Docker实战笔记:Docker简介(一)

为什么80%的码农都做不了架构师?>>>   hot3.png

Docker实战笔记

[TOC]

提纲

此Docker系列学习笔记,根据Reboot教育的运维自动化部分课程整理而成,补充少量个人理解以及练习日志(部分日志有删减)。

  • Docker简介(一)
  • Docker简介(二)
  • Docker管理系统(一)
  • Docker管理系统(二)
  • Docker管理系统(三)
  • Docker原理-namespace和文件系统
  • Docker原理-徒手创建一个docker容器
  • Docker、etcd构建服务自发现体系
  • Docker生态系统:k8s、etcd等
  • etcd分布式一致性算法paxos、raft

Docker简介(一)

百度百科:Docker

为什么要使用Docker

变复杂的安装配置为一条命令解决:秒级启动镜像,资源消耗极少;

Containers vs VMs

  • VMs = Server + Host OS + Hypervisor(Type2)+ Guest OS + Bins/Libs +(App A | App A' | App B)
  • Containers = Server + Host OS + Docker Engine + ((Bins/Libs +App A | App A') | (Bins/Libs +App B))
  • 结论:Docker去除了传统虚机的Guest OS层,免除了对应overhead
  • Docker Engine 替代了VM中的Guest OS + Hypervisor(Type2)层

Docker使得部署密度前所未有的高:

  • 32核/64G内存,
  • 开4*4虚机(4核,4G内存),开8~16个虚机极限了;
  • BAE:200个容器,系统资源还是很闲;

每个Docker进程可以忽略其存在,他的厚度和Hypervisor差不多,相当于一个转换器,在这个角度,Docker和Wine有点儿像。

Docker vs WINE

  • WINE:wine is not emulator
  • 在Linux下运行Windows程序的黑科技:Office、魔兽争霸、暗黑
  • 做一个二进制的翻译,把Windows的调用劫持,转换为Linux调用
  • Docker的位置和WINE很像,但都是Linux,所以不用做太多的转换

Docker和Linux

  • Linux = kernel + Gun(Glibc + ls等命令)
  • Docker = kernel + libc + 应用
  • 命令比如,yum (伪装成CentOS)、apt(伪装成 Ubuntu)

Docker这么设计,效率非常高基本上就是占了点儿磁盘,消耗基本上就是资源隔离

Docker、Vagrant、VMs

ThinkPad R400,双核,4G内存,Win10 OS;

启动一个虚拟机跑一个Redmine系统来配合开发验证,基本上卡得就动不了了;启动停止也慢;操作起来像慢镜头;

启动4-8个CentOS 6.6Vagrant服务,基本上不影响系统操作。只有启动停止耗时较长;

Docker,基本上无感:不影响系统,启动停止都是秒级的;

基本概念

三个基本组件:镜像、容器、仓库;

镜像

  • Docker镜像(Image)就是一个只读的模版。镜像可以用来创建Docker容器

容器

  • Docker利用容器(container)来运行应用
  • 容器是从镜像创建的运行实例。它可以被启动、开始、停止、删除。每个容器都是相互隔离的、保证安全的平台
  • 可以把容器看做是一个简易版的Linux环境(包括root用户权限、进程空间、用户空间和网络空间等)和运行在其中的应用程序。
  • 镜像是只读的,容器在启动的时候创建一层可写层作为最上层

仓库

  • 仓库(Repository)是集中存放镜像文件的场所。有时候会把仓库和仓库注册服务器(Registry)混为一谈,并不严格区分。实际上,仓库注册服务器上往往存放着多个仓库,每个仓库又包含了多个镜像,每个镜像有不同的标签(tag)
  • 仓库分为公开仓库(Public)和私有仓库(Private)两种形式

快速安装

Linux下安装

  • Docker目前只能安装在64位平台上
  • 内核版本不低于3.10,实际上内核越新越好,过低的内核版本容易造成功能的不稳定
  • 尽量采用最新版的内核、docker-engine
  • 拒绝在CentOS6上运行Docker(太坑了),CentOS 不支持AUFS,不稳定;
    • CentOS上 = Docker + devicemapper(需要root)
    • Ubuntu上 = Docker + AUFS
  • sudo curl -sSL https://get.docker.com/ | sh
  • sudo chkconfig docker on(先启动dockerd服务,然后再运行Docker命令)
  • dockerd这个服务千万不要重启:重启所有容器都挂,那就是运行事故了

Mac & Windows平台安装

多用来学习Docker。我的安装日志:Docker的第一次亲密接触

Mac安装:Get started with Docker for Mac

Windows安装:Get started with Docker for Windows

基本操作

docker ps

默认列出当前运行的所有容器

加上-a 参数列出所有运行、运行过的容器(没有删除的)

[AnInputForce@teach ~]$ docker ps
CONTAINER ID        IMAGE                          COMMAND                  CREATED             STATUS              PORTS                                                               NAMES
48f6c0b28e09        jenkins                        "/bin/tini -- /usr/lo"   41 hours ago        Up 36 hours         0.0.0.0:50000->50000/tcp, 0.0.0.0:8081->8080/tcp                    myjenkins
acfdad773539        gitlab/gitlab-ce:latest        "/assets/wrapper"        42 hours ago        Up 42 hours         0.0.0.0:2022->22/tcp, 0.0.0.0:2080->80/tcp, 0.0.0.0:2443->443/tcp   gitlab
  • 为什么我这里没用root也能跑:
    • 我们把用户加入docker这个组,默认就有docker这个权限了
[AnInputForce@teach ~]$ cat /etc/group | grep docker
docker:x:1001:work,AnInputForce
  • 避免线上用root权限,也可以给docker加上一个SUID权限[^在linux中"chmod u+s "这个命令是做什么的?]
    • 示例账号没有root权限,所以赋权不成功
[AnInputForce@teach ~]$ which docker
/usr/bin/docker
[AnInputForce@teach ~]$ ll /usr/bin/docker
-rwxr-xr-x 1 root root 13914088 10月 12 01:36 /usr/bin/docker
[AnInputForce@teach ~]$ chomod u+s /usr/bin/docker
chmod: 更改"/usr/bin/docker" 的权限: 不允许的操作

[^在linux中"chmod u+s "这个命令是做什么的?]: “为了方便普通用户执行一些特权命令,SUID/SGID程序允许普通用户以root身份暂时执行该程序,并在执行结束后再恢复身份。” chmod u+s 就是给某个程序的所有者以suid权限,可以像root用户一样操作。

docker ps结果字段注释

[AnInputForce@teach ~]$ docker run centos uname -a
Linux 60364ce6d60c 4.8.5-1.el7.centos.x86_64 #1 SMP Fri Oct 28 09:27:15 EDT 2016 x86_64 x86_64 x86_64 GNU/Linux
[AnInputForce@teach ~]$ docker ps
CONTAINER ID        IMAGE                          COMMAND                  CREATED             STATUS              PORTS                                                               NAMES
48f6c0b28e09        jenkins                        "/bin/tini -- /usr/lo"   42 hours ago        Up 36 hours         0.0.0.0:50000->50000/tcp, 0.0.0.0:8081->8080/tcp                    myjenkins
acfdad773539        gitlab/gitlab-ce:latest        "/assets/wrapper"        42 hours ago        
[AnInputForce@teach ~]$ docker ps -a
CONTAINER ID        IMAGE                          COMMAND                  CREATED             STATUS                      PORTS                                                               NAMES
60364ce6d60c        centos                         "uname -a"               53 seconds ago      Exited (0) 52 seconds ago                                                                       adoring_mcclintock
f53886776491        ubuntu                         "/bin/bash"              14 hours ago        Exited (0) 14 hours ago                                                                         admiring_chandrasekhar
48f6c0b28e09        jenkins                        "/bin/tini -- /usr/lo"   42 hours ago        Up 36 hours                 0.0.0.0:50000->50000/tcp, 0.0.0.0:8081->8080/tcp                    myjenkins
acfdad773539        gitlab/gitlab-ce:latest        "/assets/wrapper"        42 hours ago        Up 42 hours                 0.0.0.0:2022->22/tcp, 0.0.0.0:2080->80/tcp, 0.0.0.0:2443->443/tcp   gitlab

[AnInputForce@teach ~]$ 
CONTAINER ID IMAGE COMMAND CREATED STATUS PORTS NAMES
容器ID 采用哪个镜像 当前运行的命令 起跑日期 状态 端口 名字(自己起全局唯一)

command的设计场景

  • 我跑一个脚本一样的命令
docker run centos uname -a
  • 我跑一个虚拟机一样的命令
dokcer run centos tail -f /etc/hosts

docker port

查看容器已经做了端口映射的端口被映射到了哪个端口上。docker ps 也可以看到。这个命令或许为了方便二次开发;

比如我本机启动了个叫webserver的nginx容器,映射了本机80端口到容器的80端口:

ChinaDreams:etc kangcunhua$ docker ps
CONTAINER ID        IMAGE               COMMAND                  CREATED             STATUS              PORTS                         NAMES
70d241e335b5        nginx               "nginx -g 'daemon off"   6 days ago          Up 4 days           0.0.0.0:80->80/tcp, 443/tcp   webserver
ChinaDreams:etc kangcunhua$ docker port webserver 80
0.0.0.0:80

Docker 默认访问外边是可以的,做了NAT。

[AnInputForce@teach ~]$ docker run centos ping -c 3 g.cn
PING g.cn (203.208.51.84) 56(84) bytes of data.
64 bytes from 203.208.51.84: icmp_seq=1 ttl=53 time=4.19 ms
64 bytes from 203.208.51.84: icmp_seq=2 ttl=53 time=4.24 ms
64 bytes from 203.208.51.84: icmp_seq=3 ttl=53 time=4.19 ms

--- g.cn ping statistics ---
3 packets transmitted, 3 received, 0% packet loss,

外边访问里边需要配置端口映射,后续讲(比较坑)

docker pull

以下三条命令一个作用:从官方dockerhub下载Ubuntu镜像

  • docker pull ubuntu
  • docker pull ubutu:12:04
  • docker pull registry.hub.docker.com/ubuntu:12.04

docker images

  • docker images

  • docker rmi:删镜像(比较危险,删之前关闭镜像启动的所有容器)

  • [AnInputForce@teach ~]$ docker images
    REPOSITORY                TAG                 IMAGE ID            CREATED             SIZE
    centos                    7                   0584b3d2cf6d        11 days ago         196.5 MB
    centos                    latest              0584b3d2cf6d        11 days ago         196.5 MB
    ubuntu                    latest              f753707788c5        4 weeks ago         127.2 MB
    ubuntu                    14.04               1e0c3dd64ccd        4 weeks ago         187.9 MB
    

docker run

  • 启动一个交互式的命令行容器

    • [AnInputForce@teach ~]$ docker run -it centos /bin/bash
      
    • i:交互,t:tty

  • 建议如下:

    • docker run —name="centos" -itd centos tail -f /etc/hosts
    • docker exec -it centos /bin/bash
    • -p 映射端口
    • -v映射目录

docker stop/rm

  • docker stop centos
  • docker rm centos
  • docker rm -f centos

docker rm命令演示

启动一个交互式容器

[AnInputForce@teach ~]$ docker run -it centos /bin/bash
[root@69719220cdb6 /]# ps aux
USER       PID %CPU %MEM    VSZ   RSS TTY      STAT START   TIME COMMAND
root         1  0.3  0.0  11784  2912 ?        Ss   04:48   0:00 /bin/bash
root        15  0.0  0.0  47432  3212 ?        R+   04:49   0:00 ps aux

退出容器后查看进程,删除容器

[AnInputForce@teach ~]$ docker ps -a
CONTAINER ID        IMAGE                          COMMAND                  CREATED             STATUS                          PORTS                                                               NAMES
69719220cdb6        centos                         "/bin/bash"              10 minutes ago      Exited (0) About a minute ago                                                                       serene_murdock
97aff7c4e9a7        centos                         "ping -c 3 g.cn"         36 minutes ago      Exited (0) 36 minutes ago                                                                           berserk_fermat
2437fdcc6023        centos                         "uname -a"               43 minutes ago      Exited (0) 43 minutes ago                                                                           lonely_wright
[AnInputForce@teach ~]$ 
[AnInputForce@teach ~]$ docker rm 69719220cdb6
69719220cdb6
[AnInputForce@teach ~]$ docker ps -a
CONTAINER ID        IMAGE                          COMMAND                  CREATED             STATUS                         PORTS                                                               NAMES
97aff7c4e9a7        centos                         "ping -c 3 g.cn"         43 minutes ago      Exited (0) 43 minutes ago                                                                          berserk_fermat
2437fdcc6023        centos                         "uname -a"               50 minutes ago      Exited (0) 50 minutes ago                                                                          lonely_wright
[AnInputForce@teach ~]$ docker rm 69719220cdb6
Error response from daemon: No such container: 69719220cdb6

docker exec 进入容器

  • docker run —name="centos_kch" -itd centos tail -f /etc/hosts

  • docker exec -it centos_kch /bin/bash #进入交互式bash

  • Run 命令可以启动一个容器(如果没有则启动,然后运行命令),exec的目标必须是一个启动的容器

  • [AnInputForce@teach ~]$ docker run --name="centos_kch" -itd centos tail -f /etc/hosts
    6b6a260a95754e2c2b4942506bd53d3aecacc26568b6242613b39648afa16876
    [AnInputForce@teach ~]$ docker exec -it centos_kch /bin/bash
    [root@6b6a260a9575 /]# ps aux
    USER       PID %CPU %MEM    VSZ   RSS TTY      STAT START   TIME COMMAND
    root         1  0.0  0.0   4364   784 ?        Ss+  05:43   0:00 tail -f /etc/hosts
    root         7  0.0  0.0  11760  2924 ?        Ss   05:43   0:00 /bin/bash
    root        21  0.0  0.0  47432  3216 ?        R+   05:45   0:00 ps aux
    [root@6b6a260a9575 /]# 
    

好玩的

ps aux | grep tail :我们是可以在宿主机上看到Docker容器中的进程的

但是,我们在宿主机中杀不掉,因为docker的资源隔离做得好

[AnInputForce@teach ~]$ ps aux | grep tail
root      2773  0.0  0.0  18036   220 ?        S    11月12   0:00 /bin/bash /opt/gitlab/bin/gitlab-ctl tail
root      9369  0.0  0.0   4364   784 pts/14   Ss+  13:43   0:00 tail -f /etc/hosts
AnInput+  9486  0.0  0.0 112672  2228 pts/11   R+   13:43   0:00 grep --color=auto tail
[AnInputForce@teach ~]$ sudo killall tail #当然此用户没有sudo权限

结论:

如果有root还干不掉的进程,一个场景就是宿主机上运行的Docker容器里的进程:虽然可以看到,但是杀不掉。因为Docker优秀的资源隔离特性;

转载于:https://my.oschina.net/hexie/blog/787515

你可能感兴趣的:(运维,操作系统,网络)