以Docker为代表的容器技术介绍
所属分类 docker
浏览量 388
Docker 组成
RunC、Containerd、Docker Engine、Docker Compose、Docker Swarm等
RunC(low-level)是一个轻量级的工具,用来运行容器,也是标准化的产物,是在围绕容器格式和对运行时制定的一个开放的工业化标准。
Containerd(high-level)
是容器虚拟化技术,从Docker中剥离出来,形成开放容器接口(OCI)标准的一部分,
起到承上启下的作用,对上接受命令参数的内容,对下调用RunC实际的操作容器服务。
Docker Engine是执行Docker标准的后台应用程序(Dockerd),
用来构建镜像,运行容器,管理网络和存储等。它的API不遵循CRI标准。
任何第三方平台与其集成必须开发对接其接口(Docker-shim)。
Docker Compose是基于YAML规范使用脚本来定义和简化多容器部署的工具。
Docker Swarm是Docker集群管理平台。
Docker的核心概念是镜像,镜像含有启动Docker容器所需的文件系统结构及内容。
可以说,镜像是Docker设计精巧的、引爆容器技术的核弹。
镜像五个特性:
一是封装,Docker镜像将应用及其类库,配置、环境等依赖全部打包紧耦合到一个文件实现应用迁移,让应用到任意环境都可开箱并立即正常运行。
二是分层,Docker镜像由基础层(base image)和应用层构成,而应用层可以根据对底层的依赖程度,抽象出不同的基础层。
三是共享,基于分层文件系统,不同的层可以被共享和依赖,使得镜像通过标准API操作进行复制时,只需要获取数据不同的层即可,
不需要所有依赖都被复制(底层依赖已经存在情况下,会通过层的UUID进行校验)。
四是轻量,多个容器通过同一个镜像创建时,不需要对镜像进行复制(对比虚拟机),只需要将镜像层挂载为只读,然后再加上一个可读写层即可。
五是写时复制,只有在可读写层的数据变化且需要保存写入新的层的时候,Docker镜像才会生成新的镜像层。
写时复制与分层机制可以大大减少磁盘空间的占用和容器启动时间。
Docker基于镜像去创建容器的具体步骤是:
首先将BaseImage内容作为容器的rootfs以只读方式挂载。
然后Docker Daemon继续解析镜像的其它层,如ADD,ENV等信息,对容器的运行时环境进行初始化。
初始化后Docker Daemon继续解析镜像文件,执行CMD信息中的命令并执行,使得容器进入运行态。
Docker在计算时会用到Namespace和Cgroup技术,
基于Namespace技术进行包括网络、文件系统和环境等在内的资源隔离。
Linux Cgroup就是Linux内核中用来为进程设置资源限制的一个重要功能,全称是Linux Control Group,
主要作用是限制一个进程能够使用的资源上限,包括CPU、内存、磁盘、网络带宽等
镜像仓库是用来存储和分发容器镜像的应用。
企业和个人对产出的镜像文件可以集中管理,便于进行权限控制、安全控制、能力共享、生态建设等。
镜像仓库可以对基于容器镜像的应用进行统一的版本,分发管理等。
镜像仓库可以简化和优化企业基于容器的开发测试管理和集成,运维流程等(如CICD)
容器安全主要注重四个方面
一是镜像安全,如果使用了不安全的外部镜像依赖,镜像中有系统漏洞、缺陷,或者被恶意植入病毒和后门等,都会对容器造成较大威胁。
二是容器逃逸,由于容器是基于OS共享的架构,如果攻击者利用容器漏洞,获取OS root权限,文件系统权限等,都会对整个系统造成极大危害。
三是配置安全,即对容器引擎,镜像仓库,Kubernetes等没有进行正确的权限配置等造成的入侵。
四是漏洞管理,针对镜像中的类库文件漏洞,如apache log4j2漏洞,需要对镜像文件进行及时识别和更新。
容器 六大应用场景
一是快速开发,由于公有镜像仓库有着庞大的开源社区和开放的镜像资源,可以让开发者实现开箱即用。
二是多云应用,因为容器与IaaS解耦以及容器本身轻量的特性让容器更便于去做多云的迁移。
三是应用隔离,在同一个服务器里需要运行多个应用时,可以使用容器去做运行环境和依赖的隔离。
四是微服务架构,容器与微服务架构轻量、敏捷弹性的特性适配。
五是能力沉淀,利用容器技术可以将前期架构的运行环境封装起来,方便后来的技术人员开箱即用,这也是对企业能力的沉淀。
六是持续集成和部署,容器可以保障开发测试环境的一致性,实现快速迭代和部署。
上一篇
下一篇
docker save 和 docker export
docker 容器问题排查
nsenter命令
docker和containerd
k8s服务暴露
容器化部署 docker docker-compose k8s