Docker Docker 基本概念

2022-07-09 02:24:09 字數 2999 閱讀 2304

參考教程:

書籍:《docker技術入門與實踐》

docker 包括三個基本概念

理解了這三個概念,就理解了 docker 的整個生命週期。

virtual box 6.1

centos 7.8

docker 19.03

我們都知道,作業系統分為核心和使用者空間。對於 linux 而言,核心啟動後,會掛載root檔案系統為其提供使用者空間支援。而 docker 映象(image),就相當於是乙個root檔案系統。比如官方映象ubuntu:18.04就包含了完整的一套 ubuntu 18.04 最小系統的root檔案系統。

docker 映象是乙個特殊的檔案系統,除了提供容器執行時所需的程式、庫、資源、配置等檔案外,還包含了一些為執行時準備的一些配置引數(如匿名卷、環境變數、使用者等)。映象不包含任何動態資料,其內容在構建之後也不會被改變。

因為映象包含作業系統完整的root檔案系統,其體積往往是龐大的,因此在 docker 設計時,就充分利用 union fs 的技術,將其設計為分層儲存的架構。所以嚴格來說,映象並非是像乙個 iso 那樣的打包檔案,映象只是乙個虛擬的概念,其實際體現並非由乙個檔案組成,而是由一組檔案系統組成,或者說,由多層檔案系統聯合組成。

映象構建時,會一層層構建,前一層是後一層的基礎。每一層構建完就不會再發生改變,後一層上的任何改變只發生在自己這一層。比如,刪除前一層檔案的操作,實際不是真的刪除前一層的檔案,而是僅在當前層標記為該檔案已刪除。在最終容器執行的時候,雖然不會看到這個檔案,但是實際上該檔案會一直跟隨映象。因此,在構建映象的時候,需要額外小心,每一層盡量只包含該層需要新增的東西,任何額外的東西應該在該層構建結束前清理掉。

分層儲存的特徵還使得映象的復用、定製變的更為容易。甚至可以用之前構建好的映象作為基礎層,然後進一步新增新的層,以定製自己所需的內容,構建新的映象。

關於映象構建,將會在後續相關章節中做進一步的講解。

映象(image)和容器(container)的關係,就像是物件導向程式設計中的例項一樣,映象是靜態的定義,容器是映象執行時的實體。容器可以被建立、啟動、停止、刪除、暫停等。

容器的實質是程序,但與直接在宿主執行的程序不同,容器程序執行於屬於自己的獨立的 命名空間。因此容器可以擁有自己的root檔案系統、自己的網路配置、自己的程序空間,甚至自己的使用者 id 空間。容器內的程序是執行在乙個隔離的環境裡,使用起來,就好像是在乙個獨立於宿主的系統下操作一樣。這種特性使得容器封裝的應用比直接在宿主執行更加安全。也因為這種隔離的特性,很多人初學 docker 時常常會混淆容器和虛擬機器。

前面講過映象使用的是分層儲存,容器也是如此。每乙個容器執行時,是以映象為基礎層,在其上建立乙個當前容器的儲存層,我們可以稱這個為容器執行時讀寫而準備的儲存層為容器儲存層

容器儲存層的生存週期和容器一樣,容器消亡時,容器儲存層也隨之消亡。因此,任何儲存於容器儲存層的資訊都會隨容器刪除而丟失。

按照 docker 最佳實踐的要求,容器不應該向其儲存層內寫入任何資料,容器儲存層要保持無狀態化。所有的檔案寫入操作,都應該使用資料卷(volume)、或者繫結宿主目錄,在這些位置的讀寫會跳過容器儲存層,直接對宿主(或網路儲存)發生讀寫,其效能和穩定性更高。

資料卷的生存週期獨立於容器,容器消亡,資料卷不會消亡。因此,使用資料卷後,容器刪除或者重新執行之後,資料卻不會丟失。

映象構建完成後,可以很容易的在當前宿主機上執行,但是,如果需要在其它伺服器上使用這個映象,我們就需要乙個集中的儲存、分發映象的服務,docker registry 就是這樣的服務。

乙個 docker registry 中可以包含多個 倉庫(repository);每個倉庫可以包含多個 標籤(tag);每個標籤對應乙個映象。

通常,乙個倉庫會包含同乙個軟體不同版本的映象,而標籤就常用於對應該軟體的各個版本。我們可以通過 《倉庫名》:《標籤》 的格式來指定具體是這個軟體哪個版本的映象。如果不給出標籤,將以 latest 作為預設標籤。

以 ubuntu 映象 為例,ubuntu 是倉庫的名字,其內包含有不同的版本標籤,如,16.04, 18.04。我們可以通過 ubuntu:16.04,或者 ubuntu:18.04 來具體指定所需哪個版本的映象。如果忽略了標籤,比如 ubuntu,那將視為 ubuntu:latest。

倉庫名經常以 兩段式路徑 形式出現,比如 jwilder/nginx-proxy,前者往往意味著 docker registry 多使用者環境下的使用者名稱,後者則往往是對應的軟體名。但這並非絕對,取決於所使用的具體 docker registry 的軟體或服務。

最常使用的 registry 公開服務是官方的 docker hub,這也是預設的 registry,並擁有大量的高質量的官方映象。除此以外,還有 red hat 的 quay.io;google 的 google container registry,kubernetes 的映象使用的就是這個服務。

國內也有一些雲服務商提供類似於 docker hub 的公開服務。比如 網易雲映象服務、daocloud 映象市場、阿里雲映象庫 等。

除了使用公開服務外,使用者還可以在本地搭建私有 docker registry。docker 官方提供了 docker registry 映象,可以直接使用做為私有 registry 服務。在私有倉庫一節中,會有進一步的搭建私有 registry 服務的講解。

開源的 docker registry 映象只提供了 docker registry api 的服務端實現,足以支援docker命令,不影響使用。但不包含圖形介面,以及映象維護、使用者管理、訪問控制等高階功能。在官方的商業化版本 docker trusted registry 中,提供了這些高階功能。

除了官方的 docker registry 外,還有第三方軟體實現了 docker registry api,甚至提供了使用者介面以及一些高階功能。比如,harbor 和 sonatype nexus。

介紹了容器、映象、倉庫的概念。

docker docker基本操作

1.從dockerfile檔案建立映象 docker build t 映象名稱 2.檢視本地已有映象 docker images3.查詢映象 docker search 映象名稱 4.拉取進項 docker pull 映象名稱 5.檢視所有容器 docker ps a6.拷貝檔案到docker do...

Fabric private data基本概念

fabric private data利用sidedb來儲存私有資料,相當於在通道之上又提供了一層更細粒度的資料隱私保護機制。本文將介紹fabric private data的引入目的 基本概念與應用場景。目前在hyperledger fabric中實現資料隱私的方法是使用通道。但是官方並不孤立為了...

Fabric private data基本概念

fabric private data利用sidedb來儲存私有資料,相當於在通道之上又提供了一層更細粒度的資料隱私保護機制。本文將介紹fabric private data的引入目的 基本概念與應用場景。目前在hyperledger fabric中實現資料隱私的方法是使用通道。但是官方並不孤立為了...