一文了解Docker基本概念

一、何为Docker

Docker 是一个用于开发、交付和运行应用程序的开放平台，Docker 使您能够将应用程序与基础环境分开，以便您可以快速交付软件。借用百度百科的话来说，Docker 是一个开源的应用容器引擎，让开发者可以打包他们的应用以及依赖包到一个可移植的容器中,然后发布到任何流行的Linux或Windows操作系统的机器上,也可以实现虚拟化,容器是完全使用沙箱机制,相互之间不会有任何接口。

对于开发者来说，开发人员可以利用docker开发和运行应用程序

对于运维人员来说，docker可以部署和管理应用程序。

Docker和容器的关系就类似与VMware和虚拟机的关系，Docker类似于VMware，容器类似于虚拟机。

二、为什么用Docker

有人会问，既然Docker以及容器分别与VMware和虚拟机类似，那么为什么还会用到Docker，他们之间有什么差别？

1、通过上图可以发现，每个虚拟机下，都要安装一个操作系统，而容器是不需要的，它只需要软件工作所需的库资源和设置，他是直接运行在操作系统上面，一个操作系统之上可以有多个容器运行，容器不仅比虚拟机更轻量，更快速，还起到了与虚拟机差不多的功能，并且保证了在任何环境中的软件能够始终如一的运行。

2、借助Docker，你可以像管理应用程序一样管理基础架构

3、借助Docker可以实现程序的快速部署和分发，以及降低配置开发环境、生产环境复杂程度和成本。

4、更高效的利用系统资源 由于容器不需要进行硬件虚拟以及运行完整操作系统等额外开销，Docker 对系统资源的利用 率更高。无论是应用执行速度、内存损耗或者文件存储速度，都要比传统虚拟机技术更高效。因此，相比虚拟机技术，一个相同配置的主机，往往可以运行更多数量的应用。

5、更快速的启动时间 传统的虚拟机技术启动应用服务往往需要数分钟，而 Docker 容器应用，由于直接运行于宿主 内核，无需启动完整的操作系统，因此可以做到秒级、甚至毫秒级的启动时间。大大的节约了开发、测试、部署的时间。

三、Docker架构

Docker是一个客户端-服务端（CS）应用程序

服务端：一个长时间运行的守护进程（Docker Daemon），Docker Daemon侦听 Docker API 请求并管理 Docker 对象，例如镜像、容器、网络和卷。

注：不过现在越来越多的功能早已从daemon中拆解出来并被模块化，感兴趣的小伙伴可以去多多了解。

客户端：命令行接口CLI，Docker 用户与 Docker 交互的主要方式。

通信：Docker 客户端和守护进程使用 REST API、UNIX 套接字或网络接口进行通信

四、Docker对象

镜像：对于 Linux 而言，内核启动后，会挂载 root 文件系统为其提供用户空间支持。而 Docker 镜像（Image），就相当于是一个 root 文件系统。比如官方镜像 ubuntu:16.04 就包含

了完整的一套 Ubuntu 16.04 最小系统的 root 文件 系统。Docker镜像（Image）是一个只读模板,一个Docker的可执行文件，镜像可以用来创建Docker容器，一个镜像可以创建很多容

器。镜像在构建之后其内容不可改变。

Docker镜像由一层层layer组成，我们称之为镜像层，最后一层也是最上面的一层我们称之为容器层

镜像构建时，会一层层构建，前一层是后一层的基础。每一层构建完就不会再发生改变，后一层上的任何改变只发生在自己这一层。比如，删除前一层文件的操作，实际不是真的删

除前一层的文件，而是仅在当前层标记为该文件已删除。在最终容器运行的时候，虽然不会看到这个文件，但是实际上该文件会一直跟随镜像。

每一层都对应这DockerFile中的一条指令，通常最后一层为CMD层或者ENTRYPOINT层，这一层是R/W的，即容器层。

Docker镜像采用这种分层机构最大的一个好处就是共享资源。

比如：有多个镜像都从相同的base镜像构建而来，那么宿主机只需在磁盘上保存一份base镜像，同时内存中也只需要加载一份base镜像，就可以为所有容器服务了。而且镜像的每一

层都可以被共享。

容器：Docker利用容器（Container）独立运行的一个或一组应用。容器是镜像创建的运行实例。

它可以被启动、开始、停止、删除。每个容器都是相互隔离的、保证安全的平台。

可以把容器看作是一个简易版的Linux环境（包括root权限、进程空间、用户空间和网络空间等）和运行在其中的应用程序。

容器的定义和镜像几乎一模一样，也是一堆层的统一视角，唯一区别在于容器的最上面那一层可读可写。

每一个容器运行时，是以镜像为基础层， 在其上创建一个当前容器的存储层，我们可以称这个为容器运行时读写而准备的存储层为容 器存储层。 容器存储层的生存周期和容器一

样，容器消亡时，容器存储层也随之消亡。因此，任何保存 于容器存储层的信息都会随容器删除而丢失。

网络：外部或者容器间访问的网络方式，如host模式，bridge模式

数据卷：容器与宿主机之间、容器与容器之间共享存储方式，类似于虚拟机与主机之间的共享文件目录。

Docker仓库

仓库（Repository）是集中存放镜像文件的场所。

仓库分为私有仓库和公有仓库两种形式

DockerHub类似与github，不过前者是存放镜像，后者是存放代码

五、Docker底层使用的技术

1、Docker使用go语言来实现的

2、Docker利用Linux内核的几个特性来实现功能

2.1、利用linux的命名空间（NameSpaces）为Docker容器提供系统层面的隔离

• 进程号隔离：每一个容器内运行的第一个进程，进程号总是从1开始；
• 网络隔离：容器内的网络与宿主机或其他容器的网络是隔离的，分开的；
• 进程隔离：容器中的进程与宿主机或其他容器中的进程是相互隔离的，通信需要借助网络；
• 文件系统挂载隔离：容器拥有自己单独的工作目录；
• 内核以及系统版本号隔离：容器查看内核版本号或系统版本号时，查看的是容器的，而非宿主机的。

2.2、利用linux控制组（Control Groups）为Docker提供硬件层面的隔离

• 控制组能控制应用程序所使用的硬件资源；
• 基于该性质，控制组帮助docker引擎将硬件资源共享给容器使用，并且加以约束和限制。如控制容器所使用的内存大小；
• 控制组提供了很多有用的特性；以及确保各个容器可以公平地分享主机的内存、CPU、磁盘 IO 等 资源；
• 控制组确保了当容器内的资源使用产生压力时不会连累主机系统。

2.3、利用Linux的联合文件系统（Union File Systems）利用分层（layer）思想管理镜像和容器

• 这也意味着Docker只能在Linux上运行之所以能够在windows和Mac上运行Docker，其实本质上是借助了虚拟化技术

2.4容器格式

• 最初，Docker 采用了 LXC 中的容器格式。从 0.7 版本以后开始去除 LXC，转而使用自行开发的 libcontainer，从 1.11 开始，则进一步演进为使用 runC 和 containerd。