1、掌握namespace、cgroup在容器中的作用
namespace:
namespace是Linux系统的底层概念,在内核层实现,各个容器运行在同一个主机上并且同一个宿主机系统内核;
每个容器都要有类似于虚拟机一样的相互隔离的运行空间,如文件系统空间、网络空间、进程空间等;
目前主要通过以下技术实现容器运行空间的相互隔离:
UTS:提供主机名隔离能力(包含了运行内核的名称、版本用于系统标识,包含hostname/domainname,使得容器拥有自己的hostname标识)
MNT:提供磁盘挂载点和文件系统的隔离能力(宿主机使用chroot技术把容器锁定到一个指定的运行目录里面)
IPC:提供进程间通信的隔离能力(允许一个容器内的不同进程数据访问,但不允许跨容器通信)
PID:提供进程隔离能力(每个容器内都有一个父进程来管理其下属的子进程,容器内的主进程生产与回收子进程)
Net:提供网络隔离能力(每个容器都拥有自己的网卡、监听端口、TCP/IP协议栈等)
User:提供用户隔离能力(允许不同的容器创建相同的用户名、UID/GID,用户的作用范围限制在每个容器内)
cgroup
最主要的作用就是限制一个进程组能够使用的资源上限,包括CPU、内存、磁盘、网络带宽等;
还能够对进程进行优先级设置,以及将进程挂起和恢复操作;
2、编排工具及依赖技术总结
编排工具:
当多个容器在多个主机运行的时候,单独管理容器是相当复杂而且很容易出错,而且无法实现某台主机宕机后容器自动迁移从而实现高可用的目的,也无法实现动态伸缩的功能;
编排工具可以实现统一管理、动态伸缩、故障自愈、批量执行等功能,这就是容器编排引擎;
容器编排通常包括容器管理、调度、集群定义和服务发现等功能;
Docker swarm:docker开发的容器编排引擎
Kubernetes:google领导开发的容器编排引擎,内部项目为Borg,且其同时支持docker和CoreOS
Mesos+Marathon:通用的集群组员调度平台,mesos(资源分配)与marathon(容器编排平台)一起提供容器编排引擎功能;
Docker容器依赖技术:
容器网络:
docker自带的网络docker network仅支持管理单机上的容器网络,当多主机运行是需要使用第三方开源网络,如calico、flannel等
服务发现:
容器的动态扩缩容特性决定了容器IP会随之变化,因此需要一种机制可以自动识别并将用户请求动态转发指定容器上,kubernetes自带服务发现功能,结合core-dns服务解析内部域名;
容器监控:
可通过docker原生命令docker ps/top/stats查看容器运行状态,另也可以使用Prometheus等第三方监控工具监控容器的运行状态;
数据管理:
容器的动态迁移会导致其在不同的Host之间迁移,如何保证与容器相关的数据也能随之迁移或随时访问,可以使用逻辑卷/存储挂载等方式解决;
日志收集:
docker原生的日志查看工具docker logs,但是容器内部的日志需要通过ELK等专门的日志收集分析和展示工具进行处理;
3、基于dockerfile制作一个nginx镜像
查找下载最新的centos docker镜像
#docker search centos
#docker pull centos
创建修改centos镜像工作目录
#mkdir -pv /opt/dockerfile/system/centos
修改yum.repo文件确保容器能正常访问yum源,使用yum安装一些工具
通过Dockerfile更新centos镜像里的repo文件
Dockerfile文件:
build-command.sh脚本:
build centos新镜像
基于centos:v8.4.2105制作nginx镜像
提前下载nginx-1.16.1.tar.gz源码包;
Dockerfile文件
build-command.sh脚本
一步一步打包测试,先安装工具--编译安装nginx--编写测试页面---将测试页面打到镜像里---修改nginx.conf文件,每步打包完成后docker run运行容器查看效果,确保每一步没有问题;
最后效果,运行起来容器
通过浏览器可看到测试页面
4、镜像构建总结
docker commit
Usage: docker commit [OPTIONS] CONTAINER [REPOSITORY[:TAG]]
基于DOckerfile创建镜像:
Usage: docker build [OPTIONS] PATH | URL | -
1.熟练掌握Dockerfile的指令使用
FROM #在整个dockerfile文件中,除了注释之外的第一行,用于指定父镜像;
ADD #用于添加宿主机本地的文件、目录、压缩等资源到镜像里面,会自动解压tar.gz格式的压缩包,不会自动解压zip包;
COPY #用于添加宿主机本地的文件、目录、压缩等资源到镜像里面,需要自己解压;
RUN #执行shell命令;
ENV #用于设定环境变量
EXPOSE #声明要将容器的端口映射到主机(只是声明)
MAINTAIUSER #镜像的作者信息
LABEL #设置镜像的属性标签
USER #指定运行操作的用户
VOLUME #定义volume
WORKDIR #用于定义工作目录
CMD #镜像启动容器时默认的运行命令、脚本
ENTERYPOINT #也可以用于定义容器启动时默认执行的命令或脚本,如果是和CMD混合使用,会将CMD命令但做参数传递给ENTERYPOINT后面的脚本,
可以在脚本中对参数进行判断并对容器做对应的操作
2.必须熟练通过Dockerfile制作镜像的各种方式(yum安装、编译安装)
3.镜像的分层构建
镜像分层构建的好处:
底层公用,一个是底层系统环境、工具等可以公用,不必每个应用都单独准备环境,二个是可以节省镜像存储空间;
底层系统、工具可以只关注系统、工具版本,提供不同的系统、工具版本,上层可以根据需要选择底层镜像
5.梳理CMD和ENTRYPOINT的区别及使用技巧
CMD #镜像启动容器时默认的运行命令、脚本
ENTERYPOINT #也可以用于定义容器启动时默认执行的命令或脚本,如果是和CMD混合使用,会将CMD命令但做参数传递给ENTERYPOINT后面的脚本,可以在脚本中对参数进行判断并对容器做对应的操作
扫一扫关注作者公众号