一、什么是Docker?
Docker 是一个开源的应用容器引擎,让开发者可以打包他们的应用以及依赖包到一个可移植的容器中,然后发布到任何流行的Linux机器上,也可以实现虚拟化,容器是完全使用沙箱机制,相互之间不会有任何接口。
- 一个完整的Docker有以下几个部分组成:
(1)dockerClient客户端
(2)Docker Daemon守护进程
(3)Docker Image镜像
(4)DockerContainer容器
从下面的图中我们可以看到docker容器技术和kvm虚拟化的区别:
cloud 时代采用标配硬件来降低成本,采用虚拟化手段来满足用户按需使用的需求以及保证可用性和隔离性。相对于Docker来说KVM比较浪费资源,因为用户需要的是高效运行环境而非OS, GuestOS既浪费资源又难于管理, 更加轻量级的LXC 更加灵活和快速 (Linux Container,是一种内核虚拟化技术,可以提供轻量级的虚拟化,以便隔离进程和资源,而且不需要提供指令解释机制以及全虚拟化的其他复杂性,LXC在 linux 2.6 的 kernel 里就已经存在了,但是其设计之初并非为云计算考虑的,缺少标准化的描述手段和容器的可迁移性,决定其构建出的环境难于迁移和标准化管理,因为LXC轻量级的特点,其启动快,而且docker能够只加载每个container变化的部分,这样资源占用小,能够在单机环境下与KVM之类的虚拟化方案相比能够更加快速和占用更少资源)
面对上述几个问题,docker设想是交付运行环境如同海运,OS如同一个货轮,每一个在OS基础上的软件都如同一个集装箱,用户可以通过标准化手段自由组装运行环境,同时集装箱的内容可以由用户自定义,也可以由专业人员制造。这样,交付一个软件,就是一系列标准化组件的集合的交付,如同乐高积木,用户只需要选择合适的积木组合,并且在最顶端署上自己的名字(最后一个标准化组件是用户的app)。这也就是基于docker的PaaS产品的原型。
二、Docker 架构
1.Docker 使用客户端-服务器 (C/S) 架构模式,使用远程API来管理和创建Docker容器。Docker 容器通过 Docker 镜像来创建。容器与镜像的关系类似于面向对象编程中的对象与类。
| Docker | 面向对象 |
|---|---|
| 容器 | 对象 |
| 镜像 | 类 |
2. Docker采用 C/S架构 Docker daemon 作为服务端接受来自客户的请求,并处理这些请求(创建、运行、分发容器)。 客户端和服务端既可以运行在一个机器上,也可通过 socket 或者RESTful API 来进行通信。
3. Docker daemon 一般在宿主主机后台运行,等待接收来自客户端的消息。 Docker 客户端则为用户提供一系列可执行命令,用户用这些命令实现跟 Docker daemon 交互。
三、Docker的原理
Docker核心解决的问题是利用LXC来实现类似VM的功能,从而利用更加节省的硬件资源提供给用户更多的计算资源。同VM的方式不同,LXC其并不是一套硬件虚拟化方法 - 无法归属到全虚拟化、部分虚拟化和半虚拟化中的任意一个,而是一个操作系统级虚拟化方法, 理解起来可能并不像VM那样直观。所以我们从虚拟化到docker要解决的问题出发,看看他是怎么满足用户虚拟化需求的。
用户需要考虑虚拟化方法,尤其是硬件虚拟化方法需要借助其解决的主要是以下4个问题:
(1)隔离性 - 每个用户实例之间相互隔离, 互不影响。
- 硬件虚拟化方法给出的方法是VM;
- LXC给出的方法是container,更细一点是kernel namespace
(2)可配额/可度量 - 每个用户实例可以按需提供其计算资源,所使用的资源可以被计量。
- 硬件虚拟化方法因为虚拟了CPU, memory可以方便实现,;
- LXC则主要是利用cgroups来控制资源
(3)移动性 - 用户的实例可以很方便地复制、移动和重建。
- 硬件虚拟化方法提供snapshot和image来实现;
- docker(主要)利用AUFS实现
(4)安全性 - 这里强调是host主机的角度尽量保护container。
- 硬件虚拟化的方法因为虚拟化的水平比较高,用户进程都是在KVM等虚拟机容器中翻译运行的;
- 对于LXC, 用户的进程是lxc-start进程的子进程, 只是在Kernel的namespace中隔离的, 因此需要一些kernel的patch来保证用户的运行环境不会受到来自host主机的恶意入侵, dotcloud(主要是)利用kernel grsec patch解决的
- 补充: Linux Namespace
LXC所实现的隔离性主要是来自kernel的namespace, 其中pid, net, ipc, mnt, uts 等namespace将container的进程, 网络, 消息, 文件系统和hostname 隔离开。
四、Docker的局限性
Docker并不是全能的,设计之初也不是KVM之类虚拟化手段的替代品,简单总结几点:
1)Docker是基于Linux 64bit的,无法在32bit的linux/Windows/unix环境下使用
2)LXC是基于cgroup等linux kernel功能的,因此container的guest系统只能是linux base的
3)隔离性相比KVM之类的虚拟化方案还是有些欠缺,所有container公用一部分的运行库
4)网络管理相对简单,主要是基于namespace隔离
5)cgroup的cpu和cpuset提供的cpu功能相比KVM的等虚拟化方案相比难以度量(所以dotcloud主要是按内存收费)
6)Docker对disk的管理比较有限
7)container随着用户进程的停止而销毁,container中的log等用户数据不便收集
- Docker并非适合所有应用场景,Docker只能虚拟基于Linux的服务,目前为止Windows服务还不能被虚拟化。可能最大的障碍在于管理实例之间的交互。由于所有应用组件被拆分到不同的容器中,所有的服务器需要以一致的方式彼此通信。这意味着任何人如果选择复杂的基础设施,那么必须掌握应用编程接口管理以及集群工具,比如Swarm、Mesos或者Kubernets以确保机器按照预期运转并支持故障切换。
- Docker在本质上是一个附加系统,每个组件被添加到之前已经创建的组件之上,分层架构带来另一方面的效率提升,当你重建存在变化的Docker镜像时,不需要重建整个Docker镜像,只需要重建变化的部分。
五、Docker安装的内核要求
Ubuntu 或其它 Linux 操作系统也能玩 Docker
CentOS 具体要求如下:
- 必须是 64 位操作系统
- 建议内核在 3.8 以上
- docker运行在centos7上,要求系统为64位,Linux内核版本为3.10以上
- docker运行在centos6.5或更高的版本上,要求系统为64位,系统内核版本为2.6.32-431或更高版本
750
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
