docker

基本架构

Docker 目前采用了标准的 C/S 架构,包括客户端服务端两大核心组件,同时通过镜像仓库来存储镜像。客户端和服务端既可以运行在一个机器上,也可通过 socket 或者 RESTful API 来进行通信。

服务端

服务端主要包括四个组件:

  • dockerd为客户端提供 RESTful API,响应来自客户端的请求,采用模块化的架构,通过专门的 Engine 模块来分发管理各个来自客户端的任务。

  • docker-proxy:是 dockerd 的子进程,当需要进行容器端口映射时,docker-proxy 完成网络映射配置。

  • containerd:是 dockerd 的子进程,提供 gRPC 接口响应来自 dockerd 的请求,对下管理 runC 镜像和容器环境。

  • containerd-shim:是 containerd 的子进程,为 runC 容器提供支持,同时作为容器内进程的根进程。

runC 是从 Docker 公司开源的 libcontainer 项目演化而来的,目前作为一种具体的开放容器标准实现加入 Open Containers Initiative(OCI)

runC 已经支持了 Linux 系统中容器相关技术栈,同时正在实现对其他操作系统的兼容。用户可以通过使用 docker -runc 命令来直接使用 OCI 规范的容器。

dockerd 默认监听本地的 unix:///var/run/docker.sock 套接字,只允许本地的 root 用户或 docker 用户组成员访问

可以通过 -H 选项来修改监听的方式。例如,让 dockerd 监听本地的 TCP 连接 1234 端口:

$ sudo dockerd -H 127.0.0.1:1234

docker-proxy 只有当启动容器并且使用端口映射时候才会执行,负责配置容器的端口映射规则。

客户端

Docker 客户端为用户提供一系列可执行命令,使用这些命令可实现与 Docker 服务端交互。

客户端默认通过本地的 unix:///var/run/docker.sock 套接字向服务端发送命令。如果服务端没有监听在默认的地址,则需要客户端在执行命令的时候显式地指定服务端地址。例如,假定服务端监听在本地的 TCP 连接 1234 端口为 tcp://127.0.0.1:1234,只有通过 -H 参数指定了正确的地址信息才能连接到服务端:

$ docker -H 127.0.0.1:1234 info
Client: Docker Engine - Community
 Version:    24.0.6
 Context:    default
 Debug Mode: false
 Plugins:
  buildx: Docker Buildx (Docker Inc.)
    Version:  v0.11.2
    Path:     /usr/libexec/docker/cli-plugins/docker-buildx
  compose: Docker Compose (Docker Inc.)
    Version:  v2.21.0
    Path:     /usr/libexec/docker/cli-plugins/docker-compose

Server:
 Containers: 3
  Running: 0
  Paused: 0
  Stopped: 3
 Images: 9
 Server Version: 24.0.6
 Storage Driver: overlay2
  Backing Filesystem: xfs
  Supports d_type: true
  Using metacopy: false
  Native Overlay Diff: true
  userxattr: false
 Logging Driver: json-file
 Cgroup Driver: cgroupfs
 Cgroup Version: 1
 Plugins:
  Volume: local
  Network: bridge host ipvlan macvlan null overlay
  Log: awslogs fluentd gcplogs gelf journald json-file local logentries splunk syslog
 Swarm: inactive
 Runtimes: io.containerd.runc.v2 runc
 Default Runtime: runc
 Init Binary: docker-init
 containerd version: 61f9fd88f79f081d64d6fa3bb1a0dc71ec870523
 runc version: v1.1.9-0-gccaecfc
 init version: de40ad0
 Security Options:
  seccomp
   Profile: builtin
 Kernel Version: 3.10.0-1160.el7.x86_64
 Operating System: CentOS Linux 7 (Core)
 OSType: linux
 Architecture: x86_64
 CPUs: 8
 Total Memory: 7.62GiB
 Name: k8s
 ID: f9c378bf-5ed2-41d5-89bc-d58b2cae6a36
 Docker Root Dir: /var/lib/docker
 Debug Mode: false
 Experimental: false
 Insecure Registries:
  192.168.10.110:5000
  127.0.0.0/8
 Registry Mirrors:
  https://v486v7xx.mirror.aliyuncs.com/
 Live Restore Enabled: false

WARNING: API is accessible on http://127.0.0.1:1234 without encryption.
         Access to the remote API is equivalent to root access on the host. Refer
         to the 'Docker daemon attack surface' section in the documentation for
         more information: https://docs.docker.com/go/attack-surface/

镜像仓库

Docker 使用镜像仓库(Registry)在大规模场景下存储和分发 Docker 镜像。镜像仓库提供了对不同存储后端的支持,存放镜像文件,并且支持 RESTful API,接收来自 dockerd 的命令,包括拉取上传镜像等。

PreviousDocker 引擎Next联合文件系统

Last updated