1.1 基本概念
Docker 是一个开源的应用容器引擎,基于 Go 语言 并遵从 Apache2.0 协议开源。
Docker 可以让开发者打包他们的应用以及依赖包到一个轻量级、可移植的容器中,然后发布到任何流行的 Linux 机器上,也可以实现虚拟化。
容器是完全使用沙箱机制,相互之间不会有任何接口,更重要的是容器性能开销极低。
1.2 优势
简化程序:Docker 让开发者可以打包他们的应用以及依赖包到一个可移植的容器中,然后发布到任何流行的 Linux 机器上,便可以实现虚拟化。
Docker改变了虚拟化的方式,使开发者可以直接将自己的成果放入 Docker 中进行管理。方便快捷已经是 Docker 的最大优势,过去需要用数天乃至数周的任务,在 Docker 容器的处理下,只需要数秒就能完成。
节省开支:一方面,云计算时代到来,使开发者不必为了追求效果而配置高额的硬件,Docker 改变了高性能必然高价格的思维定势。
Docker 与云的结合,让云空间得到更充分的利用。不仅解决了硬件管理的问题,也改变了虚拟化的方式。
1.3 与传统VM特性对比:
作为一种轻量级的虚拟化方式,Docker 在运行应用上跟传统的虚拟机方式相比具有显著优势:
Docker 容器很快,启动和停止可以在秒级实现,这相比传统的虚拟机方式要快得多。
Docker 容器对系统资源需求很少,一台主机上可以同时运行数千个 Docker 容器。
Docker 通过类似 Git 的操作来方便用户获取、分发和更新应用镜像,指令简明,学习成本较低。
Docker 通过 Dockerfile 配置文件来支持灵活的自动化创建和部署机制,提高工作效率。
Docker 容器除了运行其中的应用之外,基本不消耗额外的系统资源,保证应用性能的同时,尽量减小系统开销。
Docker 利用 Linux 系统上的多种防护机制实现了严格可靠的隔离。从1.3版本开始,Docker 引入了安全选项和镜像签名机制,极大地提高了使用 Docker 的安全性。
特性容器 虚拟机
启动速度 秒级 分钟级
硬盘使用 一般为MB 一般为GB
性能 接近原生 弱于原生
系统支持量 单机支持上千个容器 一般几十个
1.4 基础架构
Docker 使用客户端-服务器 (C/S) 架构模式,使用远程API来管理和创建 Docker 容器。Docker 容器通过 Docker 镜像来创建。容器与镜像的关系类似于面向对象编程中的对象与类。
容器 对象
镜像 类
1.5 Docker 技术的基础:
namespace,容器隔离的基础,保证A容器看不到B容器. 6个名空间:User,Mnt,Network,UTS,IPC,Pid
cgroups,容器资源统计和隔离。主要用到的cgroups子系统:cpu,blkio,device,freezer,memory
unionfs,典型:aufs/overlayfs,分层镜像实现的基础
1.6 Docker 组件
docker Client客户端 –>向docker服务器进程发起请求,如:创建、停止、销毁容器等操作
docker Server服务器进程 –>处理所有docker的请求,管理所有容器
docker Registry镜像仓库 –>镜像存放的中央仓库,可看作是存放二进制的scm
2.1 准备条件
目前,CentOS 仅发行版本中的内核支持 Docker。Docker 运行在 CentOS 7 上,要求系统为64位、系统内核版本为 3.10 以上。Docker 运行在 CentOS-6.5 或更高的版本的 CentOS 上,要求系统为64位、系统内核版本2.6.32-431 或者更高版本。
2.2 安装 Docker
yum install docker -y #安装 systemctl start docker #启动 systemctl enable docker #设置开机自启动
2.3 基本命令
docker search centos #搜索镜像
默认从国外拉去,速度很慢,可以使用daocloud配置加速
curl -sSL https://get.daocloud.io/daotools/set_mirror.sh | sh -s http://d6f11267.m.daocloud.io
脚本是写入
echo "{\"registry-mirrors\": [\"http://d6f11267.m.daocloud.io\"]}"> /etc/docker/daemon.json systemctl restart docker #重启失效
根据需求拉取镜像:
docker pull docker.io/ansible/centos7-ansible
查看本地镜像:
docker images
2.4 命令整理
容器操作:
docker create # 创建一个容器但是不启动它 docker run # 创建并启动一个容器 docker stop # 停止容器运行,发送信号SIGTERM docker start # 启动一个停止状态的容器 docker restart # 重启一个容器 docker rm # 删除一个容器 docker kill # 发送信号给容器,默认SIGKILL docker attach # 连接(进入)到一个正在运行的容器 docker wait # 阻塞一个容器,直到容器停止运行 docker exec -it ID /bin/bash #进入容器
获取容器信息:
docker ps # 显示状态为运行(Up)的容器 docker ps -a # 显示所有容器,包括运行中(Up)的和退出的(Exited) docker inspect # 深入容器内部获取容器所有信息 docker logs # 查看容器的日志(stdout/stderr) docker events # 得到docker服务器的实时的事件 docker port # 显示容器的端口映射 docker top # 显示容器的进程信息 docker diff # 显示容器文件系统的前后变化
2.5 简单实践操作
运行并进入容器操作:
docker run -it docker.io/1832990/centos6.5 /bin/bash
-t 表示在新容器内指定一个伪终端或终端;
-i 表示允许我们对容器内的 (STDIN) 进行交互;
-d 表示将容器在后台运行;
/bin/bash 。这将在容器内启动 bash shell;
在容器内我们安装MySQL并设置开机自启动,将修改后的镜像提交:
docker ps -l 查询容器ID docker commit -m "功能" -a "用户信息" ID tag 提交修改后的镜像 docker inspect ID 查看详细信息 docker push ID 上传docker镜像
利用DockerFile创建镜像
使用命令 docker build , 需要创建一个 Dockerfile 文件,其中包含一组指令来告诉 Docker 如何构建镜像。
mkdir DockerFile cd DockerFile cat > Dockerfile <<EOF FROM 603dd3515fcc MAINTAINER Docker xuel RUN yum install mysql mysql-server -y RUN mddir /etc/sysconfig/network RUN /etc/init.d/mysqld start EOF
docker build -t “centos6.8:mysqld” .
t 制定repository 与tag
. 文件路径
注意一个镜像不能超过 127 层
此外,还可以利用 ADD 命令复制本地文件到镜像;
用 EXPOSE 命令来向外部开放端口;
用 CMD 命令来描述容器启动后运行的程序等。
CMD [“/usr/sbin/apachectl”, “-D”, “FOREGROUND”]
2.6 Dockerfile 详解
Dockerfile的指令是忽略大小写的,建议使用大写,使用 # 作为注释,每一行只支持一条指令,每条指令可以携带多个参数。Dockerfile的指令根据作用可以分为两种,构建指令和设置指令。构建指令:用于构建 image,其指定的操作不会在运行image的容器上执行;设置指令:用于设置 image 的属性,其指定的操作将在运行image的容器中执行。
构建指令,必须指定且需要在 Dockerfile 其他指令的前面。后续的指令都依赖于该指令指定的image。FROM 指令指定的基础 image 可以是官方远程仓库中的,也可以位于本地仓库。
该指令有两种格式:
FROM #指定基础image为该image的最后修改的版本
FROM : #指定基础image为该image的一个tag版本
MAINTAINER(用来指定镜像创建者信息)
构建指令,用于将image的制作者相关的信息写入到image中。当我们对该image执行docker inspect命令时,输出中有相应的字段记录该信息。
构建指令,RUN可以运行任何被基础image支持的命令。如基础image选择了ubuntu,那么软件管理部分只能使用ubuntu的命令。
设置指令,用于 container 启动时指定的操作。该操作可以是执行自定义脚本,也可以是执行系统命令。该指令只能在文件中存在一次,如果有多个,则只执行最后一条。
CMD [“executable”,“param1”,“param2”] (like an exec, this is the preferred form)
CMD command param1 param2 (as a shell)
ENTRYPOINT 指定的是一个可执行的脚本或者程序的路径,该指定的脚本或者程序将会以 param1 和param2 作为参数执行。 所以如果CMD指令使用上面的形式,那么Dockerfile中必须要有配套的ENTRYPOINT。当Dockerfile指定了ENTRYPOINT,那么使用下面的格式:
CMD [“param1”,“param2”] (as default parameters to ENTRYPOINT)
设置指令,指定容器启动时执行的命令,可以多次设置,但是只有最后一个有效。
ENTRYPOINT [“executable”, “param1”, “param2”] (like an exec, the preferred form)
ENTRYPOINT command param1 param2 (as a shell)
当独自使用时,如果你还使用了CMD命令且CMD是一个完整的可执行的命令,那么CMD指令和ENTRYPOINT会互相覆盖只有最后一个CMD或者ENTRYPOINT有效。
CMD指令将不会被执行,只有ENTRYPOINT指令被执行
CMD echo “Hello, World!”
ENTRYPOINT ls -l
设置指令,设置启动容器的用户,默认是root用户
指定memcached的运行用户
ENTRYPOINT [“memcached”]
USER daemon
或
ENTRYPOINT [“memcached”, “-u”, “daemon”]
EXPOSE(指定容器需要映射到宿主机器的端口)
设置指令,该指令会将容器中的端口映射成宿主机器中的某个端口。当你需要访问容器的时候,可以不是用容器的IP地址而是使用宿主机器的IP地址和映射后的端口。
要完成整个操作需要两个步骤,首先在Dockerfile使用EXPOSE设置需要映射的容器端口,然后在运行容器的时候指定-p选项加上EXPOSE设置的端口,这样EXPOSE设置的端口号会被随机映射成宿主机器中的一个端口号。
也可以指定需要映射到宿主机器的那个端口,这时要确保宿主机器上的端口号没有被使用。EXPOSE指令可以一次设置多个端口号,相应的运行容器的时候,可以配套的多次使用-p选项。
构建指令,在image中设置一个环境变量。
假如你安装了JAVA程序,需要设置JAVA_HOME,那么可以在Dockerfile中这样写:
ENV JAVA_HOME /path/to/java/dirent
构建指令,所有拷贝到container中的文件和文件夹权限为0755,uid和gid为0;
如果是一个目录,那么会将该目录下的所有文件添加到container中,不包括目录;如果文件是可识别的压缩格式,则docker会帮忙解压缩(注意压缩格式);
如果是文件且中不使用斜杠结束,则会将视为文件,的内容会写入;
如果是文件且中使用斜杠结束,则会文件拷贝到目录下。
ADD src dest
设置指令,使容器中的一个目录具有持久化存储数据的功能,该目录可以被容器本身使用,也可以共享给其他容器使用。
我们知道容器使用的是AUFS,这种文件系统不能持久化数据,当容器关闭后,所有的更改都会丢失。当容器中的应用有持久化数据的需求时可以在Dockerfile中使用该指令。
设置指令,可以多次切换(相当于cd命令),对RUN,CMD,ENTRYPOINT生效。
在 /p1/p2 下执行 vim a.txt
WORKDIR /p1 WORKDIR p2 RUN vim a.txt
2.7 镜像导入导出
导出镜像到本地:
docker save -o centos6.5.tar centos6.5 或 docker export f9c99092063c >centos6.5.tar
从本地将镜像导入:
docker load --input centos6.5.tar 或 docker load < centos6.5.tar
3.1 数据卷
Docker 的镜像使用一层一层文件组成的,Docker 的一些存储引擎可以处理怎么样存储这些文件。
数据卷是⼀个可供⼀个或多个容器使⽤的特殊⽬录,它绕过 UFS ,可以提供很多有⽤的特性:
数据卷可以在容器之间共享和重⽤
对数据卷的修改会⽴⻢⽣效
对数据卷的更新,不会影响镜像
数据卷默认会⼀直存在,即使容器被删除
docker inspect centos #查看容器详细信息
信息下方的 Layers,就是 centos 的文件,这些东西都是只读的不能去修改,我们基于这个镜像去创建的镜像和容器也会共享这些文件层,而 docker 会在这些层上面去添加一个可读写的文件层。
如果需要修改一些文件层里面的东西的话,docker 会复制一份到这个可读写的文件层里面,如果删除容器的话,那么也会删除它对应的可读写的文件层的文件。
如果有些数据你想一直保存的话,比如:web 服务器上面的日志,数据库管理系统里面的数据,那么我们可以把这些数据放到 data volumes 数据盘里面。
它上面的数据,即使把容器删掉,也还是会永久保留。创建容器的时候,我们可以去指定数据盘。其实就是去指定一个特定的目录。
docker run -i -t -v /mnt --name nginx docker.io/nginx /bin/bash
-v:制定挂载到容器内的目录
使用docker inspect容器ID可以查看挂载目录对应于宿主机的物理文件路径。
同样,我们可以使用将制定物理宿主机的目录挂载到容器的制定目录下:
将宿主机目录挂载到容器内:
docker run -d -p 80:80 --name nginx -v /webdata/wordpress:/usr/share/nginx/html docker.io/sergeyzh/centos6-nginx
-d 后台运行
—name 给运行的容器命名
-v 宿主机目录:容器目录 将宿主机目录挂载在容器内
-p 宿主机端口:容器监听端口 将容器内应用监听端口映射到物理宿主机的特定端口上
映射多个物理目录:(多写几个-v即可)
3.2 数据容器
可以创建一个数据容器,也就是再创建容器是指定这个容器的数据盘,然后让其他容器可以使用这个容器作为他们的数据盘,可实现数据共享。
首先创建一个数据容器命名为 newnginx
docker create -v /mnt -it --name newnginx docker.io/nginx /bin/bash
利用此数据容器容器运行一个容器nginx1,在数据目录/mnt 下创建一个文件
docker run --volumes-from newnginx --name nginx1 -it docker.io/nginx /bin/bash
3.3 数据卷管理
在删除容器时,docker默认不会删除其数据盘。
docker volume ls #查看数据盘 docker volume ls -f dangling=true #查看未被容器使用的数据盘 docker volume rm VOLUME NAME #删除数据盘 docker rm -v newnginx #删除容器时,同时删除掉其数据盘
四、网络
docker提供几种网络,它决定容器之间和外界和容器之间如何去相互通信。
docker network ls #查看网络
当 Docker 进程启动时,会在主机上创建一个名为 docker0 的虚拟网桥,此主机上启动的Docker容器会连接到这个虚拟网桥上。
虚拟网桥的工作方式和物理交换机类似,这样主机上的所有容器就通过交换机连在了一个二层网络中。从docker0子网中分配一个IP给容器使用,并设置docker0的IP地址为容器的默认网关。
在主机上创建一对虚拟网卡veth pair设备,Docker将veth pair设备的一端放在新创建的容器中,并命名为eth0(容器的网卡),另一端放在主机中,以vethxxx这样类似的名字命名,并将这个网络设备加入到docker0网桥中。
4.1 bridge桥接
网络除非创建容器的时候指定网络,不然容器就会默认的使用桥接网络。属于这个网络的容器之间可以相互通信,不过外界想要访问到这个网络的容器呢,需使用桥接网络,有点像主机和容器之间的一座桥,对容器有一点隔离作用。
实际是在iptables做了DNAT规则,实现端口转发功能。可以使用iptables -t nat -vnL查看。
4.2 host 主机网络
如果启动容器的时候使用host模式,那么这个容器将不会获得一个独立的Network Namespace,而是和宿主机共用一个 Network Namespace。容器将不会虚拟出自己的网卡,配置自己的IP等,而是使用宿主机的IP和端口。
但是,容器的其他方面,如文件系统、进程列表等还是和宿主机隔离的。只用这种网络的容器会使用主机的网络,这种网络对外界是完全开放的,能够访问到主机,就能访问到容器。
4.3 使用 none 模式
使用none模式Docker容器拥有自己的Network Namespace,但是,并不为Docker容器进行任何网络配置。也就是说,这个Docker容器没有网卡、IP、路由等信息。需要我们自己为Docker容器添加网卡、配置IP等。使用此种网络的容器会完全隔离。
原文链接:https://blog.csdn.net/weixin_41499498/article/details/125748701?ops_request_misc=%257B%2522request%255Fid%2522%253A%2522168994674616800197073896%2522%252C%2522scm%2522%253A%252220140713.130102334.pc%255Fblog.%2522%257D&request_id=168994674616800197073896&biz_id=0&utm_medium=distribute.pc_search_result.none-task-blog-2~blog~first_rank_ecpm_v1~times_rank-18-125748701-null-null.268%5Ev1%5Ekoosearch&utm_term=docker%E3%80%81wordpress%E3%80%81wordpress%E5%BB%BA%E7%AB%99%E3%80%81wordpress%E4%B8%BB%E9%A2%98%E3%80%81%E5%AE%B9%E5%99%A8%E9%95%9C%E5%83%8F%E3%80%81