容器运行时 and Docker

什么是Docker

Docker 使用 Google 公司推出的 Go 语言 进行开发实现，基于 Linux 内核的 cgroup，namespace，以及 AUFS 类的 Union FS 等技术，对进程进行封装隔离，属于 操作系统层面的虚拟化技术。由于隔离的进程独立于宿主和其它的隔离的进程，因此也称其为容器。最初实现是基于 LXC，从 0.7 版本以后开始去除 LXC，转而使用自行开发的 libcontainer，从 1.11 开始，则进一步演进为使用 runC 和 containerd。

Docker 在容器的基础上，进行了进一步的封装，从文件系统、网络互联到进程隔离等等，极大的简化了容器的创建和维护。使得 Docker 技术比虚拟机技术更为轻便、快捷。

1. 为什么选择Docker?

作为一种新兴的虚拟化方式，Docker 跟传统的虚拟化方式相比具有众多的优势。

（1）更高效的利用系统资源。

由于容器不需要进行硬件虚拟以及运行完整操作系统等额外开销，Docker 对系统资源的利用率更高。无论是应用执行速度、内存损耗或者文件存储速度，都要比传统虚拟机技术更高效。因此，相比虚拟机技术，一个相同配置的主机，往往可以运行更多数量的应用。

（2）更快速的启动时间

传统的虚拟机技术启动应用服务往往需要数分钟，而 Docker 容器应用，由于直接运行于宿主内核，无需启动完整的操作系统，因此可以做到秒级、甚至毫秒级的启动时间。大大的节约了开发、测试、部署的时间。

（3）一致的运行环境

开发过程中一个常见的问题是环境一致性问题。由于开发环境、测试环境、生产环境不一致，导致有些 bug 并未在开发过程中被发现。而 Docker 的镜像提供了除内核外完整的运行时环境，确保了应用运行环境一致性，从而不会再出现 「这段代码在我机器上没问题啊」 这类问题。

（4）持续交付和部署

对开发和运维（DevOps）人员来说，最希望的就是一次创建或配置，可以在任意地方正常运行。

使用 Docker 可以通过定制应用镜像来实现持续集成、持续交付、部署。开发人员可以通过 Dockerfile 来进行镜像构建，并结合 持续集成(Continuous Integration) 系统进行集成测试，而运维人员则可以直接在生产环境中快速部署该镜像，甚至结合 持续部署(Continuous Delivery/Deployment) 系统进行自动部署。

而且使用 Dockerfile 使镜像构建透明化，不仅仅开发团队可以理解应用运行环境，也方便运维团队理解应用运行所需条件，帮助更好的生产环境中部署该镜像。

（5）更轻松的迁移

由于 Docker 确保了执行环境的一致性，使得应用的迁移更加容易。Docker 可以在很多平台上运行，无论是物理机、虚拟机、公有云、私有云，甚至是笔记本，其运行结果是一致的。因此用户可以很轻易的将在一个平台上运行的应用，迁移到另一个平台上，而不用担心运行环境的变化导致应用无法正常运行的情况。

（6）更轻松的维护和扩展

Docker 使用的分层存储以及镜像的技术，使得应用重复部分的复用更为容易，也使得应用的维护更新更加简单，基于基础镜像进一步扩展镜像也变得非常简单。此外，Docker 团队同各个开源项目团队一起维护了一大批高质量的 官方镜像，既可以直接在生产环境使用，又可以作为基础进一步定制，大大的降低了应用服务的镜像制作成本。

一、容器运行时（Container Runtime）是什么

容器运行时就是运行和管理容器进程，镜像的工具。

二、容器运行时分类

Docker属于容器技术早期的发展项目，也是最广泛的容器引擎技术，当然，随着容器生态圈的日益繁荣，业界慢慢也出现了其他各种运行时工具。根据容器运行时提供的功能呢个，可以将容器运行时分为低层运行时和高层运行时。

低层运行时

低层运行时主要负责与宿主机操作系统打交道，根据指定的容器镜像在宿主机上运行容器的进程，并对容器的的整个生命周期进行管理。而低层运行时，正是负责执行我们前面讲解过的设置容器Namespace，Cgroups等基础操作的组建，常见的低层运行时种类有：

• runc：传统的运行时，基于LInux Namespace和Cgroups技术实现，代表实现Docker。
• runv：基于虚拟机管理程序的运行时，通过虚拟化guest kernel，将容器和主机隔离开，使得边界更加清晰，代表实现是KAtaContainer和Firecracker
• runsc：runc + safety，通过拦截应用程序的所有系统调用，提供安全隔离的轻量级容器运行时沙箱，代表实现是谷歌的gVisor

高层运行时

高层运行时主要负责镜像的管理，转化等工作，为容器的运行做提前准备。主流的高层运行时主要containerd和CRI-O。

高层运行时和低层运行时各司其职，容器运行时一般先由高层运行时将容器镜像下载下来，并解压转换为容器运行需要的操作系统文件，再有低层运行时启动和管理容器。

低层运行时和高层运行时之间的关系

容器运行时更侧重于运行容器，为容器设置命名空间和控制组（cgroup），也被称为底层容器运行时，高层的容器运行时或者容器引擎专注于格式，解包，管理和镜像共享。他们还为开发者提供API。

三、Docker组成

Docker最初是一个单体引擎，主要负责容器镜像的制作，上传，拉取以及容器的运行以及管理。随着容器技术的发展，为了促进容器技术相关的规范生成和Docker自身项目的发展，Docker将单体引擎拆分为三部分：runC，containerd和dockerd

其中：

• runC主要负责容器的运行和生命周期的管理（低层运行时）
• containerd主要负责容器的镜像的下载和解压等镜像管理功能（高层进行时）
• dockerd主要负责提供镜像制作，上传等功能同时提供容器存储和网络的映射功能，同时也是Docker服务器端的守护进程，用来响应Docker客户端（命令行CLI工具）发来的各种容器、镜像管理的任务。

四、容器运行机制

当我们使用docker run运行一个命令在容器中时，在容器运行时层面会发生什么？

1. 如果本地没有镜像，，则会从镜像登记仓库(registry)拉取镜像
2. 镜像被提取到一个写时复制（COW）的文件系统上，所有的容器层相互堆叠以形成一个合并的文件系统。
3. 为容器准备一个挂载点。
4. 从容器镜像中设置元数据i，包括诸如覆盖CMD，来自用户输入的ENTRYOINT，设置SECCOM规则等设置，以确保容器按预期运行。
5. 提醒内核为该容器分配某种隔离，如进程，网络和文件系统（命名空间（namespace））
6. 提醒内核为该容器分配一些资源限制，如CPU或内存限制（控制组（cgroup））
7. 传递一个系统调用（syscall）给内核用于启动器。
8. 设置SeLinux/AppArmor

五、常用命令

docker --help//查看自己服务器docker镜像
docker images    //搜索镜像
docker search//拉取镜像
docker pull//运行镜像
docker run//保存镜像
docker save//删除镜像
docker rmi -f
docker image rm