Docker文档
前言
本篇文档详细介绍了Docker是什么、能做什么(应用场景),Docker的架构、安装以及使用等,若已经对Docker有所了解可直接从第三部分(安装Docker CE)或者第四部分(开始使用Docker)浏览。在本篇文档中我们只介绍Docker CE(Docker社区版)的安装和操作。
1 Dockere概述
1.1 Docker是什么
Docker是Docker.Inc公司开源的一个基于轻量级虚拟化技术的容器引擎项目,整个项目基于Go语言开发, 遵从Apache 2.0协议。
1.2 Docker能做什么
Docker可以让开发者打包他们的应用以及依赖包到一个可移植的镜像中,然后发布到任何Linux或者Windows机器上,也可以实现虚拟化。容器完全使用沙箱机制,相互之间不会有任何接口。
1.3 对Docker的理解
前面都是官方对于Docker所给出的说明,在这里我根据自己的理解对Docker做一个介绍,加深大家对Docker的理解。首先,我们看一张docker官方给出的“定妆照”:
如果我还是幼儿园小朋友的话,我会说一头小鲸鱼,背着一大堆集装箱,快乐的畅游在大海里,但是现在的我会说:“docker是一个运行在操作系统上的软件,这个软件上可以运行多个相互隔离的容器”。虽然表述不同,但是意思相同。大海就是我们的操作系统,小鲸鱼就是docker,而这一个个集装箱就是我们的一个个容器,容器里面是一个个单独的环境或者服务。相信这么一说大家对docker有了更加深刻的认识。
那么docker的出现对于我们服务器的开发和部署到底带来哪些变化呢?大家知道,一般工业环境中整个开发的流程是:
- 开发人员开发产品(开发环境)
- 产品开发好后进行测试(测试环境)
- 产品上线(线上环境)
但是我们常常会遇到一个问题,就是我们开发好产品后,明明在自己的电脑上跑代码一点问题都没有,怎么一到测试的时候,或者一到上线的时候,就问题不断呢?其实答案很简单,就是环境和配置不同而已。所以在以前,我们需要将开发环境,测试环境,线上环境完全统一,但是又有一个问题是当我们业务比较多的时候,各个产品所需要的环境又有可能会有冲突,这就真的让人很头疼了。
现在,我们有了docker之后,就可以很完美的解决这个问题了。我们开发的时候在一个容器(container)中部署开发环境、编写配置文件,然后进行开发,开发完成后,我们将开发环境和代码一起打包成一个镜像(image),直接想这个image放到线上就可以了。所以现在我们的开发流程变成了这样:
- 开发人员在容器中开发应用
- 将容器打包成镜像交给运维,运维上线
如此一来,我们将环境加代码一起打包到线上去,就再也不用担心由于环境不同导致代码运行出错的问题了,而且由于容器与容器之间的是相互隔离的,所以我们也不用担心服务太多后造成冲突了,是不是非常的完美啊。
这也就是docker的核心口号:Build once,Run anywhere.
1.4 容器和传统虚拟机比较
在前面我们说过docker可以实现虚拟化,那么很多人肯定就会想到虚拟机了,docker和虚拟机有什么区别和联系呢?
在最早的时候我们买不起云服务器的时候,想学Linxu就得先安装一个创建虚拟机的软件(比如说VMware),然后在软件上创建虚拟机,分配内存、分配磁盘、安装Linux操作系统等等一系列的操作,然后再等个个把分钟让虚拟机运行起来。而我们启动一个docker容器,只需要短短的几秒钟时间就可以了。
那么为什么传统的虚拟机启动会真么慢,docker启动容器这么快呢?因为传统虚拟机虚拟一套硬件之后,在上面运行一个完整的操作系统,然后在该系统上再运行所需要的应用程序,并且虚拟的资源需要提前进行分配,一旦分配这些资源就会被全部占用。但是docker容器内的应用程序是直接运行在宿主机内核上的,容器没有自己的内核,更加不会对硬件进行虚拟。因此docker比传统虚拟机更加轻便。
让我们看一张官方给的架构对比图:
从架构图上我们就可以清晰的看到,docker就是一个运行在操作系统上的软件,它的每个container共用宿主机的内核,而传统虚拟机运行一个完整的“Guest OS”,通过虚拟机管理程序对主机资源进行虚拟访问,因此虚拟机会占用大量的资源。
让我们做一个总结:
对比属性 | Container | VM |
---|---|---|
隔离性 | 基于进程隔离 | 提供资源的完全隔离 |
启动时间 | 秒级 | 分钟级 |
内核 | 共用宿主机内核 | 使用独立内核 |
占用资源 | MB级 | GB级 |
系统支持容量 | 单机支持上千个容器 | 一般几十个 |
1.5 Docer的优势
- 灵活:即使最复杂的应用也可以集装箱化。
- 轻量级:容器利用并共享主机的内核,节约成本。
- 互换性:可以很快的更新部署和升级。
- 便携式:可以在本地构建后,部署到任何地方运行(Build once,Run anywhere)。
- 可扩展:可以增加并自动分发容器的副本。
- 交付物标准化:原来交付的只是应用,现在将应用加环境一起交付。
- 应用隔离: 容器之间相互隔离,互补影响。
2 Docker的架构
Docker采用C/S架构开发,整体架构图如图所示:
2.1 Docker Client
图中最左边的是docker客户端,类似于我们操作mysql的工具navicat,只不过我们这里没有图形界面的命令终端。docker客户端是与docker服务交互的窗口,图中的docker build,docker pull,docker run
等都是操作命令。
2.2 Docker服务
中间的就是docker后台运行的服务,一个被称为Docker daemon的守护进程。docker daemon监听我们客户端的命令,管理docker的镜像,容器,网络,磁盘等,执行命令客户端的命令。docker客户端可以与服务运行在同一台机器上,也可以远程连接到其他机器上。
2.3 Docker三大核心组件
2.3.1 Registry(Docker仓库)
右侧的Registry是注册仓库,可以理解为代码控制中心的代码仓库。Registry分为公有库和私有库,可以通过客户端的命令从仓库中下载(pull)镜像或者上传(push)我们制作的镜像,Registry分为公有库和私有库。
-
公有库(官方库):
docker.io (国内访问非常慢)
-
私有库:
aliyun,网易蜂巢,daocloud(这三个是大的私有仓库,对于国人来说算是公有仓库)
公司内部的私人仓库
2.3.2 Images(Docker镜像)
docker镜像是一个只读模板,可以用来创建容器。镜像是一种轻量级的、可执行的独立软件包,用来打包软件运行环境和基于运行环境开发的软件。它包含了运行某个软件所需要的所有内容,包括代码、运行环境、库、配置文件等。比如说我们开发一个web应用需要jdk环境、tomcat容器、linux操作系统,那么我们可以把所有的这些打包成一个整体(包括各种配置文件)。打包之后的镜像可以在任何装有docker的机器中运行。
镜像是分层的,第一层的镜像层我们称为基础镜像层,其他层的镜像(除了最顶层)我们称之为父层镜像。这些镜像继承了他们父层镜像的所有属性和设置,并在Dockerfile中添加了自己的配置。比如说一个tomcat镜像,需要运行在linux上,那我们的tomcat镜像就会基于centos镜像创建,这样的结构就类似于洋葱,一层又一层。
Docker镜像是通过镜像ID进行识别的。镜像ID是一个64字符的十六进制的字符串。但是当我们运行镜像时,通常不会使用镜像ID,而是用镜像全限定名(镜像名+标签)。
2.3.3 容器
docker容器是用镜像创建的运行实例,docker可以利用容器独立运行一个或者一组应用。我们可以使用客户端或者API控制容器的启动、开始、停止、删除。每个容器之间都是相互隔离的。上一步我们构建的镜像只是一个静态文件,这个文件想要运行就需要变为容器。
2.3.4 容器和镜像之间的关系
如果还是理解不了容器和镜像之间的关系,那么我们可以这么想,镜像就像当于一个class,容器就相当于是对这个class new出的一个实例,这样大家是不是就可以很清楚的理解镜像与容器之间的关系了。
3 安装Docker ce
我们的安装是基于Linux下的CentOS系统安装的。安装 Docker CE 一般有三种方式:
- 大多数用户会选择设置 Docker 的仓库,这也是比较推荐的一种方法。
- 有部分用户下载了RPM的软件包并手动安装、管理升级,这在没有网络的情况下非常有用。
- 一些用户使用自动的 convenience scripts(便捷脚本)安装,生产环境不推荐。
在这里我们只介绍通过设置Docker仓库的方式安装(yum安装)。
3.1 Docker的版本
Docker有两个可用版本:
- Community Edition(CE)—> 社区版(免费)
- Enterprise Edition(EE)—> 企业版(收费)
企业版适合个人开发者和刚开始准备使用Docker的微小团队,企业版是专门为企业的IT团队而开发设计的。这里我们只做docker ce的介绍。
Docker CE有三个版本:Stabel,Test,Nightly
3.2 安装的前提条件
- Docker 运行在 CentOS 7 上,要求系统为64位、系统内核版本为 3.10 以上。
- Docker 运行在 CentOS-6.5 或更高的版本的 CentOS 上,要求系统为64位、系统内核版本为 2.6.32-431 或者更高版本(最新版本的Docker ce已经不支持CentOS 6的操作系统)。
- centos-extras库必须启动。默认情况下此存储库是启用的,如果被禁用则需要重新启用它
3.3 安装Docker ce
ps:如果是非root用户且没有加入 docker 组,都要以 sudo 运行命令
-
卸载旧的版本
较旧版本的Docker被称为docker或者docker-engine,若是已经安装,必须卸载它们和它们的依赖项。
sudo yum -y remove \ docker \ docker-client \ docker-client-latest \ docker-common \ docker-latest \ docker-latest-logrotate \ docker-logrotate \ docker-engine # /var/lib/docker这个路径下保存了docker的镜像,容器,网络等等内容。
-
安装Docker所需要的一些包
sudo yum install -y \ yum-utils \ device-mapper-persistent-data \ lvm2 # yum-utils提供了非常实用的 yum-config-manager # device-mapper-persistent-data:设备映射的一个工具(用来持久化数据) # lvm2 :一个命令行管理工具。
-
添加软件源信息
yum-config-manager \ --add-repo \ http://mirrors.aliyun.com/docker-ce/linux/centos/docker-ce.repo # 我这里添加的是阿里的软件源
-
更新yum缓存
sudo yum makecache fast
-
安装最新版本的 docker ce
sudo yum install docker-ce docker-ce-cli containerd.io # ps:查看可用版本 sudo yum list docker-ce --showduplicates | sort -r #可以自行选择版本下载,通过指定包名进行下载
-
设置镜像加速
sudo echo "{\"registry-mirrors\":[\"http://v2ltjwbg.mirror.aliyuncs.com\"]}" > /etc/docker/daemon.json
-
启动 docker 后台服务
sudo systemctl start docker
-
设置成开机自启
sudo systemctl enable docker.service
-
检验docker是否安装成功
sudo docker run docker/whalesay cowsay Hello Docker!
如果安装成功,会出现如下效果:
4 开始使用Docker
4.1 Docker daemon相关操作
-
启动docker服务
systemctl start docker
-
重启守护进程
systemctl daemon-reload
-
重启docker服务
systemctl restart docker
-
关闭docker
service docker stop # 或者 systemctl stop docker
-
查看docker客户端所有命令选项
docker
-
查看docker某个指令的具体只用方法
docker command --help
-
查看docker版本
docker --version
-
查看更多docker信息
docker info
-
登录Docker Hub
docker login # Docker Hub网址:hub.docker.com(这个是官网的,也可去看国内的)
-
退出Docker Hub
docker logout
4.2 Docker 镜像相关操作
-
查看docker中的镜像
docker image ls # 或者 docker images
-
查看镜像的制作过程
docker history image_name:tag
-
下载镜像
docker pull image_name:tag # tag是镜像的标签,可以理解为版本
-
查找镜像
docker search image_name
-
提交镜像到镜像仓库
docker push image_name:tag
-
镜像移植
a)将容器打包成tar文件
# 也就是把正在运行的容器直接导出为tar包的镜像文件。有两种方式 # 第一种方式 docker export -o image_name.tar container_name # 第二种方式 docker export container_name > image_name.tar # 导入 docker import image_name.tar image_name:tag
b)通过容器创建本地镜像
# 步骤: # 1.先下载一个镜像 # 2.通过这个镜像启动一个容器 # 3.在容器中部署自己需要的环境 # 4.将部署好环境的容器生成一个新的镜像 docker commit -m "a new images" -a "jiangyu" container_id new_image_name:tag # -m:对新镜像的描述 # -a:作者 # -h:查看帮助,就是--help # 和a方法相比,这种方法可以给新的镜像添加一些注册信息等。a方法会生成一个镜像文件,commit是生成一个新的镜像。 # commit之后就会生成一个新的镜像文件 # 将新的镜像保存成一个文件 # ps:这里的.tar不一定要加 docker save -o image_name:tag.tar image_id # 将生成的新的镜像文件进行加载 docker load < image_name:tag.tar
c)通过Dockerfile创建镜像
# 1.创建一个文件夹 mkdir directory_name cd directory_name # 2.创建Dockerfile文件,文件名必须是:Dockerfile touch Dockerfile # 3.编辑Dockerfile文件 FROM ubuntu #基础镜像是一个ubuntu系统 MAINTAINER xbf #作者 RUN sed -i 's/archive.ubuntu.com/mirrors.ustc.edu.cn/g' /etc/apt/sources.list #RUN后面是执行的命令 RUN apt-get update COPY index.html /var/www/html #从host中拷贝一个文件到容器的目录下 EXPOSE 80 #EXPOSE,暴露端口号 # 4.生成镜像 docker build -t image_name:tag . # -t:表示设置标签的意思 # .:用来指明我们使用的Dockerfile在当前目录下 # Dockerfile语法总结: # FROM --> 指定基础镜像 # RUN --> 后面跟执行的命令 # ADD --> 添加文件 # COPY --> 拷贝文件(从主机拷贝到容器) # EXPOSE --> 暴露端口 # WORKDIR --> 指定路径 # MAINTAINER --> 维护者 # ENV --> 设定环境变量 # ENTRYPOINT --> 容器入口 # USER --> 指定用户 # VOLUME --> mount point
-
为镜像添加标签
docker tag image_id image_name:new_tag # ps:实际上就是生成一个新版的镜像
-
删除镜像
docker rmi image_name:tag # 删除已经停止的镜像 docker rmi image_name:tag --force # 删除正在运行的镜像
4.3 Docker容器相关操作
-
创建并运行一个容器
docker run -it image_name:tag # 这个命令相当于给镜像创建了一个实例 # -i:以交互模式运行容器,通常与 -t 同时使用 # -t:为容器重新分配一个伪输入终端,通常与 -i 同时使用 # -d:后台运行容器,并返回容器ID # -p:指定端口映射,格式为:主机(宿主)端口:容器端口 # -P:随机端口映射,容器内部端口随机映射到主机的高端口 # --name:为容器指定一个名称 # -v:绑定一个卷 # -h:指定容器的hostname # -net:指定网络 # -ip:指定Ip地址 # --privileged:使容器有权限运行服务 # --restart=always:设定容器关闭后总是重启
-
创建一个容器但不启动
docker create -it image_name:tag /bin/bash
-
启动容器
docker start container_id
-
重启容器
docker restart container_id
-
退出并关闭容器
exit / ctrl+d
-
退出但不关闭容器
ctrl+p+q
-
停止容器
docker stop container_id docker kill container_id # ps:docker stop命令给容器中的进程发送sigterm信号,默认行为是会导致容器的退出,当然容器内程序可以捕捉该信号自行处理,例如可以选择忽略。而docker kill则是给容器的进程发送 sigkill 信号,该信号会让容器必然退出。
-
删除容器
docker rm container_id # 删除容器时容器必须是停止状态
-
进入运行中的容器
# a)使用attach进入 docker attach container_id # ps:当多个窗口同时使用该命令进入该容器的时候,所有的窗口会同步显示。如果有一个窗口阻塞了,那么其他窗口再无法进行操作,所以docker attach 不太适用于生产环境。attach进入容器exit退出时会关闭容器。 # b)使用ssh进入 需要在容器中安装 SSH Server,不建议使用,具体自己去了解。 # c)使用exec命令进入 sudo docker exec -it container_id /bin/bash # ps:用exec进入,exit退出的时候并不会关闭容器。
-
查看容器端口绑定情况
docker port container_id
-
查看容器内发生改变的文件
docker diff container_id
-
查看正在运行的容器
docker container ls docker ps
-
查看所有容器的信息
docker container ls -a docker ps -a
-
查看所有容器的ID
docker container ls -aq docker ps -a -q
-
查看容器内的标准输出
docker logs -f container_id # -f : 跟踪日志输出 # --since :显示某个开始时间的所有日志 # -t : 显示时间戳 # --tail :仅列出最新N条容器日志
-
查看容器内部运行的进程
docker top container_id
-
查看某个容器的底层信息
docker inspect container_id # -f :指定返回值的模板文件。 # -s :显示总的文件大小。 # --type :为指定类型返回JSON。
-
更改容器的名字
docker rename container_id
-
动态显示容器的资源消耗情况(包括CPU、内存、网络I/O等)
docker stats container_id
-
获取镜像/容器的元数据(查询容器/镜像所有信息)
docker inspect container_id # 获取某个容器的ip docker inspect --format='{{range .NetworkSettings.Networks}}{{.IPAddress}}{{end}}' container_name
-
查询最后一次创建的容器
docker ps -l
-
文件传递
# 1.从容器拷贝到宿主机 docker cp container_name:file_path host_path # 2.从宿主机拷贝到容器 docker cp host_path container_name:file_path
4.4 Volume
volume提供数据的持久化,以及容器之间的共享数据(只能在创建容器的过程中挂载),有三种方法。
-
第一种方法
docker run -d --name new_image_name:tag -v path image_name:tag # -d:表示后台运行 # -v:挂载 # path:容器内需要挂载的目录,它会将宿主机的随意某个目录挂载到path上。
-
第二种方法
docker run -d -v server_path:container_path image_name:tag # server_path:宿主机上的某个路径 # container_path:容器内的某个路径 # 将宿主机上的某个路径挂载容器的某个路径
-
第三种方法
docker run -it --volumes-from other_container_name --name new_container_name image_name:tag /bin/bash # --volumes-from:从另一个容器当中挂载容器中已经创建好的数据卷
4.5 创建和使用私有仓库
-
根据registry镜像运行一个容器
docker run -d -p 5000:5000 -v /var/bigdata/:/var/lib/registry registry # 运行时会自己下载该镜像,端口映射为5000,默认情况下仓库会创建在容器的/var/lib/registry目录下,将该目录挂载。
-
上传和拉取镜像
# 上传镜像 # 首先要将镜像的tag标记为<ip:5000>/image_name:tag docker tag centos:latest 127.0.0.1:5000/centos:latest # 将镜像上传到私有仓库中 docker push <ip>:5000/image_name # 查看仓库中的镜像 curl <ip>:5000/v2/_catalog # 下载镜像 docker pull <ip>:5000/image_name
4.6 Swarm相关操作
-
开启swarm模式,将该节点编程一个manager
# 后面的ip地址是本主机的Ip地址 docker swarm init --advertise-addr <ip:2377>
-
加入swarm集群
docker swarm join \ --token <token> \ <manager_ip:2377>
-
离开集群
docker swarm leave # 如果是manager节点要离开swarm(解散swarm) docker swarm leave --force
-
查看集群有哪些节点
docker node ls # 次命令要在manager中执行
-
查看加入集群的token
# 查看作为manager节点加入swarm的token docker swarm join-token manager # 查看作为work节点加入swarm的token docker swarm join-token worker
5 Docker集群相关
5.1 docker网络模式
docker容器刚创建的时后默认有三种网络模式:
- bridge:默认情况下会使用这种网络模式,创建容器时ip地址会随机分配
- host:不会为容器单独指定网络,与宿主机使用同一网络,也不会分配Ip地址
- none:不会自动创建网络,需要手动创建
指定方式:docker run --net bridge …
5.2 创建自定义网络
-
创建网络:
docker network create -d overlay --subnet=10.10.10.0/20 --attachable my-overlay # -d:指定网络驱动 # --subnet:指定该网络的网段范围 # --attachable:允许不在swarm集群的独立容器加入 # my-overlay:创建的网络名称
-
查看网络是否安装成功
docker network ls
5.3 容器跨主机通信
实现容器跨主机通信有多重方案,在这里我们使用Docker原生的Swarm+overlay方式实现。
以三台节点为例: node1(ip:x.x.x.1) node2(ip:x.x.x.2) node3(x.x.x.3)
-
选择一个节点开启swarm模式使其成为manager节点。
# node1开启swarm模式,使其成为一个manager节点 docker swarm init --advertise-addr x.x.x.1 # 在执行上面命令后,会显示其他节点加入该swarm的命令,只需复制并在其他节点执行即可,如果未复制且没记下token,使用下面命令查看token # 查看作为manager节点加入swarm的token docker swarm join-token manager # 查看作为work节点加入swarm的token docker swarm join-token worker
-
将其他节点作为work节点加入到 swarm中。
# 分别在node2和node3上执行此命令 docker swarm jion --token <token> x.x.x.1:2377 # 2377是swarm集群通信端口 # 2376也是swarm集群需要使用的一个端口
-
查看swam集群有哪些节点
# 此命令要在manager节点执行 docker node ls # 如果要将某个节点移除出swarm,则去相应的节点执行下面命令 docker swarm leave # 如果是manager节点执行此命令 docker swarm leave --force
-
在每个节点上查看是否出现了overlay网络,确定swarm创建无误
# 分别去每个节点上查看,应该都会有一个overlay网络 docker network ls
-
创建自己的overlay网络
# 在manager节点,创建自己的overlay网络 docker network create \ -d overlay \ #-d,网络驱动 --subnet=10.10.10.0/20 \ #--subnet,指定新网络的网段范围,我这里设置10.10.10.0~10.10.10.20 --attachable \ #这个命令是允许swarm集群之外的container可以加入此网络 my-overlay #新网络的名称 #查看新网络是否创建成功 docker network ls
-
在各个节点上创建容器,组成跨主机通信的容器群组
docker run -itd \ -h test_net \ # 指定容器的主机名 --name test_net \ # 指定容器名 --net my-overlay \ # 指定网络,用我们自己创建的网络 --ip 10.10.10.1 \ # 指定ip地址,指定后容器停止重启ip地址不变 --privileged \ # 此命令和init一起用,赋予容器运行服务的权限 centos \ # 创建容器使用的镜像 init /bin/bash # 我们manager节点上创建了my-overlay的网络,但是其它节点上没有创建此网络,不过没事,由于我们各个节点都已经组成一个swarm,所以在其他work节点上执行上面的命令的时候会自动添加my-overlay网络并加入其中。
-
互相ping,看是否可以ping通。
6 小结
lay网络
# 在manager节点,创建自己的overlay网络
docker network create \
-d overlay \ #-d,网络驱动
--subnet=10.10.10.0/20 \ #--subnet,指定新网络的网段范围,我这里设置10.10.10.0~10.10.10.20
--attachable \ #这个命令是允许swarm集群之外的container可以加入此网络
my-overlay #新网络的名称
#查看新网络是否创建成功
docker network ls
-
在各个节点上创建容器,组成跨主机通信的容器群组
docker run -itd \ -h test_net \ # 指定容器的主机名 --name test_net \ # 指定容器名 --net my-overlay \ # 指定网络,用我们自己创建的网络 --ip 10.10.10.1 \ # 指定ip地址,指定后容器停止重启ip地址不变 --privileged \ # 此命令和init一起用,赋予容器运行服务的权限 centos \ # 创建容器使用的镜像 init /bin/bash # 我们manager节点上创建了my-overlay的网络,但是其它节点上没有创建此网络,不过没事,由于我们各个节点都已经组成一个swarm,所以在其他work节点上执行上面的命令的时候会自动添加my-overlay网络并加入其中。
-
互相ping,看是否可以ping通。
6 小结
本篇文档主要是介绍Docker的安装以及让大家了解Docker,可以进行基础的使用,如果想更加深入的学习Docker,可自行深入学习,若大家发现文档中有什么地方写的不对有错误,欢迎大家指正,一起学习,共同进步!