官方文档:https://docs.docker.com/get-started/overview/
简介
Docker基于 Linux 内核的 cgroup,namespace,以及 OverlayFS 类的 Union FS 等技术,对进程进行封装隔离,属于操作系统层面的虚拟化技术。
由于隔离的进程独立于宿主和其它的隔离的进程,因此也称其为容器。
两张图片比较了 Docker 和传统虚拟化方式的不同之处。传统虚拟机技术是虚拟出一套硬件后,在其上运行一个完整操作系统,在该系统上再运行所需应用进程;而容器内的应用进程直接运行于宿主的内核,容器内没有自己的内核,而且也没有进行硬件虚拟。因此容器要比传统虚拟机更为轻便。
Docker的优点
- 更高效的利用系统资源(省去了传统虚拟机操作系统的开销);
- 更快速的启动时间(启动时间达到秒级甚至毫秒级);
- 一致的运行环境(提供除内核外完整的运行时环境);
- 持续交付和部署(定制应用镜像来实现持续集成、持续交付、部署);
- 更轻松的迁移(只要将持久卷进行迁移,在新机器上以相同的命令启动即可);
- 更轻松的维护和扩展(使用的分层存储以及镜像的技术,使得应用重复部分的复用更为容易)
概念
- 镜像
镜像(由多层文件系统联合组成)不包含任何动态数据,其内容在构建之后也不会被改变。
在构建时,会一层层构建,前一层是后一层的基础。每一层构建完就不会再发生改变,后一层上的任何改变只发生在自己这一层。
例如,删除前一层文件的操作,实际不是真的删除前一层的文件,而是仅在当前层标记为该文件已删除。在最终容器运行的时候,虽然不会看到这个文件,但是实际上该文件会一直跟随镜像。
- 容器
容器的实质是进程,但与直接在宿主执行的进程不同,容器进程运行于属于自己的独立的命名空间(namespace,也常被叫做名字空间)。
因此容器可以拥有自己的 root 文件系统、自己的网络配置、自己的进程空间,甚至自己的用户 ID 空间。每一个容器运行时,是以镜像为基础层,在其上创建一个当前容器的存储层,我们可以称这个为容器运行时读写而准备的存储层为容器存储层(可用层)。
按照 Docker 最佳实践的要求,容器不应该向其存储层内写入任何数据,容器存储层要保持无状态化。
所有的文件写入操作,都应该使用数据卷(Volume)、或者绑定宿主目录,在这些位置的读写会跳过容器存储层,直接对宿主(或网络存储)发生读写,其性能和稳定性更高。
数据卷的生存周期独立于容器,容器消亡,数据卷不会消亡。因此,使用数据卷后,容器删除或者重新运行之后,数据不会丢失,可以新起容器重新套用原数据。
- 仓库
Docker Registry提供集中的存储、分发镜像的服务。
一个Docker Registry中可以包含多个仓库(Repository);每个仓库可以包含多个标签(Tag)。每个标签对应一个镜像,如果不给出标签,将以 latest 作为默认标签。
Docker Registry公开服务是开放给用户使用、允许用户管理镜像的 Registry 服务。Docker 官方提供了 Docker Registry 镜像,可以直接使用做为私有 Registry 服务。