Docker

Overview

Docker 使用 Google 公司推出的 Go 语言 进行开发实现，基于 Linux 内核的 cgroup，namespace，以及 AUFS 类的 Union FS 等技术，对进程进行封装隔离，属于 操作系统层面的虚拟化技术。由于隔离的进程独立于宿主和其它的隔离的进程，因此也称其为容器。最初实现是基于 LXC，从 0.7 版本以后开始去除 LXC，转而使用自行开发的 libcontainer，从 1.11 开始，则进一步演进为使用 runC 和 containerd。

Docker 在容器的基础上，进行了进一步的封装，从文件系统、网络互联到进程隔离等等，极大的简化了容器的创建和维护。使得 Docker 技术比虚拟机技术更为轻便、快捷。

下面的图片比较了 Docker 和传统虚拟化方式的不同之处。传统虚拟机技术是虚拟出一套硬件后，在其上运行一个完整操作系统，在该系统上再运行所需应用进程；而容器内的应用进程直接运行于宿主的内核，容器内没有自己的内核，而且也没有进行硬件虚拟。因此容器要比传统虚拟机更为轻便。

Docker与传统虚拟化区别

Docker objects

When you use Docker, you are creating and using images, containers, networks, volumes, plugins, and other objects. This section is a brief overview of some of those objects.

IMAGES
An image是一个只读的template，其中有创建Docker容器的说明。通常，image是基于另一种image，还有一些额外的定制。例如，您可以构建基于ubuntu image 的image，但安装Apache web服务器和应用程序，以及使应用程序运行所需的配置细节。

我们都知道，操作系统分为内核和用户空间。对于 Linux 而言，内核启动后，会挂载 root 文件系统为其提供用户空间支持。而 Docker 镜像（Image），就相当于是一个 root 文件系统。比如官方镜像 ubuntu:16.04 就包含了完整的一套 Ubuntu 16.04 最小系统的 root 文件系统。

Docker 镜像是一个特殊的文件系统，除了提供容器运行时所需的程序、库、资源、配置等文件外，还包含了一些为运行时准备的一些配置参数（如匿名卷、环境变量、用户等）。镜像不包含任何动态数据，其内容在构建之后也不会被改变。

• 分层存储

因为镜像包含操作系统完整的 root 文件系统，其体积往往是庞大的，因此在 Docker 设计时，就充分利用 Union FS 的技术，将其设计为分层存储的架构。所以严格来说，镜像并非是像一个 ISO 那样的打包文件，镜像只是一个虚拟的概念，其实际体现并非由一个文件组成，而是由一组文件系统组成，或者说，由多层文件系统联合组成。

镜像构建时，会一层层构建，前一层是后一层的基础。每一层构建完就不会再发生改变，后一层上的任何改变只发生在自己这一层。比如，删除前一层文件的操作，实际不是真的删除前一层的文件，而是仅在当前层标记为该文件已删除。在最终容器运行的时候，虽然不会看到这个文件，但是实际上该文件会一直跟随镜像。因此，在构建镜像的时候，需要额外小心，每一层尽量只包含该层需要添加的东西，任何额外的东西应该在该层构建结束前清理掉。

分层存储的特征还使得镜像的复用、定制变的更为容易。甚至可以用之前构建好的镜像作为基础层，然后进一步添加新的层，以定制自己所需的内容，构建新的镜像。

CONTAINERS
A container is a runnable instance of an image. You can create, start, stop, move, or delete a container using the Docker API or CLI. You can connect a container to one or more networks, attach storage to it, or even create a new image based on its current state.

默认情况下，container与其他container及其host machine是相对较好的隔离。您可以控制容器的network、storage or other underlying subsystems是如何从其他containers or from the host machine 中分离出来的。

container是由它的image定义的，以及当您创建或启动它时提供给它的任何配置选项。当一个container被删除时，对其状态的任何更改都不会被存储在持久性存储中
镜像（Image）和容器（Container）的关系，就像是面向对象程序设计中的 类 和 实例 一样，镜像是静态的定义，容器是镜像运行时的实体。容器可以被创建、启动、停止、删除、暂停等。

容器的实质是进程，但与直接在宿主执行的进程不同，容器进程运行于属于自己的独立的 命名空间。因此容器可以拥有自己的 root 文件系统、自己的网络配置、自己的进程空间，甚至自己的用户 ID 空间。容器内的进程是运行在一个隔离的环境里，使用起来，就好像是在一个独立于宿主的系统下操作一样。这种特性使得容器封装的应用比直接在宿主运行更加安全。也因为这种隔离的特性，很多人初学 Docker 时常常会混淆容器和虚拟机。

前面讲过镜像使用的是分层存储，容器也是如此。每一个容器运行时，是以镜像为基础层，在其上创建一个当前容器的存储层，我们可以称这个为容器运行时读写而准备的存储层为容器存储层。

容器存储层的生存周期和容器一样，容器消亡时，容器存储层也随之消亡。因此，任何保存于容器存储层的信息都会随容器删除而丢失。

按照 Docker 最佳实践的要求，容器不应该向其存储层内写入任何数据，容器存储层要保持无状态化。所有的文件写入操作，都应该使用 数据卷（Volume）、或者绑定宿主目录，在这些位置的读写会跳过容器存储层，直接对宿主（或网络存储）发生读写，其性能和稳定性更高。

数据卷的生存周期独立于容器，容器消亡，数据卷不会消亡。因此，使用数据卷后，容器删除或者重新运行之后，数据却不会丢失。

---

• BUILD your own docker images and push it to dockerHub

1. mkdir docker dir, and create Dockerfile file

docker build --rm -t \ 
       iamge_name . --file \ 
       ~/path-toyour-project/docker/Dockerfile

tips!
Running docker build docker/development/Dockerfile will use docker/development/Dockerfile as its build-context; any file referenced from the Dockerfile will need to be inside that path. Whereas docker build . -f docker/development/Dockerfile uses . (first argument) as build context, and loads the Dockerfile from docker/development/Dockerfile as if it was located at the root of the build-context (.)

2. 或者直接运行官方的images生成一个容器：

 docker run -it --name \ 
        postgres-db  4860bdf1a517 \ 
        bin/bash

如首次提交:

docker tag

3. 订制images :当我们运行一个容器的时候（如果不使用卷的话），我们做的任何文件修改都会被记录于容器存储层里。而 Docker 提供了一个 docker commit 命令，可以将容器的存储层保存下来成为镜像。换句话说，就是在原有镜像的基础上，再叠加上容器的存储层，并构成新的镜像。以后我们运行这个新镜像的时候，就会拥有原有容器最后的文件变化。

docker commit -m "updated" \ 
      -a "liambao”  contain_id \ 
       liambao/postgres-db:v2 (res name in dockerhub)

-m标志允许我们指定一个提交消息，就像你在版本控制系统上提交一样
-a标志允许我们为更新指定作者

4. push to remote respority

    docker push liambao/postgres-db

• issue:Permission Denied on curl and save for docker compose

sudo chown -R $(whoami) /usr/local/bin

Please DO NOT do this either (it will change the owner of every single file recursively in /usr/local/bin to the user you are currently running as). It's WAY overkill. I can't emphasize this enough.

Doing something like this is very likely to blow up in your face eventually. In /usr/local/bin on my Mac some files are owned by nathanleclaire and some are owned by root. The programs that put them there and rely on them probably expect it to stay this way. The suggested command above will totally decimate these carefully layed out file ownerships.

Instead, if needed, consider this type of operation instead. Save the file to a directory you own and then cp / mv it.

$ curl -L https://github.com/docker/compose/releases/download/1.8.0/docker-compose \
      -`uname -s`-`uname -m` \
      >~/docker-compose
$ chmod +x ~/docker-compose
$ sudo mv ~/docker-compose /usr/local/bin/docker-compose

Much safer with much less far-reaching consequences.

• ******

• ******

• ******

• ******

---

CMD options:

docker run -it --rm \
    ubuntu:16.04 \
    bash

• -it 这是两个参数，一个是 -i：交互式操作，一个是 -t 终端。我们这里打算进入 bash 执行一些命令并查看返回结果，因此我们需要交互式终端。
  --rm：这个参数是说容器退出后随之将其删除。默认情况下，为了排障需求，退出的容器并不会立即删除，除非手动 docker rm。我们这里只是随便执行个命令，看看结果，不需要排障和保留结果，因此使用 --rm 可以避免浪费空间。
  ubuntu:16.04：这是指用 ubuntu:16.04 镜像为基础来启动容器。
  bash：放在镜像名后的是命令，这里我们希望有个交互式 Shell，因此用的是 bash。

docker run -d -P \
    training/webapp \
    python [app.py](http://app.py)

• -d标志在后台运行容器（称为守护程序）。
  -P标志将容器中任何所需的网络端口映射到你的主机。这使你可以查看Web应用程序。
  training/webapp映像是一个预构建的映像，其中包含一个简单的Python Flask Web应用程序。
  剩余的参数组成在容器内运行的命令。python app.py命令启动Web应用程序。

docker run -d -p \ 
    80:5000 training/webapp \
    python [app.py](http://app.py)

• 这将映射你的容器内的端口5000到本地主机上的端口80

docker port CONTAIN_NAME 5000

• 查找外部什么端口映射到容器内的5000端口

docker logs -f CONTAIN_NAME

• 监视容器的标准输出 tail -F

docker inspect CONTAIN_NAME

• 你可以使用docker inspect命令审查Docker容器的底层。它返回一个JSON文档，其中包含指定容器的有用配置和状态信息。

docker history

• 查看你主机上的镜像层的大小

docker ps -s

• 容器大小

docker image prune

• 删除悬挂镜像