Docker基礎(chǔ)（1）—— Docker基本概念
Docker基礎(chǔ)（2）—— Docker安裝及基礎(chǔ)操作

關(guān)于docker是什么以及docker的教程網(wǎng)上有很多資料，GitBook上的Docker教程是比較官方和全面的。以下我結(jié)合手冊(cè)的學(xué)習(xí)及在慕課網(wǎng)上的課程鞏固總結(jié)出的學(xué)習(xí)手冊(cè)。旨在清晰梳理整個(gè)上手流程。

一、前言

1、什么是Docker

• Docker是世界領(lǐng)先的軟件容器化平臺(tái)
• Docker公司開(kāi)發(fā)，開(kāi)源，托管在github
• 跨平臺(tái)，支持Windows、MacOS、Linux

Docker 使用 Google 公司推出的Go語(yǔ)言進(jìn)行開(kāi)發(fā)實(shí)現(xiàn)，基于 Linux 內(nèi)核的cgroup，namespace，以及AUFS類(lèi)的Union FS等技術(shù)，對(duì)進(jìn)程進(jìn)行封裝隔離，屬于操作系統(tǒng)層面的虛擬化技術(shù)。由于隔離的進(jìn)程獨(dú)立于宿主和其它的隔離的進(jìn)程，因此也稱(chēng)其為容器。

Docker 在容器的基礎(chǔ)上，進(jìn)行了進(jìn)一步的封裝，從文件系統(tǒng)、網(wǎng)絡(luò)互聯(lián)到進(jìn)程隔離等等，極大的簡(jiǎn)化了容器的創(chuàng)建和維護(hù)。使得 Docker 技術(shù)比虛擬機(jī)技術(shù)更為輕便、快捷。

下面的圖片比較了 Docker 和傳統(tǒng)虛擬化方式的不同之處。傳統(tǒng)虛擬機(jī)技術(shù)是虛擬出一套硬件后，在其上運(yùn)行一個(gè)完整操作系統(tǒng)，在該系統(tǒng)上再運(yùn)行所需應(yīng)用進(jìn)程；而容器內(nèi)的應(yīng)用進(jìn)程直接運(yùn)行于宿主的內(nèi)核，容器內(nèi)沒(méi)有自己的內(nèi)核，而且也沒(méi)有進(jìn)行硬件虛擬。因此容器要比傳統(tǒng)虛擬機(jī)更為輕便。

通俗理解：

Docker是容器技術(shù)的代表，容器技術(shù)從本質(zhì)上講是將程序隔離、打包的技術(shù)。Docker解決了軟件包裝的問(wèn)題，理順了開(kāi)發(fā)和運(yùn)維的環(huán)境的差異，使得開(kāi)發(fā)和運(yùn)維能用同種語(yǔ)言來(lái)溝通。

什么是Docker？官方的解釋?zhuān)篋ocker是一個(gè)開(kāi)源的項(xiàng)目，可以用來(lái)將任何應(yīng)用以輕量級(jí)容器的形式來(lái)打包、發(fā)布和運(yùn)行。

類(lèi)比：可以粗糙地理解為輕量級(jí)的虛擬機(jī)。它和虛擬機(jī)某種程度上完成同樣的任務(wù)：就是把一個(gè)應(yīng)用程序放在一個(gè)獨(dú)立的環(huán)境里來(lái)運(yùn)行。

Docker不是虛擬機(jī)！

Host_OS：宿主機(jī)
Hypervisor：虛擬層，虛擬出硬件

VM在虛擬層上安裝完全獨(dú)立的Guest OS，在里面運(yùn)行各種個(gè)樣的程序。每個(gè)虛擬化應(yīng)用程序不僅包括應(yīng)用程序(可能只有10 MB)、必要的二進(jìn)制文件和庫(kù)，還包括整個(gè)客戶(hù)操作系統(tǒng)(可能有10 GB)。

Docker在Docker Engine層上面運(yùn)行各種程序，利用了Host OS里的NameSpace，ControlGroup等來(lái)做到將應(yīng)用程序分離。Docker Engine容器僅包含應(yīng)用程序及其依賴(lài)項(xiàng)。它在主機(jī)操作系統(tǒng)的用戶(hù)空間中作為獨(dú)立進(jìn)程運(yùn)行，與其他容器共享內(nèi)核。因此，它享受了VM的資源隔離和分配好處，但是更加便攜和高效。

2、為什么要用Docker

3、基本概念

• 鏡像（Image）
• 容器（Container）
• 倉(cāng)庫(kù)（Repository）

理解了這三個(gè)概念，就理解了 Docker 的整個(gè)生命周期。

3.1 鏡像

Docker 鏡像是一個(gè)特殊的文件系統(tǒng)，除了提供容器運(yùn)行時(shí)所需的程序、庫(kù)、資源、配置等文件外，還包含了一些為運(yùn)行時(shí)準(zhǔn)備的一些配置參數(shù)（如匿名卷、環(huán)境變量、用戶(hù)等）。鏡像不包含任何動(dòng)態(tài)數(shù)據(jù)，其內(nèi)容在構(gòu)建之后也不會(huì)被改變。

分層存儲(chǔ)

鏡像只是一個(gè)虛擬的概念，其實(shí)際體現(xiàn)并非由一個(gè)文件組成，而是由一組文件系統(tǒng)組成，或者說(shuō)，由多層文件系統(tǒng)聯(lián)合組成。

Union FS

聯(lián)合文件系統(tǒng)是(Union FS)是linux的存儲(chǔ)技術(shù)，也是Docker鏡像的存儲(chǔ)方式。 它是分層的文件系統(tǒng)，將不同目錄拉到同一個(gè)虛擬目錄下。下圖展示了Docker用Union FS 搭建的分層鏡像：（比如最下層是操作系統(tǒng)的引導(dǎo)，上一層是Linux操作系統(tǒng)，再上一層是Tomcat，jdk，再上一層是應(yīng)用代碼）

這些層是只讀的，加載完后這些文件會(huì)被看成是同一個(gè)目錄，相當(dāng)于只有一個(gè)文件系統(tǒng)。

我們可以通過(guò)docker info查看鏡像的一些信息，可以看到存儲(chǔ)驅(qū)動(dòng)用的并不是Union FS 而是overlay2，overlay也是一個(gè)聯(lián)合文件系統(tǒng)，所以上述主要介紹聯(lián)合文件系統(tǒng)的概念，至于這些存儲(chǔ)驅(qū)動(dòng)的演變過(guò)程和優(yōu)缺點(diǎn)，可以閱讀http://dockone.io/article/1765。

鏡像構(gòu)建時(shí)，會(huì)一層層構(gòu)建，前一層是后一層的基礎(chǔ)。每一層構(gòu)建完就不會(huì)再發(fā)生改變，后一層上的任何改變只發(fā)生在自己這一層。（比如，刪除前一層文件的操作，實(shí)際不是真的刪除前一層的文件，而是僅在當(dāng)前層標(biāo)記為該文件已刪除。在最終容器運(yùn)行的時(shí)候，雖然不會(huì)看到這個(gè)文件，但是實(shí)際上該文件會(huì)一直跟隨鏡像。因此，在構(gòu)建鏡像的時(shí)候，需要額外小心，每一層盡量只包含該層需要添加的東西，任何額外的東西應(yīng)該在該層構(gòu)建結(jié)束前清理掉。）

分層存儲(chǔ)的特征還使得鏡像的復(fù)用、定制變的更為容易。甚至可以用之前構(gòu)建好的鏡像作為基礎(chǔ)層，然后進(jìn)一步添加新的層，以定制自己所需的內(nèi)容，構(gòu)建新的鏡像。

3.2 容器

鏡像（Image）和容器（Container）的關(guān)系，就像是面向?qū)ο蟪绦蛟O(shè)計(jì)中的 類(lèi) 和 實(shí)例 一樣，鏡像是靜態(tài)的定義，容器是鏡像運(yùn)行時(shí)的實(shí)體。容器可以被創(chuàng)建、啟動(dòng)、停止、刪除、暫停等。

容器的實(shí)質(zhì)是進(jìn)程，但與直接在宿主執(zhí)行的進(jìn)程不同，容器進(jìn)程運(yùn)行于屬于自己的獨(dú)立的命名空間。因此容器可以擁有自己的root文件系統(tǒng)、自己的網(wǎng)絡(luò)配置、自己的進(jìn)程空間，甚至自己的用戶(hù) ID 空間。容器內(nèi)的進(jìn)程是運(yùn)行在一個(gè)隔離的環(huán)境里，使用起來(lái)，就好像是在一個(gè)獨(dú)立于宿主的系統(tǒng)下操作一樣。這種特性使得容器封裝的應(yīng)用比直接在宿主運(yùn)行更加安全。也因?yàn)檫@種隔離的特性，很多人初學(xué) Docker 時(shí)常常會(huì)混淆容器和虛擬機(jī)。

前面講過(guò)鏡像使用的是分層存儲(chǔ)，容器也是如此。每一個(gè)容器運(yùn)行時(shí)，是以鏡像為基礎(chǔ)層，在其上創(chuàng)建一個(gè)當(dāng)前容器的存儲(chǔ)層，我們可以稱(chēng)這個(gè)為容器運(yùn)行時(shí)讀寫(xiě)而準(zhǔn)備的存儲(chǔ)層為容器存儲(chǔ)層。

容器存儲(chǔ)層的生存周期和容器一樣，容器消亡時(shí)，容器存儲(chǔ)層也隨之消亡。因此，任何保存于容器存儲(chǔ)層的信息都會(huì)隨容器刪除而丟失。

3.3 倉(cāng)庫(kù)

鏡像構(gòu)建完成后，可以很容易的在當(dāng)前宿主機(jī)上運(yùn)行，但是，如果需要在其它服務(wù)器上使用這個(gè)鏡像，我們就需要一個(gè)集中的存儲(chǔ)、分發(fā)鏡像的服務(wù)，Docker Registry 就是這樣的服務(wù)。

一個(gè) Docker Registry 中可以包含多個(gè)倉(cāng)庫(kù)（Repository）；每個(gè)倉(cāng)庫(kù)可以包含多個(gè)標(biāo)簽（Tag）；每個(gè)標(biāo)簽對(duì)應(yīng)一個(gè)鏡像。

通常，一個(gè)倉(cāng)庫(kù)會(huì)包含同一個(gè)軟件不同版本的鏡像，而標(biāo)簽就常用于對(duì)應(yīng)該軟件的各個(gè)版本。我們可以通過(guò)<倉(cāng)庫(kù)名>:<標(biāo)簽>的格式來(lái)指定具體是這個(gè)軟件哪個(gè)版本的鏡像。如果不給出標(biāo)簽，將以latest作為默認(rèn)標(biāo)簽。（以 Ubuntu 鏡像為例，ubuntu是倉(cāng)庫(kù)的名字，其內(nèi)包含有不同的版本標(biāo)簽，如，14.04,16.04。我們可以通過(guò)ubuntu:14.04，或者ubuntu:16.04來(lái)具體指定所需哪個(gè)版本的鏡像。如果忽略了標(biāo)簽，比如ubuntu，那將視為ubuntu:latest。）

倉(cāng)庫(kù)名經(jīng)常以兩段式路徑形式出現(xiàn)，比如huangbaoling/nginx-proxy，前者往往意味著 Docker Registry 多用戶(hù)環(huán)境下的用戶(hù)名，后者則往往是對(duì)應(yīng)的軟件名。但這并非絕對(duì)，取決于所使用的具體 Docker Registry 的軟件或服務(wù)。