关于docker:Docker基础基础概念与安装

容器技术

业务是基于利用（Application）运行的，大部分利用是运行在服务器之上的。已经每个服务器只能运行繁多利用，Windows和Linux操作系统都没有相应的技术手段来保障在一台服务器上稳固而平安地同时运行多个利用。

为了解决下面的问题，虚拟机技术呈现了。每当业务部门须要减少利用的时候，IT部门会尝试在现有的有闲暇性能的服务器上安装虚拟机并部署新的利用。

不过虚拟机最大的毛病就是依赖其专用的操作系统（OS）。OS会占用额定的CPU、RAM和存储，这些资源本能够用于运行更多的利用。每个OS都须要补丁和监控。另外在某些状况下，OS须要许可证能力运行。

容器模型其实跟虚拟机模型类似，其次要的区别在于，容器的运行不会独占操作系统。实际上，运行在雷同宿主机上的容器是共享一个操作系统的，这样就可能节俭大量的系统资源，如CPU、RAM以及存储。容器同时还能节俭大量破费在许可证上的开销，以及为OS打补丁等运维老本。同时容器还具备启动快和便于迁徙等劣势。

Linux上装置Docker

这里简略介绍一下在Linux零碎上装置Docker的两种形式。

脚本装置

在Linux上应用wget获取装置脚本并执行：

$ wget -qO- https://get.docker.com/ | sh

yum装置

增加 Docker 装置源：

$ sudo yum-config-manager \    --add-repo \    https://download.docker.com/linux/centos/docker-ce.repo

装置最新版Docker：

$ sudo yum install docker-ce docker-ce-cli containerd.io

最好通过非root用户来应用Docker,这时须要增加非root用户到本地Docker Unix组当中:

$ sudo usermod -aG docker test

如果读者以后登录用户就是要增加到Docker组中的用户的话，则须要从新登录，组权限设置才会失效。

存储驱动的抉择

每个Docker容器都有一个本地存储空间，用于保留层叠的镜像层（Image Layer）以及挂载的容器文件系统。

本地存储是通过存储驱动（Storage Driver）进行治理的，尽管存储驱动在下层形象设计中都采纳了栈式镜像层存储和写时复制（Copy-on-Write）的设计思维，然而Docker在Linux底层反对几种不同的存储驱动的具体实现，每一种实现形式都采纳不同办法实现了镜像层和写时复制。尽管底层实现的差别不影响用户与Docker之间的交互，然而对Docker的性能和稳定性至关重要。

在Linux上，Docker可抉择的一些存储驱动包含AUFS（最原始也是最老的）、Overlay2（可能是将来的最佳抉择）、Device Mapper、Btrfs和ZFS。

存储驱动的抉择是节点级别的。这意味着每个Docker主机只能抉择一种存储驱动，而不能为每个容器抉择不同的存储驱动。在Linux上，读者能够通过批改/etc/docker/daemon.json文件来批改存储引擎配置，批改实现之后须要重启Docker才可能失效。上面的代码片段展现了如何将存储驱动设置为overlay2。

{  "storage-driver": "overlay2"}

如果读者批改了正在运行Docker主机的存储引擎类型，则现有的镜像和容器在重启之后将不可用，这是因为每种存储驱动在主机上存储镜像层的地位是不同的（通常在/var/lib/docker/ <storage-driver>/...目录下）。批改了存储驱动的类型，Docker就无奈找到原有的镜像和容器了。切换到原来的存储驱动，之前的镜像和容器就能够持续应用了。

如果读者心愿在切换存储引擎之后还可能持续应用之前的镜像和容器，须要将镜像保留为Docker格局，上传到某个镜像仓库，批改本地Docker存储引擎并重启，之后从镜像仓库将镜像拉取到本地，最初重启容器。

能够通过上面的命令来查看Docker以后的存储驱动类型。

$ docker system info

容器技术原理

Docker 是利用 Linux 的 Namespace 、Cgroups 和联结文件系统三大机制来保障实现的， 所以它的原理是应用 Namespace 做主机名、网络、PID 等资源的隔离，应用 Cgroups 对过程或者过程组做资源（例如：CPU、内存等）的限度，联结文件系统用于镜像构建和容器运行环境。

Namespace

Namespace 是 Linux 内核的一项性能，该性能对内核资源进行隔离，使得容器中的过程都能够在独自的命名空间中运行，并且只能够拜访以后容器命名空间的资源。Namespace 能够隔离过程 ID、主机名、用户 ID、文件名、网络拜访和过程间通信等相干资源。

Docker 次要用到以下五种命名空间：

• pid namespace：用于隔离过程 ID。
• net namespace：隔离网络接口，在虚构的 net namespace 内用户能够领有本人独立的 IP、路由、端口等。
• mnt namespace：文件系统挂载点隔离。
• ipc namespace：信号量,音讯队列和共享内存的隔离。
• uts namespace：主机名和域名的隔离。

Cgroups

Cgroups 是一种 Linux 内核性能，能够限度和隔离过程的资源应用状况（CPU、内存、磁盘 I/O、网络等）。在容器的实现中，Cgroups 通常用来限度容器的 CPU 和内存等资源的应用。

联结文件系统

联结文件系统，又叫 UnionFS，是一种通过创立文件层过程操作的文件系统，因而，联结文件系统十分轻快。Docker 应用联结文件系统为容器提供构建层，使得容器能够实现写时复制以及镜像的分层构建和存储。罕用的联结文件系统有 AUFS、Overlay 和 Devicemapper 等。