docker简介

Docker 是使用 Google 推出的 Go语言 进行开发的，基于 Linux 内核的 cgroup、namespace和 AUFS类的 Union FS 等技术，对进程进行了封装隔离，属于操作系统层面的虚拟化技术

• AUFS(chroot) – 用来建立不同的操作系统和隔离运行时的硬盘空间
• Namespace – 用一系列namespace来隔离Container的执行空间
  • pid namespace: 用于进程的隔离(PID: Process ID)
  • net namespace: 用于管理网络接口x(NET: Networking)
  • ipc namespace: 用于管理进程间通讯(IPC: Inter Process Communication)
  • mnt namespace: 用于管理Mount点(MNT: Mount)
  • uts namespace: 用于隔离内核和版本信息(UTS: Unix Timesharing System)
• Cgroup – 分配不同的硬件资源
• SELinux – 用来保护linux的网络安全
• Netlink – 用来让不同的Container之间的进程保持通信
• Netfilter – 建立Container为基础的网络防火墙过滤
• Linux Bridge – 让不同Container或不同主机上的Container能通

传统虚拟化技术

我们在创建的虚拟机的时候，会先选择一个系统源和一套虚拟的硬件，然后这些软件就会自助地帮我们创建该系统。传统虚拟化技术是先虚拟出了一套硬件系统，然后在此硬件系统上，运行了一个完整的操作系统，然后就可以使用各类软件、进程了。其实和我们的真实的电脑上操作的流程是差不多的

image.png

docker

Docker 则不需要虚拟这样一套硬件系统，也不需要一个完整的操作系统。它将容器中的应用程序直接运行与宿主机的内核，容器没有自己的内核

image.png

docker的组成

镜像

我们都知道，操作系统分为 内核和用户空间，在 Linux 中，内核在启动后，会通过 Root 文件系统 给操作系统提供了用户空间的支持。而在 Docker 中，它的内核直接借助了宿主机的内核，为了让其内核和用户空间相互通讯作用，就必须要一个 Root 文件系统 来完成这个功能，而镜像就是相当于这个 Root 文件系统

镜像组成

镜像是一个特殊的文件系统。除了提供容器运行时所需的程序、库、资料和配置等文件外，还包括了一些为运行时准备的一些配置参数（如匿名卷、环境变量、用户等）。

值得注意的是：镜像不包含任何动态数据，镜像里的内容在构建之后也不会改变。可以把镜像和面向对象编程中的类的概念进行类比，类一旦定义写好之后，在使用期间其内容不会发生变化，镜像也是。

分层存储

镜像是一个虚拟的概念，是由一组文件系统组成的（也可以说是由多层文件系统组成）。因为镜像包含操作系统的完整的 Root 文件系统，所以Dcoker 在设计镜像的时候，为了减小其体积，充分利用了 Union FS 技术，将其设计为分层存储的架构。

镜像在构建时，会一层一层地构建，后一层是在前一层的基础上构建而成的。每一层在构建完后就不会再发生改变，任何一层都只能在自己这一层上发生改变，也就说后一层对前一层的操作不会使前一层真的发生变化。

举个例子：后一层进行了删除前一层的文件的操作，但是事实上，前一层的文件并没有被真的删除了，该文件只是在后一层上被标记为已删除。在容器运行的时候，虽然不会看到这个文件，但是事实上该文件会一直跟随镜像。

因此，在构建镜像的时候，我们要非常小心，每一层尽可能的只包含该层所需的东西（资源和操作等），任何额外的东西都要在该层构建结束之前清理掉。

分层存储的优势

虽然镜像的分层存储架构看起来很麻烦，但是事实上分层存储架构的好处是非常巨大的，它不仅减小了镜像的体积，还使得镜像的复用、定制变得更为容易。

我们可以使用之前构建好的镜像作为基础层，然后添加一个新层，以定制自所需的内容，构建出新的镜像

容器

上面我们在容器技术那里说到 应用程序/进程就是货物（散件），容器就是集装箱。事实上，当我们运行容器的时候，我们运行的是容器里的进程。

需要注意的是：容器进程与直接在宿主执行的进程不同，容器运行于属于自己的独立的命名空间，所以容器可以拥有自己的 Root 文件系统、网络配置、进程空间和用户ID空间。

容器内的进程运行于一个隔离的环境里，使用起来就像是在一个独立于宿主的操作系统一样

容器存储

容器和镜像一样都是使用分层存储的，但是又稍有不同，在容器运行时，它是以镜像为基础层，然后在此基础上在创建一个属于该容器的存储层。

我们一般称 这个为容器运行时读写而准备的存储层为容器存储层。

容器存储层的生命周期和容器一样，它随着容器的创建而创建，随着容器的消亡而消亡。任何保存在容器存储层的信息都会容器的消亡而丢失。所以我们不应该把数据写入容器存储层，所有的文件写入操作，都应该使用 数据卷（Volume）或者绑定宿主目录。

数据卷与容器存储层不同，它的生命周期独立于容器

Docker Registry 与 仓库

公开Registry

Docker Registry 公开服务是开放给用户使用、允许用户管理镜像的 Registry 服务。一般这类公开服务允许用户免费上传、下载公开的镜像，并可能提供收费服务 供用户管理私有镜像

私有Registry

除了使用公开服务外，用户还可以在本地搭建私有 Docker Registry。Docker 官方 提供了 Docker Registry 镜像，可以直接使用做为私有 Registry 服务。
除了官方的 Docker Registry 外，还有第三方软件实现了 Docker Registry API，甚 至提供了用户界面以及一些高级功能。比如，VMWare Harbor 和 Sonatype Nexus。

docker基础操作

1. 获取镜像
   docker pull <仓库名>:<标签>
   2.列出镜像
   docker images
   3.运行镜像
   docker run [options] repository:tag

• -d:后台运行容器并返回容器id
• -i：以交互模式运行
• -t：为容器分配一个伪终端
• --name:为容器指定一个名字
• -e：设置环境变量
• --env-file：从指定文件读取环境变量
• --net:指定容器网络连接类型( bridge/host/none/container)
• -p：端口映射(主机：容器)

4. 进入容器
   docker exec [options] <container> <cmd>

• -it 以终端交互方式进入容器
• -d 后台运行命令，立即返回执行结果

5. 停止/启动容器
   docker stop
   docker start
   6.查看容器
   docker ps
   7.导入和导出
   docker export <containerId> > path/name.tar 将容器导出成一个tar( 是一个容器的快照)
   docker import <path/url> name 将一个容器快照在倒回为镜像
   8.删除镜像
   docker rmi
   9.删除容器
   docker rm