一、容器技術簡介

0x1.傳統應用運維的弊端
* 部署非常慢成本非常高資源浪費
* 難於遷移和擴充套件可
* 能會被限定硬體廠商

0x2.虛擬化技術優點
* 一個物理機可以部署多個app
* 每個app獨立執行在一個VM裡

* 資源池——一個物理機的資源分配到了不同的虛擬機器裡
* 很容易擴充套件——加物理機器或者加虛擬機器
* 很容易雲化一亞馬遜AWS，阿里雲等

0x3.虛擬化技術侷限性
* 每一個虛擬機器都是一個完整的作業系統，要給其分配資源，當虛擬機器數量增多時，作業系統本身消耗的資源勢必增多

0x4.容器技術

* 解決了開發和運維之間的矛盾
* 在開發和運維之間搭建了一個橋樑，是實現 devops 的最佳解決方案
* 對軟體和其依賴的標準化打包
* 應用之間相互隔離
* 共享同一個 OS Kernel
* 可以執行在很多主流作業系統上

0x5.容器與虛擬化的區別

二、映象與容器

0x1 映象（Image）——一個特殊的檔案系統
　　作業系統分為核心和使用者空間。對於 Linux 而言，核心啟動後，會掛載 root 檔案系統為其提供使用者空間支援。而Docker 映象（Image），就相當於是一個 root 檔案系統。
　　
　　Docker 映象是一個特殊的檔案系統，除了提供容器執行時所需的程式、庫、資源、配置等檔案外，還包含了一些為執行時準備的一些配置引數（如匿名卷、環境變數、使用者等）。 映象不包含任何動態資料，其內容在構建之後也不會被改變。
　　
　　Docker 設計時，就充分利用 Union FS的技術，將其設計為 分層儲存的架構 。 映象實際是由多層檔案系統聯合組成。
　　
　　映象構建時，會一層層構建，前一層是後一層的基礎。每一層構建完就不會再發生改變，後一層上的任何改變只發生在自己這一層。　比如，刪除前一層檔案的操作，實際不是真的刪除前一層的檔案，而是僅在當前層標記為該檔案已刪除。在最終容器執行的時候，雖然不會看到這個檔案，但是實際上該檔案會一直跟隨映象。因此，在構建映象的時候，需要額外小心，每一層儘量只包含該層需要新增的東西，任何額外的東西應該在該層構建結束前清理掉。
　　
　　分層儲存的特徵還使得映象的複用、定製變的更為容易。甚至可以用之前構建好的映象作為基礎層，然後進一步新增新的層，以定製自己所需的內容，構建新的映象。
　　
0x2 容器（Container)——映象執行時的實體
　　映象（Image）和容器（Container）的關係，就像是面向物件程式設計中的 類 和 例項 一樣，映象是靜態的定義，容器是映象執行時的實體。容器可以被建立、啟動、停止、刪除、暫停等 。
　　
　　容器的實質是程序，但與直接在宿主執行的程序不同，容器程序運行於屬於自己的獨立的 名稱空間。前面講過映象使用的是分層儲存，容器也是如此。
　　
　　容器儲存層的生存週期和容器一樣，容器消亡時，容器儲存層也隨之消亡。因此，任何保存於容器儲存層的資訊都會隨容器刪除而丟失。
　　
　 按照 Docker 最佳實踐的要求，容器不應該向其儲存層內寫入任何資料 ，容器儲存層要保持無狀態化。所有的檔案寫入操作，都應該使用資料卷（Volume）、或者繫結宿主目錄，在這些位置的讀寫會跳過容器儲存層，直接對宿主(或網路儲存)發生讀寫，其效能和穩定性更高。資料卷的生存週期獨立於容器，容器消亡，資料卷不會消亡。因此， 使用資料卷後，容器可以隨意刪除、重新 run ，資料卻不會丟失。
　

0x3 倉庫（Repository）——集中存放映象檔案的地方
　　映象構建完成後，可以很容易的在當前宿主上執行，但是， 如果需要在其它伺服器上使用這個映象，我們就需要一個集中的儲存、分發映象的服務，Docker Registry就是這樣的服務。

　　一個 Docker Registry中可以包含多個倉庫（Repository）；每個倉庫可以包含多個標籤（Tag）；每個標籤對應一個映象。所以說：映象倉庫是Docker用來集中存放映象檔案的地方類似於我們之前常用的程式碼倉庫。

　　通常，一個倉庫會包含同一個軟體不同版本的映象，而標籤就常用於對應該軟體的各個版本 。我們可以通過<倉庫名>:<標籤>的格式來指定具體是這個軟體哪個版本的映象。如果不給出標籤，將以 latest 作為預設標籤.。

這裡補充一下Docker Registry 公開服務和私有 Docker Registry的概念：

　　Docker Registry 公開服務 是開放給使用者使用、允許使用者管理映象的 Registry 服務。一般這類公開服務允許使用者免費上傳、下載公開的映象，並可能提供收費服務供使用者管理私有映象。

　　最常使用的 Registry 公開服務是官方的 Docker Hub ，這也是預設的 Registry，並擁有大量的高質量的官方映象，網址為：https://hub.docker.com/ 。在國內訪問Docker Hub 可能會比較慢國內也有一些雲服務商提供類似於 Docker Hub 的公開服務。比如 時速雲映象庫、網易雲映象服務、DaoCloud 映象市場、阿里雲映象庫等。

　　除了使用公開服務外，使用者還可以在 本地搭建私有 Docker Registry 。Docker 官方提供了 Docker Registry 映象，可以直接使用做為私有 Registry 服務。開源的 Docker Registry 映象只提供了 Docker Registry API 的服務端實現，足以支援 docker 命令，不影響使用。但不包含圖形介面，以及映象維護、使用者管理、訪問控制等高階功能。

0x4 Build, Ship, and Run

- Build（構建映象） ： 映象就像是集裝箱包括檔案以及執行環境等等資源。
- Ship（運輸映象） ：主機和倉庫間運輸，這裡的倉庫就像是超級碼頭一樣。
- Run （執行映象） ：執行的映象就是一個容器，容器就是執行程式的地方。

Docker 執行過程也就是去倉庫把映象拉到本地，然後用一條命令把映象執行起來變成容器。所以，我們也常常將Docker稱為碼頭工人或碼頭裝卸工，這和Docker的中文翻譯搬運工人如出一轍。

三、Dockerfile最佳實踐

0x1 FROM
- FROM scratch //製作base images
- FROM centos //使用base images
- 為了安全儘量使用官方的image作為base image!

0x2 LABLE
- LABEL maintainer= “geekmubai’
- LABEL version=”1.0”
- LABEL description= “This is description”
- Metadata 不可少！

0x3 RUN
- 為了美觀，複雜的RUN請用反斜線換行！
- 避免無用分層，合併多條命令成一行！

RUN yum update && yum install -y vim \
python-dev #反斜線換行

RUN apt-get update && apt-get install -y perl \
pwgen --no-install-recommends && rm -rf \ /var/lib/apt/lists/* 
#注意清理 cache

RUN /bin/bash -C 'source $HOME/. Bashrc; echo $HOME'

0x4 WORKDIR 設定當前目錄
- 用WORKDIR，不要用RUN cd!
- 儘量使用絕對目錄，不要使用相對目錄！

WORKDIR /root
WORKDIR /test #如果沒有會自動建立test目錄 
WORKDIR demo 
RUN pwd #輸出結果應該是/test/demo

0x5 ADD & COPY
- 大部分情況，COPY優於ADD!
- ADD除了COPY還有額外功能（解壓)!
- 新增遠端檔案/目錄請使用curl或者wget!

ADD hello /  #將檔案新增到根目錄
ADD test.tar.gz/ #新增到根目錄並解壓
WORKDIR /root 
ADD hello test/ # /root/test/hello
WORKDIR /root 
COPY hello test/

0x6 ENV
- 增加可維護性

MYSQL_ VERSION 5.6 #設定常量
RUN apt-get install -y mysql-server= "${MYSQL_ VERSION}" \
&& rm -rf /var/lib/apt/lists/* #引用常量

0x7 RUN CMD Entrypoint
RUN：執行命令並建立新的 Image Layer
CMD：設定容器啟動後預設執行的命令和引數
- 容器啟動時預設執行的命令
- 如果 docker run 指定了其它命令，CMD 命令被忽略
- 如果定義了多個 CMD，只有最後一個會執行
ENTRYPOINT：設定容器啟動時執行的命令
- 讓容器以應用程式或者服務的形式執行
- 不會被忽略，一定會執行
- 最佳實踐：寫一個 shell 指令碼作為 entrypoint

Shell格式和Exec格式

Shell 格式
RUN apt-get install -y vim
CMD echo "hello docker" 
ENTRYPOINT echo "hello docker"

Exec 格式
RUN ["apt-get"，"install"，"-y", "vim"]
CMD["/bin/echo", "hello docker" ]
ENTRYPOINT [ "/bin/echo" ，"hello docker"]

0x8 Dockerfile實戰
製作一個Flask執行環境

FROM python:2.7
LABEL maintainer="Python flask container"
RUN pip install flask
COPY app.py /app/  #複製app.py到app的目錄下，注意不要少最後的/
WORKDIR /app  #設定執行目錄
EXPOSE 5000
CMD ["python", "app.py"]  #執行

後臺執行Docker需要加一個引數-d
docker run -d xxx

製作一個stress並傳參

FROM ubuntu
RUN apt-get update && apt-get install -y stress
ENTRYPOINT ["/usr/bin/stress"]
CMD []  #這裡傳入需要執行的引數

0x9 Docker容器的操作

0x9 容器的資源限制
- 預設容器沒有資源的限制，Docker提供了控制方法；
- 記憶體，CPU、IO
- docker run + 標誌符來設定
- 主要引數
- 記憶體
- -m 容器能使用的最大記憶體
–memory–reservation
比-m的值要小，在docker檢測到主機的記憶體較少時啟用
- CPU
- –cpu-period, –cpu-quota
- 允許容器使用50%的CPU
–cpu-period = 10 ,–cpu-quota=5
- 允許容器使用主機4核中的兩核
–cpu-period = 10 , –cpu-quota=20
- IO
- 控制每秒的位元組數或每秒的IO操作來限制頻寬
- 限制從/dev/sda 每秒1000次的IO讀取操作
docker run -ti –device-read-iops /dev/sda:1000 ubuntu