Docker基本管理

为什么要用到容器？

1. 容器可以屏蔽底层操作系统的差异性，可以让应用程序不管在哪里都能使用容器的环境正常运行，从而保证了开发测试环保局与生产环境的一致性。
2. 容器部署起来非常便捷和迅速，可以大大缩短应用部署的周期时间

容器引擎：

docker   containered    podman    rocket 

docker是什么？

docker是用go语言开发并开源的容器引擎，用来运行容器里的应用。docker也是用来管理容器和镜像的工具。 

docker容器与虚拟机的区别？

docker容器	虚拟机
所有容器共享宿主机的内核	每个虚拟机都有独立的操作系统和内核
通过namespace实现资源隔离，通过cgroup实现限制资源的最大使用量	完全隔离。每个虚拟机都有独立的硬件资源分配
秒级启动速度	分钟级启动速度
容器相当于宿主机的进程，性能几乎没有损耗	需要通过hypervisor虚拟机管理程序对宿主机资源虚拟访问，会有一定的性能损耗
一个宿主机可以启动成百上千个容器	最多几十个虚拟机

Linux 六大 namespace

• MNT(mount)：文件系统隔离
• NET(network)：网络资源隔离
• PID：进程的pid隔离
• IPC：进程间通信隔离
• UTS：主机名隔离
• USER：用户隔离 

docker的三大核心概念

• 镜像：是创建容器的基础，是一个只读的模板文件，里面包含运行容器中的应用程序所需要的所有资料（比如应用程序执行文件、配置文件、动态库文件、依赖包、系统文件和目录等）
• 容器：是用镜像运行的实例，容器可以被创建、启动、停止、删除，每个容器之间默认是相互隔离的
• 仓库：是用来集中保存镜像的地方，有公有仓库和私钥仓库之分 

docker version                #查看docker版本
docker info                   #查看docker详细信息 

                                                             

docker run 的启动过程：

1. 检查本地是否有指定镜像，如果有则直接使用本地镜像创建容器，如果没有则从仓库拉取镜像再创建容器
2. 在只读的镜像层上再挂载一层可读可写的容器层                                                    
3. 从docker网桥给容器分配一个虚拟接口和IP地址
4. 使用镜像的默认启动命令或docker run 指定的命令来启动容器，直到容器中的PID=1的主进程退出为止                                             

          
                             

安装Docker

目前Docker只能支持64位系统。

systemctl disable --now firewalld
setenforce 0
vim /etc/selinux/config
SELINUX=disabled

导入阿里云镜像源

cd /etc/yum.repos.d
mv local.repo repo.bak
wget -O /etc/yum.repos.d/CentOS-Base.repo http://mirrors.aliyun.com/repo/Centos-7.repo

            
 安装依赖包    

yum install -y yum-utils device-mapper-persistent-data lvm2 
--------------------------------------------------------------------------------------------
yum-utils：提供了 yum-config-manager 工具。
device mapper： 是Linux内核中支持逻辑卷管理的通用设备映射机制，它为实现用于存储资源管理的块设备驱动提供了一个高度模块化的内核架构。
device mapper存储驱动程序需要 device-mapper-persistent-data 和 lvm2。

设置阿里云docker镜像源

yum-config-manager --add-repo https://mirrors.aliyun.com/docker-ce/linux/centos/docker-ce.repo 

安装 Docker-CE并设置为开机自动启动         

yum install -y docker-ce docker-ce-cli containerd.io
 
systemctl start docker.service
systemctl enable docker.service 
--------------------------------------------------------------------------------------------
安装好的Docker系统有两个程序，Docker服务端和Docker客户端。其中Docker服务端是一个服务进程，负责管理所有容器。 Docker客户端则扮演着Docker服务端的远程控制器，可以用来控制Docker的服务端进程。大部分情况下Docker服务端和客户端运行在一台机器上。
--------------------------------------------------------------------------------------------

  查看 docker 版本信息    

docker version  #查看docker版本
 
#docker详细信息查看
docker info  

      

Docker镜像操作

镜像加速下载

浏览器访问阿里云官网>产品>容器>容器镜像服务 ACR>管理控制台>镜像工具>镜像加速器

  

sudo systemctl daemon-reload
sudo systemctl restart docker

docker info即可查看

docker info

这里补充一下，如过docker info出现报错如何处理

执行docker info出现如下警告

WARNING: bridge-nf-call-iptables is disabled
WARNING: bridge-nf-call-ip6tables is disabled
解决办法：

vim /etc/sysctl.conf
添加以下内容
net.bridge.bridge-nf-call-ip6tables = 1
net.bridge.bridge-nf-call-iptables = 1
最后再执行

sysctl -p

systemctl restart docker

搜索镜像

docker search 关键字
docker search nginx

 获取镜像

docker pull 仓库名/镜像名[:标签]
#如果下载镜像时不指定标签，则默认会下载仓库中最新版本的镜像，即选择标签为latest标签。
docker pull nginx
docker pull nginx:1.20
docker pull nginx:1.18

 

 查看下载到本地的所有镜像

docker images等于docker image ls
 
REPOSITORY：镜像属于的仓库；
TAG：镜像的标签信息，标记同一个仓库中的不同镜像；
IMAGE ID：镜像的唯一ID号，唯一标识一个镜像；
CREATED：镜像创建时间；
 
docker images -q   #仅查看镜像 id号

 

查看镜像信息

镜像下载后存放在/var/lib/docker。
Docker相关的本地资源存放在/var/lib/docker/目录下，其中containers目录存放容器信息，image目录存放镜像信息，overlay2目录下存放具体的镜像底层文件。

查看下载的镜像文件信息

cat /var/lib/docker/image/overlay2/repositories.json

 根据镜像的唯一标识ID号，获取镜像详细信息

docker inspect 镜像ID号
docker inspect 605c77e624dd
 
docker inspect 仓库名：标签
docker inspect nginx:1.20
 

 lowerdir是镜像层，目录或者文件是只读的，其实就是rootfs，image layer可以分很多层，所以对应的lowerdir是可以有多个目录
upperdir是在lowerdir之上的容器层，这层是可读可写的，在启动一个容器时候会进行创建，所有的对容器数据更改都发生在这层
MergedDir是表现层，是容器的挂载点

 为本地的镜像添加新的标签

docker tag 名称:[标签] 新名称:[新标签]
 
docker tag nginx:latest nginx:1.21
docker tag nginx:latest xy101/nginx:1.21

 删除镜像

docker rmi 镜像名称:标签		  #当一个镜像有多个标签时，只是删除其中指定的标签
或者
docker rmi 镜像ID号			  #会彻底删除该镜像
docker rmi 镜像ID号	-f        #强制删除所有的镜像
 
快速删除所有镜像方法：
docker rmi $(docker images -q)
 
docker rmi nginx:1.18
docker rmi 50fe74b50e0d
docker rmi nginx:latest
docker rmi 605c77e624dd -f
docker rmi $(docker images -q)

 

也可指定id进行删除

标签方法删除，只能刚除一个标签的内容 

使用-f选项进行强制删除

快速删除全部镜像

存出镜像：将镜像保存成为本地文件

docker save -o 镜像文件路径  镜像名或镜像ID       #将镜像导出为文件
 
docker save -o /opt/nginx-1.20.tar nginx:1.20
ls /opt
scp /opt/nginx-1.20.tar 192.168.18.20:/opt
 
192.168.18.20服务器查看

将nginx 1.20版导出到/opt/名为nginx-1.20.tar

复制给需要载入镜像的服务器 

另一台服务器查看

 载入镜像：将镜像文件导入到镜像库中

docker load < 存出的文件
或者
docker load -i 存出的文件
 
docker load < nginx
docker load -i nginx

第一步，先清空镜像

 

或者 

上传镜像

docker账户

默认上传到 docker Hub 官方公共仓库，需要注册使用公共仓库的账号。https://hub.docker.com
可以使 用命令来输入用户名、密码和邮箱来完成注册和登录。
在上传镜像之前，还需要先对本地镜像添加新的标签，然后再使用 docker push 命令进行上传。

docker login  #输入用户名及密码
docker tag nginx:1.20 别名   #添加别名
docker push 别名   #上传即可

阿里云账户上传示例

docker login --username=youzitianxiawudi registry.cn-hangzhou.aliyuncs.com #登录，输入密码
docker tag nginx:1.20 registry.cn-hangzhou.aliyuncs.com/aliyun-yzl101/nginx-xy101:1.20   

                                             #为nginx:1.20 创建别名nginx-xy101:1.20
docker push registry.cn-hangzhou.aliyuncs.com/aliyun-yzl101/nginx-xy101:1.20  #上传
 
阿里云官方进行查看

 密码设置好后，创建命名空间和镜像仓库

 

[root@l1 opt]# docker tag nginx:1.20 registry.cn-hangzhou.aliyuncs.com/aliyun-yzl101/nginx-xy101:1.20   //创建别名
[root@l1 opt]# docker images 
REPOSITORY                                                    TAG       IMAGE ID       CREATED       SIZE
registry.cn-hangzhou.aliyuncs.com/aliyun-yzl101/nginx-xy101   1.20      50fe74b50e0d   2 years ago   141MB
nginx                                                         1.20      50fe74b50e0d   2 years ago   141MB
[root@l1 opt]# docker push registry.cn-hangzhou.aliyuncs.com/aliyun-yzl101/nginx-xy101:1.20
The push refers to repository [registry.cn-hangzhou.aliyuncs.com/aliyun-yzl101/nginx-xy101]
c75c795b7d44: Layer already  
4e498ce5ae6a: Layer already  
35437a3771fc: Layer already  
108a6d6c3e60: Layer already  
9ccbab2746b8: Layer already  
2edcec3590a4: Layer already  
1.20: digest: sha256:cba27ee29d62dfd6034994162e71c399b08a84b50ab25783eabce64b1907f774 size: 1570
[root@l1 opt]# 

Docker容器操作

容器创建：就是将镜像加载到容器的过程。

新创建的容器默认处于停止状态，不运行任何程序，需要在其中发起一个进程来启动容器。

docker create [选项] 镜像名：标签 [容器启动命令]    #创建容器
常用选项：
-i：让容器开启标准输入接受用户输入命令
-t：让Docker分配一个伪终端tty
-it :合起来实现和容器交互的作用，运行一个交互式会话shell 
--name ： 指定容器名
 
docker create -it nginx:latest /bin/bash

[root@l1 ~]# docker images
REPOSITORY                                                    TAG       IMAGE ID  
nginx                                                         latest    605c77e624
tomcat                                                        latest    fb5657adc8
registry.cn-hangzhou.aliyuncs.com/aliyun-yzl101/nginx-xy101   1.20      50fe74b50e
nginx                                                         1.20      50fe74b50e
[root@l1 ~]# docker create centos:latest
Unable to find image 'centos:latest' locally
latest: Pulling from library/centos
a1d0c7532777: Pull complete 
Digest: sha256:a27fd8080b517143cbbbab9dfb7c8571c40d67d534bbdee55bd6c473f432b177
Status: Downloaded newer image for centos:latest
4bb5cd03ffd625142a58c6a1e9e9581d93dc47c307319716051d173c7bd79380
[root@l1 ~]# 

 查看容器的运行状态

docker ps -a			#-a选项可以显示所有的容器
docker ps -a -q  #查看容器id号
docker inspect 容器名/容器id  #查看容器详细信息

未指定启动命令，按默认的，状态显示已创建未启动，未指定生成名字随机生成一个

指定运行命令创建 

 --name指定名字

启动容器

docker start 容器的ID/名称
docker ps -a    #查看所有容器
docker ps       #查看正在运行的容器

 停止容器

docker stop 容器的ID/名称 [-t 等待时间]   #停止容器，发送SIGTERM信号，默认等待10d 
docker kill 容器的ID/名称      #强制退出容器，默认发送SIGKILL信号

返回码为0表示正常退出，非0为不正常

 删除容器

docker rm [-f] 容器ID/名称   #删除已经停止的容器  [-f]选项强制删除
 
若想删除正在 运行的容器，必须先暂停该容器的启动状态，在进行删除或使用-f选项，否则无法删除

 批量清理后台停止的容器

docker rm $(docker ps -a -q)	

 只能删除不在运行的

 批量清理后台所有容器

docker rm $(docker ps -a -q) -f

创建并启动容器

可以直接执行docker run命令， 等同于先执行docker create命令，再执行docker start命令。（-d是必加项，不然会卡那

 注意： 容器是一个与其中运行的shell命令/进程共存亡的终端，命令/进程运行容器运行， 命令/进程结束容器退出。
docker容器默认会把容器内部第一个进程，也就是pid=1的程序作为docker容器是否正在运行的依据，如果docker容器中pid = 1的进程挂了，那么docker容器便会直接退出，也就是说Docker容器中必须有一个前台进程，否则认为容器已经挂掉。

创建并运行一个容器，30秒后自动挂

 

当利用docker run来创建容器时， Docker在后台的标准运行过程是：

（1）检查本地是否存在指定的镜像。当镜像不存在时，会从公有仓库下载；
（2）利用镜像创建并启动一个容器；
（3）分配一个文件系统给容器，在只读的镜像层外面挂载一层可读写层；
（4）从宿主主机配置的网桥接口中桥接一个虚拟机接口到容器中；
（5）分配一个地址池中的IP地址给容器；
（6）执行用户指定的应用程序，执行完毕后容器被终止运行。

当运行一个容器时，镜像不存在会先自动创建镜像，然后再创建容器并启动容器

 同时也会在本地为这个容器创建一个IP

容器的进入

需要进入容器进行命令操作时，可以使用docker exec命令进入运行着的容器

docker exec -it 容器ID/名称 /bin/bash
-i 选项表示让容器的输入保持打开；
-t 选项表示让Docker分配一个伪终端。

#进入容器前，确保容器正在运行
docker exec -it abc /bin/sh
ls
exit				#退出容器后，容器仍在运行

 将本地文件复制到容器中

docker cp 宿主机文件路径  容器名或容器ID:绝对路径           #复制宿主机文件到容器中
docker cp /etc/yum.repos.d/CentOS-Base.repo abc:/lib

 从容器复制文件到本地主机

cp 容器名或容器ID:绝对路径  宿主机文件路径                      #复制容器文件到宿主机中
docker cp abc:/lib/systemd /root/
docker cp abc:/lib/init /root/

[root@l1 ~]# docker cp abc:/lib/systemd /root/
Successfully copied 13.8kB to /root/
[root@l1 ~]# docker cp abc:/lib/init /root/
Successfully copied 10.2kB to /root/
[root@l1 ~]# 
[root@l1 ~]# ls
anaconda-ks.cfg  initial-setup-ks.cfg  公共  视频  文档  音乐
init             systemd               模板  图片  下载  桌面
[root@l1 ~]# 

 查看容器日志

docker logs 容器名/容器id    #查看容器中PID=1的主进程的日志

 导出容器

docker export 容器名/id > 保存目录/文件名
docker export -o 保存目录/文件名 容器id/容器名

导入容器 

docker import 容器文件 -- 名称:标签
cat 容器文件 | docker import - 镜像名:标签    #将容器模板文件导入成镜像
 
 
docker import nginx.tar -- nginx:xy101
cat nginx.tar | docker import - nginx:xy102
 
 
镜像是创建容器的根本，因此只能先将容器文件导出为镜像，再有镜像创建、启动容器，才能导入容器

 两种方法都可以