2022-10-26

已于 2022-10-26 22:31:43 修改
阅读量486 收藏
点赞数
分类专栏: 学习记录 文章标签: linux
于 2022-10-26 22:30:51 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_43451568/article/details/127542095
版权

1、Docker的namespace和cgroup作用

  • Namespace:

在Linux内核层实现,对运行在同一个docker主进程的各个容器进行资源限制,使其隔离运行互不影响。包括:

隔离类型功能系统调用参数内核版本
MNT Namespace磁盘挂载点和文件系统的隔离CLONE_NEWNSLinux2.4.19
IPC Namespace进程间通信的隔离CLONE_NEWIPCLinux2.6.19
UTS Namespace主机名的隔离CLONE_NEWUTSLinux2.4.19
PID Namespace进程的隔离CLONE_NEWPIDLinux2.4.24
NET Namespace网络的隔离CLONE_NEWNETLinux2.4.29
USER Namespace用户的隔离CLONE_NEWUSERLinux3.8

  • Cgroup

限制一个进程组能够使用的资源上限,包括CPU、内存、磁盘、网络带宽等。此外还能对进程进行优先级设置,以及将进程挂起和恢复等操作。

2、编排工具及依赖技术总结

  • 编排工具

对运行在多个主机的多个容器进行统一管理,实现动态伸缩、故障自愈、批量执行等功能就是容器编排引擎。比如某一台主机宕机了,那么运行在该主机上的容器就会自动迁移到其他适合的主机,从而实现高可用。容器编排通常包括容器管理、调度、集群定义和服务发现等功能。

工具简介
Docker Swarmdocker开发的容器编排引擎
Kubernetsgoogle开发的编排引擎,同时支持docker和CoreOS
Mesos+Marathon通用的集群组员调度平台,mesos(资源分配)和marathon(容器编排平台)一起提供容器编排引擎功能

  • 依赖技术

  1. 容器网络

    docker自带的网络仅支持管理单机上的容器网络,当多主机运行容器时需要使用第三方开源网络,如calico、flannel等。

  2. 服务发现

    容器的动态扩容特性决定了容器IP会随时变化,因此需要一种机制可以自动识别并将用户的请求动态转发到新创建的容器上,kubernetts自带的服务发现功能需要结合kube-dns服务解析内部域名。

  3. 容器监控

    可以使用原生命令docker ps/top/stats查看容器运行状态,另外也能使用heapster、Prometheus等第三方工具监控容器的运行状态。

  4. 数据管理

    容器的动态迁移涉及到在不同主机间的迁移,可以使用逻辑卷或者存储卷来保证与容器相关的数据也能随之迁移或者随时能够访问。

  5. 日志收集

    docker原生日志查看工具是docker logs,但是容器内部的日志需要通过ELK等专门日志收集分析和展示工具来处理。

3、基于dockerfile制作一个nginx镜像

  1. 下载镜像并初始化系统

    root@docker-server:~# docker pull centos:7.6.1810 #下载镜像
root@docker-server:~# docker images
REPOSITORY   TAG       IMAGE ID       CREATED         SIZE
centos       7.6.1810        f1cb7c7d58b7   3 years ago      202MB
root@docker-server:~# cd /opt/
root@docker-server:/opt# mkdir dockerfile/web/nginx -pv
mkdir: created directory 'dockerfile'
mkdir: created directory 'dockerfile/web'
mkdir: created directory 'dockerfile/web/nginx'
root@docker-server:/opt# cd dockerfile/web/nginx/
root@docker-server:/opt/dockerfile/web/nginx# pwd
/opt/dockerfile/web/nginx

  2. 编写dockerfile

    vim Dockerfile

    FROM centos:7.6.1810
ENV NGINX_VERSION   1.22.1
RUN yum install -y epel-release vim wget tree  lrzsz gcc gcc-c++ automake pcre pcre-devel zlib zlib-devel openssl
RUN useradd nginx -s /sbin/nologin
ADD nginx-1.22.1.tar.gz /usr/local/src/
RUN cd /usr/local/src/nginx-1.22.1 && ./configure --prefix=/apps/nginx --with-http_sub_module && make && make install
RUN ln -sv /apps/nginx/sbin/nginx /usr/sbin/nginx
EXPOSE 80 443
CMD ["nginx", "-g", "daemon off;"]

  3. 上传源码包到对应目录

    root@docker-server:/opt/dockerfile/web/nginx# pwd
/opt/dockerfile/web/nginx
root@docker-server:/opt/dockerfile/web/nginx# ll
total 1064
drwxr-xr-x 2 root root    4096 Oct 26 21:37 ./
drwxr-xr-x 3 root root    4096 Oct 26 20:27 ../
-rw-r--r-- 1 root root     455 Oct 26 21:29 Dockerfile
-rw-r--r-- 1 root root 1073948 Oct 26 21:12 nginx-1.22.1.tar.gz

  4. 创建镜像

    root@docker-server:/opt/dockerfile/web/nginx# docker build -t nginx:1.22.1

  5. 查看是否生成镜像

    root@docker-server:/opt/dockerfile/web/nginx# docker images
REPOSITORY   TAG             IMAGE ID       CREATED          SIZE
nginx        1.22.1          cf94b269979a   8 minutes ago    571MB
centos       7.6.1810        f1cb7c7d58b7   3 years ago      202MB

  6. 从镜像启动容器

    root@docker-server:/opt/dockerfile/web/nginx# docker run -it -d -p 80:80 nginx:1.22.1 
root@docker-server:/opt/dockerfile/web/nginx# docker ps
CONTAINER ID   IMAGE          COMMAND                  CREATED          STATUS          PORTS                                        NAMES
5af995c9404d   nginx:1.22.1   "nginx -g 'daemon of…"   11 minutes ago   Up 11 minutes   0.0.0.0:80->80/tcp, :::80->80/tcp, 443/tcp   nice_sutherland

root@docker-server:/opt/dockerfile/web/nginx# ss -tnl
State                   Recv-Q                   Send-Q                                      Local Address:Port                                     Peer Address:Port                   
LISTEN                  0                        128                                               0.0.0.0:80                                            0.0.0.0:*                      
LISTEN                  0                        128                                         127.0.0.53%lo:53                                            0.0.0.0:*                      
LISTEN                  0                        128                                               0.0.0.0:22                                            0.0.0.0:*                      
LISTEN                  0                        128                                             127.0.0.1:6011                                          0.0.0.0:*                      
LISTEN                  0                        128                                                  [::]:80                                               [::]:*

  7. 访问web页面

[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-9rD5x6y9-1666793809849)(C:\Users\姜雷\AppData\Roaming\Typora\typora-user-images\image-20221026214334592.png)]

4、镜像构建总结

  • 首先选择一个基础镜像,一般使用官方的镜像。
  • 将一些基础的命令,不常变动的部分打包成基础镜像。
  • 要注意Dockerfile里面用到的目录、文件等,宿主机是否准备妥当。比如上文用到的nginx源码包就需要提前上传到宿主机对应目录里。
  • 可以使用docker build命令边构建镜像边进行测试。
神奇工坊
关注
专栏目录
CVE-2022-29464 WSO2文件上传漏洞
weixin_45260839的博客
07-23 4231
CVE-2022-29464 WSO2文件上传漏洞
CVE-2022-22965 Spring远程代码执行漏洞复现
weixin_45260839的博客
05-22 3828
CVE-2022-22965 Spring远程代码执行漏洞复现
Element中时间选择器时间的格式为“2022-11-01T00:58:22.511Z“将其修改为 2022-10-31 的格式
q2269934630的博客
10-31 1542
Element中时间选择器时间的格式为 "2022-11-01T00:58:22.511Z"将其修改为 2022-10-31 的格式
win11系统下Anaconda,PyTorch,cuda 最新安装教程(2022-10-26)
生息万物的博客
10-26 6532
Pytorch 、Anaconda和Cuda的安装
Nginx 安全漏洞(CVE-2022-3638)处理
企业实战系列集 ●●● https://ximenjianxue.blog.csdn.net
11-28 1万+
漏洞描述如下:nginx中发现的该漏洞会影响涉及IPv4连接断开的ngx_resolver.c文件某些未知处理过程,攻击者利用该漏洞在发起远程攻击,导致这个过程中触发内存泄漏。从发布的版本看,1.23.2版本并没有标明修复CVE-2022-3638漏洞,但看文件已经删除了下列代码,最好使用补丁编译。:该主机上Nginx为从其他主机整体打包后拷贝过来,启动运行的,后来升级时发现很多依赖项并未安装;2)下载后,将补丁覆盖源码包,重新编译或直接用1.23.2版本重新编译。
【CVE-2022-26134】Confluence OGNL RCE 漏洞
weixin_45742777的博客
09-09 7721
【CVE-2022-26134】Confluence OGNL RCE 漏洞
[漏洞分析] CVE-2022-2766六 IPV6 ESP协议页溢出内核提权
热门推荐
Breeze的博客
04-02 1万+
CVE-2022-27666 IPV6 ESP协议页溢出内核提权 文章目录CVE-2022-27666 IPV6 ESP协议页溢出内核提权漏洞简介环境搭建虚拟机docker漏洞原理漏洞发生点调用栈漏洞利用参考 漏洞作者博客:https://etenal.me/archives/1825 写的非常详细,这里只是简单补充一下环境搭建和简单分析一下原理和利用等。 漏洞简介 漏洞编号: CVE-2022-27666 漏洞产品: linux kernel - esp6 影响版本: ~ linux kernel 5.
CVE-2022-23131 Zabbix SAML SSO认证绕过漏洞
weixin_45260839的博客
06-12 2268
CVE-2022-23131 Zabbix SAML SSO认证绕过漏洞
春秋云境:CVE-2022-32991(SQL注入)
m0_65712192的博客
04-12 1622
该CMS的welcome.php中存在SQL注入攻击。
el-date-picker2022-09-02T16:00:00.000Z 转2022-09-02
weixin_58431406的博客
08-11 6932
el-date-picker2022-09-02T16:00:00.000Z 转2022-09-02
2022-10-26.pdf
06-30
2022-10-26.pdf
2022-10-26(1).pdf
06-30
2022-10-26(1).pdf
tcpdump-2022-10-26(1).pcap
10-26
tcpdump-2022-10-26(1).pcap
2022-10-26:bigscree6表需确认.sql
10-26
2022-10-26:bigscree6表需确认.sql
minio RELEASE.2022-05-26T05-48-41Z Windows版含mc
07-01
minio server,windows版本含mc,minio version RELEASE.2022-05-26T05-48-41Z, mc version RELEASE.2022-05-09T04-08-26Z。吐槽官网下载太慢了
Linux】进程间通信——匿名管道
最新发布
2201_76024104的博客
07-08 704
1.:一个进程需要将它的数据发送给另一个进程,比如我们有两个进程,一个负责获取数据,另一个负责处理数据,这时第一个进程就要将获取到的数据交给第二个进程2.:多个进程间共享同样的资源3.:一个进程需要给其他进程发送消息,通知他们发生了某种事件4.:有些事件需要完全控制另一个进程,比如我们在使用gdb调试时,gdb就是一个进程,它控制了我们要调试的进程进程之前是有互相传递信息的需求,但是,一个进程不可能去另一个进程的地址空间中取信息,所以这就要求操作系统去提供一块交换数据的空间来供进程之间使用。
linux/shell】linux如何去除字符串中空格
qq_35902025的博客
07-06 302
linux如何去除字符串中空格 tr命令可以用来替换或删除字符 sed是一个流编辑器,可以用来处理文本
Linux存储管理I
m0_54563444的博客
07-03 904
主要知识点: 基本分区、逻辑卷LVM、EXT3/4/XFS文件系统、RAID。
Linux系列2】Cmake安装记录
kewaqi618的博客
07-08 729
主要介绍Cmake的安装方法,及自己安装的过程
列举50个2022-01-01 00:00:00到2022-12-31 00:00:00的时间
06-10
26. 2022-01-16 13:00:00 27. 2022-02-01 09:15:00 28. 2022-02-15 19:30:00 29. 2022-03-01 08:45:00 30. 2022-03-16 02:00:00 31. 2022-04-01 15:15:00 32. 2022-04-16 21:30:00 33. 2022-05-02 03:45:00 34. 2022...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值