容器运行时 and Docker
什么是Docker
Docker 使用 Google 公司推出的 Go 语言 进行开发实现,基于 Linux 内核的 cgroup,namespace,以及 AUFS 类的 Union FS 等技术,对进程进行封装隔离,属于 操作系统层面的虚拟化技术。由于隔离的进程独立于宿主和其它的隔离的进程,因此也称其为容器。最初实现是基于 LXC,从 0.7 版本以后开始去除 LXC,转而使用自行开发的 libcontainer,从 1.11 开始,则进一步演进为使用 runC 和 containerd。
Docker 在容器的基础上,进行了进一步的封装,从文件系统、网络互联到进程隔离等等,极大的简化了容器的创建和维护。使得 Docker 技术比虚拟机技术更为轻便、快捷。
1. 为什么选择Docker?
作为一种新兴的虚拟化方式,Docker 跟传统的虚拟化方式相比具有众多的优势。
(1)更高效的利用系统资源。
由于容器不需要进行硬件虚拟以及运行完整操作系统等额外开销,Docker 对系统资源的利用率更高。无论是应用执行速度、内存损耗或者文件存储速度,都要比传统虚拟机技术更高效。因此,相比虚拟机技术,一个相同配置的主机,往往可以运行更多数量的应用。
(2)更快速的启动时间
传统的虚拟机技术启动应用服务往往需要数分钟,而 Docker 容器应用,由于直接运行于宿主内核,无需启动完整的操作系统,因此可以做到秒级、甚至毫秒级的启动时间。大大的节约了开发、测试、部署的时间。
(3)一致的运行环境
开发过程中一个常见的问题是环境一致性问题。由于开发环境、测试环境、生产环境不一致,导致有些 bug 并未在开发过程中被发现。而 Docker 的镜像提供了除内核外完整的运行时环境,确保了应用运行环境一致性,从而不会再出现 「这段代码在我机器上没问题啊」 这类问题。
(4)持续交付和部署
对开发和运维(DevOps)人员来说,最希望的就是一次创建或配置,可以在任意地方正常运行。
使用 Docker 可以通过定制应用镜像来实现持续集成、持续交付、部署。开发人员可以通过 Dockerfile 来进行镜像构建,并结合 持续集成(Continuous Integration) 系统进行集成测试,而运维人员则可以直接在生产环境中快速部署该镜像,甚至结合 持续部署(Continuous Delivery/Deployment) 系统进行自动部署。
而且使用 Dockerfile 使镜像构建透明化,不仅仅开发团队可以理解应用运行环境,也方便运维团队理解应用运行所需条件,帮助更好的生产环境中部署该镜像。
(5)更轻松的迁移
由于 Docker 确保了执行环境的一致性,使得应用的迁移更加容易。Docker 可以在很多平台上运行,无论是物理机、虚拟机、公有云、私有云,甚至是笔记本,其运行结果是一致的。因此用户可以很轻易的将在一个平台上运行的应用,迁移到另一个平台上,而不用担心运行环境的变化导致应用无法正常运行的情况。
(6)更轻松的维护和扩展
Docker 使用的分层存储以及镜像的技术,使得应用重复部分的复用更为容易,也使得应用的维护更新更加简单,基于基础镜像进一步扩展镜像也变得非常简单。此外,Docker 团队同各个开源项目团队一起维护了一大批高质量的 官方镜像,既可以直接在生产环境使用,又可以作为基础进一步定制,大大的降低了应用服务的镜像制作成本。
一、容器运行时(Container Runtime)是什么
容器运行时就是运行和管理容器进程,镜像的工具。
二、容器运行时分类
Docker属于容器技术早期的发展项目,也是最广泛的容器引擎技术,当然,随着容器生态圈的日益繁荣,业界慢慢也出现了其他各种运行时工具。根据容器运行时提供的功能呢个,可以将容器运行时分为低层运行时和高层运行时。
低层运行时
低层运行时主要负责与宿主机操作系统打交道,根据指定的容器镜像在宿主机上运行容器的进程,并对容器的的整个生命周期进行管理。而低层运行时,正是负责执行我们前面讲解过的设置容器Namespace,Cgroups等基础操作的组建,常见的低层运行时种类有:
- runc:传统的运行时,基于LInux Namespace和Cgroups技术实现,代表实现Docker。
- runv:基于虚拟机管理程序的运行时,通过虚拟化guest kernel,将容器和主机隔离开,使得边界更加清晰,代表实现是KAtaContainer和Firecracker
- runsc:runc + safety,通过拦截应用程序的所有系统调用,提供安全隔离的轻量级容器运行时沙箱,代表实现是谷歌的gVisor
高层运行时
高层运行时主要负责镜像的管理,转化等工作,为容器的运行做提前准备。主流的高层运行时主要containerd和CRI-O。
高层运行时和低层运行时各司其职,容器运行时一般先由高层运行时将容器镜像下载下来,并解压转换为容器运行需要的操作系统文件,再有低层运行时启动和管理容器。
低层运行时和高层运行时之间的关系
容器运行时更侧重于运行容器,为容器设置命名空间和控制组(cgroup),也被称为底层容器运行时,高层的容器运行时或者容器引擎专注于格式,解包,管理和镜像共享。他们还为开发者提供API。
三、Docker组成
Docker最初是一个单体引擎,主要负责容器镜像的制作,上传,拉取以及容器的运行以及管理。随着容器技术的发展,为了促进容器技术相关的规范生成和Docker自身项目的发展,Docker将单体引擎拆分为三部分:runC,containerd和dockerd
其中:
- runC主要负责容器的运行和生命周期的管理(低层运行时)
- containerd主要负责容器的镜像的下载和解压等镜像管理功能(高层进行时)
- dockerd主要负责提供镜像制作,上传等功能同时提供容器存储和网络的映射功能,同时也是Docker服务器端的守护进程,用来响应Docker客户端(命令行CLI工具)发来的各种容器、镜像管理的任务。
四、容器运行机制
当我们使用docker run运行一个命令在容器中时,在容器运行时层面会发生什么?
- 如果本地没有镜像,,则会从镜像登记仓库(registry)拉取镜像
- 镜像被提取到一个写时复制(COW)的文件系统上,所有的容器层相互堆叠以形成一个合并的文件系统。
- 为容器准备一个挂载点。
- 从容器镜像中设置元数据i,包括诸如覆盖CMD,来自用户输入的ENTRYOINT,设置SECCOM规则等设置,以确保容器按预期运行。
- 提醒内核为该容器分配某种隔离,如进程,网络和文件系统(命名空间(namespace))
- 提醒内核为该容器分配一些资源限制,如CPU或内存限制(控制组(cgroup))
- 传递一个系统调用(syscall)给内核用于启动器。
- 设置SeLinux/AppArmor
五、常用命令
docker --help//查看自己服务器docker镜像
docker images //搜索镜像
docker search//拉取镜像
docker pull//运行镜像
docker run//保存镜像
docker save//删除镜像
docker rmi -f
docker image rm
