# 安装依赖
yum install -y yum-utils
# 设置 stable 镜像仓库(阿里云镜像)
yum-config-manager --add-repo http://mirrors.aliyun.com/docker-ce/linux/centos/docker-ce.repo
# 更新 yum 安装包索引
yum makecache fast
# 安装 docker 引擎
yum -y install docker-ce docker-ce-cli containerd.io
# 测试
docker run hello-world
修改镜像源 /etc/apt/sources.list,设置清华源
基于 apt 包管理器安装
# 安装
sudo apt install docker.io
sudo apt install docker-compose
# 卸载
sudo apt-get purge docker.io
sudo rm -rf /var/lib/docker
sudo rm -rf /var/lib/containerd
# 测试
docker run hello-world
基于官方文档安装
# 1、安装依赖
sudo apt-get update
sudo apt-get install ca-certificates curl gnupg lsb-release
# 2、添加 docker 官方的GPG 秘钥
sudo mkdir -p /etc/apt/keyrings
curl -fsSL https://download.docker.com/linux/ubuntu/gpg | sudo gpg --dearmor -o /etc/apt/keyrings/docker.gpg
# 3、设置一个标准 docker 软件仓库
echo \
"deb [arch=$(dpkg --print-architecture) signed-by=/etc/apt/keyrings/docker.gpg] https://download.docker.com/linux/ubuntu \
$(lsb_release -cs) stable" | sudo tee /etc/apt/sources.list.d/docker.list > /dev/null
# 查看 docker 镜像源
vim /etc/apt/sources.list.d/docker.list
# 4、更新 apt 包索引并查看docker 可用版本列表
sudo apt-get update
apt-cache madison docker-ce
# 5、安装 docker ce及组件
sudo apt-get install docker-ce docker-ce-cli containerd.io docker-compose-plugin
# 卸载
sudo apt-get purge docker-ce docker-ce-cli containerd.io docker-compose-plugin
sudo rm -rf /var/lib/docker
sudo rm -rf /var/lib/containerd
sudo rm -rf /etc/docker/
# 测试
docker run hello-world
docker 启动设置
# 启动 docker
systemctl start docker
# 停止 docker
systemctl stop docker
# 重启 docker
systemctl restart docker
# 查看 docker 状态
systemctl status docker
# 开机启动
systemctl enable docker
添加用户到 docker 组后,使用 docker 命令无需 sudo
# 将用户添加到 docker 用户组
sudo addgroup -a <username> docker
sudo service docker restart
# 退出终端,重新连接
# 查看用户信息
id <username>
# 将用户从docker用户组中移除
gpasswd -d <username> docker
修改 /etc/docker/daemon.json,添加镜像源
{
"registry-mirrors":[
"https://hub-mirror.c.163.com",
"https://docker.mirrors.ustc.edu.cn",
"https://registry.docker-cn.com"
]
}
重启服务
sudo systemctl daemon-reload
sudo systemctl start docker
docker是容器化技术,针对的是应用及应用所依赖的环境做容器化。遵循单一原则,一个容器只运行一个主进程。若多个进程都部署在一个容器中,一个进程出问题所有进程宕掉。
docker 解决的问题
docker 架构
默认情况,容器使用系统的命名空间
# 查看进程命名空间
sudo lsns -p <pid> --output-all
若希望容器使用 user 命名空间,则修改 /etc/docker/daemon.json,添加
// 开启 docker user 命名空间配置
"userns-remap":"default"
重启 docker 服务
sudo systemctl daemon-reload
sudo systemctl start docker
# 显示 Docker 系统信息
docker info
# 显示 Docker 版本信息
docker version
# 从服务器获取实时事件
docker events
# 获取容器的日志
docker logs
# 查看指定镜像的创建历史
docker history
容器生命周期
# 创建并启动容器
docker run [OPTIONS] IMAGE [COMMAND] [ARG...]
--name ' 指定容器名称
-d ' 后台运行容器
-it ' 前台运行容器,i交互,t终端。退出容器:exit 容器停止,ctrl+p+q 容器不停止
-p ' 发布容器端口到主机端口,主机:容器
-v ' 绑定数据卷,主机目录:容器目录
# 启动容器
docker start [OPTIONS] CONTAINER [CONTAINER...]
# 重启容器
docker restart [OPTIONS] CONTAINER [CONTAINER...]
# 停止容器
docker stop [OPTIONS] CONTAINER [CONTAINER...]
# 杀掉容器
docker kill [OPTIONS] CONTAINER [CONTAINER...]
# 删除已停止的容器
docker rm [OPTIONS] CONTAINER [CONTAINER...]
# 删除停止的所有容器(管道:返回所有退出的容器的id)
docker rm `docker ps -f status=exited -q`
# 暂停|恢复容器中的所有进程
docker pause CONTAINER [CONTAINER...]
docker unpause CONTAINER [CONTAINER...]
容器运维命令
# 在运行的容器中执行命令
docker exec [OPTIONS] CONTAINER COMMAND [ARG...]
-d ' 后台运行
-it ' 前台运行
# 列出容器
docker ps [OPTIONS]
-a ' 查看所有容器
-f ' 根据条件过滤显示的内容
# 查看容器|镜像元数据
docker inspect [OPTIONS] NAME|ID [NAME|ID...]
# 查看容器中运行的进程
docker top [OPTIONS] CONTAINER [ps OPTIONS]
# 容器拷贝
docker cp [OPTIONS] CONTAINER:SRC_PATH DEST_PATH
docker cp [OPTIONS] SRC_PATH CONTAINER:DEST_PATH
# 导入和导出容器
docker export 容器ID > 文件名.tar
cat 文件名.tar | docker import - 镜像用户/镜像名:镜像版本号
# 检查容器相较于镜像的变化
docker diff [OPTIONS] CONTAINER
# 容器状态
docker stats CONTAINER
# 使用 dockerfile 创建镜像,path 指 context
docker build [OPTIONS] PATH | URL |
-t '指定镜像名和标签
-f '指定 dockerfile 路径
-v '为容器挂载数据卷 主机:容器
--build-arg '设置镜像创建时的变量
--cache-from '指定镜像用作当前构建的缓存镜像
--target '设置要生成的目标生成阶段
# 列出本地镜像
docker images
'REPOSITORY 仓库源 TAG:版本号 IMAGE ID:镜像ID CREATED:创建时间 SIZE:大小
# 虚悬镜像:仓库源和版本号为:
# 原因:构建新镜像时,打了旧的标签,docker 移除旧镜像的标签
# 查看所有悬空镜像
docker images --filter dangling=true
# 清除所有悬空镜像
docker image prune
# 删除镜像
docker rmi [OPTIONS] IMAGE [IMAGE...]
# 标记本地镜像,归入仓库
docker tag [OPTIONS] IMAGE[:TAG] [REGISTRYHOST/][USERNAME/]NAME[:TAG]
# 保存镜像
docker save [OPTIONS] IMAGE [IMAGE...]
docker save -o hello.tar hello-world:latest ' -o 输出到文件
# 导入镜像
docker load [OPTIONS]
docker load -i hello.tar
# 容器提交为镜像(保留现场)
docker commit [OPTIONS] CONTAINER [REPOSITORY[:TAG]]
-m '提交描述信息"
-a '作者
# 登录|退出仓库
docker login [OPTIONS] [SERVER]
docker logout [OPTIONS] [SERVER]
# 拉取镜像
docker pull [OPTIONS] NAME[:TAG|@DIGEST]
# 推送镜像
docker push [OPTIONS] NAME[:TAG]
# 从公共仓库查找镜像(docker hub)
docker search --limit 5 镜像名
镜像是一个只读的模板,内部是容器的系统运行环境:rootfs (根文件系统 root file system)。
镜像分享步骤
docker login
docker tag
docker push
这里使用阿里云
镜像加速
弹性计算-容器镜像服务-镜像工具-镜像加速器
创建镜像仓库
控制台-容器镜像服务-个人实例-命名空间-创建仓库
控制台-容器镜像服务-个人实例-访问凭证-设置登录密码
登录仓库
docker login --username=整日摸鱼的小黑猫 registry.cn-hangzhou.aliyuncs.com
搭建私有注册中心
# 安装私有仓库镜像
docker pull registry:latest
mkdir -p $HOME/registry/
mkdir -p $HOME/registry/auth
mkdir -p $HOME/registry/data
# 安装 apache httpd
sudo apt install apache2-utils
# 利用命令工具 htpasswd 生成 http 基本认证的密码文件
htpasswd -Bbn jtz 123 > $HOME/registry/auth/htpasswd
# 若启用了用户命名空间隔离,则需要修改目录owner和组
sudo chown 165536:165536 -R registry
# 开机启动 registry
docker run -d -p 5000:5000 --name registry --restart=always -v $HOME/registry/data:/var/lib/registry -v $HOME/registry/auth:/auth -e "REGISTRY_AUTH=htpasswd" -e "REGISTRY_AUTH_HTPASSWD_REALM=Registry Realm" -e REGISTRY_AUTH_HTPASSWD_PATH=/auth/htpasswd registry
# 添加服务信任
vim /lib/systemd/system/docker.service
# 修改启动项,添加 --insecure-registry ip:port,指定一个受信任的注册中心
ExecStart=/usr/bin/dockerd -H fd:// --containerd=/run/containerd/containerd.sock --insecure-registry 192.168.88.132:5000
# 重启 docker 服务
sudo systemctl daemon-reload
sudo systemctl restart docker
# 测试
# 登录
docker login 192.168.88.132:5000
# 打标签
docker tag hello-world:latest 192.168.88.131:5000/hello:1.0.0
# 推送
docker push 192.168.88.132:5000/hello:1.0.0
dockerfile 是一个创建镜像所有命令的文本文件,每条指令创建一个镜像层,记录了镜像创建的流程。通过 docker build 命令,根据 dockerfile 的内容生成镜像。
# 创建镜像,path 上下文路径
docker build [OPTIONS] PATH
-t '指定镜像名和标签
-f '指定 dockerfile 路径
--build-arg '设置镜像创建时的变量
--cache-from '指定镜像用作当前构建的缓存镜像
--target '设置要生成的目标生成阶段
docker build 命令的流程
# 设置使用的基础镜像
FROM
# 设置镜像作者
MAINTAINER
# 指定执行的命令
RUN
# 设置镜像标签
LABEL
# 设置镜像暴露的端口
EXPOSE
# 设置环境变量
ENV
# 指定工作目录
WORKDIR
# 设置容器的挂载卷
VOLUME
# 指定执行命令的用户和用户组
USER
# 拷贝上下文。只复制目录内容,不包含目录本身
ADD # 不能用于多阶段构建,此外,解压,url 拷贝文件
COPY # 可用于多阶段构建
# 设置容器的启动命令
CMD ["executable","param1","param2"]
# 设置容器的入口程序,覆盖 CMD
ENTRYPOINT ["executable","param1","param2"]
# 设置编译镜像时加入的参数
ARG
# 延迟构建命令的执行
# 作为基础镜像,触发指令下游构建的上下文中执行。不影响当前构建,影响下游构建
ONBUILD
多阶段构建指的是一个 dockerfile 中允许出现多条 FROM 指令,每条 FROM 指令是一个构建阶段,前置阶段中的文件可以拷贝到其后的阶段,最终生成的镜像以最后一条 FROM 为准,之前的FROM 被抛弃。适用于分离编译环境和运行环境。
例:多阶段构建镜像
FROM golang:1.18 as stage0
LABEL hello 1.0.0
WORKDIR helloworld
COPY ./helloworld ./
RUN go env -w GOPROXY="https://proxy.golang.com.cn,https://goproxy.cn,direct"
RUN CGO_ENABLED=0 GOOS=linux GOARCH=amd64 go build -o app .
FROM alpine as stage1
COPY --from=stage0 /go/helloworld/app ./
EXPOSE 80
ENTRYPOINT ["./app""--param1=p1", "--param2=p2"]
# CMD ["./app", "--param1=p1", "--param2=p2"]
对于多阶段构建,通过 docker build 命令的参数--target
指定需要重新构建的阶段。--cache-from
可以指定一个镜像作为缓存源,当构建过程中 dockerfile 指令与缓存镜像源指令匹配,则直接使用缓存镜像中的镜像层,从而加快构建进程。可以将缓存镜像推送到远程注册中心,提供给不同的构建过程使用,在使用前需要先 pull 到本地。
例:上述例子中的镜像,将第一阶段生成的镜像作为缓存镜像,第二阶段使用第一阶段的缓存镜像生成最终的镜像。
# 生成阶段1:缓存镜像
docker build -t prehello:1.0.0 --target stage0 .
# 生成阶段2:最终镜像
docker build -t hello:1.0.0 --target stage1 --cache-from prehello:1.0.0 .
docker 镜像由只读层(镜像层)+ 读写层(容器层)组合而来,提高了镜像构建、存储和分发的效率。但是产生了主机不方便访问容器中的文件,容器间的数据无法共享,删除容器时丢失数据等问题。为了解决这些问题,docker 引入了数据卷(volume)机制,其存在于容器的特定目录,该目录独立于联合文件系统,在主机中存在,为数据提供共享和持久化。
volume 的特点
# 创建数据卷
docker volume create
# 查看数据卷
docker volume inspect
# 列出数据卷
docker volume ls
# 删除未使用的数据卷
docker volume prune
# 删除数据卷
docker volume rm
# 创建数据卷
docker volume create --name vol_simple
# 查看数据卷
docker volume inspect vol_simple
挂载方式:具名挂载、匿名挂载、绑定宿主机目录挂载
# 1、具名挂载
docker volume create --name vol_simple
docker run -d -v vol_simple:/data ubuntu /bin/bash
# 使用 docker inspect 查看挂载的位置信息 Mounts
# 2、匿名挂载
docker run -d -v /data ubuntu /bin/bash
# 3、绑定挂载,绑定宿主机目录挂载(bind)
docker run -d -v $HOME/data:/data ubuntu /bin/bash
权限:ro 只读,rw 读写(默认)
docker run -it -v $HOME/data:/data:ro -v vol_simple:/data1 -v /data2 ubuntu /bin/bash
通过 dockerfile 指定数据卷挂载
为保证 dockerfile 移植性,采用匿名挂载。volume 独立于 rootfs 的存储,镜像构建过程,临时生成的镜像层不会对挂载的 volume 进行保存。
FROM ubuntu
# docker commit 提交的临时镜像不会对数据卷进行保存
# 只有先创建目录,再挂载目录,主机目录的数据被复制到数据卷中
RUN mkdir /data
VOLUME /data
RUN echo hello >> /data/1.txt
创建容器时,使用参数--volumes-from
共享数据卷
# 创建带数据卷的容器
docker run -d -it -v vol_simple:/vol_simple -v $HOME/data:/data -v $HOME/readOlny_data:/readOlny_data:ro --name share_data ubuntu /bin/bash
# 创建新容器,共享数据卷
docker run -d -it --volumes-from share_data --name volume_from ubuntu /bin/bash
删除容器时不会删除数据卷对应的挂载目录,需要手动删除数据卷。
# 删除数据卷(具名和匿名)
docker volume rm
docker volume prune
# 删除匿名数据卷
docker rm -v # 删除容器和挂载的数据卷
docker run --rm # 容器停止,删除匿名数据卷
# 绑定挂载
rm -rf