在计算机技术一日千里的明天， Docker 在国际开展的如火如荼。特别是在一线互联网公司 Docker 的运用是十分普遍的，甚至成为了一些企业面试的加分项，不信的话看看下面这张图。

这是我在某招聘网站上看到的招聘 Java 开发工程师的招聘要求，其中有一条熟习 Docker 成为了你快速入职的加分项，由此可见熟习 Docker 在互联网公司的位置之重要。

市面上曾经有很多优秀的 Docker 教程，但是很多原理性的东西，笔者以为那些教程对初学者而言还是很难了解，觉得没有说清楚(笔者本人都觉得挺懵逼的)。为了让初学者少走弯路，我将以我的学习阅历以及作为一个 CTF 的角度，编写此套教程，来带大家去了解并熟练运用 Docker 。

Docker 是什么?

说了这么多， Docker 究竟是个什么东西呢?我们在了解 Docker 之前，首先得先区分清楚两个概念，容器和虚拟机。

能够很多读者冤家都用过虚拟机，而对容器这个概念比较的生疏。我们用的传统虚拟机如 VMware ， VisualBox 之类的需求模拟整台机器包括硬件。

每台虚拟机都需求有本人的操作系统，虚拟机一旦被开启，预分配给它的资源将全部被占用。

每一台虚拟机包括运用，必要的二进制和库，以及一个残缺的用户操作系统。

而容器技术是和我们的宿主机共享硬件资源及操作系统，可以完成资源的静态分配。

容器包含运用和其一切的依赖包，但是与其他容器共享内核。容器在宿主机操作系统中，在用户空间以别离的进程运转。

容器技术是完成操作系统虚拟化的一种途径，可以让您在资源遭到隔离的进程中运转运用顺序及其依赖关系。

经过运用容器，我们可以轻松打包运用顺序的代码、配置和依赖关系，将其变成容易运用的构建块，从而完成环境分歧性、运营效率、开发人员消费力和版本控制等诸多目的。

容器可以协助保证运用顺序快速、牢靠、分歧地部署，其间不受部署环境的影响。

容器还赋予我们对资源更多的精细化控制才能，让我们的基础设备效率更高。

经过下面这幅图，我们可以很直观的反映出这两者的区别所在：

Docker 属于 Linux 容器的一种封装，提供复杂易用的容器运用接口。它是目前最盛行的 Linux 容器处置方案。

而 Linux 容器是 Linux 开展出的另一种虚拟化技术，复杂来讲， Linux 容器不是模拟一个残缺的操作系统，而是对进程停止隔离，相当于是在正常进程的外面套了一个保护层。

关于容器外面的进程来说，它接触到的各种资源都是虚拟的，从而完成与底层系统的隔离。

Docker 将运用顺序与该顺序的依赖，打包在一个文件外面。运转这个文件，就会生成一个虚拟容器。

顺序在这个虚拟容器里运转，就似乎在真实的物理机上运转一样。有了 Docker ，就不用担忧环境成绩。

总体来说，Docker 的接口相当复杂，用户可以方便地创立和运用容器，把本人的运用放入容器。容器还可以停止版本管理、复制、分享、修正，就像管理普通的代码一样。

Docker 的优势

Docker 相比于传统虚拟化方式具有更多的优势：

Docker 启动快速属于秒级别。虚拟机通常需求几分钟去启动。

Docker 需求的资源更少。Docker 在操作系统级别停止虚拟化，Docker 容器和内核交互，简直没有功用损耗，功用优于经过 Hypervisor 层与内核层的虚拟化。

Docker 更轻量。Docker 的架构可以共用一个内核与共享运用顺序库，所占内存极小。异样的硬件环境，Docker 运转的镜像数远多于虚拟机数量，对系统的应用率十分高。

与虚拟机相比，Docker 隔离性更弱。Docker 属于进程之间的隔离，虚拟机可完成系统级别隔离。

安全性。Docker 的安全性也更弱，Docker 的租户 Root 和宿主机 Root 同等，一旦容器内的用户从普通用户权限提升为 Root 权限，它就直接具有了宿主机的 Root 权限，进而可停止有限制的操作。

虚拟机租户 Root 权限和宿主机的 Root 虚拟机权限是别离的，并且虚拟机应用如 Intel 的 VT-d 和 VT-x 的 ring-1 硬件隔离技术。

这种隔离技术可以避免虚拟机打破和彼此交互，而容器至今还没有任何方式的硬件隔离，这使得容器容易遭到攻击。

可管理性。Docker 的集中化管理工具还不算成熟。各种虚拟化技术都有成熟的管理工具，例如 VMware vCenter 提供完备的虚拟机管理才能。

高可用和可恢复性。Docker 对业务的高可用支持是经过快速重新部署完成的。

虚拟化具有负载平衡，高可用，容错，迁移和数据保护等经过消费实际检验的成熟保障机制， VMware 可承诺虚拟机 99.999% 高可用，保证业务延续性。

快速创立、删除。虚拟化创立是分钟级别的，Docker 容器创立是秒级别的，Docker 的快速迭代性，决议了无论是开发、测试、部署都可以浪费少量时间

交付、部署。虚拟机可以经过镜像完成环境交付的分歧性，但镜像分发无法体系化。Docker 在 Dockerfile 中记载了容器构建进程，可在集群中完成快速分发和快速部署。

我们可以从下面这张表格很清楚地看到容器相比于传统虚拟机的特性的优势所在：

Docker 的三个基本概念

从上图我们可以看到，Docker 中包括三个基本的概念：

Image(镜像)

Container(容器)

Repository(仓库)

镜像是 Docker 运转容器的前提，仓库是寄存镜像的场所，可见镜像更是 Docker 的中心。

Image(镜像)

那么镜像究竟是什么呢?Docker 镜像可以看作是一个特殊的文件系统，除了提供容器运转时所需的顺序、库、资源、配置等文件外，还包含了一些为运转时预备的一些配置参数(如匿名卷、环境变量、用户等)。

镜像不包含任何静态数据，其内容在构建之后也不会被改动。镜像(Image)就是一堆只读层(read-only layer)的一致视角，也许这个定义有些难以了解，下面的这张图可以协助读者了解镜像的定义：

从左边我们看到了多个只读层，它们堆叠在一同。除了最下面一层，其他层都会有一个指针指向下一层。这些层是 Docker 外部的完成细节，并且可以在主机的文件系统上拜访到。

一致文件系统(Union File System)技术可以将不同的层整分解一个文件系统，为这些层提供了一个一致的视角。

这样就隐藏了多层的存在，在用户的角度看来，只存在一个文件系统。我们可以在图片的左边看到这个视角的方式。

Container(容器)

容器(Container)的定义和镜像(Image)简直如出一辙，也是一堆层的一致视角，独一区别在于容器的最下面那一层是可读可写的。

由于容器的定义并没有提及能否要运转容器，所以实践上，容器 = 镜像 + 读写层。

Repository(仓库)

Docker 仓库是集中寄存镜像文件的场所。镜像构建完成后，可以很容易的在以后宿主上运转。

但是， 假设需求在其他效劳器上运用这个镜像，我们就需求一个集中的存储、分发镜像的效劳，Docker Registry(仓库注册效劳器)就是这样的效劳。

有时分会把仓库(Repository)和仓库注册效劳器(Registry)混为一谈，并不严厉区分。

Docker 仓库的概念跟 Git 相似，注册效劳器可以了解为 GitHub 这样的托管效劳。

实践上，一个 Docker Registry 中可以包含多个仓库(Repository)，每个仓库可以包含多个标签(Tag)，每个标签对应着一个镜像。

所以说，镜像仓库是 Docker 用来集中寄存镜像文件的中央，相似于我们之前常用的代码仓库。

通常，一个仓库会包含同一个软件不同版本的镜像，而标签就常用于对应该软件的各个版本 。

我们可以经过<仓库名>:<标签>的格式来指定详细是这个软件哪个版本的镜像。假设不给出标签，将以 Latest 作为默许标签。

仓库又可以分为两种方式：

Public(私有仓库)

Private(私有仓库)

Docker Registry 私有仓库是开放给用户运用、允许用户管理镜像的 Registry 效劳。

普通这类地下效劳允许用户收费上传、下载地下的镜像，并能够提供收费效劳供用户管理私有镜像。

除了运用地下效劳外，用户还可以在本地搭建私有 Docker Registry。Docker 官方提供了 Docker Registry 镜像，可以直接运用做为私有 Registry 效劳。

当用户创立了本人的镜像之后就可以运用 Push 命令将它上传到私有或许私有仓库，这样下次在另外一台机器上运用这个镜像时分，只需求从仓库上 Pull 上去就可以了。

我们主要把 Docker 的一些常见概念如 Image，Container，Repository 做了详细的阐述，也从传统虚拟化方式的角度阐述了 Docker 的优势。

我们从下图可以直观地看到 Docker 的架构：

Docker 运用 C/S 结构，即客户端/效劳器体系结构。Docker 客户端与 Docker 效劳器停止交互，Docker效劳端担任构建、运转和分发 Docker 镜像。

Docker 客户端和效劳端可以运转在一台机器上，也可以经过 RESTful 、 Stock 或网络接口与远程 Docker 效劳端停止通讯。

(责任编辑：admin)