# 第2章 技術棧 生產環境的Docker設置包括了一些基本的架構組件，這些組件對運行容器化的及傳統的服務器集群來說是通用的。在很多方面，可以簡單地認為構建和運行容器的方式與當前構建和運行虛擬機的方式是一樣的，只是使用了一套新的工具和技術。 （1）構建并保存鏡像快照。 （2）將鏡像上傳到倉庫中。 （3）下載鏡像到某臺宿主機中。 （4）以容器方式運行鏡像。 （5）將容器連接到其他服務上。 （6）路由流量到容器中。 （7）將容器日志發送到指定位置。 （8）監控容器。 與虛擬機不同的是，容器通過將宿主機（裸機或虛擬機）與應用程序服務隔離，從而提供了更高的靈活性。這為構建和配備流程帶來了直接的改善，但由于額外的容器嵌入層，會增加一些開銷。 典型的Docker技術棧將包括用于解決以下關注點的組件： - 構建系統； - 鏡像倉庫； - 宿主機管理； - 配置管理； - 部署； - 編排； - 日志； - 監控。 - 如何構建鏡像，并將其推送到鏡像倉庫中？ - Dockerfile位于何處？ 構建Docker鏡像通常有以下兩種方式。 （1）在開發人員電腦上手工構建，然后推送到到倉庫中。 （2）使用CI/CD系統在代碼提交時自動構建。 理想的Docker生產環境將使用類似Jenkins或Codeship這樣的CI/CD（配置集成/持續部署）系統，在代碼提交時自動構建鏡像。一旦容器構建完畢，它將被發送到鏡像倉庫中，自動化測試系統就可以從中下載并運行該鏡像。 - Docker鏡像保存在哪里？ 當前的Docker鏡像倉庫可靠性比較差，但是每個月都在改善。Docker官方的鏡像[倉庫中心](https://registry.hub.docker.com)是眾所周知的不可靠，需要額外的重試和故障保護措施。多數團隊一般會在自己的基礎設施上運行私有的鏡像倉庫，以減少網絡傳輸成本和延遲。 - 如何配備宿主機？ - 如何升級宿主機？ 由于Docker鏡像包含了應用及其依賴，宿主機管理系統通常只需要添加新服務器，配置訪問權限和防火墻，并安裝Docker守護進程即可。 類似亞馬遜的[EC2 Container Service](http://aws.amazon.com/ecs/)這類服務將消除對傳統宿主機管理的依賴。 - 如何定義容器的集群？ - 如何處理宿主機和容器運行時的配置？ - 如何管理密鑰和機密信息？ 一個基本規則是：盡量避免使用傳統的配置管理系統。其增加的復雜性往往會造成故障。[Ansible](http://www.ansible.com/)、[SaltStack](http://saltstack.com/)、[Chef](https://www.chef.io/chef/)或[Puppet](https://puppetlabs.com/)這類工具僅用于配備帶有Docker守護進程的宿主機。盡可能試著擺脫對舊的配置管理系統的依賴，并使用本書所述的發現和集群技術轉移到自我配置的容器上。 - 如何將容器放置在宿主機上？ 鏡像部署有以下兩種基本方法。 （1）**推送** ——部署或編排系統將鏡像推送給相關宿主機。 （2）**拉取** ——事先或按需從鏡像倉庫拉取鏡像。 - 如何將容器組織成集群？ - 在哪些服務器上運行容器？ - 如何調度服務器資源？ - 如何運行容器？ - 如何將流量路由給容器？ - 如何讓容器公開和發現服務？ “編排 = 強力膠帶”。至少多數情況下可以這么認為。 市面上有很多處于早期階段的全功能容器編排系統，如[Docker Swarm](https://docs.docker.com/swarm/)、[Kubernetes](http://kubernetes.io/)、[Mesos](http://mesos.apache.org/)和[Flynn](http://flynn.io/)。但對大多數團隊而言，這些系統通常過于強大，增加了在生產環境中出現問題時調試的復雜度。決定使用哪個工具來完成編排常常是設置和運行Docker中最艱難的部分。 在第3章中，我們將講述Peerspace所采取的一種構建Docker系統的簡約方法。