一、Docker介绍
Docker是一个开源的应用容器引擎,主要利用 linux 内核 namespace 实现沙盒隔离,用cgroup 实现资源限制。
Docker支持三种不同的镜像层次存储的 drivers:aufs、devicemapper、btrfs ;
1、Aufs:
AUFS (AnotherUnionFS) 是一种 Union FS, 简单来说就是支持将不同目录挂载到同一个虚拟 文 件 系 统 下 (unite several directories into a single virtual filesystem) 的 文 件 系 统 。 Aufs driver 是 docker 最早支持的 driver,但是 aufs 只是 linux 内核的一个补丁集而且不太可以会被合并加入到 linux 内核中。但是由于 aufs 是唯一一个 storage driver 可以实现容器间共享可执行及可共享的运行库, 所以当你跑成千上百个拥有相同程序代码或者运行库时时候,aufs是个相当不错的选择。
2、Device Mapper:
Device mapper 是 Linux 2.6 内核中提供的一种从逻辑设备到物理设备的映射框架机制,在该机制下,用户可以很方便的根据自己的需要制定实现存储资源的管理策略。
Device mapper driver 会创建一个 100G*的简单文件包含你的镜像和容器。每一个容器被限制 在 10G 大 小 的 卷 内。
你可以在启动 docker daemon 时用参数-s 指定 driver:docker -d -s devicemapper ;
3、Btrfs:
Btufs driver 在 docker build 可以很高效。但是跟 devicemapper 一样不支持设备间共享存储,在 没 有 aufs 支 持 的linux 发 行 版 本 上 (CentOS,opensuse 等 ) 安 装 docker 可 能 就 使 用 了devicemapper driver。
二、Docker安装
1、实验环境:
Selinux iptables off
Operating System: Red Hat Enterprise Linux Server 7.0 (Maipo)
2、Docker安装:
百度网盘链接: https://pan.baidu.com/s/1mam5_h2HGpepcWnMZkkcMQ 密码: jx7d
[root@server1 ~]# ls
container-selinux-2.21-1.el7.noarch.rpm
docker-ce-18.03.1.ce-1.el7.centos.x86_64.rpm
docker-engine-1.8.2-1.el7.rpm
libsemanage-2.5-8.el7.x86_64.rpm
libsemanage-python-2.5-8.el7.x86_64.rpm
pigz-2.3.4-1.el7.x86_64.rpm
policycoreutils-2.5-17.1.el7.x86_64.rpm
policycoreutils-python-2.5-17.1.el7.x86_64.rpm
[root@server1 ~]# yum install -y *
注意:此处我使用的rhel7.0的yum源,结果发现报错,从报错不难可以看出依赖的版本过低,我们把yum源的版本设置成rhel7.3,再次执行发现还是启动失败。其实直接用rhel7.3的系统及yum源就可以,不用如此麻烦!!!
我们在更新在内核就好了:
[root@server1 ~]# yum install -y kernel
[root@server2 ~]# systemctl restart docker
查看docker:
我们可以发现docker多了个自己的网卡及IP,这样我们docker的安装就完成了!!!
三、容器的管理
导入镜像:docker load -it ubuntu.tar
# docker run -it --name vm1 ubuntu bash ###创建容器
# docker ps -a ###查看容器进程
# docker attach vm1 ###连接容器
# docker top vm1 ###查看容器状态
# docker logs vm1 ###查看容器指令输出 -f 参数可以实时查看
# docker inspect vm1 ###查看容器详情
# docker stats vm1 ###查看容器资源使用率
# docker diff vm1 ###查看容器修改
# docker run -d --name vm1 ubuntu bash -c "while true; do echo dream; sleep 1; done" ###后台运行,后面为执行的命令。用docker attach vm1命令会一直输出dream
# docker stop vm1 ###停止容器
# docker start vm1 ###启动容器
# docker kill vm1 ###强制干掉容器
# docker restart vm1 ###重启容器
# docker pause/unpause vm1 ###暂停/恢复容器
# docker rm vm1 ###删除容器
# docker export vm1 > vm1.tar ###导出容器
# docker import vm1.tar image ###导入容器为镜像 image
# docker container prune ###删除所有未运行容器
四、镜像管理
镜像用来创建容器,是容器的只读模板,默认可以从 docker hub 上下载。docker 的镜像是增量修改,每次创建新的镜像都会在父镜像上构建一个增量的层,基于 AUFS 技术。虽然此为官方的公共仓库,但是是国外的服务器。我们可以通过阿里云或www.daocloud.io下载。
# docker search ###查询镜像
# docker pull ###拉取镜像
# docker push ###推送镜像
# docker images ###查看本地镜像
# docker inspect ubuntu ###查看ubuntu镜像详情
# docker save ubuntu > ubuntu.tar ###导出镜像
# docker load -i ubuntu.tar ###导入镜像
# docker commit ###更新镜像
# docker rmi ###删除镜像
五、数据卷管理
docker run 在创建容器时使用 -v 参数可以挂载一个或多个数据卷到当前运行的容器中,-v的作用是将宿主机上的目录作为容器的数据卷挂载到容器中,使宿主机和容器之间可以共享一个目录。
1、导入Nginx
[root@server1 mnt]# docker load -i nginx.tar
### 冒号前面的是宿主机的目录(本地目录不存在 docker 会自动创建),冒号后面的是容器中的挂载目录,这样你在宿主机的目录中写入内容会写入镜像目录。
[root@server1 mnt]# docker run -d --name vm1 -v /tmp/nginx:/usr/share/nginx/html nginx
327547edd526af266d7153f04ee6861f3d4e622ac6faee912640d8578e171f05
[root@server1 nginx]# docker inspect vm1 ###查看信息
[root@server1 ~]# docker kill vm1
vm1
[root@server1 ~]# docker rm vm1
vm1
2、改变映射端口
[root@server1 ~]# docker run -d --name vm1 -v /tmp/nginx:/usr/share/nginx/html -p 8080:80 nginx
bb781fc90fd11185e11f7838a38ab85e8dd78cfcfba4974a28023f0f8409d6be
[root@server1 ~]# netstat -lntup|grep 8080
tcp6 0 0 :::8080 :::* LISTEN 7769/docker-proxy
[root@server1 ~]# iptables -t nat -nL|grep DNAT
DNAT tcp -- 0.0.0.0/0 0.0.0.0/0 tcp dpt:8080 to:172.17.0.2:80
3、挂载数据卷到新创建的容器上
###-v 参数可以重复使用,挂载多个数据卷到容器中,冒号前面的是宿主机的目录(本地目录不存在 docker 会自动创建),冒号后面的是容器中的挂载目录
# docker run -it --name vm3 -v /tmp/data1:/data1 -v /tmp/data2:/data2 rhel7 /bin/bash
###默认挂载可以读写数据卷,也可以只读挂载:
# docker run -it --name vm3 -v /tmp/data2:/data2:ro rhel7 /bin/bash
# docker run -it --name vm3 /etc/yum.repos.d/rhel-dvd.repo:/etc/yum.repos.d/yum.repo:ro rhel7 /bin/bash
###这样我们就可以使用yum进行下载了
4、数据卷容器
# docker create --name data -v /tmp/sharedata:/sharedata rhel7 /bin/bash
# docker run -it --name vm1 --volumes-from data rhel7 /bin/bash
# docker run -it --name vm2 --volumes-from data rhel7 /bin/bash
# docker attach vm1
bash-4.2# cd /sharedata/
bash-4.2# touch vm1file
# docker attach vm2
bash-4.2# cd /sharedata/
bash-4.2# ls
passwd vm1file
bash-4.2# touch vm2file
[root@server1 ~]# ls /tmp/sharedata/
vm1file vm2file
# docker container cp /etc/ vm1:/data ###把/etc拷贝到/data下
5、备份数据卷:
# docker run --rm --volumes-from data -v /tmp/backup:/backup rhel7 tar cf /backup/test.tar /sharedata
五、docker配置修改
Docker 在启动时会创建一个虚拟网桥 docker0,默认地址为 172.17.0.1/16, 容器启动后都会被桥接到 docker0 上,并自动分配到一个 IP 地址。两种选一种就可以,推荐第二种
(1)设置绑定IP
[root@server1 ~]# vim /etc/docker/daemon.json
{
"bip": "172.17.0.1/24"
}
(2)设置docker-compose IP池
docker-compose默认生成IP会和局域网ip冲突导致网络不通
[root@server1 ~]# vim /etc/docker/daemon.json
{
"default-address-pools" : [
{
"base" : "172.17.0.0/16",
"size" : 24
}
]
}
(3)修改镜像路径
ubuntu:
"graph": "/opt/docker",
{
"data-root": "/opt/docker",
}
(4)查看结果
[root@server1 ~]# systemctl restart docker
[root@server1 ~]# ip addr show docker0
3: docker0: <NO-CARRIER,BROADCAST,MULTICAST,UP> mtu 1500 qdisc noqueue state DOWN
link/ether 02:42:23:2d:56:4b brd ff:ff:ff:ff:ff:ff
inet 172.17.0.1/24 brd 172.17.0.255 scope global docker0
valid_lft forever preferred_lft forever
六、容器的四种网络模式
bridge 桥接模式、host 模式、container 模式和 none 模式,启动容器时可以使用 --net 参数指定,默认是桥接模式。
Docker网络初始化的过程:
InitDriver —>> Init bridge —>> Init iptables —>> Init ip forward —>> register network job function —>> END
1、Bridge 桥接模式
(1)简介
Bridge桥接模式的实现步骤主要如下:
- Docker Daemon 利用 veth pair 技术,在宿主机上创建两个虚拟网络接口设备,假设为veth0 和 veth1。而 veth pair 技术的特性可以保证无论哪一个 veth 接收到网络报文,都会将报文传输给另一方。
- Docker Daemon 将 veth0 附加到 Docker Daemon 创建的 docker0 网桥上。保证宿主机的网络报文可以发往 veth0;
- Docker Daemon 将 veth1 添加到 Docker Container 所属的 namespace 下,并被改名为 eth0。如此一来,保证宿主机的网络报文若发往 veth0,则立即会被 eth0 接收,实现宿主机到Docker Container 网络的联通性;同时,也保证 Docker Container 单独使用 eth0,实现容器网络环境的隔离性。
bridge 桥接模式下的 Docker Container 在使用时,并非为开发者包办了一切。最明显的是,该模式下 Docker Container 不具有一个公有 IP,即和宿主机的 eth0 不处于同一个网段。导致的结果是宿主机以外的世界不能直接和容器进行通信。虽然 NAT 模式经过中间处理实现了这一点,但是 NAT 模式仍然存在问题与不便,如:容器均需要在宿主机上竞争端口,容器内部服务的访问者需要使用服务发现获知服务的外部端口等。另外 NAT 模式由于是在三层网络上的实现手段,故肯定会影响网络的传输效率。
(2)Bridge桥接模式(默认)
[root@server1 ~]# docker run -it --name vm1 ubuntu ###crtl+p加ctrl+q退出
root@552940599f78:/# [root@server1 ~]# docker ps -a
CONTAINER ID IMAGE COMMAND CREATED STATUS PORTS NAMES
552940599f78 ubuntu "/bin/bash" 4 seconds ago Up 4 seconds vm1
[root@server1 ~]# docker inspect vm1 ###可以查看到"IPAddress": "172.17.0.2"
[root@server1 ~]# docker run -it --name vm2 ubuntu
root@e11164f73b9a:/# ping 172.17.0.2
PING 172.17.0.2 (172.17.0.2) 56(84) bytes of data.
64 bytes from 172.17.0.2: icmp_seq=1 ttl=64 time=0.221 ms
64 bytes from 172.17.0.2: icmp_seq=2 ttl=64 time=0.043 ms
64 bytes from 172.17.0.2: icmp_seq=3 ttl=64 time=0.045 ms
root@e11164f73b9a:/# ip addr show ###可以发现创建eth0
1: lo: <LOOPBACK,UP,LOWER_UP> mtu 65536 qdisc noqueue state UNKNOWN group default qlen 1
link/loopback 00:00:00:00:00:00 brd 00:00:00:00:00:00
inet 127.0.0.1/8 scope host lo
valid_lft forever preferred_lft forever
14: eth0@if15: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc noqueue state UP group default
link/ether 02:42:ac:11:00:03 brd ff:ff:ff:ff:ff:ff
inet 172.17.0.3/16 brd 172.17.255.255 scope global eth0
valid_lft forever preferred_lft forever
2、Host网络模式
(1)简介
host 模式是 bridge 桥接模式很好的补充。采用 host 模式的 Docker Container,可以直接使用宿主机的 IP 地址与外界进行通信,若宿主机的 eth0 是一个公有 IP,那么容器也拥有这个公有 IP。同时容器内服务的端口也可以使用宿主机的端口,无需额外进行 NAT 转换。当然,有这样的方便,肯定会损失部分其他的特性,最明显的是 Docker Container 网络环境隔离性的弱化,即容器不再拥有隔离、独立的网络栈。另外,使用 host 模式的 Docker Container 虽然可以让容器内部的服务和传统情况无差别、无改造的使用,但是由于网络隔离性的弱化,该容器会与宿主机共享竞争网络栈的使用;另外,容器内部将不再拥有所有的端口资源,原因是部分端口资源已经被宿主机本身的服务占用,还有部分端口已经用以 bridge 网络模式容器的端口映射。
(2)Host网络模式
容器将不会虚拟出自己的网卡,配置自己的IP等,而是使用宿主机的IP和端口,可以发现和宿主机共用一个网卡
[root@server1 ~]# docker run -it --name vm3 --net=host ubuntu
root@server1:/# ip addr
[root@server1 ~]# ip addr
###可以发现端口进行了共用
[root@server1 ~]# docker run -d --name vm4 --net=host nginx
ad5b4fc3226040807d13f440a67c7b21b4cecf34977149ca787c9580d95c8f1e
[root@server1 ~]# netstat -lntup|grep 80
tcp 0 0 0.0.0.0:80 0.0.0.0:* LISTEN 12381/nginx: master
[root@server1 ~]# docker ps -a
CONTAINER ID IMAGE COMMAND CREATED STATUS PORTS NAMES
ad5b4fc32260 nginx "nginx -g 'daemon of…" 26 seconds ago Up 25 seconds vm4
264e16b612ea ubuntu "/bin/bash" 36 seconds ago Up 35 seconds vm3
e11164f73b9a ubuntu "/bin/bash" About an hour ago Up About an hour vm2
552940599f78 ubuntu "/bin/bash" About an hour ago Up About an hour vm1
[root@server1 ~]# curl 10.10.10.1:80
<!DOCTYPE html>
<html>
<head>
<title>Welcome to nginx!</title>
<style>
body {
width: 35em;
margin: 0 auto;
font-family: Tahoma, Verdana, Arial, sans-serif;
}
...
3、Container网络模式
(1)简介
- 查找other container(即需要被共享网络环境的容器)的网络 namespace;
- 将新创建的Docker Container(也是需要共享其他网络的容器)的 namespace,使用other container 的 namespace。
Docker Container 的other container网络模式,可以用来更好的服务于容器间的通信。在这种模式下的Docker Container 可以通过 localhost 来访问 namespace 下的其他容器,传输效率较高。虽然多个容器共享网络环境,但是多个容器形成的整体依然与宿主机以及其他容器形成网络隔离。另外,这种模式还节约了一定数量的网络资源。但是需要注意的是,它并没有改善容器与宿主机以外世界通信的情况。
(2)Container网络模式
与其他容器公用一个IP和端口!!!
[root@server1 ~]# docker run -it --name vm5 --network container:vm1 ubuntu
root@552940599f78:/# ip addr
[root@server1 ~]# docker exec -it vm1 ip addr
4、None 网络模式
(1)简介
网络环境为 none,即不为 Docker Container 任何的网络环境。一旦 Docker Container 采用了none 网络模式,那么容器内部就只能使用 loopback 网络设备,不会再有其他的网络资源。可以说 none 模式为 Docker Container 做了极少的网络设定,但是俗话说得好“少即是多”,在没有网络配置的情况下,作为 Docker 开发者,才能在这基础做其他无限多可能的网络定制开发。这也恰巧体现了 Docker 设计理念的开放。
在None网络模式下分配固定 ip:
netns是在linux中提供网络虚拟化的一个项目,使用netns网络空间虚拟化可以在本地虚拟化出多个网络环境,目前netns在lxc容器中被用来为容器提供网络。使用netns创建的网络空间独立于当前系统的网络空间,其中的网络设备以及iptables规则等都是独立的,就好像进入了另外一个网络一样。
(2)None网络模式搭建
###创建none容器,查看IP地址
[root@server1 ~]# docker run -it --name vm6 --network none ubuntu
root@078d53cba38c:/# ip addr
1: lo: <LOOPBACK,UP,LOWER_UP> mtu 65536 qdisc noqueue state UNKNOWN group default qlen 1
link/loopback 00:00:00:00:00:00 brd 00:00:00:00:00:00
inet 127.0.0.1/8 scope host lo
valid_lft forever preferred_lft forever
root@078d53cba38c:/# ###crtl+p加ctrl+q
###创建IP地址
[root@server1 ~]# ip netns add test
[root@server1 ~]# cd /var/run/netns/
[root@server1 netns]# ls
test
[root@server1 netns]# ip netns delete test
[root@server1 netns]# ls
###网口地址进行链接
[root@server1 netns]# ip link add name veth0 type veth peer name veth1
[root@server1 netns]# ip addr show |grep veth1
16: veth1@veth0: <BROADCAST,MULTICAST,M-DOWN> mtu 1500 qdisc noop state DOWN qlen 1000
17: veth0@veth1: <BROADCAST,MULTICAST,M-DOWN> mtu 1500 qdisc noop state DOWN qlen 1000
###启动网口
[root@server1 netns]# ip link set up veth0
[root@server1 netns]# ip link set up veth1
[root@server1 netns]# ip addr show |grep veth1 ###可以发现状态变为up了
16: veth1@veth0: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc noqueue state UP qlen 1000
17: veth0@veth1: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc noqueue state UP qlen 1000
###网口加入容器端
[root@server1 netns]# yum install -y bridge-utils
[root@server1 netns]# brctl addif docker0 veth1
[root@server1 netns]# ip addr show |grep veth1 ###可以发现"docker0 state UP"
16: veth1@veth0: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc noqueue master docker0 state UP qlen 1000
17: veth0@veth1: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc noqueue state UP qlen 1000
###容器的pid(找到其网络)
[root@server1 netns]# docker inspect vm6|grep Pid
"Pid": 12525,
"PidMode": "",
"PidsLimit": 0,
###进行软链接
[root@server1 netns]# ln -s /proc/12525/ns/net /var/run/netns/12525
[root@server1 netns]# ip netns list
12525
###链接网卡veth0
[root@server1 netns]# ip link set veth0 netns 12525
[root@server1 netns]# docker exec -it vm6 ip addr ###可以发现veth0@if16
1: lo: <LOOPBACK,UP,LOWER_UP> mtu 65536 qdisc noqueue state UNKNOWN group default qlen 1
link/loopback 00:00:00:00:00:00 brd 00:00:00:00:00:00
inet 127.0.0.1/8 scope host lo
valid_lft forever preferred_lft forever
17: veth0@if16: <BROADCAST,MULTICAST> mtu 1500 qdisc noop state DOWN group default qlen 1000
link/ether c2:b1:82:fb:ba:6e brd ff:ff:ff:ff:ff:ff
###配置IP地址
[root@server1 netns]# ip netns exec 12525 ip addr add 172.25.254.100/24 dev veth0
[root@server1 netns]# docker exec -it vm6 ip addr
1: lo: <LOOPBACK,UP,LOWER_UP> mtu 65536 qdisc noqueue state UNKNOWN group default qlen 1
link/loopback 00:00:00:00:00:00 brd 00:00:00:00:00:00
inet 127.0.0.1/8 scope host lo
valid_lft forever preferred_lft forever
17: veth0@if16: <BROADCAST,MULTICAST> mtu 1500 qdisc noop state DOWN group default qlen 1000
link/ether c2:b1:82:fb:ba:6e brd ff:ff:ff:ff:ff:ff
inet 172.25.254.100/24 scope global veth0
valid_lft forever preferred_lft forever
###网卡名称修改
[root@server1 netns]# ip netns exec 12525 ip link set veth0 name eth0
[root@server1 netns]# docker exec -it vm6 ip addr ###可以发现网卡名为eth0@if16
1: lo: <LOOPBACK,UP,LOWER_UP> mtu 65536 qdisc noqueue state UNKNOWN group default qlen 1
link/loopback 00:00:00:00:00:00 brd 00:00:00:00:00:00
inet 127.0.0.1/8 scope host lo
valid_lft forever preferred_lft forever
17: eth0@if16: <BROADCAST,MULTICAST> mtu 1500 qdisc noop state DOWN group default qlen 1000
link/ether c2:b1:82:fb:ba:6e brd ff:ff:ff:ff:ff:ff
inet 172.25.254.100/24 scope global eth0
valid_lft forever preferred_lft forever
###启动网卡
[root@server1 netns]# ip netns exec 12525 ip link set up eth0
[root@server1 netns]# docker exec -it vm6 ip addr ###可以发现状态为up
1: lo: <LOOPBACK,UP,LOWER_UP> mtu 65536 qdisc noqueue state UNKNOWN group default qlen 1
link/loopback 00:00:00:00:00:00 brd 00:00:00:00:00:00
inet 127.0.0.1/8 scope host lo
valid_lft forever preferred_lft forever
17: eth0@if16: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc noqueue state UP group default qlen 1000
link/ether c2:b1:82:fb:ba:6e brd ff:ff:ff:ff:ff:ff
inet 172.25.254.100/24 scope global eth0
valid_lft forever preferred_lft forever
###配置网关
[root@server1 netns]# ip netns exec 12525 ip route add default via 172.25.254.250
[root@server1 netns]# docker exec -it vm6 route -n
Kernel IP routing table
Destination Gateway Genmask Flags Metric Ref Use Iface
0.0.0.0 172.25.254.250 0.0.0.0 UG 0 0 0 eth0
172.25.254.0 0.0.0.0 255.255.255.0 U 0 0 0 eth0
扫一扫
8447
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
