CoreOS 实战:在 UOS上体验CoreOS 操作全记录

CoreOS 实战:在 UOS上体验CoreOS 操作全记录

近期 UnitedStack 公有云在国内率先提供了对 CoreOS 的支持,广大玩家可以很轻松地在 UOS 上体验、研究 CoreOS 了。以下是一点经验分享,抛砖引玉,希望能给大家带来些许帮助。

CoreOS 和 docker 简介

关注云计算的同学一定注意到了 docker ,而关注 docker 的朋友,也一定听说过 CoreOS 。它们都是近期很火热的焦点,网上铺天盖地有各式各样的介绍,不再引述,这里仅说一点个人看法。

可以说,CoreOS 是Linux发行版中的一朵奇葩,而 docker 是虚拟化领域的一朵奇葩,二者合在一起,于是我们得到了。。。两朵奇葩。。。哈哈,玩笑。严肃讲,CoreOS 不是以传统模式做的 OS:

1  传统的 Linux 发行版(除了Gentoo这样的奇葩),都有包管理体系、软件包repo,系统安装的过程就是从repo(可以是http/ftp、nfs、iso等)中获取软件包解包安装。而 CoreOS 压根就没有包管理机制,官方直接发布二进制的系统映像,安装方式就是dd。不过映像格式倒是很丰富,ISO、PXE、各大虚拟机、多种云平台一应俱全。

CoreOS 实战:在 UOS上体验CoreOS 操作全记录

2 分区模式也比较独特,号称有两个root分区,一个用于常规启动,另一个作为更新分区,系统更新将会被安装到更新分区。两个分区可以切换,系统更新后,更新分区会自动变为常规启动分区,重启就会加载新系统。在支持的平台上,使用kexec方式重启,避免漫长的硬件自检过程,仅需数秒即可完成。从实际的分区列表看,具体实现细节要更复杂,精力所限笔者尚未深究,有了解的同学还请不吝赐教,谢谢!

CoreOS 实战:在 UOS上体验CoreOS 操作全记录

3 CoreOS 设计之初,就没打算让用户以传统的裸进程的方式跑服务,而是全部通过docker来运行应用,CoreOS 就是一个极简的、只跑docker的 Linux 系统。另一方面,docker 也不是要做传统意义的虚拟机(尽管 docker 容器很像虚拟机),其设计理念是“一种新的应用打包/部署/运行/管理方式”。 CoreOS 与 docker 的配合,相当于把传统的混杂在一起的操作系统和应用做了解耦,分成两层,CoreOS 更偏底层,甚至有点像硬件固件,而 docker 负责偏上的应用层。

CoreOS官网主页有一句话,“A new way to think about servers”,个人认为是恰如其分的。如果把CoreOS整体当做一个“内核”,跑在其中的docker容器就有点像一个个的“进程”;如果把 CoreOS 看做一个 hypervisor,那docker容器就像是宿主机中的虚机。而事实上,docker容器既不是进程,也不是虚机。CoreOS+docker,确实可以认为是一种新形态的OS 和服务运行方式。

4 CoreOS 内置了两个服务:etcd 和 fleet。它们都是CoreOS的子项目。etcd是一个高可用的键值存储系统,主要用于共享配置和服务发现,类似于 ZooKeeper 和 Doozer。 fleet是一个分布式的container发布工具,用于进行集群中任务的提交和管理。个人理解,etcd用来自动化构建CoreOS集群,而fleet则是运行于CoreOS集群之上的任务(docker)管理平台。也就是说,CoreOS设计之初,就将运行环境定位于集群&平台。

在UOS上创建CoreOS 云主机

言归正传,以下是在UOS上创建 CoreOS 云主机的操作步骤:

1. 打开UOS控制台,点击“创建云主机”,输入主机名,镜像选择 CoreOS,点击“下一步”。

CoreOS 实战:在 UOS上体验CoreOS 操作全记录

2. 虚机配置,内存建议2G或更多,因为某些docker任务比较耗内存;

子网,选“基础网络”;

登陆信息,目前只支持秘钥方式,如果没有秘钥,需要先在“密钥对”页面中创建一个。

都选好后,点击“创建”即可。

3. 绑定一个公网IP。 如果没有可用公网IP,需要在“公网IP”页面申请一个公网IP地址:

CoreOS 实战:在 UOS上体验CoreOS 操作全记录

然后绑定到CoreOS主机

CoreOS 实战:在 UOS上体验CoreOS 操作全记录

4. SSH登陆

主机:就是刚才绑定的公网IP

方法:Public Key

用户名:core

用户秘钥:选择对应的秘钥

如果是 Mac / Linux,则通过以下命令登陆:

ssh -i online4.pem [email protected]

如果是Windows,这里以Xshell为例:

CoreOS 实战:在 UOS上体验CoreOS 操作全记录

CoreOS 实战:在 UOS上体验CoreOS 操作全记录

点击“确定”保存,双击相应条目即可登录!

体验CoreOS

试验一:跑个docker 试试

1 从docker hub(docker官方提供的映像存储服务)拉取一个基础Linux系统映像:

docker pull base

CoreOS 实战:在 UOS上体验CoreOS 操作全记录

2 启动一个docker容器,运行交互式shell,分配一个伪终端,附带stdin和stdout:

docker run -i -t base /bin/bash 

此时就attach到了刚启动的docker 容器的终端。运行一些命令试试:

CoreOS 实战:在 UOS上体验CoreOS 操作全记录

我们可以从该容器detach:先按 Ctrl+p,再按Ctrl+q 。此时执行 docker ps 可以看到该容器仍在后台运行:

CoreOS 实战:在 UOS上体验CoreOS 操作全记录

用docker kill 命令可以停止容器。停掉的容器并没有完全删除,还可以重新起来,而且前面做的改动会被保留:

CoreOS 实战:在 UOS上体验CoreOS 操作全记录

试验二:运行WordPress

WordPress需要 mysql 数据库,所以先 pull mysql:

docker pull mysql 

然后 pull wordpress 映像:

docker pull wordpress 

运行 mysql:

docker run --name mysql_1 -e MYSQL_ROOT_PASSWORD=test_test -d mysql 

运行 wordpress:

docker run --name wordpress_1 --link mysql_1:mysql -p 80:80 -d wordpress 

参数解释:

  • --name mysql_1 给docker容器起个名字。
  • -e MYSQL_ROOT_PASSWORD=test_test 指定mysql的root密码。
  • -p 80:80 把主机(CoreOS)的80端口映射到docker容器内部的80端口,这样就可以通过“主机ip:80”访问到容器里80端口的服务。
  • --link mysql_1:mysql 这个参数比较神奇,看起来很简单,但要解释清楚还是有点复杂的。简言之,这个参数把两个docker容器打通了,使它们内部的应用可以很容易地互访。

CoreOS 实战:在 UOS上体验CoreOS 操作全记录

OK,现在可以访问WordPress了,直接在浏览器地址栏输入前面绑定的公网ip:

CoreOS 实战:在 UOS上体验CoreOS 操作全记录

稍微深入一点

额,wordpress就这么起来了,大家是不是感觉有点太。。。轻巧了。。。

的确,经过docker封装的应用,用起来很方便,但也把大量细节隐藏了。作为一个惯于寻根究底、不肯放过任何细节的资深&优秀OPer,难以容忍真相被层层包裹在深幕之后。

好吧,我们再往深处探寻一下。

Q1:这两个服务这么不声不响就起来了,也没输出啥信息么? A1:可以通过docker logs 命令查看每个容器的运行日志:

CoreOS 实战:在 UOS上体验CoreOS 操作全记录

CoreOS 实战:在 UOS上体验CoreOS 操作全记录

Q2:平时用惯了ssh,假如想登录到某个docker容器内部,该怎么做呢? A2:用nsenter 可以“渗透”进入到运行中的docker容器。

首先,找到容器的第一个进程的PID

PID=`docker inspect --format "{{ .State.Pid }}" mysql_1 ` 

然后渗入(需要root权限)

sudo nsenter --target $PID --mount --uts --ipc --net --pid  

CoreOS 实战:在 UOS上体验CoreOS 操作全记录

如上所示,我们进入了 mysql_1 这个容器。确实太纯净了,只有mysql,连 top、ps 都没有。。。那只好连上mysql看看:

CoreOS 实战:在 UOS上体验CoreOS 操作全记录

OK,再进入wordpress看看:

CoreOS 实战:在 UOS上体验CoreOS 操作全记录

其实,这种方式并不是ssh登录,不需要容器内部运行sshd服务。而是用主机的bash进入容器的name space,“附着”到容器上。所以才叫做 ns(name space) enter。

之所以能这么做,是因为每个docker容器中的进程,实际上都是主机(CoreOS)的本地进程,可以通过ps 看到:

CoreOS 实战:在 UOS上体验CoreOS 操作全记录

有点神奇哈!到这里大家应该能感觉到,上面反复提到的name space,就是神奇的docker魔法的真正谜底。当然还需要aufs、cgroups等技术的支撑,以及开发者们的不懈努力,才最终呈现给大家完整的docker平台。

玩的开心!

相关推荐