Аннотация

В статье рассматриваются базовые отличия системы изоляции приложений docker и системы виртуализации (см. Виртуализация QEMU/KVM в Astra Linux), и вытекающие из этих отличий ограничения применения, разъясняется базовая терминология, применяемая к объектам docker.

Ограничения применения

Якорь
термины термины

Термины

Виртуализация —

Термины

Виртуализация - технология, позволяющая запускать экземпляры операционных систем (гостевые машины) параллельно и изолированно на единственной хост-машине. При этом каждой гостевой машине предоставляются собственные ресурсы, операционной системе предоставляется полноценная виртуальная машина, имеющая собственные виртуальные аппаратные ресурсы, и гостевая операционная система использует собственное ядро. При этом гостевая виртуальная машина может отличаться по архитектуре от хост-машины, а гостевая операционная система может быть полностью отличной от операционной системы хост-машины.

Гипервизор - программное обеспечение, позволяющее запускать многожественные гостевы (виртуальные) машины на единственной физической машине (хост-машине), а также обеспечивающее  передоставление ресурсов виртуальным машинам.

Гостевая машина - виртуальная машина, запускаемая в изолированной среде системы виртуализации внутри хост-машины.

Гостевая операционная система - операционная система, работающая на гостевой машине.

Хост-машина - машина, в операционной системе которой запускатся система виртуализации и работающие в этой системе виртуализации гостевые машины.

Виртуализация обеспечивает полное моделирование используемого оборудования полностью индивидуальное для каждой гостевой ОС. Гостевые ОС полностью изолированы друг от друга, и каждая гостевая ОС работает в собственной виртуальной программно-аппаратной среде, полностью копирующей реальное оборудование и содержащей полную копию всех необходимых ресурсов;

Изоляция приложений (контейнерная изоляция) — технология, позволяющая выполнять экземпляры приложений (групп приложений) в изолированной среде внутри операционной системы хост-машины. Традиционно контейнерная изоляция приложений обозначается термином "контейнерная виртуализация", хотя в самом деле полноценной виртуализацией не является. Из-за этого "контейнер" иногда рассматривают в качестве аналога "виртуальной машины", хотя он ей не является. Контейнерная изоляция - технология, обеспечивающая совместное использование ресурсов

операционной системы хост-машины гостевыми приложениями. Экземпляры

приложений, выполняющихся в контейнерах, изолированы друг от друга и (насколько это возможно) от хостовой операционной системы, но при этом

аппаратные и программные ресурсы хостовой ОС используются ими совместно;

Гипервизор — программное обеспечение, позволяющее запускать множественные гостевые (виртуальные) машины или контейнеры на единственной физической машине (хост-машине), обеспечивающее  предоставление ресурсов виртуальным машинам и обеспечивающее ограничение и разграничение прав доступа;

Гостевая машина — виртуальная машина, запускаемая в изолированной среде системы виртуализации внутри хостовой операционной системы;

Гостевая операционная система — операционная система, работающая на гостевой машине.

Термин "гостевая операционная система" неприменим к контейнерам, так как контейнеры не предоставляют полноценную операционную систему, а в разной мере используют хостовую операционную систему;

Контейнер (container) — изолированная среда выполнения приложений (групп приложений), работающая в хостовой операционной системе;

Образ (image) — набор данных (файлов, инструкций) для создания контейнеров. Может рассматриваться как моментальный снимок состояния виртуальной машины, с которого начинается её работа;

Хостовая операционная система, хостовая ОС - операционная система хост-машины;

Хост-машина - машина, в операционной системе которой запущен гипервизор виртуализации или контейнерной изоляции, под управлением которого работают гостевые машины или контейнеры.

Графическое сравнение технологий виртуализации и контейнерной изоляции на примере QEMU/KVM (виртуализация) и docker (изоляция) приведено на рисунке:

Системы

В состав ОС СН входят две системы виртуализации, поддерживающие два описанных выше типа виртуальзации:

• libvirt - система полной виртуальзации;
• docker - система контейнерной вартуализации.

Система контейнерной виртуализации Docker

Термины

Образ - набор упорядоченных слоёв, фактически сумма изменений, внесённых в систему, текущее состояние системы;

Слой - в трактовке Docker набор изменений файловой системы, другими словами - некий моментальный снимок  состояния системы. Слои доступны только для чтения, каждое изменение порождает новый слой. Любой слой может использоваться несколькоми образами одновременно;

Контейнер - экземпляр образа docker, образ, находящийся в работе, то есть образ с новым слоем текущих изменений. При работе контейнера все изменния сохраняются в новом слое, а все предыдущие слои остаются неизменными;

Реестр образов - сетевое хранилище подготовленных образов, доступных для загрузки на целевые машины.

Особенности

Система контейнерной виртуализации Docker позиционируется не только как система виртуализации, но как система быстрого распространения и развёртывания приложений.

Традиционный способ развёртывания приложений предполагает:

виртуализации и контейнерной изоляции в Astra Linux

В составе Astra Linux поддерживаются следующие системы виртуализации и контейнерной изоляции:

• QEMU/KVM - полноценная система виртуализации. См. Виртуализация QEMU/KVM в Astra Linux;
• lxc - система контейнерной изоляции, ориентированная на работу с приложениями - операционными системами  (см. Система контейнерной изоляции уровня ОС LXC);
• docker - система контейнерной изоляции, ориентированная на работу с приложениями  - системными службами (рассматривается далее в настоящей статье);
• firejail - система контейнерной изоляции пользовательского уровня, ориентированная на работу с пользовательскими приложениями (см. Система изоляции пользовательских приложений FireJail).

Система контейнерной виртуализации Docker

Назначение

Традиционный способ развертывания подобных приложений без использования Docker предполагает следующие шаги:

• передача администратору целевой ОС инструкций по установке и комплекта неких файлов приложения, как правило, в форме debian-пакета, содержащего:
  • исполнимые файлы;
  • конфигурационные файлы;
  • сценарии установки и удаления.
• выполнение администратором целевой ОС предоставленных инструкций на целевой машине с целью развёртывания устанавливаемого приложения
• передачу пользователю приложения комплекта неких файлов приложения как правило:
  • исполнимый файл;
  • конфигурационный файл;
  • сценарии установки и удаления;
  • инструкции по установке;
• выполнение пользователем для развёртывания предоставленных сценариев и инструкций на целевой машине.

При этом, несмотря на то, что разработчиками приложений тратятся значительные усилия на создание и проверку сценариев развёртывания, учитывающих всевозможные возможные особенности целевыз целевых машин и возможные конфликты с другими приложениями, выполение выполнение действий по установке часто завершается неудачей , - в силу специфических особенностей  целевых машин, все варианты которых предусмотреть невозможно.

Docker предлагает альтернативный вариант развёртывания: развертывания приложений, при котором поставщик приложений передаёт пользователям приложений предварительно настроенные контейнеры с приложениями. Эти контейнеры просто запускаются пользователем на целевой машине, предоставляя каждому приложению изолированное преднастроенное предварительно настроенное окружение для работы. Таким образом, исключается существенная часть ошибокпроблем развертывания, связанных с предварительной настройкой нестандартных нестандартностью пользовательских систем. Хорошим примером использования возможностей Docker по быстрому развёртыванию развертыванию приложений явлется является пример развёртывания развертывания собственного реестра образов, выполняемого путём путем простого скачивания подготовленного образа "Реестр образов".

Помимо этого Docker может применяться для изоляции пользовательских приложений, хотя в первую очередь для это предназначен firejail (см. раздел "Администрировани" - "Создание собственного реестра образов").. Система изоляции пользовательских приложений FireJail).

Рекомендованный сценарий применения Docker

Рекомендованный сценарий применения Docker учитывает основное назначение Docker: быстрое развертывание приложений. Порядок действий

1. Создать (загрузить) исходный образ;
2. Создать из этого образа контейнер, работая в котором выполнить и сохранить дополнительные настройки, то есть настройки запуска нужного приложения в ограниченной среде Docker;
3. Конвертировать контейнер с выполненными настройками в новый образ;
4. Скопировать новый образ на целевые машины для использования;
5. На целевых машинах дальнейшее использование зависит от поставленных задач:
   1. Можно использовать контейнеры, сохраняющие возникающие при эксплуатации изменения в этих контейнерах;
   2. Можно использовать образ, монтируя к нему внешние каталоги, в которых сохраняются изменения, не сохраняя изменения в контейнерах;
   3. Можно комбинировать указанные варианты;
6. В любом из выбранных вариантов использования далее установленное приложение эксплуатируется на целевой машине в контейнере.

Преимущества

Главное преимущество контейнеров в том, что по сравнению с системами виртуализации При этом, по сравнению с системами полной виртуализации, запуск контейнеров требует значительно меньших вычислительныз вычислительных ресурсов, чем запуск полноценной виртуальной машины.

Кроме этого и, кроме того, Docker для экономии ресурсов поддерживает систему повторного использования "слоёвслоев". "Слой" в терминологии Docker - это некий моментальный снимок состояния системы, а "образ" - это итоговое состояние системы с учетом cостояний всех подлежащих слоёв, полученное из базовой системы наложением (применением) всех слоев. При этом "слои" могут использоваться повторно разными "образами":

Дополнительным эффектом от повторного использования "слоёвслоев" является снижение объёмов объемов передаваемых данных при передаче подготовленных в виде образов прикладных программ: при использовании реестра образов Docker передаваться будет только новые слои, в примере выше - слой "Базовая система Astra Linux SE" будет загружен из реестра образов только образов только один раз, далее загружаться будут только новые слои.

Термины Docker

Установка Docker

В ОС СН Смоленск 1.7 Docker представлен пакетом docker.io и может быть установлен с помощью графического менеджера пакетов или из командной строки командой:

Для более ранних версий Astra Linux см. статью: Установка docker в ОС Astra Linux

Создание собственного реестра образов

Загрузить подготовленный образ Docker, содержащий приложение "Реестр образов Docker". Образ "Реестр образов Docker" загружается из реестра образов Docker:

После выполнения указанной команды локальный реестр образов автоматически запущен и готов к работе.

Для остановки работы реестра:

Удаление реестра:

Настройка внешнего доступа к собственному реестру

Создание собственного образа

См. статью: Создание собственного образа для использования в Docker

Управление Docker-ом

Подробная справка по командному интерфейсу Docker представлена на сайте разработчиков: https://docs.docker.com/engine/reference/commandline/docker/. При работе в системе список команд можно получить с помощью команды:

Более подробную справку по аргументам команд можно получить с помощью ключа --help, например:

Часто употребимые команды (аргументы команд для краткости не указаны):

docker attach

Управление контейнерами:

Управление образами:

Загрузка образа в реестр

Получить список доступных на локальной машине образов:

Пометить загружаемый образ тэгом (tag) для загрузки в нужный реестр:

Перепроверить список доступных образов, чтобы убедиться, что тэг присвоен верно:

В примере выше первые две строки сообщают об одном и том же образе (идентификатор образа 5d69ce8720a7). При этом образ помечен как размещенный в двух локациях - на локальной машине wiki/astralinux и сетевом реестре на локальной машине localhost:5000.

Загрузить образ в реестр:

Докерфайл - текстовый документ, содержащий все команды, выполнение которых требуется для создания образа Docker. Образы могут создаваться автоматически путём интерпретации докерфайлов и применения содержащихся в докерфайле инструкций к контексту;

Слой - внутри образов слой это изменение файловой системы, представленное инструкцией в докерфайле. Слои последовательно "накладываются" на базовую файловую систему образа, создавая итоговый образ. Любой слой может использоваться несколькими образами одновременно. При изменении образа в нём заменяются только изменившиеся слои, что позволяет обновлять образы быстро и с небольшими затратами ресурсов. Размер образа равен сумме размеров входящих в него слоёв;

Образ - основа контейнеров. Контейнер не имеет состояний и не изменяется. Контейнер состоит из:

1. Базовой файловой системы;
2. Упорядоченного набора изменений ("слоев") в этой файловой системе;
3. Базовых параметров исполнения, применяемых при запуске контейнеров. 

Контейнер - образ, находящийся в работе, то есть образ с новым изменяющимся слоем. При работе контейнера все изменения сохраняются в новом слое, а образ (т.е. все предыдущие слои) остаётся неизменным;

Контекст - набор файлов в указанной локации;

Реестр образов - сетевое хранилище подготовленных образов, доступных для загрузки на целевые машины и последующего выполнения в качестве контейнеров.

См. далее:

Установка и администрирование Docker в Astra Linux 1.7

Создание собственного образа Astra Linux для использования в Docker

Использование Docker

Получение образа из реестра