Docker简介

Docker是DotCloud开源的、可以将任何应用包装在Linux container中运行的工具。2013年3月发布首个版本，当前最新版本为1.3。Docker基于Go语言开发，代码托管在Github上，目前超过10000次commit。基于Docker的沙箱环境可以实现轻型隔离，多个容器间不会相互影响；Docker可以自动化打包和部署任何应用，方便地创建一个轻量级私有PaaS云，也可以用于搭建开发测试环境以及部署可扩展的web应用等。

Docker vs VM

从下图可以看出，VM是一个运行在宿主机之上的完整的操作系统，VM运行自身操作系统会占用较多的CPU、内存、硬盘资源。Docker不同于VM，只包含应用程序以及依赖库，基于libcontainer运行在宿主机上，并处于一个隔离的环境中，这使得Docker更加轻量高效，启动容器只需几秒钟之内完成。由于Docker轻量、资源占用少，使得Docker可以轻易的应用到构建标准化的应用中。但Docker目前还不够完善，比如隔离效果不如VM，共享宿主机操作系统的一些基础库等；网络配置功能相对简单，主要以桥接方式为主；查看日志也不够方便灵活。

另外，IBM发表了一篇关于虚拟机和Linux container性能对比的论文，论文中实际测试了虚拟机和Linux container在CPU、内存、存储IO以及网络的负载情况，结果显示Docker容器本身几乎没有什么开销，但是使用AUFS会一定的性能损耗，不如使用Docker Volume，Docker的NAT在较高网络数据传输中会引入较大的工作负载，带来额外的开销。不过container的性能与native相差不多，各方面的性能都一般等于或者优于虚拟机。Container和虚拟机在IO密集的应用中都需要调整优化以更好的支持IO操作，两者在IO密集型的应用中都应该谨慎使用。

Docker Component

Docker是CS架构，主要由下面三部分组成： * Docker daemon: 运行在宿主机上，Docker守护进程，用户通过Docker client(Docker命令)与Docker daemon交互 * Docker client: Docker 命令行工具，是用户使用Docker的主要方式，Docker client与Docker daemon通信并将结果返回给用户，Docker client也可以通过socket或者RESTful api访问远程的Docker daemon * Docker hub/registry: 共享和管理Docker镜像，用户可以上传或者下载上面的镜像，官方地址为https://registry.hub.docker.com/，也可以搭建自己私有的Docker registry。

了解了Docker的组成，再来了解一下Docker的两个主要概念： * Docker image：镜像是只读的，镜像中包含有需要运行的文件。镜像用来创建container，一个镜像可以运行多个container；镜像可以通过Dockerfile创建，也可以从Docker hub/registry上下载。 * Docker container：容器是Docker的运行组件，启动一个镜像就是一个容器，容器是一个隔离环境，多个容器之间不会相互影响，保证容器中的程序运行在一个相对安全的环境中。

Docker网络

Docker的网络功能相对简单，没有过多复杂的配置，Docker默认使用birdge桥接方式与容器通信，启动Docker后，宿主机上会产生docker0这样一个虚拟网络接口， docker0不是一个普通的网络接口， 它是一个虚拟的以太网桥，可以为绑定到docker0上面的网络接口自动转发数据包，这样可以使容器与宿主机之间相互通信。每次Docker创建一个容器，会产生一对虚拟接口，在宿主机上执行ifconfig，会发现多了一个类似veth****这样的网络接口，它会绑定到docker0上，由于所有容器都绑定到docker0上，容器之间也就可以通信。

在宿主机上执行ifconfig，会看到docker0这个网络接口， 启动一个container，再次执行ifconfig, 会有一个类似veth****的interface，每个container的缺省路由是宿主机上docker0的ip，在container中执行netstat -r可以看到如下图所示内容：

容器中的默认网关跟docker0的地址是一样的：

当容器退出之后，veth***虚拟接口也会被销毁。

除bridge方式，Docker还支持host、container、none三种网络通信方式，使用其它通信方式，只要在Docker启动时，指定–net参数即可，比如:

docker run -i -t  --net=host ubuntu /bin/bash

host方式可以让容器无需创建自己的网络协议栈，而直接访问宿主机的网络接口，在容器中执行ip addr会发现与宿主机的网络配置是一样的，host方式让容器直接使用宿主机的网络接口，传输数据的效率会更加高效，避免bridge方式带来的额外开销，但是这种方式也可以让容器访问宿主机的D-bus等网络服务，可能会带来意想不到的安全问题，应谨慎使用host方式；container方式可以让容器共享一个已经存在容易的网络配置； none方式不会对容器的网络做任务配置，需要用户自己去定制。

Docker 使用

首先要在宿主机上安装Docker，Docker安装参考官方安装文档。 Docker命令也比较类似Git，支持push以及pull操作上传以及下载Docker镜像。 查看当前Docker的版本

docker version

查看当前系统Docker信息

docker info

查看宿主机上的镜像，Docker镜像保存在/var/lib/docker目录下:

docker images

从Docker hub上下载某个镜像:

docker pull ubuntu:latest
docker pull ubuntu:latest

执行docker pull ubuntu会将Ubuntu这个仓库下面的所有镜像下载到本地repository。

启动一个容器使用docker run:

docker run -i -t ubuntu /bin/bash                       启动一个容器
docker run -i -t --rm ubuntu /bin/bash                  --rm表示容器退出后立即删除该容器
docker run -t -i --name test_container ubuntu /bin/bash --name指定容器的名称，否则会随机分配一个名称
docker run -t -i --net=host ubuntu /bin/bash            --net=host容器以Host方式进行网络通信
docker run -t -i -v /host:/container ubuntu /bin/bash   -v绑定挂在一个Volume，在宿主机和Docker容器中共享文件或目录

查看当前有哪些容器正在运行，使用docker ps:

xzs@host:~(0)$ docker ps
CONTAINER ID     IMAGE                COMMAND        CREATED         STATUS          PORTS    NAMES
50a1261f7a8b     docker_test:latest   "/bin/bash"    7 seconds ago   Up 6 seconds             sleepy_ptolemy
#目前只有一个container id为50a1261f7a8b的容器正在运行

启动或停止某个container使用docker start/stop container_id:

xzs@host:~(0)$ docker stop 50a1261f7a8b
50a1261f7a8bxzs@host:~(0)$ docker ps -a | grep 50a1261f7a8b
50a1261f7a8b   docker_test:latest   "/bin/bash"   2 minutes ago   Exited (0) 14 seconds ago   sleepy_ptolemy
#执行docker stop后，该容器的状态变更为Exited

使用docker commit可以将container的变化作为一个新的镜像，比如:

xzs@host:~(0)$ docker commit -m="test docker commit" 50a1261f7a8b docker_test
55831c956ebf46a1f9036504abb1b29d7e12166f18f779cccce66f5dc85de38exzs@host:~(0)$ docker images | grep docker_test
docker_test                            latest              55831c956ebf        10 seconds ago      290.7 MB

除了从Docker hub上下载镜像，也可以写Dockerfile创建一个镜像，以创建一个Django程序为例，Dockerfile如下所示：

xzs@host:/tmp/docker(0)$ cat Dockerfile
FROM ubuntu:12.04
MAINTAINER Your NameRUN apt-get update
RUN apt-get install -y python-software-properties python-pipADD myproject /opt/codeRUN pip install -r /opt/code/requirement.txt

写完Dockerfile，在Dockerfile所在目录执行docker build创建镜像:

docker build -t docker_test .
docker run -i -t docker_test /bin/bash -c "cd /opt/code;python manage.py runserver 0.0.0.0:8080"

将制作的镜像上传到private registry:

docker tag test docker.example.com/test
docker push docker.example.com/test

经过长时间使用，主机上存储了很多已无用的镜像，想将它们删除则用docker rm或者docker rmi，比如:

docker rm container_id
docker rmi image_id

Docker生态

随着Docker迅速火遍全球， 以Docker为基础的生态系统也迅速的发展起来，从以部署和运行container为基础的CoreOS到各种各样的管理工具和PaaS软件，Docker以及生态产品都在迅猛发展，以下介绍几个代表性的软件。

首先介绍CoreOS，它的出现极大地推动了Docker技术的推广和发展，CoreOS是专门为大规模服务部署而设计的一种新的Linux发行版，通过运行轻量级的容器方便扩展和维护大规模的服务。它具有以下特点： 1. CoreOS使用container管理服务(容器即服务)，即以容器的角度去管理服务，服务的代码和依赖都打包到容器里，打包后的容器直接在CoreOS上运行管理。通过容器用户不再需要关注虚拟机环境等，极大地降低了服务和系统环境的耦合性。另外部署在CoreOS的多个容器都运行在各自独立的环境中，不会相互影响。 2. CoreOS专门为cluster等大规模部署而设计，提供了Etcd进行服务发现，以及Fleet管理容器保证服务可用。 3. CoreOS更加精简，比如RAM使用比普通Linux低40%。 4. CoreOS采用双分区模式(Dual-Partition)，主分区为主动模式，负责系统运行，被动模式分区负责系统更新，更新时将整个CoreOS系统下载下来。

CoreOS是为集群服务而设计的，提供了Etcd、Fleet等管理工具管理容器和服务。Etcd是一种类似Zookeeper的分布式key/value存储服务，用于服务发现和配置管理。Fleet是容器管理工具，保证服务的可用性，当某个机器的服务不可用时，Fleet会将服务迁移到其它机器上运行。

Docker生态中还有一个非常重要的容器管理工具–Kubernetes，它是Google开源的用于在集群环境中管理、维护、自动扩展容器，通过Kubernetes可以很方便地在多个机器上管理和部署容器服务。现在已经得到IBM、Microsoft、RedHat等多个大公司的支持。

在Kubernetes中pod是一个基本单元，一个pod可以是提供相同功能的多个container，这些容器会被部署在同一个minion上。Replication controller定义了多个pod或者容器需要运行，如果当前集群中运行的pod或容器达不到配置的数量，replication controller会调度容器在多个minion上运行，保证集群中的pod数量。service则定义真实对外提供的服务，一个service会对应后端运行的多个container。Kubernetes的架构由一个master和多个minion组成，master通过api提供服务，接受kubectl的请求来调度管理整个集群。minion是运行Kubelet的机器，它接受master的指令创建pod或者容器。

最后介绍一下基于Docker实现的PaaS软件，Docker PaaS软件中以Deis和Flynn最为知名。Deis是基于Docker和CoreOS实现的轻量级的PaaS，受到Heroku的启发，遵循“十二要素”构建应用方法。Deis是以应用程序为中心设计的，分为build、release、run三个阶段，用户执行”git push”后，Deis使用Docker 容器编译并将编译结果保存在Docker镜像；发布阶段，一次build和配置文件产生一个数字标识的发布镜像，将发布镜像保存到Docker registry中以供后续发布到线上运行；运行阶段应用镜像会被调度到主机上运行，并更新相应的路由。Flynn与Deis类似，也是以应用为中心，Flynn组件分为两层，layer0是底层资源的抽象，主要负责资源调度以及服务发现等，为上层应用容器的运行提供底层资源调度支持；layer1处理具体应用，通过Docker容器编译、部署和维护上层应用程序。

总结

Docker从2013年发布第一个版本以来，已经火遍全球，技术迭代也比较频繁，其周边产品和技术也越来越丰富，由于Docker更新频繁，会出现新版本有时不兼容旧版本的情况，Docker周边产品基本都处于开发阶段还不具备生产环境下使用。

Docker的轻量级容器不仅实现了资源隔离，而且几乎可以运行在任何地方，使得部署和扩展变得非常容易，随着Docker的日趋完善，希望Docker被越来越多的公司应用到生产环境中。下一篇将详细介绍美团如何使用Docker。

参考文献

1. https://docs.docker.com/articles/
2. https://docker.cn/
3. http://domino.research.ibm.com/library/cyberdig.nsf/papers/0929052195DD819C85257D2300681E7B/$File/rc25482.pdf
4. http://www.infoq.com/
5. https://github.com/docker/docker-registry
6. http://www.xmind.net/m/RHSz/