Docker Engine v18.09.1 新版本特性解读，全新功能先睹为快（二）

出品丨Docker公司（ID：docker-cn）

编译丨小东

每周一、三、五晚6点10分  与您不见不散！

说在前面

Docker Engine v18.09.1 提供了许多新功能、改进和 Bug 修复。接下来，让我们来继续看看在升级到 Docker 18.09.1 版本时值得注意的主要功能。点击下列标题，回顾前文：

• Docker Engine v18.09.1 新版本特性解读，全新功能先睹为快（一）；

&

BuildKit 0.3.3 脱离了实验模式

可以正式使用

BuildKit 是 Moby 下的一个新项目，用于使用容器进行构建和打包软件。它是一个工具包，用于将源代码转换为以一种高效、有表现力和可重复的方式构建工件。Docker 18.09.0 是第一个支持 buildkit 工具包的版本。使用这个最新版本，您现在可以在不启用实验模式的情况下运行 Buildkit 工具包。现在也可以在 daemon.json 中使用选项来配置 Buildkit 工具包。

“docker build”是一个 Docker 的集成工具，用于使用 Dockerfile 文件构建镜像。它需要 Docker 守护进程持续运行。它类似于“docker run”命令，但出于安全原因故意删除了一些功能，例如，没有卷功能（docker run –v 和 docker run -mount）和没有特权模式（docker run -privileged）。Buildkit 旨在成为“docker build”命令和github.com/docker/docker/builder包的下一代后端实现。这并不意味着会对 Dockerfile 文件格式做出任何更改，因为 buildkit 在构建后端和前端之间绘制了边界。Dockerfile 文件将是前端实现之一。当使用 Docker CLI 调用 buildkit 时，它能够将客户端上下文目录作为源进行公开，并将 Docker 容器作为工作节点使用。快照将由 Docker 的层存储（containerD快照驱动程序）支持，构建的最终结果将导出到 docker 镜像。

BuildKit 为我们解决了哪些问题？

如果您正在查看 Dockerfile，我们将逐个读取 Dockerfile 文件中从头至尾的的所有命令。修改其中一行总是会使后续行的缓存无效。例如：假设第N行始终依赖于第（N-1）行：

FROM debian

EXPOSE 80

RUN apt update && apt install git

如上所示，修改第二行（EXPOSE 80）始终会为因为错误的依赖关系而使 apt 缓存失效。用户需要为有效的缓存仔细安排指令，这就带来了低效缓存问题。

不仅如此，私有资产不可访问也是旧版 Dockerfile 文件的另一个主要问题。没有安全的途径从构建容器访问私有资产（例如，Git Repos 和 S3）。因此，使用“COPY”手动复制证书可能会意外泄漏证书。Buildkit 通过使用称为 LLB 的 DAG-style 低级语言来解决上述问题。

BuildKit 改进的主要方面是性能、存储管理和可扩展性。从性能方面来看，一个重要的更新是全新的、完全并发的构建图解决程序。它可以在可能的情况下并行运行构建步骤，并优化对最终结果没有影响的命令。我们还优化了对本地源文件的访问。通过仅跟踪重复构建、调用之间对这些文件所做的更新，无需等待本地文件在工作开始之前被读取或上传。

让我们来比较 docker build 和 Buildkit，看看 Buildkit 如何以比传统方法更快的构建 Docker镜像。

$ git clone https://github.com/ajeetraina/hellowhale

Cloning into 'hellowhale'...

remote: Enumerating objects: 28, done.

remote: Total 28 (delta 0), reused 0 (delta 0), pack-reused 28

Unpacking objects: 100% (28/28), done.

~$ cd hellowhale/

~$ ls

Dockerfile  README.md  html  wrapper.sh

:~/hellowhale$ time docker build -t ajeetraina/hellowhale .

Sending build context to Docker daemon  153.1kB

Step 1/4 : FROM nginx:latest

latest: Pulling from library/nginx

6ae821421a7d: Pull complete

da4474e5966c: Pull complete

eb2aec2b9c9f: Pull complete

Digest: sha256:dd2d0ac3fff2f007d99e033b64854be0941e19a2ad51f174d9240dda20d9f534

Status: Downloaded newer image for nginx:latest

 ---> f09fe80eb0e7

Step 2/4 : COPY wrapper.sh /

 ---> 10d671c6cf08

Step 3/4 : COPY html /usr/share/nginx/html

 ---> 3e8a09f56168

Step 4/4 : CMD ["./wrapper.sh"]

 ---> Running in b1f24992f9e5

Removing intermediate container b1f24992f9e5

 ---> 9dae85ca0867

Successfully built 9dae85ca0867

Successfully tagged ajeetraina/hellowhale:latest

real    0m6.359s

user    0m0.035s

sys     0m0.022s

让我们用 buildkit 来构建它：

 time docker build -t ajeetraina/hellowhale .

[+] Building 1.7s (9/9) FINISHED                                                                                                                                                

 => [internal] load build definition from Dockerfile                                                                                                                        0.1s

 => => transferring dockerfile: 135B                                                                                                                                        0.0s

 => [internal] load .dockerignore                                                                                                                                           0.0s

 => => transferring context: 2B                                                                                                                                             0.0s

 => [internal] load metadata for docker.io/library/nginx:latest                                                                                                             0.0s

 => [internal] helper image for file operations                                                                                                                             0.4s

 => => resolve docker.io/docker/dockerfile-copy:v0.1.9@sha256:e8f159d3f00786604b93c675ee2783f8dc194bb565e61ca5788f6a6e9d304061                                              0.7s

 => => sha256:e8f159d3f00786604b93c675ee2783f8dc194bb565e61ca5788f6a6e9d304061 2.03kB / 2.03kB                                                                              0.0s

 => => sha256:a546a4352bcaa6512f885d24fef3d9819e70551b98535ed1995e4b567ac6d05b 736B / 736B                                                                                  0.0s

 => => sha256:494e63343c3f0d392e7af8d718979262baec9496a23e97ad110d62b9c90d6182 766B / 766B                                                                                  0.0s

 => => sha256:df3b4bed1f63b36992540a09e0d10bd3f9d0b082d50810313841d745d7cce368 898.21kB / 898.21kB                                                                          0.2s

 => => sha256:f7b6696c3fee7264ec4486cebe146a6a98aa8d1e46747843107ff473aada8d56 861.00kB / 861.00kB                                                                          0.2s

 => => extracting sha256:df3b4bed1f63b36992540a09e0d10bd3f9d0b082d50810313841d745d7cce368                                                                                   0.1s

 => => extracting sha256:f7b6696c3fee7264ec4486cebe146a6a98aa8d1e46747843107ff473aada8d56                                                                                   0.1s

 => [1/3] FROM docker.io/library/nginx:latest                                                                                                                               0.0s

 => => resolve docker.io/library/nginx:latest                                                                                                                               0.0s

 => [internal] load build context                                                                                                                                           0.0s

 => => transferring context: 34.39kB                                                                                                                                        0.0s

 => [2/3] COPY wrapper.sh /                                                                                                                                                 0.2s

 => [3/3] COPY html /usr/share/nginx/html                                                                                                                                   0.2s

 => exporting to image                                                                                                                                                      0.1s

 => => exporting layers                                                                                                                                                     0.0s

 => => writing image sha256:db60ac4c90d7412b8c9f9382711f0d97a9ad9d4a33c05200aa36dc4c935c8cb3                                                                                0.0s

 => => naming to docker.io/ajeetraina/hellowhale                                                                                                                            0.0s

real    0m1.732s

user    0m0.042s

sys     0m0.019s

~/hellowhale$

与传统 docker 构建方法所花费的 0m6.359秒 相比，Buildkit 只花费了 0m1.732秒。

我将在接下来的文章中详细讨论这些增强。

支持在 Kubernetes 上使用 Compose

在 Kubernetes 上使用 Compose 意味着您可以将 Docker Compose 文件部署到 Kubernetes 集群上。Compose on Kubernetes可以安装在 Docker Desktop 和 Docker Enterprise 上。在 Docker Desktop 上，您需要在设置中激活 Kubernetes 才能在 Kubernetes 上使用 Compose。

点击下列文章标题，查看 Compose on Kubernetes 更多内容：

• Kubernetes 实战教学，手把手教您如何在 K8s 平台上使用 Compose（一）；

• Kubernetes 实战教学，手把手教您如何在 K8s 平台上使用 Compose（二）；

• Kubernetes 实战教学，手把手教您用2个脚本在  PWK 上启用 Compose；

使用“docker info”命令可以公开产品信息

在 Docker v18.09.1 下，现在可以验证它属于企业版还是社区版产品，如下图所示：

首次在 Windows 10 上实现进程隔离

在 Windows Server 上已经可以使用进程隔离容器，但现在它们第一次可以在普通的 Windows 10 笔记本上使用。Windows 10-1809 （“2018年10月更新”）+ Docker 引擎18.09.1 +来自 Dockerhub 的 Windows 1809 基础镜像是第一个允许您在 Windows 10 上运行“真正的”Windows 容器的组合，无需 Hyper-v  虚拟化。

需要安装 Docker Desktop Edge 2.0.1.0 或更高版本。请记住，Docker Engine 的版本应为18.09.1或更高版本。您必须从 Dockerhub 中选择与主机 Windows 版本的内核相匹配的 Windows 基础镜像。

让我们通过添加参数“--isolation = process”在进程隔离模式下运行测试容器：

docker run --isolation=process mcr.microsoft.com/windows/nanoserver:1809 cmd.exe /c ping 127.0.0.

如果您使用的是 Windows 10 Build 1706 版本并尝试运行以下命令，那么它将无法正常工作。需要至少 1809 版本才能顺利运行。

支持使用 SSH 进行远程连接

Docker Engine v18.09为 Docker 客户端提供了通过 SSH 与远程守护进程通信的可能性。Docker客户端通常通过 unix socket /var/run/docker.sock 在本地与守护进程通信，或通过tcp套接字通过网络进行通信。使用 Docker 18.09.1，您现在可以 SSH 到远程 Docker 主机并完美执行 docker CLI。

客户端和引擎之间的这种新连接方法允许简单的、共享的 SSH 配置，这种配置比以前的自定义 CA /证书解决方案通过 docker cli 更常见，更容易管理。通过设置“env var DOCKER_HOST = ssh：// hostname”可以轻松完成或直接在 docker 命令上使用 -H 参数，如：

docker -H ssh://hostname info

$ docker -H ssh://ajeetraina@10.94.26.28 run -ti ubuntu echo “hello”

Unable to find image 'ubuntu:latest' locally

latest: Pulling from library/ubuntu

6cf436f81810: Pull complete

987088a85b96: Pull complete

b4624b3efe06: Pull complete

d42beb8ded59: Pull complete

Digest: sha256:7a47ccc3bbe8a451b500d2b53104868b46d60ee8f5

请注意，您可能需要配置基于 SSH 密钥的登录并运行 SSH 代理，因此只需要输入一次密码。特别是在云平台上，需要 SSH 密码才能让这个命令工作，因为它不允许 SSH 直接从一个云实例到另一个云实例。

我将在未来介绍关于  SSH 进行远程连接的更多详情。

结  语

希望这篇文章对您有用，如有任何疑问，可以随时给我们留言。

点击下列标题，阅读更多干货

• Docker Desktop Enterprise“版本包”功能详解

• Kubernetes 实战教学，手把手教您用2个脚本在  PWK 上启用 Compose

• Docker 紧急安全更新，多重保障让您的应用更加安全！

• Kubernetes 实战教学，手把手教您如何在 K8s 平台上使用 Compose（二）

如果本文对你有帮助，欢迎分享到朋友圈！获取更多Docker实用技巧，扫描下图二维码！