容器与docker

AD缺点儿钙

已于 2023-05-05 17:03:07 修改

阅读量514

点赞数

文章标签： linux docker 运维

于 2023-05-05 16:41:06 首次发布

本文链接：https://blog.csdn.net/weixin_53587212/article/details/130509730

版权

容器是一种沙盒技术，通过名称空间、控制组和切根实现进程隔离。Docker是应用容器引擎，让开发者可以打包应用及其依赖到容器中，实现轻量级、高效的虚拟化。与虚拟机相比，容器占用资源少、启动快。Docker应用场景包括自动化部署、测试、服务环境部署及PaaS搭建。

摘要由CSDN通过智能技术生成

容器与docker

一、容器的定义：

容器是一种沙盒技术，主要目的是为了将应用运行在其中，与外界隔离；及方便这个沙盒可以被转移到其它宿主机器。本质上，它是一个特殊的进程。通过名称空间（Namespace）、控制组（Control groups）、切根（chroot）技术把资源、文件、设备、状态和配置划分到一个独立的空间。
通俗点的理解就是一个装应用软件的箱子，箱子里面有软件运行所需的依赖库和配置。开发人员可以把这个箱子搬到任何机器上，且不影响里面软件的运行。

二、容器的原理：

为了实现容器进程对外界的隔离，容器底层主要运用了名称空间（Namespaces）、控制组（Control groups）和切根（chroot）。

名称空间（Namespace）

每个运行的容器都有自己的名称空间。改变了进程的视觉范围。这是Linux操作系统默认提供的API，包括：

·PID Namespace：不同容器就是通过pid名字空间隔离开的，不同名字空间中可以有相同的pid。

·Mount Namespace：mount允许不同名称空间的进程看到的文件结构不同，因此不同名称空间中的进程所看到的文件目录就被隔离了。另外，每个名称空间中的容器在/proc/mounts的信息只包含当前名称的挂载点。

·IPC Namespace：容器中进程交互还是采用Linux常见的进程交互方法（interprocess communication -IPC），包括信号量、消息队列和共享内存等。

·Network Namespace：网络隔离是通过Net实现，每个Net有独立的网络设备，IP地址，路由表，/proc/net目录。这样每个容器的网络就能隔离开来。

·UTS Namespace：UTS（UNIX Time-sharing System）允许每个容器拥有独立的hostname和domain name，使其在网络上可以被视作一个独立的节点而非主机上的一个进程。

·User Namespace：每个容器可以有不同的用户和组id，也就是说可以在容器内用容器内部的用户执行程序而非主机上的用户。

控制组（Control groups）：
Cgroups是Linux内核提供的

一种可以限制、记录、隔离进程组的物理资源机制。因为Namespace技术只能改变进程的视觉范围，不能真实地对资源做出限制。所以就必须采用Cgroup技术对容器进行资源限制，防止某个容器把宿主机资源全部用完导致其它容器也宕掉。在Linux的/sys/fs/cgroup目录中，有cpu、memory、devices、net_cls等子目录，可以根据需要修改相应的配置文件来设置某个进程ID对物理资源的最大使用率。

切根（change to root）：
切根的意思就是改变一个程序运行时参考的根目录位置，让不同容器在不同的虚拟根目录下工作，从而相互不直接影响。

三、虚拟机与容器：

虚拟机通常包括整个操作系统和应用程序，里面运行的是一个真实的操作系统。本质上，虚拟机是Hypervisor虚拟化出来的硬件上安装不同的操作系统，而容器是宿主机上运行的不同进程。从用户体验上来看，虚拟机是重量级的，占用物理资源多，启动时间长。容器则占用物理资源少，启动迅速。相对地，虚拟机隔离的更彻底，容器则要差一些。

四、docker：

1、docker定义
Docker 是一个开源的应用容器引擎，基于 Go 语言并遵从 Apache2.0 协议开源。
Docker 可以让开发者打包他们的应用以及依赖包到一个轻量级、可移植的容器中，然后发布到任何流行的 Linux 机器上，也可以实现虚拟化。
容器是完全使用沙箱机制，相互之间不会有任何接口（类似 iPhone 的 app）,更重要的是容器性能开销极低。

Docker 官网：https://www.docker.com
Github Docker 源码：https://github.com/docker/docker-ce

2、docker的应用场景

Web 应用的自动化打包和发布。
自动化测试和持续集成、发布。
在服务型环境中部署和调整数据库或其他的后台应用。
从头编译或者扩展现有的 OpenShift 或 Cloud Foundry 平台来搭建自己的 PaaS 环境。

3、docker的三个基本的架构
镜像（Image）：Docker 镜像（Image），就相当于是一个 root 文件系统。比如官方镜像 ubuntu:16.04 就包含了完整的一套 Ubuntu16.04 最小系统的 root 文件系统。
**容器（Container）：**镜像（Image）和容器（Container）的关系，就像是面向对象程序设计中的类和实例一样，镜像是静态的定义，容器是镜像运行时的实体。容器可以被创建、启动、停止、删除、暂停等。
**仓库（Repository）：**仓库可看成一个代码控制中心，用来保存镜像。
镜像与容器
docker的生命周期中，镜像和容器是最重要的两部分。其中镜像是文件，是一个只读的模板，一个独立的文件系统，里面包含运行容器所需的数据，可以用来创建新的容器；而容器是基于镜像创建的进程，容器中的进程依赖于镜像中的文件，容器具有写的功能，可以根据需要改写里面的软件、配置等，并可以保存为新的镜像。如果是用import方法生成，则是一个完全新的镜像。如果用的是commit方法生成的新的镜像，则新镜像与原来的镜像之间存在着继承关系。
Docker 使用客户端-服务器 (C/S) 架构模式，使用远程API来管理和创建Docker容器。
Docker 容器通过 Docker 镜像来创建。