云原生的基石,一文读懂容器、Docker、Pod到底是什么!

2020年3月24日 489点热度 0人点赞 0条评论

图片

图片

作者 | Aholiab

责编 | Carol

出品 | CSDN(ID:CSDNnews)

封图|CSDN下载自视觉中国

云原生(Cloud Native),是2013年由Pivotal公司率先提出的概念。云原生以容器化、微服务、可持续交付性,帮助企业构建和运行可弹性扩展的应用。由于云原生应用构建简便快捷,部署轻松自如,运行按需伸缩等特点,近年来受到越来越多企业的欢迎。

容器是云原生概念的重要组成部分,作为一种计算单元,容器可以以更加轻量化、更小开销的方式来运行;而作为一种应用的包装形式,容器则赋予了应用独立和便携的能力。随着Docker、Kubernetes技术的成熟,容器也成为了时下最火的开发理念。 

根据Gartner的预计,2022年有75%的全球化企业将在生产中使用容器化的应用(当前约为30%)、50%的应用软件将容器化适应超融合环境(目前约为20%)。Docker和Kubernetes将从成为成为跨环境的新标准。因此,了解容器、Docker的基本概念,是玩转云原生开发的基础。 

为了帮助开发者了解容器的基本概念及应用场景,3月12日,京东云与AI云产品研发部专家架构师刘俊辉在CSDN在线公开课平台开启了《六周玩转云原生》系列技术公开课,在第一讲中,刘俊辉老师以《容器与Pod简介》为主题,从容器的构成、Docker的基本概念、容器的典型应用、Pod的基本概念、容器安全与京东智联云原生容器等方面,为开发者系统梳理了容器的相关知识。

同时,通过容器与Pod的「课后作业」,鼓励参会的同学在课后亲自动手,从而加深印象。参加课程的同学纷纷表示收获颇丰。那么,刘俊辉老师究竟分享了哪些干货?容器和Pod究竟是什么?让我们一起来回顾一下精华内容吧!

 

图片

容器是什么?

要给容器下一个准确的定义,是一件不容易的事情,因为每个人看待容器的视角有所不同。在刘俊辉看来,容器既是一种计算单元的提供方式;又是一种应用的包装形式。 

1、容器是一种计算单元

作为一种计算单元,容器与线程、进程、虚拟机、物理机一样(如下图所示)。在连续尺度上,越往左隔离性、安全性和开销越低,越往右则越高。而容器则恰恰是介于进程和虚拟机之间的一种计算单元。

图片
但并非所有的应用都适合选择容器,开发者可以根据自己应用的特点和需求选择最适合的计算单元。例如,你的应用是高性能、互信的,且处于同一个管理区域,那么用线程或者进程就可以满足;但如果你的应用是多租户的,并且和其他应用运行在同一个空间,那么你就需要考虑如何将这些应用安全地隔离开,使得数据不会被泄露或性能受到影响。那么这时,容器也许就是一个不错的选择了。

因为容器是一个「高度隔离的进程」,它在一般进程的隔离基础上又增加了新的隔离机制,这些隔离机制是使用Linux的内核提供的,它包括一些命名空间(Name Spaces)和CGroup。命名空间可以分为网络、存储和计算三大类。其中,最为重要的是网络命名空间。保证了容器的网络是独立于其他容器网络的。每个容器自己看到的文件系统和其他容器的是不共享的,每个容器只能看到自己的进程ID,而进程编号也是连续的。

而说到容器与虚拟机最大的区别,刘俊辉认为,相对于虚拟机,容器最大的特征是它没有自己独立的操作系统,而是共享其宿主机上的一个操作系统;而虚拟机则运行在「一台独立的服务器上」。因此,容器相比于虚拟机的成本会小,但隔离性却有所欠缺。

2、容器是一种应用的包装形式

有过应用开发经验的人都知道,应用并不是一个单一的可执行文件,一个稍微复杂一点的应用包括多个部分,包括:代码、可执行文件、配置依赖、外部依赖(动态链接库)等。

所以在应用发行包装的时候,需要考虑目标操作系统的版本、系统架构以及它所依赖的模块等因素否则应用安装时会改动系统的不同部分。

而容器作为一个应用的包装,它最大的特点就是实现了应用的独立和便携,容器本身包含了应用所有的依赖,这使得它可以再任意的基础设施上运行,不会因为系统版本、架构的问题,而导致各种意外。


图片 
Docker是什么?
 

简单来说,Docker可以看作是一个非常成功的容器管理平台。Docker最重要的部分就是它的运行管理环境(如下图所示)。

图片

正如上面所说,容器是一个计算单元,那么Docker的运行环境就是用来创建、管理和销毁这些计算单元的。在创建和管理这些计算单元的时候,需要用到计算单元的包装(也就是它的软件发行包),这些包装以容器镜像的方式存放在它的运行环境中,所有的容器计算单元都是通过这些镜像来创建的。

但镜像本身会有版本的发布、升级等需求,这就涉及到Docker的另一个重要组成部分DockerHub了。DockerHub有点像苹果的App Store,它是一个非常大的「容器市场」,所有常用的软件都可以在DockerHub上找到。

最后一个Docker的重要模块,就是用户界面和管理工具,它们用来向容器的运行环境发布命令或查看状态。只需要用一个Docker的命令加上一些参数,就可以实现创建、删除、查看容器的运行情况等操作。

接下来我们就来看看Docker的实际操作情况,我们会以运行一个Hello World的容器为例,讲讲Docker的使用情况。其实,只需要安装好Docker就可以尝试运行这个Hello World的容器了。

通过下面代码,我们来看看Docker做了些什么:

图片

首先我们看到Docker在本地要去找Hello World最新版本的镜像,它发现本地并没有这个镜像后去DockerHub上把这个镜像给下载了下来。然后,这个镜像就被运行了,之后Docker后台就创建了这样一个容器。

Docker的出现,让容器应用管理变得非常轻松,运行容器只需要一个命令就可以实现。而从DockerHub上下载镜像、创建各种各样的隔离环境、创建容器与外部的网络通信环境都可以由Docker来完成。可以说Docker可以管理容器的整个生命周期。

 

图片 

容器vs.虚拟机,伐木工的斧与锯

 

作为对容器的总结,我们可以把容器最大的特点归纳为轻量级和完全独立部署。这两大特点与云原生的弹性无限扩展和按需使用的定位十分吻合,也正因为如此,容器成为了云原生的基石。 

虽然容器和虚拟机都是计算单元,但从虚拟机到容器,并不能看做是一个简单的性能提升或架构的改变,而是一种应用理念的改变。 

举个例子,从前伐木工人看书的时候会用斧子,后来大家觉得用斧子太费力气,有个高人就介绍了另一个砍树的工具「锯子」。但如果伐木工人拿着锯子去砍树的话,会发现还没有斧子好用。但事实是,斧子和锯子是两种使用的理念。

而说回容器和虚拟机理念的不同,我们可以通过下面的图表来进一步感受。

图片

容器的典型应用可以分为两类,一类是微服务,一类是DevOps。

微服务是指系统的不同单元或功能运行不同的容器,每一个服务的容器数量可以根据自己的负载进行调整。比如,一个大系统包含用户登录、货品展示、货品交互等功能,但这个系统的各个部分并不是同时线性增加的,有些部分可能忙一些,有些部分的容量可能还有富余。 

图片
DevOps是指开发者、测试、生产过程流水线化。因为容器的「自包含」特性,当它作为标准的流通物品,可以使开发环境、测试环境和生产环境的应用包装完全一致,这样就减少了应用由于依赖关系配置错误等导致的意外,从而使得开发、测试、生产的整个流水线变得更高效。
图片 

图片

Pod,一种增强型容器

 

Pod是一种组合的多容器运行单元,也是Kubernetes里的一个基础单元。你可以把它看作是一种容器的扩展或者增强型的容器。Pod里面包括一个主容器和数个辅助容器,它们共同完成一个特定的功能。把多个进程(容器也是一种隔离的进程)打包在一个Name Space里的时候,就构成了一个Pod。Pod里面不同进程的应用包装仍然是独立的(每个容器都会有自己的镜像)。 

Pod的意义在于,它可以既保持主容器和辅助容器的的密切关系,又保持主容器的独立性。由于主容器和辅助容器的生命周期相同,可以同时被创建和销毁,因此把它们放在一个Pod中,可以使他们的交互更加高效。 

而另一方面,主容器需要完成一些主要的工作,而另一些工作可能是有共性的,就可以单独打包由辅助容器来运行。 

非常推荐大家去一个叫Katacoda的网站,它上面有大量免费的在线实验,包括Docker及Docker Image等动手操作项目,而且现在是完全免费的。大家不妨去这里动手实操起来。

图片

京东智联云原生容器,安全为王

 

最后,刘俊辉老师就京东智联云原生容器做了相关的介绍。在介绍之前,他先着重讲解了安全性对于容器产品的重要性。

当一个容器平台运行多个租户应用的时候,很容易发生「侧向攻击」,即进程利用系统的漏洞来进行权限提升,例如把自己的权限升级成管理员,从而获得对系统上运行的其他进程或容器的操作权限。目前这类漏洞通常会导致恶意的使用计算资源用来「挖矿」。

针对这一问题,目前有两种解决方案,一种是「限制系统调用」;一种是「独立内核」。

限制系统调用,指的是通过限制应用的系统调用,来降低应用的能力,从而避免对其他应用的危害。目前,Google的Givsor和IBM的Nabla都是采用的这种做法。如下图所示,原来一个应用会访问到所有的系统调用,但在Nabla的模式下,应用只会访问必要的系统调用,其他调用则都被屏蔽了。

图片
但这种方法的弊端在于,它需要你在一开始就要给应用开放「恰到好处」的权限,如果一不小心没有开放足够的权限,那应用就可能会崩溃。
独立内核则参考了虚拟机的解决方案,它是指在容器中增加一个新的内核,这个内核是轻量化的,包括「微内核」和Unikernel两种实现方式。Unikernel和应用是编译在一起的,它们之间可以直接通过函数调用,而不需要系统调用。 
这一方案的好处在于,容器本质上只是跟自己的内核打交道,而内核则是跟宿主机打交道,内核与宿主机的交互只需要一些通用的指令即可,不涉及到直接调用到危害系统的指令。目前Kata Container和京东智联云原生容器,就是采用的这种方式。 
这种方式的好处在于,微内核作为一个最小化的操作系统,可以满足所有系统的调用,同时去除一些不必要的系统操作部分;它的系统启动时间非常短,可以达到秒级,同时开销比虚拟机要小。
除了安全性之外,京东智联云原生容器还有许多其他的优势,总结起来包括以下几个方面:
-   兼具虚机的安全性和容器的灵活性;
-   采用独立微内核,提供与虚机相同级别的安全保证;
-   使用标准Docker镜像直接启动,无需安装配置宿主机;
-   具有与虚机能力相同的计算、网络、存储能力;
-   支持容器和Pod,支持Kubernetes集群。
通过本次学习,开发者和对云原生感兴趣的人对容器的基本概念有了全面的了解,在老师分享环节之后,有不少学员都通过提问的方式与老师进一步交流,刘俊辉老师也就大家常见的疑问进行了耐心的解答。 
值得留意的是,京东智联云还为本次课程设置了「课后作业」环节,作业包括两个部分:
  1. 使用京东智联云上的云主机,安装Docker运行环境,了解Docker运行、管理容器的基本操作,使用Linux系统工具,探索容器和Pod的基本结构;
  2. 使用京东智联云直接创建原生容器,通过京东智联云控制台对容器进行基本操作。了解、体验原生容器与Docker容器的异同。通过课后练习进一步夯实对容器和Pod的理解,同时完成作业并提交的同学,都可以获得精美的小礼品。 
在这样一顿操作之后,很多参加课程的小伙伴都纷纷表示这次课程简直是「帮助小白走近了容器世界的大门」,并对下次课程充满期待!
这里提醒大家一下,《六周玩转云原生》的第二期课程将在3月24日晚上8点进行,在了解了容器的基本概念之后,第二次课程将以大家普遍关心的Kubernetes为主题,对Kubernetes的基本概念和构成进行全面讲解,也会延续第一期干货满满的画风。小伙伴们千万不要错过!(点击文末「阅读原文」即可报名)想要了解更多云原生的技术干货,请关注京东智联云开发者微信公众号。 

图片

长按二维码,关注「京东智联云开发者」
云原生的时代已来,而你,也将成为这个新时代的构建者之一!
马上点击「阅读原文」,即可报名《六周玩转云原生》第二讲:走近kubernetes,从概念到基础应用!

61150云原生的基石,一文读懂容器、Docker、Pod到底是什么!

这个人很懒,什么都没留下

文章评论