为什么80%的码农都做不了架构师?>>>
Docker实战笔记
[TOC]
提纲
此Docker系列学习笔记,根据Reboot教育的运维自动化部分课程整理而成,补充少量个人理解以及练习日志(部分日志有删减)。
- Docker简介(一)
- Docker简介(二)
- Docker管理系统(一)
- Docker管理系统(二)
- Docker管理系统(三)
- Docker原理-namespace和文件系统
- Docker原理-徒手创建一个docker容器
- Docker、etcd构建服务自发现体系
- Docker生态系统:k8s、etcd等
- etcd分布式一致性算法paxos、raft
Docker简介(一)
百度百科:Docker
为什么要使用Docker
变复杂的安装配置为一条命令解决:秒级启动镜像,资源消耗极少;
Containers vs VMs
- VMs = Server + Host OS + Hypervisor(Type2)+ Guest OS + Bins/Libs +(App A | App A' | App B)
- Containers = Server + Host OS + Docker Engine + ((Bins/Libs +App A | App A') | (Bins/Libs +App B))
- 结论:Docker去除了传统虚机的Guest OS层,免除了对应overhead
- Docker Engine 替代了VM中的Guest OS + Hypervisor(Type2)层
Docker使得部署密度前所未有的高:
- 32核/64G内存,
- 开4*4虚机(4核,4G内存),开8~16个虚机极限了;
- BAE:200个容器,系统资源还是很闲;
每个Docker进程可以忽略其存在,他的厚度和Hypervisor差不多,相当于一个转换器,在这个角度,Docker和Wine有点儿像。
Docker vs WINE
- WINE:wine is not emulator
- 在Linux下运行Windows程序的黑科技:Office、魔兽争霸、暗黑
- 做一个二进制的翻译,把Windows的调用劫持,转换为Linux调用
- Docker的位置和WINE很像,但都是Linux,所以不用做太多的转换
Docker和Linux
- Linux = kernel + Gun(Glibc + ls等命令)
- Docker = kernel + libc + 应用
- 命令比如,yum (伪装成CentOS)、apt(伪装成 Ubuntu)
Docker这么设计,效率非常高基本上就是占了点儿磁盘,消耗基本上就是资源隔离
Docker、Vagrant、VMs
ThinkPad R400,双核,4G内存,Win10 OS;
启动一个虚拟机跑一个Redmine系统来配合开发验证,基本上卡得就动不了了;启动停止也慢;操作起来像慢镜头;
启动4-8个CentOS 6.6Vagrant服务,基本上不影响系统操作。只有启动停止耗时较长;
Docker,基本上无感:不影响系统,启动停止都是秒级的;
基本概念
三个基本组件:镜像、容器、仓库;
镜像
- Docker镜像(Image)就是一个只读的模版。镜像可以用来创建Docker容器
容器
- Docker利用容器(container)来运行应用
- 容器是从镜像创建的运行实例。它可以被启动、开始、停止、删除。每个容器都是相互隔离的、保证安全的平台
- 可以把容器看做是一个简易版的Linux环境(包括root用户权限、进程空间、用户空间和网络空间等)和运行在其中的应用程序。
- 镜像是只读的,容器在启动的时候创建一层可写层作为最上层
仓库
- 仓库(Repository)是集中存放镜像文件的场所。有时候会把仓库和仓库注册服务器(Registry)混为一谈,并不严格区分。实际上,仓库注册服务器上往往存放着多个仓库,每个仓库又包含了多个镜像,每个镜像有不同的标签(tag)
- 仓库分为公开仓库(Public)和私有仓库(Private)两种形式
快速安装
Linux下安装
- Docker目前只能安装在64位平台上
- 内核版本不低于3.10,实际上内核越新越好,过低的内核版本容易造成功能的不稳定
- 尽量采用最新版的内核、docker-engine
- 拒绝在CentOS6上运行Docker(太坑了),CentOS 不支持AUFS,不稳定;
- CentOS上 = Docker + devicemapper(需要root)
- Ubuntu上 = Docker + AUFS
- sudo curl -sSL https://get.docker.com/ | sh
- sudo chkconfig docker on(先启动dockerd服务,然后再运行Docker命令)
- dockerd这个服务千万不要重启:重启所有容器都挂,那就是运行事故了
Mac & Windows平台安装
多用来学习Docker。我的安装日志:Docker的第一次亲密接触
Mac安装:Get started with Docker for Mac
Windows安装:Get started with Docker for Windows
基本操作
docker ps
默认列出当前运行的所有容器
加上-a 参数列出所有运行、运行过的容器(没有删除的)
[AnInputForce@teach ~]$ docker ps
CONTAINER ID IMAGE COMMAND CREATED STATUS PORTS NAMES
48f6c0b28e09 jenkins "/bin/tini -- /usr/lo" 41 hours ago Up 36 hours 0.0.0.0:50000->50000/tcp, 0.0.0.0:8081->8080/tcp myjenkins
acfdad773539 gitlab/gitlab-ce:latest "/assets/wrapper" 42 hours ago Up 42 hours 0.0.0.0:2022->22/tcp, 0.0.0.0:2080->80/tcp, 0.0.0.0:2443->443/tcp gitlab
- 为什么我这里没用root也能跑:
- 我们把用户加入docker这个组,默认就有docker这个权限了
[AnInputForce@teach ~]$ cat /etc/group | grep docker
docker:x:1001:work,AnInputForce
- 避免线上用root权限,也可以给docker加上一个SUID权限[^在linux中"chmod u+s "这个命令是做什么的?]
- 示例账号没有root权限,所以赋权不成功
[AnInputForce@teach ~]$ which docker
/usr/bin/docker
[AnInputForce@teach ~]$ ll /usr/bin/docker
-rwxr-xr-x 1 root root 13914088 10月 12 01:36 /usr/bin/docker
[AnInputForce@teach ~]$ chomod u+s /usr/bin/docker
chmod: 更改"/usr/bin/docker" 的权限: 不允许的操作
[^在linux中"chmod u+s "这个命令是做什么的?]: “为了方便普通用户执行一些特权命令,SUID/SGID程序允许普通用户以root身份暂时执行该程序,并在执行结束后再恢复身份。” chmod u+s 就是给某个程序的所有者以suid权限,可以像root用户一样操作。
docker ps结果字段注释
[AnInputForce@teach ~]$ docker run centos uname -a
Linux 60364ce6d60c 4.8.5-1.el7.centos.x86_64 #1 SMP Fri Oct 28 09:27:15 EDT 2016 x86_64 x86_64 x86_64 GNU/Linux
[AnInputForce@teach ~]$ docker ps
CONTAINER ID IMAGE COMMAND CREATED STATUS PORTS NAMES
48f6c0b28e09 jenkins "/bin/tini -- /usr/lo" 42 hours ago Up 36 hours 0.0.0.0:50000->50000/tcp, 0.0.0.0:8081->8080/tcp myjenkins
acfdad773539 gitlab/gitlab-ce:latest "/assets/wrapper" 42 hours ago
[AnInputForce@teach ~]$ docker ps -a
CONTAINER ID IMAGE COMMAND CREATED STATUS PORTS NAMES
60364ce6d60c centos "uname -a" 53 seconds ago Exited (0) 52 seconds ago adoring_mcclintock
f53886776491 ubuntu "/bin/bash" 14 hours ago Exited (0) 14 hours ago admiring_chandrasekhar
48f6c0b28e09 jenkins "/bin/tini -- /usr/lo" 42 hours ago Up 36 hours 0.0.0.0:50000->50000/tcp, 0.0.0.0:8081->8080/tcp myjenkins
acfdad773539 gitlab/gitlab-ce:latest "/assets/wrapper" 42 hours ago Up 42 hours 0.0.0.0:2022->22/tcp, 0.0.0.0:2080->80/tcp, 0.0.0.0:2443->443/tcp gitlab
[AnInputForce@teach ~]$
CONTAINER ID | IMAGE | COMMAND | CREATED | STATUS | PORTS | NAMES |
---|---|---|---|---|---|---|
容器ID | 采用哪个镜像 | 当前运行的命令 | 起跑日期 | 状态 | 端口 | 名字(自己起全局唯一) |
command的设计场景
- 我跑一个脚本一样的命令
docker run centos uname -a
- 我跑一个虚拟机一样的命令
dokcer run centos tail -f /etc/hosts
docker port
查看容器已经做了端口映射的端口被映射到了哪个端口上。docker ps 也可以看到。这个命令或许为了方便二次开发;
比如我本机启动了个叫webserver的nginx容器,映射了本机80端口到容器的80端口:
ChinaDreams:etc kangcunhua$ docker ps
CONTAINER ID IMAGE COMMAND CREATED STATUS PORTS NAMES
70d241e335b5 nginx "nginx -g 'daemon off" 6 days ago Up 4 days 0.0.0.0:80->80/tcp, 443/tcp webserver
ChinaDreams:etc kangcunhua$ docker port webserver 80
0.0.0.0:80
Docker 默认访问外边是可以的,做了NAT。
[AnInputForce@teach ~]$ docker run centos ping -c 3 g.cn
PING g.cn (203.208.51.84) 56(84) bytes of data.
64 bytes from 203.208.51.84: icmp_seq=1 ttl=53 time=4.19 ms
64 bytes from 203.208.51.84: icmp_seq=2 ttl=53 time=4.24 ms
64 bytes from 203.208.51.84: icmp_seq=3 ttl=53 time=4.19 ms
--- g.cn ping statistics ---
3 packets transmitted, 3 received, 0% packet loss,
外边访问里边需要配置端口映射,后续讲(比较坑)
docker pull
以下三条命令一个作用:从官方dockerhub下载Ubuntu镜像
- docker pull ubuntu
- docker pull ubutu:12:04
- docker pull registry.hub.docker.com/ubuntu:12.04
docker images
-
docker images
-
docker rmi:删镜像(比较危险,删之前关闭镜像启动的所有容器)
-
[AnInputForce@teach ~]$ docker images REPOSITORY TAG IMAGE ID CREATED SIZE centos 7 0584b3d2cf6d 11 days ago 196.5 MB centos latest 0584b3d2cf6d 11 days ago 196.5 MB ubuntu latest f753707788c5 4 weeks ago 127.2 MB ubuntu 14.04 1e0c3dd64ccd 4 weeks ago 187.9 MB
docker run
-
启动一个交互式的命令行容器
-
[AnInputForce@teach ~]$ docker run -it centos /bin/bash
-
i:交互,t:tty
-
-
建议如下:
- docker run —name="centos" -itd centos tail -f /etc/hosts
- docker exec -it centos /bin/bash
- -p 映射端口
- -v映射目录
docker stop/rm
- docker stop centos
- docker rm centos
- docker rm -f centos
docker rm命令演示
启动一个交互式容器
[AnInputForce@teach ~]$ docker run -it centos /bin/bash
[root@69719220cdb6 /]# ps aux
USER PID %CPU %MEM VSZ RSS TTY STAT START TIME COMMAND
root 1 0.3 0.0 11784 2912 ? Ss 04:48 0:00 /bin/bash
root 15 0.0 0.0 47432 3212 ? R+ 04:49 0:00 ps aux
退出容器后查看进程,删除容器
[AnInputForce@teach ~]$ docker ps -a
CONTAINER ID IMAGE COMMAND CREATED STATUS PORTS NAMES
69719220cdb6 centos "/bin/bash" 10 minutes ago Exited (0) About a minute ago serene_murdock
97aff7c4e9a7 centos "ping -c 3 g.cn" 36 minutes ago Exited (0) 36 minutes ago berserk_fermat
2437fdcc6023 centos "uname -a" 43 minutes ago Exited (0) 43 minutes ago lonely_wright
[AnInputForce@teach ~]$
[AnInputForce@teach ~]$ docker rm 69719220cdb6
69719220cdb6
[AnInputForce@teach ~]$ docker ps -a
CONTAINER ID IMAGE COMMAND CREATED STATUS PORTS NAMES
97aff7c4e9a7 centos "ping -c 3 g.cn" 43 minutes ago Exited (0) 43 minutes ago berserk_fermat
2437fdcc6023 centos "uname -a" 50 minutes ago Exited (0) 50 minutes ago lonely_wright
[AnInputForce@teach ~]$ docker rm 69719220cdb6
Error response from daemon: No such container: 69719220cdb6
docker exec 进入容器
-
docker run —name="centos_kch" -itd centos tail -f /etc/hosts
-
docker exec -it centos_kch /bin/bash #进入交互式bash
-
Run 命令可以启动一个容器(如果没有则启动,然后运行命令),exec的目标必须是一个启动的容器
-
[AnInputForce@teach ~]$ docker run --name="centos_kch" -itd centos tail -f /etc/hosts 6b6a260a95754e2c2b4942506bd53d3aecacc26568b6242613b39648afa16876 [AnInputForce@teach ~]$ docker exec -it centos_kch /bin/bash [root@6b6a260a9575 /]# ps aux USER PID %CPU %MEM VSZ RSS TTY STAT START TIME COMMAND root 1 0.0 0.0 4364 784 ? Ss+ 05:43 0:00 tail -f /etc/hosts root 7 0.0 0.0 11760 2924 ? Ss 05:43 0:00 /bin/bash root 21 0.0 0.0 47432 3216 ? R+ 05:45 0:00 ps aux [root@6b6a260a9575 /]#
好玩的
ps aux | grep tail :我们是可以在宿主机上看到Docker容器中的进程的
但是,我们在宿主机中杀不掉,因为docker的资源隔离做得好
[AnInputForce@teach ~]$ ps aux | grep tail
root 2773 0.0 0.0 18036 220 ? S 11月12 0:00 /bin/bash /opt/gitlab/bin/gitlab-ctl tail
root 9369 0.0 0.0 4364 784 pts/14 Ss+ 13:43 0:00 tail -f /etc/hosts
AnInput+ 9486 0.0 0.0 112672 2228 pts/11 R+ 13:43 0:00 grep --color=auto tail
[AnInputForce@teach ~]$ sudo killall tail #当然此用户没有sudo权限
结论:
如果有root还干不掉的进程,一个场景就是宿主机上运行的Docker容器里的进程:虽然可以看到,但是杀不掉。因为Docker优秀的资源隔离特性;