Docker技术分享 PPT课件.ppt

* Docker技术分享 目录 CONTENTS Container 容器是一种基础工具 泛指任何可以用于容纳其他物品的工具，可以部分或完全封闭，被用于容纳、储存、运输物品 物品可以被放置在容器中，而容器则可以保护内容物 虚拟化 主机级别虚拟化：虚拟机 内核级别虚拟化：Linux容器 虚拟机 App A App B Guest OS Guest OS Bins/Libs Bins/Libs Hypervisor Host OS Server Linux容器 App A App B Bins/Libs Bins/Libs Docker Engine Host OS Server 传统虚拟机与容器对比 特性 容器 虚拟机 启动 秒级 分钟级 磁盘使用 一般为MB 一般为GB 性能 接近原生 弱于 系统支持量 单机支持上千个容器 一般几十个 Linux容器 隔离能力 隔离效果：容器的隔离能力相较于宿主机来说，是比较差的 原因：所有容器属于同一个内核，在内核级别上强行设定了边界，而主机级别的虚拟化本身不属于同一个内核，属于天然的隔离平台 解决方案：通过安全加强机制进行加固隔离边界 Linux容器-隔离实现之Chroot chroot，即 change root directory (更改 root 目录)。在 linux 系统中，系统默认的目录结构都是以 `/`，即是以根 (root) 开始的。而在使用 chroot 之后，系统的目录结构将以指定的位置作为 `/` 位置，因此它带来的好处大致有以下3个： 增加了系统的安全性，限制了用户的权力 建立一个与原系统隔离的系统目录结构 切换系统的根目录位置，引导 Linux 系统启动以及急救系统等 Linux容器-隔离实现之Cgroups Controller Groups 控制组指派/分配资源 把系统级的资源分成多个组，把每个组内的资源量指派/分配到特定的用户空间的进程上 Linux容器-隔离实现之Namespaces Mount namespaces：挂载点 UTS namespaces：主机名与域名 IPC namespaces：信号量、消息队列和共享内存 PID namespaces：进程号 Network namespaces：网络设备、网络栈、端口等 User namespaces：用户和组 LinuX Container（lxc） lxc-create 创建lxc容器（lxc-create -n NAME -t TEMPLATE_NAME） lxc-start 启动容器（lxc-start -n NAME -d） lxc-stop 停止容器 lxc-checkconfig 检查系统环境是否满足容器使用要求 lxc-info 查看容器相关的信息（lxc-info -n NAME） lxc-console 附加至指定容器的控制台（lxc-console -n NAME -t NUMBER） lxc-destroy 删除处于停机状态的容器 lxc-snapshot 创建和恢复快照 LinuX Container（lxc） 作用：Linux内核容器技术的简易使用工具，简化容器技术使用的方案 使用：通过template来创建 优势：能让每个用户空间的进程直接使用宿主机的性能，中间几乎没有额外开销，提高资源利用率 劣势： a. 需要定制template b. 数据难以迁移 c. 批量创建较难 d. 难以分发，难以大规模使用 Docker Container 用途： a. LinuX Container的增强版，其本身不是容器，容器是宿主机内核中的技术 b. 早期的版本是LinuX Container的二次封装发行版 实现：利用LinuX Container作为容器管理引擎 原理：在创建容器/用户空间时不再使用template，而是使用images 优势： a. 用户空间相互隔离，互不影响 b. 便于分发，一次编译，到处运行 劣势：每次调试时，需要先进入用户空间的边界内，给运维带来极大的不便利 Docker Engine Client docker CLI REST API server docker daemon Docker Engine Docker Engine?is a client-server application with these major components: A server which is a type of long-running program called a daemon