Docker系统性入门(五)

最新推荐文章于 2023-04-03 00:46:01 发布
最新推荐文章于 2023-04-03 00:46:01 发布
阅读量485 收藏
点赞数
分类专栏: 容器 文章标签: docker 容器
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_39757637/article/details/123669260
版权

文章目录

Podman

  • Podman 是 Red Hat 在2018年推出的,源代码开放
  • 是一个基于 Linux 系统的 daemon-less 的容器引擎;可以运行在root或者非root用户模式
  • 最近总听到这个要代替docker什么的,可以参考
  • 和docker的区别:
    • 最主要的区别是podman是Daemonless的,而Docker在执行任务的时候,必须依赖于后台的docker daemon
    • podman不需要使用root用户或者root权限,所以更安全。
    • podman可以创建pod,pod的概念和 Kubernetes 里定义的pod类似
    • podman运行把镜像和容器存储在不同的地方,但是docker必须存储在docker engineer所在的本地
    • podman是传统的 fork-exec 模式,而docker是 client-server 架构(daemon就是server,docker命令就是client)
  • 可以多了解一下docker的daemon,类似与kernel通信的工具,是操作容器必不可少的
    • 我们知道容器技术就是隔离应用程序的运行时环境,但容器之间可以共享同一个操作系统
    • 可以了解一下隔离技术,是一个比较复杂的话题
  • docker架构
    1
  • podman架构
    2
  • 官网

安装&基操

  • 安装:sudo yum -y install podman,最新版到4.0了,centos7默认1.6.4
  • 可能需要开启user_namespace
    sudo vim /etc/sysctl.conf
user.max_user_namespaces=10000
reboot
  • 使用上和docker极为类似
    podman search nginx
podman pull docker.io/library/nginx
podman run -it --name nginx-d docker.io/library/nginx
podman container ls
podman ps -a
  • 从操作上可以看出podman和docker的不同
    • docker的daemon;而且非root用户必须加入docker组才能操作
      3
    • 添加个新用户:# useradd -r doc-pod,修改密码:# passwd doc-pod
      4
    • 可以尝试一下,podman用户之间的镜像容器是完全隔离的,而docker在哪个用户都能看见
    • 在centos7下有些问题

pod

  • 基本操作
    # 创建pod
podman pod create --name test
podman ps -a --pod
# 在pod中创建container
podman container run -d --name testd --pod test docker.io/library/busybox ping 8.8.8.8
# 在一个pod中的容器具有相同的ip地址
  • documentation,虽然是英文的,但是可以看看
  • 虽然底层技术有所不同,但操作和docker很相似,即使k8s更换了container runtime也能快速入手(其实对直接使用k8s的开发者没什么影响)

多架构

  • docker支持多架构,这个架构是指机器的硬件设计,常见的有ARM和x86(Intel、AMD)
    1
  • inspect镜像也能看到其Architecture,一般官网的镜像都有针对不同机器架构的版本
    2
  • 如何在单一架构机器下build出可以适应不同架构的镜像?使用buildx,Linux下需要自行安装
    # 安装,参考 https://github.com/docker/buildx#linux-packages
wget https://github.com/docker/buildx/releases/download/v0.8.1/buildx-v0.8.1.linux-amd64
# copy it to the destination folder
$HOME/.docker/cli-plugins
# Or copy it into one of these folders for installing it system-wide.
/usr/local/lib/docker/cli-plugins OR /usr/local/libexec/docker/cli-plugins
# 可能需要开执行权限
chmod +x ~/.docker/cli-plugins/docker-buildx
# 可以设置成default builder,应该就是软链过去
    • 还可以直接在Dockerfile中引入buildx工具,直接构建多架构镜像:docker image build 即可
    FROM docker
COPY --from=docker/buildx-bin /buildx /usr/libexec/docker/cli-plugins/docker-buildx
RUN docker buildx version
  • 使用buildx
    docker login
docker buildx create --name mybuilder --use
docker buildx ls	# 使用自己的buildx
# build完会自动推到远程
docker buildx build --push --platform linux/arm/v7,linux/arm64/v8,linux/amd64 -t roykun/flask-redis:latest .

CI/CD

  • 我们编镜像的代码推到GitHub或者其他仓库,然后再dockerhub关联一下,当代码发生变化,可以根据设置自动触发build
  • 上面只是自动化的一小部分,从代码提交、设置环境、运行命令到产生报告一系列的行为都可定义;这方面的工具很多,比如Jenkins;这里介绍用的也比较多的GitHub Actions
  • 可以直接从官网学习;这里有个Hello World教程。最重要的就是理解workflow和jobs
    • 一般包括拉取镜像、配置环境、验证代码、推到仓库、产生报告一套步骤;官网的文档写的很好值得看
    • 后面实践项目时在看
  • 同样,支持配置buildx

容器安全

  • 代码、基础镜像、镜像、容器、host都可能有安全隐患
  • docker可以配置安全扫描,代码下载到本地
  • 启动了你的docker容器后,可以执行上面的代码:sudo ./docker-bench-security.sh,会给出一些log和score
  • 也可以使用synk扫描GitHub/Bitbucket的代码,或者下载trivy

监控

  • 可以在容器运行时进行监控,例如使用sysdig
  • 没有软件是无漏洞的,视情况而定,如果这个漏洞的部分你没使用到就可以
瑞士_R
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
Docker
ErixHao的专栏
05-26 3637
很早就想写一篇关于Docker的文章了,但却久久未动笔,直到最近社区再无Docker了,在2017年4月17日的DockerCon17上,开源项目Docker变更为Moby,好吗,膜拜单车了,开始动笔.... 提到容器大家会很快想到Docker, 然而容器技术并非新鲜事物,虚拟机, VM已诞生多年,而真正大面积使用,普及则是近几年借着云计算及PaaS趋势而火。 本文将主要简单入门介绍D
docker容器学习二
weixin_33701294的博客
09-19 200
Docker 架构Docker 使用客户端-服务器 (C/S) 架构模式,使用远程API来管理和创建Docker容器Docker 容器通过 Docker 镜像来创建。容器与镜像的关系类似于面向对象编程中的对象与类。Docker面向对象容器对象镜像类Docker 镜像(Images)Docker 镜像是用于创建 Docker 容器的模板。Docker 容器(Container...
Docker系统性入门(一)
Roy的博客
03-21 4348
docker简介和安装
Docker 系统性入门+进阶实践
江黎
07-11 928
docker
Docker系统学习
lzm123456的博客
01-26 1482
Docker学习 之前用过docker,但对其原理不太熟悉,系统整理一下,学习视频 DOCKER 文章目录Docker学习一、Docker简介二、虚拟机和docker区别:二、使用步骤1.引入库2.读入数据总结 一、Docker简介 Docker的出现使得Docker得以打破过去「程序即应用」的观念。透过镜像(images)将作业系统核心除外,运作应用程式所需要的系统环境,由下而上打包,达到应用程式跨平台间的无缝接轨运作。 解决了运行环境和配置问题的软件容器, 方便做持续集成并有助于整体发布的容器
Docker 系统性入门+进阶实践视频教程.zip
10-26
第1章 Docker的安装和介绍 第2章 容器快速上手 第3章 镜像的创建管理和发布 第4章 Dockerfile完全指南 第5章 Docker的存储 第6章 Docker的网络 第7章 Docker compose 第8章 Docker swarm 第9章 Docke.......
Docker 入门视频
11-09
本课程将你带你一步一步从基础到实践学习Docker,了解什么是DockerDocker的核心思想、核心组件诸如镜像,仓库,容器等,通过大量的实际操作循序渐进地介绍Docker,带你轻松玩转DockerDocker技术也是当今IT从业...
docker入门到进阶
11-18
Docker简介 Docker基本概念和架构 Docker容器相关技术 Docker安装与配置 容器的基本操作 守护式容器容器中部署静态网站 Docker镜像与仓库 Docker客户端与守护进程 Docker镜像与仓库-Dockerfile Docker容器的网络...
Docker入门到精通.docx
最新发布
04-12
"Docker入门到精通" Docker 是一个容器化平台,它解决的问题是 Unix 系统最初设计的一个疏忽。容器化技术可以确保应用拥有必需的配置和文件,使得这些应用能够在从开发到测试、再到生产的整个流程中顺利运行,而...
Docker入门系列–Docker数据存储(七)
01-07
Docker入门系列–Docker数据存储(七) 1、数据卷特性 Docker镜像由多个只读层叠加而成,启动容器时,Docker会加载只读镜像层,并在镜像栈定不添加一个读写层 如果运行中的容器修改可现有的一个已经存在的文件,那么...
系统学习docker
INGNIGHT的专栏
11-08 293
调整vagrant用户组。
容器管理系统(Docker
lss0516的博客
02-22 1874
docker常用命令 容器技术的核心由以下几个内核组成: —Cgroups 资源管理 —NameSpace进程隔离 —SElinux安全 由于是在物理机上实施隔离,启动一个容器,可以像启动一个进程一样快. 二. 什么是Docker? Docker是完整的一套容器管理系统 Docker提供了一组命令,让用户更加方便直接地使用容器技术,而不需要过多关心底层内核技术. 三. Docker优点 1...
docker系统架构
weixin_54707168的博客
09-05 767
Driver 是 Docker 架构中的驱动模块。通过 Driver 驱动,Docker 可以实现对 Docker 容器执行环境的定制。即 Graph 负责镜像的存储,Driver 负责容器的执行。Docker Daemon 的架构图。networkdriver 的架构图。libcontainer 的架构图。graphdriver 架构图。execdriver 的架构图。container 架构。Graph 的架构图。
Docker-系统环境
XGZ2IT的博客
11-26 926
Docker使用,测试环境
【系统与工具】系统环境——docker
努力,奋斗!
04-03 670
docker原理,docker 与虚拟机区别,docker安装,docker常用操作,镜像操作,容器操作,docker开机启动,docker镜像开机启动
Docker教程(系统详细)
先锋道骨的博客
03-30 1142
一.概述 Docker提供了在松散隔离的环境(称为容器)中打包和运行应用程序的功能。隔离和安全性使您可以在给定主机上同时运行多个容器容器是轻量级的,包含运行该应用程序所需的所有内容,因此您无需依赖主机上当前安装的内容。您可以在工作时轻松共享容器,并确保与您共享的每个人都能以相同的方式获得相同的容器。 1.容器化技术 虚拟机技术缺点: 资源占用十分多 冗余步骤多 启动很慢 容器化技术不上模拟的一个完整的操作系统 比较docker和虚拟机的不同: 传统虚拟机,虚
docker 系统学习
蚁族的奋斗的博客
07-14 728
1.https://ke.qq.com/course/303636  很好的腾讯课堂 2. 3. 从宿主机和容器之间的拷贝用cp 源目标文件夹  目标文件夹 4.数据卷和cp的区别在于能够将两个文件夹实时进行映射,cp用一次拷贝一次才能保持同步       docker  run  -v  源文件夹(或者是数据卷的名字比如qps):目标文件夹       docker volume ...
Docker文件系统基本概述
lgxzzz的博客
02-22 976
先来看一下docker文件系统的一览图 这张图可以基本说明docker存储结构的两种大的基本方式: 数据卷 数据卷即是我们可以通过-v 参数将主机目录或者主机设备挂载在我们的docker container中,这种方式是在I/O传输中最快的方式,因为不用通过docker文件系统,直接到达主机目录,适用于数据持久化和大文件传输。下面是数据卷系统的一览图: 顺带一提的是,有不少研究docker存储系统与P...
docker(1)初始系统、安装docker
u013595395的博客
11-30 270
系统:centos7 一、初始系统 (1)关闭、永久关闭防火墙 systemctl stop firewalld systemctl disable firewalld (2)永久关闭selinux 1.查看状态:sestatus 2.设置:vi /etc/selinux/config // 末尾添加:SELINUX=disabled reboot // 重启以应用设置 (3)修改最大文件打开数 ...
Docker入门与实战指南
Docker提供了快速交付应用程序的能力,因为它允许开发者在一个轻量级的环境中运行应用,无需考虑底层系统的复杂性。更容易部署和扩展是Docker的另一大优点,因为容器化的应用可以在不同的硬件上无缝迁移。此外,由于...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

瑞士_R

修行不易...

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值