第二天: Docker基本組成
Docker的基本組成:
- Docker Client 客戶端
- Docker Daemon 守護程序(伺服器)
- Docker image 映象
- Docker Container 容器
- Docker Registry 倉庫
一. Docker客戶端/守護程序(伺服器)
C/S架構: 客戶端傳送任務到給守護程序,守護程序執行結束後,將結果返回給客戶端(本地/遠端)
二. Docker image映象(打包構建階段)
容器的基石: 基於映象啟動執行映象好比容器的原始碼儲存了啟動容器的各種條件,
層疊的只讀檔案系統:分層結構
聯合載入(union mount):系統一次載入多個檔案
詳細來說:
我們都知道,作業系統分為核心和使用者空間。對於 Linux 而言,核心啟動後,會掛載 root 檔案系統為其提供使用者空間支援。而 Docker 映象(Image),就相當於是一個 root 檔案系統。比如官方映象 ubuntu:14.04 就包含了完整的一套Ubuntu 14.04 最小系統的 root 檔案系統。
Docker 映象是一個特殊的檔案系統,除了提供容器執行時所需的程式、庫、資源、配置等檔案外,還包含了一些為執行時準備的一些配置引數(如匿名卷、環境變數、使用者等)。映象不包含任何動態資料,其內容在構建之後也不會被改變。
分層儲存
因為映象包含作業系統完整的 root 檔案系統,其體積往往是龐大的,因此在Docker 設計時,就充分利用 Union FS 的技術,將其設計為分層儲存的架構。所以嚴格來說,映象並非是像一個 ISO 那樣的打包檔案,映象只是一個虛擬的概念,其實際體現並非由一個檔案組成,而是由一組檔案系統組成,或者說,由多層檔案系統聯合組成。
映象構建時,會一層層構建,前一層是後一層的基礎。每一層構建完就不會再發生改變,後一層上的任何改變只發生在自己這一層。比如,刪除前一層檔案的操作,實際不是真的刪除前一層的檔案,而是僅在當前層標記為該檔案已刪除。在最終容器執行的時候,雖然不會看到這個檔案,但是實際上該檔案會一直跟隨映象。因此,在構建映象的時候,需要額外小心,每一層儘量只包含該層需要新增的東西,任何額外的東西應該在該層構建結束前清理掉。
分層儲存的特徵還使得映象的複用、定製變的更為容易。甚至可以用之前構建好的映象作為基礎層,然後進一步新增新的層,以定製自己所需的內容,構建新的映象。
三. Docker Container容器(執行單元)
通過映象啟動
啟動和執行階段:啟動時在映象的最頂層載入讀寫映象系統(可寫層)
寫時賦值: 在執行時會在root檔案系統層複製一份到可寫層執行,原先的檔案進行隱藏
寫時賦值參考Linux日誌技術中寫時複製(copy-on-write,COW)的技術:
COW利用快照兼顧了安全性和效能。如果要修改資料,會使用克隆或可寫快照。修改過的資料並不會直接覆蓋當前資料,而是被放入檔案系統中的另一個位置上。即便是資料修改已經完成,之前的舊資料也不會被重寫。
詳細來說:
映象(Image)和容器(Container)的關係,就像是面向物件程式設計中的類和例項一樣,映象是靜態的定義,容器是映象執行時的實體。容器可以被建立、啟動、停止、刪除、暫停等。
容器的實質是程序,但與直接在宿主執行的程序不同,容器程序運行於屬於自己的獨立的 名稱空間。因此容器可以擁有自己的 root 檔案系統、自己的網路配置、自己的程序空間,甚至自己的使用者 ID 空間。
容器內的程序是執行在一個隔離的環境裡,使用起來,就好像是在一個獨立於宿主的系統下操作一樣。這種特性使得容器封裝的應用比直接在宿主執行更加安全。也因為這種隔離的特性,很多人初學Docker 時常常會把容器和虛擬機器搞混。
前面講過映象使用的是分層儲存,容器也是如此。每一個容器執行時,是以映象為基礎層,在其上建立一個當前容器的儲存層,我們可以稱這個為容器執行時讀寫而準備的儲存層為容器儲存層。
容器儲存層的生存週期和容器一樣,容器消亡時,容器儲存層也隨之消亡。因此,任何保存於容器儲存層的資訊都會隨容器刪除而丟失。按照 Docker 最佳實踐的要求,容器不應該向其儲存層內寫入任何資料,容器儲存層要保持無狀態化。所有的檔案寫入操作,都應該使用 資料卷(Volume)、或者繫結宿主目錄,在這些位置的讀寫會跳過容器儲存層,直接對宿主(或網路儲存)發生讀寫,其效能和穩定性更高。
資料卷的生存週期獨立於容器,容器消亡,資料卷不會消亡。因此,使用資料卷後,容器可以隨意刪除、重新 run ,資料卻不會丟失。
四. Docker Registry 倉庫(用來儲存使用者構建的映象)
倉庫: 公有和私有
1. 公有倉庫:
Docker Registry 公開服務是開放給使用者使用、允許使用者管理映象的 Registry 服務。一般這類公開服務允許使用者免費上傳、下載公開的映象,並可能提供收費服務供使用者管理私有映象。
最常使用的 Registry 公開服務是官方的 Docker Hub,這也是預設的 Registry,並擁有大量的高質量的官方映象。除此以外,還有 CoreOS 的 Quay.io,CoreOS 相關的映象儲存在這裡;Google 的 Google Container Registry,Kubernetes 的映象使用的就是這個服務。
由於某些原因,在國內訪問這些服務可能會比較慢。國內的一些雲服務商提供了針對 Docker Hub 的映象服務(Registry Mirror),這些映象服務被稱為加速器。常見的有 阿里雲加速器、DaoCloud 加速器、靈雀雲加速器等。使用加速器會直接從國倉庫內的地址下載 Docker Hub 的映象,比直接從官方網站下載速度會提高很多。在後面的章節中會有進一步如何配置加速器的講解。國內也有一些雲服務商提供類似於Docker Hub 的公開服務。比如 時速雲映象倉庫、網易雲映象服務、DaoCloud 映象市場、阿里雲映象庫等。
2. 私有倉庫:
私有 Docker Registry
除了使用公開服務外,使用者還可以在本地搭建私有 Docker Registry。Docker 官方提供了 Docker Registry 映象,可以直接使用做為私有 Registry 服務。
開源的 Docker Registry 映象只提供了 Docker Registry API 的服務端實現,足以支援 docker 命令,不影響使用。但不包含圖形介面,以及映象維護、使用者管理、訪問控制等高階功能。在官方的商業化版本 Docker Trusted Registry 中,提供了這些高階功能。
除了官方的 Docker Registry 外,還有第三方軟體實現了 Docker Registry API,甚至提供了使用者介面以及一些高階功能。比如,VMWare Harbor 和 Sonatype Nexus。
五. Docker的基本組成圖
Docker 線上演示地址
參考 Docker practice