《容器技术之》由会员分享,可在线阅读,更多相关《容器技术之(39页珍藏版)》请在金锄头文库上搜索。
1、容器技术之Docker,任梓涵 24320151153214,提纲,容器技术的基本概念 容器技术的历史 容器技术之Docker,什么是容器,容器 容器就是一个认为只有其本身在运行状态的linux程序,只服从用户指定的命令 容器程序有自己的IP地址 一个可访问网络的独立设备,容器化VS虚拟化,虚拟机,容器化VS虚拟化,容器,提纲,容器技术的基本概念 容器技术的历史 容器技术之Docker,最早的OS级虚拟化,Chroot:改变根目录 1982年出现 只提供有限的文件系统隔离,无任何其他隔离手段 不安全,有手段可以逃离设定的根目录访问host pivot_root:改变根文件系统 2000年,Li
2、nux内核版本2.3.41 没有chroot的安全问题,商用容器技术的出现,Virtuozzo 2000年 由Swsoft(现在的Paralles)开发 Linux-VServer 2001年 应用场景 Virtual Private Server,开源的OpenVZ,OpenVZ(open virtuozzo) 2005年发布 开始推动OpenVZ进Linux 内核主线,内核主线的容器技术,Namespace+Cgroup Namespace 程序运行环境的隔离 基本原理:将内核中的全局变量改为per-namespace变量 Cgroup 计算资源的QoS:CPU、内存、磁盘IO、网络IO,
3、Namespace,Namespace的类别,Cgroup,Task: 一个进程 Control group:控制族群,按照某种标准划分的进程组 Hierarchy:层级,control group可以形成树形的结构,有父节点,子节点,每个节点都是一个control group,子节点继承父节点的特定属性 Subsystem:子系统,就是资源控制器,Cgroup子系统,子系统介绍,blkio 设置限制每个块设备的输入输出控制。例如:磁盘,光盘以及usb等等。 cpu 使用调度程序为cgroup任务提供cpu的访问。 cpuacct 产生cgroup任务的cpu资源报告。 cpuset 如果是多
4、核心的cpu,这个子系统会为cgroup任务分配单独的cpu和内存。 devices 允许或拒绝cgroup任务对设备的访问。 freezer 暂停和恢复cgroup任务。 memory 设置每个cgroup的内存限制以及产生内存资源报告。 net_cls 标记每个网络包以供cgroup方便使用。 ns 名称空间子系统。 perf_event 增加了对每group的监测跟踪的能力,Linux容器虚拟技术(LXC),Linux Container 通过虚拟化操作系统的方式来管理代码和应用程序 轻量级虚拟化 隔离进程和资源 不需要提供指令解释机制 资源孤立分组 由单个操作系统管理的资源划分到孤立的
5、组 在孤立的组之间平衡有冲突的资源使用需求,Linux容器虚拟技术(LXC),与传统虚拟化技术相比 与宿主机使用同一个内核,性能损耗小 不需要指令级模拟 容器可以在CPU核心的本地运行指令,不需要任何专门的解释机制 避免了准虚拟化和系统调用替换中的复杂性 轻量级隔离,在隔离的同时还提供共享机制,以实现容器与宿主机的资源(例如文件系统)共享,容器技术历史,提纲,容器技术的基本概念 容器技术的历史 容器技术之Docker,Docker生态系统,Docker是dotCloud公司开源的一个基于轻量级虚拟化技术的容器引擎项目,整个项目基于Go语言开发,并遵从Apache 2.0协议。 目前,Docke
6、r可以在容器内部快速自动化部署应用,并可以通过内核虚拟化技术(namespaces及cgroups等)来提供容器的资源隔离与安全保障等。 由于Docker通过操作系统层的虚拟化实现隔离,所以Docker容器在运行时,不需要类似虚拟机(VM)额外的操作系统开销,提高资源利用率,并且提升诸如IO等方面的性能,什么是Docker?,web应用的自动化打包和发布; 自动化测试和持续集成、发布; 在服务型环境中部署和调整数据库或其他的后台应用; 从头编译或者扩展现有的OpenShift或Cloud Foundry平台来搭建自己的PaaS环境。,应用场景,总架构图,Docker VS VM,Docker的
7、特性,在多个机器之间提供便捷的部署策略 提供了应用镜像的自动构建机制 组件复用 共享 Docker提供了创建、部署容器的API,并且有大量工具集成了Docker的特性,来为第三方平台(Openstack Nova等)提供更多功能。,三个基本组件,Docker Client 是用户界面,它支持用户与Docker Daemon之间通信。 Docker Daemon运行于主机上,处理服务请求。 Docker Index是中央registry,支持拥有公有与私有访问权限的Docker容器镜像的备份,三个基本元素,Docker Containers负责应用程序的运行,包括操作系统、用户添加的文件以及元数
8、据。 Docker Images是一个只读模板,用来运行Docker容器。 DockerFile是文件指令集,用来说明如何自动创建Docker镜像。,Docker的核心,Docker的支柱,Namespaces 充当隔离的第一级。确保一个容器中运行一个进程而且不能看到或影响容器外的其它进程。 Control Groups是LXC的重要组成部分,具有资源核算与限制的关键功能。 UnionFS(文件系统))作为容器的构建块。为了支持Docker的轻量级以及速度快的特性,它创建层与用户。,工作方式,Docker命令,docker info,sudo docker pull busybox,docke
9、r run busybox /bin/echo Hello Docker,sample_job=$(docker run -d busybox /bin/sh -c “while true; do echo Docker; sleep 1; done“),Docker优点,快 :运行时的性能可以获取极大提升(经典的案例是提升97%),管理操作(启动,停止,开始,重启等等) 都是以秒或毫秒为单位的。 敏捷:像虚拟机一样敏捷,而且会更便宜,在bare metal(裸机)上布署像点个按钮一样简单。 灵活:将应用和系统“容器化”,不添加额外的操作系统, 轻量:你会拥有足够的“操作系统”,仅需添加或减小
10、镜像即可。在一台服务器上可以布署1001000个Containers容器。 便宜:开源的,免费的,低成本的。,Docker的缺点,主要体现在安全性 Docker本身安全隔离是基于Linux内核的Namespace/cgroup这些容器隔离和资源的组调度机制的,所有进程运行在同一个内核中,一旦有什么Bug被利用,突破这层隔离,就会危及到宿主机和其他容器 还缺少对于防止一个容器获取过量的资源而影响到其他应用方面的保护 其他 Docker支持Unix/Linux操作系统,不支持Windows或Mac(即使可以在其上安装,不过也是基于Linux虚拟机的) Docker还没有可视化界面,都是命令行指令,容器技术+虚拟技术,一种技术不会取代另一种技术,它们将共存并建立彼此之间相互的价值。,
