Docker: От фундаментальных основ до профессиональной эксплуатации в продакшене

Комплексный курс по контейнеризации, охватывающий путь от архитектурных принципов и CLI до продвинутой оркестрации, оптимизации и безопасности. Студенты научатся проектировать масштабируемые среды и внедрять лучшие практики CI/CD.

1. Основы контейнеризации и фундаментальная архитектура Docker

Основы контейнеризации и фундаментальная архитектура Docker

Представьте, что вы разработали веб-приложение на Python 3.10. Оно прекрасно работает на вашем ноутбуке с macOS, но при попытке запуска на сервере под управлением CentOS 7 всё ломается. Выясняется, что системный Python там версии 2.7, библиотека OpenSSL устарела, а специфическая зависимость для обработки изображений требует компилятор, которого нет в репозиториях старой ОС. Ситуация «у меня на машине всё работает» (It works on my machine) десятилетиями была проклятием индустрии, пожиравшим до 30% времени разработчиков и системных администраторов. Docker появился не просто как инструмент, а как ответ на фундаментальный кризис несовместимости сред исполнения.

Эволюция изоляции: от «железа» к процессам

Чтобы понять Docker, нужно проследить путь, который прошла индустрия в попытках изолировать приложения друг от друга. В эпоху «голого железа» (Bare Metal) на один физический сервер устанавливалась одна операционная система, в которой запускались все сервисы. Если базе данных требовалось обновить системную библиотеку, это могло вывести из строя веб-сервер, работающий на той же машине.

Первым прорывом стала аппаратная виртуализация (Virtual Machines, VM). Гипервизор (например, VMware или KVM) позволял запускать на одном физическом сервере несколько независимых операционных систем. Каждая виртуальная машина включает в себя:

  • Полную копию гостевой ОС (ядро, драйверы, системные утилиты).
  • Виртуальное оборудование (диск, сетевая карта, оперативная память).
  • Само приложение и его зависимости.

    • Проблема VM заключается в избыточности. Если вам нужно запустить десять микросервисов, каждый из которых весит 50 МБ, вам придется запустить десять копий гостевой ОС, каждая из которых потребляет по 1–2 ГБ оперативной памяти и занимает десятки гигабайт на диске. Это колоссальные накладные расходы на ресурсы и время загрузки (минуты на старт ОС).

    Контейнеризация предлагает другой подход. Вместо того чтобы эмулировать оборудование и запускать целую ОС, контейнеры используют ядро хостовой (основной) операционной системы. Контейнер — это, по сути, изолированный процесс в основной ОС, который «думает», что он работает в гордом одиночестве.

    Сравнение архитектурных моделей

    | Характеристика | Виртуальные машины (VM) | Контейнеры (Docker) | | :--- | :--- | :--- | | Изоляция | Аппаратная (через гипервизор) | Программная (на уровне ядра ОС) | | Гостевая ОС | Полная копия в каждой VM | Отсутствует (используется ядро хоста) | | Размер | ГБ | МБ | | Скорость запуска | Минуты | Миллисекунды / Секунды | | Производительность | Накладные расходы на эмуляцию | Почти нативная (как у обычного процесса) |

    Фундамент Docker в ядре Linux

    Docker не изобрел изоляцию с нуля. Он стал удобной надстройкой над механизмами, которые годами развивались в ядре Linux. Понимание этих механизмов критически важно для осознания того, почему Docker работает именно так, а не иначе.

    Namespaces (Пространства имен)

    Это механизм, который определяет, что процесс может «видеть». Когда Docker запускает контейнер, он создает для него набор пространств имен:
  • PID (Process ID): Контейнер видит свои процессы как начинающиеся с ID 1, хотя в основной системе они имеют совсем другие номера. Это позволяет процессу внутри контейнера считать себя «главным».
  • NET (Network): Контейнер получает собственный стек сетевых протоколов, свои IP-адреса и таблицу маршрутизации.
  • MNT (Mount): Контейнер имеет собственную файловую систему, не видя файлов хоста, если это не разрешено явно.
  • UTS (Unix Timesharing System): Позволяет контейнеру иметь собственное имя узла (hostname).
  • IPC (Inter-Process Communication): Изолирует средства взаимодействия между процессами (очереди сообщений, общая память).

    • Control Groups (cgroups)

    Если Namespaces ограничивают видимость, то cgroups ограничивают потребление ресурсов. Без них один «прожорливый» контейнер мог бы занять всю оперативную память сервера, вызвав сбой остальных сервисов. Через cgroups Docker устанавливает лимиты на:
  • Использование CPU (в процентах или долях ядер).
  • Объем оперативной памяти (RAM).
  • Пропускную способность дискового ввода-вывода (I/O).
  • Сетевой трафик.

    • Union File Systems (UnionFS)

    Это технология, позволяющая объединять несколько файловых систем в одну, накладывая их друг на друга слоями. Именно благодаря UnionFS (в Docker чаще всего используется драйвер overlay2) образы Docker такие компактные. Если у вас есть 10 образов, базирующихся на Ubuntu, сама Ubuntu будет храниться на диске в единственном экземпляре, а каждый образ будет лишь тонким слоем изменений поверх неё.

    Архитектура Docker: Клиент-серверная модель

    Docker — это не монолитное приложение, а распределенная система, состоящая из нескольких ключевых компонентов.

    Docker Daemon (dockerd)

    Это «сердце» системы. Демон работает в фоновом режиме на хост-машине и управляет всеми объектами: образами, контейнерами, сетями и томами. Он слушает запросы от Docker API и выполняет тяжелую работу по взаимодействию с ядром ОС.

    Docker Client (docker)

    Это консольная утилита, с которой взаимодействует пользователь. Когда вы вводите команду docker run, клиент отправляет REST-запрос к Docker Daemon. Важно понимать: клиент и демон не обязательно должны находиться на одной машине. Вы можете управлять Docker-сервером в облаке со своего локального ноутбука.

    Docker Registry

    Место хранения образов. По умолчанию это Docker Hub — публичное хранилище, где лежат официальные образы для большинства популярных технологий (Nginx, PostgreSQL, Node.js). Компании часто используют приватные Registry для хранения своих проприетарных разработок.

    Жизненный цикл: Образ vs Контейнер

    Одной из главных трудностей для новичков является понимание разницы между образом (Image) и контейнером (Container). Здесь уместна аналогия из объектно-ориентированного программирования:

    > Образ — это класс. Контейнер — это экземпляр (объект) класса. > > Образ — это чертеж здания. Контейнер — это само здание, построенное по этому чертежу.

    Docker Image (Образ)

    Это инертный, неизменяемый (read-only) файл, который содержит в себе всё необходимое для запуска приложения: код, среду выполнения, библиотеки, переменные окружения и конфигурационные файлы.

    Образы строятся слоями. Рассмотрим гипотетический образ веб-приложения:

  • Слой 1: Базовая ОС (например, Alpine Linux — 5 МБ).
  • Слой 2: Установленный Python 3.9.
  • Слой 3: Библиотеки из requirements.txt.
  • Слой 4: Исходный код приложения.

    • Если вы измените одну строку в коде, Docker при сборке пересоберет только 4-й слой. Первые три останутся нетронутыми и будут взяты из кэша. Это делает процесс разработки и доставки невероятно быстрым.

    Docker Container (Контейнер)

    Когда вы запускаете образ, Docker добавляет поверх всех неизменяемых слоев один тонкий «записываемый слой» (Writable Layer). Все изменения, которые приложение делает во время работы (пишет логи, создает временные файлы), происходят именно в этом слое.

    Если контейнер удалить, записываемый слой исчезнет. Именно поэтому контейнеры считаются эфемеровыми (временными). Данные, которые должны жить долго (например, файлы базы данных), никогда не хранятся внутри самого контейнера — для этого используются внешние хранилища (Volumes), о которых мы поговорим в следующих главах.

    Почему Docker — это стандарт индустрии?

    Успех Docker обусловлен не только технологиями ядра Linux, но и созданием единого стандарта упаковки. До Docker существовали другие системы контейнеризации (например, LXC или Solaris Zones), но они были сложны в настройке и не имели удобного способа передачи приложения от разработчика к администратору.

    Изоляция зависимостей

    Вы можете запустить на одном сервере два приложения: одно требует Java 8, другое — Java 17. В обычной ОС это превратилось бы в кошмар с настройкой путей и конфликтами переменных окружения. В Docker каждое приложение живет в своем «пузыре» со своей версией Java, не подозревая о существовании соседа.

    Идемпотентность и воспроизводимость

    Docker гарантирует, что образ, собранный на ноутбуке разработчика, будет идентичен образу, запущенному в тестовой среде и в продакшене. Это устраняет человеческий фактор при деплое. Больше нет инструкций в духе «установите это, затем скачайте то, и не забудьте поправить конфиг в /etc/». Весь процесс описан в одном файле — Dockerfile.

    Масштабируемость

    Поскольку контейнеры запускаются мгновенно и потребляют мало ресурсов, ими легко управлять в больших масштабах. Если нагрузка на ваш интернет-магазин выросла, вы можете за секунды поднять еще 10 экземпляров контейнера с веб-сервером.

    Ограничения и важные нюансы

    Несмотря на мощь, Docker — не «серебряная пуля». Есть фундаментальные ограничения, вытекающие из его архитектуры.

  • Зависимость от ОС: Поскольку контейнеры используют ядро хоста, вы не можете запустить «чистокровный» Windows-контейнер на Linux-сервере напрямую (и наоборот). Docker Desktop на Windows и macOS использует для этого скрытую легкую виртуальную машину с Linux.
  • Безопасность: Изоляция на уровне ядра слабее, чем аппаратная изоляция VM. Если злоумышленник найдет уязвимость в ядре Linux, он теоретически может совершить «побег из контейнера» и получить доступ к хост-системе. Поэтому запуск процессов от имени root внутри контейнера считается плохой практикой.
  • Хранение данных: По умолчанию контейнеры не сохраняют состояние. Если вы забыли подключить внешний том к базе данных и удалили контейнер — ваши данные потеряны навсегда.

    • Механизм работы Copy-on-Write (CoW)

    Чтобы глубже понять эффективность Docker, нужно разобрать стратегию «копирования при записи». Как было сказано выше, образы состоят из неизменяемых слоев. Когда процессу внутри контейнера нужно изменить файл, существующий в одном из нижних (образных) слоев, происходит следующее:

  • Docker ищет файл в слоях сверху вниз.
  • Найденный файл копируется в верхний записываемый слой контейнера.
  • Изменения вносятся в эту копию.
  • Оригинальный файл в слое образа остается нетронутым.

    • Это позволяет сотням контейнеров использовать один и тот же образ, занимая на диске место только под те файлы, которые они реально изменили. Если контейнер просто читает данные, он обращается напрямую к слоям образа.

    Взаимодействие компонентов: Пример запуска Nginx

    Разберем, что происходит «под капотом», когда вы вводите команду: docker run -d -p 80:80 nginx

  • Docker Client принимает команду, проверяет синтаксис и преобразует её в API-вызов к Docker Daemon.
  • Docker Daemon проверяет, есть ли образ nginx в локальном хранилище.
  • Если образа нет, демон идет в Docker Hub, скачивает слои образа и сохраняет их локально.
  • Демон создает контейнер:
    • - Выделяет пространство имен (Namespaces). - Устанавливает лимиты (cgroups). - Настраивает виртуальный сетевой интерфейс. - Монтирует слои образа в режиме Read-Only и добавляет Writable Layer.
  • Демон запускает процесс внутри контейнера (в данном случае — исполняемый файл Nginx).
  • Флаг -d (detached) говорит демону вернуть управление клиенту, оставив контейнер работать в фоне.
  • Флаг -p 80:80 создает правило проброса портов: трафик, приходящий на 80-й порт физического сервера, перенаправляется на 80-й порт внутри изолированной сети контейнера.

    • Теперь ваше приложение доступно всему миру, хотя оно «заперто» внутри контейнера и не имеет прямого доступа к файлам вашего сервера.

    Роль Docker в современной экосистеме

    Docker стал фундаментом для облачных технологий (Cloud Native). Без него было бы невозможно существование Kubernetes — системы, которая управляет тысячами таких контейнеров. Он изменил подход к CI/CD (Continuous Integration / Continuous Delivery): теперь артефактом сборки является не .jar файл или папка с PHP-скриптами, а готовый Docker-образ, который можно запустить где угодно.

    Понимание архитектуры — это первый шаг. В следующей главе мы перейдем от теории к практике: установим Docker и научимся управлять им через интерфейс командной строки, разбирая каждую опцию и её влияние на систему.