云原生拓：Docker基础与实践

Docker基础与实践

背景

容器技术的兴起源于 PaaS 技术的普及。在以往的 PaaS 项目中，用户会把应用的可执行文件和启动脚本打进一个压缩包内，然后大规模部署应用到集群里。用户需要为每种语言、每种框架、每个版本的应用维护一个打好的包，并且要做很多修改和配置工作才能在 PaaS 里运行起来。

而 Docker 镜像功能解决了打包这个根本性问题。所谓 Docker 镜像（不是Docker容器），其实就是一个压缩包。

这种打包机制直接打包了应用运行所需要的整个操作系统，所需要的所有依赖，从而保证了本地环境和云端环境的高度一致，避免了用户通过“试错”来匹配两种不同运行环境之间差异的痛苦过程。

基本概念

Docker容器是什么

容器其实是一种沙盒技术。顾名思义，沙盒就是能够像一个集装箱一样，把你的应用“装”起来的技术。这样，应用自己运行在一个独立空间中；应用与应用之间，就因为有了边界而不至于相互干扰；而被装进集装箱的应用，也可以被方便地搬来搬去。

Docker 容器的本质是一种特殊的进程。这个进程是应用所有进程的父进程。容器技术通过环境隔离和资源限制，从而为进程创造出一个沙盒。 Namespace 技术用来实现环境隔离，Cgroups 技术用来实现资源限制， rootfs 机制（也经常被称为容器镜像）为进程提供了文件系统。

形象地说，我们可以把创造沙盒比作造房子，把进程作为生活在屋子里的人。Cgroups 规定了这个房子的面积，这个人能使用多少资源（CPU、内存、网络带宽等）。Namespace 建造了这个房子的四周墙壁和屋顶，把人与外界环境隔离开来。rootfs 机制建造了这个房子的地下室， 存放着生活必需用品（应用所需文件，应用运行所需要的依赖和整个操作系统）。

Docker容器与Docker镜像的区别

Docker容器是进程，Docker镜像是压缩包。
Docker容器通过Docker镜像来创建。
Docker镜像是Docker生命周期的构建和打包阶段。
Docker容器是Docker生命周期的启动和执行阶段。

Namespace

Linux提供了六种 namespace，用于不同环境的隔离，分别是：PID， Mount，UTS，IPC，Network，User。

Namespace 实际上是一种“障眼法”。
Mount Namespace，用于让被隔离进程只看到当前 Namespace 里的挂载点信息；Network Namespace，用于让被隔离进程看到当前 Namespace 里的网络设备和配置。

Cgroups

虽然进程被隔离了起来，但是它与所有其他的进程之间依然是平等的竞争关系。它自己能使用的资源（CPU，内存）随时会被其他进程（或者其他容器）占用，他自己也可能吃光资源，所以需要进行资源限制。

Linux Cgroups 的全称是 Linux Control Group。它最主要的作用，就是限制一个进程组能够使用的资源上限，包括 CPU、内存、磁盘、网络带宽等等。

rootfs

rootfs 是用来辅助 Mount Namespace 进行文件系统的环境隔离的。rootfs 就是挂载在容器根目录上、用来为容器进程提供隔离后执行环境的文件系统。常见的 rootfs会包含 /bin， /dev, /etc, /home, /lib等等。

因为 Mount Namespace 修改的，是容器进程对文件系统“挂载点”的认知。但是，这也就意味着，只有在“挂载”这个操作发生之后（如果不进行挂载，容器进程看见的文件系统和宿主机是完全一样的），进程的视图才会被改变。所以，Mount Namespace 需要与 rootfs 协同运作才能为进程构建出一个完善的文件系统隔离环境。

为了便于维护和能够复用已有的基础容器镜像，Docker 公司做了个小创新，将 rootfs 变成了增量 rootfs（这样，用户只需要维护相对于基础镜像修改的增量内容），所以一层的地下室变成了多层地下室，每一层都包含着应用所需要的一部分文件。（原来是一个大地下室，如果出问题了，需要维修整个地下室。但是现在把大地下室拆分成了多层小地下室，现在只需要维修特定的一层小地下室就可以了。）在用户制作镜像时，每一步操作，都会生成一个层，也就是一个增量 rootfs。

Docker组成架构

Docker 使用 C/S 架构，Client 通过接口与 Server 进程通信实现容器的构建，运行和发布。client和server可以运行在同一台主机，也可以通过跨主机实现远程通信。
Docker由五个部分组成：Docker Client 客户端、Docker Daemon守护进程、Docker Registry仓库、Docker Container容器和 Docker Iamge镜像。
Docker Client 负责向服务端（Docker Daemon守护进程）发起请求。
Docker Registry 负责存储 Docker镜像。
Docker Daemon 负责 从 Docker Registry 下载 Docker镜像 和 通过 Docker镜像 启动 Docker 容器。

一个 Docker 容器的启动过程（即 Clinet 运行 docker run 命令后）：

• 1.Docker daemon 接收到 Client请求；
• 2.优先查找本地镜像，如果本地没有，Docker daemon 会从远端镜像仓库拉取所需镜像；
• 3.启动 Linux Namespace 配置，设置指定的 Cgroups 参数，挂载 rootfs（容器镜像），切换进程的根目录；
• 4.容器运行

简单实践

1.准备Demo文件
2.编写Dockerfile
3.构建镜像docker build
4.运行容器docker run
5.上传镜像docker push（Harbor镜像仓库）
6.验证镜像docker pull

阅读拓展

《10张图带你深入理解Docker容器和镜像》

Image Definition

镜像（Image）就是一堆只读层（read­only layer）的统一视角。

多个只读层，它们重叠在一起。除了最下面一层，其它层都会有一个指针指向下一层。这些层是Docker内部的实现细节，并且能够在主机（译者注：运行Docker的机器）的文件系统上访问到。统一文件系统（union file system）技术能够将不同的层整合成一个文件系统，为这些层提供了一个统一的视角，这样就隐藏了多层的存在，在用户的角度看来，只存在一个文件系统。

Container Definition

容器（container）的定义和镜像（image）几乎一模一样，也是一堆层的统一视角，唯一区别在于容器的最上面那一层是可读可写的。

要点：容器 = 镜像 + 读写层。并且容器的定义并没有提及是否要运行容器。

Running Container Definition

一个运行态容器（running container）被定义为一个可读写的统一文件系统加上隔离的进程空间和包含其中的进程。

正是文件系统隔离技术使得Docker成为了一个前途无量的技术。一个容器中的进程可能会对文件进行修改、删除、创建，这些改变都将作用于可读写层（read­write layer）。

Image Layer Definition

为了将零星的数据整合起来，我们提出了镜像层（image layer）这个概念。一个层并不仅仅包含文件系统的改变，它还能包含了其他重要信息。

元数据（metadata）就是关于这个层的额外信息，它不仅能够让Docker获取运行和构建时的信息，还包括父层的层次信息。需要注意，只读层和读写层都包含元数据。

除此之外，每一层都包括了一个指向父层的指针。如果一个层没有这个指针，说明它处于最底层。

一个容器的元数据好像是被分成了很多文件，但或多或少能够在/var/lib/docker/containers/目录下找到，就是一个可读层的id。这个目录下的文件大多是运行时的数据，比如说网络，日志等等。

全局理解（Tying It All Together）

现在，让我们结合上面提到的实现细节来理解Docker的命令。

docker create

• input：Image(Read-Only File System)
• output：Container(RW File System)

docker create 命令为指定的镜像（image）添加了一个可读写层，构成了一个新的容器。注意，这个容器并没有运行。

docker start

• input：Container
• output：Running Container

Docker start命令为容器文件系统创建了一个进程隔离空间。注意，每一个容器只能够有一个进程隔离空间。

docker run

• input：Image
• outtput：Running Container

看到这个命令，读者通常会有一个疑问：docker start 和 docker run命令有什么区别。

docker run 命令先是利用镜像创建了一个容器，然后运行这个容器。这个命令非常的方便，并且隐藏了两个命令的细节，但从另一方面来看，这容易让用户产生误解。docker run就是docker create和docker start两个命令的组合。

docker ps

• input：host system
• output：Running Containers

docker ps 命令会列出所有运行中的容器。这隐藏了非运行态容器的存在，如果想要找出这些容器，我们需要使用下面这个命令。

docker ps -a

• input：host system
• output：Containers + Running Containers

docker ps –a命令会列出所有的容器，不管是运行的，还是停止的。

docker images

• input：host system
• output：top-level Images

docker images命令会列出了所有顶层（top­level）镜像。实际上，在这里我们没有办法区分一个镜像和一个只读层，所以我们提出了top­level镜像。只有创建容器时使用的镜像或者是直接pull下来的镜像能被称为顶层（top-level）镜像，并且每一个顶层镜像下面都隐藏了多个镜像层。

docker images -a

docker images –a命令列出了所有的镜像，也可以说是列出了所有的可读层。如果你想要查看某一个image­id下的所有层，可以使用docker history来查看。

docker stop

• input：Running Container
• output：Container

docker stop命令会向运行中的容器发送一个SIGTERM的信号，然后停止所有的进程。

docker kill

• input：Running Container
• output：Container

docker kill 命令向所有运行在容器中的进程发送了一个不友好的SIGKILL信号。

docker pause

• input：Running Container
• output：挂起的Container

docker stop和docker kill命令会发送UNIX的信号给运行中的进程，docker pause命令则不一样，它利用了cgroups的特性将运行中的进程空间暂停。是这种方式的不足之处在于发送一个SIGTSTP信号对于进程来说不够简单易懂，以至于不能够让所有进程暂停。

docker rm

docker rm命令会移除构成容器的可读写层。注意，这个命令只能对非运行态容器执行。

docker rmi

docker rmi 命令会移除构成镜像的一个只读层。你只能够使用docker rmi来移除最顶层（top level layer）（也可以说是镜像），你也可以使用­f参数来强制删除中间的只读层。

docker commit

• input：Container / Running Container
• output：Image

docker commit命令将容器的可读写层转换为一个只读层，这样就把一个容器转换成了不可变的镜像。

docker build

• input：Dockerfile && Image
• output：Image with many more layers added atop

docker build命令非常有趣，它会反复的执行多个命令。

我们从上图可以看到，build命令根据Dockerfile文件中的FROM指令获取到镜像，然后重复地1）run（create和start）、2）修改、3）commit。在循环中的每一步都会生成一个新的层，因此许多新的层会被创建。

docker exec

• input：Running Container
• output：Running Container with exec process

docker exec 命令会在运行中的容器执行一个新进程。

docker save

docker save命令会创建一个镜像的压缩文件，这个文件能够在另外一个主机的Docker上使用。和export命令不同，这个命令为每一个层都保存了它们的元数据。这个命令只能对镜像生效。

docker export

docker export命令创建一个tar文件，并且移除了元数据和不必要的层，将多个层整合成了一个层，只保存了当前统一视角看到的内容（译者注：expoxt后的容器再import到Docker中，通过docker images –tree命令只能看到一个镜像；而save后的镜像则不同，它能够看到这个镜像的历史镜像）。

docker history

docker history命令递归地输出指定镜像的历史镜像。