容器技术

本文系『CSDN云计算』对阿里云云原生应用平台负责人叔同的专访，阿里巴巴中间件受权转载。通过本文，您将了解到云计算时代容器技术的发展路径，阿里云在容器领域的产品矩阵、技术迭代以及未来趋势等方面，以及阿里云的容器技术演进历程。 以容器为代表的云原生技术，成为云时代释放云价值的最短路径 "过去我们常以虚拟化作为云平台和与客户交互的界面，为企业带来灵活性的同时也带来一定的管理复杂度；容器的出现，在虚拟化的基础上向上封装了一层，逐步成为云平台和与客户交互的新界面之一，应用的构建、分发和交付得以在这个层面上实现标准化，大幅降低了企业 IT 实施和运维成本，提升了业务创新的效率。 从技术发展的维度看，开源让云计算变得越来越标准化，容器已经成为应用分发和交付的标准，可以将应用与底层运行环境解耦； Kubernetes 成为资源调度和编排的标准，屏蔽了底层架构的差异性，帮助应用平滑运行在不同的基础设施上；在此基础上建立的上层应用抽象如微服务和服务网格，逐步形成应用架构现代化演进的标准，开发者只需要关注自身的业务逻辑，无需关注底层实现，云原生正在通过方法论、工具集和理念重塑整个软件技术栈和生命周期。 以容器为代表的云原生技术，用开放、标准的技术体系，帮助企业和开发者在云上构建和运行可弹性扩展、容错性好、易于管理、便于观察的系统，已经成为释放云价值的最短路径。”在提及容器演进历程中叔同强调道

本文系『CSDN云计算』对阿里云云原生应用平台负责人叔同的专访，阿里巴巴中间件受权转载。通过本文，您将了解到云计算时代容器技术的发展路径，阿里云在容器领域的产品矩阵、技术迭代以及未来趋势等方面，以及阿里云的容器技术演进历程。 以容器为代表的云原生技术，成为云时代释放云价值的最短路径 "过去我们常以虚拟化作为云平台和与客户交互的界面，为企业带来灵活性的同时也带来一定的管理复杂度；容器的出现，在虚拟化的基础上向上封装了一层，逐步成为云平台和与客户交互的新界面之一，应用的构建、分发和交付得以在这个层面上实现标准化，大幅降低了企业 IT 实施和运维成本，提升了业务创新的效率。 从技术发展的维度看，开源让云计算变得越来越标准化，容器已经成为应用分发和交付的标准，可以将应用与底层运行环境解耦； Kubernetes 成为资源调度和编排的标准，屏蔽了底层架构的差异性，帮助应用平滑运行在不同的基础设施上；在此基础上建立的上层应用抽象如微服务和服务网格，逐步形成应用架构现代化演进的标准，开发者只需要关注自身的业务逻辑，无需关注底层实现，云原生正在通过方法论、工具集和理念重塑整个软件技术栈和生命周期。 以容器为代表的云原生技术，用开放、标准的技术体系，帮助企业和开发者在云上构建和运行可弹性扩展、容错性好、易于管理、便于观察的系统，已经成为释放云价值的最短路径。”在提及容器演进历程中叔同强调道

本文可能是把Docker的概念讲的最清楚的一篇文章 进入正题，什么是Docker Docker是世界领先的软件容器平台。 Docker使用Google公司推出的Go语言进行开发实现，基于Linux内核的cgroup，namespace，以及AUFS类的UnionFS等技术，对进程进行封装隔离，属于操作系统层面的虚拟化技术。 由于隔离的进程独立于宿主和其它的隔离的进程，因此也称其为容器。Docke最初实现是基于LXC。 Docker能够自动执行重复性任务，例如搭建和配置开发环境，从而解放了开发人员以便他们专注在真正重要的事情上：构建杰出的软件。 用户可以方便地创建和使用容器，把自己的应用放入容器。容器还可以进行版本管理、复制、分享、修改，就像管理普通的代码一样。 想要搞懂Docker的概念我们必须先从容器开始说起。先从认识容器开始 什么是容器？ 先来看看容器较为官方的解释： 一句话概括容器： 容器就是将软件打包成标准化单元，以用于开发、交付和部署。 容器镜像是轻量的、可执行的独立软件包 ，包含软件运行所需的所有内容：代码、运行时环境、系统工具、系统库和设置。 容器化软件适用于基于Linux和Windows的应用，在任何环境中都能够始终如一地运行。 容器赋予了软件独立性，使其免受外在环境差异（例如，开发和预演环境的差异）的影响，从而有助于减少团队间在相同基础设施上运行不同软件时的冲突。

注意这是一篇笔记整理，来源是一篇公众号，https://mp.weixin.qq.com/s/vS-Dp31T19Rk_tQj2GzmCQ 为了自己更好的查看和理解，涉及到侵权联系删！ 目录： Image Definition Container Definition Running Container Definition Image Layer Definition 全局理解（Tying It All Together） 这篇文章希望能够帮助读者深入理解Docker的命令，还有容器（container）和镜像（image）之间的区别，并深入探讨容器和运行中的容器之间的区别。 当我对Docker技术还是一知半解的时候，我发现理解Docker的命令非常困难。于是，我花了几周的时间来学习Docker的工作原理，更确 切地说，是关于Docker统一文件系统（the union file system）的知识，然后回过头来再看Docker的命令，一切变得顺理成章，简单极了。 题外话：就我个人而言，掌握一门技术并合理使用它的最好办法就是深入理解这项技术背后的工作原理。通常情况 下，一项新技术的诞生常常会伴随着媒体的大肆宣传和炒作，这使得用户很难看清技术的本质。更确切地说，新技术总是会发明一些新的术语或者隐喻词来帮助宣 传，这在初期是非常有帮助的，但是这给技术的原理蒙上了一层砂纸

一、概念 docker是开源容器引擎，基于cgroup,namespace,unionFS等技术实现，对应用进行封装的虚拟化技术 什么是cgroup？ 对系统资源限制，创建容器的过程其实就是在创建进程，对资源的分配和维护使用cgroup来管理，包括cpu，内存，io等? 什么是namespace? 创建容器时，对容器来说就是一个全新的系统，容器内的文件系统要和宿主机文件系统隔离，网络空间隔离，用户权限隔离，这些隔离操作都是有namespace 来管理完成的 什么是unionFS? 联合文件系统，简单理解就是多个目录结构合并成一个，而各个目录结构本身物理位置并没有变化。 二、架构 1.C/S架构 组件: docker cli: docker客户端，用来管理docker，向docker发送指令的工具 docker engine: 拉取推送镜像，对容器操作相关的api的最上层封装，直接面向client image repository: 注册中信，存储镜像的地方 Containerd: 是一个守护进程，负责管理shim,向docker engine提供接口,使用UnixSocket通信，协议是grpc shim: 负责管理单个容器，启动一个容器，就会启动一个shim进程, containerd管理所有容器 runC: 运行一个容器。是基于OCI标准的一个容器技术实现

点击下载《不一样的 双11 技术：阿里巴巴经济体云原生实践》 本文节选自《不一样的 双11 技术：阿里巴巴经济体云原生实践》一书，点击上方图片即可下载！ 作者 李鹏（壮怀）阿里云容器服务高级技术专家 黄瑞瑞 阿里云技术架构部资深技术专家 导读 ：对于云上客户而言，其云上数据被妥善的安全保护是其最重要的安全需求，也是云上综合安全能力最具象的体现。本文作者将从云安全体系出发，到云数据安全，再到云原生安全体系对全链路加密进行一次梳理，从而回答：在云原生时代，全链路加密需要做什么？如何做到？以及未来要做什么？ 什么是云原生全链路加密 数据安全在云上的要求，可以用信息安全基本三要素 "CIA"来概括，即机密性（Confidentiality）、完整性（Integrity）和可用性（Availability）。 机密性专指受保护数据只可以被合法的（或预期的）用户可访问，其主要实现手段包括数据的访问控制、数据防泄露、数据加密和密钥管理等手段； 完整性是保证只有合法的（或预期的）用户才能修改数据，主要通过访问控制来实现，同时在数据的传输和存储中可以通过校验算法来保证用户数据的完整性； 数据的可用性主要体现在云上环境整体的安全能力、容灾能力、可靠度，以及云上各个相关系统（存储系统、网络通路、身份验证机制和权限校验机制等等）的正常工作保障。 在三要素中，第一要素机密性（Confidentiality

10分钟看懂Docker和K8S https://zhuanlan.zhihu.com/p/53260098 2010年，几个搞IT的年轻人，在美国旧金山成立了一家名叫“dotCloud”的公司。 这家公司主要提供基于PaaS的云计算技术服务。具体来说，是和LXC有关的容器技术。 LXC，就是Linux容器虚拟技术（Linux container） 后来，dotCloud公司将自己的容器技术进行了简化和标准化，并命名为——Docker。 Docker技术诞生之后，并没有引起行业的关注。而dotCloud公司，作为一家小型创业企业，在激烈的竞争之下，也步履维艰。 正当他们快要坚持不下去的时候，脑子里蹦出了“开源”的想法。 什么是“开源”？开源，就是开放源代码。也就是将原来内部保密的程序源代码开放给所有人，然后让大家一起参与进来，贡献代码和意见。 Open Source，开源 有的软件是一开始就开源的。也有的软件，是混不下去，创造者又不想放弃，所以选择开源。自己养不活，就吃“百家饭”嘛。 2013年3月，dotCloud公司的创始人之一，Docker之父，28岁的Solomon Hykes正式决定，将Docker项目开源。 Solomon Hykes（今年刚从Docker离职） 不开则已，一开惊人。 越来越多的IT工程师发现了Docker的优点，然后蜂拥而至，加入Docker开源社区。

【推荐】2019 Java 开发者跳槽指南.pdf(吐血整理) >>> 作者 | 丁宇（叔同） 阿里云智能容器平台负责人 、刘丹 2019 年阿里巴巴 双11 核心系统 100% 以云原生的方式上云，完美支撑了 54.4w 峰值流量以及 2684 亿的成交量。随着阿里巴巴经济体云原生技术的全面升级，容器性能、稳定性及在线率也得到了全面提升。本文作者将从云计算时代容器的发展路径为出发点，剖析阿里云的容器技术演进历程，借此探析整个行业的发展趋势。 以容器为代表的云原生技术，成为云时代释放云价值的最短路径 过去我们常以虚拟化作为云平台和与客户交互的界面，为企业带来灵活性的同时也带来一定的管理复杂度；容器的出现，在虚拟化的基础上向上封装了一层，逐步成为云平台和与客户交互的新界面之一，应用的构建、分发和交付得以在这个层面上实现标准化，大幅降低了企业 IT 实施和运维成本，提升了业务创新的效率。 从技术发展的维度看，开源让云计算变得越来越标准化，容器已经成为应用分发和交付的标准，可以将应用与底层运行环境解耦；Kubernetes 成为资源调度和编排的标准，屏蔽了底层架构的差异性，帮助应用平滑运行在不同的基础设施上；在此基础上建立的上层应用抽象如微服务和服务网格，逐步形成应用架构现代化演进的标准，开发者只需要关注自身的业务逻辑，无需关注底层实现，云原生正在通过方法论

什么是镜像 Docker镜像是由文件系统叠加而成。最底端是一个引导文件系统，即bootfs。当一个容器启动后，它将会被移动到内存中，而引导文件系统则会被卸载，以留出更多的内存供initrd磁盘镜像使用。 Docker镜像的第二层是root文件系统rootfs，它可以是一种或多种操作系统（如Debian或者Ubuntu文件系统）。 Docker里，root文件系统永远只能是只读状态，并且Docker利用联合加载技术又会在root文件系统层上加载更多的只读文件系统。联合加载的意思是一次加载多个文件系统，但在外面看起来只能看到一个。联合加载会将各层文件系统叠加到一起，这样最终的文件系统会包含所有底层的文件和目录。 一个镜像可以放到另一个镜像的顶部。位于下方的镜像成为父镜像，最底部的为基础镜像。最后，当从一个镜像启动容器时，Docker会在该镜像的最顶层加载一个读写文件系统。Docker中运行的程序就是在这个读写层中执行的。 Docker相关指令 执行docker容器（拉取镜像、运行） sudo docker run -i -t --name next_container ubuntu /bin/bash -i 保证容器中STDIN是开启的，即可交互命令行的形式 -t 为要创建的容器分配一个伪tty终端 –name 设置容器的名称 重启已经停止的容器 1.通过名称重启 sudo

作者 ：Henrique Souza 原文 ： how-to-dockerize-any-application 具有一定基础的同学阅读起来风味更佳 ? 1. 挑选基础镜像 Docker 镜像仓库中有许多特定技术的基础镜像： https://hub.docker.com/java https://hub.docker.com/python https://hub.docker.com/nginx 如果以上都运行不起来，那么你需要从基础系统镜像开始，自行安装所有东西。 大部分网上的教程都会以 Ubuntu 开始（比如 Ubuntu16.04），这也没什么错。 但我建议用 Alpine 镜像： https://hub.docker.com/alpine 相比其他，Alpine 的镜像要小得多（可以小到5MB）。 注意：Alpine 不支持 apt-get 命令。Alpine 有自己的包仓库和包管理工具。详情可移步： https://wiki.alpinelinux.org/wiki/Alpine_Linux_package_management https://pkgs.alpinelinux.org/packages # Alpine 镜像中使用 apk 来管理包 apk update apk upgrade apk search openssh apk add openssh