原文发表在 Pilehub http://pilehub.rg/t/docker/23
英文原文: Understanding Docker
Docker 是啥
Docker 是一个程序运行,测试,交付的开放平台,Docker 被设计为能够使你快速的交付应用,在Docker中你可以将你的程序分为不同的基础部分,对于每一个基础部分都可以当作一个应用程序来管理。Dokcer能够帮助你快速地测试,快速地交付,并且缩短你从编码到运行应用的周期。
Docker 使用轻量级的容器虚拟化平台,并且结合工作流和工具,来帮助你管理,部署你的应用程序。
在其核心,Docker实现了让几乎任何程序都可以在一个安全,隔离的容器中运行。安全和隔离可以使你同时在机器上运行多个容器。
容器轻量级的特性,意味着你可以得到更多的硬件性能。
围绕着容器的虚拟化工具和平台,可以在以下几个方面为你提供帮助,
- 帮你把应用程序(包括其余的支持组件)放入到Docker容器中。
- 分发和转移你的容器至你的 团队其他成员来进行进一步的开发和测试。
- 部署这些应用程序至你的生产环境,不论是本地的数据中心还是云平台。
我可以用Docker 做啥
快速交付你的应用程序
Docker 可以为你的开发过程提供完美的帮助。Docker 允许开发者在本地包含了应用程序和服务的容器进行开发,之后可以继承到连续的一体化和部署工作流中。
举个例子,开发者们在本地编写代码并且使用Docker和同事分享其开发栈。当开发者准备好了之后,他们可以将代码和开发栈推送到测试环境中,在该测试环境进行一切所需要的测试。从测试环境中,你可以将Docker镜像推送到服务器上进行部署。
开发和拓展更加简单
Docker的已容器为继承的平台允许高度可移植的工作。Docker容器可以在开发者机器上运行,也可以在实体或者虚拟机上运行,也可以在云平台上运行。
Docker的可移植,轻量级特性同样让动态地管理负载更加简单,你可以用Docker快速地增加应用规模或者关闭应用程序和服务。Docker的快速以为着变动几乎是实时的。
达到高密度和更多负载
Docker轻巧快速,它提供了一个可行的,符合成本效益的替代基于虚拟机管理程序的虚拟机。这在高密度的环境下尤其有用。例如,构建你自己的云平台或者PaaS,在中小的部署环境下同样可以获取更多的资源性能
Docker的主要组成有哪些
Docker有两个主要的部件:
- Docker:开源的容器虚拟化平台
- Docker Hub:用于分享,管理Docker容器的Docker SaaS平台。
Docker的架构是怎样的
Docker使用客户端-服务器(client-server)架构模式。Docker客户端会与Docker守护进程进行通信。Docker守护进程会处理复杂繁重的任务,例如建立,运行,发布Docker容器。Docker客户端和守护进程可以运行在同一个系统上,当然你也可以使用Docker客户端去连接一个远程的Docker守护进程。Docker 客户端和守护进程之间通过socket或者RESTful API 进行通信。
Docker守护进程
如上图所示,Docker守护进程运行在一台主机上。用户并不直接和守护进程进行交互,而是通过Docker客户端间接和其通信。
Docker客户端
Docker 客户端,实际上是docker 的二进制程序,是主要的用户与Docker交互方式,它接收用户指令并且与背后的Docker 守护进程通信,如此来回往复。
Docker的内部
要理解Docker的内部构建,必须知道以下三种部件:
- Docker镜像(Docker images)。
- Docker仓库(Docker registeries)
- Docker容器(Docker containers)
Docker镜像
Docker镜像是一个只读的模板,举个例子,一个镜像可以包含一个运行在Apache 上的Web应用和其使用的Ubuntu操作系统。
镜像是用来创建容器的。Docker提供了简单的方法来建立新的镜像或者升级现有的镜像,你也可以下载别人创建好的镜像。Docker镜像是Docker的构造部分
Docker 仓库
Docker仓库是用来保存镜像。可以理解为代码控制种的代码仓库。同样的Docker仓库也有公有和私有的概念,公有的Docker仓库名字是Docker Hub。Docker Hub提供了庞大的镜像集合供使用。这些惊吓可以是你自己创建的,或者你也可以在被人的镜像基础上创建。Docker仓库是Docker的分发部分
Docker容器
Docker容器和文件夹类似,一个Docker容器包含了所有的某个应用运行所需要的环境。每一个Docker容器都是从Docker镜像创建的。Docker容器可以运行,开始,停止,移动和删除。每一个Docker容器都是独立和安全的应用平台。Docker容器是Docker的运行部分。
Docker 的工作原理
到目前为止,我们学习到了:
- 我们可以建立一个容纳应用程序的容器。
- 我们可以从Docker镜像创建Docker容器来运行我们的应用程序。
- 我们可以通过Docker Hub或者我们自己的Docker仓库分享Docker 镜像。
Docker镜像是如何工作的
我们已经看到了,Docker镜像是Docker 容器运行时的只读模板。每一个镜像由一系列的层(layers)组成。Docker使用UnionFS来将这些层联合到一二景象中。Union文件系统允许独立文件系统种的文件和文件夹(称之为分支)被透明覆盖,形成一个单独连贯的文件系统。
这一段的原文:We've already seen that Docker images are read-only templates from which Docker containers are launched. Each image consists of a series of layers. Docker makes use of union file systems to combine these layers into a single image. Union file systems allow files and directories of separate file systems, known as branches, to be transparently overlaid, forming a single coherent file system.
正因为有了这些层的存在,Docker时如此的轻量。当你改变了一个Docker镜像,比如升级到某个程序到新的版本,一个新的层会被创建,因此,不用替换整个原先的镜像后者重新建立(在使用虚拟机的时候你可以能会这么做),知识一个新的层被添加或者升级了。现在你不用重新发布整个镜像,只需要升级。层使得分发Docker 镜像变得简单和快速。
每个镜像都是从一个基础的镜像开始的, 比如ubuntu,一个基础的Ubuntu镜像,或者时fedora,一个基础的Fedora镜像。你可以使用你自己的镜像作为新镜像的基础,例如你有一个基础的安装了Apache 的镜像,你可以使用该镜像来建立你的Web应用程序镜像。
注:Docker通常从Docker Hub获取基础镜像。
Docker 镜像从这些基础的镜像创建,通过一种简单,具有描述行的步骤,我们称之为指令,(instructions)。每一个指令会在创建镜像中创建一个新的层,指令可以包含这些动作:
- 运行一个命令
- 增加文件或者文件夹
- 创建一个环境变量
- 当运行容器的时候哪些程序会运行
这些指令存储在Dockerfile 文件中,当你需要建立镜像的时候,Docker可以从Dockerfile 中读取这些指令并且运行,然后返回一个最终镜像
Docker仓库是如何工作的
Docker仓库是Docker镜像的存储仓库。你可以推送你的镜像到你的Docker仓库中。
通过Docker客户端,你可以从Docker仓库中搜索镜像。
Docker容器是如何工作
一个Docker容器包含了一个操作系统,用户添加的文件和元数据(meta-data)。我们可以看到,每个容器都是从镜像建立的。镜像告诉Docker容器内包含了什么,当容器启动时运行什么程序,还有许多配置数据。Docker镜像时只读的。当Dcoker运行一个从镜像建立的容器,它会在镜像顶部添加一个可读写的层,应用程序可以在这里运行。
当你运行Docker时发生了什么
不论你使用docker命令或者时RESTful API,Docker客户端都会告诉Docker守护进程运行一个容器。
$ sudo docker run -i -t ubuntu /bin/bash
让我们来分析这个命令。Docker客户都安使用docker客户端要运行一个容器需要告诉Docker守护进程的最小参数信息时:
- 这个容器从哪个镜像创建,这是时ubuntu,基础的Ubuntu镜像。
- 在容器中要运行的命令,这里是/bin/bash,在容器中运行Bash shell。
那么运行这个命令之后底层发生了什么?
按照顺序,Docker做了这些事情:
- 拉取ubuntu镜像:Doker检查ubuntu镜像是否存在,如果在本地没有该镜像,Docker会从Docker Hub 下载。如果镜像已经存在,Docker会使用它来创建性能的容器。
- 创建新的容器:当Docker有了这个镜像之后,Docker会用它来创建一个新的容器。
- 分配文件系统并且挂载一个可读写的层:容器会在这个文件系统中创建,并且一个可读写的层被添加到镜像中。
- 分配网络/桥接接口:创建一个允许容器与本地主机通信的网络连接口。
- 设置一个IP地址:从池中寻找一个可用的IP地址并且附加到容器上。
- 运行你的指定程序:运行指定的程序。
- 捕获并且提供应用输出:连接并且记录标准输出,输入和错误让你可以看到你的程序是如何运行的。
你现在拥有了一个运行着的容器!从这里开始你可以管理你的容器,与应用交互,应用完成之后,可以停止或者删除你的容器。
底层技术
Docker使用Go语言编写,并且使用了一些列linux 内核提供的性能来实现我们已经看到的这些功能。
命名空间(Nnamespaces)
Docker充分利用了一项称为namespaces的技术来提供隔离的工作空间,我们称之为container(容器)。当你运行一个容器的时候,Dokcer为该容器创建了一个命名空间集合。
这样提供了一个隔离层。每一个应用在它们自己的命名空间中运行而且不会访问到命名空间之外。
一些Docker使用到的命名空间有:
- pid命名空间:使用在进程隔离(PID:Preocess ID)。
- net命名空间:使用在管理网络接口(NET:Networking)。
- ipc命名空间:使用在管理进程间通信资源(IPC:InterProcessCommunication)。
- mnt命名空间:使用在管理挂载点(MNT:Mount)。
- uts命名空间:使用在隔离内核和版本知识(UTS:Unix TIME sharing System)。
群组控制
Docker还使用了到了cgroups技术管理群组。使应用隔离运行的关键是让它们只使用你想要的资源。这样可以确保在机器上运行的容器都是良民(good multi-tenant citizens)。群组控制允许Docker分享或者限制容器使用硬件资源。例如,限制指定的容器的内容使用。
联合文件系统
联合文件系统(UnionFS)是用来操作创建层的,使它们轻巧快速。Docker使用UnionFS提供容器的构造快。Docker可以使用很多种类的UnionFS包括AUFS,btrfs,vfs,adn DeviceMapper。
容器格式
Docker连接这些组建到一个包装中,称为一个container format(容器格式)。默认的容器格式是libcontainer。Docker同样支持传统linux容器使用LXC。在未来,Docker也许会支持其他的容器格式,例如与BSD jails 或Solaris Zone 集成。