docker的基本概述简介

docker是什么

Docker本质上是一个采用虚拟化技术的容器，基于Linux容器进行再封装，使用户不用关心容器的管理，而简化应用操作。从2013开始有这个项目到现在也不过5年时间，但是发展应用却极其迅速，主要原因就是应用简单方便，传统的虚拟化是基于硬件实现的，如果要部署10个应用，则需要创建10个虚拟机，而Docker是基于操作系统做的虚拟化，也就是复用本地主机的操作系统，部署运营10个应用时只需要起10个隔离的应用即可。

docker和虚拟机的区别

虚拟机与容器区别

启动时间：Docker秒级启动，虚拟机分钟级启动。

轻量级：docker镜像大小通常以M为单位，虚拟机以G为单位。容器资源占用小，要比虚拟机部署更快速。

性能：docker共享宿主机内核，系统级虚拟化，占用资源少，没有Hypervisor层开销，性能基本接近物理机; 虚拟机需要Hypervisor层支持，虚拟化一些设备，具有完整的GuestOS，虚拟化开销大，因而降低性能，没有容器性能好。

安全性：由于共享宿主机内核，只是进程级隔离，因此隔离性和稳定性不如虚拟机，docker具有一定权限访问宿主机内核，存在一定安全隐患。

使用要求：VM基于硬件的完全虚拟化，需要硬件CPU虚拟化技术支持; docker共享宿主机内核，可运行在主流的Linux发行版，不用考虑CPU是否支持虚拟化技术。

原理

Docker核心解决的问题是利用LXC来实现类似VM的功能，从而利用更加节省的硬件资源提供给用户更多的计算资源。同VM的方式不同, LXC 其并不是一套硬件虚拟化方法 - 无法归属到全虚拟化、部分虚拟化和半虚拟化中的任意一个，而是一个操作系统级虚拟化方法, 理解起来可能并不像VM那样直观。所以我们从虚拟化到docker要解决的问题出发，看看他是怎么满足用户虚拟化需求的。

用户需要考虑虚拟化方法，尤其是硬件虚拟化方法，需要借助其解决的主要是以下4个问题:

隔离性 - 每个用户实例之间相互隔离, 互不影响。 硬件虚拟化方法给出的方法是VM, LXC给出的方法是container，更细一点是kernel namespace

可配额/可度量 - 每个用户实例可以按需提供其计算资源，所使用的资源可以被计量。硬件虚拟化方法因为虚拟了CPU, memory可以方便实现, LXC则主要是利用cgroups来控制资源

移动性 - 用户的实例可以很方便地复制、移动和重建。硬件虚拟化方法提供snapshot和image来实现，docker(主要)利用AUFS实现

安全性 - 这个话题比较大，这里强调是host主机的角度尽量保护container。硬件虚拟化的方法因为虚拟化的水平比较高，用户进程都是在KVM等虚拟机容器中翻译运行的, 然而对于LXC, 用户的进程是lxc-start进程的子进程, 只是在Kernel的namespace中隔离的, 因此需要一些kernel的patch来保证用户的运行环境不会受到来自host主机的恶意入侵, dotcloud(主要是)利用kernel grsec patch解决的.、

基本组成

1、Docker client 客户端

2、Docker Daemon 守护进程

Docker是C/S架构的程序，Docker的客户端向守护进程发起请求，守护进程处理完成后返回结果。

Docker客户端既可以在本底访问守护进程，也可以远程访问守护进程。

3、Docker Image 镜像

镜像是容器的基石，容器基于镜像启动，镜像就像是容器的源代码，保存了用于容器启动的各种条件。

镜像是一个层叠的只读文件系统，结构如下

bootfs 引导文件系统，很像传统的Linux引导文件系统

rootfs root文件系统，可以是一种或多种操作系统，如Ubuntu或centos，root文件系统永远只能是只读状态

union mount 联合加载技术，一次加载多个只读文件系统到rootfs系统之上。在外围看到的只是一个文件系统，联合加载使各层文件系统叠加到一起，使最终的文件系统包含所有底层文件系统和目录，这样的文件系统就是镜像
一个镜像可以放到另一个镜像的顶部，位于下边的镜像叫做父镜像，依次类推，最底部的镜像叫做基础镜像，指的是rootfs

4、Docker Container 容器

通过镜像启动：容器是docker的执行单元。

启动和执行：镜像如果是构建和打包阶段，则容器是启动和执行阶段

容器启动过程：启动时在镜像的最顶层加一个可写的文件系统，即可写层。Docker中运行的程序就是在这个层中执行的。docker第一次启动一个容器时，可写层是空的，当文件系统发生变化，都会应用到这一层。如果想修改一个文件，该文件首先会从可读写层下边的只读层复制到该读写层，该文件的只读版本依然存在，但是已经被读写层中的该文件副本所隐藏。这个是docker的重要机制，写时复制（copy on write）

当创建一个新容器时，docker构建出一个镜像栈，在栈的最顶层添加可写层，这个读写层加上下边的镜像层及配置数据就构成了一个容器。如下图

5、Docker Registry 仓库

存放用户构建的镜像，仓库分为公有和私有，共有是指Docker hub。

优缺点

优点：

 1.更快速的交付于部署：快速创建容器，快速迭代应用，秒级启动，全程可视化

 2.更高效的虚拟化：内核级虚拟化，不需要额外的hypervisor 

 3.更轻松的迁移和扩展：可以在任意的平台上运行，应用程序可以直接跨平台迁移

 4.更简单的管理：以增量式进行修改和发布，实现自动化管理

缺点：

1.Docker是基于Linux 64bit的，无法在32bit的linux/Windows/unix环境下使用

2.LXC是基于cgroup等linux kernel功能的，因此container的guest系统只能是linux base的

3.隔离性相比KVM之类的虚拟化方案还是有些欠缺，所有container公用一部分的运行库

4.网络管理相对简单，主要是基于namespace隔离

5.cgroup的cpu和cpuset提供的cpu功能相比KVM的等虚拟化方案相比难以度量(所以dotcloud主要是按内存收费)

6.Docker对disk的管理比较有限

7.container随着用户进程的停止而销毁，container中的log等用户数据不便收集