Docker：集装箱式“运输”在软件上的实现

Docker是由PaaS提供商dotCloud在2013年年初创建的一款开源应用引擎，Docker可以自动将任何应用打包成轻量、可移植、自包涵的容器引擎。开发者构建的应用可以一次构建全平台运行，包括本地开发机器，生产环境，虚拟机和云等。

Docker基于Go语言开发，代码托管在 Github上，并遵循Apache 2.0开源协议。近期，这个项目得到了越来越多的用户追捧，Github上的Star数已经9000多，Google的Compute Engine也支持 Docker，而在国内，知名的百度也把Docker作为其Paas的基础。

来自Docker官方博客

Docker容器可以封装任何有效负载，几乎可以在任何服务器之间进行一致性运行。

Docker的常用案例包括：

自动打包和部署应用
创建轻量、私有的PaaS环境
自动化测试和持续集成/部署
部署并扩展Web应用、数据库和后端服务器

背景

十五年前，几乎所有的应用都是采用定义良好的堆栈编写，并且部署到单一的专有服务器上。今天，开发人员可以使用现成的最佳服务组合构建和装配应用程序，并且为这些应用程序进行跨不同硬件环境的多重部署做好了准备，包括公共的、私有的和虚拟化的服务器。

图1 IT演变

这种设置可能会用在：

不同服务和“依赖抵御”之间的相互不良反应
在快速迁移和跨不同硬件之间面临挑战，不可能管理一个跨多个服务并且被部署在不同硬件类型上的矩阵。

图2 多个栈和多种硬件环境所面临的挑战

我们可以看到，这里有大量的组合和排列应用/服务以及随时需要考虑每一个应用程序被写入或改写的硬件环境。这将给编写应用程序的开发人员和试图创建一个稳定、安全、高性能操作环境的人们带来一个困难的局面。

图3 使用动态栈和动态硬件环境创建一个N*N矩阵

那么，该如何解决这种局面呢？让我们举个运输界的例子，在1960年之前，大多数散货通过船进行托运，托运人和承运人很担心不同类型的货物之间会发生些不良反应（例如，一批铁压在一袋香蕉上）。同样，各种不同运输方式之间进行转换也是非常痛苦的，其中一大半的时间都是花在港口对货物进行卸载，然后再装载，并且还要等待同一批货物一起被装到火车、卡车等交通工具上。这样，在多种不同物品和多个不同的运输机制之间就存在一个N*N的矩阵。

图4 1960年之前的海运

幸运地是，标准集装箱的出现解决了以上所面临的难题。任何货物，从开心果到保时捷，都可以通过标准集装箱进行包装。托运人员或承运人可以把集装箱进行密封或者禁止再次打开，直到运输到目的地。在运输过程中，集装箱可以被卸载、装载、堆积、运输并且还可以有效地长距离运输。集装箱颠覆了全球运输方式——一个标准，让货物在火车、汽车、轮船之间畅通无阻。今天，有1800万只集装箱进行着90%的世界贸易。

图5 一个标准容器（集装箱）的出现解决了运输方面的难题

在某种程度上，Docker可以看作是用代码编写出来的国际集装箱。

图6 软件“运输”解决方案也是一个标准的容器系统

Docker可以把任何应用及相关依赖项打包成一个轻量、可移植、自包涵式的容器，该容器拥有标准的操作，从而能够实现自动化。与此同时，所有的应用都可以运行在任何Linux服务上。相同的容器，开发者可以在笔记本上有规模的运行、生产、也可以在虚拟机、逻辑服务器、OpenStack集群、公共实例、或以上所有结合（的方式）上运行。

换句话说，开发者构建的应用只需一次构建即可多平台运行。运营人员只需配置他们的服务，即可运行所有的应用。

Docker的主要功能特征

	物理容器	Docker
内容无关性（Content Agnostic）	相同的集装箱可以容纳几乎任何类型的货物	可以封装任何有效负载及其依赖项
硬件无关性（Hardware Agnostic）	同一标准的容器允许把货物从船上运输到火车、卡车上，直到运输到仓库，整个过程无需整理货物或打开容器	使用操作系统基元（例如：LXC）几乎可以在任何平台上运行——虚拟机、裸机、OpenStack、公共IaaS等，并且无需修改
内容隔离和交互	无需担心铁压在香蕉上，容器可以堆积运输	资源、网络和内容隔离，避免依赖地狱
自动化	标准的接口使其易于实现自动化装卸、搬运等	运行、启动、停止、提交、搜索等都有标准的操作，非常适合devops：CI、CD、自动扩展、混合云
高效	无需打开或修改，可以在起始两地快速地移动/运输	轻量级、几乎没有任何偏向和启动惩罚，可以进行快速移动和操作
职责分离	托运人担心盒子内部、承运人担心盒子外部	开发人员担心代码，运营人员担心基础设施

更多技术特性：

文件系统隔离：每个进程容器都运行在一个完全独立的根文件系统里；
资源隔离：系统资源，例如CPU、内存等，使用cgroups分配在不同的流程容器里；
网络隔离：每个进程容器携带自身的一个虚拟接口和IP地址运行在自己的网络空间；
即写即拷（Copy-on-write）：使用即写即拷方式创建根文件系统，这样部署速度极快、内存和硬盘空间极少；
日志：Docker将会收集和记录每个进程容器的标准流（stdout/stderr/stdin），用于实时检索或批量检索；
变更管理：容器文件系统的变更可以提交到新的映像（image）中，并可重复使用以创建更多的容器。无需使用模板或手动配置；
交互式shell：Docker可以分配一个虚拟终端并关联到任何容器的标准输入上，例如运行一个一次性交互shell。

Docker有哪些基本功能？

Docker让开发和运维变的简单。下面这幅图会让你对Docker基本功能有个很好的认识，Docker会将网络，存储这些事情都配好。下载应用并安装。并配置一些参数，打包上传Image。此外，Container既可以手动创建，也可以自动创建，如果源码库里面包涵DockerFile文件，那么将会自动创建，容器里不仅包涵应用，还包括应用的所有依赖项。

开发人员可以使用Docker Search命令在Docker Registry（无论是公有还是私有的）里搜索Containers，并且还可以使用Docker Pull命令从注册表里推送Container，使用Docker Run命令执行启动、运行、停止等操作。值得注意的是，Run命令的对象可能是你自己的服务器、公共实例或者是两者的组合。

图7 Docker的基本功能

关于Docker的完整功能列表，大家可以访问： http://docs.docker.io/en/latest/commandline/

Docker的三种运行方式：作为守护进程，在Linux主机上管理LXC容器；作为一个CLI，与守护进程的REST API进行对话（docker run ...）；作为仓库的客户端，分享你所构建的内容（docker pull, docker commit）。

Containers是如何工作的？与VMs有何不同？

一个Container通常包含应用及应用依赖项，Container用来隔离进程，这些进程主要运行在主机操作系统上的隔离区和用户空间。

这个是明显不同于传统的VMs。传统的硬件虚拟化（例如VMWare、KVM、Xen、EC2）旨在创造一个完整虚拟机。每个虚拟化应用不仅包含应用的二进制文件，还需运行该应用程序所需的库、一个完整的Guest操作系统。

图8 Containers vs. 传统VMs

由于所有的容器共享同一个操作系统（以及二进制文件和库），所以，他们明显要比VM小的多，这样，就完全可以在一个物理主机上托管100个VMs（一般VM数量会受到严格限制）。此外，因为它们使用主机操作系统，重启一个VM并不意味着要重启操作系统，因此，容器更加轻便、高效。

Docker中的容器效率会更高。因为一个传统的VM、应用、每个应用副本以及每个应用微小的变更都需要重新创建一个完整的VM。

如上图所示，一个新的应用在主机上仅仅包含应用及其二进制文件/库，这样就无需创建一个新的客户机操作系统。

如果你想在主机上运行该应用的几个副本，你甚至无需复制共享的二进制文件。

最后，即使你对应用进行了变更，你也无需拷贝变更内容。

图9 Mechanism让Docker容器更轻量

这不仅让存储和容器运行变得更高效，还让应用程序更新变得极其简便。正如下图所示，更新一个容器只需应用差异的地方。

图10 修改和更新Container

下面分享一些比较酷的Docker用例

实例	实例描述	链接
构建自己的PaaS	Dokku——Docker实现的mini-Heroku。你所见过最小的PaaS实现	http://bit.ly/191Tgsx
基于指令环境的Web	JiffyLab——基于指令环境的Web，使用更轻量、Python和UNIX shell	http://bit.ly/12oaj2K
应用部署简便	使用Docker部署Java应用在Docker上运行Drupal 在Docker上安装Redis	http://bit.ly/11BCvvu http://bit.ly/15MJS6B http://bit.ly/16EWOKh
创建安全沙盒	Docker让安全沙盒的创建更简单	http://bit.ly/13mZGJH
创建自己的SaaS	把Memcached作为服务	http://bit.ly/11nL8vh
应用程序自动化部署	使用Docker的Push-button部署	http://bit.ly/1bTKZTo
持续集成部署	dotCloud的Docker和Strider的下一代持续集成&部署	http://bit.ly/ZwTfoy
轻量级桌面虚拟化	Docker桌面：通过SSH运行一个内部Docker容器	http://bit.ly/14RYL6x