Docker入门

systemctl restart network

1.2 安装成功了，但是运行报错

重新启动docker，再运行hello-world就可以了

systemctl restart docker

开发和运维两套环境，而环境配置十分麻烦。
如在Windows上开发，要发布到Linux上运行。Docker给以上问题提出了解决方案：
Java

传统虚拟机与Docker对比

Docker的优点

• 不模拟完整的操作系统，系统内核（kernel）非常小，更少的抽象层（GuestOS：如Centos）
• 容器内的应用直接运行在宿主机的内核，容器本身没有自己的内核，也没有虚拟硬件。
• 每个容器相互隔离，内部都有属于自己的文件系统，互不影响。

Docker实现DevOps（开发、运维）

• 应用更快速的交付和部署
  打包镜像发布测试，一键运行；不再需要写大量帮助文档，安装程序
• 更便捷的升级和扩缩容？
  部署应用就和搭积木一样
• 更简单的系统运维
  开发和测试的环境高度一致
• 更高效的计算资源利用
  内核级别的虚拟化，可以在一个物理机上运行很多的容器实例，服务器性能可以被压榨到极致。
  
• 镜像（image）：镜像是一种轻量级、可执行的独立软件包，用来打包软件运行环境和基于运行环境开发的软件。它包含运行某个软件所需的所有内容，包括代码、运行时、库、环境变量和配置文件。相当于一个模板，通过这个模板来创建容器服务，可以通过一个镜像创建多个容器。
• 容器（container）：独立运行一个或一组应用/基本命令有：启动，停止，删除等/可理解为一个简单的linux系统。
• 仓库（repository）：存放镜像的地方（公有/私有）

Docker是一个Client-Server结构的系统，以守护进程运行在主机上。通过Socket从客户端进行访问。

帮助命令

docker --help            # 帮助信息
docker info              # 系统信息，包括镜像和容器的数量

镜像命令

docker images            #查看所有镜像
docker search 镜像名      # 搜索镜像
docker pull 镜像名        # 下载镜像

Docker采用联合文件系统，不同镜像的相同文件无需再次下载：

docker rmi 镜像名/id      删除镜像

容器命令

docker run [options] 镜像名/id [command]  # 建立容器并启动：           
[options]:                  
            --name=容器名                 # 命名容器以区分不同容器
            -d                           # 在后台运行容器（必须有一个前台进程，否则进程会自动关闭）
	        -it                          # 使用交互方式运行，进入容器查看内容
	        -p 主机端口:容器端口            # 暴露指定容器端口
	        -P                           # 暴露容器所有端口
[command]:
            /bin/bash                    # 控制台

Exit                         # 从容器中退回主机 
CTRL+Q+P                     # 容器不停止退出
docker ps                    # 显示当前运行的容器 
          -a                 # 带出历史运行过的容器
docker rm 容器名/id           # 删除指定容器
docker rm &(docker ps -aq)   # 删除全部容器

其他命令

docker start/restart/stop/kill 容器名/id               
docker logs -tf --tail 显示的日志条数 容器名/id  # 查看日志
docker top 容器名/id                 # 查看容器中的进程信息
docker inspect 容器名/id             # 查看镜像的元数据
docker exec -it 容器名/id /bin/bash  # 通常容器以后台方式运行，需要进入其中修改配置：进入容器后开启一个新终端         
docker attach 容器名/id              # 进入容器正在执行的终端
docker cp 容器名/id:容器内路径 主机文件路径       # 从容器内拷贝文件到主机上

---

# 1.下载镜像
docker pull nginx
# 2.检查是否下载成功 docker images
REPOSITORY    TAG       IMAGE ID       CREATED        SIZE
mysql         latest    bbf6571db497   20 hours ago   516MB
nginx         latest    f652ca386ed1   20 hours ago   141MB
hello-world   latest    feb5d9fea6a5   2 months ago   13.3kB
centos        latest    5d0da3dc9764   2 months ago   231MB
#3.运行测试
#-d 后台运行
#--name 给容器命名
#-p 宿主机端口：容器内部端口
[root@localhost ~]# docker run -d --name nginx01 -p 3344:80 nginx
WARNING: IPv4 forwarding is disabled. Networking will not work.
3633ff6b1fa5be4a0cea1da6542246da04322e14f248f16c2fba1fc4e1d0909b
[root@localhost ~]# docker ps
CONTAINER ID   IMAGE     COMMAND                  CREATED         STATUS         PORTS                                   NAMES
3633ff6b1fa5   nginx     "/docker-entrypoint.…"   7 seconds ago   Up 6 seconds   0.0.0.0:3344->80/tcp, :::3344->80/tcp   nginx01
#测试3344请求是否成功
[root@localhost ~]# curl localhost:3344   

#进入容器
root@localhost ~]# docker exec -it nginx01 /bin/bash
root@3633ff6b1fa5:/# whereis nginx
nginx: /usr/sbin/nginx /usr/lib/nginx /etc/nginx /usr/share/nginx
root@3633ff6b1fa5:/# cd /etc/nginx
root@3633ff6b1fa5:/etc/nginx# ls
conf.d	fastcgi_params	mime.types  modules  nginx.conf  scgi_params  uwsgi_params
root@3633ff6b1fa5:/etc/nginx# 

成功的话访问服务器地址:3344可以看到以下界面

3.2端口暴露成功的概念

思考：我们每次改动nginx配置文件时都需要进入容器内部？是否可以在容器外提供一个映射路径，达到在容器外部修改文件，容器内部就可以自动修改?(数据卷技术)

docker run -d -p 8080:9000 \--restart=always -v/var/run/docker.sock:/var/run/docker.sock --privileged=true portainer/portainer

访问测试：

选择本地的

联合文件系统（UnionFS）是一种分层、轻量级并且高性能的文件系统，它支持对文件系统的修改作为一次提交来一层层的叠加，同时可以将不同目录挂载到同一个虚拟文件系统下。联合文件系统是 Docker 镜像的基础。镜像可以通过分层来进行继承，基于基础镜像（没有父镜像），可以制作各种具体的应用镜像。
特性：一次同时加载多个文件系统，但从外面看起来只能看到一个文件系统。联合加载会把各层文件系统叠加起来，这样最终的文件系统会包含所有底层的文件和目录。

Docker的镜像实际由一层一层的文件系统组成：

• bootfs（boot file system）主要包含bootloader和kernel。bootloader主要是引导加载kernel，完成后整个内核就都在内存中了。此时内存的使用权已由bootfs转交给内核，系统卸载bootfs。可以被不同的Linux发行版公用。
• rootfs（root file system），包含典型Linux系统中的/dev，/proc，/bin，/etc等标准目录和文件。rootfs就是各种不同操作系统发行版（Ubuntu，Centos等）。因为底层直接用Host的kernel，rootfs只包含最基本的命令，工具和程序就可以了。
• 分层理解
  所有的Docker镜像都起始于一个基础镜像层，当进行修改或增加新的内容时，就会在当前镜像层之上，创建新的容器层。
  容器在启动时会在镜像最外层上建立一层可读写的容器层（R/W），而镜像层是只读的（R/O）。
  
  
  如何提交自己的镜像？

docker commit -m="描述信息" -a="作者" 容器id 目标镜像名:[tag]  # 编辑容器后提交容器成为一个新镜像

6.1 什么是容器数据卷？

为了实现数据持久化，使容器之间可以共享数据。可以将容器内的目录，挂载到宿主机上或其他容器内，实现同步和共享的操作。即使将容器删除，挂载到本地的数据卷也不会丢失。

6.2 使用容器数据卷
使用命令：

dokcer run -it -v 主机内目录:容器内目录 镜像名/id

# 测试
dokcer run -it -v /home/ceshi:/home centos /bin/bash

将容器内目录挂载到主机内目录上，通过docker inspect命令查看该容器即可以看到挂载信息：

建立挂载关系后，只要使用命令在容器内新建一个文件：

touch /home/test.txt

就会在主机的挂载目录下发现相同的文件（test.txt），从而实现了容器和主机的文件同步和共享（在主机下修改也会同步到容器）。
6.3 匿名挂载

docker run -d  -v 容器内目录  镜像名/id  # 匿名挂载

匿名挂载后，使用docker volume ls命令查看所有挂载的卷：

每一个VOLUME NAME对应一个挂载的卷，由于挂载时未指定主机目录，因此无法直接找到目录。
6.4 具名挂载

docker run -d  -v 卷名：容器内目录  镜像名/id  

可以发现挂载的卷：volume01，并通过docker volume inspect 卷名 命令找到主机内目录：

所有docker容器内的卷，在未指定主机内目录时，都在：/var/lib/docker/volumes/卷名/_data 下，可通过具名挂载可以方便的找到卷，因此广泛使用这种方式进行挂载。
6.5 数据容器卷

docker run -it --name container02 --volumes from container01 镜像名/id  # 将两个容器进行挂载

Dockerfile是用来构建docker镜像的文件
7.1 构建步骤：

编写一个dockerfile文件,名字可以随机建议Dockerfile，随后运行命令：

docker build -f 文件路径 -t 标签 .  # 文件名为Dockerfile时可省略且最后的.不要忽略
docker run -it 镜像号 /bin/bash     # 运行镜像
docker push    # 发布镜像

7.2 dockerfile命令

命令	效果
FROM	基础镜像：Centos/Ubuntu
MAINTAINER	镜像作者+邮箱
RUN	镜像构建的时候需要运行的命令
ADD	为镜像添加内容（压缩包）
WORKDIR	镜像工作目录（进入容器时的目录）
VOLUME	挂载的目录
EXPOSE	暴露端口配置
CMD/ENTRYPOINT	指定这个容器启动时要运行的命令（CMD替代先前命令，ENTRYPOINT在先前命令后追加）
COPY	类似于ADD，将文件拷贝到镜像中
ENV	构建时设置环境变量

7.3 构建过程

• 每个保留关键字（指令）都必须是大写字母
• 从上到下顺序执行
• “#” 表示注释
• 每一个指令都会创建提交一个新的镜像层并提交

7.4 构建实例

7.5 CMD和ENTRYPOINT 的区别
CMD 指定这个容器启动时要运行的命令，只有最后一个会生效，可被代替
ENTRYPOINT 指定这个容器启动时要运行的命令，可以追加命令

测试CMD

7.6 实战
准备镜像文件 tomcat压缩包，jdk压缩包

编写dockerfile文档

构建镜像

# docker build -t diytomcat .  

启动镜像（容器挂载）

访问测试
发布项目（由于做了卷挂载，我们直接在本地编写项目就可以发布了）

web.xml

index.jsp

查看是否发布成功

小结

问题：docker是如何处理网络访问的

linux可ping通docker容器内内部因为docker0的ip地址为172.17.0.1，容器为172.17.0.2。
原理： 我们每启动一个docker容器，docker就会给容器分配一个默认的可用ip，我们只要安装了docker，就会有一个网卡docker0(bridge)。网卡采用桥接模式，并使用veth-pair技术（veth-pair就是一对虚拟设备接口，成对出现，一段连着协议，一段彼此相连，充当一个桥梁。）
这时我们退出容器，回到主机再次观察主机的ip地址：

我们惊奇地发现了一个新网络262: vethc96781f@if261，对应容器内网络地址的261: eth0@if262

再启动一个容器，发现又多了一对网卡

容器和容器之间也是可以ping通的

tomcat01和tomcat02公用一个路由器docker0。所有容器不指定网络的情况下都是docker0路由的，docker0会给容器分配一个默认可用的ip。
小结：

docker中的所有网络接口都是虚拟的 ，虚拟的转发效率高。删除容器后，对应的网桥（一对）也随之删除。
8.2 --link
若编写一个微服务并连接数据库，如果数据库ip改变，如何根据容器名而不是ip访问容器？显然，直接使用容器名是无法ping通容器内部的：

这时我们可以在容器启动命令中加入一个选项：–link，使得我们可以根据容器名来访问容器

docker run -d -P --name 容器名/id --link 容器名/id 镜像名/id

然而反向就不可以ping通，这是因为–link的本质是把需要连接的容器名/id写入启动容器的配置文件中，即增加了一个ip和容器名/id的映射：


目前已经不建议使用这种方式。

8.3 自定义网络

我们使用命令：

docker network ls    # 查看所有的docker网络

docker中的网络模式有：

• bridge：桥接（docker默认）
• none：不配置网络
• host：和宿主机共享网络
• container：容器网络联通，用的少局限很大

docker run 命令默认带有一个参数–net bridge，此处的bridge指的就是docker0。如果我们不想使用docker0，那如何创建一个新的网络呢？

docker  network create --driver 网络模式 --subnet 子网ip --gateway 网关 网络名  

我们不仅在docker network ls命令下发现了这个新创建的网络newnet，还可以使用docker network inspect命令查看其详细信息，包括了我们创建时定义的子网ip和网关：

只要两个容器启动时都通过 --net，选用了同一个已创建的网络，不同容器间即可通过ip地址或容器名/id连通:

我们自定义的网络docker已经帮我们维护好了对应关系，推荐这样使用网络！

好处：Redis集群、Mysql集群，不同集群使用不同的网络，保证集群是安全和健康的。

8.4 网络联通

对于建立在不同网络下(docker0, newnet)的两个容器tomcat01和tomcat02，他们的网段不同，因此是无法彼此ping通容器内部的：

这时我们需要通过docker network connect命令打通容器与网络之间的连接：

docker network connect 网络名 容器名/id

这个功能类似于将一个容器赋予多个ip地址，同样可以用docker network inspect命令查看网络连通后，该网络的变化：

原本newnet网络中只含有tomcat02，现在增加了tomcat01，因此可以连通。