容器部署解决方案Docker.pdfVIP

容器部署解决方案Docker--第1页 容器部署解决⽅案Docker 1.Docker简介 1.1虚拟化 1.1.1什么是虚拟化 在计算机中，虚拟化（英语：Virtualization）是⼀种资源管理技术，是将计算机的各种实体资源，如服务器、⽹络、内存及存储等，予以 抽象、转换后呈现出来，打破实体结构间的不可切割的障碍，使⽤户可以⽐原本的组态更好的⽅式来应⽤这些资源。这些资源的新虚拟部份 是不受现有资源的架设⽅式，地域或物理组态所限制。⼀般所指的虚拟化资源包括计算能⼒和资料存储。 在实际的⽣产环境中，虚拟化技术主要⽤来解决⾼性能的物理硬件产能过剩和⽼的旧的硬件产能过低的重组重⽤，透明化底层物理硬件，从 ⽽最⼤化的利⽤物理硬件 对资源充分利⽤ 虚拟化技术种类很多，例如：软件虚拟化、硬件虚拟化、内存虚拟化、⽹络虚拟化(vip)、桌⾯虚拟化、服务虚拟化、虚拟机等等。 1.1.2虚拟化种类 1. 全虚拟化架构 虚拟机的监视器（hypervisor）是类似于⽤户的应⽤程序运⾏在主机的OS之上，如VMware的workstation，这种虚拟化产品提供了虚拟 的硬件。 （2）OS层虚拟化架构 (3) 硬件层虚拟化 容器部署解决方案Docker--第1页 容器部署解决方案Docker--第2页 硬件层的虚拟化具有⾼性能和隔离性，因为hypervisor直接在硬件上运⾏，有利于控制VM的OS访问硬件资源，使⽤这种解决⽅案的产品 有VMware ESXi 和 Xen server Hypervisor是⼀种运⾏在物理服务器和操作系统之间的中间软件层,可允许多个操作系统和应⽤共享⼀套基础物理硬件，因此也可以看作是 虚拟环境中的“元”操作系统，它可以协调访问服务器上的所有物理设备和虚拟机，也叫虚拟机监视器（Virtual Machine Monitor，VMM）。 Hypervisor是所有虚拟化技术的核⼼。当服务器启动并执⾏Hypervisor时，它会给每⼀台虚拟机分配适量的内存、CPU、⽹络和磁盘，并 加载所有虚拟机的客户操作系统。 宿主机 Hypervisor是所有虚拟化技术的核⼼，软硬件架构和管理更⾼效、更灵活，硬件的效能能够更好地发挥出来。常见的产品有：VMware、 KVM、Xen等等。 1.2什么是Docker 1.2.1容器技术 在计算机的世界中，容器拥有⼀段漫长且传奇的历史。容器与管理程序虚拟化（hypervisor virtualization，HV）有所不同，管理程序虚 拟化通过中间层将⼀台或者多台独⽴的机器虚拟运⾏与物理硬件之上，⽽容器则是直接运⾏在操作系统内核之上的⽤户空间。因此，容器虚 拟化也被称为“操作系统级虚拟化”，容器技术可以让多个独⽴的⽤户空间运⾏在同⼀台宿主机上。 由于“客居”于操作系统，容器只能运⾏与底层宿主机相同或者相似的操作系统，这看起来并不是⾮常灵活。例如：可以在Ubuntu服务中 运⾏Redhat Enterprise Linux，但⽆法再Ubuntu服务器上运⾏Microsoft Windows。 相对于彻底隔离的管理程序虚拟化，容器被认为是不安全的。⽽反对这⼀观点的⼈则认为，由于虚拟容器所虚拟的是⼀个完整的操作系统， 这⽆疑增⼤了攻击范围，⽽且还要考虑管理程序层潜在的暴露风险。 尽管有诸多局限性，容器还是被⼴泛部署于各种各样的应⽤场合。在超⼤规模的多租户服务部署、轻量级沙盒以及对安全要求不太⾼的隔离 环境中，容器技术⾮常流⾏。最常见的⼀个例⼦就是“权限隔离监牢”（chroot jail），它创建⼀个隔离的⽬录环境来运⾏进程。如果权限 隔离监牢正在运⾏的进程被⼊侵者攻破，⼊侵者便会发现⾃⼰“⾝陷囹圄”，因为权限不⾜被困在容器所创建的⽬录中，⽆法对宿主机进⼀ 步破坏。 最新的容器技术引⼊了OpenVZ、Solaris Zones以及Linux容器（LXC）。使⽤这些新技术，容器不在仅仅是⼀个单纯的运⾏环境。在⾃ ⼰的权限类内，容器更像是⼀个完整的宿主机。对Docker来说，它得益于现代Linux特性，如控件组（control group）、命名空间 （namespace）技术，容器和宿主机之间的隔离更加彻底，容器有独⽴的⽹络和存储栈，还拥有⾃⼰的资源管理能⼒，使得同⼀台宿主机 中的多个容器可以友好的共存。 容器部署解决方案Docker--第2页 容器部署解决方案Docker--第3页 容器被认为是精益技术，因为容器需要的开销有限。和传统虚拟化以及半虚拟化相⽐，容器不需要模拟层（emulation layer