大白话Docker入门(二)
上篇的大白话Docker入门(一)让我们认识了docker,知道docker大概是怎么玩的。初步的印象可能会让你觉得和现在的VM的部署方式也挺像的,比如docker image就是一个系统备份文件,docker container就是一个跑起来的vm,那docker到底又有什么特别的呢?
不一样的Docker
简单的列一下目前这个阶段我们很容易发现的几点:
- docker image的体积非常的小,注意看下之前我们用到的几个image的size,一个完整功能的ubuntu才100多mb。docker image如此小的体积,让我们可以方便的在网络上传输和分享,对于公司来说就提供了对大量image的管理和分发的可能。
ruideMacBook-Pro:~ ruihuang$ docker images REPOSITORY TAG SIZE job1 latest 1.093 MB ubuntu latest 127.2 MB busybox latest 1.093 MB hello-world latest 1.848 kB - docker的系统启动的耗时为0。昨天如果自己也尝试启动hello-world的同学可能会知道,
docker run hello-world的命令是瞬间完成的,你并没有感觉到加载image,启动系统的耗时,命令完成就直接输出了结果。程序执行完后container也跟着关闭,也并没有保存镜像的时间,但下次再运行还是会保留你处理过的状态。 - docker系统占用资源极少,我们知道如果我们开启了一个vm的系统,不论是linux的或者windows,就算什么都不运行都会占用一部分内存,但是docker container启动后如果不运行程序,你是看不到系统资源被占用的。
这些特点是不是完全和vm不同呢?并且有了这些特点,是不是很多之前没有的应用场景就会产生?比如我们可以把一个项目build成一个image,然后方便分发出去,别人拿到后也不用关心你的项目需要什么环境或者依赖,只要docker run一下就能运行。。而且速度很快,甚至在一台开发机都可以管理成百上千的container,没有业务处理的时候也不会占用你的系统资源。。。
到这里可能你已经感受到docker的一些厉害之处了吧。。。那么是不是也很好奇docker到底是怎么做到的?那么我们继续往下。
Docker是如何做到的
我们先思考一下,一台服务器给我们开发的项目到底提供了哪些能力让他运行起来呢?cpu、内存、硬盘、网络、操作系统、工具软件还有项目的运行环境(jre等)。当具备了这些能力的机器,我们会说这台机器给项目提供了可以运行的环境。
我们知道VM技术可以将一台物理机器部署为多台虚拟机器,解决了很多物力资源的浪费以及方便的管理能力。那么VM是怎么做到的呢?关键词:Hypervisor,VM在物理机器的操作系统上建立了一个中间软件层Hypervisor,Hypervisor利用物理机器的资源,虚拟出多个新虚拟的硬件环境,这些硬件环境可以共享宿主机的资源。这些新的虚拟的硬件环境,安装操作系统和相应的软件后便形成了一台台的虚拟机器。
那么Docker有什么不同呢?Docker很聪明的利用linux的一些技术走了一条捷径:Docker选择了和虚拟化完全不同的思路,并不去虚拟化任何硬件,而是对硬件资源在不同的docker container之间做了 “隔离” 。隔离使每个docker container之间拥有了不同的环境(硬盘空间、网络、系统的工具包),并且又可以共享需要的硬件资源(cpu、内存、系统内核),达到了和虚拟机能提供的同样的功能。
Docker使用的Linux核心的组建如下:(截取自Docker的元件– Linux核心部分)
- AUFS(chroot) – 用来建立不同的操作系统和隔离运行时的硬盘空间
- Namespace – 用来隔离Container的执行空间
- Cgroup – 分配不同的硬件资源
- SELinux – 用来保护linux的网络安全
- Netlink – 用来让不同的Container之间的进程保持通信
- Netfilter – 建立Container埠為基礎的網路防火牆封包過濾
- AppArmor – 保護Container的網路及執行安全
- Linux Bridge – 讓不同Container或不同主機上的Container能溝通
- 。。。
这里面的每一项技术当然都值得我们去理解,这里我只拿其中最具代表性的AUFS来展开一下,让大家理解一下docker隔离的思路。 (除了AUFS的技术请大家自己研究吧,后面我也会整理一些资源发出来)
AUFS -> Another Union File System,AUFS的技术可以让多个文件目录union成一个新的目录,并且可以对这个新的目录进行读写操作。
那这有什么用呢?如果你有一张只读的cd数据盘,但是你却想编辑里面的内容,你通常的做法是不是把内容拷贝到本地硬盘,然后再编辑。但如果你可以利用AUFS技术,你就可以将硬盘中的一个空目录和你的cd数据盘进行union形成一个新的目录,接着你对这个目录读取,会得到的cd盘内的数据,当你对这个目录的内容进行编辑,编辑的内容AUFS会自动讲修改内容保存在你union的那个空目录内,当你再次读区的时候,AUFS也会将你硬盘中记录的改动内容优先于CD数据盘中的内容读取出来,这样对你来说这就完全是一个可编辑的目录内容了。
AUFS虽然看起来思路很简单,但是docker却利用这个技术做出了大文章。我们可以想象一下docker的Image,其实也就是一个事先制作好的只读的文件目录,当我们要使用这个系统功能的时候,docker为我们开辟了一个新的文件夹和这个image做了union,提供给docker container做为系统运行的存储,这个image里面已经包含了系统程序、工具软件、以及程序,当系统启动后产生的运行时文件(如logs、临时目录等)或新安装的软件都在这个新的文件夹内。这样我们在启动一个container的时候,其实并没有加载镜像的过程,也不会像vm一样需要安装一个系统这么负责,只是做了一次unoin,一切就和安装过系统的虚拟机同样使用了。另外docker还提供了一个docker commit命令,这个命令可以随时将你现在的运行中的cantainer构建成一个新的image。
- 查看当前的container列表
命令:docker ps -aruideMacBook-Pro:~ ruihuang$ docker ps -a CONTAINER ID IMAGE COMMAND STATUS 78bd49d9b73e ubuntu "bash" Exited (0) 17 hours ago - 通过一个ubuntu的container生成一个新的image,这个image内包含了在这次container中的改动
命令:docker commit container-idruideMacBook-Pro:~ ruihuang$ docker commit 78bd49d9b73e job2 sha256:e0c0d617d96cafedf008e3f276f35a2b95d15f1ed7535b58d19c8db8b18f8fb2 - 查看现在是不是有了一个新的container了
命令:docker imagesruideMacBook-Pro:~ ruihuang$ docker images REPOSITORY TAG IMAGE ID SIZE job2 latest e0c0d617d96c 127.2 MB job1 latest de714ebe3a54 1.093 MB ubuntu latest f753707788c5 127.2 MB busybox latest e02e811dd08f 1.093 MB hello-world latest c54a2cc56cbb 1.848 kB
看到这里是不是大致的理解了docker container和docker images之间的联系了。
小结一下
Dcoker通过很多的所谓 隔离 的方式,让多个docker container之间共享了同一台机器上的资源,但又是相互隔离的(比如container1 和 container2 用的是完全不同的硬盘空间、网络地址等),这样就让docker container成为了我们项目理想的开发、测试、发布的环境。非常的轻量,简单,易于分发和管理。这也就是docker的目标:Build, Ship and Run Any App, Anywhere!
下一节
下面我会简单的再分享一下现在docker的实际使用场景,和mircoservice 的概念。。。让大家了解docker对于现有技术和模式的影响~