一、离线环境安装docker

本实验安装环境如下:

l  Centos Linux release 7.5.1804

blob.png

l  docker-ce-18.06.1.ce-3.el7.x86_64

可用下载地址:https://mirrors.aliyun.com/docker-ce/linux/centos/7/x86_64/stable/Packages/

       安装步骤:

1.         挂载系统安装镜像,制作本地yum

mount /dev/sr0 /mnt/

vim /etc/yum.repos.d/localiso.repo

[base]

name=CentOS-$releasever - Base

baseurl=file:///mnt

gpgcheck=0

2.         安装docker

yum localinstall -y docker-ce-18.06.1.ce-3.el7.x86_64.rpm

3.         验证docker安装成功

l  docker version               ####检查docker版本

Docker入门基础_第1张图片

docker info                     ###检查docker系统信息

Docker入门基础_第2张图片

systemctl status docker                        ###检查docker服务状态

Docker入门基础_第3张图片

二、使用febootstrap制作操作系统的docker镜像

Centos7的系统镜像中没有febootstrap安装包,可以挂载centos6的系统镜像,使用yum安装febootstrap,使用如下命令可以制作操作系统的docker镜像所需的文件(假如操作系统镜像文件在本地文件系统上)

febootstrap -i bash -i openssh-server -i openssh-clients centos75 centos75-installDir file:///mnt

###-i    要在镜像中安装的软件,本例中安装了bashssh-server

####centos75     镜像的名称

####centos75-installDir          生成的镜像文件的存放目录

####file:///mnt             操作系统镜像的链接,如果是基于互联网的镜像源,可以指定为类似http://iso.repo/iso格式

此命令执行成功后,会在指定的目录centos75-installDir中生成类似于linux操作系统文件的目录

blob.png

执行以下命令,将生成的操作系统镜像文件导入到docker中成为image

tar -c . | docker import - centos75

导入为镜像之后,执行docker images命令查看已有的镜像信息

blob.png

执行以下命令运行刚才生成的镜像,-t指定docker生成交互的伪终端,i指定和docker容器交互:

docker run -ti centos75:7.5 bash

blob.png

三、Docker常用命令

l  docker pull centos:latest            ####拉取镜像,默认从docker hup拉取

l  docker images                     ###列出本地已经存在的image

l  docker tag centos75:7.5 centos-tagtest:7.5          ##给镜像centos75:7.5添加新的仓库标签,之后可以使用原来的标签和新的标签同时访问镜像,镜像名称只能小写字母

    blob.png

l  docker inspect centos75:7.5          ###查看镜像的详细信息,返回的结果为json格式,可以使用-f获取指定的项

blob.png

l  docker rmi centos75-tagtest:7.5           ###使用镜像标签删除镜像,当同一个镜像(同一个镜像id)有多个标签时,如果不是最后一个标签,通过标签删除镜像,只是删除了镜像对应的镜像标签,不会影响镜像文件。当镜像只有一个标签是=时,删除最后一个标签会删除整个镜像。

l  docker rmi 03f8a5cba27d              ##使用镜像id删除镜像,此时会先尝试删除此镜像指向的所有标签,然后删除该镜像文件本身。如果镜像有运行中的容器,默认不允许删除。可以使用-f强制删除,但是不建议使用此参数

blob.png

l  docker commit -p -m "add a new file:/testCreateImage" 9dc62934a4b1 new-test-image:1            ####基于一个运行中的容器生成新的镜像

l  docker save –o imgae.tar centos75:7.5           #####将镜像保存为本地文件

l  docker load  --input imgae.tar   || docker load < image.tar           ####通过本地文件导入镜像到本地镜像库

l  cat image.tar | docker import  –  image:latest           ###从本地模板导入镜像

l  docker tag image:lastest image:7.5             ##为镜像更改标签

l  docker create –it centos:7.5           ###创建docker容器,create命令创建的容器处于停止状态,可以使用docker start启动,创建容器支持很多选项,具体可以查看help

l  docker run –it –d centos:7.5 bash         ###等价于create然后start,使用run创建并启动容器包含以下过程:

Ø  检查本地是否存在指定的镜像,如果不存在,从默认的公共镜像源下载镜像

Ø  利用镜像创建一个容器,并启动该容器

Ø  分配一个文件系统给容器,并在只读的镜像层外面挂载一个可读写层

Ø  从宿主主机中配置的网桥接口中分配一个虚拟接口到容器

Ø  从网桥的地址池中分配一个ip给容器

Ø  执行用户指定的应用程序

Ø  执行完毕后容器被自动终止

-t选项让docker分配到一个伪终端并绑定到容器的标准输入,用户可以通过此终端和容器交互

-i选项让容器的标准输入保持打开

-d选项让容器以守护态运行。

docker容器中指定的应用终结时,容器也会自动终止,容器会立刻处于stopped状态,可以使用start命令来重新启动。

l  docker stop  [–t|--time=10] centos:7.5          ###终止一个容器。首先向容器发送sigterm信号,等待一段超时时间(10s)后再发送sigkill信号强制终止;docker kill直接发送sigkill信号

Docker入门基础_第4张图片

l  使用-d选项后,容器会进入后台,用户无法看到容器中的信息,也无法操作容器,此时,可通过以下方式进入容器进行操作:

Ø  docker attach –detach-keys=CTRL-P –no-stdin CONTAINER ID         

--detach-keys          ##指定退出attach模式的快捷键,默认先ctrl+p然后ctrl+q

--no-stdin         ###是否关闭标准输入,默认保持打开

此方法,多个窗口同时连接到一个容器时,所有窗口同步显示,一个窗口被阻塞,会导致其他窗口也被阻塞

blob.png

Ø  docker exec [-d|--detach] [--detach-keys=[]] [-i] [-t] [-u|--user=[USER]] [--privileged=true|false] CONTAINER ID COMMAND ARGS

blob.png

l  docker rm CONTAINER ID       ##删除容器

l  docker export [-o|--output=FILE] CONTAINERID  || docker export CONTAINERID > FILE             ##导出容器到一个文件,无论容器是否运行都可以导出,实现容器迁移,通过docker loaddocker import导入容器实现容器迁移

四、Docker数据管理

Docker容器中数据管理主要有2种方式:

l  数据卷Data Volume

l  数据卷容器Data volume Container

1.         数据卷Data Volume

Data volume是宿主机上的一个可供容器使用的特殊的目录,它将宿州os上的系统目录直接映射到容器中,挂载给容器系统使用,可以提供如下特性:

n  数据卷可以在容器之间共享和重用,容器间传递数据将变得高效方便

n  对数据卷内容的修改会立马生效,无论是本地操作还是容器操作

n  对数据卷的修改不会影响镜像,解耦了应用和数据

n  卷会一直存在,直到没有容器使用,可以安全的卸载

创建包含数据卷的容器:

docker create -t -i  -v /webdir centos75:7.5 bash

创建包含数据卷的容器之后,通过docker inspect查看容器详细信息,可以看到挂载的数据卷对应的本地地址:blob.png

Docker入门基础_第5张图片

指定容器数据卷对应的本地位置:

docker create -t -i -v /docker:/webapp --name t1 -P centos75:7.5 bash

通过docker inspect查看挂载的数据卷得信息,将本地os目录/docker挂载给了容器的/webapp目录,权限为RW

Docker入门基础_第6张图片

使用如下命令可将本地目录挂载为只读的数据卷:

docker create -t -i -v /docker:/webapp:ro --name  t1 -P centos75:7.5 bash

一个容器可以将一个本地目录挂载给容器的多个目录,不同的容器也可以挂载同一个目录,此情况下,无论是在容器中还是在本地,对目录的更改都会立即体现到所有容器或本地文件系统

2.         数据卷容器Data Volume Container

数据卷容器是一个容器,是专门用来提供数据卷供其他容器挂载。在一个容器A中使用数据卷,在其他容器中可使用--volumes-from参数挂载容器A中的所有数据卷。

使用如下命令创建数据卷容器,挂载本地目录/docker分别到容器的/webroot/webapp目录:

docker run -ti -d -v /docker/:/webroot -v /docker/:/webapp centos75:7.5 bash

Docker入门基础_第7张图片

创建一个新的容器,使用参数--volumes-from挂载数据卷容器中的数据卷:

docker run -i -t -d --volumes-from bd7 centos75:7.5 bash

blob.png

可以看到,挂载了数据卷容器中的数据卷的容器,只是挂载了和数据卷容器中一样的目录,数据卷容器自身不需要一直处于运行状态:

Docker入门基础_第8张图片

最新的数据卷(容器)管理docker提供了docker volume命令,通过docker create –mount选项,docker提供了更多的高级挂载选项:

Docker入门基础_第9张图片

docker数据卷挂载原则:

n  挂载一个空目录到容器的非空目录,容器非空目录中的内容将被隐藏

五、端口映射与容器互联

容器中运行服务,需要向外提供服务的场景下,需要将容器的ip和相关端口曝露在外让外部地址访问。docker提供了2种方式来满足外部访问容器应用的方式:

l  映射容器内端口到宿主主机的端口

l  容器互联机制实现多个容器间通过容器名来互相访问

1.         映射容器内端口到宿主主机的端口

容器启动之后,系统会自动分配IP地址给容器。从宿主机的docker0的桥接网卡上可以访问容器的IP地址。宿主机之外的系统无法访问容器的ip和端口,只能通过访问宿主机NAT之后的IP和端口。docker rundocker create-P/p选项可以将容器曝露的端口映射为宿主机上的端口,在宿主机之外的系统上可以通过访问宿主机的IP和相关端口(NAT后)访问容器提供的服务。

以下命令将docker容器的8022端口分别映射到宿主机的802222端口,在容器中启动httpd,访问宿主机的80端口可以访问容器提供的web服务,访问宿主主机的2222端口可以访问到容器的22端口:

docker run -d -p 2222:22 -p 80:80 -v /mnt:/mnt centos75-httpd-sshd /usr/sbin/sshd –D

blob.png

Docker入门基础_第10张图片

Docker入门基础_第11张图片

以下格式可以映射指定IP地址而不是宿主机的所有IP地址:

-p 127.0.0.1:80:80

-p 127.0.0.1:123:123/udp

-p 127.0.0.1::80

以下命令可以查看容器映射的端口详情,或者使用docker inspect也可以查看映射情况:

docker port 2c

blob.png

Docker入门基础_第12张图片

2.         容器互联机制实现多个容器间通过容器名来互相访问

创建一个数据库容器:

docker run –d --name db postgres

创建新的容器,将它连接到db容器:

docker run -d -P --name web --link db:db image python web.py

--link参数格式为--link name:aliasname表示要连接的容器名称,alias是这个连接的别名

六、Docker网络管理

Docker容器网络利用了Linux虚拟网络技术,目前支持5中网络模式(libnetwork5种内置网络驱动)

l  bridge驱动,默认驱动。此驱动为Docker的默认设置驱动,使用这个驱动的时候,libnetwork将创建出来的Docker容器连接到Docker网桥上。作为最常规的模式,bridge模式已经可以满足Docker容器最基本的使用需求了。然而其与外界通信使用NAT,增加了通信的复杂性,在复杂场景下使用会有诸多限制。

l  host驱动,libnetwork将不为Docker容器创建网络协议栈,即不会创建独立的network namespaceDocker容器中的进程处于宿主机的网络环境中,相当于Docker容器和宿主机共同用一个network namespace,使用宿主机的网卡、IP和端口等信息。但是,容器其他方面,如文件系统、进程列表等还是和宿主机隔离的。host模式很好地解决了容器与外界通信的地址转换问题,可以直接使用宿主机的IP进行通信,不存在虚拟化网络带来的额外性能负担。但是host驱动也降低了容器与容器之间、容器与宿主机之间网络层面的隔离性,引起网络资源的竞争与冲突。

l  overlay驱动。此驱动采用IETE标准的VXLAN方式,并且是VXLAN中被普遍认为最适合大规模的云计算虚拟化环境的SDN controller模式。在使用过程中,需要一个额外的配置存储服务,例如Consuletcdzookeeper。还需要在启动Docker daemon的时候额外添加参数来指定所使用的配置存储服务地址。

l  remote驱动。这个驱动实际上并未做真正的网络服务实现,而是调用了用户自行实现的网络驱动插件,使libnetwork实现了驱动的可插件化,更好地满足了用户的多种需求。用户只需要根据libnetwork提供的协议标准,实现其所要求的各个接口并向Docker daemon进行注册。

l  null驱动。使用这种驱动的时候,Docker容器拥有自己的network namespace,但是并不为Docker容器进行任何网络配置。也就是说,这个Docker容器除了network namespace自带的loopback网卡名,没有其他任何网卡、IP、路由等信息,需要用户为Docker容器添加网卡、配置IP等。这种模式如果不进行特定的配置是无法正常使用的,但是优点也非常明显,它给了用户最大的自由度来自定义容器的网络环境。

Ø  默认情况下,docker安装成功之后,docker daemon会创建在3个网络,分别是bridge,hostnone,分别使用bridge,hostnull驱动,这3种内置的默认网络是无法使用docker network rm进行删除的:

blob.png

Ø  使用如下命令创建和删除network,默认驱动为bridge,可通过-d host指定驱动类型为host,或通过-d指定其他网络类型(host,overlay,null,remote)

docker network create frontend

docker network rm frontend

Docker入门基础_第13张图片

创建bridge类型的network后,会在host上生产对应的bridgebridge名称为br-networkID

Docker入门基础_第14张图片

blob.png

Ø  使用如下命令运行一个容器,没有指定连接哪个network,默认连接到名为bridgenetwork上,会在host上生成veth的网卡,查看bridge信息,可以看到此veth接口连接在默认的docker bridge上面,如果容器未运行,主机上不会存在容器对应的网卡:

docker run -it -d 35b925abf710 bash

Docker入门基础_第15张图片

Ø  使用如下命令运行一个容器,指定容器的网卡连接到backend这个network上,可以看到容器的后端网卡连接到了新的bridge

docker run -it -d --network backend 35b925abf710 bash

blob.png

Docker入门基础_第16张图片

登陆到容器中查看容器的IP地址,可以看到连接到不同bridge的容器网卡,分配了不同网段的IP地址,彼此无法通信

Docker入门基础_第17张图片

Ø  通过以下命令可以为容器添加网卡,并指定连接到特定的network

docker network connect bridge 19226ae822cf

Docker入门基础_第18张图片

Ø  创建或运行容器时指定IP地址--ip

此场景只有在用户自定义网络的情况下支持

blob.png

 

七、docker私有镜像仓库管理

centos7系统中可通过安装docker-registry包构建私有镜像仓库,docker-registry安装之后会生成/etc/docker-distribution/registry/config.yml配置文件,通过以下命令启用私有镜像仓库服务:

registry serve /etc/docker-distribution/registry/config.yml >> /var/log/docker-registry.log 2>&1 &

服务启动之后会默认监听5000端口提供服务:

Docker入门基础_第19张图片

执行以下命令检查registry服务是否正常:

curl http://9.38.91.200:5000/v2/_catalog

blob.png

 

八、Dockerd相关参数

l  dockerd默认配置文件:/etc/systemd/system/docker.service.d/docker.conf

l  dockerd服务端默认监听本地的unix:///var/run/docker.sock套接字,要指定监听的TCP/IP协议栈上,可以使用dockerd的启动选项: -H, --host=[unix:///var/run/docker.sock]: tcp://[host:port] to bind or unix://[/path/to/socket] to use.

l  docker客户端默认通过本地unix:///var/run/docker.sock套接字向服务端发送命令

l  新版本的docker daemon进程为/usr/bin/dockerd,只负责提供对客户端API的支持;容器生命周期管理单独放到docker-containerd中进行管理,防止dockerd进程异常时对容器的影响。

没有运行任何容器时,系统运行dockerd进程:

Docker入门基础_第20张图片

启动容器之后,系统会启一个新的docker-containerd-shim进程管理维护容器生命周期:

Docker入门基础_第21张图片

l  docker daemon默认允许同一个bridge内的容器及主机互相通信,可以通过dockerd选项禁止容器间通信:--icc=true|false.

容器之间需要通信,可以通过link的方式进行通信

blob.png

l  设置容器内MTU,默认为0,在容器内为1500--mtu=0

l  dockerd的启动选项--dns=IPADDR指定使用指定的默认DNS服务器,此参数也可以在容器运行时指定。默认配置如下:

Docker入门基础_第22张图片

l  dockerd的启动选项--dns-search=DOMAIN指定容器的默认搜索域,也可以在容器创建或运行时指定

容器运行或创建时的选项:

-h OR --hostname=HOSTNAME    ##配置容器主机名

九、docker-compose使用方法

docker官方推出的复杂系统编排工具,可以灵活的对各种容器资源实现定义和管理,快速创建和管理基于docker容器的应用集群。

docker-compose通过一个单独的docker-compose.yml模板文件来定义一组相互关联的应用容器作为一个项目,其中包含2个概念:

n  服务service:一个应用的容器,可以包含为若干运行相同镜像的容器实例

n  项目project:一组相互关联的应用容器组成的一个完整业务单元。

 

十、常见问题

1.       docker容器中的服务使用systemctl命令时报错:Failed to get D-Bus connection: Operation not permitted

【问题原因】:容器不支持完整的service management system,管理服务的时候建议直接使用service daemo操作

2.         使用如下CMD通过dockerfile build httpd镜像

CMD ["/usr/sbin/httpd",”-D”,” FOREGROUND”]