跳至主要內容

Docker Engine and Containers - Understanding the Core Components

老马啸西风2025/8/30大约 5 分钟Dockercontainer-docker

Docker 引擎与容器

Docker 引擎架构详解

Docker 引擎是 Docker 平台的核心,它是一个轻量级的容器化技术运行时环境。Docker 引擎采用客户端-服务器(C/S)架构,包含多个组件协同工作。

核心组件

Docker Daemon(dockerd)
Docker Daemon 是在宿主机后台运行的守护进程,负责管理 Docker 对象,如镜像、容器、网络和卷等。它监听 Docker API 请求并处理这些请求。

Daemon 还负责以下任务:

  • 构建、运行和分发 Docker 容器
  • 管理容器的生命周期
  • 管理网络和存储资源
  • 与容器运行时交互

Docker Client(docker)
Docker Client 是用户与 Docker 交互的主要方式。当用户运行 docker 命令时,实际上是 Docker Client 在向 Docker Daemon 发送请求。

Client 可以与多个 Daemon 通信,这使得用户能够管理多个 Docker 主机。

Docker API
Docker API 是 REST API,允许程序与 Docker Daemon 进行交互。许多 Docker 工具和第三方集成都是通过这个 API 实现的。

架构图解

+------------------+     +------------------+     +------------------+
|   Docker Client  |     |   Docker Client  |     |   Docker Client  |
+------------------+     +------------------+     +------------------+
          |                        |                        |
          |         HTTP/HTTPS     |                        |
          +------------------------+------------------------+
                                   |
                          +--------v--------+
                          |  Docker Daemon  |
                          |   (dockerd)     |
                          +--------+--------+
                                   |
                    +--------------+--------------+
                    |              |              |
            +-------v------+ +-----v-----+ +-----v-----+
            | Container(s) | |  Image(s) | | Network(s)|
            +--------------+ +-----------+ +-----------+

容器技术深入解析

容器是 Docker 的核心概念,它提供了应用程序运行的隔离环境。

容器的本质

容器是镜像的运行实例。可以将镜像看作是类(Class),容器则是对象(Object)。容器包含了应用程序运行所需的所有依赖和配置,但与虚拟机不同,它共享宿主机的操作系统内核。

容器的隔离机制

Docker 使用 Linux 内核的以下特性实现容器隔离:

命名空间(Namespaces)
命名空间为容器提供了隔离的工作环境。Docker 使用以下命名空间:

  • PID:进程隔离
  • NET:网络隔离
  • IPC:进程间通信隔离
  • MNT:文件系统挂载点隔离
  • UTS:主机名和域名隔离

控制组(Cgroups)
控制组限制和监控容器的资源使用,包括 CPU、内存、磁盘 I/O 等。

容器生命周期

容器的生命周期包括以下状态:

  1. Created:容器已创建但未启动
  2. Running:容器正在运行
  3. Paused:容器已暂停
  4. Stopped:容器已停止
  5. Deleted:容器已删除

容器与虚拟机的区别

特性容器虚拟机
启动时间秒级分钟级
硬盘使用一般为 MB一般为 GB
性能接近原生较慢
系统资源占用少占用多
隔离性进程级操作系统级

Docker Daemon 详解

启动和配置

Docker Daemon 可以通过多种方式启动和配置:

系统服务方式

# 启动 Docker 服务
sudo systemctl start docker

# 设置开机自启
sudo systemctl enable docker

# 查看服务状态
sudo systemctl status docker

手动启动方式

# 手动启动 Docker Daemon
dockerd

# 指定配置文件启动
dockerd --config-file /etc/docker/daemon.json

配置选项

Docker Daemon 支持丰富的配置选项,可以通过配置文件或命令行参数指定:

{
  "debug": true,
  "tls": true,
  "tlscert": "/var/docker/server.pem",
  "tlskey": "/var/docker/serverkey.pem",
  "hosts": ["tcp://0.0.0.0:2376"]
}

日志管理

Docker Daemon 会产生日志,可以通过以下方式查看:

# 查看 Docker Daemon 日志
sudo journalctl -u docker.service

# 实时查看日志
sudo journalctl -u docker.service -f

Docker Client 详解

基本用法

Docker Client 是用户与 Docker 交互的主要界面:

# 查看 Docker 版本
docker version

# 查看 Docker 系统信息
docker info

# 查看帮助信息
docker --help

环境变量配置

Docker Client 支持通过环境变量配置连接参数:

# 设置 Docker Host
export DOCKER_HOST=tcp://localhost:2376

# 设置 TLS 配置
export DOCKER_TLS_VERIFY=1
export DOCKER_CERT_PATH=/path/to/certs

远程管理

Docker Client 可以管理远程的 Docker Daemon:

# 管理远程 Docker 主机
docker -H tcp://remote-host:2376 ps

# 使用环境变量管理远程主机
export DOCKER_HOST=tcp://remote-host:2376
docker ps

容器运行时

Docker 支持多种容器运行时,通过容器运行时接口(CRI)与底层系统交互。

默认运行时

Docker 默认使用 containerd 作为容器运行时:

+------------------+     +------------------+
|   Docker Client  |     |  Third-party CLI |
+------------------+     +------------------+
          |                        |
          +------------------------+
                   |
          +--------v--------+
          |  Docker Daemon  |
          +--------+--------+
                   |
          +--------v--------+
          |    containerd   |
          +--------+--------+
                   |
          +--------v--------+
          |      runc       |
          +-----------------+

运行时选择

用户可以根据需要选择不同的容器运行时:

# 使用不同的运行时运行容器
docker run --runtime=io.containerd.runc.v2 nginx

容器编排与管理

虽然 Docker 引擎本身主要用于单机容器管理,但它为更高级的容器编排提供了基础。

Docker Compose

Docker Compose 是 Docker 官方的多容器编排工具:

version: '3.8'
services:
  web:
    image: nginx
    ports:
      - "80:80"
  db:
    image: mysql:8.0
    environment:
      MYSQL_ROOT_PASSWORD: password

Docker Swarm

Docker Swarm 是 Docker 原生的集群管理工具:

# 初始化 Swarm 集群
docker swarm init

# 加入 Swarm 集群
docker swarm join --token TOKEN MANAGER-IP:2377

安全性考虑

Docker 引擎在设计时考虑了安全性:

守护进程安全

  • 默认只监听本地 Unix 套接字
  • 支持 TLS 加密通信
  • 支持用户命名空间映射

容器安全

  • 默认以非 root 用户运行
  • 支持能力(Capabilities)限制
  • 支持 SELinux/AppArmor 安全策略

性能优化

为了获得最佳性能,可以对 Docker 引擎进行优化:

存储驱动选择

根据文件系统选择合适的存储驱动:

  • overlay2:推荐用于 ext4 和 xfs
  • fuse-overlayfs:用于 rootless 模式
  • btrfs:用于 Btrfs 文件系统

日志配置

合理配置日志轮转避免磁盘空间耗尽:

{
  "log-driver": "json-file",
  "log-opts": {
    "max-size": "10m",
    "max-file": "3"
  }
}

故障排除

常见问题

  1. Docker Daemon 无法启动

    # 检查配置文件语法
dockerd --validate

# 查看详细日志
dockerd --debug

  2. 权限问题

    # 将用户添加到 docker 组
sudo usermod -aG docker $USER

  3. 网络问题

    # 重置 Docker 网络
sudo systemctl restart docker

通过本节内容,我们深入探讨了 Docker 引擎的架构和容器技术的核心原理。理解这些概念对于有效使用 Docker 和解决相关问题至关重要。

我是老马,期待与你的下次重逢
Copyright © 2025 老马啸西风