51工具盒子

依楼听风雨
笑看云卷云舒,淡观潮起潮落

Docker虚拟化技术概述及部署安装

一、虚拟化概述及简介

通俗的说,虚拟化就是把物理资源转变为逻辑上可以管理的资源,以打破物理结构间的壁垒,计算元件运行在虚拟的基础上而不是真实的基础上,可以扩大硬件的容量,简化软件的重新配置过程。

Docker虚拟化技术概述及部署安装_https://www.tiejiang.org_容器技术_第1张

允许一个平台同时运行多个操作系统,并且应用程序都可以在相互独立的空间内运行而互不影响,从而显著提高计算机的工作效率,是一个为了简化管理,优化资源的解决方案。

目前主流的虚拟化技术主要有:KVM、Xen、VMware、VirtualBox、Docker,虚拟化技术也越来越广泛的应用在企业中,例如Taobao、Google等。

虚拟化原理:虚拟化解决方案的底部是要进行虚拟化的物理机器。这台机器可能直接支持虚拟化,也可能不会直接支持虚拟化;那么就需要系统管理程序层的支持。系统管理程序(Virtual machine monitor),或称为 VMM,可以看作是平台硬件和操作系统的抽象化。在某些情况中,这个系统管理程序就是一个操作系统;此时,它就称为主机操作系统。


Docker虚拟化技术概述及部署安装_https://www.tiejiang.org_容器技术_第2张 完全拟化技术实际上是通过软件实现对操作系统的资源再分配,比较成熟,例如我们的KVM、virtualBOX;


而半虚拟化技术则是通过代码修改已有的系统,形成一种新的可虚拟化的系统,调用硬件资源去安装多个系统,整体速度上相对高一点,代表产品有Xen。

二、Docker入门简介

Docker 是一个开源的应用容器引擎,让开发者可以打包他们的应用以及依赖包到一个可移植的容器中,然后发布到任何流行的Linux机器上,也可以实现虚拟化。

容器是完全使用沙箱机制,相互之间不会有任何接口(类似 iPhone 的 app)。几乎没有性能开销,可以很容易地在机器和数据中心中运行。最重要的是,他们不依赖于任何语言、框架或包括系统。

"Docker"应该是2014年最火爆的技术之一,如果没有听说过,那么你就out了,2015年将开启新的跨越。

Docker 自开源后受到广泛的关注和讨论,以至于 dotCloud 公司后来都改名为 Docker Inc。Redhat 已经在其 RHEL6.5 中集中支持 Docker;Google 也在其 PaaS 产品中广泛应用。

Docker 项目的目标是实现轻量级的操作系统虚拟化解决方案。 Docker 的基础是 Linux 容器(LXC)等技术。

在 LXC 的基础上 Docker 进行了进一步的封装,让用户不需要去关心容器的管理,使得操作更为简便。用户操作 Docker 的容器就像操作一个快速轻量级的虚拟机一样简单。

下面对比了Docker 和传统虚拟化(KVM、XEN等)方式的不同之处,Docker容器是在操作系统层面上实现虚拟化,直接复用本地主机的操作系统,而传统方式则是在硬件的基础上,虚拟出自己的系统,再在系统上部署相关的APP应用。

虚拟化要运行一下Nginx软件

下图为传统虚拟化方案:


Docker虚拟化技术概述及部署安装_https://www.tiejiang.org_容器技术_第3张 如下为Docker虚拟化方案:



Docker虚拟化技术概述及部署安装_https://www.tiejiang.org_容器技术_第4张 三、Docker虚拟化有三个概念需要理解,分别镜像、容器、仓库。


镜像:docker的镜像其实就是模板,跟我们常见的ISO镜像类似,是一个样板。

容器:使用镜像常见的应用或者系统,我们称之为一个容器。

仓库:仓库是存放镜像的地方,分为公开仓库(Public)和私有仓库(Private)两种形式。

Docker LXC及Cgroup

Docker最早为 LXC+AUFS组合,Docker0.9.0版本开始引入libcontainer,可以视作LXC的替代品)。其中LXC负责资源管理,AUFS负责镜像管理;而LXC包括cgroup、namespace、chroot等组件,并通过cgroup进行资源管理。

从资源管理来看,Docker、LXC、Cgroup三者的关系是:Cgroup在最底层落实资源管理,LXC在cgroup上封装了一层,Docker又在LXC封装了一层,要想学好Docker,需要了解负责资源管理的CGroup和LXC。


Docker虚拟化技术概述及部署安装_https://www.tiejiang.org_容器技术_第5张 Cgroups是control groups的缩写,是Linux内核提供的一种可以限制、记录、隔离进程组(process groups)所使用的物理资源(如:CPU, Memory, IO等)的机制。


最初由Google的工程师提出,后来被整合进Linux内核。Cgroups也是LXC为实现虚拟化所使用的资源管理手段,可以说没有Cgroups就没有LXC,也就没有Docker。

Cgroups最初的目标是为资源管理提供的一个统一的框架,既整合现有的Cpuset等子系统,也为未来开发新的子系统提供接口。现在的Cgroups适用于多种应用场景,从单个进程的资源控制,到实现操作系统层次的虚拟化(OS Level Virtualization)。

LinuxContainer容器可以提供轻量级的虚拟化,以便隔离进程和资源,而且不需要提供指令解释机制以及全虚拟化的其他复杂性。容器有效地将由单个操作系统管理的资源划分到孤立的组中,以更好地在孤立的组之间平衡有冲突的资源使用需求。

LXC建立在CGroup基础上,我们可以粗略的认为LXC = Cgroup+ namespace + Chroot + veth +用户态控制脚本。LXC利用内核的新特性(CGroup)来提供用户空间的对象,用来保证资源的隔离和对于应用或者系统的资源控制。

典型的Linux文件系统由bootfs和rootfs两部分组成,bootfs(boot file system)主要包含 bootloader和kernel,bootloader主要是引导加载kernel,当kernel被加载到内存中后 bootfs就被umount。rootfs (root file system) 包含的就是典型 Linux 系统中的/dev,/proc,/bin,/etc等标准目录和文件。


Docker虚拟化技术概述及部署安装_https://www.tiejiang.org_容器技术_第6张 Docker容器的文件系统最早是建立在Aufs基础上的,Aufs(Another Union File System)是一种Union FS, 简单来说就是支持将不同的目录挂载到同一个虚拟文件系统下,并实现一种layer的概念。


由于Aufs未能加入到Linux内核,考虑到兼容性问题,加入了Devicemapper的支持。Docker目前默认运行在Devicemapper基础上。

Aufs将挂载到同一虚拟文件系统下的多个目录分别设置成read-only,read-write以及whiteout-able权限,对read-only目录只能读,而写操作只能实施在read-write目录中。重点在于,写操作是在read-only上的一种增量操作,不影响read-only目录。当挂载目录的时候要严格按照各目录之间的这种增量关系,将被增量操作的目录优先于在它基础上增量操作的目录挂载,待所有目录挂载结束了,继续挂载一个read-write目录,如此便形成了一种层次结构。

传统的Linux加载bootfs时会先将rootfs设为read-only,然后在系统自检之后将rootfs从read-only改为read-write,然后我们就可以在rootfs上进行写和读的操作了。但Docker的镜像却不是这样,它在bootfs自检完毕之后并不会把rootfs的read-only改为read-write。而是利用union mount(UnionFS的一种挂载机制)将一个或多个read-only的rootfs加载到之前的read-only的rootfs层之上。

在加载了这么多层的rootfs之后,仍然让它看起来只像是一个文件系统,在Docker的体系里把union mount的这些read-only的rootfs叫做Docker的镜像。但是,此时的每一层rootfs都是read-only的,我们此时还不能对其进行操作。当我们创建一个容器,也就是将Docker镜像进行实例化,系统会在一层或是多层read-only的rootfs之上分配一层空的read-write的rootfs。


Docker虚拟化技术概述及部署安装_https://www.tiejiang.org_容器技术_第7张 Device Mapper 是 Linux2.6 内核中支持逻辑卷管理的通用设备映射机制,它为实现用于存储资源管理的块设备驱动提供了一个高度模块化的内核架构,Device Mapper的内核体系架构:



Docker虚拟化技术概述及部署安装_https://www.tiejiang.org_容器技术_第8张 在内核中它通过一个一个模块化的 target driver 插件实现对 IO 请求的过滤或者重新定向等工作,当前已经实现的 target driver 插件包括软 raid、软加密、逻辑卷条带、多路径、镜像、快照等,图中 linear、mirror、snapshot、multipath 表示的就是这些 target driver。Device mapper 进一步体现了在 Linux 内核设计中策略和机制分离的原则,将所有与策略相关的工作放到用户空间完成,内核中主要提供完成这些策略所需要的机制。


Device mapper 用户空间相关部分主要负责配置具体的策略和控制逻辑,比如逻辑设备和哪些物理设备建立映射,怎么建立这些映射关系等等,而具体过滤和重定向 IO 请求的工作由内核中相关代码完成。因此整个 device mapper 机制由两部分组成--内核空间的 device mapper 驱动、用户空间的device mapper 库以及它提供的 dmsetup 工具。

四、Docker虚拟化特点

跟传统VM比较具有如下优点:

操作启动快

运行时的性能可以获取极大提升,管理操作(启动,停止,开始,重启等等) 都是以秒或毫秒为单位的。

轻量级虚拟化

你会拥有足够的"操作系统",仅需添加或减小镜像即可。在一台服务器上可以布署100~1000个Containers容器。但是传统虚拟化,你虚拟10-20个虚拟机就不错了。

开源免费

开源的,免费的,低成本的。由现代Linux内核支持并驱动。注* 轻量的Container必定可以在一个物理机上开启更多"容器",注定比VMs要便宜。

前景及云支持

正在越来越受欢迎,包括各大主流公司都在推动docker的快速发展,性能有很大的优势。

跟传统VM比较具有如下缺点:

目前知道的人比较少;

相关的技术资料欠缺;

Go语言还没完全成熟。

五、为什么使用Docker

Docker 在如下几个方面具有较大的优势:

更快速的交付和部署

Docker在整个开发周期都可以完美的辅助你实现快速交付。Docker允许开发者在装有应用和服务本地容器做开发。可以直接集成到可持续开发流程中。

开发者可以使用一个标准的镜像来构建一套开发容器,开发完成之后,运维人员可以直接使用这个容器来部署代码。 Docker 可以快速创建容器,快速迭代应用程序,并让整个过程全程可见,使团队中的其他成员更容易理解应用程序是如何创建和工作的。 Docker 容器很轻很快!容器的启动时间是秒级的,大量地节约开发、测试、部署的时间。

高效的部署和扩容

Docker 容器几乎可以在任意的平台上运行,包括物理机、虚拟机、公有云、私有云、个人电脑、服务器等。 这种兼容性可以让用户把一个应用程序从一个平台直接迁移到另外一个。

Docker的兼容性和轻量特性可以很轻松的实现负载的动态管理。你可以快速扩容或方便的下线的你的应用和服务,这种速度趋近实时。

更高的资源利用率

Docker 对系统资源的利用率很高,一台主机上可以同时运行数千个 Docker 容器。容器除了运行其中应用外,基本不消耗额外的系统资源,使得应用的性能很高,同时系统的开销尽量小。传统虚拟机方式运行 10 个不同的应用就要起 10 个虚拟机,而Docker 只需要启动 10 个隔离的应用即可。

更简单的管理

使用 Docker,只需要小小的修改,就可以替代以往大量的更新工作。所有的修改都以增量的方式被分发和更新,从而实现自动化并且高效的管理。

Docker引擎架构

docker引擎是一个C/S结构的应用,组件如图所示:


Docker虚拟化技术概述及部署安装_https://www.tiejiang.org_容器技术_第9张


Server是一个常驻进程;

REST API 实现了client和server间的交互协议;

CLI 实现容器和镜像的管理,为用户提供统一的操作界面。

Docker使用C/S架构,Client 通过接口与Server进程通信实现容器的构建,运行和发布。client和server可以运行在同一台集群,也可以通过跨主机实现远程通信,架构如图所示:


Docker虚拟化技术概述及部署安装_https://www.tiejiang.org_容器技术_第10张 实战操作如下:


六、Docker安装配置

系统环境:Centos7.4(docker官方文档说要求Linux kernel至少3.8以上),执行以下命令

  1. [root@localhost ~]# yum -y install docker

Docker虚拟化技术概述及部署安装_https://www.tiejiang.org_容器技术_第11张 安装完后:


启动docker进程:systemctl start docker.service

查看docker进程: ps -ef | grep docker


Docker虚拟化技术概述及部署安装_https://www.tiejiang.org_容器技术_第12张 Docker简单使用


要使用docker虚拟化,首先我们需要去下载一个镜像,然后使用docker命令启动

1)下载镜像

  1. [root@localhost ~]# docker search centos
  2. [root@localhost ~]# docker pull centos

Docker虚拟化技术概述及部署安装_https://www.tiejiang.org_容器技术_第13张

2)启动Docker容器


Docker虚拟化技术概述及部署安装_https://www.tiejiang.org_容器技术_第14张 3)进入容器


  1. [root@localhost ~]# docker exec -it f48a681da213 /bin/bash

Docker虚拟化技术概述及部署安装_https://www.tiejiang.org_容器技术_第15张
七、Docker常用命令讲解

docker version #查看版本

docker search centos #搜索可用docker镜像

docker images #查看当前docker所有镜像

docker pull centos #下载镜像

cat centos.tar | docker import - centos6_newname #Docker导入镜像

docker export 容器_id > cenos6.tar #Docker导出镜像

docker run centos echo "hello word" #在docker容器中运行hello world!

docker run centos yum install ntpdate #在容器中安装ntpdate的程序

docker ps -l #命令获得最后一个容器的id

docker ps -a #查看所有的容器。

运行docker commit 提交刚修改的容器,例如:

docker commit 2313132 centos:v1

docker run -i --t -d centos /bin/bash 在容器里启动一个/bin/bash shell环境,可以登录进入操作,其中-t 表示打开一个终端的意思,-i表示可以交互输入。

docker run -d centos:v1 /bin/bash ,-d表示在后台启动,以daemon方式启动。

Docker stop id #关闭容器

Docker start id #启动某个容器

docker rm id #删除容器

docker rmi images #删除镜像

docker run -d -p 80:80 -p 8022:22 centos:v2,解析:-p指定容器启动后docker上运行的端口映射及容器里运行的端口,80:80,第一个80表示docker系统上的80,第二个80表示docker虚拟机里面的端口。用户默认访问本机80端口,自动映射到容器里面的80端口。

docker exec -it id /bin/bash #进入容器

赞(3)
未经允许不得转载:工具盒子 » Docker虚拟化技术概述及部署安装