docker的体系结构
docker使用c/s架构,docker daemon(守护进程)作为server端接受client的请求,并处理(创建、运行、分发容器)他们可以运行在一个机器上,也通过sockerts或者RESTful API通信。
docker client host
docker pull docker daemon
docker run container1
docker container2
docker有三个内部组件
docker images
docker registries 登记
docker container
docker images就是一个只读的模板。比如:一个image可以包含一个Ubuntu的操作烯烃,里面安装了apache或者你需要的应用程序。images可以用来创建docker containers,docker提供了一个很简单的机制来创建images或者更新现有的images,你甚至可以直接其他人那里下载一个已经做好的images
Docker registries(登记)
Docker registries也叫docker仓库,它有公有仓库和私有仓库2种形式,他们都可以用来让你上传和下载images。公有的仓库也叫Docker Hub。它提供了一个巨大的image库可以让你下载,你也可以在自己的局域网内建一个自己的私有仓库。
Docker containers
Docker containers也叫docker容器,容器是从image镜像创建的。它可以被启动、开始、停止、删除。每个容器都是相互隔离的、安全的平台。
2、Docker image的工作原理
每个docker都有很多层次构成,docker使用union file systems将这些不同的层结合个image中去。
AUFS(AnotherUnionFS)是一种Union FS,简单来说就是支持将不同目录挂载到同一个虚拟文件系统下(unite serveral directories into a single virtual filesystem)的文件系统,更进一步的理解,AUFS支持为每一个成员目录(类似Git Branch)设定readonly、readwrite和whiteout-able权限,同时AUFS里有一个类似分层的概念,对readonly权限的branch可以逻辑上进行修改(增量地,不影响readonly部分的)通常union fs有两个用途,一方面可以实现实现部建筑LVM、RAID将多个第三课挂到同一个目录下,另一个更常用的就是将一个readonly的branch和一个writeable的branch联合在一起,live cd正是基于此方法可以允许在os image不改变的基础上允许用户在其上进行一些写操作。Docker 在AUFS上构建的container image也正是如此。
3、docker仓库
docker仓库用来保存我们的images,当我们创建了自己的image之后我们就可以使用push命令将它上传到公有或者私有仓库,这样下次要在另一台机器上使用这个image时候,只需要从仓库上pull下来就可以了。
4、Docker容器
当我们运行docker run -i -t ubuntu /bin/bash命令是,docker在后台运行的操作如下:
如果本地有ubuntu这个image就从它创建容器,否则从公有仓库下载,从image创建容器,分配一个文件系统,并在只读的image层外面挂载一层可读写的层,从宿主主机配置的网桥接口中桥接一个虚拟接口到容器中去,从地址池配置一个ip地址给容器,执行你个指定的程序,在这里启动/bin/bash进程,-i -t指定标准标准和输出
5、docker底层技术
docker底层的2个核心技术分别是namespaces和control groups
1),pid namespace
不同用户的进程就是通过pid namespace(命名空间)隔离开的,且不同namespace中可以有相同pid。所有的LXC进程在docker中的父进程为docker进程,每个lxc进行具有不同的namespace。同时由于允许嵌套,因此可以很方便的实现docker in docker。
pid namespace :linux通过命名空间管理进程pid,对于同一进程(同一个task_struct),在不同的命名空间中,看到的pid号不相同,每个pid命名空间有一套自己的pid管理方法,所以在不同的命名空间中调用getpid(),看到的pid号是不同的。pid命名空间是一个父子关系的结构,系统初始只有一个pid命名空间,后面如果在fork进程的时候,加上新建pid命名空间的选项,那么这个新的命名空间的父命名空间就是初始的那个命名空间,在这个命名空间fork出的进程,在子命名空间和父命名空间都有一个pid号相对应到这个task_struct上。 task_struct任务结构
LXC为Linux Container的简写。Linux Container容器是一种内核虚拟化技术,可以提供轻量级的虚拟化,以便隔离进程和资源,而且不需要提供指令解释机制以及全虚拟化的其他复杂性。相当于C++中的NameSpace。容器有效地将由单个操作系统管理的资源划分到孤立的组中,以更好地在孤立的组之间平衡有冲突的资源使用需求。
2),net namespace
有了pid namespace,每个namespace中的pid能够相互隔离,但是网络端口还是共享host的端口。网络隔离是通过net namespace实现的,每个net namespace有独立的network devices,IP
addresses,IP routing tables,/proc/net目录。这样每个container的网络就能隔离开来。docker默认采用veth的方式将container中的虚拟网卡同host的一个docker bridge:docker()链接在一起。
3)ipc namespace
container中进程交互还是采用Linux常见的进程间交互方法(interprocess communication-IPC),包括常见的信号量、消息队列和共享内存。然而同VM不同的是,container的进程间交互实际上还是host上具有相同pid namespace中的进程间交互,因此需要在IPC资源申请时加入namespace信息-每个IPC资源有一个唯一的32位ID。
4)mnt namespace
一个特定的目录执行。mnt namespace 允许不同namespace的进程看到的文件结构不同,这样每个namespace中的进程所看到的文件目录就被隔离开了。同chroot不同,每个namespace中的conrainer在/proc/mounts的信息只包含所在namespace的mount point(挂载点)
5)uts namespace
UTS("UNIX Time-sharing system")namespace允许每个container拥有独立的hostname和domain
name,使其在网络上可以被视作一个独立的节点而非host上的一个进程。
6)user namesapce
每个container可以有不同的user和group id,也就是说可以在container内部用container内部想的用户执行程序而非host上的用户。
control groups主要用来隔离各个容器和宿主主机的资源利用。