Docker_基础、镜像、容器

一.概述

• docker:轻量级的虚拟机，在linux容器里运行的开源工具,实现的隔离机制(虚拟化的运用)

1.1 docker由来

• linux系统会有一个主进程pid=1,派生出其他进程来控制不同服务，pid三个服务可能会相互影响，期望三个不同的服务，在运行环境中实现相互不影响，不会增加服务器成本

• 延伸出能否将这三种服务分别封装起来

  • kvm虚拟化技术-----实现将三种服务封装起来，实现一个操作系统模拟多个操作系统/不同的运行时环境(插入一层用户层，将底层的内核和应用程序实现分离)
    • 虚拟化方式实现(不方便不合理会消耗大量的资源),在内核中内置kvm组件，给与应用程序一个独立的操作系统

• kvm：内核层+用户层+应用程序

• 容器技术:内核+引擎+应用程序
  内核可直接与引擎交互，进程支持，以进程的方式控制应用程序，内核中主要yum install docker工具

1.2 如何实现应用和应用的隔离

操作系统维度：通过namespaces(名称空间)实现，实现以下6个空间隔离才能实现完全隔离

名称空间：最重要的属性是隔离

容器隔离了6个名称空间

mount	文件系统，挂载点(一个文件系统内，不能重复挂载指定目录 ）
user	操作进程的用户和用户组
pid	进程编号
uts	主机名和主机域
ipc	信号量、消息队列、共享内存
net	网络设备，网络协议栈，端口

1. pid命名空间；进程隔离
2. net命名空间；管理网络接口
3. ipc命名空间: 管理访问IPC资源
4. mnt命名空间: 管理文件系统挂载点
5. uts命名空间： 隔离内核和版本标识符

1.3 docker概述

 docker:用于开发、交付和运用程序开发平台，可将应用程序与基础架构分开，可快速交付软件
 开源应用引擎
 打包方式封装应用，依赖到一个可移植的镜像中，容器之间不会有接口

1.31 总结

1. docker是基于容器技术的轻量级的虚拟化解决方案，是容器引擎
2. 把cgroup、namespace容器底层技术进行完美封装，并抽象为用户提供创建和管理的便捷界面(命令行、api等)
3. cgroup:资源管理的功能技术(操作系统内，应用分配cpu,内存)
4. namespace:名称空间

1.4 docker有哪些优势和劣势

优势

1. docker 统一了容器化技术的标准化平台
2. Docker启动快速属于秒级别，虚拟机通常需要几分钟。
3. Docker需要的资源更少，Docker在操作系统级别进行虚拟化，Docker容器和内核交互，几乎没有性能损耗，性能优于通过Hypervisor层与内核层的虚拟化。
4. Docker更轻量，它的架构可以共用一个内核与共享应用程序库，所占内存极小，同样的硬件环境，Docker运行的镜像数远多于虚拟机数量，对于系统的利用率非常高。

Docker的劣势

1. 和虚拟机相比，Docker隔离性更强，它属于进程之间的隔离，虚拟机可实现系统级别隔离。
2. Docker的安全性也更弱，Docker的租户root和宿主机的root等同，一旦容器内的用户从普通用户权限提升为root权限，它就直接具备了宿主机的root权限，进而可进行无限制的操作。

1.5 docker有什么意义- 项目

1. docker引擎统一了基础设施环境----docker环境----image-----封装一个简易的操作系统
2. docker引擎统一了程序打包(封装)方式----docker镜像------images
3. docker引擎统一了程序部署(运行)-----docker容器----基于镜像-----运行为容器(可运行的环境)
4. 实现了一次构建(image镜像)，多次使用(多种操作环境中使用）

二.docker使用场景

1. 打包应用程序简单部署

2. 前端开发好打包war/jar 包—>github gitlab私有仓库(代码仓库)---->jenkins测试(应用程序封装/构建镜像)---->运维下载，使用容器技术进行/发布

3. 打包应用程序简单部署

4. 可脱离底层硬件任意迁移(实现应用的隔离，将应用拆分并进行解耦)
   + 持续集成和持续交付(CI/CD）
   + 部署微服务
   + 提供PAAS产品(平台即服务)

三.docker引擎

c/s客户端，服务端

server端：服务器长期运行的程序

client端：程序可用来守护经常进行通信并指示操作接口

命令行界面(CLI）
客户端(docker命令)

• 通过client端控制server端工具

docker run（运行)
docker start (开启)
docker rm (删除)

四.docker架构

docker使用客户端-服务端架构
docker客户端与docker守护进程进行对话

1. docker区别于传统虚拟化，不需要虚拟硬件资源，直接使用容器引擎，速度快
2. docker client :客户端提供一个与用户交互，展示的平台+管理、控制docker服务端的工具

4.1 docker核心部分

4.1.1 镜像

Docker的镜像是创建容器的基础，类似虚拟机的快照，可以理解为一个面向 Docker 容器引擎的只读模板。
通过镜像启动一个容器，一个镜像是一个可执行的包，其中包括运行应用程序所需要的所有内容包含代码，运行时间，库、环境变量、和配置文件。

4.1.2 容器

Docker的容器是从镜像创建的运行实例，它可以被启动、停止和删除。所创建的每一个容器都是相互隔离、互不可见，以保证平台的安全性。
可以把容器看做是要给简易版的linux环境（包括root用户权限、镜像空间、用户空间和网络空间等）和运行在其中的应用程序。

4.1.3 仓库

cker仓库是用来集中保存镜像的地方，当创建了自己的镜像之后，可以使用push命令将它上传到公有仓库（Public）或者私有仓库（Private）。当下次要在另外一台机器上使用这个镜像时，只需从仓库获取。

4.2 仓库分类

1. 公共仓库-------docker hub Docker官方仓库
2. 私有仓库-------- registry harbor(上传下载方便、安全)，个人化、私有化的仓库

类似于：

yum仓库 公共仓库 本地yum仓库

Docker 的镜像、容器、日志等内容全部都默认存储在 /var/lib/docker 目录下。

总结：Docker是容器管理工具，容器由镜像创建而来，镜像从仓库中获取而来，仓库分为公有、私有。

4.2 容器和虚拟机的区别(面试题)

4.3 docker和vm解决了虚拟机什么问题

1. docker可在创建的时候可传入环境变量
2. docker解决了虚拟机的环境孤岛的问题（可自定义传参-----创建镜像/容器、启动，基于镜像启动之前)

五.docker部署和相关命令

5.1 安装依赖包

yum install -y yum-utils device-mapper-persistent-data lvm2

#yum-utils提供了yum-config-manager
#device mapper存储驱动程序需要device-mapper-persistent-data和lvm2
#Device Mapper 是Linux2.6内核中支持逻辑卷管理的通用设备映射机制，它为实现用于存储资源管理的块设备驱动提供了一个高度模块化的内核架构。

5.2 设置阿里云镜像源

yum-config-manager --add-repo https://mirrors.aliyun.com/docker-ce/linux/centos/docker-ce.repo
cd /etc/yum.repos.d/
cat docker-ce.repo

5.3 安装Docker-CE

yum install -y docker-ce
systemctl stop firewalld.service
systemctl disable firewalld.service
setenforce 0
vim /etc/selinux/config
SELINUX=disabled
systemctl start docker.service 
systemctl enable docker.service

5.3.1 配置阿里云镜像加速

1. 不配置下载速度会很慢
2. 加速地址从自己的阿里云上获取
3. 阿里云官网
4. 获取方式：登录阿里云–>控制台–>在上面搜索容器镜像服务–>左下角的镜像加速器
5. 在此页面中显示阿里云的镜像加速地址和配置方法

systemctl daemon-reload 
systemctl restart docker

5.3.2 网络优化

vim /etc/sysctl.conf
net.ipv4.ip_forward=1
sysctl -p
service network restart
sudo systemctl restart docker

5.4 基础命令

5.4.1 查看docker版本信息

docker version
docker info

5.4.2 镜像操作

1. 搜索镜像

docker search 服务名
例如：
docker search nginx

2. 下载镜像

docker pull 服务名
例如：
docker pull nginx

3. 查看镜像信息

docker images
docker inspect 镜像的ID
例如
docker images
docker inspect dd34e67e3371

4. 添加新标签(打标签)

docker tag 仓库名:原镜像名 仓库名:新镜像名
例如：
docker tag nginx:latest nginx:test
docker images
docker images | grep nginx

5.5 删除镜像

• 指定镜像ID删除的时候，要求不能有该镜像下的标签

docker rmi 镜像的ID
docker rmi 仓库名:镜像名
例如：
docker rmi f6d0b4767a6c
docker images
docker rmi nginx:test
docker images

5.6 将镜像存储到本机上，命名为nginx_latest(镜像导出)

docker save -o 存放镜像的位置 仓库名:镜像名
例如：
docker save -o /opt/nginx_latest nginx:latest

5.7 镜像导入

方法一：
docker load < 本地导出的镜像名
方法二：
docker --input 本地导出的镜像名

例如：
docker load < nginx_latest
docker load --input nginx_latest

1. 方法一
   
2. 方法2
   

5.8 上传镜像

1. 将本地的镜像上传到公有的镜像仓库,要先登陆到镜像仓库
2. 上传镜像前要修改标签，标签前面要加上Docker官网的账号名
3. 标签格式： Docker官网的账号名/仓库名:镜像名
4. 不过一般不会上传到公有仓库中，公司内部都使用私有仓库

docker push [OPTIONS] NAME[:TAG]

例如：按照下面的流程就可以上传到公有云，有兴趣的可以上传
#改标签
docker tag 仓库名:镜像名 用户名/仓库名:镜像名
#登录
docker login
Username:   #用户名
Password:   #密码

#上传
docker push 用户名/仓库名:镜像名

六 容器操作

6.1 查看容器运行状态status

• up是正在运行的
• Exited(0)是正常停止的容器
• Exited(非0)是异常停止的容器

docker ps       #查看运行中的容器
docker ps -a    #加-a 列出所有的容器，包括未运行的容器

6.2 创建容器

docker create [选项] 镜像运行的程序
-i:让容器的标准输入保持打开
-t:让Docker分配一个伪终端

例;
docker create -it nginx:latest /bin/bash

6.3 启动、停止、重启容器

docker start 容器ID:启动一个或多个已经被停止的容器
docker stop 容器ID:停止一个运行中的容器
docker restart 容器ID:重启容器
例：
docker start d2098fd972d5
docker ps -a
docker stop d2098fd972d5
docker ps -a
docker restart d2098fd972d5

6.4 运行容器

1. run喝start的作用类似，run=create+start
2. 第一次可以使用run,后面维护还是使用start/stop/restart
   开启/停止/重启

命令选项	说明
-d	后台运行容器，并返回容器ID
-i	以交互模式运行容器，通常与 -t 同时使用
-t	为容器重新分配一个伪输入终端，通常与 -i 同时使用
-c	命令表示后面的参数将会作为字符串读入作为执行的命令
-v	绑定一个卷
-P	随机端口映射，容器内部端口随机映射到主机的端口
-p	指定端口映射，格式为：主机(宿主)端口:容器端口
–name	=“名称”: 为容器指定一个名称
–link name:alias	添加链接到另一个容器，格式“–link容器名:别名”

例如：
docker run nginx
docker run -d nginx
docker run -d nginx /bin/bash -c "ls"

6.5 进入、退出容器

• 进入容器的状态一定要是运行状态

 docker exec [选项] 容器 命令
例：
docker exec -it dee708e734b4 /bin/bash
docker exec -it 41601db9c340 /bin/bash
exit//退出容器

6.6 容器的导出、导入

#容器导出
docker export 容器ID > 备份文件名

#容器导入(会生成镜像，而不会创建容器)
cat 备份文件名 | docker import - 仓库名:镜像名

例如：
docker export dee708e734b4 > nginx_up
docker export 41601db9c340 > nginx_exited

cat nginx_up | docker import - nginx:web

6.7 删除容器

docker rm 容器ID
例如：
docker rm 045f4a1bab0b

//删除未运行的容器
docker rm e3035dfe95a7

//批量删除容器
docker ps -a | awk '{print "docker rm "$1}' | bash

八 总结

本章讲解了docker的三大组件和工作底层原理，以及docker的部署安装，和镜像、容器的相关命令操作

8.1 Docker三大组件

• 镜像：模板；组资源集合，包含了应用程序软件包、应用程序相关的依赖包、运行应用程序所需要的基础环境(泛指操作系统环境)，可以理解为容器的模板
• 容器(Docker container)：基于镜像的一种运行时状态
• 仓库（Docker reqistry）：存放image镜像模板；
• 仓库分类:
  1、公共仓库一》docker hub，2、私有仓库registry harbor

8.2 Docker底层原理

1. 名称空间( Namespaces)：提供容器的隔离工作区的技术
2. 容器完美的实现了6个名称空问隔离(namespace资源隔离-用容器化技术封装)
   mount：文件系统，挂载点
   user：操作进程的用户和用户组
   pid：进程编号
   uts：主机名和主机域
   ipc：信号量、消息队列，共享内存(理解，不同的应用调用的时候应该使用不同的内存空间)
   net：网络设备、网络协议栈、端口等
3. 控制组(Control groups):资源管理功能,将应用程序限制为一组特定的资源
4. 控制组允许Docker Engine将可用的硬件资源共享给容器，并有选择地实施限制和约束

docker:轻量级的虚拟机，在linux容器里运行的开源工具

8.3 使用docker有什么意义

1. 引擎统一了基础设施环境—docker环境----image----封装一个简易的操作系统

2. 引擎统一程序打包(封装)方式----docker镜像----images

3. 引擎统一程序部署(运行)方式—docker容器----基于镜像—运行为容器(可运行的环境)

4. 实现一次构建、多次、多次使用

5. 容器操作

-i:让容器的标准输入保持打开
-t：分配一个伪终端
-d：后台守护进程打开