开篇导读
还记得你第一次接触 Docker 的感觉吗?是不是觉得它"跑起来比虚拟机快多了","一条命令就能部署服务"?但你是否真正搞清楚:
- Docker 和传统虚拟机到底有什么本质区别?
- 容器和镜像有什么不同?
- Docker 的整体架构是怎么协同工作的?
- 我们日常用的命令到底背后发生了什么?
本文将用清晰的结构和图示,带你理解 Docker 最核心的技术概念和架构原理,为后续深入 Kubernetes 打好基础。
一、Docker 是什么?为什么它重要?
Docker 是一种容器化技术,用于构建、打包、分发和运行应用。
核心价值:
- ✅ 快速交付:一条命令就能启动服务
- ✅ 一致环境:开发、测试、生产完全一致
- ✅ 节省资源:多个容器共享同一内核,比虚拟机轻得多
- ✅ 易于扩展:容器天然适合微服务架构
Docker 并不是第一个容器技术,但它将容器做成了"开发者友好"的工具(来自 Solomon Hykes,Docker 创始人)
二、镜像 vs 容器:常被混淆的两个核心概念
| 概念 | 类比 | 作用 |
|---|---|---|
| 镜像 | 软件安装包 | 包含应用及其运行环境 |
| 容器 | 软件实例 | 镜像的运行态 |
简单说:
- 镜像(Image) 是只读的模板
- 容器(Container) 是基于镜像创建的可运行实例
运行流程:
bash
docker run nginx
↓
拉取 nginx 镜像(如不存在)
↓
创建容器 → 启动进程提示:容器删除后,数据也会一起销毁(除非挂载数据卷)
三、Docker 架构组成:三个核心组件
一张图理解 Docker 架构:
bash
+-------------------+
| Docker Client | ← 命令行、API
+-------------------+
↓
+-------------------+
| Docker Daemon | ← 负责核心逻辑:镜像、容器管理
+-------------------+
↓
+-------------------+
| Container Runtime | ← runC / containerd,负责真正运行容器
+-------------------+1. Docker Client(客户端)
开发者常用的命令行工具:
bash
docker run
docker build
docker exec通过 REST API 与 Docker Daemon 通信。
2. Docker Daemon(守护进程)
真正执行容器创建、启动、构建镜像等操作,监听端口 /var/run/docker.sock。
它负责:
- 管理容器生命周期
- 管理镜像和网络
- 调用底层容器运行时(runC)
3. Container Runtime(运行时)
底层的容器引擎,Docker 默认使用 containerd(内部调用 runC),符合 OCI 容器规范。
四、Docker 镜像分层结构:为什么拉镜像这么快?
Docker 镜像采用 联合文件系统(UnionFS) 叠加构建,每一层都是前一层的只读快照。
构建示意:
bash
FROM python:3.9 ← 第1层:基础镜像
COPY . /app ← 第2层:复制代码
RUN pip install -r... ← 第3层:安装依赖每层都有唯一 Layer ID,Docker 会缓存这些层,实现高效构建与复用。
镜像存储:默认存储在 /var/lib/docker/overlay2 下
五、Docker 仓库:镜像的发布与下载中心
默认仓库:
- Docker Hub(hub.docker.com)
私有仓库:
- Harbor(企业级)
- Registry(官方轻量版)
镜像名结构:
bash
[registry]/[namespace]/[repo]:[tag]
例如:
mycompany.com/devops/nginx:v1通过 docker push 上传,docker pull 拉取
六、运行容器到底做了什么?一条命令全解剖
bash
docker run -d -p 80:80 nginx执行过程:
- 查找本地镜像 nginx(无则从远端拉取)
- 基于镜像创建只读层 + 可写层
- 设置网络、挂载 volume(可选)
- 启动容器内的默认命令(nginx)
容器默认运行在隔离的命名空间中(namespace):
| 隔离类型 | 含义 |
|---|---|
| PID | 进程隔离 |
| NET | 网络设备隔离 |
| MNT | 文件系统隔离 |
| UTS | 主机名、域名隔离 |
| IPC | 进程间通信隔离 |
这些隔离能力由 Linux 内核提供,Docker 只是封装为易用工具。
七、Docker vs 虚拟机:对比更清晰
| 对比项 | 容器(Docker) | 虚拟机(VM) |
|---|---|---|
| 启动速度 | 秒级 | 分钟级 |
| 资源占用 | 轻量,共享内核 | 重,多内核/系统冗余 |
| 系统隔离 | 共享主机内核 | 完全独立系统 |
| 运维难度 | 容器命令统一,简单 | 系统复杂,多种依赖 |
| 用途 | 微服务、CI/CD、测试环境 | 数据库、单体系统等 |
Docker 更适合弹性扩缩、快速部署的微服务场景。
✅ 总结
这一讲,我们完整梳理了 Docker 的基本知识体系:
- 容器 ≠ 镜像,镜像是模板,容器是实例
- Docker 架构分三层:Client、Daemon、Runtime
- 镜像由多层构成,可复用、易分发
- Docker 用 Linux 内核提供的 namespace 和 cgroup 实现轻量隔离