docker-arch

https://docs.docker.com/engine/docker-overview/#docker-architecture

repo/hub means a virtual machine’s image. How can we add package to it?

docker info 会告诉你目录存放在哪里,默认在 /var/lib/docker/

base on LXC(Linux container) 每个container中运行的进程,是的确运行在host上的(用ps 可以查看的到), 这样的话,无论你的镜像是基于ubuntu, centos, 还是debian的,都是运行在主机内核上的(container中没有自己的内核)。也就是说如果主机内核不满足需求,container中的依赖此特性的应用程序就无法运行。

root@k8s-vm1:/home/ubuntu# ps aux|grep mongodb
999       8920  0.6  0.8 276684 65784 ?        Ssl  03:09   0:12 mongod --config /etc/mongodb.conf --smallfiles

从上面 kubernetes 的例子可以看出:999 是 docker 用户,/etc/mongodb.conf 也是其专有的文件。但是这个 mongod 进程却是所有人都能看到。

https://unix.stackexchange.com/questions/254956/what-is-the-difference-between-docker-lxd-and-lxc lxd 更像传统的虚拟机,Docker container 可以跑在其上面。

http://www.infoq.com/cn/news/2017/02/Docker-Containerd-RunC Docker、Containerd、RunC…:你应该知道的所有

Docker背后的内核知识—Namespace资源隔离 http://www.infoq.com/cn/articles/docker-kernel-knowledge-namespace-resource-isolation

“Linux内核实现namespace的主要目的就是为了实现轻量级虚拟化(容器)服务。在同一个namespace下的进程可以感知彼此的变化,而对外界的进程一无所知。这样就可以让容器中的进程产生错觉,仿佛自己置身于一个独立的系统环境中,以此达到独立和隔离的目的。”

Kubernetes 1.5引入了一个名为容器运行时接口(CRI)的内部插件API,以方便地访问不同的容器运行时,CRI允许Kubernetes使用各种容器运行时,而不需要重新编译。最广为人知的容器运行时是Docker,但在生态系统中还有其他容器运行时软件,比如Rkt、Containerd和Lxd。

Docker使用的Linux核心模組功能包括下列各項:

  • Namespace – 用來隔離不同Container的執行空間
  • Cgroup – 用來分配硬體資源
  • AUFS(chroot) – 用來建立不同Container的檔案系統
  • SELinux – 用來確保Container的網路的安全
  • Netlink – 用來讓不同Container之間的行程進行溝通
  • Netfilter – 建立Container埠為基礎的網路防火牆封包過濾
  • AppArmor – 保護Container的網路及執行安全
  • Linux Bridge – 讓不同Container或不同主機上的Container能溝通

『除了我们刚刚用到的 PID Namespace,Linux 操作系统还提供了 Mount、UTS、IPC、Network 和 User 这些 Namespace,用来对各种不同的进程上下文进行“障眼法”操作。』 从进程说起:容器到底是怎么一回事儿? Pid namespace 效果是 ps 只能看到自己创建的进程, 而且 ID 还是从 1 开始。其实 namespace 只是创建进程中要传入的一个参数而已,默认为 null。如此看来,进程和宿主机进程差别不大,要对其监控,常常需要些先导程序。

企业版 https://www.docker-cn.com/enterprise-edition 从Infrastructure到Container和Plugin都是Trusted and Certified,而这些点也是被对手向rkt等所诟病最多的内容,docker在EE版本进行了强化。我猜在 docker build 的时候会加入证书,放篡改。

对于 Docker 改名 Moby ,大家怎么看?https://www.zhihu.com/question/58805021 Moby 成了开源代码,build 好的会进入社区版。而 Docker 是注册商标。

文件系统

it use AUFS as backend storage. http://developerblog.redhat.com/2014/09/30/overview-storage-scalability-docker/

Docker的存储机制采用了非常灵活的模块化设计,目前支持5种存储引擎,分别为aufs、btrfs、device mapper、vfs和overlay。 http://fengchj.com/?p=2297

DOCKER基础技术:AUFS http://coolshell.cn/articles/17061.html 多层的,snapshot 类似的,『最主要的应用是,把一张CD/DVD和一个硬盘目录给联合 mount在一起,然后,你就可以对这个只读的CD/DVD上的文件进行修改』

Digging into Docker layers https://medium.com/@jessgreb01/digging-into-docker-layers-c22f948ed612

https://yeasy.gitbooks.io/docker_practice/cases/os/alpine.html

Alpine Linux,一个只有5M的Docker镜像 http://www.infoq.com/cn/news/2016/01/Alpine-Linux-5M-Docker

“另外,Alpine Linux使用了musl,可能和其他Linux发行版使用的glibc实现会有所不同。在容器化中最可能遇到的是DNS问题,即musl实现的DNS服务不会使用resolv.conf文件中的search和domain两个配置,这对于一些通过DNS来进行服务发现的框架可能会遇到问题。”

我看monocular api server就是基于这个,没有遇到DNS的问题啊,毕竟k8s也是用dns做服务发现的。

Docker hub 就是 alpine,可以直接在 k8s 里面使用。但是创建后马上 CrashLoopBackOff。没有 pause?需要加上一个命令:sleep 3600。

To run in k8s: kubectl run alpine --rm -ti --image=alpine /bin/sh

为什么不直接使用BusyBox?https://blog.ubuntu.com/2018/07/09/minimal-ubuntu-released 这个优化过的只有 29MB。

“首先是空间占用问题,小是Alpine Linux的最大优势,但是Docker的文件系统可以进行分层缓存,对于已经构建或者拉取过镜像的机器来说,每次的增量更新内容可能并不会很多。也就是说,如果所有镜像都使用相同的基础镜像,这个镜像在所有机器上都只会拉取一遍。”

DevOps 流程中对于 Docker Image 的分层管理与实践:采用分层存储如果底层不变则能大幅度减少存储空间

NixOS 也是基于 alpine,但是有自己独特的包管理器。

Tini http://yunke.science/2018/04/09/Tini-command/

  • 它可以防止意外造成僵尸进程的软件,僵尸进程可以(随着时间的推移)让整个系统崩溃,并使其无法使用。
  • 它确保默认的信号处理程序适用于您在Docker镜像中运行的软件。 例如,对于Tini,即使您没有为其显式安装信号处理程序,SIGTERM 也会正确终止您的过程。
  • 它完全透明! 没有Tini工作的Docker图像将与Tini无任何变化一起工作。

Kubernetes中的 pause 容器便被设计成为每个业务容器提供以下功能:

  • 在 pod 中担任 Linux 命名空间共享的基础
  • 启用 pid 命名空间,开启 init 进程
  • 收割僵尸,这个和 tini 似乎类似

似乎每个 pod 都有一个对应的 pause 容器,在 docker ps 下面可以看到。http://dockone.io/article/2785 看不大懂。

Hyper is a Hypervisor-agnostic Docker Runtime. Its goal is to Make VM run like Container, by combining the best from both:

  • AS Fast as Container
  • Isolated by VM

HyperContainer利用虚拟化技术(而非namespaces与cgroups)实现隔离与资源限制

Hypernetes:为Kubernetes带来安全性与多租户机制 http://dockone.io/article/1340

创始人赵鹏的中文博客 https://wangxu.me/

张磊 大咖信息 http://www.itdks.com/member/people/49328

VLIS实验室云计算组张磊:关于Docker、开源,以及教育的尝试(图灵访谈) http://www.ituring.com.cn/article/203520

Runtime

OCI,

Kata,

Ubuntu 自己搞了个 LXD,LXD isn’t a rewrite of LXC, in fact it’s building on top of LXC to provide a new, better user experience. Under the hood, LXD uses LXC through liblxc and its Go binding to create and manage the containers. Runtime 方面,Google 带来了他们自己的安全容器方案 —— gVisor。gVisor 提供新型沙箱容器运行时环境,能够在保证轻量化优势的同时,提供与虚拟机类似的隔离效果。这与去年在 Austin 的 KubeCon 上宣布成立的 KataContainer 项目定位十分类似。KataContainer 源自于 Intel 的 Clear Container 和 hyper 的 runV,是一种基于轻量级虚拟化的容器技术。它通过在容器外加装一层经过大量裁剪和优化的虚拟化,实现容器间的内核隔离。

AWS firecracker https://firecracker-microvm.github.io/,Rust 写的,Getting Started,要求 Linux 4.14+, kvm,只模拟 virtio-net, virtio-block, serial console, and a 1-button keyboard controller used only to stop the microVM,所以速度快。Kata 在 QEMU 基础上实现了容器接口(OCI),而这个只是一个更快速的 QEMU。AWS Lambda,更安全,速度更快(125ms 启动),所以更为类似的应该是 gVisor。所以,理论上,Kata Containers 也可以使用 Firecracker 运行起来。

Image

保存位置可以用 docker info 来查看。Mac 因为运行在 linux vm 上面,image 也保存在这个 vm 里面。

删除 image 时会发现删除一批,这个是 overlay 的 image 么?而且之间会有依赖,比如我的 spring-demo 就依赖 openjdk,不能先删除 openjdk。这是因为 spring-demo 是建立在 openjdk 上面?

https://github.com/wagoodman/dive A tool for exploring a docker image, layer contents, and discovering ways to shrink your Docker image size.

国内 docker 仓库镜像对比Docker 中国官方镜像加速,官方的说“该镜像库只包含流行的公有镜像。私有镜像仍需要从美国镜像库中拉取。”

私库 https://azure.microsoft.com/zh-cn/services/container-registry/ https://quay.io/ https://cloud.google.com/container-registry/

harbor

https://www.cncf.io/blog/2018/11/13/harbor-into-incubator/ 只有这个图才清楚些。

『“Harbor技术栈”中有多个第三方组件,包括NGINX,Docker,Distribution V2,Redis以及PostgreSQL。Harbor同时依赖Clair来进行漏洞扫描,依赖Notary进行镜像签名。』

其实还挺复杂的,用到了 k-v cache 和数据库,Redis 单纯做数据库的 cache 么?这里其实主要是个目录服务。Distribution V2 是 Docker 官方的 registry,也可以保存容器目录啊。那要 sql db 为何?保存用户和镜像统计信息?

dragonfly

https://github.com/dragonflyoss/Dragonfly/blob/master/docs/zh/architecture.md

『图中镜像仓库(registry)类似于文件服务器。dfget proxy也称为dfdaemon,它拦截来自docker pull和docker push的HTTP请求,然后将那些跟镜像分层相关的请求使用dfget来处理。』

Dragonfly中文名“蜻蜓”,是一个基于P2P的智能文件分发系统。解决了应用部署,大规模缓存文件分发,数据文件分发,图像分发等大规模文件分发场景中低效率,低成功率,浪费网络带宽等问题。

这种只有在像阿里这种巨无霸公司才存在上千个客户端拉取镜像的情况吧。配置的时候只需要每个客户端指定 master node 地址就可以了吧,然后客户端可以获取所有其他客户端的地址。对的,p2p 就是这样,master 只保存种子,master 会维护种子对应的客户端列表。

以前源代码、build、二进制文件、部署都是各自维护,现在统一平台管理后,内部流量大增,特别是容器镜像一般都比较大,问题更为吐出。

Dockerfile

CMD [“/main”], ENTRYPOINT [“/main”],前者无法传递参数。

# Delete all containers

docker rm $(docker ps -a -q)

# Delete all images

docker rmi $(docker images -q)

Atomic/CoreOS

提供运行 Docker 环境并对容器环境优化的主机操作系统,和上面 alpine 这种 docker 镜像不同。

It aims to combine the best of both CoreOS Container Linux and Fedora Atomic Host. https://coreos.fedoraproject.org/

CoreOS Container Linux https://coreos.com/os/docs/latest/ (previously named CoreOS),有提供 OpenStack 镜像,解压后有 800MB,这和 centos cloud image 差不多,比 Fedora/Ubuntu 200MB 大多了。和 cloud-init 类似,这个自创了一个格式 Ignition 来定制镜像的初始化,挺复杂。

Think

看到 Docker 居然在 CI/DI 也遍地开花,不禁感叹:这种小技术为什么推广这么开?

体现的还是:分离。虚拟机是硬件资源的抽象,和软件技术无关,只是方便了运维人员。而 Docker 的 image 是技术/框架相关的,分离和抽象出了软件栈,一种轻量化的 PaaS。而当服务注册和发现是基于全局 DNS 和 proxy,这种隔离就更明显了,对项目代码就更无侵入性了、更透明了。

Docker 更是一种动态的封装,运行时的封装。运行tomcat虽然也很简单,但仍然要了解其特定的命令。而docker全部是docker run。

那和一般的虚拟机比较呢?Docker 启动更快,因为虚拟层次少性能更好。更因为和 Linux 操作系统紧密结合灵活性更好,比如磁盘和网络的分配上面。