Docker

Дмитрий Шурмакин — ML Engineer
Лев Коваленко — Senior DS Engineer
Егор Горбань — Data Engineer

Что такое Docker?

Docker - это инструмент, который помогает упаковывать приложения и их зависимости в отдельные “контейнеры”, делая их легкими для переноса и запуска на любой системе.

Docker - это инструмент, который использует виртуализацию вашего приложения на уровне операционной системы для создания образа и использования этого образа для доставки программного обеспечения в пакетах, называемых контейнерами. Это платформа, разработанная для того, чтобы помочь разработчикам с легкостью создавать, совместно использовать и запускать современные приложения без утомительных сложностей системного уровня, чтобы команда могла больше сосредоточиться на коде, а не на настройке сервера.

Контейнеризация

Контейнеризация - это тип виртуализации, который выводит виртуализацию на уровень операционной системы.

Отличия от виртуализации

Процесс виртуализации подразумевает под собой абстракцию, отделение вычислительных ресурсов машины от физических устройств, которые эти вычисления производят. Благодаря такой технологии на одном настоящем компьютере можно запустить несколько виртуальных. Контейнеризация — это вид виртуализации, при котором создаются не полноценные компьютеры с отдельной операционной системой (виртуальные машины), а программные среды, существующие в одной общей ОС, но изолированные друг от друга и от самой этой ОС. Эти среды называются контейнерами.

В Docker контейнер является автоматически исполняемым пакетом, включающим в себя всё необходимое для запуска конкретного приложения: его код и все зависимости вместе с настройками среды. В отличие от аппаратной виртуализации, контейнеризация не требует наличия гипервизора и большого количества мощностей, поскольку контейнерам не нужно эмулировать работу целого компьютера и поддерживать собственную операционку. Они используют ресурсы одной и той же системы, но при этом выполняют заложенные в них процессы независимо.

Преимущества

Docker решает проблемы зависимостей и рабочего окружения
Изоляция
Ускорение и автоматизация развертывания приложений
Контейнеры приближают к микросервисной архитектуре
Масштабируемость

Недостатки

Снижение производительности
Управление данными
Сложность сетевой конфигурации
Безопасность
Зависимость от Docker Hub

Преимущества - 1. Контейнеры Docker обеспечивают согласованность в различных средах, гарантируя надежную работу приложений независимо от базовой инфраструктуры. Такая переносимость достигается за счет контейнеризации, инкапсуляции приложения и его зависимостей в единый пакет, который может быть развернут где угодно. - 2. Контейнеры обеспечивают высокий уровень изоляции, гарантируя, что приложения запускаются независимо друг от друга. Такая изоляция предотвращает конфликты между различными компонентами системы, проблемами с управлением зависимостями и повышает безопасность за счет ограничения доступа к хост-системе. - 3. Контейнеры Docker способствуют быстрому и эффективному развертыванию приложений. Благодаря возможности упаковывать приложения вместе с их зависимостями разработчики могут устранить проблемы совместимости и свести к минимуму время, затрачиваемое на настройку, что приводит к более быстрым циклам выпуска. - 4. Docker хорошо подходит для создания и развертывания архитектур на основе микросервисов. Каждый микросервис может быть инкапсулирован в свой собственный контейнер, обеспечивая независимую разработку. - 5. Docker упрощает процесс горизонтального масштабирования приложений, позволяя легко копировать контейнеры на нескольких хостах. Благодаря встроенным в Docker инструментам оркестрации, таким как Docker Swarm или Kubernetes, управление крупномасштабными развертываниями контейнеров становится проще простого.

Недостатки - 1. Контейнеры могут потреблять больше ресурсов, чем традиционные виртуальные машины, из-за необходимости разделения ядра операционной системы хоста между контейнерами. Без контейнеризации приложение работает в среднем на 2-4% быстрее. - 2. Передача и управление данными между контейнерами и хост-системой может быть вызывать проблемы, особенно при работе с постоянными данными. - 3. Настройка сетевых соединений между контейнерами и внешними системами может быть сложной, особенно в случае многоконтейнерных приложений. - 4. Хотя контейнеры обеспечивают изоляцию приложений, существует потенциальный риск уязвимостей безопасности, особенно если контейнеры не настроены правильно или используются устаревшие образы. - 5. Использование образов контейнеров из публичного репозитория Docker Hub может создавать зависимость от сторонних сервисов и повышать риск безопасности. Конечно в компаниях часто разворачивают self-hosted репозитории для хранения образов.

Докер-объекты

Docker daemon - служба, которая управляет Docker-объектами: сетями, хранилищами, образами и контейнерами. Docker image (=образ) - это шаблон, с инструкциями по созданию Docker-контейнера. В образ упакованы процессы и зависимости, которые нужны для стабильной работы приложения, и сам он представляет собой объединение слоев, что доступны лишь для чтения и не могут быть изменены. Часто образ основан на другом образе с некоторой дополнительной настройкой. Docker container - представляет собой работоспособный экземпляр образа, который можно создавать, запускать, останавливать, перемещать и удалять с помощью Docker API или CLI. По умолчанию контейнер хорошо изолирован от других контейнеров и хост-компьютера, но можно контролировать уровень изоляции сети, хранилища и других подсистем. Контейнер определяется образом и параметрами конфигурации при создании или запуске. При удалении контейнера все изменения, не сохраненные в постоянном хранилище, исчезают. Это уже развернутое из образа и работающее приложение. Docker Registry - это хранилище образов, где разработчики могут загружать свои программные образы для общего доступа. Популярным публичным репозиторием является Docker Hub, где собраны образы различных программ и платформ, включая базы данных, веб-серверы, операционные системы и другие. Кроме того, возможно создание приватных репозиториев, например, внутри компании, где разработчики могут хранить образы для внутреннего использования всей организацией. Dockerfile - это инструкция для сборки образа. Это простой текстовый файл, содержащий по одной команде в каждой строке. В нем указываются все программы, зависимости и базовые образы, которые нужны для разворачивания текущего образа. Docker может создавать образы автоматически, читая инструкции из файла Dockerfile. Преимущество докера в том, что слои образа кешируются и переиспользуются, поэтому порядок инструкций в Dockerfile имеет значение. Docker Compose - инструмент для управления несколькими контейнерами. Он позволяет создавать контейнеры и задавать их конфигурацию. Docker Desktop - GUI-клиент, который распространяется по GPL. Бесплатная версия работает на Windows, macOS, а с недавних пор и на Linux. Это очень удобный клиент, который отображает все сущности Docker и позволяет запустить однонодовый Kubernetes для компьютера.

Установка Docker

Используя инструкции с офф. источника на примере Ubuntu и др.
Установка с помощью скрипта

curl -fsSL https://get.docker.com -o get-docker.sh
sudo sh ./get-docker.sh --dry-run

Для Windows и macOS вы можете загрузить Docker Desktop по следующей ссылке

Проверить, успешно ли установлен Docker, выполнив команду:

sudo docker run hello-world

Работа с docker

Docker daemon - это сервис, который управляет различными аспектами Docker, такими как сети, хранилища, образы и контейнеры. Docker image (образ) - это шаблон, содержащий инструкции для создания Docker-контейнера. Он содержит все необходимые процессы и зависимости для работы приложения и представляет собой набор слоев, которые доступны только для чтения. Часто образы основаны на другом образе с некоторыми дополнительными настройками/шагами с операциями. Docker container - это экземпляр образа, который можно создавать, запускать, останавливать, перемещать и удалять с помощью Docker API или CLI. Контейнеры по умолчанию хорошо изолированы друг от друга и от хост-системы, но можно настраивать уровень изоляции для сети, хранилища и других компонентов. Контейнер определяется образом и параметрами конфигурации при создании или запуске. При удалении контейнера все изменения, не сохраненные в постоянном хранилище, теряются. Это развернутое из образа и работающее приложение. Docker Registry - это хранилище образов, где разработчики могут загружать свои образы для общего доступа. Docker Hub является популярным публичным репозиторием для общедоступных образов. Также можно создавать приватные репозитории для внутреннего использования внутри компании. Dockerfile - это файл с инструкциями для сборки образа. Он содержит команды, указывающие необходимые программы, зависимости и образы для создания образа. Docker может автоматически создавать образы, читая инструкции из Dockerfile. Преимущество докера в том, что слои образа кешируются и переиспользуются, поэтому порядок инструкций в Dockerfile имеет значение. Docker Compose - это инструмент для управления несколькими контейнерами, позволяющий создавать и настраивать контейнеры. Docker Volume - инструмент для связи файлов внутри контейнера с файлами на хосте, на котором этот контейнер запущен. Docker Desktop - это GUI-клиент, распространяемый по GPL. Бесплатная версия поддерживает Windows, macOS и недавно Linux. Он предоставляет удобный интерфейс для управления Docker.

Docker Volumes

Предназначение
1. Шэрить файлы между контейнерами
2. Сохранять состояние объектов/файлов из контейнера на хост

docker run -v [ <volume_name> | /path/to/local/file ]:<path/inside/container>:rw [...]

Доступы к вольюму
- :rw - доступ на чтение и запись
- :ro - только чтение
Просмотр вольюмов:
- docker volume ls

При удалении контейнера все изменения, не сохраненные в постоянном хранилище, теряются. Чтобы сохранить изменения в файл на хосте, есть два основных способа: bind-mount и volume. У них похожая сигнатура, отличается только тем что в bind-mount нужно прописать абсолютный путь до файла/папки на хосте, которую мы хотим привязать к файлу/папке внутри контейнера, тогда её содержимое в runtime будет синхронизировано с объектом в контейнере.

А volume - абстракция, когда мы тоже связываем папку на хосте с какой-то папкой внутри контейнера, но докер сам создаёт для нас папку=вольюм, и менеджерит эти вольюмы. В таком случае разработчику для указания вольюма достаточно указать его название.

Третий вариант на картинке используется для привязки временных файлов, существующих только на время жизни контейнера, его рассматривать не будем.

Вольюмы помогают 1. шэрить файлы между разными контейнерами (учитывая что контейнеры изолированы - это единственный способ из одного контейнера посмотреть/изменить файлы другого) 2. сохранять состояние объектов/файлов из контейнера на хост. Это полезно напр. для баз данных: если не использовать вольюмы, то при перезапуске контейнера база стирается и все данные теряются.

Есть опция прописать режим доступа, например read-only через :ro, если нужно чтобы контейнер не изменял содержимое вольюма/файла. По умолчанию стоит режим :rw, то есть read-write.

Создание Dockerfile

Список команд Dockerfile с описанием и примерами:

https://docs.docker.com/reference/dockerfile/

Создадим файл с названием Dockerfile и поместим туда код:

FROM mambaorg/micromamba

WORKDIR /app

RUN micromamba create -n example python=3.11 jupyter -c conda-forge -y

ENTRYPOINT ["micromamba", "run", "-n", "example", "jupyter", "notebook", "--ip=0.0.0.0", "--port=8888", "--allow-root" ]

Объяснение содержимого Dockerfile:

Мы начинаем с базового образа Python версии 3.11.3-slim-buster, который является легковесным вариантом Python и поможет уменьшить размер вашего контейнера. Устанавливаем рабочий каталог внутри контейнера в /app. Копируем все файлы из переданного контекста внутрь контейнера. Устанавливаем все необходимые зависимости из файла requirements.txt. Указываем порт 5000, на котором будет работать приложение. Задаем переменную окружения SOME_VALUES со значением “*“. Запускаем приложение с помощью команды uvicorn для запуска приложения FastAPI, указывая его точку входа, хост и порт.

Команды Docker

docker build <context> - Этот командный шаблон используется для сборки Docker-контейнера в соответствии с инструкциями, указанными в файле Dockerfile.
- <context> - путь до базовой папки (чаще всего используется docker build .). При запуске инструкции build, docker демону передаётся указанный контекст, за исключением всех файлов, указанных в .dockerignore. Поэтому тяжелые файлы, которые не нужны для сборки образа лучше указывать в .dockerignore файле, чтобы не нагружать daemon.
- -f Dockerfile.debug - Параметр -f указывает путь к файлу Dockerfile, содержащему инструкции для сборки контейнера. В данном случае, Dockerfile.debug указывает на отладочный файл Dockerfile.
- -t <имя> - Опция -t используется для установки тега (имени) для собранного контейнера, чтобы можно было легко идентифицировать его в дальнейшем.
docker run - Данная команда запускает собранный Docker-контейнер.
- --rm - Опция --rm автоматически удаляет контейнер после его остановки, что полезно для избежания накопления неиспользуемых контейнеров.
- -it - Опция -it используется для запуска контейнера в интерактивном режиме, обеспечивая доступ к его стандартному вводу/выводу (stdin/stdout).
- -p 8080:80 - Этот флаг пробрасывает порт контейнера на хостовую машину. В данном случае, порт 80 контейнера привязывается к порту 8080 хостовой машины [external_port:internal_port].
- -v ./data/:/workdir/data - Опция -v используется для создания привязки тома, позволяя контейнеру доступ к файлам на хостовой машине. В данном примере, директория ./data/ на хостовой машине привязывается к директории /workdir/data внутри контейнера.
- --name <название> - Опция --name позволяет задать пользовательское имя контейнера для удобства идентификации его в дальнейшем.
- --net <тип> - Опция --net позволяет настраивать сетевое окружение контейнера. Значение <тип> определяет тип сети, в которой будет работать контейнер.
- -e <переменная=значение> - Опция -e позволяет передавать переменные среды в контейнер во время его выполнения.
- -d - запуск в тихом режиме, без отображения событий внутри работающего контейнера.
- -m 4GB - установка ограничения используемой контейнером памяти. В данном случае контейнер сможет использовать во время своего выполнения 4 ГБ памяти.
docker ps - Эта команда отображает список запущенных Docker-контейнеров.
- -a - Опция -a показывает все контейнеры, включая остановленные.
- -q - показывает только идентификаторы контейнеров. Полезно для комбинаций команд, например команда docker stop $(docker ps -q) останавливает все запущенные контейнеры.
docker logs <идентификатор_контейнера|имя_контейнера> - Команда docker logs используется для просмотра журналов вывода контейнера.
- -f - Опция -f позволяет отслеживать живую потоковую передачу журналов, т.е. вывод в реальном времени.
- -n <число> - Опция -n позволяет указать количество последних строк журнала для отображения.
docker stop <идентификатор_контейнера|имя_контейнера> - Эта команда используется для остановки запущенного Docker-контейнера.
docker rm <идентификатор_контейнера|имя_контейнера> - Команда docker rm удаляет указанный контейнер.
docker exec -it <идентификатор_контейнера|имя_контейнера> bash - Команда docker exec используется для выполнения команд внутри работающего контейнера Docker.
docker inspect <идентификатор_контейнера|имя_контейнера> - Команда docker inspect предоставляет подробную информацию о контейнере Docker, включая его настройки и параметры.
docker stats [ <идентификатор_контейнера|имя_контейнера> | --all ] - Команда docker stats позволяет в режиме реального времени мониторить ресурсы потребляемые одним контейнером, или всеми контейнерами при использовании флага --all.
docker <object> prune - очистка неиспользуемых объектов. Вместо <object> может находиться: container, image, volume, а в случае если нужно сразу очистить всё неиспользуемое - system.

Docker-Compose

Создадим файл с названием docker-compose.yml и поместим туда код.

тут ваш замечательный файл (предположим нам для чего-то понадобился редис)

version: '3.7'

services:
  redis:
    container_name: mlops_redis
    image:
      redis
  app:
    container_name: mlops_app
    build:
      context: .
      dockerfile: Dockerfile
    command: ["uvicorn", "..."] # перезаписывает CMD в Dockerfile
    env_file:
      - ".env"
    depends_on:
      redis
    volumes:
      - mlops_volume:/home/mlops/data:rw

volumes:
  mlops_volume:

Многие параметры запуска контейнеров можно зафиксировать для конкретного приложения, например имя, используемые образы, вольюмы, переменные окружения. Также часто приложение состоит из нескольких контейнеров, например в одном контейнере крутится API, а в другом - сервис с моделью. Для удобного управления контейнерами можно использовать файл docker-compose.yaml. Также здесь можно указать очередность запуска контейнеров.

В данном примере мы создаём compose-файл с двумя контейнерами: редис и основное приложение, а также с одним вольюмом mlops_volume, в который мы можем записывать данные из контейнера mlops_app.

Команды Docker-Compose

docker-compose up - Эта команда используется для запуска сервисов, описанных в файле docker-compose.yml.
- -d - Опция -d позволяет запустить сервисы в фоновом режиме, без вывода логов в терминал.
- --build - Опция --build используется для пересборки образов перед запуском контейнеров.
docker-compose down - Данная команда останавливает и удаляет все контейнеры, созданные с помощью docker-compose up.
- --volumes - Опция --volumes удаляет также и тома данных, связанные с контейнерами.
docker-compose logs <service> - Команда docker-compose logs позволяет просматривать логи для определенного сервиса из вашего docker-compose.yml.
- --follow - Опция --follow (или -f) отображает логи в реальном времени.
docker-compose ps - Эта команда показывает статус всех сервисов, запущенных с помощью docker-compose.
docker-compose exec <service> <command> - Команда docker-compose exec используется для выполнения команд внутри контейнера сервиса.
- Пример: docker-compose exec webserver bash запускает интерактивный терминал в контейнере webserver.
docker-compose restart <service> - Эта команда перезапускает указанный сервис.
docker-compose stop <service> - Команда docker-compose stop останавливает указанный сервис без его удаления.
docker-compose start <service> - Эта команда запускает остановленный сервис.
docker-compose build - Команда docker-compose build используется для сборки образов, описанных в docker-compose.yml.
docker-compose config - Эта команда проверяет конфигурационный файл docker-compose.yml и выводит его валидность, а также объединяет все файлы конфигурации в один.

Исследование контейнера

Соберите образ с тэгом mlops_app:latest, передав текущую папку как контекст
```
docker build -t mlops_app:latest ./
```
Запустите контейнер с названием mlops_container
```
docker run -it --name mlops_container --rm mlops_app:latest
```
В отдельном терминале подключитесь к файловой системе запущенного контейнера
```
docker exec -it mlops_container bash
```
Также в отдельном терминале можно проверить ресурсы, которые потребляет контейнер с помощью команды
```
docker stats mlops_container
```

Иногда нужно зайти внутрь работающего контейнера, чтобы проверить, правильно ли подгрузились файлы, есть ли доступ к shared вольюмам, есть ли необходимые разрешения. Для этого используется команда docker exec.

Собираем образ
И запускаем контейнер, привязав к нему текущий терминал, для того чтобы контейнер не завершил работу и не остановился.
В новом терминале подключимся к запущенному контейнеру, используя команду docker exec с названием контейнера и командой, которую мы хотим в нём запустить - bash. Таким образом окажемся внутри файловой системы контейнера.
- whoami: мы зашли под пользователем root. Есть возможность сменить пользователя, для этого нужно использовать команду USER в докерфайле.
- pwd: мы находимся в той папке, которую указали как WORKDIR в докерфайле
- ls -alh: мы видим что скопированные файлы находятся в этой папке. Так же мы можем запустить python скрипты, так как команда python доступна в этом контейнере (а команда gcc например нет, т.к. её нет в базовом образе python:3.11.3-slim-buster и мы не устанавливали её дополнительно).
- uname -a: можно посмотреть версию установленного дистрибутива
На потребляемые ресурсы тоже можно посмотреть, пока контейнер запущен. Здесь показана загрузка процессора, доступная и используемая память, параметры сетевой передачи и количество процессов привязанных к контейнеру (напр. если мы в отдельном терминале подключимся через docker exec, то PIDs увеличится.)