一、Docker概述
Docker是基于Go语言实现的云开源项目,诞生于2013年初,目前主流的Linux操作系统已支持Docker,如Redhat RHEL6.5/CentOS6.5、Ubuntu 14.04以上的操作系统,docker的主要目标为:“Build、Ship and Run Any App,Anywhere”,即通过对应用组件的封装(Packaging)、分发(Distribution)、部署(Deployment)、运行(Runtime)等生命周期的管理,达到应用组件级别的“一次封装,到处运行”。
Docker引擎的基础是Linux容器技术(LXC)。最早的容器技术可以追溯到1982年Unix系列操作系统的chroot工具(目前主流Linux操作系统仍然支持),相关介绍可以看这篇博文:http://www.ibm.com/developerworks/cn/linux/l-cn-chroot/,在了解了chroot的大概之后,我们来看具体的LXC的内核实现。首先,Linux内核提供了基于namespace的六种隔离的系统调用,如下表:
| Namespace | 系统调用参数 | 隔离内容 |
| UTS | CLONE_NEWUTS | 主机名与域名 |
| IPC | CLONE_NEWIPC | 信号量、消息队列、共享内存 |
| PID | CLONE_NEWPID | 进程编号 |
| Network | CLONE_NEWNET | 网络设备、网络栈、端口等等 |
| Mount | CLONE_NEWNS | 挂载点(文件系统) |
| User | CLONE_NEWUSER | 用户和用户组 |
这样,通过上面的基于namespace的六种资源隔离, 就实现了一个轻量级虚拟化容器服务。详细介绍参考这篇博客,写的很深入:http://www.infoq.com/cn/articles/docker-kernel-knowledge-namespace-resource-isolation?utm_source=tuicool 。
其次,运用namespace,LXC通过系统调用构建了一个相对隔离的shell环境,这时可以看成一个简单的“容器”,那么如何管理相关的资源呢,这里引入了cgroups的概念:cgroups是Linux内核提供的一种机制,这种机制可以根据特定的行为,把一系列系统任务及其子任务整合(或分隔)到按资源划分等级的不同组内,从而为系统资源管理提供一个统一的框架。通俗的来说,cgroups可以限制、记录、隔离进程组所使用的物理资源(包括:CPU、memory、IO等),为容器实现虚拟化提供了基本保证,是构建Docker等一系列虚拟化管理工具的基石。详细参考这篇博客:http://www.infoq.com/cn/articles/docker-kernel-knowledge-cgroups-resource-isolation/。
以上两篇博客,有时间的话还要结合linux内核架构相关书籍进行研读。
Docker与VM比较,如下表: (摘自《Docker技术入门与实践》)
这里说明一下:Docker由于是基于LXC技术的,接近原生OS,所以它的运行自身几乎不产生额外的开销,而VM在运行OS时,VM自身会产生一定的开销。
我们也可以把思维发散一下,docker不仅仅可以和VM对比,它其实也可以胜任rpm的部分功能、openstack的部分功能、saltstack的部分功能,与它们做对比可能会更好的理解docker。
二、Docker的C/S模式
docker是C/S的应用,如下图:
Remote API使用RESTFUL API的风格,与程序语言交互。
docker client与Server之间有多种连接方式:
1.unix:///var/run/docker.sock (通过Unix套接字)
2.tcp://host:port (通过tcp方式)
3.fd://sockfd (通过文件描述符方式)
如果docker client希望通过远程访问docker daemon,需要加启动参数 -H
centos中,启动配置文件在 /etc/sysconfig/docker
----->关于docker守护进程的配置和操作:
启动daemon服务:service docker start 相当于 systemctl start docker 相当于 systemctl start docker.service
三、常用命令
目前接触docker较少,后面遇到会陆续往里面添加:
docker部署:
centos7环境下:
yum install -y docker
systemctl start docker
docker pull centos 获取镜像
docker search 搜索镜像
docker常用命令:
docker images 查看docker镜像
docker save centos > /opt/centos.tar.gz 导出一个镜像
docker load < /opt/centos.tar.gz 导入一个镜像
每个镜像都有一个唯一的image-id
docker rmi [唯一的image-id] 删除一个docker镜像
docker run --help 查看帮助
docker创建并启动一个容器:
docker run -d centos /bin/echo "hello webber" centos为镜像的名称;-d选项 以后台方式运行容器
docker ps -a 查看所有容器的运行状态
docker start [容器id] 启动在ps -a中的一个停止的容器
docker run --name mydocker -t -i centos /bin/bash -t分配一个终端,-i让容器的标准IO保持打开
docker attach [容器id] 进入容器中(不推荐)
nsenter -t [容器中进程pid] -u -i -n -p 也可以进入容器中(推荐方式) (没有的话 yum install util-linux)
注意:容器注重单进程的理念,我们应该尽量把每个进程分别封装在不同的容器中,这样才能体现出隔离的优势。
docker inspect [容器id] 查看Docker的底层信息
例如获取容器中进程的pid:
docker inspect --format "{{.State.Pid}}" [容器id]
docker rm [容器id] 删除一个容器 加 -f选项 可以删除一个正在运行的容器
docker run --rm centos /bin/echo "hello" 当容器停止后自动删除容器,测试时常用
docker kill $(docker ps -a -q) 杀死所有正在运行的容器
docker网络相关:
docker run -P 随机端口映射
docker run -p hostPort:containPort
eg: docker run -d -p 81:80 nginx 把容器内部的80端口映射到宿主机上的81端口上。
docker存储相关:
1.挂载数据卷 -v src:dst
docker run -it -v /opt:/opt centos 物理机的/opt目录下的文件映射到容器的/opt目录中。
2.数据卷容器 --volumes-from
docker run -d --name nfs -v /data centos
docker run -it --name test1 --volumes-from nfs centos nfs 把物理机和容器做了映射,之后,当我们创建了多个容器之后,多个容器可以同时去test1容器中去取数据,达到数据共享的目的。