小編給大家分享一下Docker與Docker Machine有什么區(qū)別�����,相信大部分人都還不怎么了解����,因此分享這篇文章給大家參考一下,希望大家閱讀完這篇文章后大有收獲���,下面讓我們一起去了解一下吧����!
創(chuàng)新互聯(lián)-專業(yè)網(wǎng)站定制�����、快速模板網(wǎng)站建設(shè)���、高性價(jià)比湘橋網(wǎng)站開發(fā)�、企業(yè)建站全套包干低至880元,成熟完善的模板庫,直接使用。一站式湘橋網(wǎng)站制作公司更省心,省錢,快速模板網(wǎng)站建設(shè)找我們���,業(yè)務(wù)覆蓋湘橋地區(qū)�����。費(fèi)用合理售后完善�����,10余年實(shí)體公司更值得信賴����。
Docker 與 Docker Machine 的區(qū)別
Docker是一個(gè) Client-Server 架構(gòu)的應(yīng)用�,人家是有官稱的:Docker Engine。Docker 只是大家對(duì) Docker Engine 的昵稱����,當(dāng)然 Docker 還有其他的意思,比如一家公司的名稱�����。簡單起見,本文中的 Docker 等同于 Docker Engine���。
提到 Docker 我們必須要知道它包含了三部分內(nèi)容:
下圖很清晰的展示了它們之間的關(guān)系:
Docker Machine則是一個(gè)安裝和管理 Docker 的工具����。它有自己的命令行工具:docker-machine�。
Docker daemon socket
既然 Docker 客戶端要和 Docker daemon 通過 REST API 通信����,那就讓我們看看它們可以采用的方法有哪些:
我們可以簡單的把 1 和 2 理解成一種方式,就是同一臺(tái)主機(jī)上的進(jìn)程間通信����。至于 3 則很好理解:通過 tcp 協(xié)議進(jìn)行跨網(wǎng)絡(luò)的通信。
既然 1 和 2 用于同一臺(tái)機(jī)器上的進(jìn)程間通信����,那么我們可以猜想:安裝在同一主機(jī)上的 Docker 客戶端和 Docker daemon 就是通過這種方式來通信的。事實(shí)也正是如此�,我們可以查看安裝 Docker 時(shí)默認(rèn)添加的 Docker daemon 啟動(dòng)配置,打開文件 /etc/systemd/system/multi-user.target.wants/docker.service:
圖中的 -H 用來指定 Docker Daemon 監(jiān)聽的 socket��,此處指定的類型為 system socket activation�����。使用類型 1 和 2 進(jìn)行通信需要進(jìn)程具有 root 權(quán)限。這也是 Docker 安裝過程中會(huì)自動(dòng)創(chuàng)建一個(gè)具有 root 權(quán)限的用戶和用戶組的主要原因�����。新創(chuàng)建的用戶和用戶組名稱為 docker�,建議大家把需要操作 Docker 的用戶都加入到這個(gè)組中,否則當(dāng)你執(zhí)行命令時(shí)就會(huì)碰到下圖顯示的問題:
我們還可以同時(shí)指定多個(gè) -H 參數(shù)讓 Docker daemon 同時(shí)監(jiān)聽不同的 socket 類型����。比如要添加對(duì) TCP 端口 2376 的監(jiān)聽就可以使用下面的命令行參數(shù):
$ sudo dockerd -H fd:// -H tcp://0.0.0.0:2376
運(yùn)行上面的命令,然后查看本機(jī)監(jiān)聽的端口:
此時(shí)我們就可以從遠(yuǎn)程主機(jī)上的 Docker 客戶端訪問這部主機(jī)的 2376 端口了�。
DOCKER_HOST 環(huán)境變量
Docker 客戶端默認(rèn)的配置是訪問本機(jī)的 Docker daemon,當(dāng)你指定了 DOCKER_HOST 變量后��,Docker 客戶端會(huì)訪問這個(gè)變量中指定的 Docker daemon���。讓我們回顧一下 docker-machine env 命令:
原來我們?cè)谇拔闹袌?zhí)行的 $ eval $(docker-machine env krdevdb) 命令就是在設(shè)置 DOCKER_HOST 環(huán)境變量����。
解決安全問題
我們的 Docker daemon 監(jiān)聽了 tcp 端口���,糟糕的是此時(shí)我們沒有做任何的保護(hù)措施���。因此任何 Docker 客戶端都可以通過 tcp 端口與我們的 Docker daemon 交互�,這顯然是無法接受的��。解決方案是同時(shí)啟用 Docker daemon 和 Docker 客戶端的 TLS 證書認(rèn)證機(jī)制����。這樣 Docker daemon 和 Docker 客戶端之間的通信會(huì)被加密,并且只有安裝了特定證書的客戶端才能夠與對(duì)應(yīng)的 Docker daemon 交互���。
至此本文的鋪墊部分終于結(jié)束了,接下來我們將討論 Docker Machine 相關(guān)的內(nèi)容���。
Docker Machine create 命令
根據(jù) Docker Machine 驅(qū)動(dòng)的不同���,create 命令執(zhí)行的操作也不太一樣,但其中有兩步是我們?cè)谶@里比較關(guān)心的:
docker-machine 會(huì)在您指定的主機(jī)上執(zhí)行下面的操作:
配置 Docker daemon
Docker 的安裝過程并沒有什么秘密��,這里不再贅述�。我們重點(diǎn)關(guān)注 Docker daemon 的配置。仔細(xì)觀察我們會(huì)發(fā)現(xiàn)�����,通過 docker-machine 安裝的 Docker 在 /etc/systemd/system 目錄下多出了一個(gè) Docker 相關(guān)的目錄:docker.service.d���。這個(gè)目錄中只有一個(gè)文件 10-machine.conf:
好吧��,-H tcp://0.0.0.0:2376 出現(xiàn)在這里并沒有讓我們太吃驚�����。在我們做了巨多的鋪墊之后�,你應(yīng)該覺得這是理所當(dāng)然才是�。--tls 開頭的幾個(gè)參數(shù)主要和證書相關(guān),我們會(huì)在后面的安全設(shè)置中詳細(xì)的介紹它們���。讓人多少有些疑惑的地方是上圖中的 /usr/bin/docker�����。當(dāng)前最新版本的 Docker Machine 還在使用舊的方式設(shè)置 Docker daemon����,希望在接下來的版本中會(huì)有所更新。
這個(gè)配置文件至關(guān)重要�����,因?yàn)樗鼤?huì)覆蓋 Docker 默認(rèn)安裝時(shí)的配置文件�����,從而以 Docker Machine 指定的方式啟動(dòng) Docker daemon��。至此我們有了一個(gè)可以被遠(yuǎn)程訪問的 Docker daemon�����。
生成證書
我們?cè)?Docker daemon 的配置文件中看到四個(gè)以 --tls 開頭的參數(shù)�,分別是 --tlsverify����、--tlscacert、--tlscert和 –tlskey�����。其中的 --tlsverify 告訴 Docker daemon 需要通過 TLS 來驗(yàn)證遠(yuǎn)程客戶端。其它三個(gè)參數(shù)分別指定了一個(gè) pem 格式文件的路徑���,按照它們指定的文件路徑去查看一下:
對(duì)比一下手動(dòng)安裝的 Docker���,會(huì)發(fā)現(xiàn) /etc/docker 目錄下并沒有這三個(gè)文件。毫無疑問它們是 Docker Machine 生成的���,主要是為了啟用 Docker daemon 的 TLS 驗(yàn)證功能�����。關(guān)于 TLS����,筆者在《局域網(wǎng)內(nèi)部署 Docker Registry》一文中略有涉及���,當(dāng)時(shí)是手動(dòng)配置的證書�,感興趣的朋友可以參考一下���。
現(xiàn)在讓我們回到安裝了 Docker Machine 的主機(jī)上�。
查看 /home/nick/.docker/machines/krdevdb 目錄�,發(fā)現(xiàn)了一些同名的文件(ca.pem�、server-key.pem 和 server.pem)����,和主機(jī) drdevdb 上的文件對(duì)比一下,發(fā)現(xiàn)它們是一樣的��!
讓我們?cè)賮碛^察一下這幅圖:
除了我們關(guān)注過的 DOCKER_HOST����,還有另外三個(gè)環(huán)境變量。其中的 DOCKER_TLS_VERIFY 告訴 Docker 客戶端需要啟用 TLS 驗(yàn)證��。DOCKER_CERT_PATH 則指定了 TLS 驗(yàn)證所依賴文件的目錄����,這個(gè)目錄正是我們前面查看的 /home/nick/.docker/machines/krdevdb 目錄。
行文至此��,困擾我們的安全問題終于得到了解釋:Docker Machine 在執(zhí)行 create 命令的過程中�,生成了一系列保證安全性的秘鑰和數(shù)字證書(*.pem)文件��。這些文件在本地和遠(yuǎn)程 Docker 主機(jī)上各存一份�,本地的用于配置 Docker 客戶端,遠(yuǎn)程主機(jī)上的用于配置 Docker daemon��,讓兩邊都設(shè)置 TLS 驗(yàn)證的標(biāo)記,依此實(shí)現(xiàn)安全的通信�。
以上是“Docker與Docker Machine有什么區(qū)別”這篇文章的所有內(nèi)容,感謝各位的閱讀�!相信大家都有了一定的了解,希望分享的內(nèi)容對(duì)大家有所幫助���,如果還想學(xué)習(xí)更多知識(shí)�����,歡迎關(guān)注創(chuàng)新互聯(lián)行業(yè)資訊頻道�����!
文章名稱:Docker與DockerMachine有什么區(qū)別
標(biāo)題路徑:
http://weahome.cn/article/goedgs.html
重慶分公司
重慶分公司
