一、docker对比kvm的优势
1. 启动速度快,容器通常在一秒内可以启动.而VM要很久.;
2. 资源利用率高,一台普通服务器可以跑上千个容器,而跑VM就需要很大的资源了;
3. 性能开销小,VM需要额外的CPU和内存来完成OS的功能,这一部分占据了额外的资源,而容器是在操作系统层面上实现虚拟化,直接复用本地主机的操作系统。
二、docker的优势
1、更快速的交付和部署: Docker 容器很轻很快!容器的启动时间是秒级的,大量地节约开发、测试、部署的时间。
2、更高效的虚拟化: Docker 容器的运行不需要额外的 hypervisor 支持,它是内核级的虚拟化,因此可以实现更高的性能和效率。
3、更轻松的迁移和扩展: Docker 容器几乎可以在任意的平台上运行,包括物理机、虚拟机、公有云、私有云、个人电脑、服务器等。这种兼容性可以让用户把一个应用程序从一个平台直接迁移到另外一个
4、更简单的管理:只需要小小的修改,就可以替代以往大量的更新工作。所有的修改都以增量的方式被分发和更 新,从而实现自动化并且高效的管理
三、docker的体系结构
1、docker使用C/S架构,docker deamon作为server端接收client的请求并处理。
2、Docker daemon一般在宿主主机后台运行,Docker client以系统命令的形式存在,用户用docker命令来跟docker daemon交互
3、docker的内部构建:(1)镜像 docker-images (2)仓库 docker-registeries (3)容器 docker-containers
4、docker-images:Docker 镜像是 Docker 容器运行时的只读模板,镜像可以用来创建Docker容器。。每一个镜像由一系列的层 (layers) 组成。Docker 使用UnionFS(联合文件系统)来将这些层联合到单独的镜像中。UnionFS允许独立文件 系统中的文件和文件夹(称之为分支)被透明覆盖,形成一个单独连贯的文件系统。正因为有了这些层的存在, Docker 是如此的轻量。当你改变了一个 Docker 镜像,比如升级到某个程序到新的版本,一个新的层会被创 建。因此,不用替换整个原先的镜像或者重新建立(在使用虚拟机的时候你可能会这么做),只是一个新的层被 添加或升级了。现在你不用重新发布整个镜像,只需要升级,层使得分发 Docker 镜像变得简单和快速。 每个 docker都有很多层次构成,docker使用 union file systems 将这些不同的层结合到一个image 中去。 例如: centos镜像中安装nginx,就成了nginx镜像”,其实在此时Docker镜像的层级概念就体现出来了。底层一个 centos操作系统镜像,上面叠加一个ngnx层,就完成了一个nginx镜像的构建。层级概念就不难理解,此时我们 一般centos操作系统镜像称为nginx镜像层的父镜像;
5、docker-registeries:Docker 仓库用来保存镜像,可以理解为代码控制中的代码仓库。同样的,Docker 仓库也有公有和私有的概 念。公有的 Docker 仓库名字是 Docker Hub。Docker Hub 提供了庞大的镜像集合供使用。这些镜像可以是自 己创建,或者在别人的镜像基础上创建。 仓库是集中存放镜像文件的场所。有时候会把仓库和仓库注册服务器 (Registry)混为一谈,并不严格区分。实际上,仓库注册服务器上往往存放着多个仓库,每个仓库中又包含了 多个镜像,每个镜像有不同的标签(tag)。
仓库分为公开仓库(Public)和私有仓库(Private)两种形式。 大的公开仓库是 Docker Hub,存放了数量庞 大的镜像供用户下载。国内的公开仓库包括 Docker Pool等,可以提供大陆用户更稳定快速的访问。
当然,用户也可以在本地网络内创建一个私有仓库。 当用户创建了自己的镜像之后就可以使用push命令将它上 传到公有或者私有仓库,这样下次在另外一台机器上使用这个镜像时候,只需要从仓库上pull下来就可以了;
6、docker-containers:Docker 利用容器来运行应用,一个Docker容器包含了所有的某个应用运行所需要的环境。每一个 Docker 容器 都是从 Docker 镜像创建的。Docker 容器可以运行、开始、停止、移动和删除。每一个 Docker 容器都是独立 和安全的应用平台。 容器是从镜像创建的运行实例。它可以被启动、开始、停止、删除。每个容器都是相互隔 离的、保证安全的平台。 可以把容器看做是一个简易版的 Linux 环境(包括root用户权限、进程空间、用户空 间和网络空间等)和运行在其中的应用程序。
四、Docker底层技术
docker底层的 2 个核心技术分别是 Namespaces 和 Control groups Namespaces用来隔离各个容器(命名空间)
1、pid namespace
不同用户的进程就是通过pid namespace 隔离开的,且不同 namespace 中可以有相同pid。所有的LXC进程在docker中的父进程为docker进程,每个lxc进程具有不同的namespace。
2、net namespace
有了pid namespace, 每个 namespace 中的pid能够相互隔离,但是网络端口还是共享 host 的端口。网络隔离是 通过 net namespace 实现的,每个 net namespace 有独立的 network devices, IP addresses, IP routing tables, /proc/net 目录。这样每个 container 的网络就能隔离开来。docker默认采用veth的方式将 container 中的虚拟 网卡同 host 上的一个docker bridge: docker0 连接在一起。
3、ipc namespace
container中进程交互还是采用linux常见的进程间交互方法 (interprocess communication - IPC),包括常见的信号量、消息队列和共享内存。container的进程间交互实际上还是host上具有相同pid namespace中的进程间交互。
4、mnt namespace
类似chroot,将一个进程放到一个特定的目录执行。mnt namespace 允许不同 namespace的进程看到的文件结构不同,这样每个namespace中的进程所看到的文件目录就被隔离开了。在container里头,看到的文件系统,就是一个完整的linux系统,有/etc、/lib等,通过chroot实现。
5、uts namespace
UTS("UNIX Time-sharing System") namespace 允许每个 container 拥有独立的 hostname 和 domain name, 使其在网络上可以被视作一个独立的节点而非 Host上的一个进程。
6、user namespace
每个container可以有不同的user和group id,也就是说可以在container内部用container内部的用户执行程序而非Host上的用户。有了以上6种namespace从进程、网络、IPC、文件系统、UTS和用户角度的隔离,一个 container 就可以对外展现出一个独立计算机的能力,并且不同container从OS层面实现了隔离。然而不同namespace之间资源还是相互竞争的,仍然需要类似ulimit来管理每个 container 所能使用的资源- -cgroup。cgroups(Control groups)实现了对资源的配额和度量
五、docker的安装
1、查看本机是否有安装的docker
rpm -q docker 如果版本过低直接卸载 yum -y remove docker
2、安装yum-utils
yum -y install yum-utils device-mapper-persistent-data lvm2
3、更新源阿里源、腾讯源、清华源都可以
wget -O /etc/yum.repos.d/docker-ce.repo https://download.docker.com/linux/centos/docker-ce.repo
sed -i 's+download.docker.com+mirrors.tuna.tsinghua.edu.cn/docker-ce+' /etc/yum.repos.d/docker-ce.repo
源的配置文件里面 enable默认应该是禁用的将0改为1,gpgcheck=1改为0
4、安装docker最新版本
(1)yum list | grep docker
(2)yum makecache fast
(3)yum -y install docker-ce-20.10.6(直接docker也可以)
(4)systemctl enable docker && systemctl start docker
提示:
如果在docker中很多命令不能用tab键补全,用以下方法就可以!
yum -y install bash-completion
source /usr/share/bash-completion/bash_completion
14万+
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
