![55利用者からは1つに見えるhello:v1FROM alpineENTRYPOINT ["/bin/echo"]CMD ["こんにちは!こんにちは!"]docker image build -t hello:v1 .(docker build)たとえば、このような Dockerfile を「バージョン1」として、](/image.pl?url=https%3a%2f%2fimage.slidesharecdn.com%2fwhat-is-docker-doing-191213003129%2f85%2fDocker-55-320.jpg&f=jpg&w=240)
![56hello:v1FROM alpineENTRYPOINT ["/bin/echo"]CMD [“おはよう!おはよう!"]docker image build -t hello:v2 .hello:v23行目の「CMD」行だけ書き換えたものを「バージョン2」のイメージとしても、増えるのは「CMD」用のレイヤのみ。また、ビルド済みイメージ・レイヤは「キャッシュ」として利用できるので、高速な構築が可能になります。](/image.pl?url=https%3a%2f%2fimage.slidesharecdn.com%2fwhat-is-docker-doing-191213003129%2f85%2fDocker-56-320.jpg&f=jpg&w=240)
![86ボリュームは3分類ホストをマウント 名前付きホスト上のディレクトリ/docker/data/data名前無しvolumeボリュームの実体は、ホスト上のディレクトリ/var/lib/docker/volumes/ 以下ボリュームはコンテナ間でデータを共有できるvolume/data /data /etcdocker run –v [ホスト上のパス]:[コンテナ上のパス]で、コンテナ上からホスト上に直接接続(マウント)する方法と、抽象概念としてのボリューム領域を指定する方法があります。docker run –v /docker/data/:/datadocker run –v data:/dataDockerでコンテナ間で動的なデータ領域を共有するには、](/image.pl?url=https%3a%2f%2fimage.slidesharecdn.com%2fwhat-is-docker-doing-191213003129%2f85%2fDocker-86-320.jpg&f=jpg&w=240)
![55利用者からは1つに見えるhello:v1FROM alpineENTRYPOINT ["/bin/echo"]CMD ["こんにちは!こんにちは!"]docker image build -t hello:v1 .(docker build)たとえば、このような Dockerfile を「バージョン1」として、](/image.pl?url=https%3a%2f%2fimage.slidesharecdn.com%2fwhat-is-docker-doing-191213003129%2f75%2fDocker-55-2048.jpg&f=jpg&w=240)
![56hello:v1FROM alpineENTRYPOINT ["/bin/echo"]CMD [“おはよう!おはよう!"]docker image build -t hello:v2 .hello:v23行目の「CMD」行だけ書き換えたものを「バージョン2」のイメージとしても、増えるのは「CMD」用のレイヤのみ。また、ビルド済みイメージ・レイヤは「キャッシュ」として利用できるので、高速な構築が可能になります。](/image.pl?url=https%3a%2f%2fimage.slidesharecdn.com%2fwhat-is-docker-doing-191213003129%2f75%2fDocker-56-2048.jpg&f=jpg&w=240)
![86ボリュームは3分類ホストをマウント 名前付きホスト上のディレクトリ/docker/data/data名前無しvolumeボリュームの実体は、ホスト上のディレクトリ/var/lib/docker/volumes/ 以下ボリュームはコンテナ間でデータを共有できるvolume/data /data /etcdocker run –v [ホスト上のパス]:[コンテナ上のパス]で、コンテナ上からホスト上に直接接続(マウント)する方法と、抽象概念としてのボリューム領域を指定する方法があります。docker run –v /docker/data/:/datadocker run –v data:/dataDockerでコンテナ間で動的なデータ領域を共有するには、](/image.pl?url=https%3a%2f%2fimage.slidesharecdn.com%2fwhat-is-docker-doing-191213003129%2f75%2fDocker-86-2048.jpg&f=jpg&w=240)
Uploaded byMasahito Zembutsu
36,853 views
コンテナの作り方「Dockerは裏方で何をしているのか?」
Dockerやコンテナについての理解を目指す入門テキストです。CloudNative Days Kansai 2019 - #CNDK2019 における発表資料です。https://cloudnativedays.jp/cndk2019/
More Related Content
What's hot
Similar to コンテナの作り方「Dockerは裏方で何をしているのか?」
![8a1#19[はじめてのdocker] 公開版](/image.pl?url=https%3a%2f%2fcdn.slidesharecdn.com%2fss_thumbnails%2f8a117docker-150313082448-conversion-gate01-thumbnail.jpg%3fwidth%3d600ounds%26amp%3bwidth%3d560%26amp%3bfit%3dbounds&f=jpg&w=240)
More from Masahito Zembutsu
![[1C5] Docker Comose & Swarm mode Orchestration (Japan Container Days - Day1)](/image.pl?url=https%3a%2f%2fcdn.slidesharecdn.com%2fss_thumbnails%2f1c5dockercomposeorchestration-181206021928-thumbnail.jpg%3fwidth%3d600ounds%26amp%3bwidth%3d560%26amp%3bfit%3dbounds&f=jpg&w=240)
コンテナの作り方「Dockerは裏方で何をしているのか?」
- 1.コンテナの作り方「Dockerは裏方で何をしているのか?」を理解する入門テキストSakura internet, Inc.MasahitoZembutsu @zembutsuCloudNative Days Kansai 2019#CNDK20192019, Nov 28
- 2.2この資料は、「Dockerコンテナ」の初学者を対象とした発表資料を、公開用として再編集し、解説を加えたものです。オリジナルは2019年11月28日開催の「CloudNative Days KANSAI2019」です。ご来場の皆さま、登壇者の皆さま、スタッフの皆さん、大変ありがとうございました。本資料以外にも、SlideShareで関連するスライドを公開していますので、ご興味ありましたらご覧ください → https://www.slideshare.net/zembutsu/ちなみに #CNDK2019 の来場者属性(アンケートより)初心者が迷いがちな部分にマーク
- 3.@zembutsu前佛 雅人zembutsu@zembutsuさくらインターネット株式会社 技術本部TechnologyEvangelist / Developer Advocate⚫ 石狩市への小学校プログラミング教育支援プロジェクト → さくらの学校支援プロジェクト (2019~)⚫ 仮想化基盤チーム(クラウドチーム・VPSチーム)⚫ エバンジェリストチーム⚫ 略歴• 1986年 はじめてパソコンに触る• BASIC挫折• 1993年 富山高専(電気工学科)で学び始めるパソコン通信・インターネットとの遭遇• 2000年 富山のIT企業に就職• とあるホスティング&ISPで勤務NOC対応・運用・サポート業務に携わる• 2007年 東京へ• システム運用とか監視をいろいろ、企画• 自動化ツール• 2019年 大阪在住何をしたいの?:普通の人が当たり前に計算資源を活用して、豊かな生活を実現できるように支援する本発表は「コンテナとは何なのか?」「Dockerは何をしているのか?」の2点に絞り、初学者が混乱しがちな部分を整理します
- 4.
- 5.
- 6.
- 7.
- 8.
- 9.
- 10.
- 11.
- 12.Dockerとは何であるかの定義12“Docker allows youto package an applicationwith all of its dependencies into a standardizedunit for software development.”www.docker.com全ての依存関係をパッケージ化して、コンテナとして動かすまずは、Dockerの「定義」からみていきましょう。これは Docker のマスコットキャラクターで名前は Moby です。モビードッカードッカー
- 13.Dockerとは何であるかの定義13“Docker allows youto package an applicationwith all of its dependencies into a standardizedunit for software development.”www.docker.com全ての依存関係をパッケージ化して、コンテナとして動かすDockerはプログラム実行に必要な「すべての依存関係」をパッケージにします。バイナリやライブラリ、設定ファイル等。
- 14.Dockerとは何であるかの定義14“Docker allows youto package an applicationwith all of its dependencies into a standardizedunit for software development.”www.docker.com全ての依存関係をパッケージ化して、コンテナとして動かすパッケージするのは、/ (ルート) ディレクトリ以下、 /bin や /etc や /var などの「Linuxファイルシステム」。それと、「メタ情報」と呼ぶ、どのプロセスを自動実行するか、ポートを公開するなどの汎用情報も入ります。Linuxファイルシステムを
- 15.Dockerとは何であるかの定義15“Docker allows youto package an applicationwith all of its dependencies into a standardizedunit for software development.”www.docker.com全ての依存関係をパッケージ化して、コンテナとして動かすDockerイメージとしてLinuxファイルシステムをDockerは「Dockerイメージ」にパッケージ化。これは、仮想マシンの(ディスク)イメージとは全く異なる概念。Dockerイメージとは、正確には「Dockerコンテナの実行に必要な、命令の入ったテンプレート」なのです。
- 16.Dockerとは何であるかの定義16“Docker allows youto package an applicationwith all of its dependencies into a standardizedunit for software development.”www.docker.com全ての依存関係をパッケージ化して、コンテナとして動かすDockerイメージとしてLinuxファイルシステムをそして、イメージの中にあるファイルを、「コンテナ」として「動かす」のが新しい概念です。コンテナとして動かすとは・・・?
- 17.17Nginxのコンテナを作っておいたよ~先ほどの「Nginx」の例では、「Nginx」のバイナリ、設定ファイル、関連ファイルを Docker イメージにパッケージ化しそれを、「NginxのDockerコンテナ」として実行します。コンテナの実行とは・・・・・?バイナリ設定ファイルデータNginxを実行するために依存関係があるファイルすべてをパッケージ化(この中身は、Linux ファイルシステム)「Nginx が入っている Docker イメージ」を使って、「Nginx の Docker コンテナ」を「実行」するNginx Docker イメージDocker の仕事とはDocker イメージ ≠ Docker コンテナ
- 18.
- 19.
- 20.20(物理または仮想)Linux カーネル +システム・ライブラリ(libc)等コンピュータCPUメモリ記憶装置オペレーティングシステム (OS)の領域OSの領域が記憶装置内のファイルシステム内にあり、メモリ空間への読み込みや CPU で命令を実行します。
- 21.21(物理または仮想)ユーザ空間システム空間Linux カーネル +システム・ライブラリ(libc)等コンピュータCPUメモリ記憶装置オペレーティングシステム (OS)の領域バイナリ 設定ファイル ソースコード データ一般的なプロセス実行一般的なプロセスは、何らかのバイナリのプログラムをもとに、カーネルのユーザ空間で
- 22.22(物理または仮想)ユーザ空間システム空間Linux カーネル +システム・ライブラリ(libc)等コンピュータCPUメモリ記憶装置オペレーティングシステム (OS)の領域プロセスバイナリ 設定ファイル ソースコード データプロセス一般的なプロセス実行プログラムを実行します。この実行状態のプログラムをプロセスと呼び、OS上の様々なリソースにアクセスします。
- 23.23(物理または仮想)ユーザ空間システム空間Linux カーネル +システム・ライブラリ(libc)等コンピュータCPUメモリ記憶装置オペレーティングシステム (OS)の領域バイナリ 設定ファイル ソースコード データコンテナは特別な状態のプロセスのことisolate(隔離)プロセスisolate(隔離)プロセス「コンテナ」としてのプロセスも、プログラムの実行という意味では同じですが、Dockerの介在で、Linuxカーネルなど諸機能によって “isolate” (隔離)したプロセスです。アイソレートアイソレート アイソレート
- 24.24isolate(分離)するア イ ソレ ー ト“名前空間”技術を使ってnamespaceネームスペース
- 25.25isolate(分離)するア イ ソレ ー ト“名前空間”技術を使ってnamespace大事なのは、Dockerで何かのプロセスを実行時、Linuxカーネルにある複数の名前空間技術を使い、特別な状態のプロセス、つまり、様々な名前空間等をisolate(分離)して実行する点です。分離して実行。日本語ではisolateを「隔離」と翻訳することもありますが、意味としては「地理的に異なる場所に引き離す」のではなく、壁や襖のように「分割」「区分けする」や「分離」するという意味合いのほうが、適切と思います。DockerはLinuxプロセスに対して、様々な名前空間やリソース等、「プロセスの実行環境」をネームスペースアイソレート
- 26.
- 27.
- 28.コンテナは特別なプロセスの状態28…/etc /bin(/httpdPID NプロセスAプロセスBrubyPID Mchris.rbPID OコンテナB通常、Linux上で、プログラムをプロセスとして動かし続けるには、/ (ルート)ディレクトリ以下のファイルシステム上にあるバイナリを、プロセスとして起動します。ホスト上
- 29.コンテナは特別なプロセスの状態29コンテナAのファイルシステム… …コンテナBのファイルシステム/etc(/data/ubuntu/etc)/bin(/data/ubuntu/bin)/etc(/data/centos/etc)/bin(/data/centos/bin)/ /httpdPID1プロセスA プロセスBrubyPID 1chris.rbPID 2コンテナA コンテナB改めて「コンテナは特別な状態=isolateしているプロセス」で、お互いのプロセス空間だったりファイルシステムやネットワークなどがisolateしています。
- 30.コンテナは特別なプロセスの状態30コンテナAのファイルシステム… …コンテナBのファイルシステム/etc(/data/ubuntu/etc)/bin(/data/ubuntu/bin)/etc(/data/centos/etc)/bin(/data/centos/bin)/ /httpdPID1プロセスA プロセスBrubyPID 1chris.rbPID 2コンテナA コンテナB名前空間の isolate・プロセス・ファイルシステム・ネットワーク・ホスト名・UID・GID・プロセス間通信、等cgroupでリソース制限・CPU・メモリ・I/O・ディスク・クォータ、等そして、ここで使われる技術が名前空間(namespace)や、cgroupであり、コンテナ内のプロセスは、お互いの状態を知ることができません。
- 31.
- 32.
- 33.PID名前空間33httpdPID 1プロセスhttpd名前空間プロセスruby名前空間rubyPID 1chris.rbPID2名前空間の代表的なものがPID名前空間。「httpd」「ruby」これらの2つのプロセスは、それぞれの名前空間内では、それぞれが PID1 として独立しています。
- 34.PID名前空間34httpdPID 1プロセスhttpd名前空間プロセスruby名前空間rubyPID 1chris.rbPID2/sbin/initPID 1containerdPID 5httpdPID 6rubyPID 7chris.rbPID 8alicePID 2bobPID 3PPID 1 PPID 1PPID 4PPID 5 PPID 5PPID 7PPID 1dockerdPID 4ホスト上には存在ただし、あくまでisolateな状態のなのは「同じ名前空間内」のみ。ホスト上で実際のプロセスは、通常のPIDを持ちます。isolateされているので、名前空間内ではPIDが変換されます。
- 35.PID名前空間35httpdPID 1プロセスhttpd名前空間プロセスruby名前空間rubyPID 1chris.rbPID2/sbin/initPID 1containerdPID 5httpdPID 6rubyPID 7chris.rbPID 8alicePID 2bobPID 3PPID 1 PPID 1PPID 4PPID 5 PPID 5PPID 7PPID 1dockerdPID 4ホスト上には存在また、各PID名前空間内で、PID 1は一番上の特別なプロセス。自分以外のPID名前空間内やホスト側は見えません。
- 36.ファイルシステムを分ける (chroot)36ubuntuのファイルシステム… …centosのファイルシステム/etc/bin /etc /bin/ /Dockerイメージはファイルシステムを、マウント名前空間(mount namespace)で分離します。chrootと似た概念。マウント ネームスペース
- 37.ファイルシステムを分ける (chroot)37ubuntuのファイルシステム… …centosのファイルシステム/etc/bin /etc /bin/ //data/ubuntu /data/centos//etc /data/bin ホスト上には存在コンテナが見えている自分のファイルシステムとは、chrootのようにホスト上をマウントしているため、別のコンテナ用ファイルシステムや、ホスト上の上位ディレクトリにある場所はアクセスできません。
- 38.コンテナは特別なプロセスの状態38httpd の専用ファイルシステム(Dockerイメージ)… …rubyの専用ファイルシステム(Dockerイメージ)/etc(/data/ubuntu/etc)/bin(/data/ubuntu/bin)/etc(/data/centos/etc)/bin(/data/centos/bin)/ /httpdPID 1httpdプロセス専用のPID名前空間ruby プロセス専用のPID名前空間rubyPID 1chris.rbPID 2httpd コンテナの名前空間 ruby コンテナの名前空間名前空間の isolate・プロセス・ファイルシステム・ネットワーク・ホスト名・UID・GID・プロセス間通信、等cgroupでリソース制限・CPU・メモリ・I/O・ディスク・クォータ、等PID名前空間、マウント名前空間以外にも、ネットワークなども分離しています。さらに、それぞれのコンテナにcgroupでリソースの制限も可。ただし、コンテナは仮想マシンではありません。ハードウェアの仮想化は行わず、あくまでも、プロセスを特別な状態にしているだけです。mount名前区間mount名前区間
- 39.
- 40.40技術と仕様Technology Specificationコンテナ Dockerまず、コンテナは複数の「技術」総称であり、Dockerは、いわば「Docker仕様のコンテナ」を動かすためのプラットフォーム総称であり、プログラムの実装です。
- 41.41ユーザ空間システム空間Linux カーネル +システム・ライブラリ(libc)等オペレーティングシステム (OS)の領域プログラム 設定ファイルソースコード データDocker イメージビルドpullDockerイメージ Dockerイメージ※異なるシステム、バージョン、ソースコードDockerイメージを使ってDockerコンテナ(隔離状態)のプロセスを起動Dockerは先ほどのコンテナ状態でプロセスを動かす時、Linuxカーネルと通信したり、Dockerイメージをとってきたりする役割があり、Linux サーバ上では dockerd という名前のデーモンが動きます。これを「Docker エンジンと」呼びます。
- 42.42ユーザ空間システム空間Linux カーネル +システム・ライブラリ(libc)等オペレーティングシステム (OS)の領域プログラム 設定ファイルソースコード データDockerコンテナプロセスDockerコンテナプロセスDocker イメージビルドpullDockerイメージ Dockerイメージ※異なるシステム、バージョン、ソースコードDockerイメージを使ってDockerコンテナ(隔離状態)のプロセスを起動「実装としての」Dockerイメージを用い、Dockerコンテナとしてisolateされたプロセスを動かすのが Docker(エンジン)。実はDocker以外にもコンテナと呼ばれる実装は、LXCなり各種自作なりを含めて複数のものがあります。
- 43.Dockerはサーバ・クライアント型モデル43OS ( Linux)物理/仮想サーバDocker エンジン( dockerd デーモン )Linux kernelコンテナ コンテナ コンテナリモートAPIdockerクライアント TCP あるいはUnix ソケットドメインcontainerdRuntime: runC (OCI規格準拠)・docker コマンドLinux, Mac OS X, Windows・Kitematic (GUI)Mac OS X, Windows・Docker Compose・Docker SwarmDockerコンテナを管理するDockerエンジン(dockerd)はAPIで制御でき、通常は「docker」という名称のコマンドラインで、「docker run hello-world」のように実行します。
- 44.【参考】 Docker Engineのアーキテクチャ44※ Docker Engine v1.11 以降ユーザ(docker CLI等)Docker Container Enginedockerdcontainerd(docker-containerd)shim(docker-containerd-shim)shim(docker-containerd-shim)shim(docker-containerd-shim)runC(runtime-runc)コンテナDocker ImageコンテナDocker ImageコンテナDocker ImageJSON/REST APICNCF/OCI業界標準規格に準拠runC(runtime-runc)runC(runtime-runc)gRPC エンドポイントDocker Engine トップレベルのデーモン(Moby プロジェクトの成果物)Docker イメージに含むファイルを、パラメータに従い、コンテナとして実行コンテナを実際に作成・起動するランタイムのバイナリ・プログラムコンテナやイメージをはじめとし、ネットワーク、ストレージを管理する必要最小限のデーモンランタイムが実行したコンテナを管理厳密には、1つ1つのコンテナはrunCというランタイムが管理し、これらを containerd というデーモンで管理し、docker コマンドの受付や全体の処理を dockerd が行います。ランシー
- 45.
- 46.docker image pull(docker pull)46$ docker image pull hello-worldUsing default tag: latestlatest: Pulling from library/hello-worldd1725b59e92d: Pull completeDigest: sha256:0add3ace90ecb4adbf7777e9aacf18357296e799f81cabc9fde470971e499788Status: Downloaded newer image for hello-world:latestDocker Hubまず、Dockerイメージは、Docker Hubと呼ばれるイメージを共有・共同作業・自動構築するための公開リポジトリ上を通して配布されており、ここからダウンロードしたり、アップロードしたりできます。ドッカーハブドッカー イメージ プル ドッカー プル※Dockerイメージを、ローカルにダウンロードするコマンドDockerイメージを準備するには、自分で構築(ビルド)する方法とダウンロードする方法があります。
- 47.47$ docker pullhello-worldUsing default tag: latestlatest: Pulling from library/hello-worldd1725b59e92d: Pull completeDigest: sha256:0add3ace90ecb4adbf7777e9aacf18357296e799f81cabc9fde470971e499788Status: Downloaded newer image for hello-world:latest「docker pull イメージ名」コマンドの実行は、ユーザ名に相当する名前空間(スラッシュより前)が無ければ、自動的に公式イメージ用の「library」というリポジトリからダウンロードします。docker image pull (docker pull)Docker Hubドッカー イメージ プル ドッカー プル※Dockerイメージを、ローカルにダウンロードするコマンド「pull」コマンドは「引っ張ってくる」という意味です。Docker Hub からイメージを引っ張ってきます。ライブラリ
- 48.
- 49.
- 50.
- 51.
- 52.
- 53.
- 54.54利用者からは1つに見えるdocker image build-t <IMAGE:TAG> .(docker build)そして、Dockerflie の各行が、(抽象概念としての)イメージ・レイヤを構成しています。これは Alpine Linux です。Dockerfile で Docker イメージを自動構築するコマンド:ドッカー イメージ ビルド 疑似tty イメージ・コロン・タグ最後のドットがコンテクスト(Dockerfileのある場所)を指定ドッカーファイル
- 55.55利用者からは1つに見えるhello:v1FROM alpineENTRYPOINT ["/bin/echo"]CMD["こんにちは!こんにちは!"]docker image build -t hello:v1 .(docker build)たとえば、このような Dockerfile を「バージョン1」として、
- 56.56hello:v1FROM alpineENTRYPOINT ["/bin/echo"]CMD[“おはよう!おはよう!"]docker image build -t hello:v2 .hello:v23行目の「CMD」行だけ書き換えたものを「バージョン2」のイメージとしても、増えるのは「CMD」用のレイヤのみ。また、ビルド済みイメージ・レイヤは「キャッシュ」として利用できるので、高速な構築が可能になります。
- 57.Dockerfileで中間コンテナ実行・イメージ作成を自動化❶ まず Dockerfileを書きます。あるいは、GitHub等から取得❷ “docker build” でDocker はイメージを自動構築開始❸完成したイメージでコンテナを起動したりDockerHubに送信を命令1命令2命令3$ mkdir myproject$ cd myproject$ vim Dockerfile$ docker build -t myproj .読み込みイメージレイヤ群を自動構築Dockerfile$ docker run -d myproj$ docker pushDockerがDockerfileを読み込み中間コンテナを起動して命令を実行→docker commitでイメージ化(((commitcommitcommit通常、Docker コンテナを作って実行するまでは、このような流れ
- 58.DockerfileDockerfile にイメージ構築に必要な全ての命令を書く• Dockerイメージは読み込み専用のイメージレイヤ群で構成•各イメージ・レイヤが Dockerfile の命令に相当する• 記述例58FROM ubuntu:18.04 ← “ubuntu:18.04”のイメージから、レイヤを作成もう少し Dockerfile について掘り下げます。Dockerfile は自分でもテキスト・エディタ等で自由に書けます。
- 59.DockerfileDockerfile にイメージ構築に必要な全ての命令を書く• Dockerイメージは読み込み専用のイメージレイヤ群で構成•各イメージ・レイヤが Dockerfile の命令に相当する• 記述例59FROM ubuntu:18.04COPY . /app← “ubuntu:18.04”のイメージから、レイヤを作成← “.” ディレクトリを、コンテナの “/app” にコピーレイヤは親子関係を持ち、依存・参照Dockerfile は上の行から順番に処理が進みます。
- 60.DockerfileDockerfile にイメージ構築に必要な全ての命令を書く• Dockerイメージは読み込み専用のイメージレイヤ群で構成•各イメージ・レイヤが Dockerfile の命令に相当する• 記述例60FROM ubuntu:18.04COPY . /appRUN make /app← “ubuntu:18.04”のイメージから、レイヤを作成← “.” ディレクトリを、コンテナの “/app” にコピー← コンテナ内で “meke /app” を実行レイヤは親子関係を持ち、依存・参照Dockerfileがなくても、「docker history」コマンドでイメージの内容を調べられます。
- 61.DockerfileDockerfile にイメージ構築に必要な全ての命令を書く• Dockerイメージは読み込み専用のイメージレイヤ群で構成•各イメージ・レイヤが Dockerfile の命令に相当する• 記述例61← “ubuntu:18.04”のイメージから、レイヤを作成← “.” ディレクトリを、コンテナの “/app” にコピー← コンテナ内で “meke /app” を実行← コンテナ実行時、デフォルトで実行するコマンドとして”python /app/app.py” を指定FROM ubuntu:18.04COPY . /appRUN make /appCMD python /app/app.py
- 62.Docker BuildKit を使う方法•クライアントの環境変数• Docker デーモン設定ファイル /etc/docker/daemon.json62{ "features": { "buildkit": true }}export DOCKER_BUILDKIT=1現在の Docker 18.03 以降では、 BuildKit を有効にすると、並列ビルドなどによって高速にイメージを構築できます。
- 63.63DockerイメージとDockerコンテナの関係Docker イメージは、複数のイメージ・レイヤによって構成される Linuxファイルシステムでこれを使って「Dockerコンテナ」を「作成」した後、「Dockerコンテナ」としてのプロセスを「実行」します。
- 64.Dockerコンテナ作成とはコンテナ用のレイヤを追加64元のレイヤに対する変更情報を記録Copy on Writeの性質Dockerコンテナの作成とは、元となる Docker イメージのレイヤ上に、読み書き可能なイメージ・レイヤを追加します。そのため、イメージ・レイヤ内のファイルやディレクトリに対する操作は、すべて新しいレイヤ上に記録されます。コンテナ作成時、新しい「読み書き可能」なイメージ・レイヤを追加
- 65.Dockerコンテナ作成とはコンテナ用のレイヤを追加65利用者からは1つに見える元のレイヤに対する変更情報を記録Copy on Writeの性質コンテナ用のレイヤは、Docker イメージのレイヤと同様、1つのファイルシステムとして利用できる特性があるため、Dockerイメージがローカルにある場合、Dockerコンテナの作成は高速になります。
- 66.Dockerコンテナ作成とはコンテナ用のレイヤを追加66利用者からは1つに見える利用者からは1つに見えるだから高速に移動できる・開発を高速化できるリソースを有効に使える “lightweight” な性質元のレイヤに対する変更情報を記録Copyon Write の性質また、複数のコンテナを作成しても、都度コンテナ用のレイヤを追加するだけです。そのため、仮想マシンの作成に比べると、アプリケーションの実行環境を格段に早く準備できます。
- 67.Dockerコンテナ実行とは?67つまり、Dockerコンテナの実行とは、「Dockerイメージ」に「読み書き可能なイメージ・レイヤ」を追加し、ファイルシステム内にあるバイナリを、名前空間を分離した特別な状態のプロセスとして実行することです。バイナリ 設定ファイルソースコード データDockerコンテナプロセスisolateした特別な名前空間でプロセスを実行Dockerコンテナの「作成」 Docker コンテナの「実行」docker container create docker container start+docker container run
- 68.
- 69.69Nginxのコンテナを作っておいたよ~「Nginx」の Docker イメージには、バイナリ、設定ファイル、関連ファイルをパッケージ化し、名前空間でisolate(分離)した特別な状態としてのプロセスを「NginxのDockerコンテナ」として実行します。バイナリ設定ファイルデータNginxを実行するために依存関係があるファイルすべてをパッケージ化(この中身は、Linux ファイルシステム)「Nginx が入っている Docker イメージ」を使って、「Nginx の Docker コンテナ」を「実行」するNginx Docker イメージDocker の仕事とはDocker イメージ ≠ Docker コンテナ
- 70.
- 71.
- 72.723つの Docker 標準ネットワークモデルbridge(bridge)host(host)none(null)ブリッジ(bridge0…)vetheth0ethXDockerでコンテナを実行すると、プロセスの「ネットワーク」や「ホスト名」もisolate(分離)した状態で起動。docker network lsコマンドの実行ではじめから3つのネットワークが表示。
- 73.733つの Docker 標準ネットワークモデルbridge(bridge)ブリッジ(bridge0…)vetheth0ethXnone(null)host(host)複数のブリッジ(ネットワーク)を定義できるデフォルトのbridge0ブリッジは、旧仕様のネットワークで、挙動が異なるデフォルトは「ブリッジ」ドライバを使う「bridge」という名称のネットワークを通して、ホスト側にポートをマッピングport8080port80docker run -p 80:8080
- 74.743つの Docker 標準ネットワークモデルbridge(bridge)host(host)none(null)ブリッジ(bridge0…)vetheth0ethXホスト側のネットワークに直接接続ブリッジのオーバーヘッドがない一方で、セキュリティに対する考慮が必要ホスト側のインタフェースを直接使いたい場合、docker run のオプションで --network=host を指定port8080port8080コンテナでポートを開くと、自動的にホスト側の公開ポートを直接利用する
- 75.753つの Docker 標準ネットワークモデルbridge(bridge)host(host)ブリッジ(bridge0…)vetheth0ethXネットワークを追加しない限り疎通できないnone(null)コンテナ内からインターフェースが見えず、他のコンテナや外部のネットワークに対して疎通させない
- 76.763つの Docker 標準ネットワークモデルbridge(bridge)host(host)none(null)ブリッジ(bridge0…)vetheth0ethXNAT(iptables)+docker-proxyホストとネットワーク共通疎通しないコンテナはパブリックなIPアドレスを持ないホスト側のポート番号を重複して、コンテナのポート利用(マッピング)はできない動的なネットワークの追加・変更・削除
- 77.77コンテナは複数のネットワーク(ブリッジ)に接続できるブリッジ1(bridge)vetheth0ethX各ネットワーク内部では、動的なコンテナ名(サービス)の名前解決機能(サービス・ディスカバリ)を標準提供しているeth0 eth1 eth0ブリッジ2(bridge)veth192.168.0.1172.18.0.2172.18.0.3 172.19.0.2 172.19.0.3172.19.0.1172.19.0.0/16172.18.0.0/16サービス・ディスカバリ連携の負荷分散この画面では、2つのネットワークが存在しています。コンテナは動的にネットワークへ接続・切断できます。
- 78.
- 79.【参考】 swarm modeのネットワーク機能79Multi Host NetworkingWorkernodeWorkernodeWorkernodeoverlaynetworkIngressnetworkコンテナPublishPortRoutingMesh80 443 80 443 80 443負荷分散swarm mode でクラスタを組む場合、複数のサーバ間で共通の ingress ネットワークを利用できます。クラスタのどのノードにアクセスしても、内部ネットワークを通して、コンテナが存在するノードにルーティングし、複数台のコンテナがある場合は負荷分散も行います(コンテナのサービス名で名前解決します)。サービス・ディスカバリ(動的な名前解決)スウォーム・モード公開ポートイングレス・ネットワークオーバレイ・ネットワークワーカーノードルーティング・メッシュ
- 80.
- 81.81データの扱いコンテナA専用ファイル階層File System…//bin/etc/varコンテナB専用ファイル階層File System…//bin/etc/varhello.txtHOSTRootFile System/var/lib/docker/overlay/hello.txt実際のホスト上におけるディレクトリ名やファイル名はストレージドライバの実装によって異なるABUFS( Union File System )この2つのコンテナ(のプロセス)は、別々に独立した(isolateした)ファイル階層を持っています。
- 82.82データの扱いコンテナA専用ファイル階層File System…//bin/etc/varコンテナB専用ファイル階層File System…//bin/etc/varhello.txt×HOSTRootFile System/var/lib/docker/overlay/hello.txtABUFS( Union File System )別の名前空間(Mount namespace)上にあるファイルは、原則として参照できません。実際のホスト上におけるディレクトリ名やファイル名はストレージドライバの実装によって異なる
- 83.83データの扱いコンテナA専用ファイル階層File System…//bin/etc/varコンテナB専用ファイル階層File System…//bin/etc/varhello.txt×HOSTRootFile System/var/lib/docker/overlay/hello.txtABUFS( Union File System )プロセスだけでなく、(名前空間がマウントしている)ファイルシステムもisolate(独立)状態実際のホスト上におけるディレクトリ名やファイル名はストレージドライバの実装によって異なる
- 84.84ボリュームコンテナA専用ファイル階層File System…//bin/etc/varコンテナからはUFSを通して(マウントして)データ領域が見えるストレージ・ドライバのオーバヘッドを受けない複数のコンテナでボリュームを共有できるvolume/data/ボリュームVolume/var/lib/docker/volumes/HOST RootFileSystem例外として、「ボリューム」という抽象的な概念を持つ場所を、コンテナのファイルシステムにマウントできます。これはイメージのレイヤ構造と分かれているため、docker build や docker commit をしても、内容をイメージ化しません。
- 85.85コンテナファイル階層File System/UFS (Union File System)…//bin/varDockerイメージDocker Image/var/lib/docker/image/volume/ボリュームVolume/dataコンテナ用イメージ層Container’sImage Layer//var/lib/docker/volumes//var/lib/docker/containers/ReadOnlyこのように、コンテナ上で見えるファイルシステムは、複数のディレクトリを1つに統合して操作可能にしています。
- 86.86ボリュームは3分類ホストをマウント 名前付きホスト上のディレクトリ/docker/data/data名前無しvolumeボリュームの実体は、ホスト上のディレクトリ/var/lib/docker/volumes/ 以下ボリュームはコンテナ間でデータを共有できるvolume/data/data /etcdocker run –v [ホスト上のパス]:[コンテナ上のパス]で、コンテナ上からホスト上に直接接続(マウント)する方法と、抽象概念としてのボリューム領域を指定する方法があります。docker run –v /docker/data/:/datadocker run –v data:/dataDockerでコンテナ間で動的なデータ領域を共有するには、
- 87.
- 88.Dockerコンテナ実行とは?88バイナリ 設定ファイルソースコード データDockerコンテナプロセスisolateした特別な名前空間でプロセスを実行Dockerコンテナの「作成」 Docker コンテナの「実行」docker container create docker container start+docker container run改めて Docker の仕事は、アプリケーション実行に最低限必要なファイルを Docker イメージにパッケージ化し、その中に含まれているバイナリを、(isolate=分離した)特別な状態のプロセスとして実行することです。
- 89.
- 90.90Nginxのコンテナを作っておいたよ~バイナリ設定ファイルデータNginxを実行するために依存関係があるファイルすべてをパッケージ化(この中身は、 Linux ファイルシステム)「Nginxが入っている Docker イメージ」を使って、「Nginx の Docker コンテナ」を「実行」するNginx Docker イメージDocker の仕事とはDocker イメージ ≠ Docker コンテナNginxであれば、このような利用シーンです。Docker イメージで、Docker コンテナを実行。そして、各イメージ・レイヤは親子関係を持ち、移動や再構築をスムーズに行う仕組みが整っています。
- 91.
- 92.
- 93.
- 94.Dockerとは?94Why Docker?1Dockerコンテナは実行に必要な全てをパッケージして、簡単に動かせる2Dockerイメージは複数イメージ・レイヤとメタ情報の積み重なり 3コンテナのプロセスはデフォルトでisolate(隔離・分離)された状態⚫イメージ・レイヤ(image layer)は読み込み専用⚫ 親子関係がある⚫ イメージに対する変更はCopy onWrite(CoW)処理が走る⚫ コンテナ実行にはイメージが必要で、Docker Hubから得られる⚫ コンテナ実行時のみ、読み書きが可能なレイヤを追加⚫ namespace(名前空間)でプロセス空間やファイルシステムやネットワーク等を分ける技術と、cgroups(コントロール・グループ)でリソースの利用上限を指定⚫ コンテナはポートをデフォルトで開かない⚫ ネットワークはブリッジ、ホスト、noneの3種類⚫ ボリュームはコンテナ間でファイルシステムを共有できる。名前付き(named)とホスト・ボリューム⚫ アプリケーションを簡単に開発し、移動し、実行するためのプログラムとプラットフォームを提供するのがDocker⚫ クライアント・サーバ型https://docker.comプロセスを簡単にコンテナ化(isolate)し、簡単かつ素早く開発・移動・実行できるプラットフォームが DockerContainerization「プロセス・ファイルシステム・ネットワーク・等々」に対してNamespace・CgroupBuild Ship Runコンテナ化 名前空間 シーグループ
- 95.次のステップは?95チュートリアルを試して、実際にコンテナを操作しましょうDocker Meetup Kansai19.06 ハンズオン手順 - Qiitahttps://qiita.com/zembutsu/items/322987181616a54c359a
- 96.私からは以上です。ありがとうございました。【参考資料】• https://slideshare.net/zembutsu• Dockerドキュメント日本語訳http://docs.docker.jp•Docker Composeドキュメント日本語訳http://docs.docker.jp/compose/• 公式ドキュメントhttps://docs.docker.com96