【編者的話】本文主要介紹了容器的發(fā)展、容器技術(shù)、容器類型、Docker、Open Container Initiative、微服務(wù)以及OpenStack中容器的應(yīng)用。
容器現(xiàn)在正經(jīng)歷著一次重生,部分原因是由于云計(jì)算的發(fā)展。
容器化不是一個(gè)革命性想法——容器技術(shù)已經(jīng)存在很多年并且被大量應(yīng)用程序所使用,但現(xiàn)在,容器幾乎不考慮系統(tǒng)體結(jié)構(gòu)。
今天,相信很多人都聽(tīng)說(shuō)過(guò)Docker。一年多以來(lái),很多公司都在評(píng)估Docker,也有很多公司想要使用Docker,但是很少公司真正把Docker應(yīng)用在生產(chǎn)環(huán)境中。那這一年發(fā)生了什么變化呢?
Docker讓容器化變得更加簡(jiǎn)單。
在Docker出現(xiàn)之前,運(yùn)行容器需要成群的駭客,需要對(duì)整個(gè)系統(tǒng)有深入的理解,還需要一定的勇氣。進(jìn)程隔離或者網(wǎng)絡(luò)堆棧是存在已久的一些技術(shù),想想FreeBSD中的Jails或者其他類似的工具。但現(xiàn)在有了Docker,只需要使用(docker)命令就能在幾秒鐘內(nèi)讓一些東西運(yùn)行起來(lái)。
即時(shí)滿足感不是Docker成功的唯一原因。大量免費(fèi)應(yīng)用程序的鏡像能夠吸引很多想要快速部署微服務(wù)以達(dá)到更大體系架構(gòu)的人,但這些人不希望每次都重新部署虛擬化堆棧。
事實(shí)上,避免了虛擬化堆棧,相對(duì)于虛擬機(jī)幾分鐘的啟動(dòng)時(shí)間,容器能夠在數(shù)秒之內(nèi)啟動(dòng),這加快了整個(gè)基礎(chǔ)設(shè)施的部署。
當(dāng)然,容器也不是完全沒(méi)有問(wèn)題,例如安全性和其他一些不夠成熟技術(shù)帶來(lái)的問(wèn)題。在關(guān)鍵系統(tǒng)上運(yùn)行容器之前這些問(wèn)題都需要被解決,但容器化對(duì)于所有人來(lái)說(shuō)都是一種期待。
容器是什么,容器的結(jié)構(gòu)是什么,它們和虛擬機(jī)的關(guān)系是什么
很多人將容器比作虛擬化,但是容器并不能運(yùn)行所有的東西。例如,你不能在一個(gè)容器中設(shè)置iptables的防火墻規(guī)則;因?yàn)槿萜鞴蚕砹怂拗鳈C(jī)的內(nèi)核,它們不像虛擬機(jī)一樣抽象化了硬件層。由于缺乏經(jīng)驗(yàn),在你開(kāi)始使用容器之前,將容器看成一種“簡(jiǎn)單虛擬化”工具會(huì)給你的業(yè)務(wù)層埋下潛在的危險(xiǎn)。
顯然我們需要花時(shí)間更好地理解容器,那他們是什么?
容器是一種技術(shù),這種技術(shù)讓開(kāi)發(fā)者下載一些基礎(chǔ)鏡像,載入他們的應(yīng)用程序,拆分成幾個(gè)組件,在持續(xù)集成系統(tǒng)上一一部署和測(cè)試,然后將這些組件注冊(cè)到倉(cāng)庫(kù)中,讓系統(tǒng)工程師在現(xiàn)存的基礎(chǔ)設(shè)施上進(jìn)行部署,然后發(fā)布給外界使用。
一個(gè)容器是操作系統(tǒng)層虛擬化特征的一種抽象。通過(guò)開(kāi)拓這些特征,容器系統(tǒng)能夠?qū)⑦M(jìn)程和網(wǎng)絡(luò)隔離成類似于系統(tǒng)沙盒的東西,因此將一個(gè)應(yīng)用程序載入一個(gè)容器就好像把它從操作系統(tǒng)上隔離出來(lái)一樣:在容器中的進(jìn)程是獨(dú)立的;它們看到的是自己的文件系統(tǒng),也能夠與外界進(jìn)行通信等等。很多能夠跑在虛擬機(jī)里的應(yīng)用程序也能夠跑在容器里面。
容器和虛擬機(jī)的不同在于解耦了虛擬化堆棧;虛擬機(jī)將內(nèi)核到用戶空間二進(jìn)制文件與庫(kù)文件再到應(yīng)用程序本身的一切都?jí)喝肓硕褩V羞M(jìn)行隔離和獨(dú)立存放。而容器管理程序則讓容器使用相同的內(nèi)核,共享相同的用戶空間二進(jìn)制文件,共享其他的庫(kù)文件,然后讓?xiě)?yīng)用程序直接運(yùn)行在這些層上。
一個(gè)鏡像可以作為其他鏡像的Base。在Docker中,在一個(gè)鏡像之上構(gòu)建新鏡像來(lái)獲得功能結(jié)果非常正常。你也許會(huì)在一個(gè)Ubuntu鏡像上添加Apache 2.4 web服務(wù)器來(lái)構(gòu)建一個(gè)基于Web的微服務(wù),然后生成新的鏡像。
鏡像是容器運(yùn)行的基礎(chǔ),你需要在鏡像(building block)上啟動(dòng)一個(gè)容器(runtime)。鏡像中包括了容器的應(yīng)用程序,類似于一個(gè)快照但是還具備兩個(gè)額外的特征。首先,它們?cè)谟脩艨臻g文件系統(tǒng)之上進(jìn)行構(gòu)建,能夠進(jìn)行堆疊和共享一些內(nèi)容。其次,它們可移植。這就允許用戶在不同的系統(tǒng)上使用相同的鏡像,重新利用這些鏡像或者通過(guò)公共倉(cāng)庫(kù)提供給其他用戶使用,并且能夠輕松地更新這些鏡像,然后存放到任何地方。
容器類型
最開(kāi)始的時(shí)候是chroot。Chroot()是*NIX操作系統(tǒng)內(nèi)核的一個(gè)系統(tǒng)調(diào)用,用來(lái)改變當(dāng)前運(yùn)行進(jìn)程的root目錄。進(jìn)程運(yùn)行在chroot jail(環(huán)境名稱)上并不知道真實(shí)文件系統(tǒng)的root目錄,但知道user choice的表層root目錄。
這個(gè)函數(shù)能夠讓你隔離應(yīng)用程序,讓進(jìn)程將其他目錄視為根目錄,例如將 /mnt/root 視為 / 。這就意味著應(yīng)用程序只能看到 /mnt/root 上的文件,因此構(gòu)建一個(gè)完整的環(huán)境來(lái)運(yùn)行這個(gè)應(yīng)用程序需要 /mnt/root 目錄下構(gòu)建軟件完整目錄樹(shù)的操作權(quán)。包括存放二進(jìn)制文件的 /bin 目錄,存放用戶空間程序與庫(kù)文件的 /usr 目錄,存放配置的 /etc 目錄等等。這些操作沒(méi)那么容易,特別是對(duì)于更加復(fù)雜的應(yīng)用程序來(lái)說(shuō),就更難了。
LXC是歷史上第一個(gè)試圖普及容器化技術(shù)的工具。和Linux容器生態(tài)系統(tǒng)的其他工具一起,LXC成為了容器化系統(tǒng)中被廣泛采用的工具。它完成了一套系統(tǒng)API讓Linux內(nèi)核的容器特征能夠被用戶層使用:在不脫離Linux標(biāo)準(zhǔn)下通過(guò)共享內(nèi)核,LXC在chroots和虛擬機(jī)之間構(gòu)建了一個(gè)體系結(jié)構(gòu)。
Docker
Docker是最具有吸引力的一種容器技術(shù),它易于理解,可快速啟動(dòng),運(yùn)行方式簡(jiǎn)單,同時(shí)帶來(lái)了容器編排工具的一個(gè)巨大生態(tài)系統(tǒng)。
從工程角度,Docker通過(guò)API實(shí)現(xiàn),它有自己的服務(wù)端(daemon),命令行客戶端以及從注冊(cè)中心到精美UI界面等大量可以使用的工具。
Docker的強(qiáng)大在于之前提到的chroot、進(jìn)程分組、進(jìn)程隔離等功能都可以通過(guò)它的一些命令來(lái)實(shí)現(xiàn)。在其他容器化技術(shù)中開(kāi)發(fā)人員或者管理人員需要頻繁手動(dòng)操作的一些事情,例如拉取補(bǔ)丁、工具與部署等,在Docker中已經(jīng)不在需要,因?yàn)樗械牟僮鞫挤庋b在了命令行客戶端工具 docker 中。
客戶端和REST API都是與Docker服務(wù)端進(jìn)行交互,它是可以遠(yuǎn)程訪問(wèn)的一個(gè)標(biāo)準(zhǔn)可接入守護(hù)進(jìn)程,用來(lái)接收和處理所有的請(qǐng)求。這個(gè)守護(hù)進(jìn)程負(fù)責(zé)在Docker宿主機(jī)之上操控鏡像和容器,并已經(jīng)通過(guò)IANA官方確認(rèn),將端口綁定到tcp/2375和tcp/2376。
Docker最初基于LXC,但現(xiàn)在放棄了LXC,而使用Libcontainer。Libcontainer通過(guò)GO完全重寫(xiě)了用來(lái)抽象Linux內(nèi)核虛擬化機(jī)制的基礎(chǔ)庫(kù)和API。
Open Container Initiative的細(xì)節(jié)
隨著Docker的成功,引發(fā)了更多類似產(chǎn)品的出現(xiàn):CoreOS的 Rkt、亞馬遜的容器服務(wù)(Amazon Container Service)、Apcera的Kurma等等。這種分化發(fā)展不由讓人擔(dān)心容器技術(shù)領(lǐng)域的分裂,好在通過(guò)今年在舊金山舉辦的DockerCon15,這些組織已經(jīng)開(kāi)始共同努力,期望為容器創(chuàng)建統(tǒng)一的格式。這就是Open Container Initiative的由來(lái),它基于Linux基金會(huì),致力于為容器鏡像和容器的運(yùn)行制定標(biāo)準(zhǔn)化。通過(guò)Open Container規(guī)定格式創(chuàng)建的容器可以在不同的生態(tài)環(huán)境中共存。Open Container Initiative的成員包括了所有的容器參與者,例如亞馬遜(Amazon)、CoreOS、谷歌、Oracle等等,當(dāng)然也包括Docker。
Open Container的規(guī)格說(shuō)明書(shū)(github地址為https://github.com/opencontainers/specs)還在制定過(guò)程中,鼓勵(lì)所有的組織或者個(gè)人都可以參與其中。到目前為止依據(jù)不同平臺(tái)和內(nèi)容、工業(yè)級(jí)別交付流程以及自動(dòng)化最小需求,規(guī)格說(shuō)明書(shū)已經(jīng)定義了一些容器的統(tǒng)一接口和標(biāo)準(zhǔn)。支持Open Container的所有企業(yè)將完全依賴這些規(guī)格說(shuō)明書(shū)來(lái)制作容器。
同時(shí),開(kāi)發(fā)RunC運(yùn)行庫(kù)(github地址為https://github.com/opencontainers/runc)也是為了給各種容器提供統(tǒng)一運(yùn)行庫(kù)命令行工具的頂級(jí)封裝器(而不是使用專有的命令,例如Docker的 docker 或者Rocket的 rkt)。
微服務(wù)
隨著云計(jì)算的不斷發(fā)展該利用容器做什么?在云計(jì)算中我們能看到的的微服務(wù)的不斷發(fā)展。
在云上,整體的應(yīng)用程序開(kāi)發(fā)已經(jīng)是過(guò)去的事情了,新的范例稱為微服務(wù)體系結(jié)構(gòu)。利用微服務(wù),龐大的應(yīng)用程序可以根據(jù)其諸多的功能進(jìn)行解耦,分成多個(gè)微小且只有單一目的的服務(wù),這些服務(wù)之間通過(guò)規(guī)定的接口進(jìn)行通信,例如API。微服務(wù)被稱為云計(jì)算中的樂(lè)高積木玩具。
在許多方面,容器都是實(shí)現(xiàn)微服務(wù)的一種杰出的技術(shù):每一個(gè)容器化的微服務(wù)具有唯一的角色(數(shù)據(jù)庫(kù)、隊(duì)列、web服務(wù)器),然后使用容器編排工具(在許多容器開(kāi)發(fā)生態(tài)系統(tǒng)中是非常有用的)使所有的容器相互通信來(lái)組裝成整個(gè)應(yīng)用程序。
上述方式有很多好處:可組合性、更快的工作流、功能的分離、可維護(hù)性和可升級(jí)性。進(jìn)一步來(lái)講,對(duì)微服務(wù)框架進(jìn)行擴(kuò)容變得更加容易。在不影響系統(tǒng)其他功能的前提下,微服務(wù)能夠更加快速、更加容易地置換到更加高效的對(duì)等服務(wù)上,或者是當(dāng)遇到問(wèn)題時(shí)進(jìn)行回滾處理。多種不同的技術(shù)都可以用來(lái)分離微服務(wù),不同的團(tuán)隊(duì)可以根據(jù)自身手頭上的任務(wù)來(lái)選擇更加合適的技術(shù)。
一些大公司,像Amazon或者Netflix,在生產(chǎn)環(huán)境中已經(jīng)有了一些基于微服務(wù)的應(yīng)用程序。
因此,我們所具備的是借助容器技術(shù)能夠在云環(huán)境上實(shí)現(xiàn)一種完美的程序設(shè)計(jì)范式,即微服務(wù)。
總結(jié)
對(duì)于軟件程序和依賴關(guān)系來(lái)說(shuō),容器是一種輕量的可移植的工具。這么說(shuō)看起來(lái)有些繁瑣,但是容器真的改變了我們開(kāi)發(fā)、部署和運(yùn)行軟件程序的方式。
Docker的發(fā)展是令人驚訝的,容器與云基礎(chǔ)架構(gòu)的結(jié)合也受到越來(lái)越多的關(guān)注。事實(shí)上,OpenStack有三個(gè)工程的核心組件都和容器有著密切關(guān)系:Kolla使用容器化服務(wù)來(lái)部署OpenStack、Murano使用Kubernetes提供一種簡(jiǎn)單的方式來(lái)部署容器化應(yīng)用程序以及 Magnum為容器或者“容器即服務(wù)”提供了完整的編排系統(tǒng)。
在隨后的文章中,我們將會(huì)著重講述如何通過(guò)使用OpenStack或者其他一些環(huán)境來(lái)構(gòu)建你自己的容器化應(yīng)用程序。最后問(wèn)一句,你在使用容器嗎?你想要學(xué)習(xí)容器中的什么呢?