Docker Engine是具有以下主要组件的客户端-服务器应用程序:
服务器是一种长期运行的程序,称为守护程序进程( dockerd命令)。
REST API,它指定程序可以用来与守护程序进行通信并指示其操作的接口。
命令行界面- - (CLI)客户端(docker命令)。
Docker使用客户端-服务器架构。Docker 客户端与Docker 守护进程进行对话,该守护进程完成了构建,运行和分发Docker容器的繁重工作。Docker客户端和守护程序可以 在同一系统上运行,或者您可以将Docker客户端连接到远程Docker守护程序。Docker客户端和守护程序在UNIX套接字或网络接口上使用REST API进行通信。
Docker守护程序(dockerd)侦听Docker API请求并管理Docker对象,例如镜像,容器,网络和卷。守护程序还可以与其他守护程序通信以管理Docker服务。
Docker是C/S架构的程序,Docker的客户端向守护进程发起请求,守护进程处理完成后返回结果。
Docker客户端既可以在本地访问守护进程,也可以远程访问守护进程。
Docker客户端(docker)是许多Docker用户与Docker交互的主要方式。当您使用诸如之类的命令时docker run,客户端会将这些命令发送到dockerd,以执行这些命令。该docker命令使用Docker API。Docker客户端可以与多个守护程序通信。
Docker 注册表存储Docker映像。Docker Hub是任何人都可以使用的公共注册表,并且Docker配置为默认在Docker Hub上查找映像。您甚至可以运行自己的私人注册表。如果使用Docker数据中心(DDC),则其中包括Docker可信注册表(DTR)。
使用docker pull或docker run命令时,所需的图像将从配置的注册表中提取。使用该docker push命令时,会将映像推送到配置的注册表。
**1)Images(镜像):
**
Docker 镜像(Image)就是一个只读的创建 Docker 容器的模板。镜像可以用来创建 Docker 容器,一个镜像可以创建很多容器。
镜像是容器的基石,容器基于镜像启动,镜像就像是容器的源代码,保存了用于容器启动的各种条件。
镜像是一个层叠的只读文件系统,结构如下
bootfs 引导文件系统;
rootfs root文件系统,可以是一种或多种操作系统,如Ubuntu或CentOS,root文件系统永远只能是只读状态;
union mount 联合加载技术,一次加载多个只读文件系统到rootfs系统之上。在外围看到的只是一个文件系统,联合加载使各层文件系统叠加到一起,使最终的文件系统包含所有底层文件系统和目录,这样的文件系统就是镜像。
一个镜像可以放到另一个镜像的顶部,位于下边的镜像叫做父镜像,依次类推,最底部的镜像叫做基础镜像,指的是rootfs
2)container(容器):容器是镜像的可运行实例,他们的关系就有点类似java中类和对象的关系。
通过镜像启动:容器是docker的执行单元。
启动和执行:镜像如果是构建和打包阶段,则容器是启动和执行阶段
容器启动过程:启动时在镜像的最顶层加一个可写的文件系统,即可写层。Docker中运行的程序就是在这个层中执行的。docker第一次启动一个容器时,可写层是空的,当文件系统发生变化,都会应用到这一层。如果想修改一个文件,该文件首先会从可读写层下边的只读层复制到该读写层,该文件的只读版本依然存在,但是已经被读写层中的该文件副本所隐藏。这个是docker的重要机制,写时复制(copy on write)。
Docker 利用容器(Container)独立运行的一个或一组应用。容器是用镜像创建的运行实例。
它可以被启动、开始、停止、删除。每个容器都是相互隔离的、保证安全的平台。
可以把容器看做是一个简易版的 Linux 环境(包括root用户权限、进程空间、用户空间和网络空间等)和运行在其中的应用程序
容器的定义和镜像几乎一模一样,也是一堆层的统一视角,唯一区别在于容器的最上面那一层是可读可写的。
3)Registry(仓库): 是一个集中存储和分发镜像的服务。
仓库(Repository)是集中存放镜像文件的场所。
仓库(Repository)和仓库注册服务器(Registry)是有区别的。仓库注册服务器上往往存放着多个仓库,每个仓库中又包含了多个镜像,每个镜像有不同的标签(tag)。
仓库分为公开仓库(Public)和私有仓库(Private)两种形式。
最大的公开仓库是 Docker Hub(https://hub.docker.com/),
存放了数量庞大的镜像供用户下载。国内的公开仓库包括阿里云 、网易云 等
4)Client(客户端): 是Docker的用户界面,可以接受用户命令和配置标识,使用 Docker Api与 Docker 的守护进程(daemon)通信。
5)Host(主机): 一个物理或者虚拟的机器,用于执行 Docker 守护进程(daemon)和容器。
底层技术
Docker用Go编写,并利用Linux内核的多个功能来交付其功能。
**
Docker使用一种称为namespaces提供容器的隔离工作区的技术。运行容器时,Docker会为该容器创建一组 名称空间。
这些名称空间提供了一层隔离。容器的每个方面都在单独的名称空间中运行,并且其访问仅限于该名称空间。
Docker Engine在Linux上使用以下名称空间:
pid命名空间:进程隔离(PID:进程ID)。
net命名空间:管理网络接口(NET:网络)。
ipc命名空间:管理访问IPC资源(IPC:进程间通信)。
mnt命名空间:管理文件系统挂载点(MNT:摩)。
uts命名空间:隔离内核和版本标识符。(UTS:Unix时间共享系统)。
控制组
Linux上的Docker引擎还依赖于另一种称为控制组 (cgroups)的技术。cgroup将应用程序限制为一组特定的资源。控制组允许Docker Engine将可用的硬件资源共享给容器,并有选择地实施限制和约束。例如,您可以限制特定容器可用的内存。
联合文件系统或UnionFS是通过创建图层进行操作的文件系统,使其非常轻便且快速。Docker Engine使用UnionFS为容器提供构建模块。Docker Engine可以使用多个UnionFS变体,包括AUFS,btrfs,vfs和DeviceMapper。
Docker Engine将名称空间,控制组和UnionFS组合到一个称为容器格式的包装器中。默认容器格式为libcontainer。将来,Docker可以通过与BSD Jails或Solaris Zones等技术集成来支持其他容器格式。
原文链接:https://blog.csdn.net/fysuccess/article/details/105653802*
来源 | fysuccess 来源 | CSDN博客,责编 | Carol头图 | CSDN 下载自视觉中国
Copyright© 2013-2020
All Rights Reserved 京ICP备2023019179号-8