Docker从入门到精通<2>-Docker的架构、内部组件、底层原理

Docker架构

docker是一个典型的CS架构，docker client通过REST API、UNIX套接字或者网络接口和docker daemon进行通信，后者来执行构建、运行、分发工作。

docker client和 docker daemonset可以在同一台机器或者不同的机器上面。

下面介绍几点基本概念：

• Docker client：docker客户端
• Docker daemon：docker服务端
• Registry：保存docker镜像的仓库，Docker hub是一个任何人都可以使用的公共镜像仓库。在国外，访问速度比较慢。一般生产环境中都建设自己的镜像仓库。
• images：一个image是创建一个容器的只读模板。通常一个镜像是基于另外一个镜像，并额外加上一些自定义的内容
• contaners：容器，即一个image运行状态下就是一个容器　

 最核心的三个部分：容器、镜像、仓库

Docker 内部组件

从 Docker 1.11 之后，Docker Daemon 被分成了多个模块以适应 OCI 标准。拆分之后，结构分成了以下几个部分

• docker：　docker的客户端
• dockerd：  docker的服务端
• containerd：高性能的容器运行时(containerd 独立负责容器运行时和生命周期（如创建、启动、停止、中止、信号处理、删除等），其他一些如镜像构建、卷管理、日志等由 Docker Daemon 的其他模块处理，包含containerd-shim)
• containerd-shim：是一个真实运行的容器的真实垫片载体，每启动一个容器都会起一个新的containerd-shim的一个进程，调用runc的api操作容器
• docker-proxy：容器代理。提供docker容器的端口映射功能

 关于kubernetes弃用docker一事儿（k8s 1.20正式弃用docker-shim），估计大家都被标题党给忽悠了。kubernetes当初选择docker作为其容器运行时，是因为当时docker大火，而没有几个人知道kubernetes，为了更好支持k8s运行docker容器而开发维护一个兼容的程序叫docker-shim。真正弃用的不用docker，而是docker-shim插件的维护支持。

至于为什么要弃用docker-shim呢？

之前：

之后：

还要从k8s 在2016年发布CRI（Container Runtime Interface）标准来说起，为了支持 CoreOS 领导的容器运行时项目 rkt ，写了很多的代码。由于担心以后可能会有更新容器项目需要兼容而带来更大维护工作，所以发布了这个标准。这样的话，以后不管哪个容器项目只要支持CRL标准，就可以直接作为k8s的底层运行时。

2017 年， Docker v1.11 开始引入的容器运行时 containerd，并捐献给了CNCF，同年11月，kubernetes开始支持containerd，containerd相对于docker而言更加轻量级，是一个行业标准的运行时，强调简单性、健壮性和可移植性。

Docker的底层技术

主要是基于内核提供的namespace和cgroups技术。

namespace

 namespace提供了一下6种资源隔离机制：

• Mount: 隔离文件系统挂载点
• UTS: 隔离主机名和域名信息
• IPC: 隔离进程间通信
• PID: 隔离进程的ID
• Network: 隔离网络资源
• User: 隔离用户和用户组的ID

查看当前shell 进程所在的namespace

[root@vm1 ~]# ll /proc/$$/ns
总用量 0
lrwxrwxrwx 1 root root 0 7月   6 11:44 ipc -> ipc:[4026531839]
lrwxrwxrwx 1 root root 0 7月   6 11:44 mnt -> mnt:[4026531840]
lrwxrwxrwx 1 root root 0 7月   6 11:44 net -> net:[4026531956]
lrwxrwxrwx 1 root root 0 7月   6 11:44 pid -> pid:[4026531836]
lrwxrwxrwx 1 root root 0 7月   6 11:44 user -> user:[4026531837]
lrwxrwxrwx 1 root root 0 7月   6 11:44 uts -> uts:[4026531838]

cgroups　　

cgroups可以限制、记录任务组所使用的物理资源（包括CPU、Memory、IO等），为容器实现虚拟化提供了基本保证，是构建Docker等一系列虚拟化管理工具的基石。

 实现cgroups的主要目的是为不同用户层面的资源管理，提供一个统一化的接口。从单个任务的资源控制到操作系统层面的虚拟化，

cgroups提供了以下四大功能[插图]。

❏ 资源限制：cgroups可以对任务使用的资源总额进行限制。如设定应用运行时使用内存的上限，一旦超过这个配额就发出OOM（Out of Memory）提示。

❏ 优先级分配：通过分配的CPU时间片数量及磁盘IO带宽大小，实际上就相当于控制了任务运行的优先级。

❏ 资源统计：cgroups可以统计系统的资源使用量，如CPU使用时长、内存用量等，这个功能非常适用于计费。

❏ 任务控制：cgroups可以对任务执行挂起、恢复等操作

首先，当我们登录到操作系统之后，可以通过 ps 等操作看到各式各样的进程，这些进程包括系统自带的服务和用户的应用进程。那么，这些进程都有什么样的特点？

• 第一，这些进程可以相互看到、相互通信；
• 第二，它们使用的是同一个文件系统，可以对同一个文件进行读写操作；
• 第三，这些进程会使用相同的系统资源。

这样的三个特点会带来什么问题呢？

• 因为这些进程能够相互看到并且进行通信，高级权限的进程可以攻击其他进程；
• 因为它们使用的是同一个文件系统，因此会带来两个问题：这些进程可以对于已有的数据进行增删改查，具有高级权限的进程可能会将其他进程的数据删除掉，破坏掉其他进程的正常运行；此外，进程与进程之间的依赖可能会存在冲突，如此一来就会给运维带来很大的压力；
• 因为这些进程使用的是同一个宿主机的资源，应用之间可能会存在资源抢占的问题，当一个应用需要消耗大量 CPU 和内存资源的时候，就可能会破坏其他应用的运行，导致其他应用无法正常地提供服务。

针对上述的三个问题，如何为进程提供一个独立的运行环境呢？

• 针对不同进程使用同一个文件系统所造成的问题而言，Linux 和 Unix 操作系统可以通过 chroot 系统调用将子目录变成根目录，达到视图级别的隔离；进程在 chroot 的帮助下可以具有独立的文件系统，对于这样的文件系统进行增删改查不会影响到其他进程；

• 因为进程之间相互可见并且可以相互通信，使用 Namespace 技术来实现进程在资源的视图上进行隔离。在 chroot 和 Namespace 的帮助下，进程就能够运行在一个独立的环境下了；

• 但在独立的环境下，进程所使用的还是同一个操作系统的资源，一些进程可能会侵蚀掉整个系统的资源。为了减少进程彼此之间的影响，可以通过 Cgroup 来限制其资源使用率，设置其能够使用的 CPU 以及内存量。

那么，应该如何定义这样的进程集合呢？

其实，容器就是一个视图隔离、资源可限制、独立文件系统的进程集合。所谓“视图隔离”就是能够看到部分进程以及具有独立的主机名等；控制资源使用率则是可以对于内存大小以及 CPU 使用个数等进行限制。容器就是一个进程集合，它将系统的其他资源隔离开来，具有自己独立的资源视图。

容器具有一个独立的文件系统，因为使用的是系统的资源，所以在独立的文件系统内不需要具备内核相关的代码或者工具，我们只需要提供容器所需的二进制文件、配置文件以及依赖即可。只要容器运行时所需的文件集合都能够具备，那么这个容器就能够运行起来。

docker启动快速构建zabbix server

镜像加速

为了加快docker拉取镜像的速度，这里我们配置了docker镜像加速：

vi /etc/docker/daemon.json
{
  "registry-mirrors": ["https://registry.docker-cn.com"]
}
systemctl  restart docker

　　

# 规划好zabbix server容器所需要的网段
docker network create --subnet 172.20.0.0/16 --ip-range 172.20.240.0/20 zabbix-net

# 起一个mysql的容器实例
docker run --name mysql-server -t 
      -e MYSQL_DATABASE="zabbix" 
      -e MYSQL_USER="zabbix" 
      -e MYSQL_PASSWORD="zabbix_pwd" 
      -e MYSQL_ROOT_PASSWORD="root_pwd" 
      --network=zabbix-net 
      --restart unless-stopped 
      -d mysql:8.0 
      --character-set-server=utf8 --collation-server=utf8_bin 
      --default-authentication-plugin=mysql_native_password

# 启动zabbix gateway
docker run --name zabbix-java-gateway -t 
      --network=zabbix-net 
      --restart unless-stopped 
      -d zabbix/zabbix-java-gateway:alpine-5.4-latest

# 启动zabbix server连接mysql
docker run --name zabbix-server-mysql -t 
      -e DB_SERVER_HOST="mysql-server" 
      -e MYSQL_DATABASE="zabbix" 
      -e MYSQL_USER="zabbix" 
      -e MYSQL_PASSWORD="zabbix_pwd" 
      -e MYSQL_ROOT_PASSWORD="root_pwd" 
      -e ZBX_JAVAGATEWAY="zabbix-java-gateway" 
      --network=zabbix-net 
      -p 10051:10051 
      --restart unless-stopped 
      -d zabbix/zabbix-server-mysql:alpine-5.4-latest

# 启动zabbix web连接zabbix server和mysql
docker run --name zabbix-web-nginx-mysql -t 
      -e ZBX_SERVER_HOST="zabbix-server-mysql" 
      -e DB_SERVER_HOST="mysql-server" 
      -e MYSQL_DATABASE="zabbix" 
      -e MYSQL_USER="zabbix" 
      -e MYSQL_PASSWORD="zabbix_pwd" 
      -e MYSQL_ROOT_PASSWORD="root_pwd" 
      --network=zabbix-net 
      -p 80:8080 
      --restart unless-stopped 
      -d zabbix/zabbix-web-nginx-mysql:alpine-5.4-latest

　　

细心的同学会发现，彼此独立的两个容器，他们之间是如何直接通信的呢？zabbix-server-mysql是如何连接上数据库的呢？在以前的docker版本中需要强制加上--link的功能，新版本废弃了这一做法。采用的默认桥接的自定义网络内，共享环境变量。这里容器之间直接通过环境变量可以互相通信了。比如zabbix-server-mysql 通过直接连接环境变量mysql-server就可以直接找到mysql-server的容器了。

下面我们看下容器运行状态

[root@vm1 ~]# docker ps
CONTAINER ID   IMAGE                                             COMMAND                  CREATED         STATUS         PORTS                                             NAMES
ca8d68c8cfa6   zabbix/zabbix-web-nginx-mysql:alpine-5.4-latest   "docker-entrypoint.sh"   3 minutes ago   Up 3 minutes   8443/tcp, 0.0.0.0:80->8080/tcp, :::80->8080/tcp   zabbix-web-nginx-mysql
531a2094920f   zabbix/zabbix-server-mysql:alpine-5.4-latest      "/sbin/tini -- /usr/…"   3 minutes ago   Up 3 minutes   0.0.0.0:10051->10051/tcp, :::10051->10051/tcp     zabbix-server-mysql
6e84835cfc35   zabbix/zabbix-java-gateway:alpine-5.4-latest      "docker-entrypoint.s…"   3 minutes ago   Up 3 minutes   10052/tcp                                         zabbix-java-gateway
5a10d9352e1e   mysql:8.0                                         "docker-entrypoint.s…"   3 minutes ago   Up 3 minutes   3306/tcp, 33060/tcp                               mysql-server
[root@vm1 ~]#
[root@vm1 ~]# pstree
systemd─┬─NetworkManager───2*[{NetworkManager}]
        ├─auditd───{auditd}
        ├─containerd───9*[{containerd}]
        ├─containerd-shim─┬─mysqld───38*[{mysqld}]
        │                 └─14*[{containerd-shim}]
        ├─containerd-shim─┬─java───17*[{java}]
        │                 └─14*[{containerd-shim}]
        ├─containerd-shim─┬─tini───docker-entrypoi─┬─mysql
        │                 │                        └─zcat───zcat
        │                 └─14*[{containerd-shim}]
        ├─containerd-shim─┬─supervisord─┬─nginx───5*[nginx]
        │                 │             └─php-fpm7───5*[php-fpm7]
        │                 └─13*[{containerd-shim}]
        ├─crond
        ├─dbus-daemon───{dbus-daemon}
        ├─dockerd─┬─4*[docker-proxy───4*[{docker-proxy}]]
        │         └─13*[{dockerd}]
        ├─login───bash
        ├─lvmetad
        ├─master─┬─pickup
        │        └─qmgr
        ├─polkitd───6*[{polkitd}]
        ├─rsyslogd───2*[{rsyslogd}]
        ├─sshd───sshd───bash───pstree
        ├─systemd-journal
        ├─systemd-logind
        ├─systemd-udevd
        └─tuned───4*[{tuned}]

　　总共启动了四个容器，docker分别启动四个containerd-shim的进程来运行四个容器。此时containerd也是独立服务，独立于docker daemon之外。

　　

需要耐心等待一会儿，此时数据库需要初始化，zabbix库也需要初始化，如果有报错，主要看日志排错。

 输入默认的用户名：Admin　　密码：zabbix