Docker实战
一、基本概念
1、Docker架构
K8S:CRI(Container Runtime Interface)
Client: 客户端;操作docker服务器的客户端(命令行或者界面)
Docker_Host:Docker主机;安装Docker服务的主机
Docker_Daemon:后台进程;运行在Docker服务器的后台进程
Containers:容器;在Docker服务器中的容器(一个容器一般是一个应用实例,容器间互相隔离)
Images:镜像、映像、程序包;Image是只读模板,其中包含创建Docker容器的说明。容器是由Image运 行而来,Image固定不变。
Registries:仓库;存储Docker Image的地方。官方远程仓库地址: https://hub.docker.com/search
Docker用Go编程语言编写,并利用Linux内核的多种功能来交付其功能。
Docker使用一种称为名称空间的技术来提供容器的隔离工作区。
运行容器时,Docker会为该容器创建一组名称空间。
这些名称空间提供了一层隔离。
容器的每个方面都在单独的名称空间中运行,并且对其的访问仅限于该名称空间
| Docker | 面向对象 |
|---|---|
| 镜像(Image) | 类 |
| 容器(Container) | 对象(实例) |
容器与虚拟机
2、Docker隔离原理
- namespace 6项隔离 (资源隔离)
| namespace | 系统调用参数 | 隔离内容 |
|---|---|---|
| UTS | CLONE_NEWUTS | 主机和域名 |
| IPC | CLONE_NEWIPC | 信号量、消息队列和共享内存 |
| PID | CLONE_NEWPID | 进程编号 |
| Network | CLONE_NEWNET | 网络设备、网络栈、端口等 |
| Mount | CLONE_NEWNS | 挂载点(文件系统) |
| User | CLONE_NEWUSER | 用户和用户组 |
- cgroups资源限制 (资源限制)
cgroup提供的主要功能如下:
- 资源限制:限制任务使用的资源总额,并在超过这个 配额 时发出提示
- 优先级分配:分配CPU时间片数量及磁盘IO带宽大小、控制任务运行的优先级
- 资源统计:统计系统资源使用量,如CPU使用时长、内存用量等
- 任务控制:对任务执行挂起、恢复等操作
cgroup资源控制系统,每种子系统独立地控制一种资源。功能如下
| 子系统 | 功能 |
|---|---|
| cpu | 使用调度程序控制任务对CPU的使用。 |
| cpuacct(CPU Accounting) | 自动生成cgroup中任务对CPU资源使用情况的报告。 |
| cpuset | 为cgroup中的任务分配独立的CPU(多处理器系统时)和内存。 |
| devices | 开启或关闭cgroup中任务对设备的访问 |
| freezer | 挂起或恢复cgroup中的任务 |
| memory | 设定cgroup中任务对内存使用量的限定,并生成这些任务对内存资源使用情况的报告 |
| perf_event(Linux CPU性能探测器) | 使cgroup中的任务可以进行统一的性能测试 |
| net_cls(Docker未使用) | 过等级识别符标记网络数据包,从而允许Linux流量监控程序(Trauic Controller)识别从具体cgroup中生成的数据包 |
3、Docker安装
以下以centos为例;
更多其他安装方式,详细参照文档: https://docs.docker.com/engine/install/centos/
1、移除旧版本
sudo yum remove docker*
sudo yum install -y yum-utils
2、设置docker yum源
sudo yum-config-manager \
--add-repo \
https://download.docker.com/linux/centos/docker-ce.repo
3、安装最新docker engine
sudo yum install docker-ce docker-ce-cli containerd.io
4、安装指定版本docker engine
1、在线安装
#找到所有可用docker版本列表
yum list docker-ce --showduplicates | sort -r
# 安装指定版本,用上面的版本号替换<VERSION_STRING>
sudo yum install docker-ce-<VERSION_STRING>.x86_64 docker-ce-cli-<VERSION_STRING>.x86_64 containerd.io
#例如:
yum install docker-ce-3:19.03.9-3.el7.x86_64 docker-ce-cli-3:19.03.9-3.el7.x86_64 containerd.io
#注意加上 .x86_64 大版本号
2、离线安装
https://download.docker.com/linux/centos/7/x86_64/stable/Packages/
rpm -ivh xxx.rpm
可以下载 tar
解压启动即可
https://docs.docker.com/engine/install/binaries/#install-daemon-and-client-binaries-on-linux
5、启动服务
systemctl start docker
systemctl enable docker #开机启动
6、镜像加速
sudo mkdir -p /etc/docker
sudo tee /etc/docker/daemon.json <<-'EOF'
{
"registry-mirrors": ["https://82m9ar63.mirror.aliyuncs.com"]
}
EOF
sudo systemctl daemon-reload
sudo systemctl restart docker
#以后docker下载直接从阿里云拉取相关镜像
/etc/docker/daemon.json 是Docker的核心配置文件。
7、可视化界面-Portainer
1、什么是Portainer
https://documentation.portainer.io/
Portainer社区版2.0拥有超过50万的普通用户,是功能强大的开源工具集,可让您轻松地在Docker,
Swarm,Kubernetes和Azure ACI中构建和管理容器。 Portainer的工作原理是在易于使用的GUI后面隐藏使管理容器变得困难的复杂性。通过消除用户使用CLI,编写YAML或理解清单的需求,Portainer使部署 应用程序和解决问题变得如此简单,任何人都可以做到。 Portainer开发团队在这里为您的Docker之旅提供帮助;
2、安装
# 服务端部署
docker run -d -p 8000:8000 -p 9000:9000 --name=portainer --restart=always -v
/var/run/docker.sock:/var/run/docker.sock -v portainer_data:/data
portainer/portainer-ce
# 访问 9000 端口即可
#agent端部署
docker run -d -p 9001:9001 --name portainer_agent --restart=always -v
/var/run/docker.sock:/var/run/docker.sock -v
/var/lib/docker/volumes:/var/lib/docker/volumes portainer/agent
二、命令复习
1、常见命令
所有Docker命令手册
https://docs.docker.com/engine/reference/commandline/docker/
| 命令 | 作用 |
|---|---|
| attach | 绑定到运行中容器的 标准输入, 输出,以及错误流(这样似乎也能进入容器内容,但是一定小心,他们操作的就是控制台,控制台的退出命令会生效,比如 redis,nginx…) |
| build | 从一个 Dockerfile 文件构建镜像 |
| commit | 把容器的改变 提交创建一个新的镜像 |
| cp | 容器和本地文件系统间 复制 文件/文件夹 |
| create | 创建新容器,但并不启动(注意与docker run 的区分)需要手动启动。start\stop |
| diff | 检查容器里文件系统结构的更改【A:添加文件或目录 D:文件或者目录删除 C:文件或者目录更改】 |
| events | 获取服务器的实时事件 |
| exec | 在运行时的容器内运行命令 |
| export | 导出容器的文件系统为一个tar文件。commit是直接提交成镜像,export是导出成文件方便传输 |
| history | 显示镜像的历史 |
| images | 列出所有镜像 |
| import | 导入tar的内容创建一个镜像,再导入进来的镜像直接启动不了容器。/docker-entrypoint.sh nginx -g 'daemon off;'docker ps --no-trunc 看下之前的完整启动命令再用他 |
| info | 显示系统信息 |
| inspect | 获取docker对象的底层信息 |
| kill | 杀死一个或者多个容器 |
| load | 从 tar 文件加载镜像 |
| login | 登录Docker registry |
| logout | 退出Docker registry |
| logs | 获取容器日志;容器以前在前台控制台能输出的所有内容,都可以看到 |
| pause | 暂停一个或者多个容器 |
| port | 列出容器的端口映射 |
| ps | 列出所有容器 |
| pull | 从registry下载一个image 或者repository |
| push | 给registry推送一个image或者repository |
| rename | 重命名一个容器 |
| restart | 重启一个或者多个容器 |
| rm | 移除一个或者多个容器 |
| rmi | 移除一个或者多个镜像 |
| run | 创建并启动容器 |
| save | 把一个或者多个镜像保存为tar文件 |
| search | 去docker hub寻找镜像 |
| start | 启动一个或者多个容器 |
| stats | 显示容器资源的实时使用状态 |
| stop | 停止一个或者多个容器 |
| tag | 给源镜像创建一个新的标签,变成新的镜像 |
| top | 显示正在运行容器的进程 |
| unpause | pause的反操作 |
| update | 更新一个或者多个docker容器配置 |
| version | Show the Docker version information |
| container | 管理容器 |
| image | 管理镜像 |
| network | 管理网络 |
| volume | 管理卷 |
根据正在运行的容器制作出相关的镜像:反向
根据镜像启动一个容器:正向
有了Docker:
1、先去软件市场搜镜像:https://registry.hub.docker.com/ docker hub
2、下载镜像 docker pull xxx
3、启动软件 docker run 镜像名;
对于镜像的所有管理操作都在这一个命令:docker image --help
docker pull redis == docker pull redis:latest(最新版)
# 阿里云的镜像是从docker hub来的,我们配置了加速,默认是从阿里云(缓存)下载
REPOSITORY(名) TAG (标签) IMAGE ID(镜像id) CREATED(镜像的创建时间) SIZE
redis 5.0.12-alpine3.13 50ae27fed589 6 days ago 29.3MB
redis latest 621ceef7494a 2 months ago 104MB
# 镜像是怎么做成的。基础环境+软件
redis的完整镜像应该是: linux系统+redis软件
alpine:超级经典版的linux 5mb;+ redis = 29.0mb
没有alpine3的:就是centos基本版
# 以后自己选择下载镜像的时候尽量使用
alpine: slim:
docker rmi -f $(docker images -aq) #删除全部镜像
docker image prune #移除游离镜像 dangling:游离镜像(没有镜像名字的)
docker tag 原镜像:标签 新镜像名:标签 #重命名
docker create [OPTIONS] IMAGE [COMMAND] [ARG...]
docker create [设置项] 镜像名 [启动] [启动参数...]
docker create redis: 按照redis:latest镜像启动一个容器
docker kill是强制kill -9(直接拔电源);
docker stop可以允许优雅停机(当前正在运行中的程序处理完所有事情后再停止)
docker create --name myredis -p 6379(主机的端口):6379(容器的端口) redis -p port1:port2
port1是必须唯一的,哪个是没关系的。
docker run --name myredis2 -p 6379:6379 -p 8888:6379 redis :默认是前台启动的,一般加上-d 让他后台悄悄启动, 虚拟机的很多端口绑定容器的一个端口是允许的
docker run -d == docker create + docker start
#启动了nginx;一个容器。docker 容器里面安装了nginx,要对nginx的所有修改都要进容器
#进容器:
docker attach 绑定的是控制台. 可能导致容器停止。不要用这个
docker exec -it -u 0:0 --privileged mynginx4 /bin/bash: 0用户,以特权方式进入容器
docker container inspect 容器名 = docker inspect 容器名
docker inspect image/network/volume ....
# 一般运行中的容器会常年修改,我们要使用最终的新镜像
docker commit -a leifengyang -m "first commit" mynginx4 mynginx:v4
#把新的镜像放到远程docker hub,方便后来在其他机器下载
#---------export操作容器/import-------------------
docker export导出的文件被import导入以后变成镜像,并不能直接启动容器,需要知道之前的启动命令
(docker ps --no-trunc),然后再用下面启动。
docker run -d -P mynginx:v6 /docker-entrypoint.sh nginx -g 'daemon off;'
或者docker image inspect 看之前的镜像,把 之前镜像的 Entrypoint的所有和 Cmd的连接起来就能得到启动命令
#----save/load--操作镜像--
docker save -o busybox.tar busybox:latest 把busybox镜像保存成tar文件
docker load -i busybox.tar 把压缩包里面的内容直接导成镜像
#----------
镜像为什么能长久运行
镜像启动一定得有一个阻塞的进程,一直干活,在这里代理。
docker run [OPTIONS] IMAGE [COMMAND] [ARG...]
docker run --name myredis2 -p 6379:6379 -p 8888:6379 redis
镜像启动以后做镜像里面默认规定的活。
docker run -it busybox; 交互模式进入当前镜像启动的容器
---------
#----产生镜像-----
1、基于已经存在的容器,提取成镜像
2、人家给了我tar包,导入成镜像
3、做出镜像
-1)、准备一个文件Dockerfile
FROM busybox
CMD ping baidu.com
-2)、编写Dockerfile
-3)、构建镜像
docker build -t mybusy66:v6 -f Dockerfile .
#---做redis的镜像---
FROM alpine(基础镜像)
//下载安装包
//解压
//准备配置文件
CMD redis-server redis.conf
#----------
build 是根据一个Dockerfile构建出镜像
commit 是正在运行中的容器提交成一个镜像
- 容器的状态
Created(新建)、Up(运行中)、Pause(暂停)、Exited(退出)
- docker run的立即启动,docker create得稍后自己启动
- 推送镜像
注册docker hub并登录
可以创建一个仓库,选为public
docker push leifengyang/mynginx:tagname
docker hub一个完整镜像的全路径是
docker.io/library/redis:alpine3.13 我们的 docker.io/leifengyang/mynginx:tagname
docker images的时候镜像缩略了全名 默认官方镜像没有docker.io/library/
docker.io/ rediscommander / redis-commander:latest
docker.io/leifengyang/mynginx:v4 我的镜像的全称
登录远程docker仓库
当前会话登录以后 docker login 。所有的东西都会push到这个人的仓库
docker push leifengyang/mynginx:tagname
上面命令的完整版 docker push docker.io/leifengyang/mynginx:v4
怎么知道是否登录了 cat ~/.docker/config.json 有没有 auth的值,没有就是没有登录
- docker hub太慢了,用阿里云的镜像仓库,或者以后的habor仓库
sudo docker tag [ImageId] registry.cn-hangzhou.aliyuncs.com/lfy/mynginx:
[镜像版sudo docker push registry.cn-hangzhou.aliyuncs.com/lfy/mynginx:[镜像版本号]
仓库网址/名称空间(lfy/leifengyang)/仓库名:版本号
2、典型命令
1、docker run
常用关键参数 OPTIONS 说明:
-d: 后台运行容器,并返回容器ID;
-i: 以交互模式运行容器,通常与 -t 同时使用;
-P: 随机端口映射,容器内部端口随机映射到主机的端口
-p:指定端口映射,格式为:主机(宿主)端口:容器端口
-t: 为容器重新分配一个伪输入终端,通常与 -i 同时使用
--name="nginx-lb":为容器指定一个名称;
--dns 8.8.8.8: 指定容器使用的DNS服务器,默认和宿主一致;
--dns-search example.com: 指定容器DNS搜索域名,默认和宿主一致;
-h "mars": 指定容器的hostname;
-e username="ritchie": 设置环境变量;
--env-file=[]: 从指定文件读入环境变量;
--cpuset="0-2" or --cpuset="0,1,2": 绑定容器到指定CPU运行;
-m :设置容器使用内存最大值;
--net="bridge": 指定容器的网络连接类型,支持 bridge/host/none/container: 四种类型;
--link=[]: 添加链接到另一个容器;
--expose=[]: 开放一个端口或一组端口;
--restart , 指定重启策略,可以写--restart=awlays 总是故障重启
--volume , -v: 绑定一个卷。一般格式 主机文件或文件夹:虚拟机文件或文件夹
-v: 在存储章节详细解释
--net: 在网络章节详细解析
0、如何使用Docker部署组件
- 先去找组件的镜像
- 查看镜像文档,了解组件的可配置内容
- docker run进行部署
常见部署案例
1、部署Nginx
# 注意 外部的/nginx/conf下面的内容必须存在,否则挂载会覆盖
docker run --name nginx-app \
-v /app/nginx/html:/usr/share/nginx/html:ro \
-v /app/nginx/conf:/etc/nginx
-d nginx
2、部署MySQL
# 5.7版本
docker run -p 3306:3306 --name mysql57-app \
-v /app/mysql/log:/var/log/mysql \
-v /app/mysql/data:/var/lib/mysql \
-v /app/mysql/conf:/etc/mysql/conf.d \
-e MYSQL_ROOT_PASSWORD=123456 \
-d mysql:5.7
#8.x版本,引入了 secure-file-priv 机制,磁盘挂载将没有权限读写data数据,所以需要将权限透传,
或者chmod -R 777 /app/mysql/data
# --privileged 特权容器,容器内使用真正的root用户
docker run -p 3306:3306 --name mysql8-app \
-v /app/mysql/conf:/etc/mysql/conf.d \
-v /app/mysql/log:/var/log/mysql \
-v /app/mysql/data:/var/lib/mysql \
-e MYSQL_ROOT_PASSWORD=123456 \
--privileged \
-d mysql
3、部署Redis
# 提前准备好redis.conf文件,创建好相应的文件夹。如:
port 6379
appendonly yes
#更多配置参照 https://raw.githubusercontent.com/redis/redis/6.0/redis.conf
docker run -p 6379:6379 --name redis \
-v /app/redis/redis.conf:/etc/redis/redis.conf \
-v /app/redis/data:/data \
-d redis:6.2.1-alpine3.13 \
redis-server /etc/redis/redis.conf --appendonly yes
4、部署ElasticSearch
#准备文件和文件夹,并chmod -R 777 xxx
#配置文件内容,参照
https://www.elastic.co/guide/en/elasticsearch/reference/7.5/node.name.html 搜索相关配置
# 考虑为什么挂载使用esconfig ...
docker run --name=elasticsearch -p 9200:9200 -p 9300:9300 \
-e "discovery.type=single-node" \
-e ES_JAVA_OPTS="-Xms300m -Xmx300m" \
-v /app/es/data:/usr/share/elasticsearch/data \
-v /app/es/plugins:/usr/shrae/elasticsearch/plugins \
-v esconfig:/usr/share/elasticsearch/config \
-d elasticsearch:7.12.0
5、部署Tomcat
# 考虑,如果我们每次 -v 都是指定磁盘路径,是不是很麻烦?
docker run --name tomcat-app -p 8080:8080 \
-v tomcatconf:/usr/local/tomcat/conf \
-v tomcatwebapp:/usr/local/tomcat/webapps \
-d tomcat:jdk8-openjdk-slim-buster
6、重启策略
no,默认策略,在容器退出时不重启容器
on-failure,在容器非正常退出时(退出状态非0),才会重启容器
on-failure:3,在容器非正常退出时重启容器,最多重启3次
always,在容器退出时总是重启容器
unless-stopped,在容器退出时总是重启容器,但是不考虑在Docker守护进程启动时就已经停止了的容器
2、docker exec
docker exec -it alpine sh
3、docker build
docker build -t imageName -f DockerfileName .
4、docker push
三、网络和存储原理
问题:
- 容器: 某个软件完整的运行环境;包含了一个小型的linux系统
- 宿主机里面同时4个nginx; 一个nginx运行时完整环境有20MB?
– 4个nginx 合起来占用多少的磁盘空间
– 80?一定会很大…
docker装的和宿主机的优缺点:
优点:docker的移植性、便捷性高于在宿主机部署、进程隔离、很方便的资源限制
缺点:docker虚拟化技术,损失不到3%的性能。
docker?原生物理机自己造docker这种东西。
镜像:容器;
镜像(Image):固定不变的。一个镜像可以启动很多容器
容器(Container):文件系统可能logs经常变化的,一个镜像可以启动很多容器。
docker在底层使用自己的存储驱动。来组件文件内容 storage drivers。docker 基于 AUFS(联合文件系统);
438
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
