关于lxcdocker的信息

本篇文章给大家谈谈lxcdocker，以及对应的知识点，希望对各位有所帮助，不要忘了收藏本站喔。

本文目录一览：

• 1、如何理解LXC与Docker之间的主要区别
• 2、如何在ubuntu 32位安装docker
• 3、Proxmox VE LXC容器上运行Docker
• 4、docker容器需要二次虚拟化
• 5、什么是 docker 容器技术
• 6、Docker的底层原理实现（二十）

如何理解LXC与Docker之间的主要区别

Docker不是lxc的一个替代方案。“lxc”是指linux内核（尤指命名空间以及Cgroup）的一个特性，它允许其他一些沙盒进程运行在一块相对独立的空间，并且能够方便的控制他们的资源调度。而基于底层的内核特性的基础上，Docker在上层构建了一个更高层次的具备多个强大功能的工具集：可移植的跨机器部署。Docker定义了一个将应用打包的规范，而它的所有依赖都被封装到了一个简单对象里，它可以被传输到任意一台能运行Docker的机器，并且在这里启动Docker的实例之后，它能够确保承载应用的执行环境将会与之前所定义的完全一致。Lxc实现了进程级的沙盒封装，它是可移植部署的一个重要前提，但是要想实现可移植部署，仅仅是这样可还不够。如果你发送给我一份安装到一个自定义LXC配置下的应用副本，那么几乎可以肯定的是，它在我的机器上运行的结果不会跟你的完全一样，因为它绑定了你机器的一些特殊配置：网络，存储，日志，Linux发行版本等等。Docker为这些机器的特定配置定义了一个抽象层，所以它使得这些相同的Docker容器能够一成不变的运行在多个不同的主机上，甚至带上各种不同的配置。以应用为中心。相对于机器而言，Docker被用于优化应用的部署过程。这可以从它的API，UI，设计理念还有文档里得到体现。反之，lxc的辅助脚本专注在把容器作为一个轻量级的机器使用——基本上就是一堆启动更快并且内存需求更小的服务器。我们认为容器技术的内容远远不止这些。自动构建。Docker为开发人员引入了一个可以用来把他们的源代码自动打包到容器里的工具，并且他们能够对于应用的依赖，构建工具，打包服务等有着完全的自主掌控能力。他们能够自由的使用make，maven，chef，puppet，salt，debian包，rpm包，源码包，或者任意以上的结合，而无需关心机器本身的配置。版本化。Docker引入了一个类似git的特性来完成一个容器的连续行物版本追踪，版本之间的差异diff，新的版本的型槐提交，回滚等。历史记录信息里也包含了容器的用户信息以及他是如何构建它的，因此生产环境的服务器你都有充足的手段去一步步的定位到最上游的开发人员。Docker也实现了一个增量上传和下载功能，类似于gitpull，所以更换到新版本的容器只需要传输增量部分就行。组件的重用。任意容器都能用作“基础镜像”来创建更特定的组件。这可以手工完成也可以做成自动构建的一部分。例如，你可以准备一个理想的python环境，并且把它用作10个不同的应用的基础镜像。你所定义的标准postgresql设置可以被将来你手上的所有项目重用。诸如此类。共享。Docker有权访问一个公共的注册中心（/）而这里有数以千计的业界人士上档租液传各种各样有价值的容器：任一从redis，couchdb，postgres到ircbouncers再到rails应用服务器，Hadoop甚至是多个发行版本的基础镜像。该注册中心也包含了一个官方的“标准库”，这里提供了一些由Docker官方团队维护的实用容器。注册中心本身也是开源的，所以任何人都能部署他们自己的私有注册中心来存储和下发私有容器，例如用于内网服务器的部署。工具生态圈。Docker定义了一个API来自动化和个性化的创建和部署容器。也因此催生了众多的工具集成到Docker，为之提供一些扩展特性。类PaaS的部署（Dokku，Deis，Flynn），多节点编排（maestro,salt,mesos,openstacknova），管理看板（docker-ui,openstackhorizon,shipyard），配置管理（chef,puppet)，持续集成（jenkins,strider,travis）等等。Docker正在迅速的建立以它本身为标准的基于容器的工具生态圈。

如何在ubuntu 32位安装docker

1、更新Ubuntu内核

使用如下命令行更新内核至3.8.0-25

sudo apt-get install linux-image-3.8.0-25-generic

sudo apt-get install linux-headers-3.8.0-25-generic

完成后重启电脑，通过命令 “uname -r” 来查看内核是否成功更新。

2、安装lxc-docker

root@ubuntu: sudo apt-get install software-properties-common #增加 add-apt-repository 命令

root@ubuntu: sudo apt-get install python-software-properties

root@ubuntu: sudo add-apt-repository ppa:dotcloud/lxc-docker #增加一个ppa源，如：ppa:user/ppa-name

root@ubuntu: sudo apt-get update #更新系统

root@ubuntu: sudo apt-get install lxc-docker

3、测试doctor是否碧缺安装成功

root@ubuntu:~# docker #出现如下信息表示docker安装成功

Usage: docker [OPTIONS] COMMAND [arg...]

-H=[tcp://127.0.0.1:4243]: tcp://host:port to bind/connect to or unix://path/to/socket touse

A self-sufficient runtime for linux containers.

...

4、Hello World

4.1、下载官方ubuntu image

linjiqin@ubuntu:~$ sudo docker pull ubuntu #pull命令需要到国外的镜像仓库，拉取镜像，因为GFW的关系，拉取失败的可能性很大

4.2、运行hello world

linjiqin@ubuntu:~$ sudo docker run ubuntu /bin/echo hello world

5、docker常用命令

5.1、docker三种命令运行模式

docker有三种命令运行的方式：短暂方式、交互方式、daemon方式。

a、短暂方式：就是刚刚的那个”hello world”，命令执行完后，container就终止燃州了，不过并没有消失，可以用 sudo docker ps -a 看一下所有的container，第一个就是刚刚执行过的container，可以再次执行一遍：

linjiqin@ubuntu:~$ sudo docker start container_id

不过这次看不到”hello world”了，只能看到ID，用logs命令才能看得到：

linjiqin@ubuntu:~$ sudo docker logs container_id

可以看到两个”hello world”，因为这个container运行了两次。

b、交互方式

linjiqin@ubuntu:~$ sudo docker run -i -t image_name /bin/bash #image_name为docker镜像名称

c、daemon方式

即让软件作为长时间服务运行，这就是SAAS啊！

例如，悔段辩一个无限循环打印的脚本(替换为memcached、apache等，操作方法仍然不变！)：

linjiqin@ubuntu:~$ CONTAINER_ID=$(sudo docker run -d ubuntu /bin/sh -c "while true; do echo hello world; sleep 1; done")

在container外面查看它的输出

linjiqin@ubuntu:~$ sudo docker logs $CONTAINER_ID

或者连接上容器实时查看

linjiqin@ubuntu:~$ sudo docker attach $CONTAINER_ID

终止容器

linjiqin@ubuntu:~$ sudo docker stop $CONTAINER_ID

linjiqin@ubuntu:~$ sudo docker ps #看一下，已经没了

5.2、docker ps命令

linjiqin@ubuntu:~$ sudo docker ps #列出当前所有正在运行的container

linjiqin@ubuntu:~$ sudo docker ps -l #列出最近一次启动的，且正在运行的container

linjiqin@ubuntu:~$ sudo docker ps -a #列出所有的container

注意：

a、其他用法请参考 sudo docker ps -h

b、还有一种方式可以让程序在daemon模式下运行，就是在Dockerfile里设置USER为daemon

5.3、docker export命令

linjiqin@ubuntu:~$ container_id=`docker run -d image_name ls`

linjiqin@ubuntu:~$ docker export $container_id image.tgz

5.4、docker import命令

linjiqin@ubuntu:~$ cat image.tgz | sudo docker import - simple_dev #simple_dev为自定义的镜像名称

5.5、docker port命令

linjiqin@ubuntu:~$ docker run -p 80:8080 image cmd #映射容器的8080端口到宿主机的80端口

5.6、删除容器

5.6.1、删除所有容器

linjiqin@ubuntu:~$ sudo docker rm `sudo docker ps -a -q`

5.6.1、删除具体某个容器

linjiqin@ubuntu:~$ sudo docker rm $CONTAINER_ID

5.7、docker命令快速参考

linjiqin@ubuntu:~$ sudo docker images #查看本地镜像

linjiqin@ubuntu:~$ sudo docker attach $CONTAINER_ID #启动一个已存在的docker实例

linjiqin@ubuntu:~$ sudo docker stop $CONTAINER_ID #停止docker实例

linjiqin@ubuntu:~$ sudo docker logs $CONTAINER_ID #查看docker实例运行日志，确保正常运行

linjiqin@ubuntu:~$ sudo docker inspect $CONTAINER_ID #查看container的实例属性，比如ip等等

sudo docker run -t -i -v /home/linjiqin/dev/docker:/home/mycontainer:rw -p 8000:8000 mydocker /bin/bash

写在前面，运行我们的镜像的命令使用上面的为参考，这样会挂载本地文件夹，并且会映射container的8000端口到宿主机的8000端口

/home/linjiqin/dev/docker为要挂载的本地文件夹，需提前创建

/home/mycontainer为docker映射路径，执行上面命令会帮我们创建

[img]

Proxmox VE LXC容器上运行Docker

PVE虚拟出来的vm系统的cpu,默认不支持vmx，即不支持嵌套虚拟化，在 虚拟机 中使用命令来验证：

检查pve系统是否开启nested，运行命令：

检查结果未开启，必须关闭所有的虚拟机系统，否则不能开启内核支持。

如果报错Module kvm_intel is in use，请检查你的虚拟机是否全部关闭。

这样洞逗系统重启会自动加载netsted，支持嵌套虚拟了。

这边我以 ubuntun 18.04 版做测试，在 Proxmox VE先建立一个 ubuntu 18.04 的 LXC，纳巧卖注意这个 LXC 必须是 unprivileged 模式，如下图

安装好 LXC 之后先不要急着启动，接下来必须设定这个 LXC ，如下图，Options = Features = 勾选 keyctl 及 nesting。

接着就可以启动这个 LXC，然后就进入 console 准备安装 docker-ce 了。

安宽纯装下面步骤安装即可

这是估计docker已经安装成功了，尽情使用吧！

docker容器需要二次虚拟化

一、什么是容器

容器是一种基础工具，泛指任何可以用于容纳其他物品的工具，可以部分或完全封闭，被用于容纳、储存、运输物品；物体可以被放置在容器中，而容器可以保护内容物；

人类使用容器的历史至少有十万年。

二、虚拟化的实现

1、主机级虚拟化

此实现是在宿主机上安装虚拟机管理软件，而后虚拟出N个完整的系统，每一个系统都有自己的内核。有两种类型的实现

1.1、Type-I类型（在宿主机上直接安装Virtual machine Manager，不需要在宿主机上安装操作系统）

xen、ESX/ESXI

1.2、Type-II类型（需要基于宿主机的操作系统之上安装Virtual Machine Manager）

VMware Workstation、kvm、VirtualBox

2、容器级别虚拟化

此实现不在为每一个虚拟机创建单独的内核，而是通过在宿主机的内核上将6种资源通过内核机制（namespaces）隔离出来，每一个namespace是一个单独的容器（虚拟机）

至今位置，整个linux领域的容器技术，就是靠内核级的6个namespaces、chroot和Cgroups共同实现

2.1、Linux Namespaces

namespace 系统调用参数 隔离内容 内核版本

UTS CLONE_NEWUTS 主机名和域名 2.6.19

IPC

CLONE_NEWIPC 信号量、消息队列和共享内存 2.6.19

PID CLONE_NEWPID 进程编号 2.6.24

Network CLONE_NEWNET 网络设备、网络栈、端口等 2.6.29

Mount CLONE_NEWNS 挂载点，文件系统 2.4.19

User CLONE_NEWUSER 用户和用户组 3.8

2.2、Control Groups（CGroups）的作用

容器化技术的隔离机制是靠namespaces实现，而容器化的资源分配靠的是在内核级通过CGroups机制实现，它会把系统级的资源分成多个组，然后把每一个组内的资源量指派分配到特定的namespace的进程上去来实现

2.2.1、CGroups的功能

blkio 块设备IO

cpu CPU

cpuacct CPU资源使用报告

cpuset 多处理器平台上的CPU集合，有两种分派方式，一种是比例，一种是分核数

devices 设备访问

freezer

挂起或恢复任务

memory 内存用量及报告

perf_event 对cgroup中的任务进行统一性能测试

net_cls cgroup中的任务创建的数据报文的类老丛别标识符

2.3、LXC（Linux Container）

LXC是最早除了Vserver之外，真正把完整的容器技术用一组简易使用的工具和模板来极大的简化了容器技术使用的一个方案。LXC靠一组工具包帮我们快速的实现了创建名称空间，利用模板完成内部所需要的各种文件的安装。同时，还有些工具能够自动完成chroot切换，于是，就可以使用多个并行的用户空间，而每一个用户空间，就像我们之前使用的虚拟机，是一个独立的系统。

三、Docker的诞生

LXC虽然极大的简化了容器技术的使用，但比起过去使用虚拟机来讲，它的复杂程度是没有多大降低的，隔离性也没宏弊有虚拟机好、在大规模使用上和分发上都不方便。但好处是它能够让每一个用户空间的进程直接使用宿主机的性能，中间没有额外开销。于是就出现了Docker

3.1、Docker是LXC的增强版，它本身不是容器，而是容器的易用工具。容器是linux内核中的技术，Docker只是把这种技术在使用上简易普及了。Docker在早期的版本其核心就是LXC的二次封装发行版。Docker利用LXC做容器管理引擎，但是在创建容器时，不在使用模板去安装生成。而是通过镜像技术（把一个操作系统用户空间所需要使用到的组件事先编排好，并整体打包成一个文件，image文件），镜像文件集中放在一个仓库中。当需要创建容器时，Docker调用LXC的工具lxc-create。但是不在通过lxc的模板去安装，而是连接到镜像服务器蔽含族上下载匹配的镜像文件，而后基于镜像启动容器。所以，Docker极大的简化了容器的使用难度。以后我们创建启动容器，只需要一个命令，docker-run，docker-stop就可以启动停止一个容器了。为了使整个容器使用更加易于管理，Docker采用了一种更精巧的限制机制，在一个容器内，只运行一个进程。而LXC是把一个容器当一个用户空间使用，可以运行N个进程，所以使得我们管理容器进程极为不便。Docker在镜像构建底层使用了分层构建，联合挂载。这种好处就是在以后的镜像分发上就没有那么庞大。可以自由组合镜像实现不同环境的挂载

2.3、Docker容器引擎的更迭

Docker早起是基于LXC容器管理引擎实现，当后来成熟之后，Docker自建了一个容器引擎叫libcontainer，后来CNCF的介入，Docker又研发了一个工业化标准的容器引擎，叫runC，目前所使用的新版Docker，所使用的容器引擎就是RunC。

什么是 docker 容器技术

　Docker是什么？

简单得来说迹滚，Docker是一个由GO语言写的程序运行的“容器”（Linux containers， LXCs）； 目前云服务的基石是操作系统级别的隔离，在同一姿源余台物理服务器上虚拟出多个主机。Docker则实现了一种应用程序级别的隔离； 它改变我们基本的开发、操作单元，由直接操作虚拟主机（VM）,转换到操作程序运行的“裂物容器”上来。

Docker是为开发者和系统管理员设计的，用来发布和运行分布式应用程序的一个开放性平台。由两部分组成：

Docker Engine: 一个便携式、轻量级的运行环境和包管理器。（注* 单OS vs 单线程，是不是跟NodeJS特别像？）

Docker Hub: 为创建自动化工作流和分享应用创建的云服务组成。（注* 云端镜像/包管理 vs npm包管理，是不是跟npm特别像？）

从2013年3月20日，第一个版本的Docker正式发布到 2014年6月Docker 1.0 正式发布，经历了15个月。 虽然发展历程很短，但Docker正在有越来越流行的趋势。

其实Container技术并非Docker的创新，HeroKu, NodeJitsu 等云服务商都采用了类似这种轻量级的虚拟化技术，但Docker是第一个将这这种Container技术大规模开源并被社区广泛接受的。

好的部分

Docker相对于VM虚拟机的优势十分明显，那就是轻量和高性能和便捷性， 以下部分摘自：KVM and Docker LXC Benchmarking with OpenStack

快

运行时的性能可以获取极大提升（经典的案例是提升97%）

管理操作（启动，停止，开始，重启等等） 都是以秒或毫秒为单位的。

敏捷

像虚拟机一样敏捷，而且会更便宜，在bare metal（裸机）上布署像点个按钮一样简单。

灵活

将应用和系统“容器化”，不添加额外的操作系统，

轻量

你会拥有足够的“操作系统”，仅需添加或减小镜像即可。在一台服务器上可以布署100~1000个Containers容器。

便宜

开源的，免费的，低成本的。由现代Linux内核支持并驱动。注* 轻量的Container必定可以在一个物理机上开启更多“容器”，注定比VMs要便宜。

生态系统

正在越来越受欢迎，只需要看一看Google的趋势就知道了，docker or LXC.

还有不计其数的社区和第三方应用。

云支持

不计其数的云服务提供创建和管理Linux容器框架。

Docker的底层原理实现（二十）

Docker 采用了 C/S 架构，包括客户端和服务端。Docker 守护进程 （ Daemon ）作为服务端接受来自客户端的请求，并处理这些请求（创建、运行、分发容器）。

客户端和服务端既可以运行在一个机器上，也可通过 socket 或者 RESTful API 来进行通信。

命名空间是 Linux 内核一个强大的特性。每个容器都有自己单独的命名空间，运行在其中的 应用都像是在郑闹独立的操作系统中运行一样。命名空间保证了容器之间彼此互不影响。

不同用户的进程就是通过 pid 命名空间隔离开的，且不同命名空间喊铅罩中可以有相同 pid。所有的 LXC 进程在 Docker 中的父进程为Docker进程，每个 LXC 进程具有不同的命名空间。同时由 于允许嵌套，因此可以很方便的实现嵌套的 Docker 容器。

有了 pid 命名空间, 每个命名空间中的 pid 能够相互隔离，但是网络端口还是共享 host 的端 口。网络隔离是通过 net 命名空间实现的， 每个 net 命名空间有独立的 网络设备, IP 地址, 路由表, /proc/net 目录。这样每个容器的网络就能隔离开来。Docker 默认采用 veth 的方式，将 容器中的虚拟网卡同 host 上的一个 Docker 网桥 docker0 连接在一起。

容器中进程交互还是采用了 Linux 常见的进程间交互方法(interprocess communication - IPC), 包括信号量、消息队列和共享内存等。然而同 VM 不同的是，容器的进程间交互实际上还是 host 上具有相同 pid 命名空间中的进程间交互，因此需要在 IPC 资源申请时加入命名空间信息，每个 IPC 资源有一个唯一的 32 位 id。

类似 chroot，将一个进程放到一个特定的目录执行。mnt 命名空间允许不同命名空间的进程看到的文件结构不同，这样每个命名空间中的进程所看到的文件目录就被隔离开了。同 chroot 不同，每个命名空间中的容器在 /proc/mounts 的信息只包含所在命名空间的 mount point。

UTS("UNIX Time-sharing System") 命名空间允许每个容器拥有独立的 hostname 和 domain name, 使其在网络上可以被视作一个独立的节点而非主机上的一个进程。

每个容器可以有不同的用户和组 id, 也就是说可以在容器内用容器内部的用户执行程序而非主机上的用户。

控制组（cgroups）是 Linux 内核的一个特性，主要用来对共享资源进行隔离、限制、审计 等。只有能控制分配到容器的资源，才能避免当多个容器同时运行时的对系统资源的竞争。

联合文件系统（UnionFS）是一种分层、轻量级并且高性能的文件系统，它支持对文件系统的修改作为一次提交来一层层的叠加，同时可以将不同目录挂载到同一个虚拟文件系统下(unite several directories into a single virtual filesystem)。

联合文件系统是 Docker 镜像的基础。镜像可以通过分层来进行继承，基于基础镜像（没有父 镜像），可以制作各种具体的应用镜像。

另外，不同 Docker 容器就可以共享一些基础的文件系统层，同时再加上自己独有的激历改动层， 大大提高了存储的效率。

Docker 中使用的 AUFS（AnotherUnionFS）就是一种联合文件系统。 AUFS 支持为每一个 成员目录（类似 Git 的分支）设定只读（readonly）、读写（readwrite）和写出（whiteoutable）权限, 同时 AUFS 里有一个类似分层的概念, 对只读权限的分支可以逻辑上进行增量地修改(不影响只读部分的)。

Docker 目前支持的联合文件系统包括 OverlayFS, AUFS, Btrfs, VFS, ZFS 和 Device Mapper。

最初，Docker 采用了 LXC 中的容器格式。从 0.7 版本以后开始去除 LXC，转而使用自行开 发的 libcontainer ，从 1.11 开始，则进一步演进为使用 runC 和 containerd 。

Docker 的网络实现其实就是利用了 Linux 上的网络命名空间和虚拟网络设备（特别是 veth pair）。

首先，要实现网络通信，机器需要至少一个网络接口（物理接口或虚拟接口）来收发数据包；此外，如果不同子网之间要进行通信，需要路由机制。

Docker 中的网络接口默认都是虚拟的接口。虚拟接口的优势之一是转发效率较高。 Linux 通 过在内核中进行数据复制来实现虚拟接口之间的数据转发，发送接口的发送缓存中的数据包 被直接复制到接收接口的接收缓存中。对于本地系统和容器内系统看来就像是一个正常的以 太网卡，只是它不需要真正同外部网络设备通信，速度要快很多。

Docker 容器网络就利用了这项技术。它在本地主机和容器内分别创建一个虚拟接口，并让它 们彼此连通（这样的一对接口叫做 veth pair ）。

Docker 创建一个容器的时候，会执行如下操作：

完成这些之后，容器就可以使用 eth0 虚拟网卡来连接其他容器和其他网络。可以在 docker run 的时候通过 --net 参数来指定容器的网络配置：

关于lxcdocker和的介绍到此就结束了，不知道你从中找到你需要的信息了吗 ？如果你还想了解更多这方面的信息，记得收藏关注本站。