Docker 官网 :https://www.docker.com/ Docker Hub:https://registry.hub.docker.com/search?q=kali
Docker 容器超详细说明:https://www.linuxidc.com/Linux/2018-08/153712.htm
Docker Compose:https://www.runoob.com/docker/docker-compose.html
菜鸟教程 — Docker 教程:http://www.runoob.com/docker/docker-tutorial.html
W3schoolDocker教程:https://www.w3cschool.cn/docker/
Docker教程:Docker入门实践(精讲版):http://c.biancheng.net/docker/
github地址:https://github.com/yeasy/docker_practice
一、Docker 简介
Docker 基于开源的应用容器引擎 Go 语言 并遵从 Apache2.0 协议开源。 Docker 开发人员可以将其应用程序打包并依赖于轻量级、可移植的容器,然后发布到任何流行的容器中 Linux 虚拟化也可以在机器上实现。 容器完全使用沙箱机制,彼此之间没有接口(类似) iPhone 的 app),更重要的是容器性能开销极低。 Docker 从 17.03 版本后分为 CE(Community Edition: 社区版) 和 EE(Enterprise Edition: 企业版)
docker容器可以理解为在沙箱中运行的过程。该沙箱包括文件系统、系统类库、shell 环境等等。但默认情况下,沙箱不会运行任何程序。您需要在沙箱中操作一个过程来启动容器。这个过程是容器的唯一过程,所以当过程结束时,容器将完全停止。
Docker 引擎
Docker 引擎是一个 c/s 主要组件如下图所示:
- 一直在运行的后台守护过程(dockerd)。
- 通过应用程序REST API通信后台流程,执行相应的指令。 client 和server 互动协议
- 客户端是命令行接口(docker)。CLI 管理容器和镜像,为用户提供统一的操作界面
Docker CLI Client 通过脚本或 CLI 命令 通过 REST API 与 Docker Server 守护过程交互。Docker Server 负责创建和管理 Docker 对象,如 images,containers,networks 和 volumes。
Docker 构架
Docker 使用 C/S 架构,Client 通过接口与 Server 工艺通信的构建、运行和发布。client 和 server 跨主机可在同一系统或不同机器上运行远程通信。
- :Docker client 是 Docker 用户与 Docker 交互的主要方式。当用户执行docker run 当命令发出时,客户端会发送这些命令 dockerd,dockerd 执行这些命令。docker 的命令通过 Docker API 发送给 dockerd。Docker client 可与多个守护过程进行通信。
- :Docker 守护进程(dockerd)监听 Docker API 请求和管理 Docker 对象,如 images,containers,networks 和 volumes。Docker 守护过程也将与其他守护过程通信进行管理 Docker 服务。
- :使用 Docker 它将被创建和使用 images、containers、networks、volumes、plugins 等对象,
核心概念 ( image、container、仓库)
Docker 镜像 - Docker images、Docker 仓库 - Docker registeries、Docker 容器 - Docker containers
Docker 包括三个基本概念:
- :Docker 镜像(Image),相当于一个 root 比如官方镜像系统。 ubuntu:16.04 包含完整的一套 Ubuntu16.04 最小系统的 root 文件系统。
- :镜像(Image)和容器(Container)面向对象程序设计中的关系就像 类和实例 同样,镜像是静态定义,容器是镜像运行过程中的实体。容器是镜像创建的运行实例,可以创建、启动、停止、删除、暂停等。
- :仓库可视为保存镜像的代码控制中心。仓库分为公开仓库(Public)和私有仓库(Private)两种形式。最大的公开仓库是 Docker Hub,为用户下载存储大量镜像。国内公开仓库包括 时速云 、网易云 可为大陆用户提供更稳定、更快速的访问。当然,用户也可以在本地网络中创建私人仓库。当用户创建自己的镜像时,他们可以使用它 push 命令将其上传到公共或私人仓库,以便下次在另一台机器上使用此镜像时,只需从仓库上 pull 下来就行了。Docke r默认情况下去 Docker Hub 在里面找镜像。
镜像(IMAGES)
Docker 镜像(Image)它是用来创建只读模板的模板 Docker 容器。通常,一个镜像是基于另一个镜像,并且有一些额外的自定义内容。例如,你可以建立一个基础ubuntu镜像,但需要安装Apache Web Server以及应用程序运行所需的详细配置信息。
- :镜像可以由他人创建并推送到镜像仓库。
- :,它包含一些简单的语法来定义构建镜像和操作镜像的步骤。Dockerfile 镜像中会创建一层指令。Dockerfile 重建时,只有修改后的层才会重建。与其他虚拟化技术相比,这是镜像如此轻、小、快速的原因之一。
每个镜像由一系列层组成 (layers) 组成。Docker 使用 UnionFS 将这些层结合到单独的镜像中。UnionFS 允许独立文件系统中的文件和文件夹(称为分支)被透明覆盖,形成单独连贯的文件系统。由于这些层的存在,Docker 这么轻。当你改变了一个 Docker 镜像,比如升级到某个程序到新的版本,一个新的层会被创建。因此,不需要更换整个原始镜像或重建(你可能在使用虚拟机时这样做),只是一个新的 添加或升级层。现在你不需要重新发布整个镜像,只需要升级,来分发 Docker 镜像变得简单快捷。
操作态容器被定义为一个统一的可读写文件系统,加上隔离过程空间和包含过程。下图显示了操作中的容器。
容器(CONTAINERS)
容器是镜像运行的例子,Docker 利用容器(Container)来运行应用。可以通过 Docker CLI命令创建、启动、停止和删除容器。容器是从镜像中创建的的运行实例。它可以被启动、开始、停止、删除。每个容器都是相互隔离的、保证安全的平台。可以把容器看做是一个简易版的 Linux 环境(包括root用户权限、进程空间、用户空间和网络空间等)和运行在其中的应用程序。容器的定义和镜像几乎一模一样。
以 docker run 这个命令为例:
下面的命令运行一个 ubuntu 的容器,以交互的方式连接到容器里的本地命令行会话,并运行/bin/bash。命令:
假设使用的是默认的镜像仓库配置,执行这个命令的步骤是:
- 1、如果本地没有 ubuntu 镜像,Docker 会从镜像仓库拉取这个镜像,和手动执行 docker pull ubuntu 命令一样。
- 2、Docker 创建了一个新的容器,和手动执行 docker container create 命令一样。
- 3、Docker 为容器分配一个读写文件系统,作为容器的最后一层。这就允许正在运行的容器在本地文件系统中创建和修改文件和目录。
- 4、Docker 创建一个网络接口,因为没有指定任何网络选项,比如为容器分配IP地址等,所以容器会连接到默认网络。默认容器可以使用主机网络连接到外部网络。
- 5、Docker 启动容器并且执行 /bin/bash。由于容器是以交互方式执行并连接到本地终端(-i -t参数),你可以使用本地的键盘输入信息以及在本地终端上看到日志。
- 6、当输入exit 终止 /bin/bash 命令时,容器停止但不会被删除。
服务(SERVICES)
服务是可以跨多个 Docker 守护进程扩展容器,服务允许定义预期的状态,比如任意时刻服务副本的数量。默认情况下,服务的负载是通过集群node节点来做的,对消费者来说,Docker 服务表现出来的就是一个单独的应用。
Docker 是用 GO 语言编写的,利用了 的一些特性来提供功能。
Docker 利用了命名空间的技术来为容器提供独立的工作区域。当运行容器时,Docker会为这个容器创建一组命名空间。这些命名空间提供了一个隔离层,容器的每个方面都在一个单独的命名空间中运行并且其访问权限仅限于该命名空间。
Docker 引擎使用如下的命名空间:
- 1、pid 命名空间:进程隔离(PID:Process ID)
- 2、net 命名空间:管理网络接口(NET:Networking)
- 3、ipc 命名空间:管理对IPC资源的访问(IPC:InterProcess Communication)
- 4、mnt 命名空间:管理文件挂载点(MNT:Mount)
- 5、uts 命名空间:隔离内核和版本标识符(UTS:Unix Timesharing System)
:不同用户的进程就是通过 pid namespace 隔离开的,且不同 namespace 中可以有相同 PID。( 参考文档:Introduction to Linux namespaces – Part 3: PID ) 具有以下特征:
- 每个 namespace 中的 pid 是有自己的 pid=1 的进程(类似 /sbin/init 进程)
- 每个 namespace 中的进程只能影响自己的同一个 namespace 或子 namespace 中的进程
- 因为 /proc 包含正在运行的进程,因此在 container 中的 pseudo-filesystem 的 /proc 目录只能看到自己 namespace 中的进程
- 因为 namespace 允许嵌套,父 namespace 可以影响子 namespace 的进程,所以子 namespace 的进程可以在父 namespace 中看到,但是具有不同的 pid
:类似 chroot,将一个进程放到一个特定的目录执行。mnt namespace 允许不同 namespace 的进程看到的文件结构不同,这样每个 namespace 中的进程所看到的文件目录就被隔离开了。同 chroot 不同,每个 namespace 中的 container 在 /proc/mounts 的信息只包含所在 namespace 的 mount point。
:网络隔离是通过 net namespace 实现的, 每个 net namespace 有独立的 network devices, IP addresses, IP routing tables, /proc/net 目录。这样每个 container 的网络就能隔离开来。 docker 默认采用 veth 的方式将 container 中的虚拟网卡同 host 上的一个 docker bridge 连接在一起。参考文档:Introduction to Linux namespaces – Part 5: NET
UTS ("UNIX Time-sharing System") namespace 允许每个 container 拥有独立的 hostname 和 domain name, 使其在网络上可以被视作一个独立的节点而非 Host 上的一个进程。参考文档:Introduction to Linux namespaces – Part 1: UTS
:container 中进程交互还是采用 Linux 常见的进程间交互方法 (interprocess communication - IPC), 包括常见的信号量、消息队列和共享内存。然而同 VM 不同,container 的进程间交互实际上还是 host 上具有相同 pid namespace 中的进程间交互,因此需要在IPC资源申请时加入 namespace 信息 - 每个 IPC 资源有一个唯一的 32bit ID。参考文档:Introduction to Linux namespaces – Part 2: IPC
:每个 container 可以有不同的 user 和 group id, 也就是说可以以 container 内部的用户在 container 内部执行程序而非 Host 上的用户。
有了以上 6 种 namespace 从进程、网络、IPC、文件系统、UTS 和用户角度的隔离,一个 container 就可以对外展现出一个独立计算机的能力,并且不同 container 从 OS 层面实现了隔离。 然而不同 namespace 之间资源还是相互竞争的,仍然需要类似 ulimit 来管理每个 container 所能使用的资源 - cgroup。
Reference
- Docker Getting Start: Related Knowledge
- Docker 介绍以及其相关术语、底层原理和技术
Docker 引擎还依赖于另一种称为控制组(cgroup)的技术。cgroup将应用程序限制为特定的资源集。控制组允许Docker引擎将可用的硬件资源共享给容器,并实施限制和约束。例如,限制特定容器的可用内存。
联合文件系统(UnionFS),是通过创建层来操作的文件系统,使得非常轻量级和快速。Docker引擎使用为容器提供构建块。Docker引擎可以使用多个UnionFS变体,包括AUFS、btrfs、vfs和DeviceMapper。
Docker引擎将命名空间、控制组和UnionFS组合成一个容器格式的包装器,默认的容器格式是libcontainer。
二、Docker 安装、使用
docker 的相关安装方法这里不作介绍,具体安装参考 https://docs.docker.com/installation/
菜鸟教程 Docker 安装:https://www.runoob.com/docker/ubuntu-docker-install.html
sudo apt-get update sudo apt-get install docker sudo apt install docker.io
安装成后,记得更换国内的 docker 镜像源
获取当前 docker 版本
$ sudo docker version
Client version: 1.3.2
Client API version: 1.15
Go version (client): go1.3.3
Git commit (client): 39fa2fa/1.3.2
OS/Arch (client): linux/amd64
Server version: 1.3.2
Server API version: 1.15
Go version (server): go1.3.3
Git commit (server): 39fa2fa/1.3.2安装完成后,就开始使用了。开始之前先看一张图,现在看不懂没关系。
Image 文件
Docker 把应用程序及其依赖打包在一个 image 文件里面,可以理解为一个容器的说明书。通过这个image文件可以生成容器的实例。同一个image文件可以生成同时运行的多个实例。
image 文件是一个二进制文件,实际上,一个 image 文件往往继承自另外一个 image 文件,加上一些个性化设置而成。举例来说:你可以在 ubuntu 的 image 基础上加上 Apache 服务器,形成你自己的 image。
# 列出本机的所有 image 文件。
$ docker image ls
# 删除 image 文件
$ docker image rm [imageName]image 文件是通用的,一台机器上的 image 文件拷贝到另一台机器上,照样可以使用。一般是使用别人制作好的 image 文件,即使要定制也可以对已有的 image 文件进行加工,而不是从头制作,这样可以节省很多时间。为了方便,image 制作完成后,可以上传到网上的仓库,Docker 的官方仓库 ( https://hub.docker.com/ ) 是最重要、最常用的 image 仓库。此外,出售自己制作的 image 文件也是可以的。
实例: Hello world
下面,我们通过最简单的 image 文件 https://hub.docker.com/r/library/hello-world/,感受一下 Docker。首先,运行下面的命令,将 image 文件从仓库抓取到本地。
$ docker image pull library/hello-world上面的代码中,docker image pull 是 抓取(拉取) image 文件的命令,library/hello-world 是 image 文件在仓库里面的位置,其中 library是 image 文件所在的组,hello-world 是 image 文件的名字。由于 Docker 官方提供的文件都放在 library 组 里面,所以他是默认组,可以省略。因此上面的命令可以写成下面这样:
$ docker image pull hello-world抓取成功后就可以看到本地的 image 文件了
ig:~ itguang$ docker image ls
REPOSITORY TAG IMAGE ID CREATED SIZE
hello-world latest e38bc07ac18e 3 weeks ago 1.85kB现在运行这个image文件,可以看到如些输出:
ig:~ itguang$ docker container run hello-world
Hello from Docker!
This message shows that your installation appears to be working correctly.
To generate this message, Docker took the following steps:
1. The Docker client contacted the Docker daemon.
2. The Docker daemon pulled the "hello-world" image from the Docker Hub.
(amd64)
3. The Docker daemon created a new container from that image which runs the
executable that produces the output you are currently reading.
4. The Docker daemon streamed that output to the Docker client, which sent it
to your terminal.
To try something more ambitious, you can run an Ubuntu container with:
$ docker run -it ubuntu bash
Share images, automate workflows, and more with a free Docker ID:
https://hub.docker.com/
For more examples and ideas, visit:
https://docs.docker.com/engine/userguide/docker container run 会从一个镜像文件中生成一个容器实例,并且运行它。注意,docker container run 命令具有自动抓取 image 文件的功能。如果发现本地没有指定的 image 文件,就会从仓库自动抓取。因此,前面的 docker image pull命令并不是必需的步骤。
待上面那段提示输出后,hello-world 就会停止运行,容器就会终止。
有些容器不会终止,因为提供的是服务,比如安装 unbuntu 的 image,就可以在命令行体验unbutu系 统。
对于那些不会自动终止的容器,必须使用 docker container kill [container_id] 来终止。我们可以新打开一个终端窗口:
ig:~ itguang$ docker container ls # 查看当前运行容器
CONTAINER ID IMAGE COMMAND CREATED STATUS PORTS NAMES
649a6b785a86 ubuntu "bash" 3 seconds ago Up 4 seconds loving_austin
ig:~ itguang$ docker container kill 649a6b785a86 # 杀死某个容器
649a6b785a86
ig:~ itguang$ docker container ls 再次查看
CONTAINER ID IMAGE COMMAND CREATED STATUS PORTS NAMES
ig:~ itguang$container 容器文件
也即是说,一旦容器生成,就会存在两个文件:一个image文件,一个容器文件。而且关闭容器并不会删除容器文件,只是容器停止运行而已。
# 列出本机正在运行的容器
$ docker container ls
# 列出本机所有容器,包括终止运行的容器
ig:~ itguang$ docker container ls --all
CONTAINER ID IMAGE COMMAND CREATED STATUS PORTS NAMES
649a6b785a86 ubuntu "bash" 10 minutes ago Exited (137) 9 minutes ago loving_austin
85b9c705e73f hello-world "/hello" 10 minutes ago Exited (0) 10 minutes ago silly_lumiere
c9281ad7f7b8 ubuntu "bash" 17 minutes ago Exited (127) 11 minutes ago stupefied_curran
e06bf36259ef hello-world "/hello" 24 minutes ago Exited (0) 24 minutes ago flamboyant_chaplygin
ig:~ itguang$可以看出,我现在已经有了四个容器,终止运行的容器文件依然会占用硬盘空间,可以使用 docker container rm [container_id] 命令删除。
ig:~ itguang$ docker container ls --all
CONTAINER ID IMAGE COMMAND CREATED STATUS PORTS NAMES
c9281ad7f7b8 ubuntu "bash" 22 minutes ago Exited (127) 17 minutes ago stupefied_curran
e06bf36259ef hello-world "/hello" 29 minutes ago Exited (0) 29 minutes ago flamboyant_chaplygin
ig:~ itguang$ docker container rm c9281ad7f7b8 e06bf36259efDockerfile 文件
学会了如何使用 image文件 和 生成容器文件 之后,接下来你可能会想直到这个 image 文件是如何生成的呢? 如果你要推广自己的软件,势必要制作自己的 image 文件。
这时候就要用到 Dockerfile 文件,他是一个文本文件,用来配置 image。Docker容器根据 Dockerfile 文件生成 image 二进制文件。
下面通过一个实例,来演示如何编写 Dockerfile 文件生成自己的 image 二进制文件。
实例:制作自己的 Docker 容器
下面我以 koa-demos 项目为例,介绍怎么写 Dockerfile 文件,实现让用户在 Docker 容器里面运行 Koa 框架。
$ git clone https://github.com/ruanyf/koa-demos.git
$ cd koa-demos首先,在项目的根目录下,新建一个文本文件 然后写入下面的内容。
.git
node_modules
npm-debug.log上面的代码表示,这三个路径要排除,不要打包进 image 文件,如果你没有路径可以排除,这个文件也可以不用建立。
然后在项目根目录下再新建一个 Dockerfile 文本文件,写入下面的内容:
FROM node:8.4
COPY . /app
WORKDIR /app
RUN npm install --registry=https://registry.npm.taobao.org
EXPOSE 3000上面代码解释如下:
- From node:8.4 : 该image继承自官方的node image,冒号表示标签,这里表示8.4版本的node。
- COPY . /app : 将当前目录下的所有文件都拷贝到 image文件的 /app 目录。
- WORKDIR /app : 指定接下来的工作目录为 /app 。
- RUN npm install : 在/app目录下,运行npm install命令安装依赖。注意,安装后所有的依赖,都将打包进入 image 文件。
- EXPOSE 3000 : 将容器的3000 端口暴露出来,允许外部连接这个端口。
FROM 指定使用哪个镜像源。RUN 指令告诉 docker 在镜像内执行命令,安装了什么。
有了 Dockerfile 文件以后,就可以使用 docker image build 命令创建 image 文件了。
$ docker image build -t koa-demo .
# 或者
$ docker image build -t koa-demo:0.0.1 .上面代码中,-t 参数用来指定 image 文件的名字,后面还可以用冒号指定标签,如果不指定,默认标签就是latest,
上面代码中,
- 指定 ,后面还可以用冒号指定标签,如果不指定,默认标签就是latest,
- 最后那个 表示 Dockerfile 文件所在的路径。这个例子 Dockerfile 文件在当前路径,所以就是一个
可以使用 docker tag 命令,为镜像添加一个新的标签。
如果构建成功,会有如下提示信息:
...
Successfully built 979e0930e4b6
Successfully tagged koa-demo:latest我们使用 查看当前的 image 文件
ig:koa-demos itguang$ docker images
REPOSITORY TAG IMAGE ID CREATED SIZE
koa-demo latest 979e0930e4b6 About a minute ago 676MB
ubuntu latest 452a96d81c30 8 days ago 79.6MB
hello-world latest e38bc07ac18e 3 weeks ago 1.85kB
node 8.4 386940f92d24 8 months ago 673MB- 生成容器
前面讲过, 命令会 ,
$ docker container run -p 8000:3000 -it koa-demo /bin/bash
# 或者
$ docker container run -p 8000:3000 -it koa-demo:0.0.1 /bin/bash上面各个参数解释如下:
-p : 容器的3000端口映射到本地的8000端口.
-it : 容器的shell会映射到当前本地的shell,你在本机窗口输入的命令会传入到容器中.
koa-demo:0.0.1 : image 文件的名字(如果有标签,还需要提供标签,默认是 latest 标签)。
/bin/bash : 容器启动以后,容器内部第一个执行的命令.这里是启用Bash,以保证用户可以使用shell如果一切正常,运行上面的命令以后,就会返回一个命令行提示符。
root@6be4c4a279df:/app#这表示你已经在容器里面了,返回的提示符就是容器内部的 Shell 提示符。执行下面的命令。
root@6be4c4a279df:/app# node demos/01.js这时,Koa 框架已经运行起来了。打开本机的浏览器,访问 http://127.0.0.1:8000,网页显示”Not Found”,这是因为这个 demo 没有写路由。
这个例子中 node 进程运行在 Docker 容器的虚拟环境里面,进程接触到的文件系统和网络接口都是虚拟的,与本机文件系统和网络接口都是隔离的,因此需要定义容器与物理机的端口映射(map)。
现在,在容器的命令行下,按 ctrl+c 停止 node 进程, 按 ctrl+d ( 或者exit)退出容器。此外,也可以使用 docker container kill [container-id] 终止容器的运行。
# 在本机的另一个终端窗口,查出容器的 ID
$ docker container ls
# 停止指定的容器运行
$ docker container kill [containerID]也可以使用 docker container run 命令的 --rm 参数,在容器终止运行后自动删除容器文件。
$ docker container run --rm -p 8000:3000 -it koa-demo /bin/bashCMD 命令
上面容器启动以后,需要手动输入命令 node demos/01.js。我们可以把这个命令写在 Dockerfile 里面,这样容器启动以后,这个命令就已经执行了,不用再手动输入了。
FROM node:8.4
COPY . /app
WORKDIR /app
RUN npm install --registry=https://registry.npm.taobao.org
EXPOSE 3000
CMD node demos/01.js上面的 Dockerfile 文件最后面多了一行 ,表示容器启动后,自动执行
命令和
简单来说:
- 在 image 文件的构建阶段执行,执行结果会打包进 image 文件;
- 则是在容器启动后执行。
- Dockerfile 文件只能可以包含多个RUN命令,但只能包含一个CMD命令
注意:指定了 CMD 命令后,docker container run 命令就不能附加命令了,比如前面的 /bin/bash,否则,它会覆盖CMD命令
现在启动容器可以用下面的命令:
$ docker container run --rm -p 8000:3000 -it koa-demo:0.0.1发布 image 文件
容器运行成功后,就确认了 image文件的有效性,这是我们就可以考虑把 image 文件分享到网上。 首先,去 hub.docker.com 或 cloud.docker.com 注册一个账户。然后,用下面的命令登录。
$ docker login接着,为本地的 image 标注用户名和版本。
$ docker image tag [imageName] [username]/[repository]:[tag]
# 实例
$ docker image tag koa-demos:0.0.1 ruanyf/koa-demos:0.0.1也可以不标注用户名,重新构建一下 image 文件。
$ docker image build -t [username]/[repository]:[tag] .最后,发布 image 文件。
$ docker image push [username]/[repository]:[tag]发布成功以后,登录 hub.docker.com,就可以看到已经发布的 image 文件。
其他有用的命令
docker的主要用法就是上面这些。另外还有一些常见的命令:
- 。前面的 docker container run 命令是新建容器,每运行一次,就会新建一个容器。同样的命令运行两次就会生成两个一模一样的容器文件。如果希望重复使用容器,就需要使用 docker container start 命令,它用来启动已经生成,已经停止运行的容器文件。命令:docker container start [container_id]
- 。前面的 docker container kill 命令终止容器的运行,相当于向容器的主进程发送SIGKILL信号,而docker container stop 也是用来终止容器的运行,相当于向容器的主进程发送 SIGTERM 信号,然后过一段时间在发送SIGKILL信号。。命令:docker container stop [container_id]。
- 。docker container logs 用来查看容器的输出,即容器里shell的标准输出。比如: 如果 docker run 命令运行容器的时候,没有使用 -it 参数,就要使用这个命令查看输出。命令:docker container logs [container_id]
- 。docker container exec 命令用于进行一个正在运行的容器。如果 docker container run 命令运行容器的时候,没有使用 -it 参数,就要使用这个命令进入进入容器,一旦进入容器,就可以在容器的shell执行命令了。命令格式:docker container exec [container_id] /bin/bash
- 。docker container cp 命令用于从正在运行的容器里,将文件拷贝到本机。下面是拷贝当前 目录的写法:docker container cp [container_id]:[/path/to/file] .
小结
到了这里对 docker 的基本操作与相关概念已经有了大概了解,现在看开头的那个图:
可以看出: ,,,, 的关系一目了然。
- image文件 来源有两个:Dockfile文件 和 Docker hub。
- 可以使用 docker container run 命令从 image 文件生成并运行容器。
更新 镜像
:https://zhuanlan.zhihu.com/p/413767660
更新镜像之前,需要使用镜像来创建一个容器。
runoob@runoob:~$ docker run -t -i ubuntu:15.10 /bin/bash root@e218edb10161:/#
在运行的容器内使用 apt-get update 命令更新容器内的软件。在完成操作之后,输入 exit 命令来退出这个容器。此时 ID为 e218edb10161 的容器是按需求更改的容器。我们可以通过命令 docker commit 来提交容器副本。
runoob@runoob:~$ docker commit -m="has update" -a="runoob" e218edb10161 runoob/ubuntu:v2 sha256:70bf1840fd7c0d2d8ef0a42a817eb29f854c1af8f7c59fc03ac7bdee9545aff8
各个参数说明:
- -m: 提交的描述信息
- -a: 指定镜像作者
- e218edb10161:容器ID
- runoob/ubuntu:v2: 指定要创建的目标镜像名
有时,手动更新容器内的软件可能很诱人。这应该避免。apt-get update && apt get upgrade -y在管理裸机 Linux 服务器时,按计划运行(或您的包管理器的对应项)是标准做法。这些命令通常不在 Docker 容器中运行,尽管它们可能作为 a 的一部分包含 Dockerfile 在映像构建期间获取最新的安全补丁。。这为您提供了所有上游安全修复并缩短了单个容器的寿命。容器环境不应在创建实例后进行修改;文件系统更改应仅限于写入临时路径和比容器寿命更长的专用 Docker 卷。
Docker自动更新 镜像、容器
在使用 Docker 时有的镜像可能需要经常更新,通常手动更新容器比较繁琐,需要四个步骤:
- 1.停止容器 docker stop <CONTAINER>
- 2.删除容器 docker rm <CONTAINER>
- 3.检查镜像更新情况,更新镜像 docker pull <IMAGE>
- 4.重新启动容器 docker run <ARG> …… <IMAGE>
容器较少还比较好,如果有大量容器需要更新,那将会产生巨大的工作量。
现在介绍一种自动更新容器的方式,Watchtower 是一种流行的选择,它监视正在运行的容器并在其 Docker Hub 映像更改时替换它们。Watchtower 本身被部署为一个容器:
docker run -d -v /var/run/docker.sock:/var/run/docker.sock container/watchtower docker run -d -v /var/run/docker.sock:/var/run/docker.sock --name watchtower
用上面的代码即可在后台启动 watchtower 容器,并监控当前所有镜像的更新情况。因为 watchtower 需要与 Docker API 进行交互以监控正在运行的容器,所以在使用时需要加上 -v 参数将 /var/run/docker.sock 映射到容器内。
现在您已经安装了一个正常运行的 Watchtower。您主机的 Docker 套接字已挂载到 Watchtower 容器中,允许它运行 Docker 命令来创建和删除容器。
watchtower 的官方文档:https://containrrr.dev/watchtower/usage-overview/
Watchtower 将自动检测 Docker Hub 上的新镜像发布,将它们拉到您的机器上,并使用该镜像替换容器。现有容器将被关闭,并在其位置创建新的相同容器。您提供的相同标志docker run将提供给替换容器。
默认情况下,Watchtower 仅适用于 Docker Hub。您可以通过在配置文件中提供凭据将其与私有映像注册表一起使用。创建一个包含以下内容的 JSON 文件:
{
"auths": {
"example.com": {
"auth": "credentials"
}
}
}替换example.com为您的注册表路径。
接下来从您的注册表用户名和密码生成凭据字符串:echo -n 'username:password' | base64
将生成的 Base64 编码字符串粘贴到配置文件中,替换credentials占位符文本。
将配置文件挂载到 Watchtower 容器中以启用对注册表的访问:
docker run -d \
-v config.json:/config.json
-v /var/run/docker.sock:/var/run/docker.sock \
containrrr/watchtower在 docker 中更新镜像 --- 基于Prometheus
:https://blog.csdn.net/sinat_16643223/article/details/120655976
三、Docker 基础用法
https://registry.hub.docker.com/ :Docker镜像首页,包括官方镜像和其它公开镜像
因为国情的原因,国内下载 Docker HUB 官方的相关镜像比较慢,可以使用 http://opskumu.github.io/docker.cn 镜像,镜像保持和官方一致,关键是速度块,推荐使用。
3.1 Search images
$ sudo docker search ubuntu搜索可用的 docker 镜像 使用 docker 最简单的方式莫过于从现有的容器镜像开始。Docker 官方网站专门有一个页面来存储所有可用的镜像,网址是:https://index.docker.io/ 。通过浏览这个网页来查找你想要使用的镜像,或者使用命令行的工具来检索。 命令格式: 正确的命令:
3.2 Pull images
$ sudo docker pull ubuntu # 获取 ubuntu 官方镜像
$ sudo docker images # 查看当前镜像列表使用 docker pull 命令即可。( docker命令 和 git 有一些类似的地方)。在 docker 的镜像索引网站上面,镜像都是按照 的方式来存储的。有一组比较特殊的镜像,比如ubuntu 这类基础镜像,经过官方的验证,值得信任,可以直接用 镜像名来检索到。 提示:执行pull命令的时候要写完整的名字,比如 "learn/tutorial"。 示例命令:
3.3 运行 容器内的 shell
$ sudo docker run -i -t ubuntu:14.04 /bin/bash- docker run - 运行一个容器
- -t - 分配一个(伪)tty (link is external)
- -i - 交互模式 (so we can interact with it)
- ubuntu:14.04 - 使用 ubuntu 基础镜像 14.04
- /bin/bash - 运行命令 bash shell
注: ubuntu 会有多个版本,通过指定 tag 来启动特定的版本 [image]:[tag]
$ sudo docker ps # 查看当前运行的容器, ps -a 列出当前系统所有的容器
CONTAINER ID IMAGE COMMAND CREATED STATUS PORTS NAMES
6c9129e9df10 ubuntu:14.04 /bin/bash 6 minutes ago Up 6 minutes cranky_babbage3.4 相关快捷键
- 退出:Ctrl-Dorexit
- detach:Ctrl-P + Ctrl-Q
- attach:docker attach CONTAINER-ID
1. 查询镜像: 可以看到所有已经存在的镜像的 ID (IMAGE ID) 2. 查询容器: 可以看到所有容器的 ID (CONTAINER ID) 3. 先删除容器: 4. 再删除镜像:
1. 删除前需要保证容器是停止的 stop 2. 需要注意删除镜像和容器的命令不一样。 docker rm CONTAINER_ID 删除容器 docker rmi IMAGE_ID 删除镜像 3. 顺序需要先删除容器,再删除镜像
在 容器中 运行 hello world
目标:上面已经下载了 helloworld 镜像,现在在镜像中输出 "hello word"。为了达到这个目的,需要在运行 "echo" 命令,输出"hello word"。 正确的命令:
下一步我们要做的事情是在容器里面安装一个简单的程序(ping)。我们之前下载的 tutorial 镜像是基于 ubuntu 的,所以你可以使用 ubuntu 的 apt-get 命令来安装 ping 程序: apt-get install -y ping。 备注:apt-get 命令执行完毕之后,容器就会停止,但对容器的改动不会丢失。
目标:在 learn/tutorial 镜像里面安装 ping 程序。 提示:在执行 apt-get 命令的时候,要带上-y参数。如果不指定-y参数的话,apt-get命令会进入交互模式,需要用户输入命令来进行确认,但在 docker 环境中是无法响应这种交互的。 正确的命令:
当对容器做了修改之后(通过在容器中运行某一个命令),可以把对容器的修改保存下来,这样下次就可以从保存后的最新状态运行该容器。docker 中保存状态的过程称之为 committing,它保存的新旧状态之间的区别,从而产生一个新的版本。
目标:首先使用 命令获得安装完 ping 命令之后容器的 id。然后把这个镜像保存为 learn/ping。 提示: 1. 运行 docker commit,可以查看该命令的参数列表。 2. 你需要指定要提交保存容器的ID。(译者按:通过docker ps -l 命令获得) 3. 。(译者按:非常类似 git 里面的版本号) 正确的命令:
对一个镜像提交修改之后,就可以运行它里面新安装的命令了到现在为止,你已经建立了一个完整的、自成体系的docker环境,并且安装了ping命令在里面。它可以在任何支持docker环境的系统中运行了。
目标:在新的镜像中运行 ping www.google.com 命令。 提示:一定要使用新的镜像名 learn/ping来运行ping命令。(译者按:最开始下载的learn/tutorial镜像中是没有ping命令的) 正确的命令:
现在你已经运行了一个docker容器,让我们来看下正在运行的容器。
使用 可以查看所有正在运行中的容器列表, 使用 我们可以查看更详细的关于某一个容器的信息。
目标:查找某一个运行中容器的id,然后使用docker inspect命令查看容器的信息。 提示:可以使用镜像id的前面部分,不需要完整的id。 正确的命令:
现在我们已经验证了新镜像可以正常工作,下一步我们可以将其发布到官方的索引网站。还记得我们最开始下载的learn/tutorial镜像吧,我们也可以把我们自己编译的镜像发布到索引页面,一方面可以自己重用,另一方面也可以分享给其他人使用。
目标:把 learn/ping 镜像发布到docker的index网站。 提示: 1. docker images 命令可以列出所有安装过的镜像。 2. docker push 命令可以将某一个镜像发布到官方网站。 3. 你只能将镜像发布到自己的空间下面。这个模拟器登录的是learn帐号。 预期的命令:
四、Docker 命令帮助
示例:
docker container --help
docker images 或者 docker image ls 列出镜像列表 docker pull ubuntu:14.04 docker search httpd 查找 名为 httpd 镜像
4.1 docker help
docker command
$ sudo docker # docker 命令帮助
Commands:
attach Attach to a running container # 当前 shell 下 attach 连接指定运行镜像
build Build an image from a Dockerfile # 通过 Dockerfile 定制镜像
commit Create a new image from a container's changes # 提交当前容器为新的镜像
cp Copy files/folders from the containers filesystem to the host path
# 从容器中拷贝指定文件或者目录到宿主机中
create Create a new container # 创建一个新的容器,同 run,但不启动容器
diff Inspect changes on a container's filesystem # 查看 docker 容器变化
events Get real time events from the server # 从 docker 服务获取容器实时事件
exec Run a command in an existing container # 在已存在的容器上运行命令
export Stream the contents of a container as a tar archive
# 导出容器的内容流作为一个 tar 归档文件[对应 import ]
history Show the history of an image # 展示一个镜像形成历史
images List images # 列出系统当前镜像
import Create a new filesystem image from the contents of a tarball
# 从tar包中的内容创建一个新的文件系统映像[对应 export]
info Display system-wide information # 显示系统相关信息
inspect Return low-level information on a container # 查看容器详细信息
kill Kill a running container # kill 指定 docker 容器
load Load an image from a tar archive # 从一个 tar 包中加载一个镜像[对应 save]
login Register or Login to the docker registry server
# 注册或者登陆一个 docker 源服务器
logout Log out from a Docker registry server # 从当前 Docker registry 退出
logs Fetch the logs of a container # 输出当前容器日志信息
port Lookup the public-facing port which is NAT-ed to PRIVATE_PORT
# 查看映射端口对应的容器内部源端口
pause Pause all processes within a container # 暂停容器
ps List containers # 列出容器列表
pull Pull an image or a repository from the docker registry server
# 从docker镜像源服务器拉取指定镜像或者库镜像
push Push an image or a repository to the docker registry server
# 推送指定镜像或者库镜像至docker源服务器
restart Restart a running container # 重启运行的容器
rm Remove one or more containers # 移除一个或者多个容器
rmi Remove one or more images
# 移除一个或多个镜像[无容器使用该镜像才可删除,否则需删除相关容器才可继续或 -f 强制删除]
run Run a command in a new container
# 创建一个新的容器并运行一个命令
save Save an image to a tar archive # 保存一个镜像为一个 tar 包[对应 load]
search Search for an image on the Docker Hub # 在 docker hub 中搜索镜像
start Start a stopped containers # 启动容器
stop Stop a running containers # 停止容器
tag Tag an image into a repository # 给源中镜像打标签
top Lookup the running processes of a container # 查看容器中运行的进程信息
unpause Unpause a paused container # 取消暂停容器
version Show the docker version information # 查看 docker 版本号
wait Block until a container stops, then print its exit code
# 截取容器停止时的退出状态值
Run 'docker COMMAND --help' for more information on a command.docker option
Usage of docker:
--api-enable-cors=false Enable CORS headers in the remote API # 远程 API 中开启 CORS 头
-b, --bridge="" Attach containers to a pre-existing network bridge # 桥接网络
use 'none' to disable container networking
--bip="" Use this CIDR notation address for the network bridge's IP, not compatible with -b
# 和 -b 选项不兼容,具体没有测试过
-d, --daemon=false Enable daemon mode # daemon 模式
-D, --debug=false Enable debug mode # debug 模式
--dns=[] Force docker to use specific DNS servers # 强制 docker 使用指定 dns 服务器
--dns-search=[] Force Docker to use specific DNS search domains # 强制 docker 使用指定 dns 搜索域
-e, --exec-driver="native" Force the docker runtime to use a specific exec driver # 强制 docker 运行时使用指定执行驱动器
--fixed-cidr="" IPv4 subnet for fixed IPs (ex: 10.20.0.0/16)
this subnet must be nested in the bridge subnet (which is defined by -b or --bip)
-G, --group="docker" Group to assign the unix socket specified by -H when running in daemon mode
use '' (the empty string) to disable setting of a group
-g, --graph="/var/lib/docker" Path to use as the root of the docker runtime # 容器运行的根目录路径
-H, --host=[] The socket(s) to bind to in daemon mode # daemon 模式下 docker 指定绑定方式[tcp or 本地 socket]
specified using one or more tcp://host:port, unix:///path/to/socket, fd://* or fd://socketfd.
--icc=true Enable inter-container communication # 跨容器通信
--insecure-registry=[] Enable insecure communication with specified registries (no certificate verification for HTTPS and enable HTTP fallback) (e.g., localhost:5000 or 10.20.0.0/16)
--ip="0.0.0.0" Default IP address to use when binding container ports # 指定监听地址,默认所有 ip
--ip-forward=true Enable net.ipv4.ip_forward # 开启转发
--ip-masq=true Enable IP masquerading for bridge's IP range
--iptables=true Enable Docker's addition of iptables rules # 添加对应 iptables 规则
--mtu=0 Set the containers network MTU # 设置网络 mtu
if no value is provided: default to the default route MTU or 1500 if no default route is available
-p, --pidfile="/var/run/docker.pid" Path to use for daemon PID file # 指定 pid 文件位置
--registry-mirror=[] Specify a preferred Docker registry mirror
-s, --storage-driver="" Force the docker runtime to use a specific storage driver # 强制 docker 运行时使用指定存储驱动
--selinux-enabled=false Enable selinux support # 开启 selinux 支持
--storage-opt=[] Set storage driver options # 设置存储驱动选项
--tls=false Use TLS; implied by tls-verify flags # 开启 tls
--tlscacert="/root/.docker/ca.pem" Trust only remotes providing a certificate signed by the CA given here
--tlscert="/root/.docker/cert.pem" Path to TLS certificate file # tls 证书文件位置
--tlskey="/root/.docker/key.pem" Path to TLS key file # tls key 文件位置
--tlsverify=false Use TLS and verify the remote (daemon: verify client, client: verify daemon) # 使用 tls 并确认远程控制主机
-v, --version=false Print version information and quit # 输出 docker 版本信息4.2 docker search
$ sudo docker search --help
Usage: docker search TERM
Search the Docker Hub for images # 从 Docker Hub 搜索镜像 --automated=false Only show automated builds
--no-trunc=false Don't truncate output
-s, --stars=0 Only displays with at least xxx stars示例:
# 查找 star 数至少为 100 的镜像,找出只有官方镜像 start 数超过 100,
# 默认不加 s 选项找出所有相关 ubuntu 镜像
$ sudo docker search -s 100 ubuntu
NAME DESCRIPTION STARS OFFICIAL AUTOMATED
ubuntu Official Ubuntu base image 425 [OK]4.3 docker info
# 容器个数 Images: 22 # 镜像个数 Storage Driver: devicemapper # 存储驱动 Pool
$ sudo docker info
Containers: 1
Name: docker-8:17-3221225728-pool
Pool Blocksize: 65.54 kB
Data file: /data/docker/devicemapper/devicemapper/data
Metadata file: /data/docker/devicemapper/devicemapper/metadata
Data Space Used: 1.83 GB
Data Space Total: 107.4 GB
Metadata Space Used: 2.191 MB
Metadata Space Total: 2.147 GB
Library Version: 1.02.84-RHEL7 (2014-03-26) Execution Driver: native-0.2 # 存储驱动 Kernel Version: 3.10.0-123.el7.x86_64
Operating System: CentOS Linux 7 (Core)4.4 docker pull && docker push
$ sudo docker pull --help # pull 拉取镜像
Usage: docker pull [OPTIONS] NAME[:TAG] Pull an image or a repository from the registry
-a, --all-tags=false Download all tagged images in the repository
$ sudo docker push # push 推送指定镜像
Usage: docker push NAME[:TAG] Push an image or a repository to the registry示例:
# 下载官方 ubuntu docker 镜像,默认下载所有 ubuntu 官方库镜像
$ sudo docker pull ubuntu
# 下载指定版本 ubuntu 官方镜像
$ sudo docker pull ubuntu:14.04
# 推送镜像库到私有源[可注册 docker 官方账户,推送到官方自有账户]
$ sudo docker push 192.168.0.100:5000/ubuntu
# 推送指定镜像到私有源
$ sudo docker push 192.168.0.100:5000/ubuntu:14.044.5 docker images
列出当前系统镜像
$ sudo docker images --help
Usage: docker images [OPTIONS] [NAME] List images
# -a 显示当前系统的所有镜像,包括过渡层镜像,默认 docker images 显示最终镜像,不包括过渡层镜像
-a, --all=false Show all images (by default filter out the intermediate image layers)
-f, --filter=[] Provide filter values (i.e. 'dangling=true')
--no-trunc=false Don't truncate output
-q, --quiet=false Only show numeric IDs示例:
$ sudo docker images # 显示当前系统镜像,不包括过渡层镜像
$ sudo docker images -a # 显示当前系统所有镜像,包括过渡层镜像
$ sudo docker images ubuntu # 显示当前系统 docker ubuntu 库中的所有镜像
REPOSITORY TAG IMAGE ID CREATED VIRTUAL SIZE
ubuntu 12.04 ebe4be4dd427 4 weeks ago 210.6 MB
ubuntu 14.04 e54ca5efa2e9 4 weeks ago 276.5 MB
ubuntu 14.04-ssh 6334d3ac099a 7 weeks ago 383.2 MB4.6 docker rmi
删除一个或者多个镜像
$ sudo docker rmi --help
Usage: docker rmi IMAGE [IMAGE...] 移除一个或者多个镜像
-f, --force=false Force removal of the image # 强制移除镜像不管是否有容器使用该镜像
--no-prune=false Do not delete untagged parents # 不要删除未标记的父镜像4.7 docker run
$ sudo docker run --help
Usage: docker run [OPTIONS] IMAGE [COMMAND] [ARG...] Run a command in a new container
-a, --attach=[] Attach to stdin, stdout or stderr.
-c, --cpu-shares=0 CPU shares (relative weight) # 设置 cpu 使用权重
--cap-add=[] Add Linux capabilities
--cap-drop=[] Drop Linux capabilities
--cidfile="" Write the container ID to the file # 把容器 id 写入到指定文件
--cpuset="" CPUs in which to allow execution (0-3, 0,1) # cpu 绑定
-d, --detach=false Detached mode: Run container in the background, print new container id # 后台运行容器
--device=[] Add a host device to the container (e.g. --device=/dev/sdc:/dev/xvdc)
--dns=[] Set custom dns servers # 设置 dns
--dns-search=[] Set custom dns search domains # 设置 dns 域搜索
-e, --env=[] Set environment variables # 定义环境变量
--entrypoint="" Overwrite the default entrypoint of the image # ?
--env-file=[] Read in a line delimited file of ENV variables # 从指定文件读取变量值
--expose=[] Expose a port from the container without publishing it to your host # 指定对外提供服务端口
-h, --hostname="" Container host name # 设置容器主机名
-i, --interactive=false Keep stdin open even if not attached # 保持标准输出开