小白学Docker<一>
4.Docker file常用指令
指令的一般格式为 指令名称 参数 。
FROM
支持三种格式:
- FROM
- FROM
: - FROM
@
FROM指令必须指定且需要在Docker file其他指令的前面,指定的基础image可以是官方远程仓库中的,也可以位于本地仓库。后续的指令都依赖于该指令指定的image。当在同一个Dockerfile中建立多个镜像时,可以使用多个FROM指令。
MAINTAINER
格式为:
- MAINTAINER
用于指定维护者的信息。
RUN
支持两种格式:
- RUN
- 或 RUN ["executable", "param1", "param2"]
RUN
在Shell终端中运行命令,在Linux中默认是/bin/sh -c
在Windows中是cmd /s /c
RUN ["executable", "param1","param2"]
使用exec执行。指定其他终端可以通过该方式操作,例如: RUN ["/bin/bash", "-c", "echo hello"]
,该方式必须使用["]而不能使用['],因为该方式会被转换成一个JSON 数组。
CMD
支持三种格式:
- CMD ["executable","param1","param2"] (推荐使用)
- CMD ["param1","param2"] (为ENTRYPOINT指令提供预设参数)
- CMD command param1 param2 (在shell中执行)
CMD指令的主要⽬的是为执⾏容器提供默认值。每个Dockerfile只有一个CMD命令,如果指定了多个CMD命令,那么只有一条会被执行,如果启动容器的时候指定了运行的命令,则会覆盖掉CMD指定的命令。
LABEL
格式为:
- LABEL
= = = ...
为镜像添加元数据。使用 "和 \ 转换命令行,示例:
LABEL "com.example.vendor"="ACME Incorporated"
LABEL com.example.label-with-value="foo"
LABEL version="1.0"
LABEL description="This text illustrates \
that label-values can span multiple lines."
EXPOSE
- EXPOSE
[ ...]
为Docker容器设置对外的端口号。在启动时,可以使用-p选项或者-P选项。
示例:
# 映射一个端口示例
EXPOSE port1
# 相应的运行容器使用的命令
docker run -p port1 image
# 也可以使用-P选项启动
docker run -P image
# 映射多个端口示例
EXPOSE port1 port2 port3
# 相应的运行容器使用的命令
docker run -p port1 -p port2 -p port3 image
# 还可以指定需要映射到宿主机器上的某个端口号
docker run -p host_port1:port1 -p host_port2:port2 -p host_po
rt3:port3 image
ENV
格式为:
- ENV
- ENV
= ...
指定环境变量,会被后续RUN指令使用,并在容器启动后,可以通过docker inspect
查看这个环境变量,也可以通过 docker run --env
来修改环境变量,示例:
ENV JAVA_HOME /path/to/java # 设置环境变量JAVA_HOME
ADD
格式为:
- ADD
... - ADD ["
",... " "]
从src目录复制文件到容器的dest。其中src可以是Dockerfile所在目录的相对
路径,也可以是一个URL,还可以是一个压缩包。
注意:
- src必须在构建的上下文内,不能使用。例如:
ADD ../somethine/something
,因为docker build
命令首先会将上下文路径和其子目录发送到docker daemon
- 如果src是一个URL,同时dest不以斜杠结尾,dest将会被视为问件,src
对应内容文件将会被下载到dest - 如果src是一个URL,同时dest以斜杠结尾,dest将被视为目录,src对应
内容将会被下载到dest目录 - 如果src是一个目录,那么整个目录其下的内容将会被拷贝,包括问件系统元数据
- 如果文件是可识别的压缩包格式,则docker会自动解压
COPY
格式为:
- COPY
... - COPY ["
",... " "] (shell中执行)
复制本地端的src到容器的dest。和ADD指令类似,COPY不支持URL和压缩包。
ENTRYPOINT
格式为:
- ENTRYPOINT ["executable", "param1", "param2"]
- ENTRYPOINT command param1 param2
指定Docker容器启动时执行的命令,可以多次设置,但是只有最后一个有效。
VOLUME
格式为:
- VOLUME ["/data"]
使容器中的一个目录具有持久化存储数据的功能,该目录可以被容器本身使用,也可以共享给其他容器。当容器中的应用有持久化数据的需求时可以在Dockerfile中使用该指令。
USER
格式为:
- USER 用户名
设置启动容器的用户,默认是root用户。
WORKDIR
格式为:
- WORKDIR /path/to/workdir
切换目录指令,类似于cd命令,对RUN、CMD、ENTRYPOINT生效。
ARG
格式为:
- ARG
[= ]
ARG指令定义一个变量。
ONBUILD
格式为:
- ONBUILD [INSTRUCTION]
指定当建立的镜像作为其他镜像的基础时,所执行的命令。
其他
STOPSINGAL HEALTHCHECK SHELL 由于并不是很常用,所以不做讲解了。有兴趣的可以前往https://docs.docker.com/engine/reference/builder/ 扩展阅读。
参考文档:
Dockerfile文档:https://docs.docker.com/engine/reference/builder/#dockerfile-reference
Dockerfile最佳实践:https://docs.docker.com/engine/userguide/eng-image/dockerfile_best-practices/#build-cache
Docker书籍:http://udn.yyuap.com/doc/docker_practice/advanced_network/port_mapping.htm
Docker书籍:https://philipzheng.gitbooks.io/docker_practice/content/dockerfile/instructions.html
Dockerfile讲解:http://blog.csdn.net/qinyushuang/article/details/43342553Dockerfile讲解:http://blog.csdn.net/wsscy2004/article/details/25878223
Dockerfile网络:http://my.oschina.net/ghm7753/blog/522809
TIPS:
COPY 和 ADD 的区别:http://blog.163.com/digoal@126/blog/static/163877040201410341236664/
CMD与ENTRYPOINT的区别:http://cloud.51cto.com/art/201411/457338.htm
5.Docker私有仓库的搭建与使用
和Maven一样,Docker不仅提供了一个中央仓库,同时也允许我们搭建私有仓库。如果读者对Maven有所了解,将会很容易理解私有仓库的优势:
- 节省带宽,镜像无需从中央仓库下载,只需从私有仓库中下载即可
- 对于私有仓库中已有的镜像,提升了下载速度
- 便于内部镜像的统一管理
下面我们来讲解一下如何搭建、使用私有仓库
准备工作
准备两台安装有Docker的CentOS7的机器,主机规划如下(仅供参考):
主机 | IP | 角色 |
---|---|---|
node0 | 192.168.11.143 | Docker开发机 |
node1 | 192.168.11.144 | Docker私有仓库 |
安装、使用私有仓库
网上有很多 docker-registry 的教程,但是 docker-registry 已经过时,并且已经2年不维护了。详见 https://github.com/docker/docker-registry,故而本文不做探讨,对 docker-registry 有兴趣的童鞋可以查阅本节的
参考文档。
本节讲解registry V2,registry V2需要Docker版本高于1.6.0。registry V2要求使用https访问,那么我们先做一些准备,为了方便,这边模拟以域名 reg.itmuch.com 进行讲解。
使用域名搭建https的私有仓库
-
首先修改两台机器的hosts,配置 192.168.11.144 到 reg.itmuch.com 的映射
echo '192.168.11.144 reg.itmuch.com'>> /etc/hosts
-
既然使用https,那么我们需要生成证书,本文讲解的是使用openssl自签名证书,当然也可以使用诸如
Let’s Encrypt
等工具生成证书,首先在node1机器上生成key:mkdir -p ~/certs cd ~/certs openssl genrsa -out reg.itmuch.com.key 2048
再生成密钥文件:
openssl req -newkey rsa:4096 -nodes -sha256 -keyout reg.itmuc h.com.key -x509 -days 365 -out reg.itmuch.com.crt
会有一些信息需要填写:
Country Name (2 letter code) [XX]:CN # 你的国家名称 State or Province Name (full name) []:JS # 省份 Locality Name (eg, city) [Default City]:NJ # 所在城市 Organization Name (eg, company) [Default Company Ltd]:ITMUCH # 组织名称 Organizational Unit Name (eg, section) []:ITMUCH # 组织单元名称 Common Name (eg, your name or your server's hostname) []:reg. itmuch.com # 域名 Email Address []:[email protected] # 邮箱
这样自签名证书就制作完成了。
-
由于是自签名证书,默认是不受Docker信任的,故而需要将证书添加到Docker的根证书中,Docker在CentOS 7中,证书存放路径是
/etc/docker/certs.d/
域名 :node1
端:mkdir -p /etc/docker/certs.d/reg.itmuch.com cp ~/certs/reg.itmuch.com.crt /etc/docker/certs.d/reg.itmuch. com/
node0
端:将生成的证书下载到根证书路径mkdir -p /etc/docker/certs.d/reg.itmuch.com scp [email protected]:/root/certs/reg.itmuch.com.crt /etc/d ocker/certs.d/reg.itmuch.com/
-
重新启动
node0
和node1
的Dockerservice docker restart
-
在
node1
上启动私有仓库首先切换到家目录中,这步不能少,原因是下面的-v 挂载了证书,如果不切换,将会引用不到证书文件。
cd ~
启动Docker私有仓库(注意:如果直接粘贴运行,请删除掉注释):
docker run -d -p 443:5000 --restart=always --name registry \ -v `pwd`/certs:/certs \ # 将“当前目录/certs”挂载到容器的“/certs” -v /opt/docker-image:/opt/docker-image \ -e STORAGE_PATH=/opt/docker-image \ # 指定容器内存储镜像的路径 -e REGISTRY_HTTP_TLS_CERTIFICATE=/certs/reg.itmuch.com.crt \ # 指定证书文件 -e REGISTRY_HTTP_TLS_KEY=/certs/reg.itmuch.com.key \ # 指定key文件 registry:2
其中,之所以挂载/opt/docker-image目录,是为了防止私有仓库容器被删除,私有仓库中的镜像也会丢失。
- 在 node0 上测试,将镜像push到私服
docker pull kitematic/hello-world-nginx docker tag kitematic/hello-world-nginx reg.itmuch.com/kitemat ic/hello-world-nginx # 为本地镜像打标签 docker push reg.itmuch.com/kitematic/hello-world-nginx # 将镜像push到私服
会发现如下内容:
The push refers to a repository [reg.itmuch.com/kitematic/hel lo-world-nginx] 5f70bf18a086: Pushed b51acdd3ef48: Pushed 3f47ff454588: Pushed .... latest: digest: sha256:d3e1883b703c39556f2f09da14cc3b820f69a4 3436655c882c0c0ded0dda6a4b size: 3226
说明已经push成功。
- 从私服中下载镜像:
docker pull reg.itmuch.com/kitematic/hello-world-nginx
配置登录认证
在很多场景下,我们需要用户登录后才能访问私有仓库,那么我们可以如下操作:
建立在上文生成证书,同时重启过Docker服务的前提下,我们讲解一下如何配置:- 为防止端口冲突,我们首先删除或停止之前启动好的私有仓库:
docker kill registry
- 在
node1
机器上安装httpd-tools
:
yum install httpd-tools
- 在node机器上创建密码文件,并添加一个用户
testuser
,密码
是testpassword
:
cd ~ mkdir auth htpasswd -Bbn testuser testpassword > auth/htpasswd
- 在
node1
机器上切换到~
目录,并启动私有仓库(注意:如果直接粘贴运行,请删除掉注释):
docker run -d -p 443:5000 --restart=always --name registry2 \ -v /opt/docker-image:/var/lib/registry \ # 挂载容器内存储镜像路径到宿主机 -v `pwd`/certs:/certs \ -e REGISTRY_HTTP_TLS_CERTIFICATE=/certs/reg.itmuch.com.crt \ -e REGISTRY_HTTP_TLS_KEY=/certs/reg.itmuch.com.key \ -v `pwd`/auth:/auth \ -e "REGISTRY_AUTH=htpasswd" \ -e "REGISTRY_AUTH_HTPASSWD_REALM=Registry Realm" \ -e REGISTRY_AUTH_HTPASSWD_PATH=/auth/htpasswd \ registry:2
- 测试:
docker push reg.itmuch.com/kitematic/hello-world-nginx
提示:
461f75075df2: Image push failed no basic auth credentials
说明需要认证。
我们登陆一下,执行:docker login reg.imuch.com
再次执行
docker push reg.itmuch.com/kitematic/hello-world-nginx
就可以正常push镜像到私有仓库了。
注意:如果想要从私有仓库上下载镜像,同样需要登录。
参考文档:
官方文档:[https://docs.docker.com/registry/deploying/#/running-a-domain-
registry](https://docs.docker.com/registry/deploying/#/running-a-domain-
registry)
Docker Registry V2 htpasswd认证方式搭建:http://www.tuicool.com/articles/vMZZveM
Docker Registry V2搭建:http://www.tuicool.com/articles/6jEJZj
Docker Registry V2搭建:http://tomhat.iteye.com/blog/2304098
Docker Registry V1搭建:http://blog.csdn.net/wsscy2004/article/details/26279569
非认证的Docker Registry V1搭建:http://blog.csdn.net/wangtaoking1/article/details/44180901
带认证的Docker Registry V1搭建:http://snoopyxdy.blog.163.com/blog/static/601174402015823741997/
Docker专题汇总:http://www.zimug.com/360.html
Docker疑难解答:https://segmentfault.com/q/1010000000938076 -
6 使用Dockerfile构建Docker镜像
我们以在Docker容器中运行一个SpringCloud项目为例,事先准备好一个SpringCloud的Eureka Server的一个简单实例,并打成jar 包,上传到服务器(目录随意),我这里上传到/opt,然后在/opt下创建一个文件夹/static_web_test: `mkdir static_web_test`,再进入此文件夹:`cd static_web_test`,再建立Dockerfile文件:`touch Dockerfile`。
我们创建了一个名为`static_web_test`的文件夹用来保存Dockerfile,这个目录就是我们的构建环境,Docker称此环境为上下文(context)或者构建上下文(build context)。Docker会在构建镜像时将构建上下文和该上下文中的文件和目录上传到Docker守护进程。这样Docker守护进程就能直接访问你想在镜像中存储的任何代码、文件或其他数据。
作为开始,我们还创建了一个空Dockerfile,下面通过一个例子来看如何通过Dockerfile构建一个SpringCloud应用的Docker镜像。
# 编辑Dockerfile
vim Dockerfile
# 下面是Dockerfile内容
#运行此项目还需要基于java镜像
FROM java:8
#将本地文件夹挂载到当前容器
VOLUME /tmp
#拷贝文件到容器,注意这里的jar包是事先准备好的一个演示Cloud的jar项目,需要放在Dockerfile同样的目录下
ADD eureka-0.0.1-SNAPSHOT.jar app.jar
RUN ["/bin/bash","-c","touch /app.jar"]
#指定JAVA 环境变量
ENV JAVA_HOME /jdk/jre
ENV PATH $PATH:$JAVA_HOME/bin
ENV CLASSPATH .:$JAVA_HOME/lib/rt.jar:$JAVA_HOME/lib/dt.jar:$JAVA_HOME/lib/tools.jar
#开放8761端口
EXPOSE 8761
#配置容器启动后执行的命令
ENTRYPOINT ["java","-jar","/app.jar"]
编写完Dockerfile文件,保存退出ESC :wq
;
接下来构建docker镜像 ,
# 格式:docker build -t 标签名称 Dockerfile的相对位置
docker build -t cyy01/static_web_test .
执行后会出现:
Sending build context to Docker daemon 40.14 MB
Step 1/9 : FROM java:8
---> d23bdf5b1b1b
Step 2/9 : VOLUME /tmp
---> Using cache
---> 084825b083fd
Step 3/9 : ADD eureka-0.0.1-SNAPSHOT.jar app.jar
---> Using cache
---> 2f2ea0f62790
Step 4/9 : RUN /bin/bash -c touch /app.jar
---> Using cache
---> 0e4147d96477
Step 5/9 : ENV JAVA_HOME /jdk/jre
---> Running in a03e1d635285
---> bc07089a09cc
Removing intermediate container a03e1d635285
Step 6/9 : ENV PATH $PATH:$JAVA_HOME/bin
---> Running in c6e1dccdf6bb
---> cb3e0b8ea698
Removing intermediate container c6e1dccdf6bb
Step 7/9 : ENV CLASSPATH .:$JAVA_HOME/lib/rt.jar:$JAVA_HOME/lib/dt.jar:$JAVA_HOME/lib/tools.jar
---> Running in 909f32e04089
---> 78e7d65b03ad
Removing intermediate container 909f32e04089
Step 8/9 : EXPOSE 8761
---> Running in 086449d7c99d
---> 5776d14fdd51
Removing intermediate container 086449d7c99d
Step 9/9 : ENTRYPOINT java -jar /app.jar
---> Running in 6db5c0ff543e
---> b7feff098fea
Removing intermediate container 6db5c0ff543e
Successfully built b7feff098fea
中途碰到哪一步失败了,可以检查对应Dockerfile,执行成功会出现Successfully built b7feff098fea
。
接下来查看并启动镜像:
docker images
docker run -p 8761:8761 cyy01/static_web_test
访问 http://Docker宿主机IP:8761 ,我们会发现Eureka能够正常被访问。
小结
用Dockerfile构建的过程不繁琐,就是第一次接触Docker,可能有些Dockerfile命令不熟悉,中途会碰到不少问题,多百度,多总结,成功没有捷径可走,只有不断的进行尝试!
7 Docker Compose
安装Compose
Compose的安装有多种方式,例如通过shell安装、通过pip安装、以及将Compose作为容器安装等等。本文讲解通过shell安装的方式。其他安装方式如有兴趣,可以查看Docker的官方文档:https://docs.docker.com/compose/install/
- 下载
docker-compose
,并放到/usr/local/bin/
curl -L https://github.com/docker/compose/releases/download/1.8.0/docker-compose-`uname -s`-`uname -m` > /usr/local/bin/docker-compose
- 为Docker Compose脚本添加执行权限
chmod +x /usr/local/bin/docker-compose
- 安装完毕,测试:
docker-compose --version
#结果显示如下,代表安装成功
docker-compose version 1.8.0, build f3628c7
安装Compose命令补全工具
按照上文讲解,我们已经成功地安装完Docker Compose。但是,我们输入 docker-compose
命令,按下TAB键,发现此时Compose并没有给我们该命令的提示,那么如何让命令给我们提示呢?我们需要安装Compose命令
补全工具。Compose命令补全在Bash和Zsh下的安装方式不同,由于我是使用CentOS 7进行讲解的,而CentOS 7默认使用Bash,故而本文只讲解命令补全在Bash下的安装,其他Shell以及其他系统上的安装,请查看Docker的官方文档:https://docs.docker.com/compose/completion/
curl -L https://raw.githubusercontent.com/docker/compose/$(docker-compose version --short)/contrib/completion/bash/docker-compose > /etc/bash_completion.d/docker-compose
安装完后重新登录,再次输入docker-compose
命令后,按下TAB键,会有相应的自动补全;
Docker Compose入门示例
Compose的使用非常简单,只需要编写一个docker-compose.yml
,然后使用docker-compose
命令操作即可。docker-compose.yml
描述了容器的配置,而docker-compose
命令描述了对容器的操作。接着之前使用Dockerfile构建Docker镜像的例子,我们在Dockerfile的上一级目录,创建docker-compose.yml
文件,目录结构树:
├── docker-compose.yml
└── static_web_test
├── Dockerfile
└── eureka-0.0.1-SNAPSHOT.jar
- 然后在
docker-compose.yml
中添加内容如下:
static_web_test:
build: ./static_web_test
ports:
- "8761:8761"
expose:
- 8761
- 在
docker-compose.yml
所在路径执行:
docker-compose up
发现打印日志:
opt_static_web_test_1 is up-to-date
Attaching to opt_static_web_test_1