Linux 容器早在 2008 年就已出現，但是直到 2013 年 Docker 容器問世，它才廣為人知。隨著 Docker 容器的到來，越來越多的人開始開發和部署容器化應用。然而，隨著容器化應用數量的不斷增長（有時要在多臺服務器上部署數百個容器），容器操作變得越來越復雜。如何協調、擴展、管理和調度數以百計的容器？Kubernetes 可助一臂之力。Kubernetes 是一個開源編排系統，讓您可以運行 Docker 容器和工作負載。當您需要擴展跨多臺服務器部署的多個容器時，它可以為您降低操作復雜性。使用 Kubernetes 引擎，您可以自動化編排容器生命周期，將應用容器分布在整個托管式基礎設施中。最后，Kubernetes 還可以快速按需擴展或收縮資源，持續供應、調度、刪除和監視容器的運行狀況。

Docker 的核心概念是映像和容器。其中，Docker 映像包含運行軟件所需的一切要素：代碼、運行時（例如 Java 虛擬機 (JVM)、驅動程序、工具、腳本、庫和部署等）。

Docker 容器則是 Docker 映像的運行實例。但與基于類型 1 或類型 2 虛擬機管理程序的傳統虛擬化不同，Docker 容器在主機操作系統的內核上運行。最后，Docker 映像中沒有單獨的操作系統（參見圖 1）。

隔離與虛擬化對比

每一個 Docker 容器都擁有自己的文件系統、網絡體系（因此也擁有自己的 IP 地址）、進程空間以及面向 CPU 和內存定義的資源限制。同時，它不需要引導操作系統，可以即時啟動。簡而言之，Docker 的宗旨是隔離，即隔離主機操作系統的資源，虛擬化則是在主機操作系統上提供訪客操作系統。

增量文件系統

Docker 映像的文件系統采用分層結構，具有寫時復制語義。這不僅有助于繼承和重用以及節約磁盤資源，還支持增量式映像下載。

如圖 2 所示，具有 WebLogic 部署的 Docker 映像基于具有 Oracle WebLogic Server 域的映像運行，該映像之下依次是 WebLogic 映像、Java Development Kit (JDK) 映像和 Oracle Linux 基礎映像。

Docker Registry

Docker 映像易于構建，其簡單性和可移植性深受開發人員喜愛。然而，管理數千個 Docker 映像是一項極具挑戰的任務。Docker Registry 可以解決這一問題。Registry 是一種存儲和分發 Docker 映像的標準方法，是一個獲得了寬松式 Apache 許可的開源存儲庫。

Docker Registry 還可以優化其存儲庫中存儲的 Docker 映像的訪問控制和安全性。它可以管理映像分發，還可以與應用開發工作流集成。在實際應用中，開發人員可以構建自己的 Docker Registry，也可以使用托管式 Docker Registry 服務，例如 Docker Hub、Oracle Container Registry 和 Azure Container Registry 等。

Docker Hub 就是 Docker 托管的一個注冊表，它存儲了來自軟件供應商、開源項目和社區的 100000 多個容器映像，還包含了許多來自 NGINX、Logstash、Apache HTTP、Grafana、MySQL、Ubuntu 和 Oracle Linux 等官方存儲庫的軟件和應用。

當啟動容器時，如果本地映像不可用，Docker 就會默認自動從公共 Docker Hub 中拉取相應的映像。當然，您也可以創建自己的映像并將映像推送到 Docker Hub 的公共或私有存儲庫中。

Docker 即微服務運行時

如今，將單體應用分割為較小的微服務塊這一理念已引起了軟件開發人員的廣泛關注。

微服務作為進程獨立部署，使用輕量級協議相互通信，且每一項服務都擁有自己的數據。由于采用非集中式治理方法，微服務的實現離不開高水平的基礎設施自動化、自動化測試、全自動 CD 管道以及熟練、敏捷的 DevOps 團隊。

對于微服務這種架構，盡管目前仍有許多不同聲音，但有一個共識，那就是在被分解為微服務后，應用無法以一組進程的形式運行。微服務的實現需要滿足眾多條件，例如它需要獨立于主機，在操作系統層面進行隔離，需要在其資源限制內運行，必須支持按需伸縮，必須能在發生故障后重新啟動，必須通過軟件定義網絡層連接至其他微服務。

在 Docker 容器中運行微服務可為實現這些目標奠定一個良好的基礎。

Docker 在兩個維度上改變了軟件的構建、交付和運行方式：

• 更可靠地將應用從開發環境移動到生產環境。

• 通過標準映像格式將軟件從本地遷移至云端。

以下是關于這兩個維度的詳細介紹。

包含所有依賴關系的 Docker 映像可解決“開發環境下正常但生產環境下出錯”的問題，其關鍵在于構建管道可以自動基于源代碼庫（如 Git）創建 Docker 映像，在開發環境下進行初步測試，然后在 Docker 注冊表中存儲該不可變映像。

如圖 4 所示，您可以使用同一映像進行進一步的負載測試、集成測試、驗收測試等。換言之，您在每一個環境下使用的都是同一個映像。而對于細微但必要的環境特定差異（例如生產數據庫的 JDBC URL），您可以將其作為環境變量或文件納入到容器中。

有統計數據顯示，當前 65％ 的 Docker 使用場景都位于開發環境中，而 48％ 的使用場景都使用 Docker 進行持續集成。

Docker Cloud

Docker 改變了公有云技術的采用方式。一方面，Docker 映像這種前所未有的通用軟件包格式可以在本地環境和所有主流的云技術提供商環境下運行。例如，Docker 容器可以像在 Oracle Cloud 上一樣在筆記本電腦上運行。

另一方面，Docker 容器可以在所有主流的公有云上運行，這消除了長期以來關于公有云技術的一個偏見，即供應商依賴。如今，所有主流的云技術提供商均可提供 Docker as PaaS 服務。

Docker 的發布節奏比傳統企業軟件快得多，這種快節奏以及 Docker 項目的新穎性有時甚至引起了人們對 Docker 安全性和穩定性的擔憂。

事實上，盡管 Docker 及其命令行、Docker daemon、API 以及 Docker Swarm、Docker Machine 和 Docker Compose 等工具快速發展只是近三年的事情，近十年來每一個 Linux 內核中都能看到 Docker 的底層內核特性。

Google 就是一個典型的容器技術早期采用者。早在 Docker 出現之前，Google 就一直在使用 Linux 容器，甚至在容器中運行所有一切。據估計，Google 每周推出數十億個容器。

Cgroup 和命名空間的歷史

Docker 使用的底層 Linux 內核特性包括 Cgroup 和命名空間。2008 年，在 Google 開發人員以往工作的基礎上，Linux 內核引入了 Cgroup ¹。Cgroup 可以限制并說明一組操作系統進程的資源用量。

命名空間則可隔離各個進程之間的系統資源。2002 年，Linux 引入了第一個命名空間（即 mount 命名空間）。²