Docker详解

Docker简介

【1】Docker是一个开源的容器引擎，它有助于更快地交付应用。 Docker可将应用程序和基础设施层隔离，并且能将基础设施当作程序一样进行管理。使用 Docker可更快地打包、测试以及部署应用程序，并可以缩短从编写到部署运行代码的周期。

【2】Docker的优点：

1、简化程序

Docker 让开发者可以打包他们的应用以及依赖包到一个可移植的容器中，然后发布到任何流行的 Linux 机器上，便可以实现虚拟化。Docker改变了虚拟化的方式，使开发者可以直接将自己的成果放入Docker中进行管理。方便快捷已经是 Docker的最大优势，过去需要用数天乃至数周的任务，在Docker容器的处理下，只需要数秒就能完成。

2、便捷开发

Docker 镜像中包含了运行环境和配置，所以 Docker 可以简化部署多种应用实例工作。比如 Web 应用、后台应用、数据库应用、大数据应用比如 Hadoop 集群、消息队列等等都可以打包成一个镜像部署。

3、节省开支

云计算时代到来，使开发者不必为了追求效果而配置高额的硬件，Docker 改变了高性能必然高价格的思维定势。Docker 与云的结合，让云空间得到更充分的利用。不仅解决了硬件管理的问题，也改变了虚拟化的方式。

Docker的架构

【1】图示

【2】参数说明

1）Docker daemon（ Docker守护进程）

Docker daemon是一个运行在宿主机（ DOCKER-HOST）的后台进程。可通过 Docker客户端与之通信。

2）Client（ Docker客户端）

Docker客户端是 Docker的用户界面，它可以接受用户命令和配置标识，并与 Docker daemon通信。图中， docker build等都是 Docker的相关命令。

3）Images（ Docker镜像）

Docker镜像是一个只读模板，它包含创建 Docker容器的说明。它和系统安装光盘有点像，使用系统安装光盘可以安装系统，同理，使用Docker镜像可以运行 Docker镜像中的程序。

4）Container（容器）

容器是镜像的可运行实例。镜像和容器的关系有点类似于面向对象中，类和对象的关系。可通过 Docker API或者 CLI命令来启停、移动、删除容器。

5）Registry

Docker Registry是一个集中存储与分发镜像的服务。构建完 Docker镜像后，就可在当前宿主机上运行。但如果想要在其他机器上运行这个镜像，就需要手动复制。此时可借助 Docker Registry来避免镜像的手动复制。

一个 Docker Registry可包含多个 Docker仓库，每个仓库可包含多个镜像标签，每个标签对应一个 Docker镜像。这跟 Maven的仓库有点类似，如果把 Docker Registry比作 Maven仓库的话，那么 Docker仓库就可理解为某jar包的路径，而镜像标签则可理解为jar包的版本号。

Docker Registry可分为公有Docker Registry和私有Docker Registry。 最常⽤的Docker Registry莫过于官⽅的Docker Hub， 这也是默认的Docker Registry。 Docker Hub上存放着⼤量优秀的镜像， 我们可使⽤Docker命令下载并使⽤。

Docker 的安装（社区版）

【1】以CentOS为例：

1）Docker 要求 CentOS 系统的内核版本高于 3.10

2）使用 root 权限登录 Centos。确保 yum 包更新到最新。

3）卸载旧版本(如果安装过旧版本的话)

4）安装需要的软件包， yum-util 提供yum-config-manager功能，另外两个是devicemapper驱动依赖的

5）设置yum源，并更新 yum 的包索引

6）可以查看所有仓库中所有docker版本，并选择特定版本安装

7）安装docker

8）启动并加入开机启动

9）验证安装是否成功(有client和service两部分表示docker安装启动都成功了)

10）配置docker镜像加速器

1.借助阿里云的镜像加速器,如图

2.操作

11）卸载docker

Docker常用命令

【1】镜像相关命令

1）搜索镜像

可使用 docker search命令搜索存放在 Docker Hub中的镜像。执行该命令后， Docker就会在Docker Hub中搜索含有 java这个关键词的镜像仓库。

列表包含五列，含义如下：

• NAME:镜像仓库名称。
• DESCRIPTION:镜像仓库描述。
• STARS：镜像仓库收藏数，表示该镜像仓库的受欢迎程度，类似于 GitHub的 stars0
• OFFICAL:表示是否为官方仓库，该列标记为[0K]的镜像均由各软件的官方项目组创建和维护。
• AUTOMATED：表示是否是自动构建的镜像仓库。

2）下载镜像

使用命令docker pull命令即可从 Docker Registry上下载镜像，执行该命令后，Docker会从 Docker Hub中的 java仓库下载最新版本的 Java镜像。如果要下载指定版本则在java后面加冒号指定版本

3）列出镜像

使用 docker images命令即可列出已下载的镜像

列表含义如下

• REPOSITORY：镜像所属仓库名称。
• TAG:镜像标签。默认是 latest,表示最新。
• IMAGE ID：镜像 ID，表示镜像唯一标识。
• CREATED：镜像创建时间。
• SIZE: 镜像大小。

4）删除本地镜像

使用 docker rmi命令即可删除指定镜像【镜像ID，镜像名都可以】，强制删除加 -f

删除所有镜像

【2】容器相关命令

1）新建并启动容器

2）列出容器

3）停止容器

4）强制停止容器

5）启动已停止的容器

6）查看容器所有信息

7）查看容器日志

8）查看容器里的进程

9）容器与宿主机相互复制文件

10）进入容器

使用docker exec命令用于进入一个正在运行的docker容器。如果docker run命令运行容器的时候，没有使用-it参数，就要用这个命令进入容器。一旦进入了容器，就可以在容器的 Shell 执行命令了

11）容器内安装vim、ping、ifconfig等指令

12）删除容器

Docker的网络模式

【1】bridge模式：使用–net =bridge指定，默认设置；

1）bridge模式是Docker默认的网络设置，此模式会为每一个容器分配Network Namespace、设置IP等，并将并将一个主机上的Docker容器连接到一个虚拟网桥上。当Docker server启动时，会在主机上创建一个名为docker0的虚拟网桥，此主机上启动的Docker容器会连接到这个虚拟网桥上。虚拟网桥的工作方式和物理交换机类似，这样主机上的所有容器就通过交换机连在了一个二层网络中。接下来就要为容器分配IP了，Docker会从RFC1918所定义的私有IP网段中，选择一个和宿主机不同的IP地址和子网分配给docker0，连接到docker0的容器就从这个子网中选择一个未占用的IP使用。如一般Docker会使用172.17.0.0/16这个网段，并将172.17.42.1/16分配给docker0网桥（在主机上使用ifconfig命令是可以看到docker0的，可以认为它是网桥的管理端口，在宿主机上作为一块虚拟网卡使用）。

2）这种方式外网是访问不了容器内部的，但是可以在宿主的服务器上对虚拟网段进行访问，所以需要对宿主机上的端口与虚拟网段的端口进行映射，这样外网访问宿主机上的端口就会直接转到虚拟网段的端口。

【2】host模式：使用–net =host指定；

1）如果启动容器的时候使用host模式，那么这个容器将不会获得一个独立的Network Namespace，而是和宿主机共用一个Network Namespace。容器将不会虚拟出自己的网卡，配置自己的IP等，而是使用宿主机的IP和端口。

2）这种可以理解为宿主机和容器的端口全部映射的方式，如80对80.

【3】none模式：使用–net =none指定；

1）在none模式下，Docker容器拥有自己的Network Namespace，但是，并不为Docker容器进行任何网络配置。也就是说，这个Docker容器没有网卡、IP、路由等信息。需要我们自己为Docker容器添加网卡、配置IP等。

【4】container模式：使用–net =container:NAMEorID指定。

1）这个模式指定新创建的容器和已经存在的一个容器共享一个Network Namespace，而不是和宿主机共享。新创建的容器不会创建自己的网卡，配置自己的IP，而是和一个指定的容器共享IP、端口范围等。同样，两个容器除了网络方面，其他的如文件系统、进程列表等还是隔离的。两个容器的进程可以通过lo网卡设备通信。

使用Dockerfile构建Docker镜像

【1】Dockerfile常用指令

【2】使用Dockerfile构建微服务镜像【这里是以一个eureka的服务作为jar包】

1）将jar包上传linux服务器/usr/local/docker-app/demo/eureka目录【自己建的】，在jar包所在目录创建名为Dockerfile的文件

2）在Dockerfile中添加以下内容【如使用vim Dockerfile】

3）使用docker build命令构建镜像【使用-t选项指定了镜像的标签，启动时使用标签启动】

4）启动镜像

5）访问http://Docker宿主机IP:8761/，可正常显示

6）将微服务镜像发布到远程镜像仓库

（1）docker login命令登录镜像仓库

（2）需要将镜像前面加个分组名(一般就是docker hub的账户名)

（3）将镜像推送到远程仓库

Docker虚拟化原理

【1】传统虚拟化和容器技术结构比较：传统虚拟化技术是在硬件层面实现虚拟化，增加了系统调用链路的环节，有性能损耗；容器虚拟化技术以共享宿主机Kernel的方式实现，几乎没有性能损耗。

【2】docker利用的是宿主机的内核,而不需要Guest OS。因此,当新建一个容器时,docker不需要和虚拟机一样重新加载一个操作系统内核。避免了寻址、加载操作系统内核这些比较费时费资源的过程,当新建一个虚拟机时,虚拟机软件需要加载Guest OS,这个新建过程是分钟级别的。而docker由于直接利用宿主机的操作系统,则省略了这个过程,因此新建一个docker容器只需要几秒钟。

【3】如图（官网上的）：

核心问题

【1】Docker是如何将机器的资源进行隔离的？

0）答案是联合文件系统，常见的有AUFS、Overlay、devicemapper、BTRFS和ZFS等。

1）联合文件系统原理（以Overlay2举例说明）：

原理：overlayfs在linux主机上只有两层，一个目录在下层，用来保存镜像(docker)，另外一个目录在上层，用来存储容器信息。在overlayfs中，底层的目录叫做lowerdir，顶层的目录称之为upperdir，对外提供统一的文件系统为merged。当需要修改一个文件时，使用COW(Copy-on-write)将文件从只读的Lower复制到可写的Upper进行修改，结果也保存在Upper层。在Docker中， 底下的只读层就是image，可写层就是Container。

图示：

2）写时复制 (CoW) 技术

所有驱动都用到的技术—写时复制，Cow全称copy-on-write，表示只是在需要写时才去复制，这个是针对已有文件的修改场景。比如基于一个image启动多个Container，如果每个Container都去分配一个image一样的文件系统，那么将会占用大量的磁盘空间。而CoW技术可以让所有的容器共享image的文件系统，所有数据都从image中读取，只有当要对文件进行写操作时，才从image里把要写的文件复制到自己的文件系统进行修改。所以无论有多少个容器共享一个image，所做的写操作都是对从image中复制到自己的文件系统的副本上进行，并不会修改image的源文件，且多个容器操作同一个文件，会在每个容器的文件系统里生成一个副本，每个容器修改的都是自己的副本，互相隔离，互不影响。使用CoW可以有效的提高磁盘的利用率。所以容器占用的空间是很少的。

查看容器占用磁盘大小指令：

3）用时分配 （allocate-on-demand）：

用时分配是 针对原本没有这个文件的场景，只有在要新写入一个文件时才分配空间，这样可以提高存储资源的利用率。比如启动一个容器，并不会因为这个容器分配一些磁盘空间，而是当有新文件写入时，才按需分配新空间。

【2】docker中的镜像分层技术的原理是什么呢？

1）docker使用共享技术减少镜像存储空间，所有镜像层和容器层都保存在宿主机的文件系统/var/lib/docker/中，由存储驱动进行管理，尽管存储方式不尽相同，但在所有版本的Docker中都可以 共享镜像层。在下载镜像时，Docker Daemon会检查镜像中的镜像层与宿主机文件系统中的镜像层进行对比，如果存在则不下载，只下载不存在的镜像层，这样可以非常 节约存储空间。

Original: https://www.cnblogs.com/chafry/p/16759033.html
Author: 忧愁的chafry
Title: Docker详解