24条Docker建议

转自 http://dockone.io/article/59
原文链接:http://csaba.palfi.me/random-docker-tips/

  1. CLI

    1.1 美化docker ps的输出
    将Docker ps的输出通过管道到less -S,这样表格式的行就不会被折叠。
    docker ps - a | less -S

    1.2 刷新日志
    docker的日志不会即时刷新,除非你使用了-F选项:
    docker logs -F

    1.3 从docker inspect中获取一个单一的值
    docker inspect默认会输出大量的JSON格式的数据。你可以用jq,来得到某一特定键的值。或者你可以使用内置的go模板功能:
    最后一个docker容器现在运转正常吗?

    docker inspect --format '{{.State.Running}}' $(docker ps -lq)

    1.4 使用docker exec而不是sshd 或者 nsenter

    如果你查看过Docker的发行版你会你会很清楚这个小技巧。exec在是在1.3版本中添加的新功能,可以让你在容器里面运行一个新的进程。这样你就不必运行sshd或者在主机上安装nscenter。

  2. Dockerfiles
    2.1 docker build支持git仓库

    你不但可以从本地的Dockerfile中创建Docker镜像,你还可以简单的给docker build指定一个仓库的URL,然后docker build会为你做完余下的事情。

    2.2 没有软件包列表
    默认的镜像(如Ubuntu)是不包含软件包列表的,目的是让镜像体积更小。因此需要在任何的基础的Dockerfile中需要使用apt-get update。
    2.3 留意软件包的版本
    注意软件包的安装,因为这些命令也是会缓存起来的。意味着如果你清空了缓存,你可能会得到不同的版本;或者如果缓存长期不更新,你可能不会得到最新的安全更新。

    2.4 小体积的基础镜像
    在Docker Hub上有一个官方的真正零体积的Docker镜像,它的名字叫做scratch。所以如果你有这种需求,可以让你的镜像从零开始。而大多数的情况下,你最好还是从busybox开始,其大小只有2.5M。

    2.5 FROM默认会获取最新的
    如果在FROM关键字后你没有指定一个版本的tag,那么默认就会获取最新的。请注意这点,并确保尽可能的指定一个特定的版本。

    2.6 shell或者是exec模式
    在Dockerfile中可以通过两种方式来指定命令(如CMD RUN等)。如果你仅仅写下命令那么Docker会将其包裹在sh -c命令中执行。你也可以写成一个字符串数组的形式。数组的写法不需要依赖容器中的shell,因为其会使用go的exec。Docker的开发者建议使用后一种方式。

    2.7 ADD vs COPY
    ADD和COPY都能在创建容器的时候添加本地的文件。但是ADD有一些额外的魔力,如添加远程的文件、unzip或者untar一些文件包等。使用ADD之前请了解这种差别。

    2.8 WORKDIR和ENV
    每个命令都会创建一个新的临时镜像并在新的shell中运行,所以如果你在Dockerfile中不能运行 cd 或者export = 。使用WORKDIR在多个命令中设置工作目录并使用ENV来设置环境变量。

    2.9 CMD和ENTRYPOINT
    CMD是当一个镜像在运行时默认会执行的命令。默认的ENTRYPOINT是/bin/sh -c,然后CMD会以参数的形式被传入。我们可以在Dockerfile中覆盖ENTRYPOINT以让我们的容器像在接受命令行参数(默认的参数在Dockerfile中的CMD指定)。
    Dockerfile中

    ENTRYPOINT /bin/ls
    CMD ["-a"]
    我们覆盖了命令行但是netrypoint仍然是ls

    docker run training/ls -l

    2.10 将ADD置于末尾
    如果文件发生改变,ADD会让缓存失效。不要在Dockerfile中添加经常变化的东西,以避免让缓存失效。将你的代码放在最后,将库和依赖放在最前。对于Node.js的应用来说,这意味着将package.json放在前面,运行nmp install然后添加你的代码。

  3. Docker的网络
    Docker有一个内置的IP池,用来指定容器的ip地址。它对外是不可见的,通过桥接的网口可以访问到。

    3.1 查找端口的映射

    docker run接收显式的端口映射作为参数,或者你可以通过-P选项来映射所有的端口。第二种做法的好处是能防止冲突。可以通过以下命令查找指定的端口:

    docker port containerID portNumber

    或者

    docker inspect --format '{{.NetworkSettings.Ports}}'
    containerID

    3.2 容器的IP地址
    每一个容器都拥有自己属于私有网段的IP地址(默认是172.17.0.0/16)。IP可能会在重启的时候发生变化,如果你想知道其地址,可以用:

    docker inspect --format '{{.NetworkSettings.IPAddress}}' containerID

    Docker会尝试检查冲突,在需要的情况下会使用不同的网段的地址。
    3.3 接管主机的网络
    docker run --net=host能重用网络。但是请不要这么做。

  4. 卷(volume)
    一个绕过目录或者单一文件写时复制(copy-on-write)的文件系统,接近零负载(绑定挂载)。
    4.1 卷的内容在docker commit的时候不会被保存
    在镜像建立后写入你的卷没有太多的意义。

    4.2 卷默认是可读可写的
    但是有一个:ro的标志。

    4.3 卷和容器是分开存在的
    卷只要有一个容器使用他们就会存在。可以在容器之间通过--volumes-from选项共享。

    4.4 挂载你的docker.sock
    你可以仅仅挂载docker.sock就能让你的容器访问到Docker的API。然后你可以在该容器中运行Docker的命令。这样容器甚至还可以杀死自己,在一个容器里面运行一个Docker的守护者进程是没有必要的。

  5. 安全

    5.1 以root身份运行Docker
    Docker API能给root的访问权限,因为你可以将/映射成一个卷,然后读或者写。或者你可以通过--net host接管宿主机的网络。不要暴露Docker API如果你需要请使用TLS。

    5.2 Dockerfile中的USER
    默认下Docker可以以root的身份运行任何命令,但是你可以使用USER。Docker没有用户的命名空间,因此容器将用户看作是宿主机上的用户。但是仅仅是UID因而你需要在容器里面添加该用户。

    5.3 使用TLS操作Docker API
    Docker 1.3版本添加了对TLS的支持。他们使用手动的验证机制:客户端和服务端都有一个Key。把Key看做是root用户的密码。从1.3版本开始,Boot2docker默认使用TLS并且会为你生成key。
    另外生成Key需要OpenSSL 1.0.1以上版本的支持,然后Docker daemon进程需要加上--tls-verify选项运行,Docker会使用安全的端口(2376)。

  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值