Docker - 基础讲义

1 - Docker

• Docker - 官网
• Docker - Hub

官方文档

• https://docs.docker.com/
• https://docs.docker.com/get-started/
• https://docs.docker.com/install/

参考信息

• Docker教程
• Docker中文社区
• DockerOne

2 - Docker简介

2.1 虚拟化技术

硬件级虚拟化（hardware-level-virtualization）

基于Hyper-V运行在硬件之上的虚拟化技术，模拟的是一个完整的操作系统。VMWare, Xen, VirtualBox，亚马逊AWS和阿里云都是用的这种技术。

操作系统级虚拟化（os-level-virtualization）

运行在操作系统之上的，模拟的是运行在操作系统上的多个不同进程，并将其封装在一个密闭的容器里面，也称为容器化技术。

Docker是容器虚拟化中目前最流行的一种实现。

2.2 什么是Docker？

Docker是一个能够把开发的应用程序自动部署到容器的开源引擎。其实是容器化技术的其中一种实现（轻量虚拟化技术），由于省去了操作系统，整个层级更简化，提供了简单易用的跨平台、可移植的容器解决方案。

• 提供一个简单、轻量的建模方式：大多数docker容器只需不到1秒钟即可启动。
• 职责的逻辑分离：开发人员只需关注容器内的应用程序，运维人员只需管理容器，加强开发环境与生产环境的一致性。
• 快速、高效的开发声明周期：缩短代码从开发、测试到部署、上线运行的周期，让应用程序具备可移植性，易于构建。并易于协作。
• 鼓励使用面向服务的架构：推荐单个容器只运行一个应用程序或进程，这样，应用程序或服务都可以表示为一系列内部互联的容器，从而实现分布式部署应用程序，方便扩展和调试。

2.3 Docker主要解决什么问题？

• Docker的核心价值在于，改变传统的软件“交付”和“运行”方式。
• 也就是说重新定义了软件开发、测试、交付和部署的流程，最终交付的是整个应用程序运行环境（OS + 中间件、类库 + 应用程序代码）。
• Docker通过将运行环境和应用程序打包到一起，来解决部署环境依赖问题，真正做到跨平台的分发和使用。
• Docker构造一个“轻量虚拟环境”，作为标准化的运行环境，并且具备妙级创建、删除虚拟环境和动态调整资源的能力。

2.4 Docker的优势

• 更高效的系统资源利用。Docker容器不需要进行硬件虚拟以及运行完整操作系统等额外开销
• 更快速的启动时间。Docker容器应用直接运行于宿主内核，无需启动完整的操作系统。
• 一致的运行环境。Docker镜像提供除内核外完整的运行时环境。
• 更轻松的迁移。执行环境的一致性，迁移应用更加容易，Build once，run anywhere（构建一次，在各平台上运行）。
• 更便利的持续交付和部署。一次创建或配置，任意环境正常运行。
• 更轻松的维护和扩展。Docker的分层存储以及镜像技术，复用、维护和扩展更简单。

单一容器或单一服务器的一组容器不再是关注的重点。

通过云原生应用（Cloud Native Application）和微服务框架（MicroService Framework）把商业逻辑映射为容器集群，为商业成功奠定技术基础才是核心。

2.5 容器vs虚拟机

与传统VM相比，更轻量，启动速度更快，单台硬件上可以同时跑上千个容器，非常适合在业务高峰期通过启动大量容器进行横向扩展。

特性	容器	虚拟机
启动	秒级	分钟级
硬盘使用	一般为MB	一般为GB
性能	接近原生	弱于
系统支持量	单机支持上千个容器	一般几十个

• 管理程序虚拟化（hypervisor virtualization， HV）通过中间层将一台或多台独立的机器虚拟运行与物理硬件之上
• 容器是直接运行在操作系统内核之上的用户空间，可以让多个独立的用户空间运行在同一台宿主机上。

3 - Docker的基础概念

3.1 使用场景举例（CI）

通过Dockerfile或Docker Hub分享和发布镜像，与其他服务集成，进行开发流程的自动化。

1. 开发人员编写、提交代码到代码服务器，如GitHub、GitLab等
2. 代码服务器通过webhook调用CI/CD服务，如Jenkins、CircleCI等
3. CI服务器下载最新代码，构建Docker镜像，并进行测试
4. 自动集成测试通过之后，将之前构建的镜像推送到私有Registry
5. 运维人员使用新版的Docker镜像进行部署

3.2 镜像（Image） - Docker生命周期的构建或打包阶段

Docker镜像是一个容器的文件系统，提供容器运行时所需的程序、库、资源、配置等文件和运行时需要的一些配置参数（ 如匿名卷、环境变量、用户等）。

Docker镜像是只读的,不包含任何动态数据，其内容在构建之后也不会被改变。

Docker利用UnionFS技术，设计为分层存储的架构，Docker镜像由多层文件系统联合组成。

镜像构建时，会一层层构建，每一层尽量只包含该层需要添加的东西，任何额外的东西应该在该层构建结束前清理掉。

前一层是后一层的基础。每一层构建完就不会再发生改变，后一层上的任何改变只发生在自己这一层。

3.3 容器（Container） - Docker生命周期的启动或执行阶段

Linux的CGroup技术用来限定一个进程的资源使用，Namespace技术用来划分不同的命名空间。

容器的实质是进程，是基于CGroup技术和Namespace技术运行在操作系统上的一个拥有受限资源和单独命名空间的进程。

容器拥有自己的文件系统、网络配置、进程空间，甚至用户ID空间。

每一个容器运行时，是以镜像为基础层，在其上创建一个当前容器的存储层。当容器运行时，会在镜像之上再加上一层可读可写层。

容器存储层的生存周期和容器一样，容器消亡时，容器存储层也随之消亡。因此，任何保存于容器存储层的信息都会随容器删除而丢失。

但数据卷（Volume）的生存周期独立于容器，容器消亡，数据不会丢失，所以文件写入操作应该使用数据卷（ Volume）。

总结起来，Docker容器就是：

• 一个镜像格式
• 一系列标准的操作
• 一个执行环境

3.4 仓库（Repository）

Docker Registry是提供集中的存储、分发镜像的服务。

一个 Docker Registry 中可以包含多个仓库（ Repository） ；每个仓库可以包含多个标签（ Tag） ；每个标签对应一个镜像。

通过 <仓库名>:<标签> 格式指定具体镜像。如果不给出标签，将以 latest 作为默认标签。

Docker Registry 公开服务是开放给用户使用、允许用户管理镜像的 Registry 服务。

最常使用的 Registry 公开服务是官方的 Docker Hub，这也是默认的 Registry。

国内也有类似Docker Hub 的公开服务。例如：网易云镜像服务、DaoCloud镜像市场、阿里云镜像库等。

用户还可以在本地搭建私有 Docker Registry。

3.5 Docker加速器

Docker加速器是指国内的一些云服务商提供了针对 Docker Hub 的镜像服务（ Registry Mirror）。

使用加速器会直接从国仓库内的地址下载 Docker Hub 的镜像。

3.6 容器的UUID

UUID -- 通用唯一标识符（Universally Unique Identifier）

容器有三种方式来进行标识：长UUID、短UUID、Name。

UUID 是 Docker daemon 产生的，在一台主机上是唯一的，在创建容器的时候可以通过--name 来指定容器的名字，如果不指定会自动分配一个字符串名称。

通过docker ps、docker inspect等命令可以查看到容器的标识信息。

4 - Docker的C/S架构

Docker在主机上是C/S架构，也就是说，在运行时分为Docker Engine（docker服务器或守护进程docker daemon)和docker client（客户端工具）。

可以使用docker version命令来查看client和daemon的信息。

# docker version
Client:
 Version:           18.09.6
 API version:       1.39
 Go version:        go1.10.8
 Git commit:        481bc77
 Built:             Sat May  4 02:35:27 2019
 OS/Arch:           linux/amd64
 Experimental:      false

Server: Docker Engine - Community
 Engine:
  Version:          18.09.6
  API version:      1.39 (minimum version 1.12)
  Go version:       go1.10.8
  Git commit:       481bc77
  Built:            Sat May  4 01:59:36 2019
  OS/Arch:          linux/amd64
  Experimental:     false

4.1 客户端与服务端通信

默认情况下，DOCKER的客户端与服务端通信是不经认证的。

也就是说，如果把DOCKER绑定到对外公开的网路接口上，那么任何人都可以连接到此DOCKER守护进程。

Docker Engine提供了一组RESTful API(Docker Remote API)，客户端工具通过这组API与Docker Engine交互，从而完成各种功能。

因此，虽然表面上好像是在本机执行各种docker功能，但实际上，一切都是使用的远程调用形式在服务端(Docker Engine)完成。

这种C/S设计，让操作远程服务器的Docker Engine变得轻而易举。

4.2 守护进程状态

安装完Docker后，需要确认Docker的守护进程是否运行，可通过命令systemctl status docker 或service status docker来查看。

Docker以root权限运行守护进程和其客户端程序。

• 启动docker：systemctl start docker
• 停止docker：systemctl stop docker
• 重启docker：systemctl restart docker
• 开机启动：systemctl enable docker
• 重新加载配置文件：systemctl daemon-reload

4.3 docker daemon

可以使用docker daemon命令控制Docker守护进程，查看docker daemon的用法docker daemon --help。

例如：

• 可以使用‘-H’标志调整守护进程绑定监听端口的方式，指定不同的网络接口和端口配置，也可以通过使用DOCKER_HOST环境变量来简化。
• 使用‘-D’标志开启守护进程的调试模式，获得更详细的信息。

5 - 思维导图

• 思维导图 - Docker
  
  

6 - Docker简单使用示例

使用docker的时候，首先需要拉取镜像，然后运行这个镜像，通过镜像生成容器。

同时，容器也可以转化为镜像，通过docker commit将容器的可读可写层转化为只读层。

注意：容器运行过程中，并不会修改镜像的内容，如果需要对容器做持久化，就必须通过commit来进行，否则容器退出后数据就会丢失。

# 获取镜像
[root@CentOS-7 ~]# docker pull ubuntu:16.04

# 运行容器
[root@CentOS-7 ~]# docker run -it --rm ubuntu:16.04 bash
root@7f8001fb78da:/# cat /etc/os-release
NAME="Ubuntu"
VERSION="16.04.2 LTS (Xenial Xerus)"
ID=ubuntu
ID_LIKE=debian
PRETTY_NAME="Ubuntu 16.04.2 LTS"
VERSION_ID="16.04"
HOME_URL="http://www.ubuntu.com/"
SUPPORT_URL="http://help.ubuntu.com/"
BUG_REPORT_URL="http://bugs.launchpad.net/ubuntu/"
VERSION_CODENAME=xenial
UBUNTU_CODENAME=xenial
root@7f8001fb78da:/#
root@7f8001fb78da:/# exit
exit
[root@CentOS-7 ~]# 

# -i ：交互式操作
# -t ：分配pseudo-TTY终端
# --rm ：容器退出后，删除容器
# ubuntu:14.04 ：使用ubuntu:14.04镜像为基础启动容器
# bash ：交互式bash Shell