专家解惑丨带你从系统管理员角度深入了解 Docker

本文首发自“Docker公司”公众号（ID：docker-cn）
编译丨小东
每周一、三、五 与您不见不散！

---

此前，我做了一场题为“从系统管理员角度看 Docker”的分享，缘起于我们经常可以看到这样的场景：一位系统管理员正坐在他的办公桌处理自己手上的事情，此时一名开发人员走进来说：“这是新的应用，它在 Docker 镜像中。请尽快部署。”此次分享意在给系统管理员提供一些帮助，指导他们如何考虑在生产环境中管理容器化的应用。

---

由于时间关系，我可能无法逐一回答所有提问。以下只列出一些常见的问题及解答：

问：我正在计划部署一个应用，并希望使用 Docker。您目前推荐使用什么云服务？我可以选择 GCP，Azure，AWS。1) 总体成本 2) 性能如何？

答：如果要准确回答这个问题，需要相当深入地了解您的应用。所以，我可能无法提供一个非常具体的回答。我想说，如果您今天选择一个云服务提供商，并意识到将来可能会发生改变，那么 Docker 将使其变得非常容易，因为容器化的负载可以在不同的云服务提供商之间轻松地移动。因此，先明确您的技术和业务出发点，据此选择最好的供应商。如果日后需要调整，则可以从容应对。

---

问：容器的最大大小是多少？

答：没有所谓的最大大小。如果需要，容器可以使用给定节点的所有物理或虚拟资源。不过，如果不希望这样做，则可以为 CPU 和内存设置最小值和最大值。

---

问：是否可以在运行 Docker 引擎的 Windows 主机中运行 Ubuntu 容器？

答：原生是不可以的。不过，您总是可以在 Windows 主机上运行一个 Linux 虚拟机来运行基于 Linux 容器。在 DockerCon 大会上，微软宣布他们将来会在 Windows 中包含原生的 Linux 容器。敬请关注相关的信息。

---

问：DDC 现在可以同时运行 Linux 和 Windows 工作负载吗？如果还没有，那么是否已经在规划相关的功能？

答：Docker的 swarm 模式目前可以在同一个群集中管理 Linux 和 Windows 工作负载。此功能将很快出现在 Docker 企业版/Docker Data Center 中。

---

问：Docker 是否有类似于 Black Duck 的镜像扫描工具？

答：有。Docker 企业版高级版包括 Docker 安全扫描功能。通过此功能，可以设置 Docker Trusted Registry 扫描镜像是否存在已知的漏洞和攻击。

---

问：是否仍推荐使用 Hypervisor 以允许群集主机？还是真的不需要了？我可以使用 Docker 原生的工具进行群集吗？或许可以用 Swarm？

答：到底是在物理机还是在虚拟机上运行容器，需要考虑多个因素。这并没有现成的答案。您需要考虑诸如成本、性能、利旧、灾难恢复等多个因素，然后决定什么才是最合适的。无论如何，您可以构建同时包括物理机和虚拟机的 swarm 模式群集。

---

问：主机之间的安全通信是什么？是 TLS 1.2？

答：是的，是 TLS 1.2。

---

问：我想开始尝试 DDC。是否有测试版本？Docker for Azure / AWS 是使用 DDC 作为底层吗？

答：是的，您可以从 Docker Store 中获得 Docker 企业版 30 天试用版本。Docker for Azure 和 Docker for AWS 可以部署 DDC （并不是真正的底层，因为 DDC 安装在 AWS 或 Azure 基础设施上）。

---

问：当节点停止并移动工作负载时，存储是否随之移动？

答：这种情况下，容器在迁移时，存储卷不随之移动。但是，有许多第三方插件，可以帮助解决这种情况。

---

问：是否有方法更新用于构建应用程序的基本镜像？

答：一旦更新了基本镜像，就需要重新构建这些应用程序。

---

问：如果客户希望在其数据中心进行安装，但是没有连接，应如何设置 DDC？DTR 如何获取镜像的更新？我们如何安装 DDC？

答：对于在不联网情况下的安装，请按照以下说明操作(https://docs.docker.com/datacenter/ucp/2.0/guides/installation/install-offline/) 。此外，还可以从一个文件中加载 Docker Trusted Registry 的安全扫描数据库。

---

问：如何在 Docker中使用 Chef/Puppet 来管理镜像？

答：实际上，我主张将 Dockerfiles 集成到您现有的源代码管理实践中，而不是使用某些配置管理工具来管理镜像。