Docker

Описание

Docker — это программная платформа для быстрой разработки, тестирования и развертывания приложений. Docker упаковывает ПО в стандартизованные блоки, которые называются контейнерами.
В контейнере обычно содержится окружение необходимое для работы процесса. Контейнер работает пока живет процесс запущенный в этом контейнере.

Основные компоненты Docker

• Контейнеры – изолированные при помощи технологий операционной системы пользовательские окружения, в которых выполняются приложения. Проще всего дать определение контейнеру Docker как запущенному из образа приложению. Кстати, именно этим идеологически и отличается Docker, например, от LXC (Linux Containers), хотя они используют одни и те же технологии ядра Linux. Разработчики проекта Docker исповедует принцип: один контейнер – это одно приложение.
• Образы – доступные только для чтения шаблоны приложений. Поверх существующих образов могут добавляться новые уровни, которые совместно представляют файловую систему, изменяя или дополняя предыдущий уровень. Обычно новый образ создается либо при помощи сохранения уже запущенного контейнера в новый образ поверх существующего, либо при помощи специальных инструкций для утилиты dockerfile. Для разделения различных уровней контейнера на уровне файловой системы могут использоваться AUFS, btrfs, vfs и Device Mapper. Если предполагается использование Docker совместно с SELinux, то требуется Device Mapper.
• Реестры (registry), содержащие репозитории (repository) образов, – сетевые хранилища образов. Могут быть как приватными, так и общедоступными. Самым известным реестром является Docker Hub.

 

Механизм контрольных групп (Cgroups) предоставляет инструмент для тонкого контроля над распределением, приоритизацией и управлением системными ресурсами. Контрольные группы реализованы в ядре Linux. В современных дистрибутивах управление контрольными группами реализовано через systemd, однако сохраняется возможность управления при помощи библиотеки libcgroup и утилиты cgconfig. Основные иерархии контрольных групп (их также называют контроллерами) перечислены ниже:

• blkio – задает лимиты на операции ввода-вывода и на доступ к блочным устройствам;
• cpu – используя планировщик процессов, распределяет процессорное время между задачами;
• cpuacct – создает автоматические отчеты по использованию ресурсов центрального процессора. Работает совместно с контроллером cpu, описанным выше;
• cpuset – закрепляет за задачами определенные процессоры и узлы памяти;
• devices – регулирует доступ задачам к определенным устройствам;
• freezer – приостанавливает или возобновляет задачи;
• memory – устанавливает лимиты и генерирует отчеты об использовании памяти задачами контрольной группы;
• net_cls – осуществляет тегирование сетевых пакеты идентификатором класса (classid). Это позволяет контроллеру трафика (команда tc) и брандмауэру (iptables) учитывать эти тэги при обработке трафика;
• perf_event – позволяет производить мониторинг контрольных групп при помощи утилиты perf;
• hugetlb – позволяет использовать виртуальные страницы памяти большого размера и применять к ним лимиты

 

Пространства имен, в свою очередь, контролируют не распределение ресурсов, а доступ к структурам данных ядра. Фактически это означает изоляцию процессов друг от друга и возможность иметь параллельно «одинаковые», но не пересекающиеся друг с другом иерархии процессов, пользователей и сетевых интерфейсов. При желании разные сервисы могут иметь даже свои собственные loopback-интерфейсы.

При помощи опций команды docker можете разрешать и запрещать:

• операции монтирования;
• доступ к сокетам;
• выполнение части операций с файловой системой, например изменение атрибутов файлов или владельца.