第7章 华为云容器服务与应用.pptxVIP

第7章 华为云容器服务与应用

7.1容器技术原理7.2容器编排7.3华为云容器学习要点7.4华为云容器实践

7.1.1 容器底层技术基础容器底层技术的核心目的是实现容器在操作系统中的隔离及资源限制。当容器在操作系统中运行时，它拥有自己独立的运行环境与依赖，因此需要将使用的资源隔离起来，以避免操作系统以及其他容器对其产生影响。容器底层技术通过对操作系统内核的全局资源进行封装，让容器运行时使用自己封装好的资源，不与其他操作系统应用共享。除隔离以外，容器在操作系统上运行时，属于操作系统中的应用程序。同时运行在操作系统中的多个容器存在资源竞争关系，需要通过某些技术手段对容器相应进程能够使用的资源进行限制，避免抢占资源的问题。资源限制用于限定容器在操作系统中所能够使用的资源上限，防止容器无限制地占用资源导致系统崩溃。容器通过使用Cgroup实现对资源的限制。容器技术是一种操作系统级别的虚拟化技术，通过虚拟化可以实现操作系统中进程级别的资源隔离，以Docker为代表的容器技术已经成为云计算PaaS平台的一项关键技术。

7.1.2 容器镜像容器镜像是容器运行时使用的模板，其中包含了容器运行所需的应用程序及运行时所需的条件资源。容器镜像实际打包了整个操作系统的根文件系统文件，包括应用程序本身。通过对应用及其运行所需的所有依赖要素进行封装，形成容器镜像。这样可以保证本地环境和云端环境在运行容器时的高度一致。容器镜像的结构主要包括镜像层(只读层)和容器层(可读写层)，如图所示由图可知，制作容器镜像时以增量的方式进行，制作好的镜像内部数据以镜像层的形式存在且无法进行修改。在通过镜像运行容器时，会在原有镜像的基础上添加一个可读写的容器层。使用容器查看文件的信息时，会从容器层开始到镜像层依次向下读取，直到获取对应信息。

7.1.2 容器镜像由于镜像层提供共享功能，多个容器可以共享同一容器镜像，而各个容器独立的可写容器层又使得每个容器具有独立的数据状态，左图所示为容器的共享镜像层。常用操作功能说明创建文件新文件只能被添加在容器层中删除文件依据容器分层结构由上往下依次查找。找到后，在容器层中记录该删除操作。具体实现时，UnionFS会在容器层创建一个“whiteout”文件，将被删除的文件“遮挡”起来修改文件依据容器分层结构由上往下依次查找。找到后，将镜像层中的数据复制到容器层进行修改，修改后的数据保存在容器层中查看文件依据容器分层结构由上往下依次查找由于镜像层是只读属性的，当不同的容器需要进行数据修改时，无法直接对其进行修改。对此，容器支持写时拷贝特性，下表所示为容器的常用操作和功能说明。

7.1.3 容器网络容器网络用来实现不同容器之间的数据相互通信，通过安装不同的插件来满足容器间不同的通信需求，容器网络通常使用软件定义的方式对数据流量进行控制与转发。容器网络中提供了5种原生的模型，用于实现容器之间的通信，具体功能说明和应用场景如表所示。模型功能说明应用场景无网络模型（None）None网络中的容器，不能与外部通信None网络通常在安全需求较高且较为封闭的应用部署中使用，如管理密钥信息应用、密码认证数据库等共享宿主机模型（Host）容器加入宿主机的NetworkNamespace，容器直接使用宿主机网络Host网络下容器与宿主机共用同一个IP地址，容器可以直接通过IP地址对外通信，性能较好。但是宿主机已占用端口对容器而言无法使用，共享同一个NetworkNamespace导致网络隔离性不好网桥模型（Bridge）默认网络驱动程序。主要用于多个容器在同一个Docker宿主机上进行通信网桥模式可以实现多容器之间的通信，Docker运行时默认出现一个docker0网桥。容器被创建时，默认挂载在docker0上。docker0网桥被创建时已默认配置了子网，用户也可以根据自身需求进行子网创建物理地址模型（Overlay）Overlay网络可基于Linux网桥和VXlan，实现跨主机的容器通信在容器集群构建中，用于实现容器跨主机通信MacVLANMacVLAN能够用于跨主机通信跨主机通信场景

7.1.4 容器存储卷绑定挂载绑定挂载（BindMount）是指将宿主机上已有的目录或文件挂载到容器中，主要作用是允许将一个目录或文件挂载到一个指定的目录上。在对该挂载点进行任何操作时，修改只会发生在被挂载的目录或文件上，而原挂载点上的其他内容则会被隐藏起来且不受影响。卷（Volume）由Docker管理，将特定目录挂载给容器。使用卷时，Docker会在主机上的Docker存储目录Dockerarea（Linux中一般存储在/var/lib/docker/volumes/目录下）中创建一个新目录，Docker会管理该目录的内容。对于拥有了卷