Docker - 应用镜像

概述

Docker 是一个开源的应用容器引擎，让开发者可以打包他们的应用以及依赖包到一个可移植的容器中，然后发布到任何流行的 Linux 机器上，也可以实现虚拟化。容器是完全使用沙箱机制，相互之间不会有任何接口

基本组成

• Docker 镜像（Image）就是一个只读的模板。镜像可以用来创建 Docker 容器，一个镜像可以创建很多容器。
• 容器（container）:Docker 利用容器（Container）独立运行的一个或一组应用。容器是用镜像创建的运行实例。它可以被启动、开始、停止、删除。每个容器都是相互隔离的、保证安全的平台。可以把容器看做是一个简易版的 Linux 环境（包括root用户权限、进程空间、用户空间和网络空间等）和运行在其中的应用程序。容器的定义和镜像几乎一模一样，也是一堆层的统一视角，唯一区别在于容器的最上面那一层是可读可写的。
• 仓库（Repository）是集中存放镜像文件的场所。仓库(Repository)和仓库注册服务器（Registry）是有区别的。仓库注册服务器上往往存放着多个仓库，每个仓库中又包含了多个镜像，每个镜像有不同的标签（tag）。仓库分为公开仓库（Public）和私有仓库（Private）两种形式。最大的公开仓库是 Docker Hub(https://hub.docker.com/)，存放了数量庞大的镜像供用户下载。国内的公开仓库包括阿里云 、网易云 等
• Docker 本身是一个容器运行载体或称之为管理引擎。我们把应用程序和配置依赖打包好形成一个可交付的运行环境，这个打包好的运行环境就似乎 image镜像文件。只有通过这个镜像文件才能生成 Docker 容器。image 文件可以看作是容器的模板。Docker 根据 image 文件生成容器的实例。同一个 image 文件，可以生成多个同时运行的容器实例。

Docker常用命令

帮助命令

• docker version
• docker info
• docker --help

镜像命令

• docker images [OPTIONS]：列出本地主机上的镜像
  • OPTIONS
    • -a :列出本地所有的镜像（含中间映像层）
    • -q :只显示镜像ID。
    • –digests :显示镜像的摘要信息
    • –no-trunc :显示完整的镜像信息
  • 选项说明
    • REPOSITORY：表示镜像的仓库源
    • TAG：镜像的标签
    • IMAGE ID：镜像ID
    • CREATED：镜像创建时间
    • SIZE：镜像大小
  • 同一仓库源可以有多个 TAG，代表这个仓库源的不同个版本，我们使用 REPOSITORY:TAG 来定义不同的镜像。
  • 如果你不指定一个镜像的版本标签，例如你只使用 ubuntu，docker 将默认使用 ubuntu:latest 镜像
• docker search [OPTIONS] 镜像名字：查找镜像
  • OPTIONS
    • –no-trunc : 显示完整的镜像描述
    • -s : 列出收藏数不小于指定值的镜像。
    • –automated : 只列出 automated build类型的镜像；
• docker pull 镜像名字[:TAG]：下载镜像
• docker rmi 镜像名字ID：删除镜像
  • docker rmi -f 镜像ID ：删除单个
  • docker rmi -f 镜像名1:TAG 镜像名2:TAG ：删除多个
  • docker rmi -f $(docker images -qa)：删除全部

容器命令

• 新建并启动容器：docker run [交互式参数OPTIONS] 要运行的镜像Image 启动的容器里执行的命令
  • 交互式参数
    • –name：容器的新名字，为容器指定一个名字
    • -d：后台运行容器，并返回容器ID，即启动守护式容器
    • -t：在新容器内指定一个伪终端或终端，与-i同时启动
    • -i：允许你对容器内的标准输入 (STDIN) 进行交互
    • -P：随机端口映射
    • -p：指定端口映射,有以下四种
      • ip:hostPort:containerPort
      • ip:containerPort
      • hostPort:containerPort
      • containerPort
  • ubuntu15.10系统的容器容器内命令
    • cat /proc/version：查看当前系统的版本信息
    • ls：当前目录下的文件列表
• 查看docker中正在运行的容器：docker ps [OPTIONS]
  • OPTIONS
    • -a：列出当前所有正在运行的容器+历史上运行过的
    • -l：显示最近创建的容器
    • -n：显示最近n个创建的容器
    • -q：静默模式，只显示容器编号
    • –no-trunc：不截断输出
• 退出容器
  • exit：容器停止退出
  • ctrl+P+Q：容器不停止退出
• 启动容器
  • docker start 容器ID或者容器名
• 重启容器
  • docker restart 容器ID或者容器名
• 停止容器
  • docker stop 容器ID或者容器名
• 强制停止容器
  • docker kill 容器ID或者容器名
• 删除已停止的容器
  • docker rm 容器ID
  • docker rm -f $(docker ps -a -q) //删除多个
  • docker ps -a -q | xargs docker rm
• 查看容器日志
  • docker logs -f -t --tail 容器ID
    • -t 是加入时间戳
    • -f 跟随最新的日志打印
    • –tail 数字 显示最后多少条
• 查看容器内运行的进程
  • docker top 容器ID
• 查看容器内部细节
  • docker inspect 容器ID
• 进入一个运行中的容器
  • docker attach 容器ID
• 进入正在运行的容器并以命令行交互
  • docker exec -it 容器ID bashShell
  • 重新进入docker attach 容器ID
  • 区别：attach 直接进入容器启动命令的终端，不会启动新的进程，exec 是在容器中打开新的终端，并且可以启动新的进程
• 从容器内拷贝文件到主机上
  • docker cp 容器ID:容器内路径 目的主机路径
• 构建容器
  • docker build -t 镜像名称 . // 后面的. 指的是当前文件夹 (其实是Dockerfile存放的文件夹)
  • docker build --rm=true -t loen/lamp . // 建立映像文件。–rm 选项是告诉Docker，在构建完成后删除临时的Container，Dockerfile的每一行指令都会创建一个临时的Container，一般这些临时生成的Container是不需要的
• 查看历史
  • docker history 镜像ID
• 导出容器
  • docker export 容器ID > xxx.tar
• 把 mynewimage 镜像保存成 tar 文件
  • docker save myimage | bzip2 -9 -c> /home/save.tar.bz2
• 加载 myimage 镜像
  • bzip2 -d -c < /home/save.tar.bz2 | docker load

Docker 镜像

• 镜像是一种轻量级、可执行的独立软件包，用来打包软件运行环境和基于运行环境开发的软件，它包含运行某个软件所需的所有内容，包括代码、运行时、库、环境变量和配置文件
• 特点：Docker镜像都是只读的，当容器启动时，一个新的可写层被加载到镜像的顶部。这一层通常被称作“容器层”，“容器层”之下的都叫“镜像层”。
• UnionFS（联合文件系统）：是一种分层、轻量级并且高性能的文件系统，它支持对文件系统的修改作为一次提交来一层层的叠加，同时可以将不同目录挂载到同一个虚拟文件系统下，Union 文件系统是 Docker 镜像的基础。镜像可以通过分层来进行继承，基于基础镜像（没有父镜像），可以制作各种具体的应用镜像。
• Docker镜像加载原理：docker的镜像实际上由一层一层的文件系统组成，这种层级的文件系统UnionFS。
  • bootfs(boot file system)主要包含bootloader和kernel, bootloader主要是引导加载kernel, Linux刚启动时会加载bootfs文件系统，在Docker镜像的最底层是bootfs。
  • rootfs (root file system) ，在bootfs之上。包含的就是典型 Linux 系统中的 /dev, /proc, /bin, /etc 等标准目录和文件。rootfs就是各种不同的操作系统发行版，比如Ubuntu，Centos等等
• 分层的镜像最大的一个好处就是 - 共享资源
• Docker镜像commit操作补充
  • docker commit提交容器副本使之成为一个新的镜像
  • docker commit -m=“提交的描述信息” -a=“作者” 容器ID 要创建的目标镜像名:[标签名]

Docker容器数据卷

• 类似我们Redis里面的rdb和aof文件，用于保存数据在docker中我们使用卷
• 卷就是目录或文件，存在于一个或多个容器中，由docker挂载到容器，但不属于联合文件系统，因此能够绕过Union File System提供一些用于持续存储或共享数据的特性
• 卷的设计目的就是数据的持久化，完全独立于容器的生存周期，因此Docker不会在容器删除时删除其挂载的数据卷
• Docker容器产生的数据，如果不通过docker commit生成新的镜像，使得数据做为镜像的一部分保存下来，那么当容器删除后，数据自然也就没有了
• 特点
  • 数据卷可在容器之间共享或重用数据
  • 卷中的更改可以直接生效
  • 数据卷中的更改不会包含在镜像的更新中
  • 数据卷的生命周期一直持续到没有容器使用它为止

数据卷

• 直接命令添加
  • docker run -it -v /宿主机绝对路径目录:/容器内目录 镜像名
  • 查看数据卷是否挂载成功：查看数据卷是否挂载成功
  • 命令(带权限)： docker run -it -v /宿主机绝对路径目录:/容器内目录:ro 镜像名
• DockerFile添加
  • 根目录下新建mydocker文件夹并进入
  • 可在Dockerfile中使用VOLUME指令来给镜像添加一个或多个数据卷
    • VOLUME[“/dataVolumeContainer”,“/dataVolumeContainer2”,“/dataVolumeContainer3”]
    • 出于可移植和分享的考虑，用-v 主机目录:容器目录这种方法不能够直接在Dockerfile中实现。由于宿主机目录是依赖于特定宿主机的，并不能够保证在所有的宿主机上都存在这样的特定目录
  • 构建File
  • build后生成镜像：获得一个新镜像zzyy/centos
  • run容器
  • 注：Docker挂载主机目录Docker访问出现cannot open directory .: Permission denied解决办法：在挂载目录后多加一个–privileged=true参数即可
• 数据卷容器
  • 命名的容器挂载数据卷，其它容器通过挂载这个(父容器)实现数据共享，挂载数据卷的容器，称之为数据卷容器
  • 容器间传递共享(–volumes-from)
    • 先启动一个父容器dc01
    • dc02/dc03继承自dc01：docker run -it --name dc02 --volumes-from dc01 zzyy/centos
    • 回到dc01可以看到02/03各自添加的都能共享了
    • 删除dc01，dc02修改后dc03可否访问
    • 删除dc02后dc03可否访问
    • 新建dc04继承dc03后再删除dc03
    • 结论：容器之间配置信息的传递，数据卷的生命周期一直持续到没有容器使用它为止

DockerFile解析

• Dockerfile是用来构建Docker镜像的构建文件，是由一系列命令和参数构成的脚本。、
• Dockerfile定义了进程需要的一切东西。Dockerfile涉及的内容包括执行代码或者是文件、环境变量、依赖包、运行时环境、动态链接库、操作系统的发行版、服务进程和内核进程(当应用进程需要和系统服务和内核进程打交道，这时需要考虑如何设计namespace的权限控制)等等
• Docker镜像，在用Dockerfile定义一个文件之后，docker build时会产生一个Docker镜像，当运行 Docker镜像时，会真正开始提供服务
• Docker容器，容器是直接提供服务的
• 步骤
  • 编写Dockerfile文件
  • docker build
  • docker run

DockerFile构建过程解析

• Dockerfile内容基础知识
  • 1：每条保留字指令都必须为大写字母且后面要跟随至少一个参数
  • 2：指令按照从上到下，顺序执行
  • 3：#表示注释
  • 4：每条指令都会创建一个新的镜像层，并对镜像进行提交
• Docker执行Dockerfile的大致流程
  • （1）docker从基础镜像运行一个容器
  • （2）执行一条指令并对容器作出修改
  • （3）执行类似docker commit的操作提交一个新的镜像层
  • （4）docker再基于刚提交的镜像运行一个新容器
  • （5）执行dockerfile中的下一条指令直到所有指令都执行完成
• 总结
  • 从应用软件的角度来看，Dockerfile、Docker镜像与Docker容器分别代表软件的三个不同阶段
    • Dockerfile是软件的原材料
    • Docker镜像是软件的交付品
    • Docker容器则可以认为是软件的运行态
  • Dockerfile面向开发，Docker镜像成为交付标准，Docker容器则涉及部署与运维，三者缺一不可，合力充当Docker体系的基石

DockerFile体系结构(保留字指令)

• FROM：基础镜像，当前新镜像是基于哪个镜像的
• MAINTAINER：镜像维护者的姓名和邮箱地址
• RUN：容器构建时需要运行的命令
• EXPOSE：当前容器对外暴露出的端口
• WORKDIR：指定在创建容器后，终端默认登陆的进来工作目录，一个落脚点
• ENV：用来在构建镜像过程中设置环境变量
• ADD：将宿主机目录下的文件拷贝进镜像且ADD命令会自动处理URL和解压tar压缩包
• COPY：类似ADD，拷贝文件和目录到镜像中。将从构建上下文目录中 <源路径> 的文件/目录复制到新的一层的镜像内的 <目标路径> 位置
• VOLUME：容器数据卷，用于数据保存和持久化工作
• CMD：指定一个容器启动时要运行的命令，Dockerfile 中可以有多个 CMD 指令，但只有最后一个生效，CMD 会被 docker run 之后的参数替换
• ENTRYPOINT ：指定一个容器启动时要运行的命令，ENTRYPOINT 的目的和 CMD 一样，都是在指定容器启动程序及参数
• ONBUILD：当构建一个被继承的Dockerfile时运行命令，父镜像在被子继承后父镜像的onbuild被触发

Docker常用安装

• 总体步骤
  • 搜索镜像，拉取镜像，查看镜像，启动镜像，停止容器，移除容器
• 安装tomcat
  • docker hub上面查找tomcat镜像：docker search tomcat
  • 从docker hub上拉取tomcat镜像到本地：docker pull tomcat
  • docker images查看是否有拉取到的tomcat
  • 使用tomcat镜像创建容器(也叫运行镜像)：docker run -it -p 8080:8080 tomcat
    • -p 主机端口:docker容器端口
    • -P 随机分配端口
    • i:交互
    • t:终端

本地镜像发布到阿里云

• 镜像的生成方法
  • 前面的DockerFile
  • 从容器创建一个新的镜像：docker commit [OPTIONS] 容器ID [REPOSITORY[:TAG]]
    • OPTIONS说明：-a :提交的镜像作者，-m :提交时的说明文字
• 本地镜像发布到阿里云流程
  • 准备本地镜像素材原型，阿里云开发者平台
  • 创建仓库镜像：修改命名空间，仓库名称
  • 将镜像推送到registry