Docker原理和命令

基本命令

docker #命令大全
docker [common] --help #命令帮助

docker images #列出镜像列表
docker search [image] #搜索镜像
docker pull [image] #获取一个新的镜像
docker rmi [image] #删除镜像

docker run -d -p 80:80 docker/getting-started #运行容器
    # -d - 以分离模式运行容器（在后台）
    # -p 80:80 - 将主机的 80 端口映射到容器中的 80 端口
    # docker/getting-started - 要使用的图像
    # --name - 定义镜像名字
exit #退出
docker ps #查看运行中容器 -a 查看所有 -q 查看containerId
docker start [container id] #启动已停止运行的容器
docker stop [container id] #停止一个容器
docker restart [container id] #重启一个容器
docker exec -it [cotainer id] #进入容器
docker rm -f [container id] #删除容器

Docker

Docker 是一个开源的应用容器引擎，基于 Go 语言 并遵从 Apache2.0 协议开源。

Docker 可以让开发者打包他们的应用以及依赖包到一个轻量级、可移植的容器中，然后发布到任何流行的 Linux 机器上，也可以实现虚拟化。

容器是完全使用沙箱机制，相互之间不会有任何接口（类似 iPhone 的 app）,更重要的是容器性能开销极低。

Docker 平台

Docker 提供了在称为容器的松散隔离环境中打包和运行应用程序的能力。隔离和安全性允许您在给定主机上同时运行多个容器。容器是轻量级的，包含运行应用程序所需的一切，因此您无需依赖主机上当前安装的内容。您可以在工作时轻松共享容器，并确保与您共享的每个人都获得以相同方式工作的相同容器。

Docker 提供工具和平台来管理容器的生命周期：

• 使用容器开发您的应用程序及其支持组件。
• 容器成为分发和测试应用程序的单元。
• 准备就绪后，将应用程序作为容器或编排服务部署到生产环境中。无论您的生产环境是本地数据中心、云提供商还是两者的混合，这都是一样的。

我可以使用 Docker 做什么？

快速、一致地交付您的应用程序

Docker 允许开发人员使用提供应用程序和服务的本地容器在标准化环境中工作，从而简化了开发生命周期。容器非常适合持续集成和持续交付 (CI/CD) 工作流。

考虑以下示例场景：

• 您的开发人员在本地编写代码并使用 Docker 容器与同事共享他们的工作。
• 他们使用 Docker 将他们的应用程序推送到测试环境中并执行自动化和手动测试。
• 当开发者发现 bug 时，他们可以在开发环境中进行修复，并重新部署到测试环境中进行测试和验证。
• 测试完成后，为客户提供修复就像将更新的映像推送到生产环境一样简单。

响应式部署和扩展

Docker 基于容器的平台允许高度可移植的工作负载。Docker 容器可以在开发人员的本地笔记本电脑、数据中心的物理或虚拟机、云提供商或混合环境中运行。

Docker 的可移植性和轻量级特性还使动态管理工作负载、根据业务需求几乎实时地扩展或拆除应用程序和服务变得容易。

在相同硬件上运行更多工作负载

Docker 是轻量级和快速的。它为基于管理程序的虚拟机提供了一种可行且经济高效的替代方案，因此您可以使用更多的计算能力来实现您的业务目标。Docker 非常适合高密度环境以及需要以更少资源完成更多任务的中小型部署。

Docker 架构

Docker 使用客户端-服务器架构。Docker*客户端与 Docker守护进程对话，后者负责构建、运行和分发 Docker 容器的繁重工作。Docker 客户端和守护程序可以* 在同一系统上运行，或者您可以将 Docker 客户端连接到远程 Docker 守护程序。Docker 客户端和守护进程使用 REST API、UNIX 套接字或网络接口进行通信。另一个 Docker 客户端是 Docker Compose，它允许您使用由一组容器组成的应用程序。

Docker 守护进程

Docker 守护进程 ( dockerd) 侦听 Docker API 请求并管理 Docker 对象，例如 镜像、容器、网络和卷。守护进程还可以与其他守护进程通信以管理 Docker 服务。

Docker 客户端

Docker 客户端 ( docker) 是许多 Docker 用户与 Docker 交互的主要方式。当您使用诸如 之类的命令时docker run，客户端会将这些命令发送到dockerd，从而执行它们。该docker命令使用 Docker API。Docker 客户端可以与多个守护进程通信。

Docker registry

Docker registry 存储 Docker 镜像。Docker Hub 是一个任何人都可以使用的 registry，Docker 默认配置为在 Docker Hub 上查找镜像。您甚至可以运行自己的私有 registry。

当您使用docker pull或docker run命令时，所需的映像将从您配置的注册表中提取。当您使用该docker push命令时，您的映像会被推送到您配置的注册表中。

Docker 对象

当您使用 Docker 时，您是在创建和使用镜像、容器、网络、卷、插件和其他对象。本节是对其中一些对象的简要概述。

镜像

镜像是一个创建Docker容器的指令的只读模板**（相当于Java中的类，容器相当于实例）**。通常，一个镜像基于另一个镜像，并带有一些额外的自定义。例如，您构建一个基于ubuntu 镜像的镜像，但安装 Apache Web 服务器和您的应用程序，以及使您的应用程序运行所需的配置详细信息。

您可以创建自己的镜像，也可以仅使用其他人创建并在registry发布的镜像。要构建您自己的镜像，您需要 使用简单的语法创建一个Dockerfile，用于定义创建镜像和运行镜像所需的步骤。Dockerfile 中的每条指令都会在镜像中创建一个层。当您更改 Dockerfile 并重建映像时，只会重建那些已更改的层。与其他虚拟化技术相比，这是使映像如此轻巧、小巧和快速的部分原因。

容器

容器是镜像的可运行实例。您可以使用 Docker API 或 CLI 创建、启动、停止、移动或删除容器。您可以将容器连接到一个或多个网络，为其附加存储，甚至可以根据其当前状态创建新镜像。

默认情况下，容器与其他容器及其主机相对隔离。您可以控制容器的网络、存储或其他底层子系统与其他容器或主机之间的隔离程度。

容器由其映像以及您在创建或启动它时提供给它的任何配置选项定义。当容器被移除时，未存储在持久存储中的对其状态的任何更改都会消失。

容器的实质是进程，但与直接在宿主执行的进程不同，容器进程运行于属于自己的独立的 命名空间。因此容器可以拥有自己的 root 文件系统、自己的网络配置、自己的进程空间，甚至自己的用户 ID 空间。容器内的进程是运行在一个隔离的环境里，使用起来，就好像是在一个独立于宿主的系统下操作一样。这种特性使得容器封装的应用比直接在宿主运行更加安全。

底层技术

Docker 是用Go 编程语言编写的，并利用 Linux 内核的几个特性来提供其功能。Docker 使用namespaces的技术来提供隔离的工作空间，这个空间称为容器。当您运行一个容器时，Docker 会为该容器创建一组 命名空间。

这些命名空间提供了一层隔离。容器的每个方面都在单独的命名空间中运行，并且其访问权限仅限于该命名空间。

容器

简单地说，容器只是你机器上的另一个进程，它与主机上的所有其他进程隔离开来。这种隔离利用了内核命名空间和 cgroups，这些特性已经在 Linux 中存在了很长时间。

容器镜像

运行容器时，它使用隔离的文件系统。此自定义文件系统由容器映像提供。由于镜像包含容器的文件系统，它必须包含运行应用程序所需的一切——所有依赖项、配置、脚本、二进制文件等。镜像还包含容器的其他配置，例如环境变量、要运行的默认命令、和其他元数据。

数据卷

• 数据卷是宿主机中的一个目录或文件
• 当容器目录和数据卷目录绑定后， 对方的修改会立即同步
• 一个数据卷可以被多个容器同时挂载
• 一个容器也可以被挂载多个数据卷

作用

• 容器数据持久化
• 外部机器和容器间接通信
• 容器之间数据交换

命令

创建启动容器时，使用-v参数设置数据卷

docker run ... -v 宿主机目录(文件):容器内目录(文件)
# 目录必须是绝对路径
# 如果目录不存在，会自动创建
# 可以挂载多个数据卷

数据卷容器

建一个容器，挂载一个目录，让其他容器继承自该容器( --volume-from)

应用部署

基本命令

docker #命令大全
docker [common] --help #命令帮助

docker images #列出镜像列表
docker search [image] #搜索镜像
docker pull [image] #获取一个新的镜像
docker rmi [image] #删除镜像

docker run -d -p 80:80 docker/getting-started #运行容器
    # -d - 以分离模式运行容器（在后台）
    # -p 80:80 - 将主机的 80 端口映射到容器中的 80 端口
    # docker/getting-started - 要使用的图像
    # --name - 定义镜像名字
exit #退出
docker ps #查看运行中容器 -a 查看所有 -q 查看containerId
docker start [container id] #启动已停止运行的容器
docker stop [container id] #停止一个容器
docker restart [container id] #重启一个容器
docker exec -it [cotainer id] #进入容器
docker rm -f [container id] #删除容器

设置端口映射的原因

容器内的网络服务和外部机器不能直接通信

外部机器和宿主机可以直接通信，宿主机和容器可以直接通信

当容器中的网络服务需要被外部机器访问时， 可以将容器中提供服务的端口映射到宿主机的端口上。外部机器访问宿主机的该端口，从而间接访问容器的服务。

Dockerfile

概念

Dockerfile 是一个用来构建镜像的文本文件

文本内容包含了一条条构建镜像所需的指令和说明。

作用：统一开发-测试-运维的环境

• 对于开发人员:可以为开发团队提供一个完全一 致的开发环境
• 对于测试人员:可以直接拿开发时所构建的镜像或者通过Dockerfile文件，构建-一个新的镜像开始工作了
• 对于运维人员:在部署时，可以实现应用的无缝移植

Docker镜像原理

前提

操作系统组成部分:

• 进程调度子系统
• 进程通信子系统
• 内存管理子系统
• 设备管理子系统
• 文件管理子系统
• 网络通信子系统
• 作业控制子系统

Linux文件系统由 bootfs 和 rootfs 两部分组成

• bootfs: 包含bootloader (引导加载程序)和kernel (内核)
• rootfs: root文件系统， 包含的就是典型Linux系统中的/dev, /proc, /bin, /etc等标准目录和文件
• 不同的linux发行版， bootfs基本一样，而rootfs不同， 如ubuntu、centos等

镜像原理

• Docker镜像 是由特殊的文件系统叠加而成
• 最底端是bootfs, 并使用宿主机的bootfs
• 第二层是root文件系统rootf,称为base image
• 然后再往上可以叠加其他的镜像文件
• 统一文件系统(UnionFile System)技术能够将不同的层整合成一个文件系统，为这些层提供了一个统一视角，这样就隐藏了多层的存在，在用户的角度看来，只存在一个文件系统。
• 一个镜像可以放在另一个镜像的上面。位于下面的镜像称为父镜像，最底部的镜像成为基础镜像。
• 当从一个镜像启动容器时，Docker会在最顶层加载一个读写文件系统作为容器

思考:

• Docker 镜像本质是什么?

  • 是一个分层文件系统

• Docker 中-个centos镜像为什么只有200MB,而一个centos操作系统的iso文件要几个个G?

  • Centos的iso镜像文件包含bootsroots, 而dockerf的centos镜像复用操作系统的bootfs, 只有rootfs和其他镜像层

• Docker 中- -个tomcat镜像为什么有500MB,而一个tomcat安装包只有70多MB?

  • 由于docker中镜像是分层的，tomcat虽然只有70多MB,但他需要依赖于父镜像和基础镜像，所有整个对外暴露的tomcat镜像大小500多MB

命令

创建镜像案例

需求

精简版centos7不能用vim，只能用vi来创建vim

自定义centos7镜像。要求:

1. 默认登录路径为/usr

2. 可以使用vim命令

实现步骤

1. 定义父镜像: FROM centos:7
2. 定义作者信息: MAINTAINER itheima itheima@itcast.cn
3. 执行安装vim命令: RUN yum install -y vim
4. 定义默认的工作目录: WORKDIR /usr
5. 定义容器启动执行的命令: CMD /bin/bash

mkdir dockerfiles
cd dockerfiles/

vim centos_dockerfile

#每行构建一层
FROM centos 
MAINTAINER itheima <itheima@itcast.cn>
RUN yum install -y vim 
WORKDIR /usr
cmd /bin/bash

#构建镜像 -f 文件路径 -t 镜像最终名字
docker build -f ./centos dockerfile -t itheima_centos:1 

Docker Compose

Docker Compose是一种工具，旨在帮助定义和共享多容器应用程序。使用 Compose，我们可以创建一个 YAML 文件来定义服务，并且可以使用单个命令来启动或拆除所有内容。

Docker服务编排

微服务架构的应用系统中一般包含若干个微服务,每个微服务般都会部署多个实例， 如果每个微服务都要手动启停维护的工作量会很大。

使用步骤:

1. 使用Dockerfile定义应用程序的环境，以便它可以在任何地方复制。
2. 使用docker-compose.yml定义组成应用程序的服务 ，以便它们可以在隔离的环境中一起运行。
3. 运行docker-compose up启动应用

安装

官方 GitHub Release

#下载 Docker Compose 二进制文件
sudo curl -L "https://github.com/docker/compose/releases/download/1.29.2/docker-compose-$(uname -s)-$(uname -m)" -o /usr/local/bin/docker-compose

#设置文件可执行权限
sudo chmod +x /usr/local/bin/docker-compose

#查看版本信息
docker-compose -version

卸载

#二进制包方式安装的，删除二进制文件即可
sudo rm /usr/local/bin/docker-compose

私有仓库

私有仓库搭建

#1、拉取私有仓库镜像
docker pul1 registry
#2、启动私有仓库容器
docker run -id --nane registry -p 5000:5000 registry
# 3、打开浏览器输入地址http://私有仓库服务器ip: 5000/v2/ catalog, 看到{"repositories":[]} 表示私有仓库搭建成功
# 4、修改daemon.json
vim /etc/docker /daemon.json
#目在上述文件中添加一个key,保存退出。此步用于让docker 信任私有仓库地址；注意将私有仓库服务器ip修改为自己私有仓库服务器真实ip
{"insecure-registries": ["私有仓库服务器ip:5000"]}
# 5、重启docker 服务
systemct1 restart docker
docker start registry

上传镜像

# 1.标记镜像为私有仓库的镜像
docker tag centos:7 私有仓库服务器IP: 5000/centos:7
# 2、上传标记的镜像
docker push 私有仓库服务器IP:5000/centos:7	

拉取镜像

docker pull 私有仓库服务器ip:5000/centos:7

docker 与 虚拟机 比较