容器镜像包含操作系统所有吗,为啥要用容器镜像电脑系统

镜像(Image)就是一推只读层Image(read-only layer)的统一视觉,也许这些定义有些难理解,下面这张图能够帮助读者理解镜像的定义

从左边往右我们看到了多个只读层,他们重叠在一起,除了最下面一层,其他层都会有一个指针指向下一层,这些层是docker内部的实现细节,并且能够在主机(运行docker的机器)的文件中访问到,统一文件系统技术(union file system)能够将不同层合成一个文件系统,为这些层提供一个统一的视觉,这样就隐藏了多层的存在,在用户的角度来看,只存在一个文件系统。我们可以在右边看到这个视角的形式。

你可以在你的主机文件系统上找到有关这些层的文件,在一个运行中的容器内部,这些层是不可见的。在我的主机上,我发现他们存在于/var/lib/docker/image目录下

容器(container)的定义和镜像(image)几乎一模一样,也是一堆层的统一视觉,唯一区别在于容器的最上面那一层是可读可写的

要点: 容器 = 镜像 + 读写层

Running Container Definition

一个运行态容器(runing container)被定义为一个可读写的统一文件系统加上隔离的进程空间和包含其中的进程。下面这张图展示一个运行中的容器

我们可以通过以下命令验证我们所说

find / -name happiness.txt

为了将零星的数据整合起来,我们提出了镜像层(image layer)这个概念,下面这张图描述了一个镜像层,通过,我们能够发现一个层并不仅仅包含文件的改变,他还包含其他重要的信息

元数据(metadata)就是关于这个层的额外信息,它不仅仅能够让Docker获取运行和构建时的信息,还包括父层的层次信息,需要注意的是,只读层和读写层都包含元数据。

/var/lib/docker/image/overlay2:存储镜像管理数据的目录

一个容器的元数据好像被分成了很多文件,但或多或少能够在/var/lib/docker/containers/<id> 目录下找到,<id> 就是一个可读层的id,这个目录下的文件大多是运行时数据,比如说网络,日志等等。

现在,让我们结合上面提到的实现细节来理解Docker命令

docker create 命令就是为指定的镜像(image)添加一个可读写层,构成一个新的容器,注意这个容器并没有运行起来

docker start 命令为容器文件系统创建一个进程隔离空间。注意,每一个容器只能够有一个进程隔离空间

看到这个命令,通常有读者会由一个疑问:docker start 和docker run 命令有什么区别。

docker run 命令是利用镜像创建一个容器,然后运行这个容器,这个命令非常方便,并且隐藏了两个命令的细节。

docker ps 命令会列出所有运行中的容器。这隐藏了非运行态容器的存在,如果想要找出这些容器,我们需要使用下面这个命令。

docker ps –a命令会列出所有的容器,不管是运行的,还是停止的。

docker images命令会列出了所有顶层(top-level)镜像。实际上,在这里我们没有办法区分一个镜像和一个只读层,所以我们提出了top-level镜像。只有创建容器时使用的镜像或者是直接pull下来的镜像能被称为顶层(top-level)镜像,并且每一个顶层镜像下面都隐藏了多个镜像层。

docker images –a命令列出了所有的镜像,也可以说是列出了所有的可读层。如果你想要查看某一个image-id下的所有层,可以使用docker history来查看。

docker stop命令会向运行中的容器发送一个SIGTERM的信号,然后停止所有的进程。

docker kill 命令向所有运行在容器中的进程发送了一个不友好的SIGKILL信号。

docker stop和docker kill命令会发送UNIX的信号给运行中的进程,docker pause命令则不一样,它利用了cgroups的特性将运行中的进程空间暂停但是这种方式的不足之处在于发送一个SIGTSTP信号对于进程来说不够简单易懂,以至于不能够让所有进程暂停。

docker rm命令会移除构成容器的可读写层。注意,这个命令只能对非运行态容器执行。

docker rmi 命令会移除构成镜像的一个只读层。你只能够使用docker rmi来移除最顶层(top level layer)(也可以说是镜像),你也可以使用-f参数来强制删除中间的只读层。

docker commit命令将容器的可读写层转换为一个只读层,这样就把一个容器转换成了不可变的镜像。

docker build命令非常有趣,它会反复的执行多个命令。

我们从上图可以看到,build命令根据Dockerfile文件中的FROM指令获取到镜像,然后重复地1)run(create和start)、2)修改、3)commit。在循环中的每一步都会生成一个新的层,因此许多新的层会被创建。

docker exec 命令会在运行中的容器执行一个新进程。

docker inspect命令会提取出容器或者镜像最顶层的元数据。

docker save命令会创建一个镜像的压缩文件,这个文件能够在另外一个主机的Docker上使用。和export命令不同,这个命令为每一个层都保存了它们的元数据。这个命令只能对镜像生效。

docker export命令创建一个tar文件,并且移除了元数据和不必要的层,将多个层整合成了一个层,只保存了当前统一视角看到的内容(译者注:expoxt后的容器再import到Docker中,通过docker images –tree命令只能看到一个镜像;而save后的镜像则不同,它能够看到这个镜像的历史镜像)。

docker history命令递归地输出指定镜像的历史镜像。

容器:?容器是轻量级的操作系统级虚拟化,可以让我们在一个资源隔离的进程中运行应用及其依赖项 。

运行应用程序所必需的组件都将打包成一个镜像并可以复用。执行镜像时,它运行在一个隔离环境中,并且不会共享宿主机的内存、CPU 以及磁盘,这就保证了容器内进程不能监控容器外的任何进程。容器内的应用进程直接运行于宿主的内核,容器内没有自己的内核,而且也没有进行硬件虚拟,而是对进程进行封装隔离。

虚拟机:通常包含整个操作系统及其应用程序,同时也需要运行一个?hypervisor?来控制虚拟机。

虚拟一套硬件后, 在其上运行一个完整操作系统,在该系统上在运行所需应用进程

容量大小:

虚拟机:大小一般是几个G,

容器:容器是轻量级的而且大小在 M 以内

性能:

虚拟机:启动操作系统以及初始化托管应用会花费几分钟的时间

容器:表现更加出色,并且几乎可以秒启动。

架构:

1. 敏捷环境:容器技术最大的优点是创建容器实例比创建虚拟机示例快得多,容器轻量级的脚本可以从性能和大小方面减少开销。

2. 提高生产力:容器通过移除跨服务依赖和冲突提高了开发者的生产力。每个容器都可以看作是一个不同的微服务,因此可以独立升级,而不用担心同步。

3. 版本控制:每一个容器的镜像都有版本控制,这样就可以追踪不同版本的容器,监控版本之间的差异等等。

4. 运行环境可移植:容器封装了所有运行应用程序所必需的相关的细节比如应用依赖以及操作系统。这就使得镜像从一个环境移植到另外一个环境更加灵活。比如,同一个镜像可以在 Windows 或 Linux 或者 开发、测试或 stage 环境中运行。

5. 标准化: 大多数容器基于开放标准,可以运行在所有主流 Linux 发行版、Microsoft 平台等等。

6. 安全:容器之间的进程是相互隔离的,其中的基础设施亦是如此。这样其中一个容器的升级或者变化不会影响其他容器。

1. 复杂性增加:随着容器及应用数量的增加,同时也伴随着复杂性的增加。在生产环境中管理如此之多的容器是一个极具挑战性的任务,可以使用?Kubernetes?和?Mesos?等工具管理具有一定规模数量的容器。

2. 原生 Linux 支持:大多数容器技术,比如?Docker,基于 Linux 容器(LXC),相比于在原生 Linux 中运行容器,在 Microsoft 环境中运行容器略显笨拙,并且日常使用也会带来复杂性。

3. 不成熟:容器技术在市场上是相对新的技术,需要时间来适应市场。开发者中的可用资源是有限的,如果某个开发者陷入某个问题,可能需要花些时间才能解决问题。

操作系统容器 :如维基百科中所述,“操作系统层虚拟化是一种计算机虚拟化技术,这种技术将操作系统内核虚拟化,可以允许多个独立用户空间的存在,而不是只有一个。这些实例有时会被称为容器、虚拟引擎、虚拟专用服务器或是 jails(FreeBSD jail 或者 chroot jail)。从运行在容器中的程序角度来看,这些实例就如同真正的计算机。”

如上所述,容器共享宿主机的内核,但是提供用户空间隔离。我们可以像在宿主机操作系统上一样,在容器中安装、配置以及运行应用程序。相似的是,分配给容器的资源仅对自己可见。就好比是,任何虚拟机不能获取其他虚拟机的资源。

当需要配置大量具有相同配置的操作系统时,操作系统容器就会非常有用。因此,容器有助于创建模板,可以用于创建与另一个操作系统类似风格的容器。

要创建操作系统容器,我们可以利用容器技术,如 LXC,OpenVZ,Linux VServer,BSD Jails 和 Solaris 区域。

应用容器 :如维基百科所述,“应用程序虚拟化是从其所执行的底层操作系统封装计算机程序的软件技术。一个完全虚拟化的应用,尽管仍像原来一样执行,但是并不会进行传统意义上的安装。应用在运行时的行为就像它直接与原始操作系统以及操作系统所管理的所有资源进行交互一样,但可以实现不同程度的隔离或者沙盒化。”

在这种情况下,术语 “虚拟化” 是指被封装的工件(应用程序),这与其在硬件虚拟化中的含义截然不同,其中它涉及被抽象的工件(物理硬件)。

应用程序容器旨在作为单个进程进行打包和运行服务,而在 OS 容器中,可以运行多个服务和进程。

容器技术如 Docker 和 Rocket 就是应用程序容器的示例。