Docker 是一个开源的应用容器引擎,基于 Go 语言开发 遵从 Apache 2.0 协议开源。
Docker 可以让用户打包应用以及依赖到一个轻量级、可移植的容器中,然后发布到任何流行的 Linux 机器上,也可以实现虚拟化。Docker 是一个横跨 IaaS 和 PaaS 层的项目。
Docker 起源于 2010 年创业的一家叫作 dotCloud 的美国公司,dotCloud 早期是基于LXC技术的 PaaS 平台,它的理念是提供跨底层 IaaS 云、支持多种开发语言的开发云平台。但随着越来越多的公有云服务商进入,dotCloud 的理念很难依靠一家公司专有的技术实现。于是 dotCloud 的创始人在 LXC 的基础上,对容器技术进行了简化和标准化,命名为 Docker。
2013年3月,因 PaaS 市场发展缓慢,创始人 Solomon Hykes 决定放手一搏,将 Docker 项目开源同时推出了开放容器项目(OCP),Docker 和 Docker 开源社区随后迅速火起来。
2013 年 10 月 29 日,dotCloud 公司更名为 Docker 公司。目前,Docker已经成为发展最快的容器技术。
Docker 将软件所需的依赖及程序本体构建为一个独立镜像,可以在任何部署了 Docker 的 Linux 服务器上运行,减轻了运维人员的部署难度及跨系统的依赖问题。
容器与虚拟化
容器与虚拟化不同,容器使用完全沙箱机制,容器与容器相互之间不会有任何影响,更重要的是容器的性能开销极低。简单可以理解为容器是在隔离的环境运行的一个进程,如果进程被停止,容器就会销毁。
而虚拟化则需要一定的硬件支持,比如 KVM 虚拟化只能基于 Linux 内核(对版本有一定要求)进行虚拟化。并且虚拟化是完整虚拟化,会虚拟化出完整的一套系统,因此启动虚拟机需要走一遍完整的系统启动流程,消耗的时间比较久(相对于容器来说)。
容器的特性
- 容器与宿主机使用同一个内核,性能损耗小;
- 容器不需要指令级模拟;
- 容器可在CPU核心的本地运行指令,无需专门的解释机制;
- 避免了准虚拟化和系统调用替换中的复杂性;
- 轻量级隔离,在隔离的同时还提供共享机制,以实现容器与宿主机的资源共享。
容器的发展
- 1979年 — Chroot
UNIX Chroot(change root,切换根目录)这项功能将Root目录及其它子目录变更至文件系统内的新位置,且只接受特定进程的访问,即可构建一个简易的子系统。其设计目的在于为每个进程提供一套隔离化磁盘空间。1982 年其被添加至BSD。
- 2000年 — FreeBSD Jails
FreeBSD Jails 与 Chroot 的定位类似,不过其中包含有进程沙箱机制以对文件系统、用户及网络等资源进行隔离。通过这种方式,它能够为每个 Jail、定制化软件安装包乃至配置方案等提供一个对应的IP地址。Jails 技术为 FreeBSD 系统提供了一种简单的安全隔离机制。它的不足在于这种简单性的隔离也同时会影响 Jails 中应用访问系统资源的灵活性。
- 2004年 — Solaris Zones
Solaris Zone 技术为应用程序创建了虚拟的一层,让应用在隔离的 Zone (空间)中运行,并实现有效的资源管理。每一个 Zone 拥有自己的文件系统,进程空间,防火墙,网络配置等。Solaris Zone 技术真正的引入了容器资源管理的概念。在应用部署的时候为 Zone 配置一定的资源,在运行中可以根据 Zone 的负载动态修改这个资源限制并且是实时生效的,在其他Zone不需要资源的时候,资源会自动切换给需要的资源的Zone,这种切换是即时的不需要人工干预的,最大化资源的利用率,在必要的情况下,也可以为单个 Zone 隔离一定的资源。
- 2008年 — LXC
LXC (Linux Containers,Linux 容器),其通过 cgroups 以及 Linux Namespaces 实现。也是第一套完整的 Linux 容器管理实现方案。在 LXC 出现之前,Linux 上已经有了类似 Linux-Vserver 、OpenVZ 和 FreeVPS。虽然这些技术都已经成熟,但是这些解决方案还没有将容器支持集成到主流 Linux 内核。相较于其它容器技术,LXC 能够在无需任何额外补丁的前提下运行在原版 Linux 内核之上。目前 LXC 项目由 Canonical 有限公司负责赞助及托管。
- 2013年 — Docker
Docker 项目最初是由一家名为 DotCloud 的平台即服务厂商所打造,其后该公司更名为Docker。Docker在起步阶段使用 LXC,而后利用自己的 Libcontainer 库将其替换下来。与其它容器平台不同,Docker引入了一整套与容器管理相关的生态系统。其中包括一套高效的分层式容器镜像模型、一套全局及本地容器注册表、一个精简化REST API以及一套命令行界面等等。
Docker 入门
安装 Docker
本文环境为 CentOS 7 ,部署 Docker 需要先安装 EPEL 源。
# yum install epel-release -y从清华源获取 REPO 文件
# wget -O /etc/yum.repos.d/docker-ce.repo https://mirrors.ustc.edu.cn/docker-ce/linux/centos/docker-ce.repo替换源地址为国内源(大陆使用可提速及提高稳定性)
# sed -i 's#download.docker.com#mirrors.tuna.tsinghua.edu.cn/docker-ce#g' /etc/yum.repos.d/docker-ce.repo安装 Docker CE (社区版)
# yum install docker-ce -y优化镜像拉取地址
# cat >> /etc/docker/daemon.json <<'EOF'
{
"registry-mirrors": ["https://registry.docker-cn.com"]
}
EOF官方部署方法
此部分教程为额外内容,若主机是国外主机,请使用此方式部署,国内主机对此源的连通性较差,推荐使用上方的国内源进行部署。
配置依赖
$ sudo yum install -y yum-utils \
device-mapper-persistent-data \
lvm2添加仓库
$ sudo yum-config-manager \
--add-repo \
https://download.docker.com/linux/centos/docker-ce.repo其他选项
test 为测试分支,edge 为先锋分支(最新特性)。
$ sudo yum-config-manager --enable docker-ce-edge
$ sudo yum-config-manager --enable docker-ce-test安装社区版
$ sudo yum install docker-ce小贴士:仅推荐开发及测试环境使用 edge 及 test 分支。
Docker 命令
执行 docker 命令前需要将 docker 启动,否则会报错,因为 docker 也是一个标准的 C/S 架构。
# systemctl enable docker
# systemctl start docker基础命令
检查 Docker 版本信息,会列出引擎的详细信息。
[root@docker01 ~]# docker version
Client:
Version: 18.09.0
API version: 1.39
Go version: go1.10.4
Git commit: 4d60db4
Built: Wed Nov 7 00:48:22 2018
OS/Arch: linux/amd64
Experimental: false
Server: Docker Engine - Community
Engine:
Version: 18.09.0
API version: 1.39 (minimum version 1.12)
Go version: go1.10.4
Git commit: 4d60db4
Built: Wed Nov 7 00:19:08 2018
OS/Arch: linux/amd64
Experimental: false检查 Docker 信息
[root@docker01 ~]# docker info
Containers: 0
Running: 0
Paused: 0
Stopped: 0
Images: 4
Server Version: 18.09.0
Storage Driver: overlay2
Backing Filesystem: xfs
Supports d_type: true
Native Overlay Diff: true
Logging Driver: json-file
Cgroup Driver: cgroupfs
Plugins:
Volume: local
Network: bridge host macvlan null overlay
Log: awslogs fluentd gcplogs gelf journald json-file local logentries splunk syslog
Swarm: inactive
Runtimes: runc
Default Runtime: runc
Init Binary: docker-init
containerd version: c4446665cb9c30056f4998ed953e6d4ff22c7c39
runc version: 4fc53a81fb7c994640722ac585fa9ca548971871
init version: fec3683
Security Options:
seccomp
Profile: default
Kernel Version: 3.10.0-862.14.4.el7.x86_64
Operating System: CentOS Linux 7 (Core)
OSType: linux
Architecture: x86_64
CPUs: 1
Total Memory: 1.936GiB
Name: docker01
ID: NIDN:RIAL:XLUR:DUQP:FQSQ:BNBI:KHXJ:5ELK:3DA6:NHN4:2AZC:66AI
Docker Root Dir: /var/lib/docker
Debug Mode (client): false
Debug Mode (server): false
Registry: https://index.docker.io/v1/
Labels:
Experimental: false
Insecure Registries:
127.0.0.0/8
Live Restore Enabled: false
Product License: Community Engine小贴士:此命令会展示出 docker 详细的信息,包括镜像数量及启动的容器信息等,因此一般用于监控使用。
镜像相关命令
# docker image search 检索镜像
# docker image pull 拉取镜像
# docker image ls 镜像列表
# docker image save 导出镜像
# docker image load 导入镜像
# docker image rm 删除镜像
# docker image inspect 镜像信息
# docker image build 构建镜像容器相关命令
# docker container run 运行容器
# docker container ps 容器列表
# docker container exec 进入容器
# docker container stop 停止容器
# docker container kill 杀死容器
# docker container start 启动容器
# docker container rm 删除容器
# docker container inspect 容器信息
# docker container update 更新容器Docker 实例
拉取一个镜像
# docker image pull centos:6.9使用此命令即可从仓库拉取某个版本的 centos 镜像,若省略冒号及后面的版本号则默认拉取最新版 latest 。
拉取一个 NGINX 镜像
# docker image pull nginx启动第一个容器
# docker run -d -p 80:80 nginx小贴士:-d放在后台-p端口映射,冒号分割外部内部端口,最后指定镜像的名。
容器的镜像管理
# docker search IMAGE_NAME小贴士:IMAGE_NAME 替换为需要搜索的镜像名,选择镜像的原则,有官方优先官方,其次考虑星星(点赞)多的。
已存在的镜像列表
# docker image list或者可以使用(推荐)
# docker images删除已存在的镜像
# docker image rm或者可以使用(推荐)
# docker rmi导出本地的镜像
# docker image save centos > docker_centos.tar.gz小贴士:docker image save 可以简写为 docker save
导入本地镜像
# docker image load -i docker_centos.tar.gz容器运行参数
# docker container run -it --name centos6 centos:6.9 /bin/bash小贴士:-it分配交互式终端,--name指定容器名字,/bin/bash指定命令解析器覆盖初始命令,部分镜像的基础镜像为精简镜像,因此请使用/bin/sh。
docker run 命令等同于创建容器实例并启动(docker create + docker start)
停止容器
# docker container stop CONTAINER_ID杀死容器(强制)
# docker container kill CONTAINER_ID容器列表
# docker container ps小贴士:在此容器系列的命令中,中间的 container 可以省略,之后的全部命令会默认省略 container。此命令仅会显示存活的容器,添加-a参数即可显示全部的容器(包括已经退出的容器)。即:
# docker ps -a小贴士:其他有实际作用的参数还有 -q 仅显示容器 ID。进入容器(大部分情况下为了排错)
# docker exec -it CONTAINER_ID /bin/bash小贴士:使用 -it 分配交互式终端,CONTAINER_ID 可以使用 ID 或者 NAME,最后指定命令解释器。# docker attach CONTAINER_ID小贴士:此命令会共享同一个终端,因此不推荐使用。
注意:进入容器后不可使用 CTRL+D 退出或者输入 exit 命令进行退出,会导致容器退出,请使用 CTRL+P+Q 进行容器挂起。
删除容器
# docker rm -f CONTAINER_ID小贴士:-f参数为force为强制删除,可以移除失去响应的容器。
删除全部容器
# docker rm -f `docker ps -a -q`总结:容器内的第一个进程必须一直处于前台运行的状态(必须 HANG 住),否则这个容器执行完毕命令就会处于退出状态(瞬间完成并退出)!
容器的网络访问
# docker container run -d -p 80:80 nginx小贴士:容器的网络是建立在容器内部的,类似于沙箱,因此容器想对外开放端口需要对外进行映射,映射使用的是NAT(iptables)方式,-P为随机映射。
容器的数据卷管理
# docker container run -d -p 80:80 -v /opt/html:/var/www/html nginx数据卷(文件或目录)
-v /data
-v src(宿主机的目录):dst(容器的目录)数据卷容器
--volumes-from将容器保存为本地镜像
# docker commit CONTAINER_ID/CONTAINER_NAME CONTAINER_NEW_NAME[:VERSION]更新容器设置
# docker update --restart=always CONTAINER_ID小贴士:若建立容器时忘记添加参数可以使用此种方式进行更新。
例子
1)基于容器制作镜像
# docker run -it centos:6.92)进入容器进行操作
yum install httpd
yum install openssh-server
/etc/init.d/sshd start
cat >> init.sh <<'EOF'
#!/bin/bash
/etc/init.d/httpd start
/usr/sbin/sshd -D
EOF
chmod +x /init.sh3)查看容器的ID
# docker container ls -a4)将容器提交为镜像
# docker commit CONTAINER_ID centos6-ssh-httpd:v15)测试镜像功能
扩展
说到 SystemD ,这个套件已经成为主流 Linux 发行版(比如 CentOS 7、Ubuntu 14+)默认的服务管理,取代了传统的 SystemV 服务管理。SystemD 维护系统服务程序,它需要特权去会访问 Linux 内核。而容器并不是一个完整的操作系统,只有一个文件系统,而且默认启动只是普通用户这样的权限访问 Linux 内核,也就是没有特权,所以自然就用不了!
因此,请遵守容器设计原则,一个容器里运行一个前台服务!
以特权模式运行容器即可解决此问题。
创建容器:
# docker run -d -name centos7 --privileged=true centos /usr/sbin/init进入容器:
# docker exec -it centos /bin/bash即可使用 systemD 启动服务
# yum install chrony
# systemctl start chronydDocker 构建镜像
Dockerfile 主要组成部分:
FROM:centos:6.9 基础镜像信息
RUN yum install openssh-server -y 镜像操作指令
CMD ["/bin/bash"] 容器启动执行指令Dockerfile 常用指令:
FROM 指定基础镜像
MAINTAINER 指定维护者信息,可选
RUN 在命令前面加上RUN即可
ADD COPY文件,会自动解压
WORKDIR 设置当前工作目录
VOLUME 设置卷,挂载主机目录
EXPOSE 指定对外的端口(-P 随机端口)
CMD 指定容器启动后的要干的事情(可被替换)Dockerfile 其他指令:
COPY 复制文件
ENV 环境变量
ENTRYPOINT 容器启动后执行的命令(无法被替换,启容器的时候指定的命令,会被当成参数)Docker 镜像层级
容器的镜像并不是一个单纯的文件而是一个多层覆盖后的层级文件,如图例所示。
Docker 自建镜像仓库
因此众所周知的原因,官方的仓库在中国大陆下载速度很慢甚至可能失败。并且企业及个人可能有打包完的自建镜像,因此需要自建仓库进行托管,不仅可以提高下载速度还能给企业或个人提供一个私人仓库。
搭建普通的仓库(无验证)
启动一个名为 registry 镜像
# docker run -d -p 5000:5000 --restart=always --name registry -v /opt/myregistry:/var/lib/registry registry# docker pull busybox10.0.0.11:5000/centos6-sshd:v3
# vi /etc/docker/daemon.json
{
"registry-mirrors": ["https://registry.docker-cn.com"],
"insecure-registries": ["10.0.0.11:5000"]
}
# systemctl restart docker
docker push 10.0.0.11:5000/centos6-sshd:v3带认证的仓库
# yum install httpd-tools -y
# mkdir /opt/registry-var/auth/ -p
# htpasswd -Bbn kane material >> /opt/registry-var/auth/htpasswd
# docker run -d -p 5000:5000 --restart=always --name registry -v /opt/registry-var/auth/:/auth/ -v /opt/myregistry:/var/lib/registry -e "REGISTRY_AUTH=htpasswd" -e "REGISTRY_AUTH_HTPASSWD_REALM=Registry Realm" -e REGISTRY_AUTH_HTPASSWD_PATH=/auth/htpasswd registry 
Docker 自建镜像仓库
因此众所周知的原因,官方的仓库在中国大陆下载速度很慢甚至可能失败。并且企业及个人可能有打包完的自建镜像,因此需要自建仓库进行托管,不仅可以提高下载速度还能给企业或个人提供一个私人仓库。
搭建普通的仓库(无验证)
启动一个名为 registry 镜像
# docker run -d -p 5000:5000 --restart=always --name registry -v /opt/myregistry:/var/lib/registry registry# docker pull busybox10.0.0.11:5000/centos6-sshd:v3
# vi /etc/docker/daemon.json
{
"registry-mirrors": ["https://registry.docker-cn.com"],
"insecure-registries": ["10.0.0.11:5000"]
}
# systemctl restart docker
docker push 10.0.0.11:5000/centos6-sshd:v3带认证的仓库
# yum install httpd-tools -y
# mkdir /opt/registry-var/auth/ -p
# htpasswd -Bbn kane material >> /opt/registry-var/auth/htpasswd
# docker run -d -p 5000:5000 --restart=always --name registry -v /opt/registry-var/auth/:/auth/ -v /opt/myregistry:/var/lib/registry -e "REGISTRY_AUTH=htpasswd" -e "REGISTRY_AUTH_HTPASSWD_REALM=Registry Realm" -e REGISTRY_AUTH_HTPASSWD_PATH=/auth/htpasswd registry 
Docker 自建镜像仓库
因此众所周知的原因,官方的仓库在中国大陆下载速度很慢甚至可能失败。并且企业及个人可能有打包完的自建镜像,因此需要自建仓库进行托管,不仅可以提高下载速度还能给企业或个人提供一个私人仓库。
搭建普通的仓库(无验证)
启动一个名为 registry 镜像
# docker run -d -p 5000:5000 --restart=always --name registry -v /opt/myregistry:/var/lib/registry registry# docker pull busybox10.0.0.11:5000/centos6-sshd:v3
# vi /etc/docker/daemon.json
{
"registry-mirrors": ["https://registry.docker-cn.com"],
"insecure-registries": ["10.0.0.11:5000"]
}
# systemctl restart docker
docker push 10.0.0.11:5000/centos6-sshd:v3带认证的仓库
# yum install httpd-tools -y
# mkdir /opt/registry-var/auth/ -p
# htpasswd -Bbn kane material >> /opt/registry-var/auth/htpasswd
# docker run -d -p 5000:5000 --restart=always --name registry -v /opt/registry-var/auth/:/auth/ -v /opt/myregistry:/var/lib/registry -e "REGISTRY_AUTH=htpasswd" -e "REGISTRY_AUTH_HTPASSWD_REALM=Registry Realm" -e REGISTRY_AUTH_HTPASSWD_PATH=/auth/htpasswd registry
参考链接
本文由 柒 创作,采用 知识共享署名4.0
国际许可协议进行许可。
转载本站文章前请注明出处,文章作者保留所有权限。
最后编辑时间: 2018-11-13 10:02 AM