建设会计协会网站,微信网页版登录界面,网站没有做伪静态是什么样子,discuz可以做门户网站吗在面试的时候#xff0c;面试官常常会问一些问题#xff1a;
docker是什么#xff0c;能做什么#xff1f;docker和虚拟机的区别是什么呢#xff1f;docker是用什么做隔离的#xff1f;docke的网络类型#xff1f;docker数据之间是如何通信的#xff1f;docker的数据保…
在面试的时候面试官常常会问一些问题
docker是什么能做什么docker和虚拟机的区别是什么呢docker是用什么做隔离的docke的网络类型docker数据之间是如何通信的docker的数据保存问题常用的docker命令docker制作镜像相关
下面就让我来详细说明一些这些问题
1. docker是什么能做什么
是什么 就是一个软件 跑容器的软件
将软件打包到标准化单元中以便进行开发、运输和部署
容器是打包代码及其所有依赖项的软件标准单元以便应用程序从一个计算环境快速可靠地运行到另一个计算环境。Docker 容器映像是一个轻量级、独立的可执行软件包其中包含运行应用程序所需的一切代码、运行时、系统工具、系统库和设置。
有什么作用解决了什么问题 将任何软件都可以放到容器里去运行 更加节约企业的服务器资源降低基础设施成本 软件的快速部署和缩放---》改变了软件部署和安装的方式 2. docker和虚拟机的区别 与虚拟机相比dockers的优缺点
优点缺点Docker启动快速属于秒级别虚拟机通常需要几分钟去启动与虚拟机相比Docker隔离性更弱Docker属于进程之间的隔离虚拟机可实现系统级别隔离。快速创建、删除虚拟化创建是分钟级别的Docker容器创建是秒级别的Docker的快速迭代性决定了无论是开发、测试、部署都可以节约大量时间。可管理性Docker的集中化管理工具还不算成熟。各种虚拟化技术都有成熟的管理工具例如VMware vCenter提供完备的虚拟机管理能力。Docker更轻量Docker的架构可以共用一个内核与共享应用程序库所占内存极小。同样的硬件环境Docker运行的镜像数远多于虚拟机数量。对系统的利用率非常高。高可用和可恢复性Docker对业务的高可用支持是通过快速重新部署实现的。虚拟化具备负载均衡、高可用、容错、迁移和数据保护等经过生产实践检验的成熟保障机制VMware可承诺虚拟机99.999%高可用保证业务连续性。Docker需要的资源更少Docker可以在操作系统级别进行虚拟化Docker容器和内核交互基本没有性能损耗性能优于通过Hypervisor层与内核层的虚拟化安全性Docker的安全性也更弱。Docker的租户root和宿主机root等同一旦容器内的用户从普通用户权限提升为root权限它就直接具备了宿主机的root权限进而可进行无限制的操作。交付、部署虚拟机可以通过镜像实现环境交付的一致性但镜像分发无法体系化Docker在Dockerfile中记录了容器构建过程可在集群中实现快速分发和快速部署。
简单来说
docker的启动速度更快资源消耗更小拓展更方便
但docker的隔离没有虚拟机彻底虚拟机的安全性更高
3. docker是用什么做隔离的
docker底层是用命名空间做隔离的
docker的命名空间包括 PID命名空间进程隔离每个容器都有自己的进程ID空间互不影响。 NET命名空间网络隔离每个容器都有自己的网络接口、IP地址、路由表等互不影响。 IPC命名空间进程间通信隔离每个容器都有自己的System V IPC和POSIX消息队列互不影响。 MNT命名空间文件系统隔离每个容器都有自己的文件系统挂载点互不影响。 UTS命名空间主机名隔离每个容器都有自己的主机名和域名互不影响。 User命名空间用户隔离每个容器都有自己的用户和组ID互不影响。 命名空间是Linux内核提供的一种隔离机制它可以将一个进程的视图限制在一个特定的范围内让进程看到的资源受到隔离和限制从而实现容器之间的隔离。
不同的命名空间有不同的资源
容器由不同的命名空间组合而成
一个pod里的容器共享很多namespace例如network这样他们就使用同一个ip地址 CGroup 对资源进行限制例如cpu,内存、磁盘、网络等 容器理解为一个人命名空间理解为吃喝玩乐的地方cgroups理解为能使用的金钱和体力
4. docke的网络类型docker数据之间是如何通信的
四类网络模式 这几个模式只考虑宿主机和容器之间的通信在同一台机器里
同一台机器里通信
桥接网络模式
当Docker进程启动时会在主机上创建一个名为docker0的虚拟网桥此主机上启动的Docker容器会连接到这个虚拟网桥上。从docker0子网中分配一个IP给容器使用并设置docker0的IP地址为容器的默认网关。在主机上创建一对虚拟网卡veth pair设备Docker将veth pair设备的一端放在新创建的容器中并命名为eth0容器的网卡另一端放在主机中以vethxxx这样类似的名字命名并将这个网络设备加入到docker0网桥中
docker0–相当于路由器的LAN口DHCP服务器
容器网卡–相当于虚拟机里的ens33网卡
主机网卡–在虚拟机里相当于真实机器里模拟出来的vmnet8网卡用于和虚拟机进行通信的 host网络模式 如果启动容器的时候使用host模式那么这个容器将不会获得一个独立的Network Namespace而是和宿主机共用一个Network Namespace。容器将不会虚拟出自己的网卡配置自己的IP等而是使用宿主机的IP和端口。但是容器的其他方面如文件系统、进程列表等还是和宿主机隔离的。
使用host模式的容器可以直接使用宿主机的IP地址与外界通信容器内部的服务端口也可以使用宿主机的端口不需要进行NAThost最大的优势就是网络性能比较好但是docker host上已经使用的端口就不能再用了网络的隔离性不好。 container网络模式 这个模式指定新创建的容器和已经存在的一个容器共享一个 Network Namespace而不是和宿主机共享。新创建的容器不会创建自己的网卡配置自己的 IP而是和一个指定的容器共享 IP、端口范围等。同样两个容器除了网络方面其他的如文件系统、进程列表等还是隔离的。两个容器的进程可以通过 lo 网卡设备通信。
none网络模式 使用none模式Docker容器拥有自己的Network Namespace但是并不为Docker容器进行任何网络配置。也就是说这个Docker容器没有网卡、IP、路由等信息。需要我们自己为Docker容器添加网卡、配置IP等。
这种网络模式下容器只有lo回环网络没有其他网卡。none模式可以在容器创建时通过–networknone来指定。这种类型的网络没有办法联网封闭的网络能很好的保证容器的安全性。
不同宿主机容器之间通信
overlay
Overlay网络实际上市目前最主流的容器跨节点数据传输和路由方案
overlay用于不同宿主机的容器间的通信同时支持对消息进行加密
安装docker的容器编排工具swarm会有overlay网络模式
发送数据包流程
容器Container1 发送数据包 到容器 Container2。
1、容器Container1会通过Container eth0 将这个数据包发送到 10.0.0.1 的网关。2、网关将数据包发送出去后到达b20网桥。3、b20网桥针对VXLAN设备主要用于捕获对外的数据包通过VETP进行数据包封装。4、封装好将VXLAN格式数据包交给eth0通过UDP方式交给Container2的eth0。5、Container2收到数据包后通过VETP将数据包解封装。6、网桥通过网关将解封装的数据包转发给Container eth0完毕通信。 overlay的底层原理VXLAN
VXLAN是一种隧道技术。通过将虚拟网络中的数据帧封装在实际物理网络中的报文中进行传输。具体实现方式为将虚拟网络的数据帧添加VXLAN首部后封装在物理网络中的UDP报文中然后以传统网路络的通信方式传送该UDP报文到达目的主机后去掉物理网络报文的头部信息以及VXLAN首部将报文交付给目的终端。整个通信过程目的终端不会感知到物理网络的存在。
VTEPVXLAN Tunnel EndpointsVXLAN隧道端 点是VXLAN网络的边缘设备是VXLAN隧道的起点和终点源服务器发出的原始数据帧在VTEP上被封装成VXLAN格式的报文并在IP网络中传递到另外一个VTEP上并经过解封转还原出原始的数据帧最后转发给目的服务器。 监听端口4789 封装格式 macvlan
在 Docker 中macvlan 是众多 Docker 网络模型中的一种并且是一种跨主机的网络模型作为一种驱动driver启用-d 参数指定Docker macvlan 只支持 bridge 模式。
参考https://docs.docker.com/network/drivers/macvlan/
ipvlan
IPvlan 驱动程序让用户可以完全控制 IPv4 和 IPv6 寻址。VLAN 驱动程序建立在此之上为对底层网络集成感兴趣的用户提供了对第 2 层 VLAN 标记甚至 IPvlan L3 路由的完全控制。 直接和eth0组成了一个局域网--》相当于一个vlan IPVLAN和overlay都可以实现不同主机上的容器之间的通信但是ipvlan是所有的容器都是相同网段相当于在一个vlan里然后可以通过不同的子接口对应不同的网段实现不同的类型的容器之间的通信
5. docker的数据保存问题
使用数据卷
作用方便备份恢复实现数据共享
容器和宿主机的之间的数据共享 多宿主机之间的数据共享 参考另一篇博客https://blog.csdn.net/ZhouXin1111112/article/details/132560687?spm1001.2014.3001.5501
6. 常用的docker命令
docker version查看docker的版本docker ps查看目前正在启动的容器-a 查看所有容器docker rm删除容器docker rmi删除镜像docker image查看镜像docker pull拉取镜像docker run创建容器然后启动容器 docker pull docker create docker startdocker create创建容器docker build使用 Dockerfile 创建镜像docker start启动容器docker stop停止容器docker exec -it 进入容器
7. docker制作镜像相关
镜像原理
参考https://blog.51cto.com/liuleis/2070461
分层结构
所有的容器都是共享宿主机的内核kernel 上图 Debian 和 BusyBox上层提供各自的 rootfs底层共用 Docker Host 的 kernel。
容器只能使用 Host 的 kernel并且不能修改。所有容器都共用 host 的 kernel在容器中没办法对 kernel 升级。
所有的容器运行时间都是一样的使用宿主机的时间 ① 新镜像不再是从 scratch 开始而是直接在 Debian base 镜像上构建。 ② 安装 emacs 编辑器。 ③ 安装 apache2。 ④ 容器启动时运行 bash。
构建过程如下图所示 可以看到新镜像是从 base 镜像一层一层叠加生成的。每安装一个软件就在现有镜像的基础上增加一层。
问什么 Docker 镜像要采用这种分层结构呢 最大的一个好处就是 - 共享资源。
比如有多个镜像都从相同的 base 镜像构建而来那么 Docker Host 只需在磁盘上保存一份 base 镜像同时内存中也只需加载一份 base 镜像就可以为所有容器服务了。而且镜像的每一层都可以被共享。
这时可能就有人会问了如果多个容器共享一份基础镜像当某个容器修改了基础镜像的内容比如 /etc 下的文件这时其他容器的 /etc 是否也会被修改 答案不会因为修改会被限制在单个容器内。
容器 Copy-on-Write 特性
当容器启动时一个新的可写层被加载到镜像的顶部。 这一层通常被称作“容器层”“容器层”之下的都叫“镜像层”。 所有对容器的改动 - 无论添加、删除、还是修改文件都只会发生在容器层中。只有容器层是可写的容器层下面的所有镜像层都是只读的。 下面我们深入讨论容器层的细节。 镜像层数量可能会很多所有镜像层会联合在一起组成一个统一的文件系统。如果不同层中有一个相同路径的文件比如 /a上层的 /a 会覆盖下层的 /a也就是说用户只能访问到上层中的文件 /a。在容器层中用户看到的是一个叠加之后的文件系统。
1.添加文件 在容器中创建文件时新文件被添加到容器层中。 2. 读取文件 在容器中读取某个文件时Docker 会从上往下依次在各镜像层中查找此文件。一旦找到打开并读入内存。 3. 修改文件 在容器中修改已存在的文件时Docker 会从上往下依次在各镜像层中查找此文件。一旦找到立即将其复制到容器层然后修改之。 4. 删除文件 在容器中删除文件时Docker 也是从上往下依次在镜像层中查找此文件。找到后会在容器层中记录下此删除操作。
只有当需要修改时才复制一份数据这种特性被称作 Copy-on-Write。可见容器层保存的是镜像变化的部分不会对镜像本身进行任何修改。 这样就解释了我们前面提出的问题容器层记录对镜像的修改所有镜像层都是只读的不会被容器修改所以镜像可以被多个容器共享。
镜像里有什么
Docker 容器镜像是一个轻量级、独立的可执行软件包其中包含运行应用进程所需的一切代码、运行时、系统工具、系统库和设置。
Dockerfile文件
指令 如何让你制作的镜像比较小
1.使用基础镜像要小2.少使用RUN和COPY,ADD3.使用镜像启动容器后再在里面安装软件使用卷挂载数据
RUN和CMD/ENTRYPOINT的区别
运行的时间点不一样
RUN 指令在制作镜像的时候运行的CMD 和ENTRYPOINT 指令是在容器启动的时候运行的
ENTRYPOINT和CMD的区别
当2者都存在的时候CMD里的内容会成为ENTRYPOINT里的参数位置参数
ENTRYPOINT [docker-entrypoint.sh]EXPOSE 3306 33060
CMD [mysqld]相当于docker-entrypoint.sh mysqld
set命令
set指令能设置所使用shell的执行方式可依照不同的需求来做设置。
语法 set [-abCdefhHklmnpPtuvx] 参数说明 -e 若指令传回值不等于0则立即退出shell。 -u 当执行时使用到未定义过的变量则显示错误信息。 -x 执行指令后会先显示该指令的执行过程及所下的参数。
RUN set -eux; \savedAptMark$(apt-mark showmanual); \apt-get update; \apt-get install -y --no-install-recommends ca-certificates wget; \rm -rf /var/lib/apt/lists/*; \
