内容简介:一、Docker工作原理二、Docker容器和虚拟机对比三、镜像容器管理
一、 Docker 工作原理
二、Docker容器和虚拟机对比
三、镜像容器管理
1、Docker关键组件
2、Docker架构
3、Docker内部组件
镜像(Image)——一个特殊的文件系统
Docker 镜像是一个特殊的文件系统,除了提供容器运行时所需的程序、库、资源、配置等文件外,还包含了一些为运行时准备的一些配置参数(如匿名卷、环境变量、用户等)
容器(Container)——镜像运行时的实体
容器是镜像运行时的实体。容器可以被创建、启动、停止、删除、暂停等
仓库(Repository)——集中存放镜像文件的地方
镜像构建完成后,可以很容易的在当前宿主上运行,但是, 如果需要在其它服务器上使用这个镜像,我们就需要一个集中的存储、分发镜像的服务,Docker Registry就是这样的服务
Docker采用了C/S架构。客户端和服务端可以运行在一个机器上,也可以通过socket或者RESTful API 来进行通信。
Docker Daemon: 一般在宿主机后台运行,等待接收客户端的消息
Docker Client:则为客户提供一系列可执行的命令, 用户使用这些命令跟docker daemon交互
Docker daemon:
Docker daemmon是Docker架构中的主要用户接口。首先,它提供了API Server用于接收来自Docker client的请求,其后根据不同的请求分发给Docker daemon的不同模块执行相应的工作
Image managerment:
需要创建DOcker容器时,可通过镜像管理(image management)部分的distribution和registry模块从Docker registry中下载镜像,并通过镜像管理的image、reference和layer存储镜像的元数据,通过镜像存储驱动graphdriver将镜像文件存储于具体的文件系统中
Network:
当需要为Docker容器创建网络环境时,通过网络模块network调用libnetwork创建并配置Docker容器的网络环境
Volume:
当需要为容器创建数据卷volume时,则通过volume模块调用某个具体的volumedrive,来创建一个数据卷并负责后续的挂载操作
Execdriver:
当需要限制Docker容器运行资源或执行用户指令操作时,则通过execdrive来完成
Libcontainer:
是对cgroups和namespace的二次封装,execdrive是通过libcontainer来实现对容器的具体管理,包括利用UTS、IPC、PID、Network、Mount、User等namespace实现容器之间的资源隔离和利用cgroups实现对容器的资源限制.当运行容器的命令执行完毕后,一个实际的容器就处于运行状态,该容器具有独立的文件系统、相对安全且相互隔离的运行环境.
1、用户是使用Docker Client与Docker Daemon建立通信,并发送请求给后者
2、Engine执行Docker内部的一系列工作,每一项工作都是以一个Job的形式的存在。
3、Job的运行过程中,当需要容器镜像时,则从Docker Registry中下载镜像,并通过镜像管理驱动graphdriver将下载镜像以Graph的形式存储;当需要为Docker创建网络环境时,通过网络管理驱动networkdriver创建并配置Docker容器网络环境;当需要限制Docker容器运行资源或执行用户指令等操作时,则通过execdriver来完成。libcontainer是一项独立的容器管理包,networkdriver以及execdriver都是通过libcontainer来实现具体对容器进行的操作。
1、容器和虚拟机对比
2、Docker的优势
3、Docker的劣势
4、Docker的应用场景
Docker 的的优势:
持续部署和测试
发到产品发布的整个过程中使用相同的容器来确保没有任何差异或者人工干预。Docker可以保证测试环境、开发环境、生产环境的一致性。
可移植性
容器可以移动到任意一台Docker主机上,而不需要过多关注底层系统。
弹性伸缩更快速
配合K8S可以很容易的无状态应用的弹性伸缩,只需要改一个yml的数字即可。利用docker能在几秒钟之内启动大量的容器,这是虚拟机无法办到的,快速启动,秒级和分钟级的对比。
资源利用率高
由于docker不需要Hypervisor实现硬件资源虚拟化,docker容器和内核交互,几乎没有性能损耗,性能优于通过Hypervisor层与内核层的虚拟化。一台机器启动上前台容器也没问题。
对硬件无要求
不需要CPU支持虚拟化
Docker 的的劣势
资源隔离
docker是利用cgroup实现资源隔离的,只能限制资源消耗的最大值,而不能隔绝其他应用程序占用自己的资源; docker属于进程之间的隔离,虚拟机可实现系统级别隔离;
安全性问题
一个用户拥有执行docker的权限,可以删除任何用户创建的容器。
兼容性问题
docker目前还在版本快速更新中,细节功能调整较大,一些核心的模块依赖于高版本的内核,存在兼容性的问题。
1、Docker安装
2、认识镜像和容器
3、镜像容器管理
什么是镜像?
镜像是一个多层的联合只读的文件系统。
什么是容器?
容器是在镜像基础上加上读写层。容器即进程。
构建镜像的过程?
镜像->镜像+可写层+执行命令->commit为新的镜像(新的一层)->镜像+可写层+执行命令->commit为新的镜像(新的一层)->…
典型文件系统启动 :
一个典型的 Linux 文件系统由 bootfs 和 rootfs 两部分组成,
bootfs(boot file system)
主要包含 bootloader 和 kernel,bootloader 主要用于引导加载 kernel,当 kernel 被加载到内存中后 bootfs 会被 umount 掉
rootfs (root file system)
包含的就是典型 Linux 系统中的/dev,/proc,/bin,/etc 等标准目录和文件
加载过程:
bootfs 时会先将 rootfs 设为 read-only,然后在系统自检之后将 rootfs 从 read-only 改为 read-write,
Docker文件系统启动:
Docker 在 bootfs 自检完毕之后并不会把 rootfs 的 read-only 改为 read-write,而是利用 union mount(UnionFS 的一种挂载机制)将 image 中的其他的 layer 加载到之前的 read-only 的 rootfs 层之上,每一层 layer 都是 rootfs 的结构,并且是read-only 的。所以,我们是无法修改一个已有镜像里面的 layer 的!只有当我们创建一个容器,也就是将 Docker 镜像进行实例化,系统会分配一层空的 read-write 的 rootfs ,用于保存我们做的修改
Dockerfile
FROM centos
ENV TZ "Asia/Shanghai"
ADD echo.sh /opt/echo.sh
RUN chmod +x /opt/echo.sh
CMD ["/opt/echo.sh"]
docker build -t test -f Dockerfile .
镜像工作原理:
如果运行中的容器修改一个已经存在的文件,那么会将该文件从下面的只读层复制到读写层,只读层的这个文件就会覆盖(隐藏),但还存在。
如果删除一个文件,在最上层会被标记隐藏,实际只读层的文件还存在。
这就实现了文件系统隔离,当删除容器后,读写层的数据将会删除,只读镜像不变。
查看具体的挂载逻辑
[root@centos7 l]# mount|grep overlay
overlay on
/var/lib/docker/overlay2/56375ce93fd54484061ef08a48a7093905be680dd14754642970616127b30fca/merged type overlay (rw,relatime,seclabel,lowerdir=/var/lib/docker/overlay2/l/A6JYT4QIFZMKOPIGY675JWKS7F:/var/lib/docker/overlay2/l/4L4SUINS3DX6XPD5BL2J54JQDT,upperdir=/var/lib/docker/overlay2/56375ce93fd54484061ef08a48a7093905be680dd14754642970616127b30fca/diff,workdir=/var/lib/docker/overlay2/56375ce93fd54484061ef08a48a7093905be680dd14754642970616127b30fca/work)
Overlay和overlay2的区别
overlay: 只挂载一层,其他层通过最高层通过硬连接形式共享(增加了磁盘inode的负担)
overlay2: 逐层挂载(最多128层)
基础镜像的层信息
docker pull centos
tree -L 2 /var/lib/docker/overlay2/
构建后镜像的层信息
cd layer_dockerfile/
docker build -t centos:test -f ./Dockerfile .
tree -L 2 /var/lib/docker/overlay2/
每一层都包含了”该层独有的文件”以及”和其低层共享的数据的连接”,在Docker 1.10之前的版本中,目录的名字和镜像的UUID相同,而Docker 1.10后则采用了新的存储方式,可以看到目录名和下载镜像的UUID并不相同
Diff
存放挂载点的具体的文件内容
Link
对应l目录的链接源的名称
Lower
根没有lower,其它的lower指向的父层的链接
L:
”l“目录包含一些符号链接作为缩短的层标识符. 这些缩短的标识符用来避免挂载时超出页面大小的限制
docker run -idt --name centos_con centos:test /bin/bash
tree -L 2 /var/lib/docker/overlay2/
多出的两层“……”为读写层,“…..-init”为初始层。
初始层:
初始层中大多是初始化容器环境时,与容器相关的环境信息,如容器主机名,主机host信息以及域名服务文件等。
读写层:
所有对容器做出的改变都记录在读写层
Diff
存放挂载点的具体的文件内容
Link
对应l目录的链接源的名称
Lower
根没有lower,其它的lower指向的父层的链接
Merged
如果是读写层会有一个Merged
Commit:容器提交为镜像
docker run -idt --name test centos
Touch liwei
docker commit 6de test2
Create:创建容器但是不启动
docker create --name nginx-con -p80:80 nginx:latest
Start:启动容器
docker start nginx-con
Stop:停止容器
docker stop nginx-con
Kill:杀掉容器,和停止相比不友好
docker kill nginx-con
Pause:暂停容器
docker pause nginx-con
Unpause:恢复暂停的容器
docker unpause nginx-con
Run:创建且启动容器
docker run -idt --restart=always --name nginx_con -v /tmp/:/mnt -p 88:80 -e arg1=arg1 nginx
Docker attach nginx_con
Ctrl+^p+^q
CP:宿主机和容器之间copy文件
docker cp docker_install.sh nginx_con:/opt
docker exec nginx_con ls /opt
docker cp nginx_con:/opt/docker_install.sh ./1.sh
Exec:执行命令,也可附加到容器
docker exec nginx_con ls /opt
Attach:附加到容器
docker attach nginx_con
docker exec -it nginx_con /bin/bash
Logs:查看容器日志
docker logs –f nginx_con
Inspect:查看元数据,可以查看镜像和容器
docker inspect nginx_con
Port:查看容器端口映射
docker port nginx_con
Top:查看容器中正在运行的进程
docker top nginx_con
Ps:查看容器
docker ps
docker ps -a
docker ps -aq
查看正在运行的容器,加上-a查看所有容器(包含停止和暂停状态的容器)
Rm:删除容器
docker rm nginx_con 删除容器
docker rm -f nginx_con 强行删除容器
Export:导出容器
docker pull busybox
docker run -itd busybox
docker export 983989307eef>busybox.tar
Import:导入容器
docker import busybox.tar busybox:1.3
Save:导出镜像
docker save busybox:1.3>busybox1.3.tar
Load:导入镜像
docker load -i busybox1.3.tar
Tag:镜像打标签
docker tag busybox:1.3 192.168.199.160/test/busybox:latest
Build:从dockerfile构建镜像
FROM centos
ENV TZ "Asia/Shanghai"
ADD echo.sh /opt/echo.sh
RUN chmod +x /opt/echo.sh
CMD ["/opt/echo.sh"]
docker build -t centos:test -f Dockerfile .
Pull:从 registry拉取镜像
docker pull nginx 从dockerhub上拉取
docker pull 192.168.199.160/test/nginx:latest 从内网harbor上拉取
Push:推送镜像到仓库[第一次需要输入密码,后续不需要了]
docker login 192.168.199.160
admin
Harbor12345
docker push 192.168.199.160/test/busybox:latest
Info、version、events
docker info 查看docker相关信息信息
Docker version 查看docker相关版本信息
Docker events 查看docker事件
【注】
1、创建容器后防火墙不要再动
2、cmd会被覆盖的问题,需要注意,可能会导致/bin/bash 把启动命令覆盖了,启动不了的问题例如
docker run -idt --restart=always --name nginx_con -v /tmp/:/mnt -p 88:80 -e arg1=arg1 nginx /bin/bash
3、cmd的命令都会在挂在后执行。
以上就是本文的全部内容,希望本文的内容对大家的学习或者工作能带来一定的帮助,也希望大家多多支持 码农网
猜你喜欢:本站部分资源来源于网络,本站转载出于传递更多信息之目的,版权归原作者或者来源机构所有,如转载稿涉及版权问题,请联系我们。
黑客攻防技术宝典(第2版)
[英] Dafydd Stuttard、[英] Marcus Pinto / 石华耀、傅志红 / 人民邮电出版社 / 2012-6-26 / 99.00元
内容简介: Web应用无处不在,安全隐患如影随形。承载着丰富功能与用途的Web应用程序中布满了各种漏洞,攻击者能够利用这些漏洞盗取用户资料,实施诈骗,破坏其他系统等。近年来,一些公司的网络系统频频遭受攻击,导致用户信息泄露,造成不良影响。因此,如何确保Web应用程序的安全,已成为摆在人们眼前亟待解决的问题。 本书是Web安全领域专家的经验结晶,系统阐述了如何针对Web应用程序展开攻击与......一起来看看 《黑客攻防技术宝典(第2版)》 这本书的介绍吧!