Docker 是一个开源的、轻量级的容器引擎,主要运行于 Linux 和 Windows,用于创建、管理和编排容器。
Docker是一个开源的应用容器引擎,基于go语言开发并遵循了apache2.0协议开源。Docker是在Linux容器里运行应用的开源工具,是一种轻量级的“虚拟机"。
Docker 的容器技术可以在一台主机上轻松为任何应用创建一个轻量级的、可移植的、自给自足的容器。
Docker的Logo设计为蓝色鲸鱼,拖着许多集装箱。鲸鱼可看作为宿主机,集装箱可理解为相互隔离的容器,每个集装箱中都包含自己的应用程序。
Build,ship and Run Any App , Anywhere
即通过对应用组件的封装、发布、部署、运行等生命周期的管理,达到应用组件级别的"一次封装,到处运行"的目的。这里的组件,既可以是一个应用,也可以是一套服务,甚至是一个完整的操作系统。
容器化越来越受欢迎,因为容器是:
容器是在linux上本机运行,并与其他容器共享主机的内核,它运行的是一个独立的进程,不占用其他任何可执行文件的内存,
非常轻量。
虚拟机运行的是一个完成的操作系统,通过虚拟机管理程序对主机资源进行虚拟访问,相比之下需要的资源更多。
不同点 | Docker容器 | 虚拟机 |
---|---|---|
启动速度 | 秒级(进程控制) | 分钟级(来宾操作系统管理) |
运行性能损耗 | 几乎无(接近原生) | 损耗50%左右 |
磁盘占用 | MB | GB |
数量 | 成百上千(进程) | 一般几十台(操作系统级别) |
隔离性 | 进程级别 | 系统级别 |
操作系统 | 主要支持linux | 几乎所有 |
封装程度 | 只打包项目代码和依赖关系,共享宿主机内核 | 完整的操作系统,与宿主机隔离 |
(namespace资源隔离-用容器化技术封装)
如何实现应用与应用之间隔离
应用和应用的隔离,如何进行判断以操作系统维度
应用A与应用B隔离,在操作系统中,是通过namespaces(名称空间、命名空间)实现的,只要实现以下6个空间隔离,才能认为两个应用实现了完全/完整隔离
容器隔离了6个名称空间(namespace资源隔离-用容器化技术封装)mount文件系统,挂载点 一个文件系统内,不能重复挂载一个指定目录,例如:/mntuser操作进程的用户和用户组
mount | 文件系统,挂载点——>一个文件系统内,不能重复挂载一个指定目录,列如:/mnt |
---|---|
user | 操作进程的用户和用户组 |
pid | 进程编号 |
uts | 主机名和主机域 |
ipc | 信号量、消息队列、共享存储(理解,不同的应用调用内存资源的时候应该使用不同的内存空间) |
net | 网络设备、网络协议栈、端口等 |
pid命名空间 进程隔离(PID:进程ID)
net命名空间 管理网络接口(NET网络)
ipc命名空间 管理访问IPC资源(IPC:进程间通信)
mnt命名空间 管理文件系统挂载点(MNT:mount)
uts命名空间 隔离内核和版本表示符(UTS:Unix时间共享)
user命名空间 操作进程的用户和用户组
2.1、镜像
Docker的镜像是创建容器的基础,类似虚拟机的快照,可以理解为一个面向 Docker容器引擎的只读模板。通过镜像启动一个容器,一个镜像是一个可执行的包,其中包括运行应用程序所需要的所有内容包含代码,运行时间,库、环境变量、和配置文件。Docker镜像也是一个压缩包,只是这个压缩包不只是可执行文件,环境部署脚本,它还包含了完整的操作系统。因为大部分的镜像都是基于某个操作系统来构建,所以很轻松的就可以构建本地和远端一样的环境,这也是Docker镜像的精髓。
容器
Docker的容器是从镜像创建的运行实例,它可以被启动、停止和删除。所创建的每一个容器都是相互隔离、互不可见,以保证平台的安全性。可以把容器看做是一个简易版的linux环境(包括root用户权限、镜像空间、用户空间和网络空间等)和运行在其中的应用程序。
仓库
Docker仓库是用来集中保存镜像的地方,当创建了自己的镜像之后,可以使用push命令将它上传到公有仓库(Public)或者私有仓库(Private)。当下次要在另外一台机器上使用这个镜像时,只需从仓库获取。
Docker 的镜像、容器、日志等内容全部都默认存储在/var/lib/docker
沙箱是一个虚拟系统程序,沙箱提供的环境相对于每一个运行的程序都是独立的,而且不会对现有的系统产生影响。
(1)搭建测试环境。沙箱的应用只能访问自己的应用访问目录,而不能应用之间的资源进行共享,这样就形成了一个相对安全的机制,由于沙箱具有非常良好的独立性、隔离性,所以能够搭建一些具有高风险的软件进行测试。
(2)应用容器的利用,如Docker就是完全使用沙箱机制,这样使得应用组件经过Docker的封装,可以随意移植到服务上
yum install -y yum-utils device-mapper-persistent-data lvm2
#yum-utils提供了yum-config-manager
#device mapper存储驱动程序需要device-mapper-persistent-data和lvm2
#Device Mapper 是Linux2.6内核中支持逻辑卷管理的通用设备映射机制,它为实现用于存储资源管理的块设备驱动提供了一个高度模块化的内核架构。
yum-config-manager --add-repo https://mirrors.aliyun.com/docker-ce/linux/centos/docker-ce.repo
yum install -y docker-ce docker-ce-cli containerd.io
systemctl start docker.service
systemctl enable docker.service
安装好的Docker系统有两个程序,Docker服务端和Docker客户端。其中Docker服务端是一个服务进程,负责管理所有容器。
Docker客户端则扮演着Docker服务端的远程控制器,可以用来控制Docker的服务端进程。大部分情况下Docker服务端和客户端运行在一台机器上。
docker version 查看docker版本信息
docker search 服务名
例如:
docker search nginx
格式:docker pull仓库名称[:标签]
#如果下载镜像时不指定标签,则默认会下载仓库中最新版本的镜像,即选择标签为 latest标签。
docker pull nginx
浏览器访问https://cr.console.aliyun.com/cn-hangzhou/instances/mirrors 获取镜像加速器配置
mkdir -p /etc/docker
tee /etc/docker/daemon.json <<-'EOF'
{
"registry-mirrors": ["https://1azni81n.mirror.aliyuncs.com"]
}
EOF
systemctl daemon-reload
systemctl restart docker
docker images
docker inspect 镜像的ID
例如
docker images
docker inspect c919045c4c2b
镜像下教后存放在/var/ lib/ docker 。
Docker相关的本地资源存放在/var/lib/docker/目录下,其中 containers日录存放容器信息,image目录存放镜像信息,overlay2目录下存放具体的镜像底层文件。
#查看下载的镜像文件信息
cat /var/lib/docker/image/overlay2/repositories.json
docker tag 仓库名:原镜像名 仓库名:新镜像名
例如:
docker tag nginx:latest nginx:test
docker images
docker images | grep test
指定镜像ID删除的时候,要求该镜像不能有标签
docker rmi 镜像的ID
docker rmi 仓库名:镜像名
例如:
docker rmi c919045c4c2b
docker images
docker rmi nginx:test
docker images
docker save -o 存放镜像的位置 仓库名:镜像名
例如:
docker save -o /opt/nginx_latest nginx:latest
方法一:
docker load < 本地导出的镜像名
方法二:
docker --input 本地导出的镜像名
例如:
docker load < nginx_latest
docker load --input nginx_latest
docker push [OPTIONS] NAME[:TAG]
例如:按照下面的流程就可以上传到公有云,有兴趣的可以上传
注册网址 :https://hub.docker.com/
#改标签
docker tag 仓库名:镜像名 用户名/仓库名:镜像名
#登录
docker login
Username: #用户名
Password: #密码
#上传
docker push 用户名/仓库名:镜像名
容器创建:就是将镜像加载到容器的过程。
新创建的容器默认处于停止状态,不运行任何程序,需要在其中发起一个进程来启动容器。
格式: docker create [选项]镜像
常用选项:
-i:让容器开启标准输入
-t:让 Docker 分配一个伪终端tty
-it :合起来实现和容器交互的作用,运行一个交互式会话shell
docker create -it nginx:latest /bin/bash
docker ps #查看运行中的容器
docker ps -a #加-a 列出所有的容器,包括未运行的容器
docker start 容器ID:启动一个或多个已经被停止的容器
docker stop 容器ID:停止一个运行中的容器
docker restart 容器ID:重启容器
例:
docker start 875e301d22b5
docker ps -a
docker stop 875e301d22b5
docker ps -a
docker restart 875e301d22b5
docker run [选项] 镜像 [命令] [变量]
-d: 后台运行容器,并返回容器ID;
-i: 以交互模式运行容器,通常与 -t 同时使用
-t: 为容器重新分配一个伪输入终端,通常与 -i 同时使用
-c 命令表示后面的参数将会作为字符串读入作为执行的命令
-v: 绑定一个卷
-P: 随机端口映射,容器内部端口随机映射到主机的端口
-p: 指定端口映射,格式为:主机(宿主)端口:容器端口
--name="名称": 为容器指定一个名称
--link name:alias 添加链接到另一个容器,格式“--link容器名:别名”
例如:
docker run nginx
docker run -d nginx
docker run -d nginx /bin/bash -c "ls"
docker exec [选项] 容器 命令
例:
docker exec -it a4b09cb9c4d8 /bin/bash
docker exec -it 3a198d9be5e2 /bin/bash
exit//退出容器
#容器导出
docker export 容器ID > 备份文件名
#容器导入(会生成镜像,而不会创建容器)
cat 备份文件名 | docker import - 仓库名:镜像名
例如:
docker export a4b09cb9c4d8 > nginx_up
docker export 3a198d9be5e2 > nginx_exited
cat nginx_up | docker import - nginx:web
docker rm 容器ID
例如:
docker rm a4b09cb9c4d8
//批量删除容器
docker ps -a | awk '{print "docker rm "$1}' | bash
//强删
docker rm 3a198d9be5e2 -f
使用docker stats命令查看
Docker容器可以有四种状态:
运行
已暂停
重新启动
已退出
LowerDir
MergedDir
UpperDir
WorkDir