1.概述

Docker是一种优秀的开源的容器化平台。用于部署、运行应用程序，它通过将应用及其依赖打包成轻量级、可移植的容器，实现高效一致的运行效果，简单来说，Docker就是一种轻量级的虚拟技术。

2.核心概念

2.1.容器（Container）

容器是独立运行的进程单元，包含应用程序代码、运行时环境、系统工具和依赖库。

1.每个容器相互隔离，共享主机操作系统内核

2.启动速度快，资源占用低

2.2.镜像（Image）

镜像是容器启动的静态模板，包含创建容器所需的分层文件系统

1.通过Dockerfile定义构建步骤（例如指定基础镜像，安装依赖）

2.支持版本管理和共享（如Docker hub共享仓库）

2.3.仓库（Registry）

用于仓储和分发镜像的平台（如Docker Hub、私有仓库）

3.核心功能

3.1.容器化技术

• 应用隔离：将应用及其依赖打包到独立的容器中
• 环境一致性：保证开发、测试、生产环境的一致性
• 快速部署：秒级启动和停止容器

3.2.镜像管理

• 分层存储：镜像采用分层结构，共享基础层，节省存储空间
• 版本控制：支持镜像的版本管理和回滚
• 镜像仓库：Docker Hub等平台提供镜像共享和分发

3.3.资源管理

• 资源限制：可以限制容器的CPU、内存、磁盘IO等资源
• 网络管理：提供多种网络模式（bridge、host等）
• 存储管理：支持数据卷，绑定挂载等持久化存储方案

4.容器化&虚拟化

• Infrastructure：基础设施，可以是个人电脑、主机服务器
• Host Operating system：运行的主操作系统，例如windows、mac、Linux
• Hypervisor：虚拟机管理器，可以虚拟出多个硬件，然后再安装操作系统，再部署应用
• Guest OS：从操作系统，有Hypervisor虚拟出来
• BINS/LIBS：二进制文件（Binaries）/库文件（Libraries），例如应用程序相关的编译后的可以执行的二进制文件，提供给应用程序调用的同样功能的库文件
• Docker Daemon：Docker守护进程，代替了虚拟机的Hypervisor，docker守护进程本质是运行在主操作系统上的一个进程，直接与操作系统进行交互，这也是Docker 容器比较快的原因。

虽然虚拟机比较笨重但是也不是没有优势，可以讲服务器比作一个码头，拥有各种设备和场地（服务器硬件资源），服务器虚拟化类似在码头上有好多个仓库，仓库可以完全独立，每个仓库有各自的管理人员，Docker容器类似仓库里面的集装箱，每个集装箱各自独立，灵巧，方便迁移，但是隔离性比较差，多个集装箱统一由一个管理者进行管理，所有集装箱信息就暴露给一个管理人员，而仓库则可以有各自的用户，例如云服务提供者，通过虚拟出一个独立的虚拟机，有自己的用户，即租户管理自己的虚拟机。

# Docker 架构
+-------------------------------------------------------+
|                   Application A                       |
|                   Application B                       |
|                   Application C                       |
+-------------------------------------------------------+
|                 Docker Engine                         |
+-------------------------------------------------------+
|                 Host Operating System                 |
+-------------------------------------------------------+
|                 Physical Hardware                     |
+-------------------------------------------------------+# 虚拟机架构
+-----------+ +-----------+ +-----------+
|   App A   | |   App B   | |   App C   |
+-----------+ +-----------+ +-----------+
| Guest OS  | | Guest OS  | | Guest OS  |
+-----------+ +-----------+ +-----------+
|                Hypervisor                            |
+-------------------------------------------------------+
|                Host Operating System                 |
+-------------------------------------------------------+
|                Physical Hardware                     |
+-------------------------------------------------------+

4.1.详细对比

4.1.技术实现对比

5.Docker使用场景

使用Docker容器开发、测试、部署服务：因为Docker本身非常轻量化，所以本地开发人员可以构建、运行并分享Docker容器。容器可以在开发环境中创建，然后再提交到测试，最终进入生产环境。
创建隔离的运行环境：在很多企业应用中，同一服务的不同版本可能服务于不同的用户，那么使用Docker非常容易创建不同的生成环境来运行不同的服务。
搭建测试环境：由于Docker的轻量化，所以开发者很容易利用Docker在本地搭建测试环境，用来测试程序在不用系统下的兼容性；甚至搭建集群的部署测试。
构建多用户的平台即服务（PaaS）基础设施。
提供软件即服务（SaaS）应用程序。
高性能、超大规模的宿主机部署。

5.1.Docker组成

5.2.Docker 客户端 / 守护进程

Docker是C/S架构的程序：Docker客户端向Docker服务器端，也就是Docker的守护进程发出请求，守护进程处理完所有的请求工作并返回结果。Docker 客户端对服务器端的访问既可以是本地也可以通过远程来访问。

5.3.Docker Image 镜像

镜像是Docker容器的基石，容器基于镜像启动和运行。镜像就好比容器的源代码，保存了用于启动容器的各种条件。

Docker的镜像是一个层叠的只读文件系统，最低端是一个引导文件系统（即bootfs），第二层是root文件系统（即rootfs），它位于bootfs之上，可以是一种或多种操作系统，比如Ubuntu或者CentOS。在Docker中，root文件系统永远只能是只读状态，并且docker运用联合加载技术又会在root文件系统之上加载更多的只读文件系统，联合加载指的是一次加载多个文件系统，但是在外面看起来只能看到一个文件系统，联合加载会将各层文件系统叠加到一起，这样最终的文件系统会包含所有的底层文件和目录，docker将这样的文件系统称为镜像。

5.4.Docker Container 容器

容器是从镜像创建的运行实例。它可以被启动、开始、停止、删除。每个容器都是相互隔离的、保证安全的平台。可以把容器看做是一个简易版的 Linux 环境（包括root用户权限、进程空间、用户空间和网络空间等）和运行在其中的应用程序。

当一个容器启动时，Docker会在该镜像的最顶层加载一个读写文件系统，也就是一个可写的文件层，我们在Docker运行的程序，就是在这个层中进行执行的，当Docker第一次启动一个容器时，初始的读写层是空的，当文件系统发生变化时，这些变化都会应用到这一层上，比如像修改一个文件，该文件首先会从读写层下面的只读层复制到该读写层，该文件的只读版本依然存在，但是已经被读写层中的该文件副本所隐藏，这就是Docker的一个重要技术：写时复制（copy on write)。每个只读镜像层都是只读的，永远不会变化，当创建一个新容器时，Docker会构建出一个镜像栈，

5.5.Docker Registry 仓库

Registry仓库是集中存放Docker镜像文件的场所。人们有时候会把Repository仓库和Registry仓库混为一谈，并不严格区分。实际上，Registry仓库上往往存放着多个Repository仓库，每个Repository仓库中又包含了多个Docker镜像，每个Docker镜像有不同的标签（tag）。

Registry仓库分为公开仓库（Public）和私有仓库（Private）两种形式。最大的公开仓库是 Docker Hub，存放了数量庞大的镜像供用户下载。 国内的公开仓库包括 Docker Pool 等，可以提供大陆用户更稳定快速的访问。

6.Dockerfile

Dockerfile 是用于构建 Docker 镜像的文本文件，包含一系列指令。每个指令在镜像中创建一个新层，最终形成可运行的容器环境。

6.1.Dockerfile 是什么

•     文本文件： 纯文本文件，通常命名为 Dockerfile (首字母大写，无扩展名是惯例)。
•     指令集合： 包含一系列按顺序执行的指令 (INSTRUCTION arguments)。
•     构建蓝图： 描述了如何从基础组件（通常是基础镜像）一步步组装成一个新的、可运行的镜像。
•     自动化构建： 执行 docker build 命令时，Docker 引擎读取 Dockerfile 并执行其中的指令，最终生成一个镜像。
•     可重复性 & 版本控制： Dockerfile 本身可以被版本控制（如 Git），确保镜像构建过程透明、可审计、可重复。
  

6.2.Dockerfile 的核心组成部分

7.最佳实践

• 精简基础镜像： 使用 alpine、slim 等小型基础镜像减少攻击面和最终镜像大小。
• 合并 RUN 指令： 将多个 RUN 命令（特别是 apt-get update && install && clean）合并为一个，减少层数并清理包管理器缓存。
• 合理利用缓存： 将更改频率低的指令（如安装核心依赖）放前面，更改频率高的指令（如复制应用代码）放后面。
• 使用 .dockerignore 文件： 明确忽略构建上下文中的不必要文件。
• 优先使用 COPY 而非 ADD： 除非明确需要解压缩或从 URL 下载，否则用更简单直接的 COPY。
• 指定版本标签： FROM 和依赖安装时使用明确版本，避免因 latest 标签更新导致的意外行为。
• 减少镜像层数： 虽然层本身开销不大，但过多小层不利于管理，合并相关操作有益。
• 设置非 root 用户： 在 RUN 用户级步骤后使用 USER，避免容器以 root 权限运行应用，提高安全性。
• 使用多阶段构建： 分离构建环境和运行环境，大幅减小最终生产镜像体积（见示例）。
• 明确暴露端口： 使用 EXPOSE 声明容器监听的端口。
• 优先 exec 格式： 对 CMD 和 ENTRYPOINT 使用 JSON 数组格式 ["executable", "param1", "param2"] (exec 格式)，避免不必要的 shell 进程并确保信号正确处理。
• 添加元数据： 使用 LABEL 提供镜像信息。
• 设置工作目录： 用 WORKDIR 替代 RUN cd ... && ...，使用绝对路径。
• 考虑安全性： 定期更新基础镜像和依赖包修复漏洞；避免在 Dockerfile 或镜像中存储硬编码的机密信息，使用 ARG 或 secrets（在运行时通过环境变量或卷传入）。
• 包含健康检查： 对关键服务使用 HEALTHCHECK 帮助编排系统管理容器状态。