Docker基础命令、网络、资源控制(一)
目录
- 一、Docker的概念
-
- 1、云计算三层架构
- 2、Docker是什么
- 3、Docker和虚拟机的区别
- 4、使用场景
- 5、Docker的核心概念(重点)
- 二、Docker相关命令
-
- 1、安装依赖包
- 2、设置阿里云镜像源
- 3、安装Docker-CE
- 4、基础命令
-
- ①、镜像的操作
- ②、容器的操作
- 三、Docker 网络
-
- 1、Docker 网络实现原理
- 2、Docker 的网络模式
- 3、网络模式详解
- 四、Docker资源控制
-
- 1、CPU 资源控制
- 2、设置CPU资源占用比(设置多个容器时才有效)
- 3、设置容器绑定指定的CPU
- 4、对磁盘IO配额控制(blkio)的限制
一、Docker的概念
1、云计算三层架构
| 服务 | 说明 | 应用 |
|---|---|---|
| IAAS | 基础设施及服务 | 硬件(服务器、网络设置、防火墙等)虚拟化 网络虚拟化(大二层) 例:openstack |
| PAAS | 平台及服务 | 环境 例:数据库、 docker 、kubernetes |
| SAAS | 应用及服务 | 应用 例:应用商店的应用 |
而Docker就是PAAS中的技术。
2、Docker是什么
Docker是一种轻量级的“虚拟机”,是一个开源的应用容器引擎。容器是完全使用沙箱机制,相互之间不会有任何接口
- 轻量级表示它体积小,灵活
- 而说它是虚拟机,又不是真正的虚拟机,因为它里面没有系统
- 开源表示它是免费的
3、Docker和虚拟机的区别
| 对比参数 | 虚拟机 | 容器 |
|---|---|---|
| 启动时间 | 慢 (分钟级别) | 快速(毫秒级别) |
| 占用空间 | 大(整个系统的大小,几G) | 小(内核大小,几M) |
| 系统隔离 | 逻辑隔离 | 依赖于内核(内核共享) |
| 安全性 (因为隔离性) | 高 | 低(使用原系统内核) |
4、使用场景
- 对应用的打包与部署自动化
- 创建轻量、私密的PAAS环境
- 实现自动化测试和持续的集成/部署
- 部署与扩展webapp、数据库和后台服务
5、Docker的核心概念(重点)
- 镜像(镜像的压缩包)
Docker的镜像是创建容器的基础,类似虚拟机的快照,可以理解为一个面向 Docker 容器引擎的只读模板。
通过镜像启动一个容器,一个镜像是一个可执行的包,其中包括运行应用程序所需要的所有内容包含代码,运行时间,库、环境变量、和配置文件。 - 容器(实例,通过镜像创建)
Docker的容器是从镜像创建的运行实例,它可以被启动、停止和删除。所创建的每一个容器都是相互隔离、互不可见,以保证平台的安全性。
可以把容器看做是要给简易版的linux环境(包括root用户权限、镜像空间、用户空间和网络空间等)和运行在其中的应用程序。 - 仓库(存放镜像的地方)
Docker仓库是用来集中保存镜像的地方,当创建了自己的镜像之后,可以使用push命令将它上传到公有仓库(Public)或者私有仓库(Private)。当下次要在另外一台机器上使用这个镜像时,只需从仓库获取。
Docker 的镜像、容器、日志等内容全部都默认存储在 /var/lib/docker 目录下。- 公有仓库:Docker官方仓库
- 私有仓库:个人化、私有化的仓库
二、Docker相关命令
1、安装依赖包
yum install -y yum-utils device-mapper-persistent-data lvm2
#yum-utils提供了yum-config-manager
#device mapper存储驱动程序需要device-mapper-persistent-data和lvm2
#Device Mapper 是Linux2.6内核中支持逻辑卷管理的通用设备映射机制,它为实现用于存储资源管理的块设备驱动提供了一个高度模块化的内核架构。
2、设置阿里云镜像源
yum-config-manager --add-repo https://mirrors.aliyun.com/docker-ce/linux/centos/docker-ce.repo
3、安装Docker-CE
yum install -y docker-ce
systemctl stop firewalld.service
systemctl disable firewalld.service
setenforce 0
vim /etc/selinux/config
SELINUX=disabled
systemctl start docker.service
systemctl enable docker.service
- 配置阿里云镜像加速,不然下载速度很慢
加速地址从自己的阿里云上获取
阿里云官网:https://account.aliyun.com/
获取方式:登录阿里云–>控制台–>在上面搜索容器镜像服务–>左下角的镜像加速器
在此页面中显示阿里云的镜像加速地址和配置方法
systemctl daemon-reload
systemctl restart docker
网络优化
vim /etc/sysctl.conf
net.ipv4.ip_forward=1
sysctl -p
service network restart
systemctl restart docker
4、基础命令
查看docker版本信息
docker version
①、镜像的操作
- 查找指定镜像
docker search 服务名
例如:
docker search nginx
下载镜像
docker pull 服务名
例如:
docker pull nginx
查看镜像信息
docker images
docker inspect 镜像的ID
例如
docker images
docker inspect 08b152afcfae
添加新标签(打标签)
docker tag 仓库名:原镜像名 仓库名:新镜像名
例如:
docker tag nginx:latest nginx:test
docker images
docker images | grep nginx
删除镜像
- 指定镜像ID删除的时候,要求不能有该镜像不能有标签
docker rmi 镜像的ID
docker rmi 仓库名:镜像名
例如:
docker rmi 08b152afcfae
docker images
docker rmi nginx:test
docker images
将镜像存储到本机上,命名为nginx_latest
docker save -o 存放镜像的位置 仓库名:镜像名
例如:
docker save -o /opt/nginx_latest nginx:latest
载入镜像
方法一:
docker load < 本地导出的镜像名
方法二:
docker --input 本地导出的镜像名
例如:
docker load < nginx_latest
docker load --input nginx_latest
方法一:
方法二:
上传镜像
- 默认上传到 docker Hub 官方公共仓库,需要注册使用公共仓库的账号。
- 可以使用 docker login 命令来输入用户名、密码和邮箱来完成注册和登录。
- 在上传镜像之前,还需要先对本地镜像添加新的标签,然后再使用 docker push 命令进行上传。
docker push [OPTIONS] NAME[:TAG]
例如:按照下面的流程就可以上传到公有云,有兴趣的可以上传
#改标签
docker tag 仓库名:镜像名 用户名/仓库名:镜像名
#登录
docker login
Username: #用户名
Password: #密码
#上传
docker push 用户名/仓库名:镜像名
②、容器的操作
- 新创建的容器默认处于停止状态,不运行任何程序,需要在其中发起一个进程来启动容器。
查看容器运行状态
- 容器的STATUS状态
- up是正在运行的
- Exited (0)是正常停止的容器
- Exited (非0)异常停止的容器
docker ps #查看运行中的容器
docker ps -a #加-a 列出所有的容器,包括未运行的容器
创建容器
docker create [选项] 镜像运行的程序
-i:让容器的标准输入保持打开
-t:让Docker分配一个伪终端
例;
docker create -it nginx:latest /bin/bash
启动、停止、重启容器
docker start 容器ID:启动一个或多个已经被停止的容器
docker stop 容器ID:停止一个运行中的容器
docker restart 容器ID:重启容器
例:
docker start b85c03c58f37
docker ps -a
docker stop b85c03c58f37
docker ps -a
docker restart b85c03c58f37
运行容器
- run和start的作用有些类似,准确来说run相当于create+start
- 一般第一次可以使用run,后面维护还是使用start/stop/restart
- 需要在 docker run 命令之后添加 -d 选项让 Docker 容器以守护形式在后台运行。并且容器所运行的程序不能结束。
docker run [选项] 镜像 [命令] [变量]
-d: 后台运行容器,并返回容器ID;
-i: 以交互模式运行容器,通常与 -t 同时使用
-t: 为容器重新分配一个伪输入终端,通常与 -i 同时使用
-c 命令表示后面的参数将会作为字符串读入作为执行的命令
-v: 绑定一个卷
-P: 随机端口映射,容器内部端口随机映射到主机的端口
-p: 指定端口映射,格式为:主机(宿主)端口:容器端口
--name="名称": 为容器指定一个名称
--link name:alias 添加链接到另一个容器,格式“--link容器名:别名”
例如:
docker run nginx
docker run -d nginx
docker run -d nginx /bin/bash -c "ls"
进入、退出容器
- 进入的容器状态一定要是运行状态
docker exec [选项] 容器 命令
例:
docker exec -it b85c03c58f37 /bin/bash
exit//退出容器
容器导出、导入
#容器导出
docker export 容器ID > 备份文件名
#容器导入(会生成镜像,而不会创建容器)
cat 备份文件名 | docker import - 仓库名:镜像名
例如:
docker export 42233cbb9bfa > nginx_up
docker export fef292fce501 > nginx_exited
cat nginx_up | docker import - nginx:web
删除容器
docker rm 容器ID
例如:
docker rm 4d8dcf51a4ef
//批量删除容器
docker ps -a | awk '{print "docker rm "$1}' | bash
三、Docker 网络
- 安装Docker时,它会自动创建三个网络,bridge(创建容器默认连接到此网络)、 none 、host
docker network ls #查看docker网络列表
1、Docker 网络实现原理
- Docker使用Linux桥接,在宿主机虚拟一个Docker容器网桥(docker0),Docker启动一个容器时会根据Docker网桥的网段分配给容器一个IP地址,称为Container-IP,同时Docker网桥是每个容器的默认网关。因为在同一宿主机内的容器都接入同一个网桥,这样容器之间就能够通过容器的 Container-IP 直接通信。
- Docker网桥是宿主机虚拟出来的,并不是真实存在的网络设备,外部网络是无法寻址到的,这也意味着外部网络无法直接通过 Container-IP 访问到容器。如果容器希望外部访问能够访问到,可以通过映射容器端口到宿主主机(端口映射),即 docker run 创建容器时候通过 -p 或 -P 参数来启用,访问容器的时候就通过[宿主机IP]:[容器端口]访问容器。
2、Docker 的网络模式
-
Host:容器将不会虚拟出自己的网卡,配置自己的IP等,而是使用宿主机的IP和端口。
-
Container:创建的容器不会创建自己的网卡,配置自己的IP,而是和一个指定的容器共享IP、端口范围。
-
None:该模式关闭了容器的网络功能。
-
Bridge:默认为该模式,此模式会为每一个容器分配、设置IP等,并将容器连接到一个docker0虚拟网桥,通过docker0网桥以及iptables nat 表配置与宿主机通信。
-
自定义网络
#使用docker run创建Docker容器时,可以用 --net 或 --network 选项指定容器的网络模式- host模式:使用 --net=host 指定。
- none模式:使用 --net=none 指定。
- container模式:使用 --net=container:NAME_or_ID 指定。
- bridge模式:使用 --net=bridge 指定,默认设置,可省略。
3、网络模式详解
host模式
- 相当于Vmware中的桥接模式,与宿主机在同一个网络中,但没有独立IP地址。
- Docker使用了Linux的Namespaces技术来进行资源隔离,如PID Namespace隔离进程,Mount Namespace隔离文件系统,Network Namespace隔离网络等。
- 一个Network Namespace提供了一份独立的网络环境,包括网卡、路由、iptable规则等都与其他的Network Namespace隔离。 一个Docker容器一般会分配一个独立的Network Namespace。 但如果启动容器的时候使用host模式,那么这个容器将不会获得一个独立的Network Namespace, 而是和宿主机共用一个Network Namespace。容器将不会虚拟出自己的网卡、配置自己的IP等,而是使用宿主机的IP和端口。
container模式
- 在理解了host模式后,这个模式也就好理解了。这个模式指定新创建的容器和已经存在的一个容器共享一个Network Namespace,而不是和宿主机共享。新创建的容器不会创建自己的网卡,配置自己的IP,而是和一个指定的容器共享IP、端口范围等。同样,两个容器除了网络方面,其他的如文件系统、进程列表等还是隔离的。两个容器的进程可以通过lo网卡设备通信。
- docker run -itd --name test1 centos:7 /bin/bash #–name 选项可以给容器创建一个友好的自定义名称
docker ps -a #查看容器
docker inspect -f '{{.State.Pid}}' fef292fce501 #查看容器进程号
ls -l /proc/54182/ns #查看容器的进程、 网络、文件系统等命名空间编号
docker run -itd --name test1 --net=container:fef292fce501 centos:7 /bin/bash
docker ps -a
docker inspect -f '{{.State.Pid}}' 2d56bd745e6a
ls -l /proc/27123/ns
none模式
- 使用none模式,Docker容器拥有自己的Network Namespace,但是,并不为Docker容器进行任何网络配置。 也就是说,这个Docker容器没有网卡、IP、路由等信息。这种网络模式下容器只有lo回环网络,没有其他网卡。这种类型的网络没有办法联网,封闭的网络能很好的保证容器的安全性。
Bridge模式 - bridge模式是docker的默认网络模式,不写–net参数,就是bridge模式。
- 相当于Vmware中的 nat 模式,容器使用独立network Namespace,并连接到docker0虚拟网卡。通过docker0网桥以及iptables nat表配置与宿主机通信,此模式会为每一个容器分配Network Namespace、设置IP等,并将一个主机上的 Docker 容器连接到一个虚拟网桥上。
- (1)当Docker进程启动时,会在主机上创建一个名为docker0的虚拟网桥,此主机上启动的Docker容器会连接到这个虚拟网桥上。虚拟网桥的工作方式和物理交换机类似,这样主机上的所有容器就通过交换机连在了一个二层网络中。
- (2)从docker0子网中分配一个IP给容器使用,并设置docker0的IP地址为容器的默认网关。在主机上创建一对虚拟网卡veth pair设备。veth设备总是成对出现的,它们组成了一个数据的通道,数据从一个设备进入,就会从另一个设备出来。因此,veth设备常用来连接两个网络设备。
- (3)Docker将veth pair 设备的一端放在新创建的容器中,并命名为eth0(容器的网卡),另一端放在主机中, 以veth*这样类似的名字命名,并将这个网络设备加入到docker0网桥中。可以通过 brctl show 命令查看。
- (4)使用 docker run -p 时,docker实际是在iptables做了DNAT规则,实现端口转发功能。可以使用iptables -t nat -vnL 查看。
自定义网络
#直接使用bridge,无法支持指定IP运行docker
docker run -itd --name test1 --network bridge --ip 172.17.0.10 centos:7 /bin/bash
#可以先自定义网络,再使用指定IP运行docker
docker network create --subnet=172.18.0.0/24 mynetwork
docker run -itd --name test2 --net mynetwork --ip 172.18.0.10 centos:7 /bin/bash
四、Docker资源控制
1、CPU 资源控制
- cgroups,是一个非常强大的linux内核工具,他不仅可以限制被 namespace 隔离起来的资源, 还可以为资源设置权重、计算使用量、操控进程启停等等。 所以 cgroups( Control groups) 实现了对资源的配额和度量。
- cgroups有四大功能:
- 资源限制:可以对任务使用的资源总额进行限制
- 优先级分配:通过分配的cpu时间片数量以及磁盘IO带宽大小,实际上相当于控制了任务运行优先级
- 资源统计:可以统计系统的资源使用量,如cpu时长,内存用量等
- 任务控制:cgroup可以对任务执行挂起、恢复等操作
设置CPU使用率上限
- Linux 通过 CFS(Completely Fair Scheduler,完全公平调度器)来调度各个进程对 CPU 的使用。CFS 默认的调度周期是 100ms。
我们可以设置每个容器进程的调度周期,以及在这个周期内各个容器最多能使用多少 CPU 时间。 - 使用 --cpu-period 即可设置调度周期,使用 --cpu-quota 即可设置在每个周期内容器能使用的 CPU 时间。两者可以配合使用。
- CFS 周期的有效范围是 1ms~1s,对应的 --cpu-period 的数值范围是 1000~100000。
而容器的 CPU 配额必须不小于 1ms,即 --cpu-quota 的值必须 >= 1000。
docker run -itd --name test2 centos:7 /bin/bash
docker ps -a
cd /sys/fs/cgroup/cpu/docker/c9a25708747a02569235cb4df245e22eeb9e55ae00ddaf0abc01cb1f44fe29d7/
cat cpu.cfs_quota_us #cpu.cfs_period_us:cpu分配的周期(微秒,所以文件名中用 us 表示),默认为100000。
cat cpu.cfs_period_us #cpu.cfs_quota_us:表示该control group限制占用的时间(微秒),默认为-1,表示不限制。 如果设为50000,表示占用50000/100000=50%的CPU。
进行CPU压力测试
docker exec -it c9a25708747a /bin/bash
vi cpu.sh
#!/bin/bash
i=0
while true
do
let i++
done
chmod +x /cpu.sh
./cpu.sh
exit
top #可以看到这个脚本占了很多的cpu资源
2、设置CPU资源占用比(设置多个容器时才有效)
- Docker 通过–cpu-shares 指定 CPU 份额,默认值为1024,值为1024的倍数。
docker run -itd --name c1 --cpu-shares 512 centos:7
docker run -itd --name c2 --cpu-shares 1024 centos:7
#创建两个容器为 c1 和 c2,若只有这两个容器,设置容器的权重,使得c1和c2的CPU资源占比为1/3和2/3。
分别进入容器,进行压力测试
yum install -y epel-release
yum install stress -y
stress -c 4 #产生四个进程,每个进程都反复不停的计算随机数的平方根
exit
查看容器运行状态(动态更新)
docker stats
CONTAINER ID NAME CPU % MEM USAGE / LIMIT MEM % NET I/O BLOCK I/O PIDS
c3ee18e65852 c2 66.50% 5.5MiB / 976.3MiB 0.56% 20.4MB / 265kB 115MB / 14.2MB 4
bb02d3b345d8 c1 32.68% 2.625MiB / 976.3MiB 0.27% 20.4MB / 325kB 191MB / 12.7MB 4
3、设置容器绑定指定的CPU
先分配虚拟机4个CPU核数
docker run -itd --name test3 --cpuset-cpus 1,3 centos:7 /bin/bash
#进入容器,进行压力测试
yum install -y epel-release
yum install stress -y
stress -c 4
exit
#退出容器,执行 top 命令再按 1 查看CPU使用情况。
对内存使用的限制
docker run -itd --name test3 -m 512m centos:7 /bin/bash
docker stats
4、对磁盘IO配额控制(blkio)的限制
-
–device-read-bps:限制某个设备上的读速度bps(数据量),单位可以是kb、mb(M)或者gb。
- 例:docker run -itd --name test4 --device-read-bps /dev/sda:1M centos:7 /bin/bash
-
–device-write-bps : 限制某个设备上的写速度bps(数据量),单位可以是kb、mb(M)或者gb。
- 例:docker run -itd --name test5 --device-write-bps /dev/sda:1mb centos:7 /bin/bash
-
–device-read-iops :限制读某个设备的iops(次数)
-
–device-write-iops :限制写入某个设备的iops(次数)
创建容器,并限制写速度
docker run -it --name test5 --device-write-bps /dev/sda:1mb centos:7 /bin/bash
#通过dd来验证写速度
dd if=/dev/zero of=test.out bs=1M count=10 oflag=direct #添加oflag参数以规避掉文件系统cache
10+0 records in
10+0 records out
10485760 bytes (10 MB) copied, 10.0025 s, 1.0 MB/s
总结
1、镜像
查找镜像(search)—上传(pull)、下载(push)—打标签(tag)—删除(rm)—导出(save)、导入(load)
2、容器
查看(ps)—创建(create)—启动(start)、停止(stop)、重启(restart)—运行(run)—进入(exec)、退出(exit)—导入(import)、导出(export)—删除(rmi)