一、容器的概念
容器是由一个或多个与系统其余部分隔离的进程组成的集合。我们可以理解为“集装箱”。
集装箱是打包和装运货物的标准方式。它作为一个箱子进行标记、装载、卸载,以及从一个
位置运输到另一个位置。该容器的内容与其他容器的内容隔离,因此互不影响。
容器的目的:为进程集合提供一个独立的运行环境
而容器是怎么实现的呢:
1.文件系统隔离
(每个容器都具有独立的文件系统,单个容器内对文件系统进行增删改查不会影响到其他容
器)
2.资源隔离
利用 namespace 隔离进程之间的相互可见及通信
使用 Cgroup 限制资源使用率,设置其能够使用的 CPU 以及内存量的大小
加强安全边界的 SElinux 和 seccomp(安全计算模式)
cgroup:用于资源管理控制组
namespace 命名空间
容器与虚拟机在硬件和底层操作系统交互有所不同:
虚拟机:
1. 使多个操作系统能够同时在一个硬件平台上运行。
2. 使用虚拟机监控程序将硬件分为多个虚拟硬件系统,从而允许多个操作系统并行运 行。
3. 需要一个完整的操作系统环境来支持该应用。
容器:
1. 直接在操作系统上运行,从而跨系统上的所有容器共享硬件和操作系统资源。这使
得应用能够保持轻巧,并快速并行运行。
2. 共享相同的操作系统内核,将容器化应用进程与系统的其余进程隔离开,并使用与
该内核兼容的软件。
3. 需要的硬件资源比虚拟机少得多,这也使其能够快速启动和停止并降低存储要求
而相比容器通常提供的对硬件的访问,访问底屋硬件信息的应用可能需要更直接地访问硬
件,这就不合适作为容器运行
docker 与 podman:
docker:开源的应用容器引擎,所欲一种 Linux 容器封装,提供了易用的容器使用接口,
可以让开发这打包应用及依赖包到一个可移植的容器中,在发布到任何流行的机器上,网桥
使用沙箱机制,相互不会有任何接口
缺点:
Docker 需要在你的系统上运行一个守护进程。
Docker 是以 root 身份在你的系统上运行该守护程序。
podman:开源容器管理工具,是一种无守护程序的容器引擎,是用于在 Linux 系统上开发, 管理和运行任何符合 Open Container Initiative(OCI)标准的容器和容器镜像,提供了一个 与 Docker 兼容的命令行前端,该前端可以简单地为 Docker CLI 别名,即“ alias docker = podman”。
Podman 控制下的容器既可以由 root 用户运行,也可以由非特权用户运行,这个是 Podman
与 Docker 最大的差别之一。
不同之处:
1.docker 需要在我们的系统上运行一个守护进程(docker daemon),而 podman 不需要;
2.启动容器的方式不同:
docker cli 命令通过 API 跟 Docker Engine(引擎)交互告诉它我想创建一个container,然后 docker Engine 才会调用 OCI container runtime(runc)来启动一个 container。这代表 container 的 process(进程)不会是 Docker CLI 的 child;
process(子进程),而是 Docker Engine 的 child process。Podman 是直接给 OCI containner runtime(runc)进行交互来创建 container 的,所以 container process 直接是 podman 的 child process。
3.因为 docke 有 docker daemon,所以 docker 启动的容器支持--restart 策略,但是 podman 不支持,如果在 k8s 中就不存在这个问题,我们可以设置 pod 的重启策略,在 系统中我们可以采用编写 systemd 服务来完成自启动4.docker 需要使用 root 用户来创建容器,但是 podman 不需要。
在 redhat 中提供了一组用于管理容器操作的容器工具:
podman: 直接管理容器和容器镜像
skopeo:用于检查,复制,删除和部署镜像
buildah:用于创捷新的容器镜像
容器镜像:将容器运行时所需要的所有文件的集合
在容器主机上,您可以 root 用户或普通非特权用户身份运行容器。
由非特权用户运行的容器称为 rootless 容器。
Rootless 容器更安全,但存在一些限制。
例如, rootless 容器无法通过容器主机的特权端口(低于 1024 的端口)发布其网络服务。
如有必要,您可以 root 用户身份直接运行容器,但如果漏洞允许攻击者破坏容器,这样做会
在一定程度上削弱系统的安全性。
运行一个容器
安装容器管理工具:yum module install container-tools -y
选择容器镜像和注册表的概念
容器注册表是用于存储和检索容器镜像的存储库。
开发人员将容器镜像上传或推送到容器注册表中。
从注册表中将这些容器镜像下载或提取到本地系统,可用于运行容器。
也可以使用第三方镜像的公共注册表,也可使用贵组织控制的私有注册表
红帽通过两个主容器注册表分发认证容器镜像:
registry. redhat.io:适用于基于官方红帽产品的容器。
registry.connect.redhat.com:适用于基于第三方产品的容器
registry.access.redhat.com:旧的注册表
容器命名规则
语法:registry_name/user_name/image_name:tag
registry_name 是存储镜像的注册表的名称,通常是注册表的完全限定域名。
user_name 表示镜像所属的用户和组织
image_name 在用户命名空间必须唯一
tag 标识镜像版本。
举例操作:
①[root@localhost ~]# yum module install container-tools -y #安装 container-tools 模块
②[root@localhost ~]# podman login registry.connect.redhat.com #使用登录容器注册表
Username:
但我们没有账号,暂时不登录
③[root@localhost ~]# podman search rhel7 #搜索镜像
搜索后跟参数:
--no-trunc 表示查看命令描述(全部)
--filter=stars=600 显示点赞数>=600 的
=is-automated=<true|false>显示自动构建的镜像
=is-official=<true|false>仅显示标记为官方的镜像
--limit 限制每个注册表列出的镜像数量
--tls-verify <true|false> 为所有使用的注册表启用和禁用 HTTPS 证书验证。默认
启动(true)
④[root@localhost ~]# podman pull registry.access.redhat.com/rhel7.0:latest #提取镜像
⑤[root@localhost ~]# podman images #列出存储在本地的镜像
⑥[root@localhost ~]# podman run -it --name=rhel7 registry.access.redhat.com/rhel7.0:latest /bin/bash #运行 rhel7 容器
参数理解:
-t == --tty 意思是 pseudo-tty(伪终端)将被分给容器
-i == --interactive 相同。容器接受输入
-d == --detach,表示容器在后台运行(已分离)
--name 设置容器名称。容器名称必须唯一。
如果 podman run 命令不包含容器名称, Podman 将生成唯一的随机名称。
/bin/bash 允许交互
⑦查看正在运行的容器
(
podman ps -a 查看正在运行+历史运行过的容器
podman ps -q 查看正在运行的容器 id
podman ps -s 显示运行容器总文件大小
podman ps -l 显示最近创捷容器
podman ps -n 3 最近创键的 3 个容器
podman ps --no-trunc 显示所有描述
)
[root@localhost ~]# podman ps
[root@localhost ~]# podman run -it registry.access.redhat.com/rhel7.0:latest #我们也可以快速命令,无需交互,使用完后删除容器
[root@example ~]# podman ps
⑧构建一个容器存放在后台
[root@localhost ~]# podman run -itd registry.access.redhat.com/rhel7.0:latest /bin/bash
[root@localhost ~]# podman ps
CONTAINER ID IMAGE COMMAND CREATED STATUS PORTS NAMES
6479495ccbd5 registry.access.redhat.com/rhel7.0:latest /bin/bash 10
seconds ago Up 9 seconds ago compassionate_northcutt
⑨进入后台容器
[root@localhost ~]# podman attach compassionate_northcutt
[root@6479495ccbd5 /]#
缺点:容器终止或者容器退出,容器就会重后台退出
[root@localhost ~]# podman exec -it 6479495ccbd5 /bin/bash
推荐可以使用:不会退出后台容器
二、相关概念
1.容器注册表信息
①[root@localhost /]# cat /etc/containers/registries.conf #获取有关使用容器注册表的信息
$HOME/.config/containers #普通用户容器注册表的信息位置(需要pull镜像后,ssh到普通用户)
②[root@localhost /]# podman info #显示 podman 的配置信息(包括注册表)
2.概念
registries.conf 配置文件说明:
安全性:registries. conf 文件的[registries. insecure]部分中列出了不安全的注册表。 如果注册表被列为不安全,则不会使用 TLS 加密来保护与该注册表的连接。如果注册表既可搜索又不安全则会同时在[registries.search]和[registries.insecure]中列出。可将容器注册表配置为需要身份验证。如前所述,可使用 podman login 命令登录需要身份验证的容器注册表。
3.检查容器镜像
①[root@localhost /]# skopeo inspect docker://registry.access.redhat.com/quarkus/mandrel-20-rhel8
#令检查注册表中的远程容器镜像,无需将镜像提取到本地系统
②[root@localhost ~]# podman images #查看本地存储的镜像信息
4.移除本地容器镜像和容器
①[root@localhost ~]# podman images #查看本地存储的镜像信息
②[root@example ~]# podman rmi registry.access.redhat.com/rhel7.0 #移除本地容器镜像
③[root@example ~]# podman rmi -f registry.access.redhat.com/rhel7.0 #强制移除本地容器镜像
④#删除多个镜像间以空格间隔
⑤删除一个容器:podman rm 名称或 id 删除多个:podman rm -f $(podman ps -a -q)
三、管理容器即服务(重点)
1.相关说明了解
①初级概念:
在将数据库或 Web 服务器等服务部署为容器时,通常希望这些容器在服务器启动时自动启动,所以我们将容器作为 systemd 服务启动和停止,并检查其状态。(systemd 服务取代 了 initd,成为系统的第一个进程(PID 等于 1),其他进程都是它的子进程)
②systemd 管理系统服务:
通过 rootless 容器创捷 systemd 用户单元文件,可以使用 systemctl 来管理。若容器
在 rootless 模式中运行,则可以从非特权用户帐户管理这些服务,以提高安全性。
③systemd 管理用户服务:
借助 systemd 用户服务,用户可以为自己的服务创建单元文件,并使用 systemct1 命令管理这些服务,无需 root 访问权限。
④技术说明:
普通用户原状态情况:当您将用户服务作为非 root 用户启用时, 该服务会在您通过文本或图形控制台或使用 SSH 打开第一个会话时自动启动。当您关闭最后一个会话时,服务停止。此行为与系统服务有所不同,系统服务是在系统启动时启动,在系统关闭时停止;
现在可以实现手段:可以通过 loginct1 enable-linger/disable-linger 来改变启用/禁止用户逗留(相当于保持登录状态)。 若没有指定就是当前用户,如果指定了用户名或 UID, 那么系统将会在启动时自动为这些 用户派生出用户管理器, 并且在用户登出后继续保持运行。
允许未登录的用户在后台运行持续时间很长的服务。
⑤(loginctl — 控制 systemd 登录管理器:
http://www.jinbuguo.com/systemd/loginctl.html)
2.创建和管理 systemd 用户服务说明
①#查看 username 当前各项属性值
loginct1 show-user username
②创建和管理 systemd 用户服务相关说明
定义 systemd 用户服务,在-/.config/systemd/user/目录来下创建服务文件。
使用 systemct1 --user 命令来控制,但必须在控制台登录或直接通过 ssh 登录。sudo
和 su 不起作用。
systemctl 守护进程会与 systemctl --user 进程交互。仅当用户首次从控制台或 ssh
登录时,系统才会启动该进程。
3.podman 生成 systemd 文件有两种方式:
①生成的容器,在开机时服务启动的时候启动容器,关机时停止它。
②每次服务启动的时候创建并运行容器,在停止服务时删除容器.。
[root@example ~]# podman --version #版本
podman version 1.6.4 #1.6.4 版本不支持--new 参数
4.案例:
创捷 systemd 单元文件
1)创建用户 contsvc
[root@localhost /]# useradd contsvc
[root@localhost /]# passwd contsvc
2)登录 contsvc 用户,搜索 httpd 镜像
[root@localhost /]# ssh contsvc@127.0.0.1
[contsvc@localhost ~]$ podman search httpd
3)创建 webcontent/html 网页文件
[contsvc@localhost ~]$ mkdir -p ~/webcontent/html
[contsvc@localhost ~]$ echo "hello world" > webcontent/html/index.html
4)确定权限
[contsvc@localhost ~]$ ls -ld webcontent/html/
[contsvc@localhost ~]$ ls -l webcontent/html/index.html
5)拉取 httpd 到公共镜像
[contsvc@localhost ~]$ podman pull
registry.access.redhat.com/rhscl/httpd-24-rhel7:latest
6)创建容器
[contsvc@localhost ~]$ podman run -itd --name myweb -p 8080:8080 -v
~/webcontent:/var/www:Z
registry.access.redhat.com/rhscl/httpd-24-rhel7:latest
7)验证
[contsvc@localhost ~]$ curl http://127.0.0.1:8080
hello world
8)创建目录
[contsvc@localhost ~]$ mkdir -p .config/systemd/user
9)创建 systemd 单元文件
[contsvc@localhost ~]$ cd .config/systemd/user/
[contsvc@localhost user]$ podman generate systemd --name myweb --files --new /home/contsvc/.config/systemd/user/container-myweb.service
(在原有的文件名称前加了 container)
在 1.6.4 中没有--new 选项:生成系统化的单位文件,这些文件在服务启动和停止命令处创建和删除容器。此类单位文件不绑定到单个计算机,可以轻松地在其他计算机上共享和使用。
10)停止删除原本的 http 容器
[contsvc@localhost user]$ podman stop myweb
若没有--new 参数不需要删除容器
[contsvc@localhost user]$ podman rm myweb
11)强制 systemd 重启加载配置
[contsvc@localhost user]$ systemctl --user daemon-reload
[contsvc@localhost user]$ podman ps -a
[contsvc@localhost user]$ podman ps
12)启动并启用 container-myweb 服务
[contsvc@localhost user]$ loginctl enable-linger
[contsvc@localhost user]$ systemctl --user enable --now container-myweb.service
13)验证
[contsvc@localhost user]$ systemctl --user status container-myweb.service #active
[contsvc@localhost user]$ curl http://localhost:8080
hello world
14)验证重启也自启
[contsvc@localhost user]$ su -
[root@localhost ~]# reboot
[root@localhost ~]# curl http://127.0.0.1:8080
hello world!
[root@localhost ~]# ssh contsvc@127.0.0.1