文章目录
- 一、docker简介
- docker镜像
- 镜像的优化
- 二、docker网络
- 三、docker数据卷
一、docker简介
docker是管理容器的引擎,docker为应用打包、部署平台,而非单纯的虚拟化技术
docker镜像
docker镜像是分层结构;共享宿主机kernel;同一docker主机支持运行多种Linux发行版;采用分层结构的好处是共享资源;base镜像提供的是最小的Linux发行版
docker镜像的构建:
docker commit构建镜像三部曲:
运行容器、修改容器、将容器保存为新的镜像
缺点:效率低、可重复性弱、容易出错;使用者无法对镜像进行审计、存在安全隐患。(构建过程我们通过docker history无法看到)
镜像的优化
- 选择最精简的基础镜像
- 减少镜像的层数
- 清理镜像构建的中间产物
- 注意优化网络请求
- 使用多阶段构建镜像
二、docker网络
docker安装后会自动创建三种网络:host、none、bridge
docker安装时会创建一个名为 docker0 的Linux bridge,新建的容器会自动桥接到这个接口。
1、bridge模式下容器没有一个公有ip,只有宿主机可以直接访问,外部主机不可见;容器通过宿主机的NAT规则后可以访问外网
2、host网络模式需要在容器创建时指定–network=host;host模式可以让容器共享宿主机网络栈,外部主机可以与容器直接通信,但是这样的缺点是网络缺少隔离性;
3、none模式指禁用网络功能,只有io接口
4、建议使用自定义的网络来控制哪些容器可以相互通信,还可以自动DNS解析容器名称到IP地址。
5、桥接到不同网桥上的容器,彼此之间不能通信,docker在设计上就是隔离不同的network的;那么如何才能使两个不同网桥的容器通信呢?可以对其中一个容器添加一块另一个容器的网卡,这样两个容器拥有了一个公共的网卡,就可以进行通信。
6、容器如何访问外网是通过iptables的SNAT实现的;外网访问容器是通过端口映射实现的。
7、外网访问容器用到了docker-proxy和iptables DNAT;宿主机访问本机容器使用的是iptables DNAT;外部主机访问容器或容器之间的访问是docker-proxy实现
8、跨主机网络解决方案:docker原生的overlay和macvlan
macvlan网络方案实现:Linux kernel提供的一种网卡虚拟化技术,不需要Linux bridge,直接使用物理端口,性能极好;macvlan会独占主机网卡,但可以使用vlan子接口实现多macvlan网络;macvlan网络在二层上是隔离的,所以不同macvlan网络的容器是不能通信的。可以在三层上通过网关将macvlan网络连通起来。
三、docker数据卷
为什么要用数据卷:docker分层文件系统性能差、生命周期与容器相同;而docker数据卷mount到主机中,绕开了分层文件系统,和主机磁盘性能相同,容器删除后依然保留。并且它仅限本地磁盘,不能随容器迁移。
docker提供了三种数据卷,我们常用bind mount和docker管理卷
bind mount是将主机上的目录或者文件mount到容器里,使用直观高效、易于理解;bind mount默认权限是读写rw。可以在挂载的时候指定只读
bind mount必须指定host文件系统路径,限制了移植性。
docker managed volume 不需要指定mount源,docker自动为容器创建数
据卷目录。
默认创建的数据卷目录都在 /var/lib/docker/volumes 中;如果挂载时指向容器内已有的目录,原有数据会被复制到volume中。