对于docker的底层原理三段话
docker的安装
一、docker的安装
1.安装必要的一些系统工具
[root@docker ~]# yum install -y yum-utils device-mapper-persistent-data lvm2
2.添加软件源信息
[root@docker ~]# yum-config-manager --add-repo https://mirrors.aliyun.com/docker-ce/linux/centos/docker-ce.repo
3.更新查看版本并安装docker
[root@docker ~]# yum makecache fast
[root@docker ~]# yum list docker-ce.x86_64 --showduplicates | sort -r
[root@docker ~]# yum -y install docker-ce-18.09.0 docker-ce-cli-18.09.0
4.开启docker服务
[root@docker ~]# systemctl start docker
[root@docker ~]# systemctl enable docker
5.设置docker镜像加速器
阿里巴巴网址:https://developer.aliyun.com/mirror/
–个人主页–产品与服务–容器镜像服务–镜像加速器
在阿里云平台即可找到镜像加速器配置步骤。
[root@docker ~]# mkdir -p /etc/docker
[root@docker ~]# sudo tee /etc/docker/daemon.json <<-'EOF'
{
"registry-mirrors": ["https://szvvaomn.mirror.aliyuncs.com"]
}
EOF
[root@docker ~]# systemctl daemon-reload
[root@docker ~]# systemctl restart docker
6.配置路由转发给功能
[root@docker ~]# vim /etc/sysctl.conf
net.ipv4.ip_forward = 1
net.bridge.bridge-nf-call-iptables = 1
net.bridge.bridge-nf-call-ip6tables = 1
[root@docker ~]# sysctl -p
docker的底层原理
如果虚拟机内服务对内核版本有要求,这个服务就不太适合用docker来实
现了。
Busybox: 欺骗层(模拟不同系统的根目录)。
解耦:解除耦合、冲突。
耦合:冲突现象。
普通虚拟化:完全型解耦。
Docker: 半解耦。
run------> Centos系统(nginx、web)。
Namespace(名称空间):
逻辑空间-------> 隔离。
用来隔离容器。
/proc /sys : 虚拟文件系统。伪目录文件 -----> 内存。
[root@docker01 ns]# pwd
/proc/1791/ns
namespace六项隔离
namespec六项隔离,实现了容器与宿主机、容器与容器之间的隔离。
IPC : 共享内存、消息列队
MNT : 挂载点、文件系统
NET : 网络栈
PID:进程编号
USER : 用户、组
UTS : 主机名、域名
Cgroup(控制组):
作用:限制docker容器对宿主机资源的使用。
[root@docker01 cpu]# pwd
/sys/fs/cgroup/cpu
[root@docker01 cpu]# cat tasks
// tasks这个文件内的数字,记录的是进程编号。PID
权重比
四大功能:
1)资源限制:cgroup可以对进程组使用的资源总额进行限制。
2)优先级分配:通过分配的cpu时间片数量以及硬盘IO带宽大小,实际上相当于控制了进程运行的优先级别。
3)资源统计:cgroup可以统计系统资源使用量,比如cpu使用时间,内存使用量等,用于按量计费。同时,还支持挂起动能,也就是说通过cgroup把所有资源限制起来,对资源都不能使用,注意着并不是说我们的程序不能使用了,只是不能使用资源,处于等待状态。
4)进程控制:可以对进程组执行挂起、恢复等操作。
内存限额
容器内存包括两个部分:物理内存和swap
可以通过参数控制容器内存的使用量:
-m 或者–memory: 设置内存的使用限额
–memory-swap: 设置内存+ swap的使用限额
举个栗子:
运行一个容器,并且限制该容器最多使用200M内存和100M的swap。
[root@docker01 ~]# docker run -itd --name container1 -m 200MB --memory-swap 300MB centos:7
Status: Downloaded newer image for centos:7
d7635241a3619f1e67822513be9a22954f002fe6acb09f8c2196d17542697c48
[root@docker01 d7635241a3619f1e67822513be9a22954f002fe6acb09f8c2196d17542697c48]# pwd
/sys/fs/cgroup/memory/docker/d7635241a3619f1e67822513be9a22954f002fe6acb09f8c2196d17542697c48
[root@docker01 d7635241a3619f1e67822513be9a22954f002fe6acb09f8c2196d17542697c48]# cat memory.limit_in_bytes
209715200
//内存+swap限制
[root@docker01 d7635241a3619f1e67822513be9a22954f002fe6acb09f8c2196d17542697c48]# cat memory.memsw.limit_in_bytes
314572800
对比一个没有限制的容器,我们会发现,如果运行容器之后不限制内存的话,以为着没有限制
CPU使用
通过-c或者–cpu-shares设置容器使用cpu的权重。如果不设置默认为1024
举个栗子:
[root@docker01 ~]# docker run -itd --name container2 -c 512 centos:7
ab473959378d97545a11679bea43b4c958dd9f4b4fab1028e539828b4414c8d7
[root@docker01 ab473959378d97545a11679bea43b4c958dd9f4b4fab1028e539828b4414c8d7]# pwd
/sys/fs/cgroup/cpu/docker/ab473959378d97545a11679bea43b4c958dd9f4b4fab1028e539828b4414c8d7
[root@docker01 ab473959378d97545a11679bea43b4c958dd9f4b4fab1028e539828b4414c8d7]# cat cpu.shares
512
对比一个没有做CPU权重限制的容器。
[root@docker01 ~]# docker run -itd --name container3 centos:7
59a3a75020f6f380c5a0e17286d7944b3965807f376497c9303bdfc92a9b3e1b
[root@docker01 59a3a75020f6f380c5a0e17286d7944b3965807f376497c9303bdfc92a9b3e1b]# pwd
/sys/fs/cgroup/cpu/docker/59a3a75020f6f380c5a0e17286d7944b3965807f376497c9303bdfc92a9b3e1b
[root@docker01 59a3a75020f6f380c5a0e17286d7944b3965807f376497c9303bdfc92a9b3e1b]# cat cpu.shares
1024
容器的Block IO
磁盘的读写。
docker中可以通过设置权重,限制bps和iops的方式控制容器读写磁盘的IO
bps: 每秒读写的数据量 byte per second
iops: 每秒IO的次数 io per second。
默认情况下,所有容器都能够平等的读写磁盘,也可以通过–blkio-weight参数改变容器的blockIO 的优先级。
–device-read-bps: 显示读取某个设备的bps。
–device-write-bps: 显示写入某个设备的bps。
–device-read-iops: 显示读取某个设备的iops。
–device-write-iops: 显示写入某个设备的iops。
//限制testA这个容器,写入/dev/sda这块磁盘的bps为30MB.
[root@docker01 ~]# docker run -itd --name test1 --device-write-bps /dev/sda:30MB centos:7
//从/dev/zero输入,然后输出到test.out文件中,每次大小为1M,总共800次,oflag=direct 用来指定directIO方式写文件,这样才会使–device-write-bps生效。
[root@docker01 ~]# docker exec -it test1 /bin/bash
[root@8cfac0cdecf0 /]# time dd if=/dev/zero of=test.out bs=1M count=800 oflag=direct
800+0 records in
800+0 records out
838860800 bytes (839 MB) copied, 26.7639 s, 31.3 MB/s
real 0m26.766s
user 0m0.000s
sys 0m0.960s
再运行一个不做限制testB容器,对比一下速率
[root@docker01 ~]# docker run -itd --name test2 centos:7
828c8e9e4a30fbc692d2574f3f3965a5feee7e389f697e3d455016f8929cd622
[root@docker01 ~]# docker exec -it test2 /bin/bash
[root@828c8e9e4a30 /]# time dd if=/dev/zero of=test.out bs=1M count=800 oflag=direct
800+0 records in
800+0 records out
838860800 bytes (839 MB) copied, 1.84629 s, 454 MB/s
real 0m1.848s
user 0m0.000s
sys 0m1.518s
基本操作命令
镜像基本操作命令
//查找镜像
[root@docker01 ~]# docker search busybox
//拉取镜像
[root@docker01 ~]# docker pull busybox
//查看本地镜像
[root@docker01 ~]# docker images
注意:一个完整的镜像,由镜像名称和TAG组成。如果只看到一个镜像
的名称,没有接标签,意思是默认标签:latest。
虽然我们查看到的镜像标签为latest(最新的),但并不表示它一定是最新
的。
//把镜像导出到本地
[root@docker01 ~]# docker save -o busybox.tar busybox:latest
或者
[root@docker01 ~]# docker save > busybox.tar busybox:latest
//根据本地镜像包导入镜像
[root@docker01 ~]# docker load -i busybox.tar
或者
[root@docker01 ~]# docker load < busybox.tar
//删除镜像
[root@docker01 ~]# docker rmi busybox:latest
容器基本操作命令
//查看容器-正在运行的
[root@docker01 ~]# docker ps
//查看所有容器,包括正在运行和没有运行的容器
[root@docker01 ~]# docker ps -a
//删除容器
[root@docker1 ~]# docker rm container1
注意: 强制删除正在运行的容器可以加上: -f 选项。
//创建容器
[root@docker1 ~]# docker create -it --name test centos:7
注意·:创建完成之后,容器是created的状态。
//启动容器
[root@docker1 ~]# docker start test
//停止容器运行
[root@docker1 ~]# docker stop test
//重启容器
[root@docker1 ~]# docker restart test
//挂起容器
[root@docker1 ~]# docker pause test
恢复状态
[root@docker1 ~]# docker unpause test
//强制删除所有容器(生产环境严禁使用)
[root@docker1 ~]# docker ps -a -q | xargs docker rm -f
强制启动所有容器
[root@docker1 ~]# docker ps -a -q | xargs docker start
同理,还可以有强制停止、重启、挂起等操作。
//运行一个容器
[root@docker01 ~]# docker run -itd --name test centos:7
参数:
-i : 可交互
-t: 伪终端
-d: 后台运行
–name: 给容器命名
–restart=always : 始终保持运行(随着docker开启而运行)
–rm :会随着退出容器的操作而删除容器
//进入一个容器
[root@docker1 ~]# docker exec -it test1 /bin/bash
或者
[root@docker1 ~]# docker attach test1
区别:
进入方式:
exec 进入的方式需要添加-i -t选项,后边还需要给容器一个shell环境。
但attach就不需要这么麻烦,可以直接进入。
退出状态:
exec 进入的方式: 如果执行exit退出,容器仍然保持运行。
attach : 如果执行exit退出,容器会被关闭。如果想要保持容器不被关
闭,可以使用键盘: Ctrl + p Ctrl + q 可以实现。
本质上去区别:
exec 进入的方法,会生产新的进程。
attach不会生产新进程。
//宿主机和容器之前,相互传东西
[root@docker1 ~]# docker cp nginx-1.16.0.tar.gz webapp:/root
//将容器制作成镜像
[root@docker1 ~]# docker commit webapp myweb
基本操作逻辑
小实验:
基于centos:7镜像运行一个容器,并且,在这个容器内部署Nginx服务。
1)下载镜像
[root@docker01 ~]# docker pull centos:7
2)运行容器
[root@docker01 ~]# docker run -itd --name webapp --restart=always centos:7
3)进入容器,开始部署nginx服务。
//将nginx包导入到容器内
[root@docker01 ~]# docker cp nginx-1.12.0.tar.gz webapp:/root
[root@docker01 ~]# docker exec -it webapp /bin/bash
[root@ee3a8e2528f2 ~]# tar zxf nginx-1.12.0.tar.gz
[root@ee3a8e2528f2 ~]# cd nginx-1.12.0
[root@ee3a8e2528f2 nginx-1.12.0]# yum -y install gcc pcre pcre-devel openssl opessl-devel zlib zlib-devel
[root@ee3a8e2528f2 nginx-1.12.0]# useradd -M -s /sbin/nologin nginx
[root@ee3a8e2528f2 nginx-1.12.0]# ./configure --prefix=/usr/local/nginx --user=nginx --group=nginx
[root@ee3a8e2528f2 nginx-1.12.0]# make && make install
[root@ee3a8e2528f2 nginx-1.12.0]# ln -s /usr/local/nginx/sbin/* /usr/local/sbin/
[root@ee3a8e2528f2 nginx-1.12.0]# nginx
[root@ee3a8e2528f2 nginx-1.12.0]# cd /usr/local/nginx/html/
[root@ee3a8e2528f2 html]# echo This is a testweb in container > index.html
[root@ee3a8e2528f2 html]# curl 127.0.0.1
This is a testweb in container
//把容器制作成镜像
[root@docker01 ~]# docker commit webapp myweb:12-10
