来源 | fysuccess

来源 | CSDN博客，编辑 | Carol

封面图源自视觉中国

Docker引擎

Docker Engine是具有以下主要组件的客户端-服务器应用程序：

• 服务器是一种长期运行的程序，称为守护程序进程（ dockerd命令）。

• REST API，它指定程序可以用来与守护程序进行通信并指示其操作的接口。

• 命令行界面- - （CLI）客户端（docker命令）。

Docker架构

Docker使用客户端-服务器架构。Docker 客户端与Docker 守护进程进行对话，该守护进程完成了构建，运行和分发Docker容器的繁重工作。Docker客户端和守护程序可以 在同一系统上运行，或者您可以将Docker客户端连接到远程Docker守护程序。Docker客户端和守护程序在UNIX套接字或网络接口上使用REST API进行通信。

• Docker守护程序

Docker守护程序（dockerd）侦听Docker API请求并管理Docker对象，例如镜像，容器，网络和卷。守护程序还可以与其他守护程序通信以管理Docker服务。

Docker是C/S架构的程序，Docker的客户端向守护进程发起请求，守护进程处理完成后返回结果。

Docker客户端既可以在本地访问守护进程，也可以远程访问守护进程。

• Docker客户端

Docker客户端（docker）是许多Docker用户与Docker交互的主要方式。当您使用诸如之类的命令时docker run，客户端会将这些命令发送到dockerd，以执行这些命令。该docker命令使用Docker API。Docker客户端可以与多个守护程序通信。

• Docker注册表

Docker 注册表存储Docker映像。Docker Hub是任何人都可以使用的公共注册表，并且Docker配置为默认在Docker Hub上查找映像。您甚至可以运行自己的私人注册表。如果使用Docker数据中心（DDC），则其中包括Docker可信注册表（DTR）。

使用docker pull或docker run命令时，所需的图像将从配置的注册表中提取。使用该docker push命令时，会将映像推送到配置的注册表。

• Docker对象

1）Images（镜像）：

Docker 镜像（Image）就是一个只读的创建 Docker 容器的模板。镜像可以用来创建 Docker 容器，一个镜像可以创建很多容器。

镜像是容器的基石，容器基于镜像启动，镜像就像是容器的源代码，保存了用于容器启动的各种条件。

镜像是一个层叠的只读文件系统，结构如下

bootfs 引导文件系统;

rootfs root文件系统，可以是一种或多种操作系统，如Ubuntu或CentOS，root文件系统永远只能是只读状态;

union mount 联合加载技术，一次加载多个只读文件系统到rootfs系统之上。在外围看到的只是一个文件系统，联合加载使各层文件系统叠加到一起，使最终的文件系统包含所有底层文件系统和目录，这样的文件系统就是镜像。

一个镜像可以放到另一个镜像的顶部，位于下边的镜像叫做父镜像，依次类推，最底部的镜像叫做基础镜像，指的是rootfs

2）container（容器）：容器是镜像的可运行实例，他们的关系就有点类似java中类和对象的关系。

通过镜像启动：容器是docker的执行单元。

启动和执行：镜像如果是构建和打包阶段，则容器是启动和执行阶段

容器启动过程：启动时在镜像的最顶层加一个可写的文件系统，即可写层。Docker中运行的程序就是在这个层中执行的。docker第一次启动一个容器时，可写层是空的，当文件系统发生变化，都会应用到这一层。如果想修改一个文件，该文件首先会从可读写层下边的只读层复制到该读写层，该文件的只读版本依然存在，但是已经被读写层中的该文件副本所隐藏。这个是docker的重要机制，写时复制（copy on write）。

Docker 利用容器（Container）独立运行的一个或一组应用。容器是用镜像创建的运行实例。

它可以被启动、开始、停止、删除。每个容器都是相互隔离的、保证安全的平台。

可以把容器看做是一个简易版的 Linux 环境（包括root用户权限、进程空间、用户空间和网络空间等）和运行在其中的应用程序

容器的定义和镜像几乎一模一样，也是一堆层的统一视角，唯一区别在于容器的最上面那一层是可读可写的。

3）Registry（仓库）: 是一个集中存储和分发镜像的服务。

仓库（Repository）是集中存放镜像文件的场所。

仓库(Repository)和仓库注册服务器（Registry）是有区别的。仓库注册服务器上往往存放着多个仓库，每个仓库中又包含了多个镜像，每个镜像有不同的标签（tag）。

仓库分为公开仓库（Public）和私有仓库（Private）两种形式。

最大的公开仓库是 Docker Hub(https://hub.docker.com/)，

存放了数量庞大的镜像供用户下载。国内的公开仓库包括阿里云 、网易云 等

4）Client（客户端）: 是Docker的用户界面，可以接受用户命令和配置标识，使用 Docker Api与 Docker 的守护进程（daemon）通信。

5）Host（主机）: 一个物理或者虚拟的机器,用于执行 Docker 守护进程（daemon）和容器。

底层技术

Docker用Go编写，并利用Linux内核的多个功能来交付其功能。

• 命名空间
  

Docker使用一种称为namespaces提供容器的隔离工作区的技术。运行容器时，Docker会为该容器创建一组 名称空间。

这些名称空间提供了一层隔离。容器的每个方面都在单独的名称空间中运行，并且其访问仅限于该名称空间。

Docker Engine在Linux上使用以下名称空间：

• pid命名空间：进程隔离（PID：进程ID）。

• net命名空间：管理网络接口（NET：网络）。

• ipc命名空间：管理访问IPC资源（IPC：进程间通信）。

• mnt命名空间：管理文件系统挂载点（MNT：摩）。

• uts命名空间：隔离内核和版本标识符。（UTS：Unix时间共享系统）。

• 控制组

Linux上的Docker引擎还依赖于另一种称为控制组 （cgroups）的技术。cgroup将应用程序限制为一组特定的资源。控制组允许Docker Engine将可用的硬件资源共享给容器，并有选择地实施限制和约束。例如，您可以限制特定容器可用的内存。

• 联合文件系统

联合文件系统或UnionFS是通过创建图层进行操作的文件系统，使其非常轻便且快速。Docker Engine使用UnionFS为容器提供构建模块。Docker Engine可以使用多个UnionFS变体，包括AUFS，btrfs，vfs和DeviceMapper。

• 容器格式

Docker Engine将名称空间，控制组和UnionFS组合到一个称为容器格式的包装器中。默认容器格式为libcontainer。将来，Docker可以通过与BSD Jails或Solaris Zones等技术集成来支持其他容器格式。

原文链接：

https://blog.csdn.net/fysuccess/article/details/105653802

更多精彩推荐

☞中国 App 出海“变形记”
☞终于有人对语音技术来了次彻头彻尾的批判！
☞视频 | 你不知道的"开源"60年秘史
☞帮AI体检看病一条龙服务，阿里发布“AI安全诊断大师”
☞阿里技术专家告诉你，如何画出优秀的架构图？
☞加拿大API平台如何做到30%为中国明星项目？创业老兵这样说……
你点的每个“在看”，我都认真当成了喜欢