Docker(学习笔记)

其他文章链接
Java基础
Java集合
多线程
JVM
MySQL
Redis
docker
计算机网络
操作系统

---

相关链接：
CentOS下Docker的安装
CentOS下Docker中安装MySQL
CentOS下Docker中安装redis

---

1.Docker简介

Docker是基于Go语言实现的云开源项目。Docker的主要目标是“Build，Ship and Run Any App,Anywhere”，也就是通过对应用组件的封装、分发、部署、运行等生命周期的管理，使用户的APP（可以是一个WEB应用或数据库应用等等）及其运行环境能够做到“一次镜像，处处运行”。
Docker解决了运行环境和配置问题的软件容器，方便做持续集成并有助于整体发布的容器虚拟化技术。

2.容器与虚拟机

2.1 传统虚拟机技术

传统虚拟机技术是虚拟出一套硬件后，在其上运行一个完整操作系统，在该系统上再运行所需应用进程。

缺点：

1. 资源占用多
2. 冗余步骤多
3. 启动慢

2.2 容器虚拟机技术

容器内的应用进程直接运行于宿主的内核，容器内没有自己的内核且也没有进行硬件虚拟。因此容器要比传统虚拟机更为轻便。
每个容器之间互相隔离，每个容器有自己的文件系统 ，容器之间进程不会相互影响，能区分计算资源。

2.3 为什么Docker会比VM虚拟机快

1. docker有着比虚拟机更少的抽象层
   由于docker不需要Hypervisor(虚拟机)实现硬件资源虚拟化,运行在docker容器上的程序直接使用的都是实际物理机的硬件资源。因此在CPU、内存利用率上docker将会在效率上有明显优势。
2. docker利用的是宿主机的内核,而不需要加载操作系统OS内核
   当新建一个容器时,docker不需要和虚拟机一样重新加载一个操作系统内核。进而避免引寻、加载操作系统内核返回等比较费时费资源的过程,当新建一个虚拟机时,虚拟机软件需要加载OS,返回新建过程是分钟级别的。而docker由于直接利用宿主机的操作系统,则省略了返回过程,因此新建一个docker容器只需要几秒钟。

3.Docker优势

1. 更快速的应用交付和部署。Docker化之后只需要交付少量容器镜像文件，在正式生产环境加载镜像并运行即可，应用安装配置在镜像里已经内置好，大大节省部署配置和测试验证时间。
2. 更便捷的升级和扩缩容。当现有的容器不足以支撑业务处理时，可通过镜像运行新的容器进行快速扩容，使应用系统的扩容从原先的天级变成分钟级甚至秒级。
3. 更简单的系统运维。
4. 更高效的计算资源利用。Docker是内核级虚拟化，其不像传统的虚拟化技术一样需要额外的Hypervisor支持，所以在一台物理机上可以运行很多个容器实例，可大大提升物理服务器的CPU和内存的利用率。

4.Docker的基本组成

镜像、容器、仓库

4.1 镜像

Docker 镜像（Image）是一种轻量级、可执行的独立软件包，它包含运行某个软件所需的所有内容，我们把应用程序和配置依赖打包好形成一个可交付的运行环境(包括代码、运行时需要的库、环境变量和配置文件等)，这个打包好的运行环境就是image镜像文件。
镜像可以用来创建 Docker 容器，一个镜像可以创建很多容器。
相当于容器的“源代码”，docker镜像文件类似于Java的类模板，而docker容器实例类似于java中new出来的实例对象。

虚悬镜像：仓库名、标签都是<none>的镜像，俗称虚悬镜像dangling image。
尽量不要有虚悬镜像。

4.2 容器

1. 从面向对象角度
   Docker 利用容器（Container）独立运行的一个或一组应用，应用程序或服务运行在容器里面。就像是Java中的类和实例对象一样，镜像是静态的定义，容器是镜像运行时的实体。容器为镜像提供了一个标准的和隔离的运行环境，它可以被启动、开始、停止、删除。每个容器都是相互隔离的、保证安全的平台。
2. 从镜像容器角度
   可以把容器看做是一个简易版的 Linux 环境（包括root用户权限、进程空间、用户空间和网络空间等）和运行在其中的应用程序。
3. 仓库
   仓库（Repository）是集中存放镜像文件的场所。
   仓库分为公开仓库（Public）和私有仓库（Private）两种形式。

5.镜像分层

Docker镜像层都是只读的，容器层是可写的。
当容器启动时，一个新的可写层被加载到镜像的顶部。
这一层通常被称作“容器层”，“容器层”之下的都叫“镜像层”。

Docker中的镜像分层，支持通过扩展现有镜像，创建新的镜像。类似Java继承于一个Base基础类，自己再按需扩展。
新镜像是从 base 镜像一层一层叠加生成的。每安装一个软件，就在现有镜像的基础上增加一层。

5.1 UnionFS（联合文件系统）

UnionFS（联合文件系统）：Union文件系统（UnionFS）是一种分层、轻量级并且高性能的文件系统，它支持对文件系统的修改作为一次提交来一层层的叠加，同时可以将不同目录挂载到同一个虚拟文件系统下。Union 文件系统是 Docker 镜像的基础。镜像可以通过分层来进行继承，基于基础镜像（没有父镜像），可以制作各种具体的应用镜像。

特性：一次同时加载多个文件系统，但从外面看起来，只能看到一个文件系统，联合加载会把各层文件系统叠加起来，这样最终的文件系统会包含所有底层的文件和目录

5.2 Docker镜像加载原理

docker的镜像实际上由一层一层的文件系统组成，是层级的文件系统UnionFS。
bootfs(boot file system)主要包含bootloader和kernel, bootloader主要是引导加载kernel, Linux刚启动时会加载bootfs文件系统，在Docker镜像的最底层是引导文件系统bootfs。这一层与我们典型的Linux/Unix系统是一样的，包含boot加载器和内核。当boot加载完成之后整个内核就都在内存中了，此时内存的使用权已由bootfs转交给内核，此时系统也会卸载bootfs。
rootfs (root file system) ，在bootfs之上。包含的就是典型 Linux 系统中的 /dev, /proc, /bin, /etc 等标准目录和文件。rootfs就是各种不同的操作系统发行版，比如Ubuntu，Centos等等。

平时我们安装进虚拟机的CentOS都是好几个G，为什么docker这里才200M？
对于一个精简的OS，rootfs可以很小，只需要包括最基本的命令(比如ls，而vim、yum等可以不支持)、工具和程序库就可以了，因为底层直接用Host的kernel，自己只需要提供 rootfs 就行了。由此可见对于不同的linux发行版, bootfs基本是一致的, rootfs会有差别, 因此不同的发行版可以公用bootfs。

5.3 Docker 镜像采用这种分层结构的原因

镜像分层最大的一个好处就是共享资源，方便复制迁移，就是为了复用。
比如说有多个镜像都从相同的 base 镜像构建而来，那么 Docker Host只需在磁盘上保存一份 base 镜像；
同时内存中也只需加载一份 base 镜像，就可以为所有容器服务了。而且镜像的每一层都可以被共享。

5.4 分层应用（案例演示ubuntu安装vim）

1. 从Hub上下载ubuntu镜像到本地并成功运行（不包含vim命令）
2. 外网连通的情况下，安装vim
   在容器内执行以下命令：
   ①apt-get update
   ②apt-get -y install vim
3. 安装完成后，commit我们自己的新镜像

6.容器数据卷

将docker容器内的数据保存（严格来说是共享）进宿主机的磁盘中
docker run -it --privileged=true -v /宿主机绝对路径目录:/容器内目录 镜像名

6.1 容器和宿主机之间数据共享

1. docker修改，主机同步获得
2. 主机修改，docker同步获得
3. docker容器stop，主机修改，docker容器重启，数据依然同步。

6.2 读写权限问题

• 读写（默认）
  docker run -it --privileged=true -v /宿主机绝对路径目录:/容器内目录:rw 镜像名
• 只读：容器实例内部被限制，只能读取不能写
  docker run -it --privileged=true -v /宿主机绝对路径目录:/容器内目录:ro 镜像名

6.3 卷的继承和共享

容器2继承容器1的卷规则：
docker run -it --privileged=true --volumes-from u1 --name u2 ubuntu

父类挂掉，不影响子类与宿主机之间的共享，且父类重启后依然能同步数据

附：相关命令

帮助启动类命令

• 启动docker： systemctl start docker
• 停止docker： systemctl stop docker
• 重启docker： systemctl restart docker
• 查看docker状态： systemctl status docker
• 开机启动： systemctl enable docker
• 查看docker概要信息： docker info
• 查看docker总体帮助文档： docker --help
• 查看docker命令帮助文档： docker 具体命令 --help

镜像命令

• 列出本地主机上的镜像：docker images
  -a :列出本地所有的镜像（含历史映像层）
  -q :只显示镜像ID。
• 在库里搜索镜像：docker search [OPTIONS] 镜像名字
  –limit : 只列出N个镜像，默认25个。如：docker search --limit 5 redis
• 下载镜像：docker pull 镜像名字[:TAG]
  TAG表示版本，没有TAG就是最新版
• 查看镜像/容器/数据卷所占的空间：docker system df
• 删除镜像：docker rmi 某个XXX镜像名字ID
  删除单个镜像：docker rmi -f 镜像ID
  删除多个镜像：docker rmi -f 镜像名1:TAG 镜像名2:TAG
  删除全部镜像（慎用！）：docker rmi -f $(docker images -qa)
• 提交容器副本使之成为一个新的镜像：docker commit -m=“提交的描述信息” -a=“作者” 容器ID 要创建的目标镜像名:[标签名]

容器命令

• 新建+启动容器：docker run [OPTIONS] IMAGE [COMMAND] [ARG…]
  –name=“容器新名字” 为容器指定一个名称；
  -d: 后台运行容器并返回容器ID，也即启动守护式容器(后台运行)；
  -i：以交互模式运行容器，通常与 -t 同时使用；
  -t：为容器重新分配一个伪输入终端，通常与 -i 同时使用；
    也即启动交互式容器(前台有伪终端，等待交互)；
  -P: 随机端口映射，大写P
  -p: 指定端口映射，小写p
  启动交互式容器(前台命令行)：docker run -it redis:6.0.8 /bin/bash
  启动守护式容器(后台服务器)：docker run -d redis:6.0.8

一般用-d后台启动的程序，再用exec进入对应容器实例

• 列出当前所有正在运行的容器：docker ps [OPTIONS]
  -a :列出当前所有正在运行的容器+历史上运行过的
  -l :显示最近创建的容器。
  -n：显示最近n个创建的容器。
  -q :静默模式，只显示容器编号。
• 退出容器（run进去容器，exit退出，容器停止）：exit
• 退出容器（run进去容器，ctrl+p+q退出，容器不停止）：ctrl+p+q
• 启动已停止运行的容器：docker start 容器ID或者容器名
• 重启容器：docker restart 容器ID或者容器名
• 停止容器：docker stop 容器ID或者容器名
• 强制停止容器：docker kill 容器ID或容器名
• 删除已停止的容器：docker rm 容器ID
  一次性删除多个容器实例（慎用！）：
    docker rm -f $(docker ps -a -q)
    docker ps -a -q | xargs docker rm
• 查看容器日志：docker logs 容器ID
• 查看容器内运行的进程：docker top 容器ID
• 查看容器内部细节：docker inspect 容器ID
• 重新进入容器：
   docker exec -it 容器ID /bin/bash
   docker attach -it 容器ID /bin/bash

attach 直接进入容器启动命令的终端，不会启动新的进程。用exit退出，会导致容器的停止。
exec 是在容器中打开新的终端，并且可以启动新的进程。用exit退出，不会导致容器的停止。
推荐使用 docker exec 命令，因为退出容器终端，不会导致容器的停止。

• 从容器内拷贝文件到主机上：docker cp 容器ID:容器内路径 目的主机路径

• 导出容器：docker export 容器ID > 文件名.tar

• 导入容器：cat 文件名.tar | docker import - 镜像用户/镜像名:镜像版本号

• 运行一个带有容器卷存储功能的容器：
  docker run -it --privileged=true -v /宿主机绝对路径目录:/容器内目录 镜像名
  -rw 默认，读写
  -ro 只读，容器实例内部被限制，只能读取不能写

Docker挂载主机目录访问如果出现cannot open directory:Permission denied
解决办法：在挂载目录后多加一个**–privileged=true**参数即可
如果是CentOS7安全模块会比之前系统版本加强，不安全的会先禁止，所以目录挂载的情况被默认为不安全的行为，
在SELinux里面挂载目录被禁止掉了额，如果要开启，我们一般使用–privileged=true命令，扩大容器的权限解决挂载目录没有权限的问题，也即使用该参数，container内的root拥有真正的root权限，否则，container内的root只是外部的一个普通用户权限。

• 容器2继承容器1的卷规则：
  docker run -it --privileged=true --volumes-from u1 --name u2 ubuntu

常用命令

• attach 当前 shell 下 attach 连接指定运行镜像
• build 通过 Dockerfile 定制镜像
  commit 提交当前容器为新的镜像
• cp 从容器中拷贝指定文件或者目录到宿主机中
• create 创建一个新的容器，同 run，但不启动容器
• diff 查看 docker 容器变化
• events 从 docker 服务获取容器实时事件
• exec 在已存在的容器上运行命令
• export 导出容器的内容流作为一个 tar 归档文件[对应 import ]
• history 展示一个镜像形成历史
• images 列出系统当前镜像
• import 从tar包中的内容创建一个新的文件系统映像[对应export]
• info 显示系统相关信息
• inspect 查看容器详细信息
• kill kill 指定 docker 容器
• load 从一个 tar 包中加载一个镜像[对应 save]
• login 注册或者登陆一个 docker 源服务器
• logout 从当前 Docker registry 退出
• logs 输出当前容器日志信息
• port 查看映射端口对应的容器内部源端口
• pause 暂停容器
• ps 列出容器列表
• pull 从docker镜像源服务器拉取指定镜像或者库镜像
• push 推送指定镜像或者库镜像至docker源服务器
• restart 重启运行的容器
• rm 移除一个或者多个容器
• rmi 移除一个或多个镜像[无容器使用该镜像才可删除，否则需删除相关容器才可继续或 -f 强制删除]
• run 创建一个新的容器并运行一个命令
• save 保存一个镜像为一个 tar 包[对应 load]
• search 在 docker hub 中搜索镜像
• start 启动容器
• stop 停止容器
• tag 给源中镜像打标签
• top 查看容器中运行的进程信息
• unpause 取消暂停容器
• version 查看 docker 版本号
• wait 截取容器停止时的退出状态值