Docker标准部署最佳实践

最新推荐文章于 2024-09-01 17:14:19 发布
最新推荐文章于 2024-09-01 17:14:19 发布
阅读量173 收藏
点赞数
文章标签: docker
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_43860750/article/details/123983298
版权
本文档详述Docker的部署最佳实践,包括Docker的基本概念、镜像、底层实现、标准化部署步骤及日常运维。内容涵盖Docker的架构、名字空间、控制组、联合文件系统、容器格式、网络实现以及Docker命令和参数解释。同时讨论了容器的生命周期管理、安全性和故障处理,旨在规范和提升Docker在企业中的应用。
摘要由CSDN通过智能技术生成

Docker标准部署最佳实践

目录

1        前言... 1

2        技术描述.. 2

2.1     Docker概述.. 2

2.2     Docker的Imgae镜像.. 3

2.3     Docker底层实现.. 4

2.3.1   基本架构.. 4

2.3.2   名字空间.. 4

2.3.3   控制组.. 5

2.3.4   联和文件系统.. 5

2.3.5   容器格式.. 6

2.3.6   Docker的网络实现.. 6

2.4     docker相关参数解释.. 8

2.4.1   容器生命周期管理.. 8

2.4.2   容器操作.. 11

2.4.3   容器rootfs命令.. 13

2.4.4   镜像仓库.. 14

2.4.5   本地镜像管理.. 15

2.4.6   Info/version. 18

3        标准化部署.. 19

3.1     部署前准备.. 19

3.2     软件安装.. 19

3.3     docker.damo文件配置.. 20

4        日常运维.. 23

4.1     常用操作.. 23

4.1.1   容器管理.. 23

4.1.2   数据卷管理.. 26

4.1.3   网络管理.. 28

4.1.4   高级网络配置.. 30

4.1.5   dockerfile管理.. 34

4.2     安全管理.. 37

5        故障处理.. 41

5.1     故障案例.. 41

5.1.1   启动Docker容器时报错.. 41

5.1.2   Docker push上传镜像至本地仓库报错.. 41

5.1.3   Docker命令执行时报错.. 42

5.1.4   全新安装的Docker无法启动.. 42

5.1.5   Alex: 43

5.1.6   Connection reset by peer错误.. 43

5.2     FAQ.. 44

5.2.1   镜像FAQ.. 44

5.2.2   容器FAQ.. 45

  1. 前言

最佳实践系列文档编写目的是为规范公司统一标准化运维项目,以便未来形成相关知识库以及流水线的标准化操作。

Docker是一个开源的应用容器引擎,本篇文档将介绍Docker标准部署最佳实践。容器在普遍意义上指的是可以装下其它物品的工具,比如人类使用的衣柜、行李箱、背包等可以称为容器。在IT领域,容器是镜像的运行时实例,用来容纳软件应用。正如从虚拟机模板上启动VM一样,用户也同样可以从单个镜像上启动一个或多个容器。

容器技术是虚拟化、云计算、大数据之后的一门新兴的热门技术,其提高了硬件资源利用率、方便了企业的业务快速横向扩容、实现了业务宕机自愈功能,这是一个对于IT行业来说非常有价值和影响力的技术。

  1. 技术描述
    1. Docker概述

Docker是一个开放源代码软件项目,目标是实现轻量级的操作系统虚拟化解决方案。

Docker利用Linux核心中的资源分离机制(例如cgroups),以及Linux核心名字空间(namespaces),来创建独立的容器(containers),使其可以在单一Linux实体下运作,避免启动一个虚拟机造成的额外负担。

Linux核心对名字空间的支持完全隔离了工作环境中应用程序的可视范围,包括进程树、网络、用户ID、挂载文件系统等,而核心的资源分离机制隔离了包括CPU、存储器、block I/O、网络等资源。

Dockers有能力打包应用程序及其虚拟容器,可以在任何Linux服务器上运行,这有助于实现灵活性和便携性,使应用程序在任何地方都可以运行,无论是公有云、私有云、单机等。

正在上传…重新上传取消
下面的图片比较了Docker和传统虚拟化方式的不同之处,可见容器是在操作系统层面上实现虚拟化,直接复用本地主机的操作系统,而传统方式则是在硬件层面实现。

Docker的组成分别是:

  1. Docker主机(Host):一个物理机或虚拟机,用于运行Docker服务进程和容器。
  2. Docker服务端(Server):Docker守护进程,运行docker容器。
  3. Docker客户端(Clien):客户端使用docker命令或其他工具调用docker API。
  4. Docker仓库(Registry):保存镜像的仓库,类似于git或svn这样的版本控制系
  5. Docker镜像(Images):镜像可以理解为创建实例使用的模板。
  6. Docker容器(Container ): 容器是从镜像生成对外提供服务的一个或一组服务。

    1. 正在上传…重新上传取消 Docker的Imgae镜像

镜像介绍

在Docker的术语里,一个只读层被称为镜像,一个镜像是永久不会变的。

由于Docker使用一个统一文件系统,Docker 进程认为整个文件系统是以读写方式挂载的。但是所有的变更都发生在顶层的可写层,而下层的原始只读镜像文件并未变化。由于镜像不可写,所以镜像是无状态的。

容器和镜像的关系

容器其实是在镜像的最上面加了一层读写层,在运行容器里文件改动时,会先从镜像里面把要写的文件复制到容器自己的文件系统中(即读写层)。

如果容器删除了,最上面的读写层也就删除了,改动也就丢失了。所以无论多少个容器共享一个镜像,所做的写操作都是从镜像的文件系统中复制过来操作的,并不会修改镜像的源文件,这种方式提高磁盘利用率。

若想持久化这些改动,可以通过docker commit将容器保存成一个新的镜像,但是不推荐这么操作,而是直接重新制作一个镜像,作为模板,这样的镜像会更小。

    1. Docker底层实现
      1. 基本架构

Docker采用了C/S架构,包括客户端和服务端。Docker daemon作为服务端接受来自客户的请求,并处理这些请求(创建、运行、分发容器)。客户端和服务端既可以运行在一个机器上,也可通过socket或者RESTful API来进行通信。

Docker daemon一般在宿主主机后台运行,等待接收来自客户端的消息。Docker客户端则为用户提供一系列可执行命令,用户用这些命令实现跟Docker daemon交互。

      1. 名字空间

名字空间是Linux内核一个强大的特性。每个容器都有自己单独的名字空间,运行在其中的应用都像是在独立的操作系统中运行一样。名字空间保证了容器之间彼此互不影响。

pid名字空间

不同用户的进程就是通过pid名字空间隔离开的,且不同名字空间中可以有相同pid。所有的LXC进程在Docker中的父进程为Docker进程,每个LXC进程具有不同的名字空间。同时由于允许嵌套,因此可以很方便的实现嵌套的Docker容器。

net名字空间

有了pid名字空间,每个名字空间中的pid能够相互隔离,但是网络端口还是共享host的端口。网络隔离是通过net名字空间实现的,每个net名字空间有独立的网络设备,IP地址,路由表,proc/net目录。这样每个容器的网络就能隔离开来。Docker默认采用veth的方式,将容器中的虚拟网卡同host上的一个Docker 网桥docker0连接在一起。

ipc名字空间

容器中进程交互还是采用了Linux常见的进程间交互方法(interprocess communication – IPC),包括信号量、消息队列和共享内存等。然而同VM不同的是,容器的进程间交互实际上还是host上具有相同pid名字空间中的进程间交互,因此需要在IPC资源申请时加入名字空间信息,每个IPC资源有一个唯一的32位id。

mnt名字空间

类似chroot,将一个进程放到一个特定的目录执行。mnt名字空间允许不同名字空间的进程看到的文件结构不同,这样每个名字空间 中的进程所看到的文件目录就被隔离开了。同chroot不同,每个名字空间中的容器在/proc/mounts的信息只包含所在名字空间的mount point。

uts名字空间

UTS(“UNIX Time-sharing System”)名字空间允许每个容器拥有独立的hostname和domain name,使其在网络上可以被视作一个独立的节点而非主机上的一个进程。

user名字空间

每个容器可以有不同的用户和组id,也就是说可以在容器内用容器内部的用户执行程序而非主机上的用户。

      1. 控制组

控制组(cgroups)是Linux内核的一个特性,主要用来对共享资源进行隔离、限制、审计等。只有能控制分配到容器的资源,才能避免当多个容器同时运行时的对系统资源的竞争。

控制组技术最早是由Google的程序员2006年起提出,Linux内核自2.6.24版本开始支持。

控制组可以提供对容器的内存、CPU、磁盘IO等资源的限制和审计管理。

      1. 联和文件系统

联合文件系统(UnionFS)是一种分层、轻量级并且高性能的文件系统,它支持对文件系统的修改作为一次提交来一层层的叠加,同时可以将不同目录挂载到同一个虚拟文件系统下(unite several directories into a single virtual filesystem)。

联合文件系统是Docker镜像的基础。镜像可以通过分层来进行继承,基于基础镜像(没有父镜像),可以制作各种具体的应用镜像。

另外,不同Docker容器就可以共享一些基础的文件系统层,同时再加上自己独有的改动层,大大提高了存储的效率。

Docker中使用的AUFS(AnotherUnionFS)就是一种联合文件系统。AUFS支持为每一个成员目录(类似Git的分支)设定只读(readonly)、读写(readwrite)和写出(whiteout-able)权限, 同时 AUFS 里有一个类似分层的概念,对只读权限的分支可以逻辑上进行增量地修改(不影响只读部分的)。

Docker支持的联合文件系统种类包括AUFS,btrfs,vfs和DeviceMapper。

      1. 容器格式

最初,Docker采用了LXC中的容器格式。自1.20版本开始,Docker也开始支持新的libcontainer格式,并作为默认选项。

      1. Docker的网络实现

Docker的网络实现其实就是利用了Linux上的网络名字空间和虚拟网络设备(特别是veth pair)。

基本原理

首先,要实现网络通信,机器需要至少一个网络接口(物理接口或虚拟接口)来收发数据包;此外,如果不同子网之间要进行通信,需要路由机制。

Docker中的网络接口默认都是虚拟的接口。虚拟接口的优势之一是转发效率较高。Linux通过在内核中进行数据复制来实现虚拟接口之间的数据转发,发送接口的发送缓存中的数据包被直接复制到接收接口的接收缓存中。对于本地系统和容器内系统看来就像是一个正常的以太网卡,只是它不需要真正同外部网络设备通信,速度要快很多。

Docker容器网络就利用了这项技术。它在本地主机和容器内分别创建一个虚拟接口,并让它们彼此连通(这样的一对接口叫做 veth pair)。

创建网络参数

Docker创建一个容器的时候,会执行如下操作:

创建一对虚拟接口,分别放到本地主机和新容器中;

本地主机一端桥接到默认的 docker0 或指定网桥上,并具有一个唯一的名字,如 veth65f9;

容器一端放到新容器中,并修改名字作为 eth0,这个接口只在容器的名字空间可见;

从网桥可用地址段中获取一个空闲地址分配给容器的eth0,并配置默认路由到桥接网卡veth65f9。

完成这些之后,容器就可以使用eth0虚拟网卡来连接其他容器和其他网络。

可以在docker run的时候通过--net参数来指定容器的网络配置,有4个可选值:

  1. --net=bridge这个是默认值,连接到默认的网桥。
  2. --net=host告诉Docker不要将容器网络放到隔离的名字空间中,即不要容器化容器内的网络。此时容器使用本地主机的网络,它拥有完全的本地主机接口访问权限。容器进程可以跟主机其它 root 进程一样可以打开低范围的端口,可以访问本地网络服务比如 D-bus,还可以让容器做一些影响整个主机系统的事情,比如重启主机。因此使用这个选项的时候要非常小心。如果进一步的使用 --privileged=true,容器会被允许直接配置主机的网络堆栈。
  3. --net=container:NAME_or_ID让Docker将新建容器的进程放到一个已存在容器的网络栈中,新容器进程有自己的文件系统、进程列表和资源限制,但会和已存在的容器共享 IP 地址和端口等网络资源,两者进程可以直接通过lo环回接口通信。

  4. 正在上传…重新上传取消 --net=none让Docker将新容器放到隔离的网络栈中,但是不进行网络配置。之后,用户可以自己进行配置。

    1. docker相关参数解释
      1. 容器生命周期管理
  2. run

docker run :创建一个新的容器并运行一个命令

语法:

docker run [OPTIONS] IMAGE [COMMAND] [ARG...]

OPTIONS说明:

  1. -a stdin: 指定标准输入输出内容类型,可选 STDIN/STDOUT/STDERR 三项;
  2. -d: 后台运行容器,并返回容器ID;
  3. -i: 以交互模式运行容器,通常与 -t 同时使用;
  4. -P: 随机端口映射,容器内部端口随机映射到主机的端口
  5. -p: 指定端口映射,格式为:主机(宿主)端口:容器端口
  6. -t: 为容器重新分配一个伪输入终端,通常与 -i 同时使用;
  7. --name="nginx-lb": 为容器指定一个名称;
  8. --dns 8.8.8.8: 指定容器使用的DNS服务器,默认和宿主一致;
  9. --dns-search example.com: 指定容器DNS搜索域名,默认和宿主一致;
  10. -h "mars": 指定容器的hostname;
  11. -e username="ritchie": 设置环境变量;
  12. --env-file=[]: 从指定文件读入环境变量;
  13. --cpuset="0-2" or --cpuset="0,1,2": 绑定容器到指定CPU运行;
  14. -m :设置容器使用内存最大值;
  15. --net="bridge": 指定容器的网络连接类型,支持 bridge/host/none/container: 四种类型;
  16. --link=[]: 添加链接到另一个容器;
  17. --expose=[]: 开放一个端口或一组端口;
  18. --volume , -v: 绑定一个卷
  1. start/stop/restart
  1. docker start :启动一个或多个已经被停止的容器
  2. docker stop :停止一个运行中的容器
  3. docker restart :重启容器

语法:

docker start [OPTIONS] CONTAINER [CONTAINER...]

docker stop [OPTIONS] CONTAINER [CONTAINER...]

docker restart [OPTIONS] CONTAINER [CONTAINER...]

  1. kill

docker kill :杀掉一个运行中的容器。

语法:

docker kill [OPTIONS] CONTAINER [CONTAINER...]

OPTIONS说明:

-s :向容器发送一个信号

  1. rm

docker rm :删除一个或多个容器。

语法:

docker rm [OPTIONS] CONTAINER [CONTAINER...]

OPTIONS说明:

  1. -f :通过 SIGKILL 信号强制删除一个运行中的容器。
  2. -l :移除容器间的网络连接,而非容器本身。
  3. -v :删除与容器关联的卷。
  1. pause/unpause
  1. docker pause :暂停容器中所有的进程。
  2. docker unpause :恢复容器中所有的进程。

语法:

docker pause CONTAINER [CONTAINER...]

docker unpause CONTAINER [CONTAINER...]

  1. create

docker create :创建一个新的容器但不启动它用法同 docker run

  1. exec

docker exec :在运行的容器中执行命令

语法:

docker exec [OPTIONS] CONTAINER COMMAND [ARG...]

OPTIONS说明:

  1. -d :分离模式: 在后台运行
  2. -i :即使没有附加也保持STDIN 打开
  3. -t :分配一个伪终端
      1. 容器操作
  1. Ps

docker ps : 列出容器

语法:

docker ps [OPTIONS]

OPTIONS说明:

-a :显示所有的容器,包括未运行的。

-f :根据条件过滤显示的内容。

--format :指定返回值的模板文件。

-l :显示最近创建的容器。

-n :列出最近创建的n个容器。

--no-trunc :<

最低0.47元/天 解锁文章
were.
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
Docker标准化开发、测试、生产环境
weixin_34067102的博客
10-15 372
2019独角兽企业重金招聘Python工程师标准>>> ...
Docker运维技术最佳实践
weixin_52375283的博客
10-25 1000
01-Docker入门 Docker技术简介 概述 Docker是一个虚拟化平台( 官网https://www.docker.com/),诞生于 2013 年初,基于 Google 公司的 Go 语言进行实现。可以通过虚拟化方式,为应用提供可运行的容器。基于这种方式,可更快地打包、测试以及部署应用程序。 现阶段,很多应用软件的安装都在向基于docker方式的安装进行实现。例如mysql,那么为什么不直接在操作系统中安装一个mysql,而是用容器呢?因为,安装MySql过程并不简单,要配置安装源,
java入职学习七之docker部署项目
Yzq12312的博客
12-14 143
docker项目部署 一、简介 docker是一个用来装应用的容器,就像杯子可以装水,笔筒可以放笔,书包可以放书,可以把hello word放在docker中,可以把网站放入docker中,可以把任何想得到的程序放在docker中. 1.1 docker思想 集装箱 没有集装箱之前运输货物,东西零散容易丢失,有了集装箱之后货物不容易丢失,我们可以把货物想象成程序,目前我们要把程序部署到一台新的机器上,可能会启动不起来,比如少一些配置文件什么的或者少了什么数据,有了docker的集装箱可以保证我们的程序不管运
docker入门(利用docker部署web应用)
热门推荐
仰望星空
05-26 41万+
前言:本课程是在慕课网上学习 第一个docker化的java应用 课程时所做的笔记,供本人复习之用 目录 第一章 什么是docker 1.1 docker的发展史 1.2 docker国内应用史 1.3 什么是Docker 第二章 了解docker 2.1 docker思想 2.1.1 集装箱 2.1.2 标准化 2.1.3 隔离 2.2 docker解决的问题 2.2.1...
基于Docker的服务部署流程
missiletcy的博客
04-20 582
本次总结涉及到Docker-io、Docker-ce的安装、CentOS7镜像的制作、Docker私有仓库搭建、CentOS6.7环境下从CentOS7私有仓库拉取私有镜像、Docker容器运行、CentOS6.5及CentOS7一起运行时兼容性处理等内容。
Docker03 Docker部署初步实践
多啦的博客
10-19 271
问题描述 服务A是一个静态博客网站,由Nginx提供HTTP服务(80端口),代码仓库为GitA。当向GitA中提交新的文件时,会触发Gitlab的Webhook的Push Events,向另一个端口8888提交一个POST请求。 服务B利用NodeJS,监听了8016端口,当收到webhook触发的POST请求后,会进行一些列的动作,拉取GitA中代码,清空文件夹,利用Hexo进行编译,将编译好...
Docker轻松部署Spring应用:容器化实践指南0基础!!易懂!!.html
07-11
此外,教程提供了故障排除和最佳实践的建议,确保读者在实际操作中能够有效应对问题和优化容器化应用。 这篇教程非常适合Java全栈开发的初学者,帮助他们快速上手Docker,并在实际项目中应用这些技术。通过学习本...
linux环境下基于Docker部署的java项目的实施方案
06-03
本文主要介绍了容器化Java应用程序的步骤和最佳实践。步骤包括:选择合适的基础镜像、准备Java应用程序、配置Dockerfile、构建Docker镜像、运行Docker容器、访问Docker容器中的Java应用程序、发布Docker镜像。最佳...
docker自动化部署实战
码农笔录-微信公众号博客
09-10 3万+
docker自动化部署实战避免重复造轮子,我就不说docker的好处了,百度一大堆,况且你能看到这个文章,说明你也大概了解docker了。当然还是要从安装开始一步步来,本文中使用的是daocloud+coding+docker。daocloud官网 ,coding官网。 自动化流程是:打包应用程序->上传到coding->daocloud检测到更新->自动构建docker镜像->自动部署应用->完
Docker自动化部署
LYoungJ的博客
04-05 1万+
Docker安装与基本使用虚拟机系统centOS7 miniDocker的应用场景1.简化配置,同一Docker的配置可以在不同 环境中使用,降低了硬件要求和应用环境之间的耦合度. 2.代码的流水线管理.代码从开发者的假期到最终在生产环境上的部署,需要经过很多的中间环境.而每一个中间环境都有自己微小的蛤贝,Docker给应用提供一个从开发到上线均一致的环境,让代码的流水线变得简单. 3.提高开发效...
Docker容器实战(一)-标准化打包技术
JavaEdge全是干货的技术号
08-29 1782
容器!容器! 回溯历史源头 相比于盛极一时的 AWS OpenStack 以Cloud Foundry为代表的PaaS项目,却成了当时云计算技术中的一股清流 Cloud Foundry项目已经基本度过了最艰难的概念普及和用户教育阶段,开启了以开源PaaS为核心构建平台层服务能力的变革 只是,后来一个叫 Docker 的开源项目横空出世 当时还名叫dotCloud的Docker...
Docker基础及简单部署
qq_42890862的博客
01-05 1万+
一、 基本原理 容器就是在隔离的环境中运行的一个进程,如果进程停止,容器就会退出,Docker 是一个开源的应用容器引擎,让开发者可以打包他们的应用以及依赖包打包到一个可移植的容器中,然后发布(C/S架构,本机是客户端,可以理解为docker引擎就是服务端) 二、优点 共用宿主机内核,轻量级,损耗少,启动快,性能高,运行在linux系统上,能够对应用程序及应用程序的运行环境进行打包,防止因环境而造成的各种影响 三、与传统虚拟化方式对比 四、docker三要素 1、 仓库:Docker仓库是用来存储镜像的
Docker运维之最佳实践
karamos的专栏
04-07 3644
作者简介:阳运生,有容云 容器技术的发展可以分为两个阶段,第一个阶段聚焦在IaaS层,仅仅把容器当做更轻量级虚拟机来使用,解决了应用运行时进程级资源隔离的问题;随着Docker的出现,容器虚拟化才有了统一的平台,由此容器技术发展到了第二个阶段,开始聚焦在PaaS层,以应用为中心,统一应用分发标准,实现DevOps。本篇将针对操作系统、主机配置、容器镜像、容器运行时、Docker Daemo...
使用 Docker 进行自动化生产部署的 3 种策略
学海无涯苦作舟的博客
03-03 1637
Docker 是一种流行的开发工具,因为它通过可重现的配置简化了启动应用程序的隔离实例。它还可以用于生产环境,以确保实时部署与您的开发环境相同。 将容器投入生产并不总是像docker run在本地机器上运行那样简单。手动将图像推送到注册表、连接到远程 Docker 主机并启动容器并不是一个好主意。这依赖于人工干预,因此既耗时又容易出错。 在本指南中,我们将了解您可以使用的三种不同策略,它们可以轻松自动化 Docker 部署并保持一致的配置。这些方法可以作为CI 管道的一部分编写脚本,以便在每次代码更改时启.
Docker设置socks5代理
kongxx的专栏
08-31 485
添加socks5代理。
容器化你的应用:使用 Docker 入门指南
最新发布
Envyᥫᩣ的博客
09-01 740
Docker 使得开发者能够更加高效地开发、测试和部署应用程序。通过容器化你的应用,你可以获得更好的一致性、隔离性和可移植性。希望这篇指南能帮助你入门 Docker 并开始享受它带来的好处!如果你对Docker有更深入的需求,比如网络配置、持久化存储等高级主题,或者你想要了解其他的技术话题,请随时告知!
Docker镜像制作与优化:最佳实践解析
Docker镜像是容器化应用的基础,理解和掌握其原理和最佳实践对于有效利用Docker进行应用部署和管理至关重要。通过优化镜像构建过程和管理,可以提高部署效率,降低资源消耗,并提升应用的安全性。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值