登录/注册 帐户

集装箱

什么是多克?

“码头工人”这个词指的是几件事情,其中​​包括一个开源社区项目;从开源项目的工具;多克尔公司,这主要支持该项目的公司;和工具,公司正式支持。该技术与公司共享相同的名称,这一事实可能会造成混淆。

这里有一个简单的解释器:

  • 在IT软件“泊坞窗”是集装技术,使创建和使用Linux®的容器
  • 开源社区泊坞窗致力于改进这些技术,使所有用户受益。
  • 公司,泊坞窗公司,建立在泊坞窗社区的工作,使之更安全,并分享这些进步回更大的社区。然后,它支持企业客户改进和硬化技术。

使用Docker,您可以将容器视为非常轻量级的、模块化的虚拟机。使用这些容器还可以获得灵活性——可以在不同环境中创建、部署、复制和移动它们,这很有帮助优化应用的云


如何码头工人的工作?

泊坞窗技术使用Linux内核内核的特性,比如的cgroup命名空间,以分离过程,使他们能够独立运行。这种独立性的容器,要在运行多个程序的能力和意愿彼此分开应用程式,以更好地利用您的基础设施的同时,保持安全你将有独立的系统。

容器工具,包括码头工人,提供基于图像的部署模型。这可以很容易的共享应用,或一组服务,与所有跨多个环境的依赖。泊坞也自动部署(的组成一个应用程序的过程或相结合套)此容器环境中应用。

这些工具在Linux上构建的容器,是什么让泊坞用户友好和顶部独特的,令用户在版本和版本分布应用前所未有的访问,能够快速部署和控制。


码头工人与Linux的容器:有没有区别?

虽然有时糊涂,码头工人是不一样的传统的Linux容器。泊坞窗技术最初是建立在顶部LXC技术,其中大多数人为伍“传统”的Linux容器 - 虽然这是因为从依赖搬走。LXC是轻量级有用betway手机地址,但它没有一个伟大的开发者或用户体验。泊坞窗技术带来比运行的容器,它也简化了创造和建设集装箱,海运图像,以及版本的图像,除其他事情的过程能力的更多。

传统的Linux容器使用一个init系统,可以管理多个进程。这意味着整个应用程序可以作为一个运行。泊坞窗技术,鼓励应用程序被分解成其单独的进程,并提供工具来做到这一点。这种精细的方法有它的优势。


Docker容器的优点

模块化

泊坞窗方法集装箱侧重于采取了一个应用程序更新或修复的部分,而无需取下整个应用程序的能力。除了这种微服务为基础的方法,可以在几乎相同的方式共享多个应用程序之间的进程面向服务架构(SOA)一样。

图层和图像版本控制

每个泊坞图像文件由一系列层被组合成单个图像的向上。当图像改变时创建的层。每当用户指定的命令,如要么复制,一个新的图层被创建。

泊坞窗重用这些层来构建新的容器,从而加速建设进程。中间改变图像之间共享,进一步提高了速度,尺寸和效率。此外固有的层次感是版本控制:每有一个新的变化的时候,你实际上有一个内置的更新日志,为您提供了您的容器图像完全控制。

回滚

也许关于分层最好的部分是能够回滚。每一个形象,层。不喜欢的图像的当前迭代?回滚到以前的版本。这支持敏捷开发方法,并有助于使持续集成和部署(CI / CD)从工具的角度成为现实。

快速部署

获得新的硬件上运行,配置和使用可采取天,努力程度和开销是沉重的负担。基于泊坞窗的容器可以减少部署秒。通过为每个进程的容器,可以快速分享新的应用程序这些进程。而且,由于操作系统并不需要启动添加或移动的容器,部署时间显着缩短。更短的部署时间配对,就可以轻松且经济高效地创建和销毁,而不用担心你的容器创建的数据。

所以,多克尔技术是一种更精细的,可控的,微服务为基础的做法,地方对效率更高的价值。


使用Docker有限制吗?

泊坞窗,其本身可以管理单个容器。当你开始使用越来越多的集装箱和集装箱的应用程序,分解成几百块,管理和业务流程都能得到困难。最后,你需要退后一步,并组容器提供服务,网络,安全,遥测,和更在所有的容器。这就是Kubernetes用武之地。

随着码头工人,你没有得到相同的类UNIX的功能,你传统的Linux容器得到。这包括能够在容器内使用像cron或系统日志进程除了您的应用程序。还有,例如关于清理你终止子进程,而传统的Linux容器本身处理后孙子进程的限制。这些问题可以通过修改配置文件,并从建立这些能力来减轻启动,但可能不会第一眼是显而易见的。

在此之上,还有其他Linux的没有命名空间的子系统和设备。这些包括SELinux的,cgroup中,和/ dev / SD *设备。这意味着,如果攻击者能够控制这些子系统,主机就会大打折扣。为了保持轻便,主机内核的共享与容器打开一个安全漏洞,这种可能性。这不同于虚拟机,这是更紧密地从主机系统隔离。

码头工人守护进程也可以是一个安全问题。要使用和运行Docker容器,你最有可能使用的码头工人守护进程,集装箱持久运行。码头工人守护程序需要root权限,所以必须特别注意采取有关谁得到这一进程,并在过程所在的访问。例如,本地守护进程比一个生活在更多的公共场所,如Web服务器更小的攻击面。

还有很多更多的是与容器