是超级码头一样。
• Run （运行镜像）：运行的镜像就是一个容器，容器就是运行程序的地方。

六 Docker底层原理

6.1 虚拟化技术

• Docker 容器虚拟化技术为基础的软件，它是一种资源管理技术。
• 将计算机的各种实体资源（CPU、内存、磁盘空间、网络适配器等），予以抽象、转换后呈现出来并可供分割、组合为一个或多个电脑配置环境。
• 这些资源的新虚拟部分是不受现有资源的架设方式，地域或物理配置所限制，使用户可以比原本的配置更好的方式来应用。

6.2 LXC虚拟容器技术

LXC 技术主要是借助 Linux 内核中提供的 CGroup 功能和 namespace 来实现的，通过 LXC 可以为软件提供一个独立的操作系统运行环境。

• CGroup： 是 Control Groups 的缩写，是 Linux 内核提供的一种可以限制、记录、隔离进程组 (process groups) 所使用的物力资源 (如 cpu memory i/o 等等) 的机制。
• namespace 是 Linux 内核用来隔离内核资源的方式。 通过 namespace 可以让一些进程只能看到与自己相关的一部分资源，而另外一些进程也只能看到与它们自己相关的资源，这两拨进程根本就感觉不到对方的存在。Linux namespaces 是对全局系统资源的一种封装隔离，使得处于不同 namespace 的进程拥有独立的全局系统资源，改变一个 namespace 中的系统资源只会影响当前 namespace 里的进程，对其他 namespace 中的进程没有影响。
• 对比：两者都是将进程进行分组，但是两者的作用还是有本质区别。namespace 是为了隔离进程组之间的资源，而 cgroup 是为了对一组进程进行统一的资源监控和限制。