冰桶挑战热度未消,IT届又掀新宠Docker狂潮,作为今年最炙手可热的开源项目之一,docker所到之处,无不引起IT大拿们争相追逐。8月30 日,由Docker中文社区主办的DockerMeetup来到深圳,并邀UCloud、华为云、七牛云存储等各领域专家共话Docker应用与畅想。
随着新一波移动互联网浪潮涌入,曾经码农们的创富神话已变成了如今的掩面慨叹,“开发者之艰辛”“为开发者减负”的言论不绝于耳。曾有硅谷的工程师认为“如果说有什么能让开发人员工作变得轻松一点的话,docker就是其中之一”。
云计算的明日之星Docker
Docker可以被形象地看做一个应用封装容器,以往开发者开发一款应用,需要考虑硬件、操作系统、运行环境的适配,有了容器就不用考虑这些了。开发者直接在容器里开发,提测时把整个容器测试,测试后在容器内进行改动,再上线。通过容器,整个开发、测试和生产环境可以保持高度的一致。此时开发者只需专注于开发软件,不需要考虑在哪运行自己的软件,这也是云计算的发展方向。Docker因其轻量级特性,可协助应用实现云端的即时迁移,这必吸引更多人来使用云服务,因此当之无愧称得上是云计算的明日之星。
UCloud作为国内顶尖的云计算基础服务商,受邀参加此次活动演讲。资深工程师邱模炯就Container内核原理做了详细介绍,以下是整理的演讲实录:
Docker的本质是Container,很多人疑惑Container与VM的区别,Container作为一种应用封装容器,在表象上类似于虚拟机VM,但在实现的原理和应用上与虚拟机VM其实有着巨大的区别:
VM一般指系统虚拟化,每个虚拟机的运行环境由VMM(虚拟化管理器)仿真而成,每个VM运行各自的内核;而Container仅仅是应用封装容器,它在应用态封装了一个rootfs,多个Container共享同一个内核。VM和Container的总体架构图对比如上所示。从使用者的角度,Container和VM一样也拥有独立虚拟机这个假象,这正是底下内核的namespace和cgroup所努力达到的。不过由于 Container的内核是共享的,这个假象虚拟机无法像VM虚拟机一样任意安装操作系统。在DockerContainer用到的技术,除了 namespace和cgroup,还用到了AUFS(联合文件系统)。这些是DockerContainer在内核原理上主要的技术点。 Namespace用做进程组的虚拟化,一组进程如果放入共同的namespace即产生没有资源限制的Container.一个进程的运行环境通常包括:pid,父pid;uid,gid;VFSmount(rootfs),net协议栈,hostinfo, IPC, /proc, /sys等。在有Container之前,所有应用程序的rootfs都是一样的,即整个操作系统的根目录;所有进程涉及到的网络环境都是一样的,即同样的IP地址,同样的路由,同样的网络接口。namespace的功能,允许多个进程组成一个container拥有独立的运行环境,不同 container有不同的rootfs,不同的网络协议栈,不同的IPC.这就是namespace,进程运行环境所涉及的方方面面都有相应的 namesapce.总的来说,Namespace可以制造一种虚拟机的假象,可以实现独立的mnt;独立的pid空间;独立的网络协议栈;独立的 IPC;独立的/proc /sys.
但Container如果只有Namespace,资源无法根据需求QoS配置,因此这里需要借助Cgroups.cgroup用于进程组的资源隔离,我们能想到的方方面面的资源都可以通过cgroup来控制,比如控制一组进程总计使用多少CPU、总计使用多少内存;一组进程只能访问哪些设备;一组进程的 IOPS大只能多少。Container天然包含一组进程,Container就是借助cgroup来限制资源使用,使得不同Container用到的资源正确隔离。
在提供了类似虚拟机的环境,且资源得到保证之后,这时我们又会考虑另外一个问题:如何使Container变得更精简。假设:一个Container的 rootfs大小是1G,100个Container要100G,这不但占用大量空间,而且传输起来相当费事。这里我们就会使用AUFS技术,以递进的方式创建"Container"——一个Container的rootfs叠在另一个上面,就像使用git增量开发一样。这样的话极大的节省了对存储的需求,也能加速容器的启动。目前AUFS还有不太完善之处,例如,进行一个写的操作会需要导致整个文件的拷贝,AUFS本身的参数、细节太多,不可推理也不可预测,但整体上来说AUFS还是可以起到精简、提高性能的的作用。
在实际工作中,会有哪些场景适合Container或者VM呢?先来比较一下他们各自的优劣:Container运行开销小;部署速度;启动速度快,不需要走整个系统流程;VM运行开销大,因为多了一层GuestKernel;启动速度较慢;但Container不能做在线迁移。我们以实际应用场景来说明,UCloud在一些内部的业务使用了docker,但没有像云主机一样像客户售卖Container.这是因为客户对虚拟机隔离性要求非常高,他们希望我们的虚拟机绝对安全,就目前为止,Container因为内核共享,无法做到彻底的隔离,也就没有令人放心的安全性。从资源切割的角度,个人认为,Container更适用于大公司的内部云平台,同一台物理机通过DockerContainer部署不同的业务并相互隔离,提升资源利用率,简化业务管理和部署。特别是,DockerContainer有着较完善的管理工具,可实现Container的一键打包、一键部署、一键运行,在业务迁移、部署方面很有优势。
我们相信DockerContainer应用封装容器对开发、测试和运维能起到积极作用,对于云平台意义重大。让我们拭目以待未来Docker的发展!
热门专题
