1.軟件開發(fā)面臨的那些****問題

程序員根據(jù)需求和架構(gòu)設(shè)計(jì)翻譯出業(yè)務(wù)邏輯之后，為保證正常轉(zhuǎn)測(cè)，打包代碼并編寫轉(zhuǎn)測(cè)說(shuō)明書。

選定合適的服務(wù)器和操作系統(tǒng)，并通過SSH連接服務(wù)器，進(jìn)行手動(dòng)升級(jí)：安裝Web容器或數(shù)據(jù)庫(kù)、部署軟件APP以及配置環(huán)境。開發(fā)內(nèi)部測(cè)試，如果發(fā)現(xiàn)新問題需要進(jìn)行修復(fù)，則再次連接服務(wù)器，升級(jí)相應(yīng)的版本和配置環(huán)境的變更點(diǎn)。如未發(fā)現(xiàn)問題，則通過后轉(zhuǎn)交測(cè)試人員。

測(cè)試重復(fù)開發(fā)類似的部署動(dòng)作，測(cè)試通過，版本發(fā)布；運(yùn)維人員拿到版本發(fā)布包后，重復(fù)測(cè)試的部署動(dòng)作。

這種重復(fù)的工作就像雙11雜亂的快遞不斷分揀的過程：

如果有集裝箱的話，只要開發(fā)集中裝箱一次，測(cè)試、運(yùn)維就可以直接用了。

2.Docker是什么？

要將安裝好的開發(fā)環(huán)境打成包，能夠切換到測(cè)試環(huán)境、生產(chǎn)環(huán)境，實(shí)現(xiàn)“一次打包，到處運(yùn)行”的目標(biāo)，就需要實(shí)現(xiàn)：

（1）將開發(fā)環(huán)境原汁原味地打包。

（2）讓應(yīng)用程序認(rèn)為自己擁有“整個(gè)天下”。

針對(duì)第一個(gè)實(shí)現(xiàn)目標(biāo)：將開發(fā)環(huán)境原汁原味地打包。

回顧開發(fā)環(huán)境的安裝過程：先安裝操作系統(tǒng)、再安裝JDK環(huán)境、再裝Web Server、再部署應(yīng)用程序。整個(gè)安裝過程是在操作系統(tǒng)上一層一層安裝起來(lái)，到最后整個(gè)環(huán)境是各層安裝之后的累加結(jié)果。

《初識(shí)Docker鏡像》一文中介紹了Linux操作系統(tǒng)、UnionFS聯(lián)合文件系統(tǒng)，UnionFS可實(shí)現(xiàn)將多個(gè)文件系統(tǒng)的目錄或者文件合并成一個(gè)“統(tǒng)一的文件系統(tǒng)”，掛載到某個(gè)目錄（掛載點(diǎn)）下。

針對(duì)第二個(gè)實(shí)現(xiàn)目標(biāo)：讓應(yīng)用程序認(rèn)為自己擁有“整個(gè)天下”。

進(jìn)一步解釋，讓應(yīng)用程序認(rèn)為自己擁有獨(dú)立的計(jì)算、存儲(chǔ)、網(wǎng)絡(luò)。這里需要使用命名空間NameSpace技術(shù)。Linux命名空間是Linux內(nèi)核中實(shí)現(xiàn)的虛擬化機(jī)制，可以將系統(tǒng)資源劃分成多個(gè)獨(dú)立的空間，每個(gè)空間中的進(jìn)程邏輯上互相隔離，彼此不影響。

如何讓應(yīng)用程序認(rèn)為擁有整個(gè)文件系統(tǒng)？使用chroot技術(shù)。chroot 是一種修改當(dāng)前進(jìn)程及其子進(jìn)程的可見根目錄的操作。修改后，進(jìn)程將不能訪問該根目錄樹以外的任何文件和命令，這種修改后的環(huán)境叫作chroot jail（直譯為chroot監(jiān)獄）。

如何保證應(yīng)用程序使用有限的資源，從而不擠爆整個(gè)宿主機(jī)？使用cgroup技術(shù)。

cgroup也是Linux內(nèi)核實(shí)現(xiàn)的，可以對(duì)進(jìn)程的CPU 時(shí)間、系統(tǒng)內(nèi)存、網(wǎng)絡(luò)帶寬等資源進(jìn)行分配。

2008年，Linux Container（簡(jiǎn)稱LXC），整合了cgroups和Namespace技術(shù)，并合入到Linux內(nèi)核v2.6.27中。

2013年，Docker公司基于Linux Container開發(fā)，并借助于UnionFS，實(shí)現(xiàn)了Docker容器技術(shù)。

3.Docker是如何運(yùn)轉(zhuǎn)的？

有了上面可用的技術(shù)，還需要做一些約定：

（1）將運(yùn)行環(huán)境所對(duì)應(yīng)的文件系統(tǒng)打成的包，稱為鏡像（Image）；

（2）將應(yīng)用程序運(yùn)行起來(lái)的進(jìn)程，稱為容器（Container）；

（3）將存放鏡像的地方，稱為Repository（倉(cāng)庫(kù)）。

有了這些約定，就可以構(gòu)建一個(gè)容器的管理程序，用來(lái)：

（1）將環(huán)境打包成鏡像；

（2）上傳、下載鏡像到倉(cāng)庫(kù)；

（3）運(yùn)行容器，容器也可以提交為鏡像；

容器的管理程序采用C/S架構(gòu)，服務(wù)端稱為docker daemon，后端關(guān)聯(lián)倉(cāng)庫(kù)。客戶端是命令行工具。

4. Docker Daemon是如何演進(jìn)****的?

上文中展示的Docker Daemon服務(wù)端，從Docker v1.11版本開始，便進(jìn)行拆分重構(gòu)，如圖所示。

包含如下組件：

（1）runc： 負(fù)責(zé)容器的創(chuàng)建、刪除等生命周期管理。后面詳細(xì)介紹。

（2）Containerd-shim： 是一個(gè)守護(hù)進(jìn)程，與Containerd一一對(duì)應(yīng)，并向其提供管理容器生命周期的API，也可以向Containerd 報(bào)告容器的退出狀態(tài)。向下，在runc運(yùn)行容器之后并退出，containerd-shim作為容器的父進(jìn)程。這樣可以重啟Containerd，而不會(huì)對(duì)運(yùn)行中的容器產(chǎn)生影響。

（3）Containerd:

containerd是一個(gè)守護(hù)進(jìn)程，負(fù)責(zé)監(jiān)聽傳入的請(qǐng)求以進(jìn)行容器的生命周期管理（啟動(dòng)、停止或報(bào)告容器的狀態(tài)），同時(shí)，也負(fù)責(zé)鏡像的管理（上傳、下載到倉(cāng)庫(kù)，本地保存鏡像等功能），以及跨容器的網(wǎng)絡(luò)管理。

（4）dockerd： 也就是docker daemon，是一個(gè)守護(hù)進(jìn)程。提供docker pull、docker push、docker run等命令接口，并將接口轉(zhuǎn)換為containerd API以調(diào)用containerd。同時(shí)，提供容器編排功能。

下面詳細(xì)分析runC和containerd兩個(gè)組件。

首先來(lái)看runC。 Docker的底層技術(shù)是Namespace和Cgroup，LXC組合了這兩種技術(shù)，為運(yùn)行應(yīng)用程序提供了“隔離”的環(huán)境，這些都已經(jīng)合入到Linux內(nèi)核。

最初Docker基于LXC進(jìn)行開發(fā)，因存在強(qiáng)綁定問題，而重新開發(fā)了libcontainer。

后來(lái)因Docker成為事實(shí)標(biāo)準(zhǔn)，且不開放，影響到生態(tài)建設(shè)（影響了Google、微軟的發(fā)展）。在Linux基金會(huì)的參與下，Docker發(fā)起OCI組織，起草了OCI標(biāo)準(zhǔn)：

（1）容器運(yùn)行時(shí)標(biāo)準(zhǔn)（runtime spec）：定義了如何根據(jù)相應(yīng)的配置構(gòu)建容器運(yùn)行時(shí)，也就是指定了容器的配置、執(zhí)行環(huán)境和生命周期。

（2）容器鏡像標(biāo)準(zhǔn)（image spec）：定義了容器運(yùn)行時(shí)所使用的鏡像打包規(guī)范，也就是指定了文件系統(tǒng)標(biāo)準(zhǔn)包bundle的格式。

總的來(lái)說(shuō)，OCI標(biāo)準(zhǔn)指定了容器運(yùn)行所需要的bundle和配置信息。

Docker公司根據(jù)OCI容器運(yùn)行時(shí)標(biāo)準(zhǔn)，將libcontainer進(jìn)行了二次封裝形成新的項(xiàng)目，改為RunC，作為參考實(shí)現(xiàn)捐給社區(qū)。需要說(shuō)明的是RunC項(xiàng)目實(shí)現(xiàn)了從定義的容器標(biāo)準(zhǔn)包運(yùn)行容器，而沒有實(shí)現(xiàn)下載鏡像并將解析成標(biāo)準(zhǔn)包。

再來(lái)看containerd。

2016年12月，Docker公司將其拆分為獨(dú)立組件（守護(hù)進(jìn)程），并于2017年3月捐贈(zèng)給CNCF。

其架構(gòu)如下圖所示。

containerd分為三個(gè)大塊：Storage、Metadata和Runtimes。其中，Storage 負(fù)責(zé)鏡像的存儲(chǔ)、管理和拉取；Metadata用來(lái)管理容器及鏡像的元數(shù)據(jù)，Runtimes用來(lái)對(duì)接runc。

containerd捐給社區(qū)后，形成一個(gè)龐大的生態(tài)：

參考資料

1. 容器運(yùn)行時(shí)規(guī)范：https://github.com/opencontainers/runtime-spec2. 容器鏡像規(guī)范：https://github.com/opencontainers/image-spec3. https://containerd.io/4.https://github.com/containerd/containerd/blob/main/docs/getting-started.md5.https://mp.weixin.qq.com/s/yIuGm92sshYOZAcIpmu9Ag6.https://www.zhangjiee.com/blog/2021/container-runtime.html