什么是容器
- 容器是一种虚拟化技术,用于将应用程序和它所有依赖项打包在一起,以便在不同环境中移植和运行
- 应用或服务之间相互隔离,共享一个OS
什么是Docker
- 一个开源的应用容器引擎,可以让开发者打包一个应用及其依赖包到一个轻量的,可移植的容器中
- Docker将应用程序和基础设施分开,以便快速交付软件
Docker优点
- 快速,一致地交付应用。开发,测试,运维可以直接用一套相同环境。
- 更高效的资源利用。Docker容器共享宿主机内核。
- 更轻松的迁移和扩展。Docker容器几乎可以在任意平台运行
- 更简单的更新管理。使用Dockerfile,只需小的配置修改,就能替代以往大量更新工作
Docker和虚拟机比较
Docker作为一种轻量级的虚拟化方式,与传统的虚拟机相比具有显著优势:
- Docker容器很快,启动和停止在秒级实现
- Docker容器对系统资源需求更少,一台主机可运行数千Docker容器
- 多个容器之间共享OS
Docker应用场景
- CI/CD (持续集成/持续部署)
Docker安装
https://pcj600.github.io/2024/1017195632.html
Docker配置国内源加速
https://pcj600.github.io/2024/1031225813.html
修改Docker容器存储路径
https://pcj600.github.io/2021/1016200721.html
Docker三个核心概念
镜像,容器,仓库
镜像
Docker镜像是一个特殊的文件系统,提供容器运行所需程序,库,资源,配置
Docker运行容器前需要本地存在对应的镜像。如果本地找不到镜像,Docker会尝试从镜像仓库下载
获取镜像
下载最新的ubuntu镜像
1 | docker pull ubuntu # 或 docker pull ubuntu:latest |
下载指定版本的ubuntu镜像,比如14.04
1 | docker pull ubuntu:14.04 |
用户也可以选择从其他仓库下载镜像,此时需要指定完整的仓库地址,例如:
1 | docker pull dl.dockerpool.com:5000/ubuntu |
查看镜像
1 | docker images |
查看镜像详细信息
1 | docker inspect [IMAGE ID] |
docker inspect返回一个JSON格式数据。如果只需要某一项内容,使用-f参数
1 | docker inspect ubuntu -f {{".Architecture"}} |
删除镜像
先获取要删除镜像的IMAGE ID,再使用docker rmi
命令
1 | docker images | grep ubuntu |
存出或载入镜像
把镜像存出到本地文件,可以使用docker save命令
1 | docker save -o busybox.tar busybox:latest |
从文件busybox.tar载入镜像,使用docker load命令
1 | docker load --input busybox.tar |
上传镜像
一般是先对镜像打个tag,再上传
1 | docker tag test:latest user_repo/test:latest |
容器
什么是容器
容器是镜像的一个运行实例, 通常一个容器就是一个应用或提供一个服务
创建容器
1 | docker create -it busybox:latest |
docker create创建的容器处于停止状态,可以用docker start命令启动它
1 | docker start 69ed2220d4d5 |
启动容器
docker run命令用于启动容器,它等价于先执行docker create, 再执行docker start。
以下启动一个bash中断,允许用户交互
1 | docker run -it ubuntu:14.04 /bin/bash |
交互模式下, 用户可以按Ctrl+d或输入exit命令退出容器。退出后容器处于终止状态
1 | root@f21525899f99:/# ps axf |
守护态运行
通过-d参数,实现Docker容器以守护态(daemonized)运行
1 | docker run -d -it ubuntu:14.04 /bin/bash |
终止容器
docker stop用于终止一个运行中的容器
1 | docker stop [CONTAINER ID] |
强行中止容器
1 | docker kill [CONTAINER ID] |
查看所有容器状态
1 | docker ps -a |
进入容器
docker exec用于在容器运行命令,比如进入一个容器中,启动一个bash
1 | docker exec -it f53c8a9de7161fdc4b75a5a1ecdaa7dbe4f2208ea01526ec9bcf025fe6f3e874 bash |
nsenter
- nsenter是一个用于进入到目标程序所在Namespace中运行命令的工具,一般用于宿主机上调试容器中运行的程序
- 典型用途是进入容器的网络命名空间。因为容器为了轻量化,通常不包含基础网络调试工具(ip,tcpdump),调试定位很麻烦
举例:启动一个ubuntu容器,通过nsenter进入容器的命名空间
1 | # 启动一个ubuntu容器 |
删除容器
1 | docker rm [CONTAINER ID] |
仓库
存放镜像的地方, 比如DockerHub,可以上传自己的镜像;主机也可以从仓库下载镜像。
数据卷
使用Docker过程中,需要查看容器内应用生产的数据,或者对数据备份,或者多个容器间进行数据共享,这些涉及到容器的数据管理操作
- 数据卷(Data Volumes)
- 数据卷容器(Data Volume Containers)
数据卷是一个供容器使用的特殊目录,有如下有用特性:
- 数据卷可以在容器间共享和重用
- 对数据卷修改会立刻生效
- 对数据卷的更新,不会影响镜像
- 卷会一直存在,直到没有容器使用
创建数据卷
挂载一个主机目录作为数据卷
1 | docker run --rm -it -v /home/docker:/home/docker ubuntu:14.04 /bin/bash |
网络配置
映射宿主机5000端口到容器的5000端口, 并查看映射端口配置
1 | docker run -d -it -p 5000:5000 -p 3000:3000 ubuntu:14.04 /bin/bash |
Dockerfile创建镜像
一个基本的Dockerfile
1 | FROM ubuntu |
FROM
格式为FROM <image> 或 FROM <image>:<tag>
第一条指令必须为FROM指令, 且如果在同一个Dockerfile中创建多了个镜像,可以使用多个FROM
MAINTAINER
格式为MAINTAINER <name>, 指定维护者信息
RUN
格式为RUN <command>,或RUN [“executable”, “param1”, “param2”]
前者在Shell终端中运行命令, 即/bin/sh -c
; 后者使用exec执行,指定其他终端可用后者实现,如RUN[“/bin/bash”, “-c”, “echo hello”]
CMD
支持三种格式:
- CMD [“executable”, “param1”, “param2”],使用exec执行,推荐方式
- CMD command param1 param2 在/bin/sh中执行, 提供给需要交互应用
- CMD [“param1,”param2”]提供给ENTRYPOINT的默认参数
指定启动容器时执行的命令, 每个Dockerfile只能有一个CMD指令, 如果指定了多个命令, 只有最后一条会被执行
如果用户启动容器时指定了运行的命令,则会覆盖掉CMD指定的命令
EXPOSE
格式:XPOSE <port>
将容器中EXPOSE端口随机映射到宿主机的某个端口 (启动时需要添加-P参数)
1 | from ubuntu:14.04 |
构建自定义镜像 docker build -t myubuntu:1.0 -f .
运行容器,通过-P,Docker主机自动分配一个端口映射到5000, -p可以具体指定哪个本地端口映射过来
1 | docker run -d -it -P myubuntu:1.0 /bin/bash |
ENV
格式:ENV <key> <value>
指定一个环境变量,会被后续RUN指令使用。并在容器中保持,例如:
1 | ENV VERSION 9.2 |
ADD
格式为ADD
复制指定src到容器中的dest, src可以是Dockerfile所在目录的一个相对路径,或URL,或一个tar文件
COPY
格式:COPY
复制本地主机的src到容器中的dest, 目标路径不存在时,会自动创建
当使用本地目录为源目录时,推荐使用COPY
ENTRYPOINT
支持两种格式:
- ENTRYPOINT [“exec”, “param1”, “param2”]
- ENTRYPOINT command param1 param2
ENTRYPOINT指定容器启动后执行的命令,且不可被docker run
提供参数覆盖
每个Dockerfile只能有一个ENTRYPOINT,当指定多个ENTRYPOINT时,最后一个生效
VOLUME
格式:VOLUME [“/data”]
创建一个可以从本地主机或其他容器挂载的挂载点
USER
格式:USER <user>
指定运行容器时的用户名或UID,后续的RUN也会使用这个用户
WORKDIR
格式:WORKDIR /path/to/workdir
为后续的RUN,CMD,ENTRYPOINT配置工作目录
可以使用多个WORKDIR指令, 后续指令如果参数是相对路径,会基于之前命令指定的路径,例如:
1 | WORKDIR /a |
pwd路径:/a/b/c
创建镜像
写完Dockerfile后,可以通过docker build创建镜像
1 | docker build -t <image_name>:<image_tag> -f Dockerfile . |
Docker核心技术
C-S架构
- Docker daemon(
/usr/bin/dockerd
), 作为Docker服务端接收请求,默认监听unix://var/run/docker.sock
- Docker client(
/usr/bin/docker
), Docker客户端
Docker daemon不直接创建容器,而是请求containerd创建一个容器
containerd也不直接创建容器,而是创建一个containerd-shim进程,让这个进程操作容器
containerd-shim调用runc启动容器, runc启动完容器后会退出, containerd-shim成为容器进程的父进程
1 | Docker Daemon |
containerd
containerd是一个容器运行时,为兼容OCI标准,将运行时及其管理功能从Docker Daemon剥离
- 向上为Docker daemon提供gRPC接口, 向下通过containerd-shim结合runC
- 负责管理镜像, 容器执行
- containerd的killMode设置为process(只杀主进程), 这样升级或重启containerd时可以不杀死现有的容器
docker-shim
每个Docker容器有一个对应的shim进程,shim进程的作用:
- 允许容器运行时(runC)再启动容器后退出,将shim作为容器父进程,这样即使containerd和dockerd都挂了, 容器依然可用
- 向containerd报告容器退出状态
runC
- runC是Docker按照OCF(Open Container Format)标准的一种具体实现
- runC从Docker的libcontainer中迁移来,实现容器启停,资源隔离等功能
容器运行时接口(CRI)
CRI(Container Runtime Interface)是一个插件接口,简称CRI。使kubelet能够使用容器运行时,无需重新编译集群组件。
k8s 1.24版本弃用dockershim,直接对接Containerd
1 | kubelet <----CRI----> CRI-containerd <----> containerd ----> container |
命名空间(Namespace)
Namespace是Linux内核针对实现容器虚拟化而引入的一个强大特性
每个容器可以拥有单独命名空间,运行其中应用像是在独立操作系统中运行一样,命名空间保证容器间彼此互不影响
OS中进程共享的资源: 内核,文件系统,网络,PID,UID,IPC,内存,硬盘,CPU
进程命名空间
对于同一进程(同一个task_struct),在不同namespace看到的进程号不相同
网络命名空间
- 通过网络命名空间,实现网络隔离。
- 一个网络命名空间为进程提供了一个完全独立的网络协议栈视图,包括:网络设备接口,IPv4和IPv6协议栈,IP路由表,防火墙规则,sockets
- Docker采用虚拟网络设备(Virtual Network Device),将不同命名空间的网络设备连接到一起。
使用brctl, 可以看到桥接到宿主机docker0网桥的虚拟网口
1 | brctl show |
IPC命名空间
同一个IPC命名空间的进程允许进行交互,不同空间进程无法交互
挂载命名空间
类似chroot,将进程放到一个特性目录执行,挂载命名空间允许不同命名空间进程看到的文件结构不同,这样每个命名空间中进程所看到的文件目录彼此被隔离
UTS命名空间
UTS命名空间允许每个容器拥有独立主机名和域名,从而虚拟出一个有独立主机名和网络空间的环境,就和网络上一台独立主机一样; 默认情况下, Docker容器主机名就是返回容器的ID
控制组(CGroups)
控制组是Linux内核的一个特性,用于共享资源进行隔离,限制,审计等
控制组可以提供对容器的内存,CPU,磁盘IO等资源限制和计费管理
安装Docker后,用户可以在/sys/fs/cgroup/目录下看到对Docker组应用的各种限制项
1 | ls /sys/fs/cgroup/ |
Docker容器之间怎么隔离的
Namespace机制 + Control groups技术
联合文件系统(UnionFS)
一种轻量级的高性能分层文件系统, 支持将文件系统中的修改信息一次提交, 并层层叠加, 同时可以将不同目录挂载到同一虚拟文件系统下
UnionFS是实现Docker镜像的技术基础,镜像通过分层进行集成。
Docker目前支持的联合文件系统: AUFS, btrfs, vfs, DeviceMapper等
容器网络创建过程
Docker创建一个容器时,会具体执行如下操作:
- 创建一对虚拟接口,分别放到本地主机和新容器的命名空间中
- 本地主机一端虚拟接口连接到默认docker0网桥或指定网桥上,并具有一个以veth开头的唯一名字,如veth1234
- 容器一端虚拟接口将放到新创建容器中,并修改名字作为eth0。这个接口只在容器命名空间可见
- 从网桥可用地址中获取一个空闲地址分配给容器eth0,并配置默认网关为docker0的IP地址
1 |
|
容器内路由表如何配置
默认网络模式下, 容器的默认路由设置为docker0的IP
1 | 宿主机 |
Docker有4种可选网络模式bridge, host, container, none
- –net=bridge 默认值,在Docker网桥上为容器创建新的网络战
- –net=host 使用宿主机网络,拥有完全的本地主机接口访问权限, 使用–privileged=true参数,甚至允许直接配置主机网络堆栈
- –net=container 将新建容器进程放到一个已存在容器的网络栈
- –net=none 让Docker将新容器放到隔离的网络栈中,但是不进行网络配置
Docker安全
Docker容器的安全性, 很大程度上依赖于Linux系统自身。因此评估Docker的安全性, 主要考虑以下方面:
- Linux内核的命名空间机制提供的容器隔离安全
- Linux控制组机制对容器资源的控制能力安全
- Linux内核的能力机制所带来的操作权限安全
内核能力机制
- 传统Unix系统对进程权限只有root和非root两种, Capability是Linux内核一个强大特性,可以提供细粒度的权限访问控制。
- Linux内核从2.2支持能力机制,将权限划分为更加细粒度的操作能力,既可作用在进程,也可以作用在文件
- 比如, 一个web服务进程绑定在一个小于1024端口,并不需要完整权限,只需授权net_bind_service能力即可
- 默认情况,Docker启动容器被严格限制只允许使用内核一部分能力
网络启动与配置参数
自定义网桥
1 | # 先停止服务,删除旧网桥 |
创建一个点到点连接
1 | docker run -it --rm -net=none ubuntu:14.04 /bin/bash |
参考
【1】《Docker技术入门与实战》—— 杨保华、戴王剑、曹亚仑编著
【2】https://docs.docker.com/get-started/docker-overview/
【3】https://cloud.tencent.com/developer/article/1868071
【4】https://cloud.tencent.com/developer/article/2327654