1.1什麼是LXC
LXC爲Linux Container的簡寫。Linux Container容器是一種內核虛擬化技術,可以提供輕量級的虛擬化,以便隔離進程和資源,而且不需要提供指令解釋機制以及全虛擬化的其他複雜性。相當於C++中的NameSpace。容器有效地將由單個操作系統管理的資源劃分到孤立的組中,以更好地在孤立的組之間平衡有衝突的資源使用需求。與傳統虛擬化技術相比,它的優勢在於:
與宿主機使用同一個內核,性能損耗小;
不需要指令級模擬;
不需要即時(Just-in-time)編譯;
容器可以在CPU核心的本地運行指令,不需要任何專門的解釋機制;
避免了準虛擬化和系統調用替換中的複雜性;
輕量級隔離,在隔離的同時還提供共享機制,以實現容器與宿主機的資源共享。
總結:Linux Container是一種輕量級的虛擬化的手段。
1.2什麼是Docker
Docker是Docker.inc公司開源的一個基於LXC技術之上構建的Container容器引擎,源代碼託管在GitHub上,基於Go語言並遵從Apache2.0協議開源(可以商業)。
Docker項目的目標是實現輕量級的操作系統虛擬化解決方案。
Docker是通過內核虛擬化技術(namespaces及cgroups等)來提供容器的資源隔離與安全保障等。由於Docker通過操作系統層的虛擬化實現隔離,所以Docker容器在運行時,不需要類似虛擬機VM額外的操作系統開銷,提高資源利用率。
下面圖比較了Docker和傳統虛擬化方式的不同之處,可見容器是在操作系統層面上實現虛擬化,直接複製本地主機的操作系統,而傳統方式則是在硬件層面實現。
1.3Docker的工作模式
學習Docker的源碼並不是一個枯燥的過程,反而可以從中理解Docker架構的設計原理。
Docker對使用者來講是一個C/S模式的架構,而Docker的後端是一個非常鬆耦合的架構,模塊各司其職,並有機組合,支撐Docker的運行。
用戶是使用Docker Client與Docker Daemon建立通信,併發送請求給後者。
而Docker Daemon作爲Docker架構中的主體部分,首先提供Server的功能使其可以接受Docker Client的請求;而後Engine執行Docker內部的一系列工作,每一項工作都是以一個Job的形式的存在。
Job的運行過程中,當需要容器鏡像時,則從Docker Registry中下載鏡像,並通過鏡像管理驅動graphdriver將下載鏡像以Graph的形式存儲;當需要爲Docker創建網絡環境時,通過網絡管理驅動networkdriver創建並配置Docker容器網絡環境;當需要限制Docker容器運行資源或執行用戶指令等操作時,則通過execdriver來完成。而libcontainer是一項獨立的容器管理包,networkdriver以及execdriver都是通過libcontainer來實現具體對容器進行的操作。當執行完運行容器的命令後,一個實際的Docker容器就處於運行狀態,該容器擁有獨立的文件系統,獨立並且安全的運行環境等。
CLI交互模型
1、簡化配置,統一配置,通過鏡像快速啓動(Simplifying)
2、代碼流水線管理,開發環境->測試環境->預生產環境->灰度發佈->正式發佈,docker在這裏實現了快速遷移(Code Oioeline Management)
3、開發效率,對開發人員,有了鏡像,直接啓動容器即可(Developer Productivity)
4、應用隔離,相對於虛擬機的完全隔離會佔用資源,docker會比較節約資源(Applsolation)
5、服務器整合,一臺服務器跑多個docker容器,提高服務器的利用率(Server Consolidation)
6、調試能力,debug調試(Debugging Capabilties)
7、多租戶,一個租戶多個用戶,類似於阿里公有云的一個project下多個用戶(Multi-tenancy)
8、快速部署,不需要啓動操作系統,實現秒級部署(Rapid Deplovment)
1.5Docker八中開發模式
1.共享基礎容器
2.共享捲開發容器
3.開發工具容器
4.不同環境下測試容器
5.構建容器
6.安裝容器
7.盒子中默認服務容器
8.基礎設施/粘合劑容器
1.6Docker九個基本事實
1.容器不同於虛擬機
2.容器不如虛擬機來得成熟
3.容器可以在幾分之一秒內啓動
4.容器已在大規模環境證明了自身的價值
5.IT人員稱容器爲輕量級
6.容器引發了安全問題
7.Docker已成爲容器的代名詞,但它不是唯一的提供者
8.容器能節省IT人力,加快更新
9.容器仍面臨一些沒有解決的問題
1.7使用Docker理由
作爲一種新興的虛擬化方式,Docker跟傳統的虛擬化方式具有衆多的優勢。
首先,Docker容器的啓動可以在秒級實現,這相比傳統的虛擬機方式要快得多。其次,Docker對系統資源的利用率很低,一臺主機上可以同時運行數千個Docker容器。
至於爲什麼要使用Docker:
1、 技術儲備
相對大公司這個非常重要,如果你們都在用,他們不用就落後了,等到完全成熟以後就跟不上了。
2、 無技術棧和技術債
沒有任何Openstack或者saltstack,服務down了就down了,所有的服務都是鬆耦合。
3、跟上潮流(提升自我,裝逼)
面試的時候大家都會Docker,你不會是不是落後了。
4、符合當前業務
雖然Docker很優秀,但是,大多數處在第二種狀態,很少有符合自己的業務
1.8Docker改變了什麼
q面向產品:產品交付
q面向開發:簡化環境配置
q面向測試:多版本測試
q面向運維:環境一致性
q面向架構:自動化擴容(微服務)
1.8.1Docker更快速的交付和部署
對於開發和人員來說,最希望的就是一次創建和配置,可以在任意地方正常運行。
開發者可以使用一個標準的鏡像來構建一套開發容器,開發完成之後,運維人員可以直接使用這個容器來部署代碼。Docker可以快速創建容器,快速迭代應用程序,並讓整個過程全稱可見,使團隊中的其他成員更容易理解應用程序是如何創建和工作。Docker容器很輕很快!容器的啓動時間是秒級的,大量第節約開發、測試、部署的時間。
1.8.2Docker更高效的虛擬化
Docker容器的運行不需要額外的Hypervisor支持,它是內核級的虛擬化,因此可以實現更高的性能和效率。
1.8.3Docker更輕鬆的遷移和擴展
Docker容器幾乎可以字啊任意的平臺上運行,包括物理機、虛擬機、公有云、私有云、個人電腦、服務器等。這種兼容性可以讓用戶把一個應用程序從一個平臺直接遷移到另外一個。
1.8.4Docker更簡單的管理
1.10Docker三大核心概念
1.10.1Docker鏡像(p_w_picpath)
Docker鏡像就是一個只讀的模板。
例如:一個鏡像可以包含一個完整的CentOS操作系統環境,裏面僅安裝了Apache或用戶需要的其他應用程序。
鏡像可以用來創建Docker容器。
Docker提供了一個很簡單的機制來創建鏡像或者更新現有的鏡像,用戶甚至可以直接從其他人那裏下載一個已經做好的鏡像來直接使用。
1.10.2Docker容器(container)
Docker利用容器來運行應用。
容器是從鏡像創建的運行實例。它可以被啓動、開始、停止、刪除。每個容器都是相互隔離的,保證安全的平臺。
可以把容器看做是一個簡易版的Linux環境(包括root用戶權限、進程空間、用戶空間和網絡空間等)和運行在其中的應用程序。
注意:鏡像是隻讀的,容器在啓動的時候創建一層可寫層作爲最上層。
1.10.3Docker倉庫(repository)
倉庫是集中存放鏡像文件的場所。有時候把倉庫和倉庫註冊服務器(Registry)混爲一談,並不嚴格區分。實際上,倉庫註冊服務器上往往存放着多個倉庫,每個倉庫中又包含了多個鏡像,每個鏡像有不同的標籤(tag)。
倉庫分爲公開倉庫(Public)和私有倉庫(Private)兩種形式。
最大的公開倉庫是Docker Hub,存放了數量龐大的鏡像供用戶下載。國內的公開倉庫包括Docker Pool等,可以提供大陸用戶更穩定快讀的訪問。
當用戶創建了自己的鏡像之後就可以使用push命令將它上傳到公有或者私有倉庫,這樣下載在另外一臺機器上使用這個鏡像時候,只需需要從倉庫上pull下來就可以了。
注意:Docker倉庫的概念跟Git類似,註冊服務器可以理解爲GitHub這樣的託管服務。
1.11Docker企業實戰
筆者QQ:572891887
Linux架構交流羣:471443208
系統環境
[root@docker~]# cat /etc/redhat-release #查看版本號
CentOS Linux release 7.1.1503 (Core)
[root@docker ~]# uname -r #查看Linux內核
c3.10.0-229.el7.x86_64
[root@docker ~]#yum install -y docker #安裝docker(CentOS7系統CentOS-Extras庫中已帶Docker)
[root@docker ~]#systemctl start docker #啓動docker
[root@docker ~]#systemctl enable docker #加入開機自啓動
[root@docker ~]# docker version #查看docker版本信息
Client: #docker客戶端版本信息
Version:1.8.2-el7.centos
API version:1.20
Package Version: docker-1.8.2-10.el7.centos.x86_64
Go version:go1.4.2
Git commit:a01dc02/1.8.2
Built: OS/Arch:linux/amd64
Server: #docker服務端版本信息
Version:1.8.2-el7.centos
API version:1.20
Package Version:
Go version:go1.4.2
Git commit:a01dc02/1.8.2
Built: OS/Arch:linux/amd64
1.12Docker基礎命令
[root@docker ~]# docker --help
Usage: docker [OPTIONS] COMMAND [arg...]
docker daemon [ --help | ... ]
docker [ --help | -v | --version ]
A self-sufficient runtime for containers.
Options:
--config=~/.docker Location of client config files #客戶端配置文件的位置
-D, --debug=false Enable debug mode #啓用Debug調試模式
-H, --host=[] Daemon socket(s) to connect to #守護進程的套接字(Socket)連接
-h, --help=false Print usage #打印使用
-l, --log-level=info Set the logging level #設置日誌級別
--tls=false Use TLS; implied by--tlsverify #
--tlscacert=~/.docker/ca.pem Trust certs signed only by this CA #信任證書籤名CA
--tlscert=~/.docker/cert.pem Path to TLS certificate file #TLS證書文件路徑
--tlskey=~/.docker/key.pem Path to TLS key file #TLS密鑰文件路徑
--tlsverify=false Use TLS and verify the remote #使用TLS驗證遠程
-v, --version=false Print version information and quit #打印版本信息並退出
Commands:
attach Attach to a running container #當前shell下attach連接指定運行鏡像
build Build an p_w_picpath from a Dockerfile #通過Dockerfile定製鏡像
commit Create a new p_w_picpath from a container's changes #提交當前容器爲新的鏡像
cp Copy files/folders from a container to a HOSTDIR or to STDOUT #從容器中拷貝指定文件或者目錄到宿主機中
create Create a new container #創建一個新的容器,同run 但不啓動容器
diff Inspect changes on a container's filesystem #查看docker容器變化
events Get real time events from the server#從docker服務獲取容器實時事件
exec Run a command in a running container#在已存在的容器上運行命令
export Export a container's filesystem as a tar archive #導出容器的內容流作爲一個tar歸檔文件(對應import)
history Show the history of an p_w_picpath #展示一個鏡像形成歷史
p_w_picpaths List p_w_picpaths #列出系統當前鏡像
import Import the contents from a tarball to create a filesystem p_w_picpath #從tar包中的內容創建一個新的文件系統映像(對應export)
info Display system-wide information #顯示系統相關信息
inspect Return low-level information on a container or p_w_picpath #查看容器詳細信息
kill Kill a running container #kill指定docker容器
load Load an p_w_picpath from a tar archive or STDIN #從一個tar包中加載一個鏡像(對應save)
login Register or log in to a Docker registry#註冊或者登陸一個docker源服務器
logout Log out from a Docker registry #從當前Docker registry退出
logs Fetch the logs of a container #輸出當前容器日誌信息
pause Pause all processes within a container#暫停容器
port List port mappings or a specific mapping for the CONTAINER #查看映射端口對應的容器內部源端口
ps List containers #列出容器列表
pull Pull an p_w_picpath or a repository from a registry #從docker鏡像源服務器拉取指定鏡像或者庫鏡像
push Push an p_w_picpath or a repository to a registry #推送指定鏡像或者庫鏡像至docker源服務器
rename Rename a container #重命名容器
restart Restart a running container #重啓運行的容器
rm Remove one or more containers #移除一個或者多個容器
rmi Remove one or more p_w_picpaths #移除一個或多個鏡像(無容器使用該鏡像纔可以刪除,否則需要刪除相關容器纔可以繼續或者-f強制刪除)
run Run a command in a new container #創建一個新的容器並運行一個命令
save Save an p_w_picpath(s) to a tar archive#保存一個鏡像爲一個tar包(對應load)
search Search the Docker Hub for p_w_picpaths #在docker hub中搜索鏡像
start Start one or more stopped containers#啓動容器
stats Display a live stream of container(s) resource usage statistics #統計容器使用資源
stop Stop a running container #停止容器
tag Tag an p_w_picpath into a repository #給源中鏡像打標籤
top Display the running processes of a container #查看容器中運行的進程信息
unpause Unpause all processes within a container #取消暫停容器
version Show the Docker version information#查看容器版本號
wait Block until a container stops, then print its exit code #截取容器停止時的退出狀態值
Run 'docker COMMAND --help' for more information on a command. #運行docker命令在幫助可以獲取更多信息
1.13Docker鏡像管理
1.13.1搜索Docker鏡像
[root@docker ~]# docker search centos #搜索所有centos的docker鏡像
INDEX NAME(名稱) DESCRIPTION(描述) STARS(下載次數)OFFICIAL(官方) AUTOMATED(自動化)
docker.io docker.io/centos The official build of CentOS. 1781 [OK]
docker.io docker.io/jdeathe/centos-ssh CentOS-6 6.7 x86_64 / 14 [OK]
……
1.13.2獲取Docker鏡像
可以使用docker pull命令來從倉庫獲取所需要的鏡像。下面的例子將從Docker Hub倉庫下載一個Centos操作系統的鏡像。
[root@docker ~]# docker pull centos #獲取centos鏡像
[root@docker ~]# docker run -it centos /bin/bash #完成後可以使用該鏡像創建一個容器
[root@5284d42eeb3a /]#
1.13.3查看docker鏡像
鏡像的ID唯一標識了鏡像,如果ID相同,說明是同一鏡像。
TAG信息來區分不同發行版本,如果不指定具體標記,默認使用latest標記信息。
[root@docker ~]# docker p_w_picpaths #查看docker鏡像
REPOSITORY(來自那個倉庫) TAG(標籤) IMAGE ID(唯一ID) CREATED(創建時間) VIRTUAL SIZE(大小)
docker.io/centos latest 60e65a8e4030 5 days ago 196.6 MB
docker.io/nginx latest 813e3731b203 13 days ago 133.8 MB
1.13.4刪除Docker鏡像
如果要移除本地的鏡像,可以使用docker rmi命令(在刪除鏡像之前先用docker rm刪除依賴於這個鏡像的所有容器)。注意docker rm 命令是移除容器。
[root@docker ~]# docker rmi p_w_picpathID #刪除docker鏡像
1.13.5導出Docker鏡像
如果要導出鏡像到本地文件,可以使用docker save命令。
[root@docker ~]# docker save centos > /opt/centos.tar.gz #導出docker鏡像至本地
[root@docker ~]# ll /opt/
-rw-r--r--.1 root root 204205056 12月 30 09:53 centos.tar.gz
1.13.61.6.6導入Docker鏡像
可以使用docker load從本地文件中導入到本地docker鏡像庫
[root@docker ~]# docker load < /opt/centos.tar.gz #導入本地鏡像到docker鏡像庫
[root@docker~]# docker p_w_picpaths #查看鏡像導入情況
REPOSITORY TAG IMAGE ID CREATED VIRTUAL SIZE
docker.io/centos latest 60e65a8e4030 5 days ago 196.6 MB
1.14Docker容器管理
1.14.1啓動Docker容器
啓動容器有兩種方式,一種是基於鏡像新建一個容器並啓動,另外一個是將在終止狀態(stopped)的容器重新啓動。
因爲Docker的容器實在太輕量級了,很多時候用戶都是隨時刪除和新創建容器。
1.14.1.1新建容器並啓動
所需要的命令主要爲docker run
例如,下面的命令輸出一個hehe,之後終止容器。
[root@docker ~]# docker run centos /bin/echo "hehe" #這跟在本地直接執行 /bin/echo'hehe'
hehe
[root@docker ~]# docker run --name mydocker -it centos /bin/bash#啓動一個bash終端,允許用戶進行交互。
[root@1c6c3f38ea07 /]# pwd
/
[root@1c6c3f38ea07 /]# ls
anaconda-post.log bindev etc homelib lib64 lost+foundmedia mnt optproc root runsbin srv systmp usr var
--name:給容器定義一個名稱
-i:則讓容器的標準輸入保持打開。
-t:讓Docker分配一個僞終端,並綁定到容器的標準輸入上
/bin/bash:執行一個命令
當利用docker run來創建容器時,Docker在後臺運行的標準操作包括:
q檢查本地是否存在指定的鏡像,不存在就從公有倉庫下載
q利用鏡像創建並啓動一個容器
q分配一個文件系統,並在只讀的鏡像層外面掛在一層可讀寫層
q從宿主主機配置的網橋接口中橋接一個虛擬接口到容器中去
q從地址池配置一個ip地址給容器
q執行用戶指定的應用程序
q執行完畢後容器被終止
1.14.1.2啓動已終止容器
可以利用docker start命令,直接將一個已經終止的容器啓動運行。
容器的核心爲所執行的應用程序,所需要的資源都是應用程序運行所必需的。除此之外,並沒有其他的資源。可以在僞終端中利用ps和top來查看進程信息。
[root@docker ~]# docker start 1c6c3f38ea07 #啓動一個終止的容器
1c6c3f38ea07
[root@docker ~]# docker ps -a #查看是否啓動
CONTAINER ID IMAGE COMMAND CREATED STATUS PORTS NAMES
1c6c3f38ea07 centos "/bin/bash" 8 minutes ago Up 1 seconds mycentos
1.14.1.3守護進程運行
更多的時候,需要讓Docker容器在後臺以守護形式運行。此時可以通過添加-d參數來實現。
例如下面的命令會在後臺運行容器。
[root@docker ~]# docker run -d centos /bin/bash -c "while true; do echo hehe; sleep 1;done"
961fd1162c2f6a8d04e4d8ab6ccacf4cb01a90af8ab553d5e2c5063ac483ffd8
[root@docker ~]# docker ps #查看正在運行的docker容器
CONTAINER ID IMAGE COMMAND CREATED STATUS PORTS NAMES
961fd1162c2f centos "/bin/bash -c 'while " 18 minutes ago Up 18 minutes agitated_raman
[root@docker ~]# docker logs 961fd1162c2f #獲取容器輸出信息,通過dockerlogs命令
hehe
hehe
…
1.14.2停止容器
可以使用docker stop來終止一個運行中的容器。
此外,當Docker容器中指定的應用終結時,容器也自動終止。例如啓動一個終端的容器,用戶通過exit命令或者ctrl+d來退出終端時,所創建的容器立刻終止。
終止狀態的容器可以用docker ps -a命令看到,也可以通過docker start ID 命令來啓動容器。
[root@docker ~]# docker ps -a #查看所有容器的情況
CONTAINER ID IMAGE COMMAND CREATED STATUS PORTS NAMES
961fd1162c2f centos "/bin/bash -c 'while " 30 minutes ago Up 30 minutes agitated_raman
[root@docker ~]# docker stop 961fd1162c2f #停止容器
961fd1162c2f
[root@docker ~]# docker ps -a
CONTAINER ID IMAGE COMMAND CREATED STATUS PORTS NAMES
961fd1162c2f centos "/bin/bash -c 'while" 31 minutes ago Exited (137) 27 seconds ago agitated_raman
極端方式停止容器(不推薦)
[root@867e6627a194 ~]# docker ps -a -q #列出所有啓動容器的ID
867e6627a194
[root@867e6627a194 ~]# docker kill $(docker ps -a -q) #批量殺掉啓動的容器
./in.sh: 行 4: 20078 已殺死 nsenter -t $PID -u -i -n -p
1.14.3刪除容器
[root@867e6627a194 ~]# docker ps -a #查看所有容器當前狀態
CONTAINER ID IMAGE COMMAND CREATED STATUS PORTS NAMES
867e6627a194 centos "/bin/bash" 16 minutes ago Up 5 minutes mydocker
c599b569f387 centos "/bin/echo hehe" 19 minutes ago Exited (0) 19 minutes ago fervent_torvalds
302f39c202c9 nginx "/bin/bash" 2 hours ago Up 2 hours 80/tcp, 443/tcp mynginx
[root@867e6627a194 ~]#
[root@867e6627a194 ~]# docker rm c599b569f387 #刪除已經停止的容器
c599b569f387
[root@867e6627a194 ~]# docker rm -f 302f39c202c9 #刪除正在運行的容器
302f39c202c9
1.14.4進入容器
使用-d參數時,容器啓動後會進入後臺。某些時候需要進入容器進行操作,有很多種方法,包括使用docker attach命令或nsenter工具等。
1.14.4.1attach命令
docker attach是Docker自帶的命令。下面示例如何使用該命令。
[root@docker ~]# docker ps -a
CONTAINER ID IMAGE COMMAND CREATED STATUS PORTS NAMES
867e6627a194 centos "/bin/bash" 10 minutes ago Exited (127) 47 seconds ago mydocker
[root@docker ~]# docker start 867e6627a194 #啓動已經停止的容器
867e6627a194
[root@docker ~]# docker attach 867e6627a194 #通過docker attach進入
[root@867e6627a194 /]#
但是使用attach命令有時候並不方便。當多個窗口同時attach到同一個容器的時候,所有的窗口都會同步顯示,當某個窗口因命令阻塞時,其他窗口也無法執行操作了。
1.14.4.2nsenter命令
nsenter可以訪問另一個進程的名字空間。nsenter需要有root權限。
[root@docker ~]# yum install -y util-linux #安裝包中有需要用到的nsenter
[root@docker ~]# docker ps -a
CONTAINER ID IMAGE COMMAND CREATED STATUS PORTS NAMES
867e6627a194 centos "/bin/bash" 10 minutes ago Exited (127) 47 seconds ago mydocker
[root@docker ~]# docker start 867e6627a194 #啓動已經關閉的容器
867e6627a194
[root@docker ~]# docker inspect --format "``.`State`.`Pid`" 867e6627a194 #找到容器的第一個進程PID
20012
[root@docker ~]# nsenter -t 20012 -u -i -n -p #通過這個PID連接到容器
[root@867e6627a194 ~]# exit
[root@docker ~]# docker ps
CONTAINER ID IMAGE COMMAND CREATED STATUS PORTS NAMES
867e6627a194 centos "/bin/bash" 13 minutes ago Up 2 minutes mydocker
[root@docker ~]# cat in.sh #編寫成腳本快速進入容器空間
#!/bin/sh
PID=$(docker inspect --format "``.`State`.`Pid`" $1)
nsenter -t $PID -u -i -n -p
[root@docker ~]# docker ps
CONTAINER ID IMAGE COMMAND CREATED STATUS PORTS NAMES
867e6627a194 centos "/bin/bash" 15 minutes ago Up 4 minutes mydocker
[root@docker ~]# ./in.sh 867e6627a194 #執行腳本跟上容器ID快速進入
[root@867e6627a194 ~]
轉自:http://www.xuliangwei.com/xubusi/280.html?utm_source=tuicool&utm_medium=referral