Docker概念
- Docker是在Linux容器里运行应用的开源工具,是一种轻量级的虚拟机。Docker的宗旨:Build,Ship and Run Any APP,Anywhere,即通过对应用组件的分装、发布、部署、运行等生命周期的管理,达到应用组件级别的“一次分装,到处运行”的目的。这里的组件,既可以是一个应用,也可以是一套服务,甚至是一个完整的操作系统。
- Docker容器很快,启动和停止可以在秒级实现,比传统虚拟机要快很多;Docker核心解决的问题是利用容器来实现类似VM的功能,从而更加节省的硬件资源提供给用户更多的计算资源,所以Docker容器除了运行其中的应用之外,基本不消耗额外的系统资源,从而在保证应用性能的同时,减小了系统开销,使得在一台主机上同时运行数千个Docker容器成为可能;Docker操作方便,还可以通过Dockerfile配置文件支持灵活的自动化创建和部署。
Docker的核心概念
- 镜像(Image):是创建容器的基础,类似于虚拟机的快照,可以理解为是一个面向Docker容器引擎的只读模板。
- 容器(Container):是从镜像创建的运行实例,它可以被启动、停止、删除。所创建的每一个容器都是相互隔离、互不可见的,可以保证平台的安全性。还可以把容器看作是一个简易版的Linux环境,Docker利用容器来运行和隔离应用。
- 仓库(Repository):是用来集中保存镜像的地方,当创建了自己的镜像之后,可以使用push命令将它上传到公共仓库(Public)或者私有仓库(Private),这样一来当下次要在另一台机器上使用这个镜像的时候,只需要从仓库上pull下来就可以了。仓库的注册地址是http://hub.docker.com
Docker容器与传统虚拟化的比较
特性 | Docker容器 | 虚拟机 |
---|---|---|
启动速度 | 秒级 | 分钟级 |
计算能力损耗 | 几乎无 | 损耗50%左右 |
性能 | 接近原生 | 弱于 |
系统支持量(单机) | 上千个 | 几十个 |
隔离性 | 资源限制 | 完全隔离 |
Docker之所以拥有众多优势,跟操作系统虚拟化自身的特点是分不开的。传统虚拟机需要有额外的虚拟机管理程序和虚拟机操作系统。而Docker容器是直接在操作系统层面之上实现的虚拟化,如图所示:
Docker安装
在CentOS系统下安装Docker可以有两种方式:
- 使用curl获得Docker的安装脚本进行安装。
-
使用YUM仓库来安装。
注意:目前Docker只能支持64位系统
1.仓库配置
[root@localhost ~]# vim /etc/yum.repos.d/docker.repo #创建docker仓库
添加以下内容:
[docker-repo]
name=Docker Repository
baseurl=https://yum.dockerproject.org/repo/main/centos/7/
enabled=1
gpgcheck=1
gpgkey=https://yum.dockerproject.org/gpg
2.使用YUM安装Docker
[root@localhost ~]# yum install docker -y
3.启动Docker并设置为开机自启动
[root@localhost ~]# systemctl stop firewalld.service
[root@localhost ~]# setenforce 0
[root@localhost ~]# systemctl start docker.service
[root@localhost ~]# systemctl enable docker.service
4.检查Docker版本可以查看Docker服务
[root@localhost ~]# docker version
Client: #docker客户端
Version: 1.13.1
API version: 1.26
Package version: docker-1.13.1-68.gitdded712.el7.centos.x86_64
Go version: go1.9.4
Git commit: dded712/1.13.1
Built: Tue Jul 17 18:34:48 2018
OS/Arch: linux/amd64
Server: #docker服务端
Version: 1.13.1
API version: 1.26 (minimum version 1.12)
Package version: docker-1.13.1-68.gitdded712.el7.centos.x86_64
Go version: go1.9.4
Git commit: dded712/1.13.1
Built: Tue Jul 17 18:34:48 2018
OS/Arch: linux/amd64
Experimental: false
注解:
安装好的Docker系统有两个程序:Docker服务端和Docker客户端。其中Docker服务端是一个服务进程,管理着所有的容器。Docker客户端则扮演着Docker服务端的远程控制器,可以用来控制Docker的服务端进程。大部分情况下Docker服务端和客户端运行在一台机器上。
Docker镜像操作
Docker运行容器前需要本地存在对应的镜像,如果不存在本地镜像Docker就会尝试从默认镜像仓库下载https://hub.docker.com
1.搜索镜像
命令格式:docker search 关键字
在使用下载镜像前,可以使用docker search命令,搜索远端官方仓库中的共享镜像
[root@localhost ~]# docker search httpd #搜索关键字为httpd的镜像
INDEX NAME DESCRIPTION STARS OFFICIAL AUTOMATED
docker.io docker.io/httpd The Apache HTTP Server Project 1885 [OK]
docker.io docker.io/hypriot/rpi-busybox-httpd Raspberry Pi compatible Docker Image with ... 41
docker.io docker.io/centos/httpd 19 [OK]
docker.io docker.io/centos/httpd-24-centos7 Platform for running Apache httpd 2.4 or b... 14
docker.io docker.io/armhf/httpd The Apache HTTP Server Project 8
docker.io docker.io/macadmins/netboot-httpd use in combination with bruienne/bsdpy 6 [OK]
docker.io docker.io/salim1983hoop/httpd24 Dockerfile running apache config 2 [OK]
docker.io docker.io/epflidevelop/os-wp-httpd WP httpd 1 [OK]
docker.io docker.io/fboaventura/dckr-httpd Small footprint http server to use with ot... 1 [OK]
docker.io docker.io/lead4good/httpd-fpm httpd server which connects via fcgi proxy... 1 [OK]
docker.io docker.io/tplatform/aws-linux-httpd24-php70 aws-linux-httpd24-php70 1 [OK]
docker.io docker.io/tplatform/aws-linux-httpd24-php71-fpm aws-linux-httpd24-php71-fpm 1 [OK]
......//省略
参数注解:
NAME:镜像名称
DESCRIPTION:描述信息
STARS :星级
OFFICIAL:是否官方创建
AUTOMATED:是否主动创建
默认的输出结果会按照星级评价进行排序,表示该镜像受欢迎程度,在下载镜像时,可以参考这一项,在搜索时还可以使用-s或者--stars=x显示指定星级以上的镜像,星级越高表示越受欢迎。
2.获取镜像
搜索到符合需求的镜像,可以使用docker pull命令从网络下载镜像到本地使用。
命令格式:docker pull 仓库名称 [:标签]
[root@localhost ~]# docker pull docker.io/httpd #下载镜像docker.io/httpd
Using default tag: latest #最新版本
Trying to pull repository docker.io/library/httpd ...
latest: Pulling from docker.io/library/httpd
d660b1f15b9b: Pull complete
aa1c79a2fa37: Pull complete
f5f6514c0aff: Pull complete
676d3dd26040: Pull complete
4fdddf845a1b: Pull complete
520c4b04fe88: Pull complete
5387b1b7893c: Pull complete
Digest: sha256:8c84e065bdf72b4909bd55a348d5e91fe265e08d6b28ed9104bfdcac9206dcc8
Status: Downloaded newer image for docker.io/httpd:latest #下载成功
从整个下载的过程可以看出,镜像文件由若干层(Layer)组成,称之为AUFS(联合文件系统),是实现增量保存与更新的基础,下载过程中会输出镜像的各层信息。
注意:
如果下载镜像时不指定标签,则会默认下载仓库中最新版本的镜像,即选择标latest标签,也可以通过指定的标签来下载特点版本的某一镜像。这里的标签(tag)就是用来区分镜像版本的。
3.查看镜像信息
命令语法:docker images 仓库名称 :[标签]
[root@localhost ~]# docker images #查看本地所有镜像
REPOSITORY TAG IMAGE ID CREATED SIZE
docker.io/httpd latest 11426a19f1a2 9 days ago 178 MB
参数注解:
REPOSITORY:镜像属于的仓库
TAG :镜像的标记信息,标记同一仓库中的不同镜像。
IMAGE ID :镜像的唯一ID号,唯一标识了该镜像。
CREATED :镜像创建时间
SIZE :镜像大小
用户还可以根据镜像的唯一标识ID号,获取镜像详细信息。
命令格式:docker inspect 镜像ID号
[root@localhost ~]# docker inspect 11426a19f1a2
为本地镜像添加新的标签
命令格式:docker tag 名称 :[标签] 新名称 :[新标签]
[root@localhost ~]# docker tag docker.io/httpd httpd:httpd
[root@localhost ~]# docker images | grep httpd
docker.io/httpd latest 11426a19f1a2 9 days ago 178 MB
httpd httpd 11426a19f1a2 9 days ago 178 MB
4.删除镜像
删除镜像的操作方法有两种:使用镜像的标签删除镜像;使用镜像的ID删除镜像。
命令格式:docker rmi 仓库名称 : 标签
[root@localhost ~]# docker rmi 11426a19f1a2 #删除镜像的ID号
[root@localhost ~]# docker rmi httpd:httpd #删除镜像的标签
Untagged: httpd:httpd
[root@localhost ~]# docker images | grep httpd
docker.io/httpd latest 11426a19f1a2 9 days ago 178 MB
注意:
1)当一个镜像有多个标签的时候,docker rmi 命令只是删除该镜像多个标签中的指定标签,不会影响镜像文件,但当该镜像只剩下一个标签的时候就要小心了,再使用删除命令就会彻底删除该镜像。
2)当使用docker rmi命令后面跟上镜像的ID号时,必须确保该镜像没有被容器使用才能进行,删除时系统会先删除掉指向该镜像的所有标签,然后删除该镜像文件本身。如果该镜像已经被容器使用,要先删除依赖该镜像的使用容器,再删除镜像。
5.存储镜像和载入镜像
命令格式:docker save -o 存储文件名 存储的镜像
[root@localhost ~]# docker save -o httpd docker.io/httpd #本地镜像存出文件为httpd
[root@localhost ~]# ls -l httpd
-rw-------. 1 root root 186415616 8月 10 11:24 httpd
载入镜像
命令格式:docker load < 存出文件
或者 docker --input 存出的文件
6.上传镜像
本地存储的镜像越来越多,就需要指定一个专门的地方存放这些镜像——仓库。目前比较方便的就是公共仓库,默认上传到Docker Hub官方仓库,需要注册使用公共仓库的账号,可以使用docker login命令来输入用户名、密码和邮箱来完成注册登录。在上传镜像之前还需要对本地镜像添加新的标签,然后再使用docker push命令进行上传。
命令格式:docker push 仓库名称 : 标签
[root@localhost ~]# docker tag docker.io/httpd docke/httpd:centos7 #添加新标签
[root@localhost ~]# docker login #登录
Username: docke
Password:
[root@localhost ~]# docker push docke/httpd:centos7 #上传镜像
Docker容器操作
镜像是只读模板,而容器会给这个只读模板一个额外的可写层。
1.容器的创建与启动
容器的创建就是将镜像加载到容器的过程。新创建的容器默认处于停止状态,不允许任何程序,需要在其中发起一个进程来启动容器,这个进程是该容器的唯一进程,当该进程结束的时候,容器也会完全停止。停止的容器可以重新启动并保留原来的修改。
命令格式:docker create [选项] 镜像 运行的程序
1)创建新容器
-i 让容器的输入保持打开
-t 让Docker分配一个伪终端
[root@localhost ~]# docker create -it docker.io/httpd /bin/bash
96a826f750d53024dc63c3328c4ac45ae2a499b9ae613d700da38e7be99e452d #新容器的唯一ID
2)使用docker ps命令查看容器的运行状态,-a 列出系统最近一次启动的容器。
[root@localhost ~]# docker ps -a
CONTAINER ID IMAGE COMMAND CREATED STATUS PORTS NAMES
96a826f750d5 docker.io/httpd "/bin/bash" 4 minutes ago Created happy_gates
参数注释:
CONTAINER ID :容器的ID号
IMAGE :加载的镜像
COMMAND :运行的程序
CREATED :创建的时间
STATUS :目前所处的状态、端口映射
3)启动停止状态的容器
命令格式:docker start 容器的ID/ 名称
[root@localhost ~]# docker start 96a826f750d5
96a826f750d5
[root@localhost ~]# docker ps -a
CONTAINER ID IMAGE COMMAND CREATED STATUS PORTS NAMES
96a826f750d5 docker.io/httpd "/bin/bash" 9 minutes ago Up 13 seconds 80/tcp happy_gates
4)创建并启动容器,可以指向docker run 命令,等同于先执行docker create 命令,再执行docker start 命令。注意:只有后面的命令运行结束,容器就会停止。
[root@localhost ~]# docker run centos /usr/bin/bash -c ls / #创建、开启centos容器并查询镜像的根目录
anaconda-post.log
bin
dev
etc
home
lib
lib64
media
mnt
opt
proc
root
run
sbin
srv
sys
tmp
usr
var
[root@localhost ~]# docker ps -a #查看容器的运行状态
CONTAINER ID IMAGE COMMAND CREATED STATUS PORTS NAMES
db67843e7d92 centos "/usr/bin/bash -c ..." 31 seconds ago Exited (0) 30 seconds ago festive_goldberg
ae4c24239956 httpd "/bin/bash" 6 minutes ago Up 5 minutes 80/tcp nervous_kalam
让容器再后台持续运行
[root@localhost ~]# docker run -d centose /usr/bin/bash -c "while true;do echo hello;done"
2.容器的运行与终止
命令格式:docker stop 容器的ID/ 名称
[root@localhost ~]# docker stop ae4c24239956
ae4c24239956
[root@localhost ~]# docker ps -a
CONTAINER ID IMAGE COMMAND CREATED STATUS PORTS NAMES
ae4c24239956 httpd "/bin/bash" 31 minutes ago Exited (0) 2 seconds ago nervous_kalam
3.容器的进入
命令格式:docker exec -it 容器 ID/ 名称 /bin/bash
进入正在运行的容器
[root@localhost ~]# docker exec -it ae4c24239956 /bin/bash #进入容器
用户可以通过所创建的终端来输入命令,通过exit命令退出容器:
root@ae4c24239956:/usr/local/apache2# ls
bin build cgi-bin conf error htdocs icons include logs modules
root@ae4c24239956:/usr/local/apache2# exit
exit
4.容器的导出与导入
用户可以将任何一个Docker容器从一台机器迁移到另一台机器。在迁移的过程中,首先需要将已经创建好的容器导出为文件,可以使用docker export命令实现,无论这个容器是处于运行状态还是停止状态均可导出。导出之后可将导出文件传输到其他机器,通过相应的导入命令实现容器的迁移。
命令格式:docker export 容器 ID/ 名称 > 文件名
导出ae4c24239956 容器到文件 centos7tar
[root@localhost ~]# docker export ae4c24239956 > centos7tar
[root@localhost ~]# ls -l centos7tar
-rw-r--r--. 1 root root 182633984 8月 11 18:23 centos7tar
导出的文件从A机器拷贝到B机器,之后使用docker import命令导入,成为镜像。
命令格式:cat 文件名 | docker import - 生成的镜像名称 : 标签
导入文件 centos7tar成为本地镜像
[root@localhost ~]# cat centos7tar | docker import - centos7:tes
[root@localhost ~]# docker images | grep centos7
centos7 test 442bc7482423 5 minutes ago 174MB
5.容器的删除
命令格式:docker rm 容器ID/ 名称
[root@localhost ~]# docker rm ae4c24239956
注意:
如果要删除一个正在运行的容器,可以添加-f选项强制删除,但建议先将容器停止再做删除操作。
Docker资源控制
1.对CPU的控制
1)限制CPU使用速率
- 在Docker中可以通过 --cpu-quota选项来限制CPU的使用率,CPU的百分比是以1000为单位的。
docker run --cpu-quota 20000 容器名 #CPU的使用率限定为20%
- 在CentOS中还可以通过修改对应的Cgrep配置文件/sys/fs/cgroup/cpu/docker/容器编号/cpu.cfs_quota_us的值来实现,直接执行echo命令将设定值导入到此文件中就会立即生效。
[root@localhost ~]# echo 20000 > /sys/fs/cgroup/cpu/docker/ae4c24239956ee20786a966cd4db9a459a459e2c47faaf03977ab88d03b7a834/cpu.cfs_quota_us
2)多任务按比例分享CPU
当有多个容器任务运行时,很难计算CPU的使用率。为了使容器合理使用CPU资源,可以通过--cpu-share选项设置CPU按比例共享CPU资源,这种方式还可以实现CPU使用率的动态调整。
比如:运行三个容器A、B、C,占用CPU资源的比例为1:1:2,可以这样执行:
docker run --cpu-share 1024 容器A
docker run --cpu-share 1024 容器B
docker run --cpu-share 2048 容器C
3)限制CPU的内核使用
在Docker中可以使用--cpuset-cpus选项来使某些程序独享CPU内核,以便提高其处理速度。
如果服务器有16个内核,那么CPU的编号为0~15,使容器绑定1~5个内核使用,则:
docker run --cpuset-cpus 0,1,2,3,4 容器名
建议:
尽量使用绑定内核的方式分配CPU资源给容器进程使用,然后再配合 --cpu-share选项动态调整CPU使用资源的比例。
2.对内存使用的限制
在Docker中可以通过docker run -m命令来限制容器内存使用量,相应的Cgroup配置文件为/sys/fs/cgroup/memory/memory.limit_in_bytes 。但是需要注意:一旦容器Cgroup使用的内存超过了限制的容量,Linux内核将会尝试收回这些内存,如果仍旧没法控制内存使用在限制范围之内,进程就会被杀死。
例如:限制容器的内存为512M
docker run -m 512m 容器名
3.对blkio的限制
如果是在一台服务器上进行容器的混合部署,那么会出现同时有几个程序写磁盘数据的情况,这时可以通过 --device-write-iops选项来限制写入的iops,相应的还有 --device-read-bps选项可以限制读取的iops。但是这种方法只能针对blkio限制的是设备(device),而不是分区。相应Cgroup写配置文件/sys/fs/cgroup/blkio/docker/容器ID/blkio.throttle.write_iops_device。
例如:限制容器的/dev/sda1 的写入iops为1MB
docker run --device-write-bps /dev/sda1:1mb 容器名