Java程序員需要注意的五大Docker誤區(qū)

責(zé)任編輯:editor005

2016-04-19 14:17:42

摘自:dockone

Docker是很有意思的技術(shù),有一些真實(shí)有效的使用場(chǎng)景。在使用Docker之前,必須了解Docker容器和虛擬機(jī)有很多本質(zhì)的區(qū)別。

Docker是很有意思的技術(shù),有一些真實(shí)有效的使用場(chǎng)景。作為一個(gè)新興技術(shù),還需要大量時(shí)間來(lái)解決缺失的功能和已知的bug。但是,現(xiàn)在這個(gè)領(lǐng)域的確有很多的炒作。不過(guò)記住哦,炒作可不是成功~

網(wǎng)+線下沙龍 | 移動(dòng)APP模式創(chuàng)新:給你一個(gè)做APP的理由>>

Docker現(xiàn)在很火,容器技術(shù)看上不無(wú)所不能,但這實(shí)際上是一種誤解,不要被炒作出來(lái)的泡沫迷住雙眼,本文拋去炒作,理性地從Java程序員的角度,列舉出Docker目前的五大誤區(qū),幫助你更好地理解Docker的優(yōu)勢(shì)和問(wèn)題。

拋去那些媒體和廠商們的炒作,我們?nèi)绾尾拍芨酶硇缘氖褂肈ocker?

Docker最近備受關(guān)注,原因顯而易見(jiàn)。如何成功交付代碼一直困擾著大家。傳統(tǒng)的容器技術(shù)在眾多需求和模板中亂成一團(tuán)。而Docker可以簡(jiǎn)單且 重復(fù)的創(chuàng)建容器。相比其它容器,使用Docker可以更快、更自然的交付代碼。Duang,Docker火了!隨之而來(lái)也有一些誤解和誤區(qū)。不要太相信別 人說(shuō)Docker好用或者不好用。自己理性地全面思考一下Docker,會(huì)幫助你真正理解是否真的需要它。

本文列舉了從Java角度的五大Docker誤讀。不過(guò)首先介紹些背景知識(shí)。為了更好地理解Docker,我們咨詢了Fewbytes的Avishai Ish-Shalom,他有豐富的Docker經(jīng)驗(yàn),也是DevOps Days會(huì)議的組織者。我們和他一起列舉出了這些誤解。

主要誤區(qū)

1. Docker是輕量級(jí)虛擬機(jī)

這是大家初學(xué)Docker時(shí)最主要的誤解。這種誤解倒也情有可原,Docker的確看上去有點(diǎn)像虛擬機(jī)。Docker網(wǎng)站上甚至有人比較了Docker和虛擬機(jī)的區(qū)別。但是,Docker實(shí)際上不是輕量級(jí)虛擬機(jī),而是改進(jìn)了的Linux容器(LXC)。Docker和虛擬機(jī)是完全不一樣的,如果你把Docker容器當(dāng)成輕量級(jí)虛擬機(jī)來(lái)用,會(huì)遇到很多問(wèn)題。

在使用Docker之前,必須了解Docker容器和虛擬機(jī)有很多本質(zhì)的區(qū)別。

資源隔離:Docker達(dá)不到虛擬機(jī)所能提供的資源隔離水平。虛擬機(jī)的資源是高度隔離的,而Docker從設(shè)計(jì)之初就需要共享一些資源,這些資源是Docker無(wú)法隔離和保護(hù)的,比如頁(yè)緩存和內(nèi)核熵池。(注:內(nèi)核熵池很有趣,它收集并且存儲(chǔ)系統(tǒng)操作生成的隨機(jī)比特。機(jī)器在需要隨機(jī)化時(shí)會(huì)使用這個(gè)池,比如密碼相關(guān)。)如果Docker容器占用了這些共享資源,那么其它進(jìn)程在這些資源被釋放前只能等待。

開(kāi)銷:大多數(shù)人都知道虛擬機(jī)的CPU和RAM能提供類似物理機(jī)的性能,但是有很多額外的IO開(kāi)銷。因?yàn)榉艞壛颂摂M機(jī)的guest OS,Docker的package更小,比起虛擬機(jī)需要更少的存儲(chǔ)開(kāi)銷。但這并不意味著Docker沒(méi)有任何開(kāi)銷問(wèn)題。Docker容器依然需要注意 IO開(kāi)銷的問(wèn)題,只不過(guò)沒(méi)有虛擬機(jī)嚴(yán)重而已。

內(nèi)核使用:Docker容器和虛擬機(jī)在內(nèi)核使用上完全不同。每個(gè)虛擬機(jī)使用一個(gè)內(nèi)核。Docker容器則是在所有容器間共享內(nèi)核。共享內(nèi)核帶來(lái)一些 效率的提升,但是以高可用和冗余為代價(jià)。如果虛擬機(jī)發(fā)生了內(nèi)核崩潰,只有這個(gè)內(nèi)核上的虛擬機(jī)會(huì)受影響。而Docker容器如果內(nèi)核崩潰了,所有的容器都會(huì) 受影響。

2. Docker使得應(yīng)用可擴(kuò)展

因?yàn)镈ocker可以在很短的時(shí)間內(nèi)在多個(gè)服務(wù)器上部署代碼,自然有人會(huì)覺(jué)得Docker可以讓?xiě)?yīng)用自身變得可擴(kuò)展。不幸的是,這是錯(cuò)誤的。代碼是 應(yīng)用的基石,而Docker并不會(huì)重寫(xiě)代碼。應(yīng)用的可擴(kuò)展性依然取決于程序員。使用Docker并不會(huì)自動(dòng)得讓你的代碼易于擴(kuò)展,只是讓這些代碼更容易跨 服務(wù)器部署而已。

3. Docker在生產(chǎn)環(huán)境廣為使用

因?yàn)镈ocker勢(shì)頭正勁,很多人便認(rèn)為Docker可以在生產(chǎn)環(huán)境上大規(guī)模使用。事實(shí)上,這是不對(duì)的。注意Docker還是很新的技術(shù),還不成 熟,正在成長(zhǎng),這意味著還有很多煩人的bug和待完善的功能。對(duì)新技術(shù)感興趣這沒(méi)錯(cuò),但是最好要弄清楚新技術(shù)的正確使用場(chǎng)景和需要注意的地方。現(xiàn) 在,Docker很容易應(yīng)用到開(kāi)發(fā)環(huán)境。使用Docker可以很容易地搭建出很多不同的環(huán)境(至少,給人的感覺(jué)是能夠搭建出不同的環(huán)境),這對(duì)于開(kāi)發(fā)很有 用。

而在生產(chǎn)環(huán)境中,Docker的不成熟和不完善也限制了使用場(chǎng)景。比如,Docker不直接支持對(duì)多機(jī)器的網(wǎng)絡(luò)和資源的監(jiān)控,這使得它幾乎無(wú)法在生 產(chǎn)環(huán)境中使用。當(dāng)然也有很多有潛力的地方,比如可以將同一個(gè)package從開(kāi)發(fā)環(huán)境直接部署到生產(chǎn)環(huán)境。還有一些Docker運(yùn)行時(shí)特性對(duì)于生產(chǎn)環(huán)境也 很有用。但是總的來(lái)說(shuō),在生產(chǎn)環(huán)境里,目前不足多于優(yōu)勢(shì)。這并不是說(shuō)無(wú)法成功運(yùn)用到生產(chǎn)環(huán)境,只是現(xiàn)在還不能指望它一下子成熟和完美。

4. Docker是跨OS的

另一個(gè)誤解是Docker在任意操作系統(tǒng)和環(huán)境上都可以工作。這可能來(lái)自于裝卸貨物的集裝箱的類比,但是軟件和操作系統(tǒng)的關(guān)系可不像船位那么簡(jiǎn)單直接。

實(shí)際上,Docker只是Linux上的技術(shù)。并且Docker依賴特定的內(nèi)核特性,必須要有最新版本的內(nèi)核才行?;诓煌琌S的差異性,跨OS 時(shí),如果使用的不是最底層通用的特性,會(huì)遇到很多麻煩的問(wèn)題。這些問(wèn)題可能只有1%的發(fā)生率,但是當(dāng)你在多臺(tái)服務(wù)器上部署時(shí),1%也是致命的。

雖然Docker只在Linux上運(yùn)行,但是也可以在OS X或者Windows上使用Docker。使用boot2docker會(huì)在OS X或Windows機(jī)器上運(yùn)行一個(gè)Linux虛擬機(jī),這樣Docker可以在這個(gè)虛擬機(jī)里運(yùn)行。

5. Docker增強(qiáng)應(yīng)用的安全性

覺(jué)得Docker可以改進(jìn)代碼和交付代碼過(guò)程的安全性,這也是誤解。這也是真實(shí)的集裝箱和軟件上容器的差別。Docker是一種容器化技術(shù),添加了 編排方法。但是Linux的容器有一些安全漏洞可能會(huì)被攻擊。Docker并沒(méi)有為這些漏洞添加任何安全層或者補(bǔ)丁。它還不是能保護(hù)應(yīng)用的鐵布衫。

從Java角度看

一些Java開(kāi)發(fā)人員已經(jīng)開(kāi)始使用Docker。Docker的某些特性讓我們更容易構(gòu)建可擴(kuò)展的上下文環(huán)境。不像uber-jar,Docker 可以幫助你將所有的依賴(包括JVM)打包到一個(gè)隨時(shí)可發(fā)布的鏡像中。這也是Docker對(duì)于開(kāi)發(fā)人員來(lái)說(shuō)最迷人的地方。但是,這也會(huì)帶來(lái)一些隱患。一般 來(lái)說(shuō),程序員需要用不同的方式和代碼交互 – 監(jiān)控它,調(diào)試它,連接它,調(diào)優(yōu)它….如果使用Docker,這些都會(huì)需要額外的工作。

比如,我們想使用jconsole,它依賴于JMX功能,JMX因?yàn)橐褂肦MI又需要網(wǎng)絡(luò)。使用Docker的話就不是很直接,需要一些技巧去開(kāi) 啟所需端口。我們最初發(fā)現(xiàn)這個(gè)問(wèn)題是當(dāng)我們想要構(gòu)建Takipi的Docker應(yīng)用,我們不得不在容器里JVM之外運(yùn)行了一個(gè)后臺(tái)程序。詳細(xì)的解決方案在 GitHub上。

另外一個(gè)很嚴(yán)重的問(wèn)題是Docker容器的性能調(diào)優(yōu)相當(dāng)困難。當(dāng)使用容器時(shí),你不知道每個(gè)容器到底會(huì)分配多少內(nèi)存。如果你有20個(gè)容器,內(nèi)存會(huì)以你 不確定的方式分配給它們。如果你打算用參數(shù)-Xmx調(diào)優(yōu)堆的大小,就很困難,因?yàn)閷?duì)Docker容器內(nèi)JVM的處理取決于能夠自動(dòng)得到該容器分配到的內(nèi)存 大小。如果都不知道分配了多少內(nèi)存,性能調(diào)優(yōu)幾乎不可能。

結(jié)論

Docker是很有意思的技術(shù),有一些真實(shí)有效的使用場(chǎng)景。作為一個(gè)新興技術(shù),還需要大量時(shí)間來(lái)解決缺失的功能和已知的bug。但是,現(xiàn)在這個(gè)領(lǐng)域的確有很多的炒作。不過(guò)記住哦,炒作可不是成功~

鏈接已復(fù)制,快去分享吧

企業(yè)網(wǎng)版權(quán)所有?2010-2024 京ICP備09108050號(hào)-6京公網(wǎng)安備 11010502049343號(hào)