Docker 基本管理

前言

1.为什么要用虚拟机

（1）因为虚拟机可以充分使用物理机的性能

2.为什么要用到容器

（1）容器可以屏蔽底层操作系统的差异性，可以让应用程序不管在哪里都能使用容器的环境正常运行，从而保证了开发测试环境与生产环境的一致性

（2）容器部署起来非常便捷和迅速，可以大大缩短应用部署的周期时间

容器引擎：docker、containered、podman（redhat产品）、rocket

一.Docker 概述

1.容器是什么 

Docker是一个开源的应用容器引擎，基于go语言开发并遵循了apache2.0协议开源。

Docker是在Linux容器里运行应用的开源工具，是一种轻量级的“虚拟机”。

Docker 的容器技术可以在一台主机上轻松为任何应用创建一个轻量级的、可移植的、自给自足的容器。

一次封装，到处运行

Docker的Logo设计为蓝色鲸鱼，拖着许多集装箱。

鲸鱼可看作为宿主机，集装箱可理解为相互隔离的容器，每个集装箱中都包含自己的应用程序。

Docker的设计宗旨：Build,Ship and Run Any App,Anywhere

即通过对应用组件的封装、发布、部署、运行等生命周期的管理，达到应用组件级别的“一次封装，到处运行”的目的。这里的组件，既可以是一个应用，也可以是一套服务，甚至是一个完整的操作系统。

容器的优点：

• 灵活：即使是最复杂的应用也可以集装箱化。
• 轻量级：容器利用并共享主机内核。
• 可互换：可以即时部署更新和升级。
• 便携式：可以在本地构建，部署到云，并在任何地方运行。
• 可扩展：可以增加并自动分发容器副本。
• 可堆叠：可以垂直和即时堆叠服务。

2.容器和虚拟机

容器是与其他容器共享主机的内核，它运行的是一个独立的进程，不占用其他任何可执行文件的内存，非常轻量。

虚拟机运行的是一个完整的操作系统，通过虚拟机管理程序对主机资源进行虚拟访问，相比之下需要的资源更多。

（1）Docker与虚拟机的区别：

特性	Docker容器	虚拟机
启动速度	秒级	分钟级
计算能力损耗	几乎无	损耗 50%左右
性能	接近原生	弱于
系统支持量（单机）	上千个	几十个
隔离性	资源隔离/限制	完全隔离

（2）容器在内核中支持2种重要技术：

docker容器本质就是宿主机的一个进程，docker容器是通过namespace实现资源隔离，通过cgroup实现资源限制，通过写时复制技术（copy-on-write）实现了高效的文件操作（类似虚拟机的磁盘比如分配500g并不是实际占用物理磁盘500g，只有当需要修改时才复制一份数据）。

（1）namespace

Linux 六大 namespace
MNT(mount)：文件系统隔离
NET(network)：网络资源隔离
PID：进程的pid隔离
IPC：进程间通信隔离
UTS：主机名隔离
USER：用户隔离

（2）cgroup

3.Docker核心概念

（1）镜像

Docker的镜像是创建容器的基础，类似虚拟机的快照，可以理解为一个面向 Docker 容器引擎的只读模板。
通过镜像启动一个容器，一个镜像是一个可执行的包，其中包括运行应用程序所需要的所有内容包含代码，运行时间，库、环境变量、和配置文件。
Docker镜像也是一个压缩包，只是这个压缩包不只是可执行文件，环境部署脚本，它还包含了完整的操作系统。因为大部分的镜像都是基于某个操作系统来构建，所以很轻松的就可以构建本地和远端一样的环境，这也是Docker镜像的精髓。

（2）容器

Docker的容器是从镜像创建的运行实例，它可以被启动、停止和删除。所创建的每一个容器都是相互隔离、互不可见，以保证平台的安全性。
可以把容器看做是一个简易版的linux环境（包括root用户权限、镜像空间、用户空间和网络空间等）和运行在其中的应用程序。

（3）仓库

Docker仓库是用来集中保存镜像的地方，当创建了自己的镜像之后，可以使用push命令将它上传到公有仓库（Public）或者私有仓库（Private）。当下次要在另外一台机器上使用这个镜像时，只需从仓库获取。

Docker 的镜像、容器、日志等内容全部都默认存储在 /var/lib/docker 

二.安装 Docker

目前 Docker 只能支持 64 位系统。

1.初始化操作

systemctl stop firewalld.service
setenforce 0
vim /etc/selinux/config

2.安装依赖包

wget -O /etc/yum.repos.d/CentOS-Base.repo http://mirrors.aliyun.com/repo/Centos-7.repo

yum install -y yum-utils device-mapper-persistent-data lvm2 

yum-utils：提供了 yum-config-manager 工具。
device mapper： 是Linux内核中支持逻辑卷管理的通用设备映射机制，它为实现用于存储资源管理的块设备驱动提供了一个高度模块化的内核架构。
device mapper存储驱动程序需要 device-mapper-persistent-data 和 lvm2。

#设置阿里云镜像源
yum-config-manager --add-repo https://mirrors.aliyun.com/docker-ce/linux/centos/docker-ce.repo

3.安装 Docker-CE并设置为开机自动启 

yum install -y docker-ce docker-ce-cli containerd.io

systemctl start docker.service
systemctl enable docker.service 

安装好的Docker系统有两个程序，Docker服务端和Docker客户端。其中Docker服务端是一个服务进程，负责管理所有容器。 Docker客户端则扮演着Docker服务端的远程控制器，可以用来控制Docker的服务端进程。大部分情况下Docker服务端和客户端运行在一台机器上。

4.查看 docker 版本信息

docker version

docker 信息查看
docker info  

Client:
 Context:    default
 Debug Mode: false
 Plugins:
  app: Docker App (Docker Inc., v0.9.1-beta3)
  buildx: Build with BuildKit (Docker Inc., v0.5.1-docker)

Server:
 Containers: 0                        # 容器数量
  Running: 0
  Paused: 0
  Stopped: 0
 Images: 1                            # 镜像数量
 Server Version: 20.10.3            # server 版本
 Storage Driver: overlay2            # docker 使用的是 overlay2 文件驱动
  Backing Filesystem: xfs            # 宿主机上的底层文件系统
  Supports d_type: true
  Native Overlay Diff: true
 Logging Driver: json-file
 Cgroup Driver: cgroupfs            # Cgroups 驱动
 Cgroup Version: 1
 Plugins:
  Volume: local
  Network: bridge host ipvlan macvlan null overlay
  Log: awslogs fluentd gcplogs gelf journald json-file local logentries splunk syslog
 Swarm: inactive
 Runtimes: io.containerd.runtime.v1.linux runc io.containerd.runc.v2
 Default Runtime: runc
 Init Binary: docker-init
 containerd version: 269548fa27e0089a8b8278fc4fc781d7f65a939b
 runc version: ff819c7e9184c13b7c2607fe6c30ae19403a7aff
 init version: de40ad0
 Security Options:
  seccomp
   Profile: default
 Kernel Version: 3.10.0-693.el7.x86_64        # 宿主机的相关信息
 Operating System: CentOS Linux 7 (Core)
 OSType: linux
 Architecture: x86_64
 CPUs: 1
 Total Memory: 976.3MiB
 Name: localhost.localdomain
 ID: Y4ES:FTH2:ZJL7:MRVE:RJVB:WJIB:S7BV:C5IZ:LMBR:E4G5:QWSM:SNDT
 Docker Root Dir: /var/lib/docker            # docker 数据存储目录
 Debug Mode: false
 Registry: https://index.docker.io/v1/        # registry 地址
 Labels:
 Experimental: false
 Insecure Registries:
  127.0.0.0/8
 Registry Mirrors:                            # 加速站点
  https://6ijb8ubo.mirror.aliyuncs.com/
 Live Restore Enabled: false

三.Docker 镜像操作

镜像加速下载

浏览器访问阿里云或者官网获得加速器配置

cd /etc/docker/

tee /etc/docker/daemon.json <<-'EOF'
> {
>   "registry-mirrors": ["https://2bgpiq40.mirror.aliyuncs.com"]
> }
> EOF
{
  "registry-mirrors": ["https://2bgpiq40.mirror.aliyuncs.com"]
}

sudo systemctl daemon-reload
sudo systemctl restart docker

docker info

1.搜索镜像

格式：docker search 关键字

docker search nginx

2.获取下载镜像

格式：docker pull 仓库名称[:标签]

docker pull nginx

docker pull nginx:1.20

3.查看下载的镜像文件信息

cat /var/lib/docker/image/overlay2/repositories.json

镜像下载后存放在 /var/lib/docker 。
Docker 相关的本地资源存放在 /var/lib/docker/ 目录下，其中 containers 目录存放容器信息，image 目录存放镜像信息，overlay2 目录下存放具体的镜像底层文件。

4.查看下载到本地的所有镜像

docker images

docker image ls

docker images -q                #查看镜像列表，-q 表示仅显示镜像ID

5.查看镜像的详细信息

lowerdir是镜像层，目录或者文件是只读的，其实就是rootfs，image layer可以分很多层，所以对应的lowerdir是可以有多个目录
upperdir是在lowerdir之上的容器层，这层是可读可写的，在启动一个容器时候会进行创建，所有的对容器数据更改都发生在这里层
MergedDir是表现层，是容器的挂载点 

docker inspect 镜像名或镜像ID              

6.添加新的镜像名或标签

docker tag 旧镜像名:旧标签  新镜像名:新标签

7.删除镜像

docker rmi 镜像名或镜像ID [-f]    #当一个镜像有多个标签时，只是删除其中指定的标签
                                 #指定ID会彻底删除该镜像

注意：如果该镜像已经被容器使用，正确的做法是先删除依赖该镜像的所有容器，再去删除镜像。

和 docker image -q 的联合使用

docker rmi $(docker images -q)

8.将镜像导出为文件

docker save -o 镜像文件路径  镜像名或镜像ID

9.将镜像文件导入docker

docker load -i 镜像文件路径

docker load < 镜像文件路径

10.上传镜像

（1）登录官方仓库

docker login  默认直接登录官方仓库

（2）登录阿里云仓库

docker login --username=aliyun1611907576 registry.cn-hangzhou.aliyuncs.com

（3）上传镜像到阿里云仓库中

docker login --username=aliyun1611907576 registry.cn-hangzhou.aliyuncs.com 登录

docker tag nginx:1.20 registry.cn-hangzhou.aliyuncs.com/jujingyi/nginx-xy101:1.20 改名

docker push registry.cn-hangzhou.aliyuncs.com/jujingyi/nginx-xy101:1.20 上传

四.Docker 容器操作

容器创建：就是将镜像加载到容器的过程。

新创建的容器默认处于停止状态，不运行任何程序，需要在其中发起一个进程来启动容器。

1.创建容器

格式：docker create [选项] 镜像

常用选项：
-i：让容器开启标准输入接受用户输入命令
-t：让 Docker 分配一个伪终端 tty
-it :合起来实现和容器交互的作用，运行一个交互式会话 shell 

2.启动容器

docker start 容器名或容器ID

3.查看容器

docker ps -a [-q]

4.查看容器的详细信息

docker inspect 容器名或容器ID

5.停止容器（stop）

docker stop 容器名或容器ID [-t 等待时间]    #发送 SIGTERM 信号，默认等待10s

6.停止容器（kill）

docker kill 容器名或容器ID    #默认发送 SIGKILL 信号

7.删除容器

docker rm 容器名或容器ID [-f]

一般是先停止，在删除；或者是强制删除 docker rm -f 

8.创建并启动容器

docker run -d [-i -t] [--name 容器名] 镜像名:标签 [容器启动命令]
-P                       #使用随机的宿主机端口映射容器端口（从32768开始）
-p 宿主机端口:容器端口     #使用指定的宿主机端口映射容器端口

9.登录容器

docker exec -it 容器名或容器ID  sh|bash

格式：docker exec -it 容器ID/名称 /bin/bash

-i 选项表示让容器的输入保持打开；

-t 选项表示让 Docker 分配一个伪终端。

10.复制文件

（1）复制宿主机文件到容器中

docker cp 宿主机文件路径  容器名或容器ID:绝对路径

（2）复制容器文件到宿主机中

docker cp 容器名或容器ID:绝对路径  宿主机文件路径

11.容器的导入和导出

docker export 容器名或容器ID > 容器模板文件 docker export -o 容器模板文件 容器名或容器ID        
#将容器导出成文件
docker import 容器模板文件 -- 镜像名:标签  cat 容器模板文件 | docker import - 镜像名:标签      
#将容器模板文件导入成镜像

五.docker run 的启动过程

docker 容器默认会把容器内部第一个进程，也就是 pid=1 的程序作为docker容器是否正在运行的依据，如果docker容器中 pid = 1 的进程挂了，那么docker容器便会直接退出，也就是说Docker容器中必须有一个前台进程，否则认为容器已经挂掉。

（1）检查本地是否有指定镜像，如果有则直接使用本地镜像创建容器，如果没有则从仓库拉取镜像再创建容器

（2）在只读的镜像层上再挂载一层可读可写的容器层

（3）从docker网桥给容器分配一个虚拟接口和IP地址

（4）使用镜像的默认启动命令或docker run 指定的命令来启动容器，直到容器中的PID=1的主进程退出为止