十分钟看懂docker_虚拟化


文章目录


一、docker是什么?

十分钟看懂docker_linux_02

wiki介绍


Docker 是一个开放源代码软件,是一个开放平台,用于开发应用、交付(shipping)应用、运行应用。 Docker允许用户将基础设施(Infrastructure)中的应用单独分割出来,形成更小的颗粒(容器),从而提高交付软件的速度。
Docker容器与虚拟机类似,但二者在原理上不同。容器是将操作系统层虚拟化,虚拟机则是虚拟化硬件,因此容器更具有便携性、高效地利用服务器。 容器更多的用于表示 软件的一个标准化单元。由于容器的标准化,因此它可以无视基础设施(Infrastructure)的差异,部署到任何一个地方。另外,Docker也为容器提供更强的业界的隔离兼容。
Docker 利用Linux核心中的资源分离机制,例如cgroups,以及Linux核心名字空间(英语:Linux namespaces)(namespaces),来创建独立的容器(containers)。这可以在单一Linux实体下运作,避免启动一个虚拟机造成的额外负担。Linux核心对名字空间的支持完全隔离了工作环境中应用程序的视野,包括行程树、网络、用户ID与挂载文件系统,而核心的cgroup提供资源隔离,包括CPU、存储器、block I/O与网络。 

翻译翻译:


  • 开源项目
  • 它基于 Google 公司推出的 Go 语言实现
  • 加入了 Linux 基金会,遵从了 Apache 2.0 协议
  • 官网​​https://www.docker.com/​

组成部分


  • 镜像(​​Image​​):Docker 镜像是一个特殊的文件系统,除了提供容器运行时所需的程序、库、资源、配置等文件外,还包含了一些为运行时准备的一些配置参数(如匿名卷、环境变量、用户等)。镜像是静态的,不包含任何动态数据,其内容在构建之后也不会被改变。
  • 容器(​​Container​​​):镜像(​​Image​​​)和容器(​​Container​​​)的关系,就像是面向对象程序设计中的 ​​类​​​ 和 ​​实例​​ 一样,镜像是静态的定义,容器是镜像运行时的实体。容器可以被创建、启动、停止、删除、暂停等。
  • 仓库(​​Repository​​​):仓库(​​Repository​​)类似Git的远程仓库,集中存放镜像文件

十分钟看懂docker_linux_03

二、为什么会出现docker?

十分钟看懂docker_docker-compose_04

Docker与虚拟机的对比

下面的图片比较了 Docker 和传统虚拟化方式的不同之处,可见容器是在操作系统层面上实现虚拟化,直接复用本地主机的操作系统, 而虚拟机传统方式则是在硬件层面实现。

十分钟看懂docker_虚拟化_05

传统的虚拟机首先通过​​Hypervisor​​​层对物理硬件进行虚拟化,然后在虚拟的硬件资源上安装从操作系统​​(guest os)​​​,最后将相关应用运行在从操作系统上。其中​​APP+BINS/LIBS+Guest OS​​为虚拟机

而​​docker​​​不像虚拟机那样利用​​Hypervisor​​​和​​guest os​​​实现资源与环境的隔离,其仅通过一个​​docker​​​ ​​daemon/engine​​来实现资源限制与环境隔离( 终极目标是app的隔离 )(主要利用 linux内核 本身支持的容器方式来实现这一功能),其中​​APP+BINS/LIBS​​​为容器​​(container)​​​。 ​​docker daemon/engine​​​可以简单看成对Linux内核中的​​NameSpace​​​、​​Cgroup​​​、镜像管理文件系统操作的封装。 简单的说,​​docker​​​利用​​namespace​​​实现系统环境的隔离;利用​​Cgroup​​实现资源限制;利用镜像实现根目录环境的隔离。


Cgroup


​Linux CGroup​​​全称​​Linux Control Group​​: 控制组; 是Linux内核的一个功能,用来限制,控制与分离一个进程组群的资源(如CPU、内存、磁盘输入输出等)。

主要功能:


  • 限制资源使用,比如内存使用上限以及文件系统的缓存限制。
  • 优先级控制,CPU利用和磁盘IO吞吐。
  • 一些审计或一些统计,主要目的是为了计费。
  • 挂起进程,恢复执行进程。

cgroups子系统

cpu 子系统,主要限制进程的 cpu 使用率。

cpuacct 子系统,可以统计 cgroups 中的进程的 cpu 使用报告。

cpuset 子系统,可以为 cgroups 中的进程分配单独的 cpu 节点或者内存节点。

memory 子系统,可以限制进程的 memory 使用量。

blkio 子系统,可以限制进程的块设备 io。

devices 子系统,可以控制进程能够访问某些设备。

net_cls 子系统,可以标记 cgroups 中进程的网络数据包,然后可以使用 tc 模块(traffic control)对数据包进行控制。

net_prio — 这个子系统用来设计网络流量的优先级

freezer 子系统,可以挂起或者恢复 cgroups 中的进程。

ns 子系统,可以使不同 cgroups 下面的进程使用不同的 namespace

hugetlb — 这个子系统主要针对于HugeTLB系统进行限制,这是一个大页文件系统。


这个有点像线程与进程的区别其中又有点java虚拟机的有点,一次配置到处运行


进程和线程的主要差别在于它们是不同的操作系统资源管理方式。
进程有独立的地址空间,一个进程崩溃后,在保护模式下不会对其它进程产生影响,
而线程只是一个进程中的不同执行路径。
线程有自己的堆栈和局部变量,但线程之间没有单独的地址空间,一个线程死掉就等于整个进程死掉,
所以多进程的程序要比多线程的程序健壮,但在进程切换时,耗费资源较大,效率要差一些。
但对于一些要求同时进行并且又要共享某些变量的并发操作,只能用线程,不能用进程。


1. 一个程序至少有一个进程,一个进程至少有一个线程。 2. 线程的划分尺度小于进程,使得多线程程序的并发性高。 3. 进程在执行过程中拥有独立的内存单元,而多个线程是共享内存,从而极大地提高了程序的运行效率。 4. 线程在执行过程中与进程还是有区别的。 每个独立的线程有一个程序运行的入口、顺序执行序列和程序的出口。 但是线程不能够独立执行,必须依存在应用程序中,由应用程序提供多个线程执行控制。 5. 从逻辑角度来看,多线程的意义在于一个应用程序中,有多个执行部分可以同时执行。 但操作系统并没有将多个线程看做多个独立的应用,来实现进程的调度和管理以及资源分配。 这就是进程和线程的重要区别。 

它的优点

至于为什么会出现就是它的优点可以满足当前一些需求


  1. 轻量级:Docker 容器主要利用并共享主机内核,它并不是完整的操作系统,因此它更加轻量化。
  2. 灵活:它可以将复杂的应用程序容器化,因此它非常灵活和方便。 可移植:可以在本地构建 Docker
  3. 容器,并把它部署到云服务器或任何地方进行使用。
  4. 相互隔离,方便升级:容器是高度自给自足并相互隔离的容器,这样就可以在不影响其他容器的情况下更换或升级你的 Docker 容器了。
  5. 可扩展:可以在数据中心内增加并自动分发容器副本。 安全:Docker 容器可以很好地约束和隔离应用程序,并且无须用户做任何配置。

它的缺点

当然也有一些缺点

1.内核漏洞


Docker内核攻击对于容器化环境来说可能是致命性的,因为容器与主机共享相同的系统内核,因此单独信任容器内置保护机制是不够的。
容器的隔离性使得某个应用程序的漏洞不会直接影响到其他容器的应用程序,但是漏洞可能会破坏与其他容器所共享的单一的操作系统,进而影响机器上的其他容器。如果漏洞允许代码执行,那么它将在主机操作系统上执行,而不是在容器内执行;如果此漏洞允许任意内存访问,则攻击者可以更改或读取任何其他容器的任何数据。


2.数据分离

在docker容器上,有一些非命名空间的资源:

SELinux
Cgroups
file systems under /sys, /proc/sys,
/proc/sysrq-trigger, /proc/irq, /proc/bus
/dev/mem, /dev/sd* file system
Kernel Modules

如果攻击者可以利用当中的任意一个元素,都将拥有主机系统的操作权限。

3.资源开销


Docker由于宿主机上的所有容器是共享相同的内核和相同的资源,如果对某些资源(CPU、内存、磁盘等)的访问不受限制,那么异常的容器将占用整个宿主机的资源,从而影响其他容器的运行,影响应用程序。


4.套接字问题


容器在默认情况下都安装了docker Unix套接字(/var/run/docker.sock),此套接字,可以关闭、启动或者创建新的镜像。
当你的容器启动并共享套接字的时候,你就给了容器操控宿主机的权限,它将可以启动或终止其它容器,在宿主机拖入或创建镜像,甚至写入到宿主机的文件系统。正确配置和保护,可以使用docker容器实现高级别的安全性,但它的安全性还是低于正确配置的VM。
虽然,Docker容器还不算完美,但是瑕不掩瑜,它使得业务的上云部署更快,资源利用更高。并且云服务商也在不断完善Docker容器技术在云服务平台的应用。


三、实现原理是什么?

综述

Docker 对用户而言是一个简单的 ​​C/S​​​架构,主要也就是 ​​Docker Client​​​是与 ​​Docker Daemon​​建立通信。

用户通过 ​​Docker Client​​​发起容器的管理请求,请求最终发往​​Docker Daemon​​​,​​Docker Daemon​​​ 作为 ​​Docker​​​架构中的主体部分,首先具备服务端的功能,有能力接收 ​​Docker Client​​​发起的请求 ( 这里就有一个​​server​​​ 用于接收);其次具备​​Docker Client​​​ 请求的处理能力(这里需要有个​​Hander​​ 用户处理请求)。

​Docker Daemon​​​内部所 有的任务均由 ​​Engine​​​来完成,且每一项工作都以一个 ​​Job​​ 的形式存在(job可以看作一个执行单位)。

​Docker Daemon​​​ 需要完成的任务很多,因此 ​​Job​​​的种类也很多。若用户需要下载容器镜 像, ​​Docker Daemon​​​则会创建一个名为"​​pull​​​" 的Job ,运行时从 ​​Docker Registry​​​ 中下载镜 像,并通过镜像管理驱动 ​​graphdriver​​​ 将下载的镜像存储在 ​​grap​​​h 中;若用户需要为 ​​Docker​​​ 容器创建网络环境,​​Docker Daemon​​​则会创建一个名 “​​allocate interface​​​” 的Job ,通过网络驱动 ​​networkdriver​​ 分配网络接口的资源……

​libcontainer​​​ 是一套独立的容器管理解决方案,这套解决方案涉及了大量 Linux 内核方面 的特性,如: ​​namespaces​​​ ​​cgroups​​​ 以及 ​​capabilities​​​等。 ​​libcontainer​​​很好地抽象了 ​​Linux​​​的内 核特性,并提供完整、明确的接口给 ​​Docker Daemon​​当用户执行运行容器这个命令之后,一个 Docker 容器就处于运行状态,该容器拥有隔 离的运行环境、独立的网络椅资源以及受限的资源等。

十分钟看懂docker_docker_06

各个模块

​Docker Server Docker​​​ 架构中专门服务于 ​​Docker Client​​​,它的功能是接收并调度分发 ​​Docker Client​​发送的请求。

​Engine​​​, ​​Docker​​​架构中的运行引擎,同时也是​​Docker​​​运行的核心模块。 ​​Engine​​​ 存储着大量的容器信息,同时管理着 ​​Docker​​​大部分 ​​Job​​的执行。

​Job​​​ 可以认为是​​Docker​​​架构中 ​​Engine​​内部最基本的工作执行单元。

​Graph Docker​​ 架构中扮演的角色是容器镜像的保管者。

​Driver Docker​​​架构中的驱动模块。通过 ​​Driver​​​驱动,​​Docker​​​可以实现对 ​​Docker​​ 器运行环境的定制,定制的维度主要有网络环境、存储方式以及容器执行方式。

​libcontainer​​​,​​Docker​​​ 架构中一个使用 ​​Go​​​语言设计实现的库,目的是为了该库可以 不依靠任何依赖,直接访问内核中与容器相关的系统调用。 正是由于 ​​libcontainer​​​ 的存在, ​​Docker​​​可以直接调用​​libcontainer​​​ ,而最终操作容器的​​namespaces​​​ ​​cgroups​​​ ​​apparmor​​ 、网络设备以及防火墙规则等。

​Docker Container​​​ (Docker 容器)是 ​​Docker​​​架构中服务交付的最终体现形式。 ​​Docker​​​,​​DockerDaemon​​​ 的管理, ​​libcontainer​​​的执行,最终创建 ​​Docker​​ 容器。

四、docker 常用命令是什么?

十分钟看懂docker_docker-compose_07

docker安装

wget -O /etc/yum.repos.d/docker-ce.repo https://download.docker.com/linux/centos/docker-ce.repo sudo sed -i 's+download.docker.com+mirrors.cloud.tencent.com/docker-ce+' /etc/yum.repos.d/docker-ce.repo sudo yum makecache fast sudo yum install -y docker-ce 

docker-compose安装

curl -L https://get.daocloud.io/docker/compose/releases/download/1.27.4/docker-compose-`uname -s`-`uname -m` > /usr/local/bin/docker-compose chmod +x /usr/local/bin/docker-compose 

国内镜像配置

vi /etc/docker/daemon.json 

添加以下内容:

{     "registry-mirrors": ["http://hub-mirror.c.163.com"] } 
当然可以从下面的替换 Docker中国官方镜像加速 --registry-mirror=https://registry.docker-cn.com  网易163镜像加速 --registry-mirror=http://hub-mirror.c.163.com  中科大镜像加速 --registry-mirror=https://docker.mirrors.ustc.edu.cn  阿里云镜像加速 --registry-mirror=https://{your_id}.mirror.aliyuncs.com  daocloud镜像加速 --registry-mirror=http://{your_id}.m.daocloud.io 

十分钟看懂docker_linux_08

补充

  • 进入容器
    通常使用第二种方式,​​​docker exec​​后面跟的常见参数如下:

​- d, --detach​​​在容器中后台执行命令; ​​- i, --interactive=true I false​​:打开标准输入接受用户输入命令

  • 查看日志

导出的容器快照文件可以再导入为镜像

​docker logs [容器ID]​


这个命令有以下常用参数 -f : 跟踪日志输出

​--since​​​ :显示某个开始时间的所有日志 ​​-t​​​: 显示时间戳 ​​--tail​​ :仅列出最新N条容器日志

  • 复制文件

从主机复制到容器

​sudo docker cp host_path containerID:container_path​

从容器复制到主机

​sudo docker cp containerID:container_path host_path​


可以在控制台输入完整的命令进行查看帮助说明

[root@localhost ~]# docker --help

Usage: docker [OPTIONS] COMMAND

A self-sufficient runtime for containers

Options:
--config string Location of client config files
(default "/root/.docker")
-c, --context string Name of the context to use to connect
to the daemon (overrides DOCKER_HOST
env var and default context set with
"docker context use")
-D, --debug Enable debug mode
-H, --host list Daemon socket(s) to connect to
-l, --log-level string Set the logging level
("debug"|"info"|"warn"|"error"|"fatal") (default "info")
--tls Use TLS; implied by --tlsverify
--tlscacert string Trust certs signed only by this CA
(default "/root/.docker/ca.pem")
--tlscert string Path to TLS certificate file (default
"/root/.docker/cert.pem")
--tlskey string Path to TLS key file (default
"/root/.docker/key.pem")
--tlsverify Use TLS and verify the remote
-v, --version Print version information and quit

Management Commands:
app* Docker App (Docker Inc., v0.9.1-beta3)
builder Manage builds
buildx* Build with BuildKit (Docker Inc., v0.6.3-docker)
config Manage Docker configs
container Manage containers
context Manage contexts
image Manage images
manifest Manage Docker image manifests and manifest lists
network Manage networks
node Manage Swarm nodes
plugin Manage plugins
scan* Docker Scan (Docker Inc., v0.9.0)
secret Manage Docker secrets
service Manage services
stack Manage Docker stacks
swarm Manage Swarm
system Manage Docker
trust Manage trust on Docker images
volume Manage volumes

Commands:
attach Attach local standard input, output, and error streams to a running container
build Build an image from a Dockerfile
commit Create a new image from a container's changes
cp Copy files/folders between a container and the local filesystem
create Create a new container
diff Inspect changes to files or directories on a container's filesystem
events Get real time events from the server
exec Run a command in a running container
export Export a container's filesystem as a tar archive
history Show the history of an image
images List images
import Import the contents from a tarball to create a filesystem image
info Display system-wide information
inspect Return low-level information on Docker objects
kill Kill one or more running containers
load Load an image from a tar archive or STDIN
login Log in to a Docker registry
logout Log out from a Docker registry
logs Fetch the logs of a container
pause Pause all processes within one or more containers
port List port mappings or a specific mapping for the container
ps List containers
pull Pull an image or a repository from a registry
push Push an image or a repository to a registry
rename Rename a container
restart Restart one or more containers
rm Remove one or more containers
rmi Remove one or more images
run Run a command in a new container
save Save one or more images to a tar archive (streamed to STDOUT by default)
search Search the Docker Hub for images
start Start one or more stopped containers
stats Display a live stream of container(s) resource usage statistics
stop Stop one or more running containers
tag Create a tag TARGET_IMAGE that refers to SOURCE_IMAGE
top Display the running processes of a container
unpause Unpause all processes within one or more containers
update Update configuration of one or more containers
version Show the Docker version information
wait Block until one or more containers stop, then print their exit codes

Run 'docker COMMAND --help' for more information on a command.

To get more help with docker, check out our guides at https://docs.docker.com/go/guides/

十分钟看懂docker_docker-compose_09