Docker第二篇:架构的基本组成

虚拟机、容器和镜像

• 虚拟机：虚拟机在本质上就是在模拟一台真实的计算机设备，同时遵循同样的程序执行方式。虚拟机能够利用“虚拟机管理程序”运行在物理设备之上。反过来，虚拟机管理程序则可运行在主机设备或者“裸机”之上。

主机虚拟机管理程序运行在主机设备的操作系统之上。举例来说，一台运行有OS X的计算机可以在操作系统之上安装虚拟机（例如VirtualBox或者VMware Workstation 8）。该虚拟机并不会直接访问硬件，因此其需要经由主机操作系统（也就是Mac OS X）实现资源获取。
优势：其基本摆脱了对底层硬件的要求。该主机操作系统负责提供硬件驱动程序，而非由虚拟机管理程序自身提供，因此我们认为其具备更理想的“硬件兼容性”。
缺点：这种介于硬件与虚拟机管理程序之间的额外层会带来更多资源消耗，进而降低虚拟机性能表现。

• 容器：容器通过对“用户空间”的抽象化处理提供操作系统层级的虚拟化机制。
  出于各种考量与需求，容器在外观上与虚拟机非常相似。容器会把应用直接运行在宿主机的内核中，这样会比虚拟机有更好的性能。

和虚拟机的共同点：二者皆拥有专有处理空间、能够作为root执行命令、提供专有网络接口与IP地址、允许定制化路由及iptable规则，且可启动文件系统等等。
容器与虚拟机间的最大区别：虚拟机单独使用自己的内核，而各容器系统共享主机系统的内核。默认情况下，容器和宿主机是完全隔离的，最多也只会在配置了的情况下，使用宿主机的hosts文件和端口。
优势：性能优越，因为虚拟机只能通过hypervisor（超级监督者）来间接的使用宿主机资源的虚拟权限。容器可以获得原生的资源使用权限，每个都运行在独立的进程中，不需要额外的内存。

• 镜像：是轻量的，独立的，可执行的包。镜像属于只读模板，大家可以借此配合Dockerfile中的编写指令集进行容器构建。镜像定义了打包的应用程序以及其相关依赖。这些依赖就好像是其启动时需要运行的进程。

Docker镜像利用Dockerfile实现构建。Dockerfile中的每条指令都会在镜像中添加一个新的“层”，这些层则表现为镜像文件系统中的一个分区——我们可以对其进行添加或者替换。层概念正是Docker轻量化的基础。Docker利用一套Union
File System建立起这套强大的结构：

Docker为基于Linux容器的开源项目，其利用Linux内核中的各项功能——例如命名空间与控制组——以在操作系统之上创建容器，提供对应的底层Linux系统视图，同时也实现了系统隔离：即限制容器的查看与访问范畴。
容器概念并不是什么新鲜事物; 谷歌公司多年来一直在使用自己开发的容器技术。其它Linux容器技术方案还包括Solaris Zones、BSD jails以及LXC，且其都已经拥有多年的发展历史。

命名空间

命名空间为容器提供对应的底层Linux系统视图，即限制容器的查看与访问范畴。当我们运行一套容器时，Docker会创建多个命名空间供特定容器使用。
Docker会在内核中使用多种不同类型的命名空间，例如：

• NET: 为容器提供独特的系统网络堆栈视图（例如自有网络设备、IP地址、IP路由表、/proc/net目录、端口编号等等）。
• PID: PID代表进程ID。如果大家曾经在命令行中运行过ps aux以检查当前系统正在运行的进程，就会发现其中一栏名为“PID”。PID命名空间为容器提供其能够查看与交互的进程范围，其中包括独立的init（PID 1），其属于“所有进程的元祖”。
• MNT: 为容器提供独特的系统“mounts”视图。这样不同mount命名空间内的进程就将拥有彼此不同的文件系统结构。
• UTS: UTS代表UNIX分时系统。它允许某一进程识别系统身份（例如主机名称或者域名等）。UTS允许容器拥有不同于其它容器以及主机系统的主机名称与NIS域名。
• IPC: IPC代表进程间通信。IPC命名空间负责对运行在每套容器内的进程进行IPC资源隔离。
• USER: 此命名空间用于对每套容器内的用户进行隔离。其允许各容器拥有不同的uid（即用户ID）与gid（组ID）视图区间，并将其与主机系统进行比对。这样一来，某一进程的uid与gid在用户命名空间之内与之外即有所不同，这也使得该进程能够在不影响容器内root权限的情况下，撤销同一用户在容器外的权限。
• Docker将这些命名空间结合起来以隔离并创建容器。下面要讲的则是控制组。

控制组

控制组（也被称为cgroups）属于Linux内核中的一项功能，用于对一组进程的资源使用量（包括CPU、内存、磁盘I/O以及网络等）进行隔离、排序与计数。这意味着cgroup能够确保Docker容器只使用其必需的资源——并在必要情况下设置其所能使用的资源上限。另外，cgroups还能够确保单一容器不至于占用太多资源并导致整体系统陷入瘫痪。

那么为什么Docker的出现会快速吸引到技术业界的注意？

1. 易用性: Docker能够为潜在受众带来出色的易用性——开发者、系统管理员以及架构师等等——从而帮助其充分利用容器技术优势以快速构建并测试可移植应用程序。每个人都可以在自己的笔记本上打包应用程序，并将其直接运行在任何公有云、私有云甚至是裸机之上。其座右铭是：一次构建，随处运行。
2. 速度: Docker容器具备轻量化与高速特性。由于容器本身属于运行在内核之上的沙箱环境，因为其对资源的需求量极低。大家可以在数秒钟内完成容器的创建与运行，而虚拟机则由于需要引导完整的虚拟操作系统而耗费更多时间。
   Docker Hub: Docker用户还能够享受由Docker Hub带来的丰富生态系统支持，我们可以将其理解成“Docker镜像的应用商店”。Docker Hub提供成千上万由社区开发的公共镜像，且可立即加以使用。我们可以轻松根据需要搜索到合适的镜像，将其提取并稍加修改即加以使用。
3. 模块性与可扩展性: Docker允许我们轻松将应用程序的功能拆分成多个独立容器。举例来说，我们可以将自己的Postgres数据库运行在一套容器当中，并将Redis服务器运行在另一容器内，而Node.js也拥有自己的容器系统。在Docker的帮助上，大家能够轻松将这些容器对接起来以创建完整的应用程序，这就让未来的规模伸缩或者组件更新得以通过相互独立的方式完成。

docker主要有分组成部分

• Docker Client 客户端
• Docker daemon 守护进程
• Docker Image 镜像
• Docker Container 容器
• Docker Registry 仓库

客户端和守护进程

Docker是C/S（客户端client-服务器server）架构模式。
docker通过客户端连接守护进程，通过命令向守护进程发出请求，守护进程通过一系列的操作返回结果。
docker客户端可以连接本地或者远程的守护进程。
docker客户端和服务器通过socket或RESTful API进行通信。
如图：

docker image 镜像

镜像是容器的基石，容器基于镜像启动和运行。镜像就好像容器的源代码，保存了容器各种启动的条件。镜像是一个层叠的只读文件系统。

docker container 容器

容器通过镜像来启动，容器是docker的执行来源，可以执行一个或多个进程。镜像相当于构建和打包阶段，容器相当于启动和执行阶段。容器启动时，Docker容器可以运行、开始、停止、移动和删除。每一个Docker容器都是独立和安全的应用平台。

docker registry 仓库

docker仓库用来保存镜像。docker仓库分为公有和私有。docker公司提供公有仓库docker hub,网址：https://hub.docker.com/。我们也可以创建自己私有的仓库。

这几部分之间的关系如图：