码迷,mamicode.com
首页 > 其他好文 > 详细

Dokcer入门及其Docker file的制作指令

时间:2018-11-05 15:15:27      阅读:230      评论:0      收藏:0      [点我收藏+]

标签:PNAT   cal   conf   镜像制作   duration   不为   应用   注意   rect   

Docker借鉴了kvm中应用镜像的方式,使得Docker的出现方便了容器的实现和使用,从此docker就占据了容器的市场。

docker:引擎:创建、运行容器,采用C/S架构
客户端:docker
服务端:dockerd,dockerd负责接收docker客户端的请求,客户端发送指令,dockerd通过镜像仓库,把镜像拖到本地,执行运行容器
容器是基于镜像启动的,如果本地没有镜像,dockerd会去远程拉取镜像。

IT行业的部署异构化程度越来越大。不同的开发平台,不同的运行平台,各个服务不同的需求环境。此时我们不必再根据不同的底层运行平台部署不同的运行环境。但是有了docker之后,只需保证能在docker上运行就可以,而不同的环境只要能运行docker就可以。
docker后来把lxc换成了libcontainer。
docker并没有解决容器之间的编排工具,google的kubernetes解决了这个问题。
容器提供的镜像包含了应用的所有依赖项,因而从开发到测试、生产环境中都有可移植性。
容器技术起源于FreeBSD jail,jail 的目的是让进程在经过修改的 chroot 环境中创建,而不会脱离和影响整个系统 — 在 chroot 环境中,对文件系统、网络和用户的访问都实现了虚拟化。尽管 Jail 在实施方面存在局限性,但最终人们找到了脱离这种隔离环境的方法。
镜像文件存储于Registry仓库中,镜像文件是分层构建的,所以其文件系统必需为分层文件系统(aufs,overlafs)
docker可以通过一个镜像文件启动多个容器,镜像是只读的,每一个容器都在镜像上层建立了一层内部可写的专用层,所有读写都仅在自己的专用层上实现。
Registry:一个镜像仓库服务器,可以通过一个套接字接受镜像的搜索和下载请求。镜像存储于Registry后面的存储空间中,可以有很多仓库,每一个仓库只放一种镜像,其中的每一个镜像都有其对应的tag(标签)。Registry对每一个仓库和镜像有一个索引,还有用户的账户密码,对仓库进行认证和管理。
每一个容器内可以允许多个进程、线程,但docker中每一个容器内部只运行一个进程及其子进程,只要次进程停止,则该容器也停止了。容器内进程运行的日志被送到控制台,这样查看日志的时候就不需要进入容器内部,只需在控制台查看。容器管理被简化。
Registry:通过一个httpd服务器提供服务,https为Registry,http为insecure Registyry
Registry可以自定义,也可以使用官方提供的

docker image

采用分层构建机制,最底层为bootfs,其之为rootfs
    bootfs:用于系统引导的文件系统,包括BootLoader和kernel,容器启动完成后会被卸载以节约内存资源;
    rootfs:位于bootfs之上,表现为docker容器的根文件系统;
        传统模式中,系统启动之时,内核挂载rootf时会首先将其挂载为只读,完整性自检完成后将其重新挂载为读写
        docker中,rootfs由内核挂载为只读模式,而后通过联合挂载技术额外挂载一个“可写”层。
位于下层的镜像称为父镜像,最底层的称为基础镜像
最上层为“可读写”层,其下的为“只读”层
automated builds:docker hub可以根据用户上传的指令制作docker镜像
webhooks:docker hub可以根据git服务器上代码的变化而自动制作镜像

制作镜像

制作镜像的时候只需要把最上面的可写层修改后保存。后续调用此镜像的时候,分层挂载系统会自动把基础镜像给挂载上去
运行为容器之后因为只有一个进程,所以就不可能通过systemd来管理各个进程了。

docker save  httpd:v0.1 centos7:v0.1 /data/centos-httpd.tar  通过docker save把本机的image保存至一个tar文件,通过scp等命令把tar文件传输到目标主机上
docker load -i centos-httpd.tar   根据tar文件解压镜像到本地

docker container commit -a "zhanghw" -c ‘CMD ["/bin/sh","-c","/bin/httpd -h var/www/html -f"]‘ -p b1 tiny-httpd:v5 
以正在运行的image为基础,用命令修改镜像启动后的首个进程。

docker 启动时显示:bridge-nf-iptables is disabled 解决方法

vim /etc/sysctl.d/docker.conf
net.bridge.bridge-nf-call-iptables = 1
net.bridge.bridge-nf-call-ip6tables = 1 
让docker可以自动设定iptables  

docker network

三种内建虚拟网络:none,bridge,host
四种网络类型
closed container:没有外网接口,只要lo网卡
bridged container:一个lo网卡,一个桥接网卡
united container:网卡由两块网卡共用,共用同一个TCP/IP 协议栈
open container:直接使用host的物理网卡  

docker run --name a1 -it --network none httpd:2.4   
--network none        设置其网络为:closed container 
--network bridge        设置其网络为:bridged container
--network container:a1   设置其网络为:united container
--network host            设置其网络为:open container

docker -p 发布服务,暴露服务

把一个容器内的网络暴露到外部,让外部网络可以访问容器内的服务 
hostIP:hostPort --->  conIP:conPort   PNAT机制实现
在创建容器的时候使用-p选项指定
-p conPort  主机端口随机指派
-p conPort:hostPort  指定主机端口
-p hostIP::conPort  指定主机IP,::之间为主机端口,不指定为随机获取
-p hostIP:hostPort:conPort  指定主机的IP和端口
docker port continer 查看容器暴露端口的情况

docker network create

docker network create -d bridge --gateway 192.168.1.1 --subnet 192.168.1.0/24  vmnet1  
docker run --network     create container 通过--network指定多个网络时,只有最后一个生效
docker network connect bridge vmnet1  c1 把c1连接至vmnet1
docker network disconnect vmnet1 c1  剥离网络  
docker network rm vmnet1 删除网络  

docker inspect host 查看网络定义
docker network inpect -t 

create:根据指定信息创建网络
docker network create -h  查看帮助
docker network create -d bridge --gateway 192.168.1.1 --subnet 192.168.1.0/24 vmnet1
docker container run --name a1 --network vmnet1 -it --rm busybox:latest  启动容器时指定其网络
docker network connect bridge a1   吧container a1 连接到bridge网络上

Data volume

可写层依存于下一层镜像,docker commit 是根据最上层镜像的变化来创建镜像的,其底层的镜像通过联合挂载技术实现。
Docker镜像由多个只读层叠加而成,启动容器时,Docker会加载只读镜像层并在镜像栈顶部添加一个读写层。
写时复制(cow):如果一个文件需要修改,则会把在底层中的文件复制到最上面的可写层,联合挂载系统此时会屏蔽最下面只读层中的文件,只显示可写层中的文件。
大量业务数据不建议直接存储在容器镜像中:
    1.多层镜像读写性能差。
    2.容器一删除,其保存的文件也被删除
    3.磁盘的IO读写一直是服务器整体性能的瓶颈

卷:容器上的一个或多个目录,此类目录可绕过联合文件系统,与宿主机上的某个目录关联。独立于容器的生命周期实现数据持久化,实现数据和运行程序分离。
    ?Volume于容器初始化之时即会创建,由base image提供的卷中的数据会于此期间完成复制
    ? Data volumes can be shared and reused among containers
    ? Changes to a data volume are made directly
    ? Changes to a data volume will not be included when you update an image
    ? Data volumes persist even if the container itself is deleted
    ?Volume的初衷是独立于容器的生命周期实现数据持久化,因此删除容器之时既不会删除卷,也不会对哪怕未被引用的卷做垃圾回收操作

Docker支持两种类型的存储卷
    1.动态:container上指定存储卷,但至于对应的宿主机中的文件路径则是docker-daemon随机产生的,也称之为docker管理的卷。
    2.静态:container上指定、宿主机上对应的卷也由用户手动指定。

?为docker run命令使用-v选项即可使用Volume
? Docker-managed volume 
    ?  docker run -it -name bbox1 –v /data busybox 
    ?  docker inspect -f {{.Mounts}} bbox1 
        ? 查看bbox1容器的卷、卷标识符及挂载的主机目录
? Bind-mount Volume  
    ?  docker run -it -v HOSTDIR:VOLUMEDIR --name bbox2 busybox 
    ?  docker inspect -f {{.Mounts}} bbox2

docker volume ls 查看已存在的volume
docker volume inspect filename  查看卷的详细信息
两个容器共用一个存储卷,就可以共享数据
?多个容器的卷使用同一个主机目录,例如
    ? docker run –it --name c1 -v /docker/volumes/v1:/data busybox 
    ? docker run –it --name c2 -v /docker/volumes/v1:/data busybox
?复制使用其它容器的卷,为docker run命令使用--volumes-from选项
    ? docker run -it --name bbox1 -v /docker/volumes/v1:/data busybox 
    ? docker run -it --name bbox2 --volumes-from bbox1 busybox

配置容器化应用

? MariaDB:
    ? 命令行选项:使程序运行特性和程序解耦
    ? 配置文件
? 容器化方式运行MariaDB
    ? 启动容器
    ? exec -it 
? 配置容器化应用
    ? docker run 
        ? 通过自定义要运行的命令,并向传递命令行参数;
    ? 自定义镜像,将修改好的配置文件直接焙进镜像。不同环境不同的镜像
    ? 环境变量,应用程序支持变量配置,容器启动时通过加载用户传入的变量值,实现同一个镜像,不同的运行环境。但传统意义上的应用大部分都不支持次方法
        ? docker run -e
    ? 存储卷:把配置文件在本地编辑好,启动时加载特定的volume
    但这些配置方式都需要一个docker额外的平台,通过这个平台去管理docker,而不是直接通过docker
容器化时代静态已不是主流,动态才是,动态化是容器时代的一大特征。

容器和进程

? 容器:一个进程;
    ? 进程终止,必将导致容器终止;
        ? 传递终止信号:SIGTERM,SIGKILL
    ? 进程没终止:running
        ? 健康状态检测
        ? 通过重启自愈,镜像内部应该有自愈机制

配置中心:专门的键值存储系统,Redis、etcd
    程序通过watch监测,当配置中心的配置文件发生变化时从配置中心加载配置,reload配置。此时就可以达到以一应百。
    注册中心,配置中心

Docker file

Dockerfile:Dockerfile is nothing but the source code for building,制作docker镜像的指令、源码。
    ? docker build:根据docker file里的指令根据指定的某一个基础镜像来制作docker image
    ? Dokcerfile必须放在workdir目录下,build把workdir作为根,所以所有build用到的文件必须放在workdir下
    ? docker build必须基于一个基础镜像制作新的镜像,不可能完全制作一个新镜像
    ? 一个docker file中一条指令就一层镜像,所以镜像层次越少越好
    ? docker build在制作过程中会基于base image启动一个容器  
    ? dockerfile所支持的命令和制作环境都是基于基础镜像的,不是基于宿主机的
    ? 指令全大写,易于区分参数和指令,第一个指令必须是FROM
    ? dockerignore file:指定要排除的文件

dockerfile instruction

    FROM:指定docker build的basic image 
    Syntax 
        ? FROM <repository>[:<tag>] 或
        ? FROM <resository>@<digest> -->digest:镜像的校验码,
            ? <reposotiry>:指定作为base image的名称;
            ? <tag>:base image的标签,为可选项,省略时默认为latest;

    MAINTANIER:指定作者信息(以后会被替代,建议不要用)
    ? Syntax 
        ? MAINTAINER <authtor‘s detail>
        ? <author‘s detail>可是任何文本信息,但约定俗成地使用作者名称及邮件地址

    LABEL:指定作者信息
        ? Syntax: LABEL <key>=<value> <key>=<value> <key>=<value> ...

    COPY:用于Docker主机复制文件至创建的新映像文件
        ? Syntax 
            ? COPY <src> ... <dest> 或
            ? COPY ["<src>",... "<dest>"] ? <src>:要复制的源文件或目录,支持使用通配符
            ? <dest>:目标路径,即正在创建的image的文件系统路径;建议为<dest>使用绝对路径,否则,COPY指定则以WORKDIR为其起始路径;
        ? 注意:在路径中有空白字符时,通常使用第二种格式
        ?文件复制准则
            ? <src>必须是build上下文中的路径,不能是其父目录中的文件
            ? 如果<src>是目录,则其内部文件或子目录会被递归复制,但<src>目录自身不会被复制
            ? 如果指定了多个<src>,或在<src>中使用了通配符,则<dest>必须是一个目录,且必须以/结尾
            ? 如果<dest>事先不存在,它将会被自动创建,这包括其父目录路径

    ADD
    ?ADD指令类似于COPY指令,ADD支持使用TAR文件和URL路径
    ? Syntax 
        ? ADD <src> ... <dest> 或
        ? ADD ["<src>",... "<dest>"]
    ?操作准则
        ? 同COPY指令
        ? 如果<src>为URL且<dest>不以/结尾,则<src>指定的文件将被下载并直接被创建为<dest>;如果<dest>以/结尾,则文件名URL指定的文件将被直接下载并保存为<dest>/<filename>
        ? 如果<src>是一个本地系统上的压缩格式的tar文件,它将被展开为一个目录,其行为类似于“tar -x”命令;然而,通过URL获取到的tar文件将不会自动展开;
        ? 如果<src>有多个,或其间接或直接使用了通配符,则<dest>必须是一个以/结尾的目录路径;如果<dest>不以/结尾,则其被视作一个普通文件,<src>的内容将被直接写入到<dest>;

    WORKDIR
    ?用于为Dockerfile中所有的RUN、CMD、ENTRYPOINT、COPY和ADD指定设定工作目录
    ? Syntax 
        ? WORKDIR <dirpath>
        ? 在Dockerfile文件中,WORKDIR指令可出现多次,其路径也可以为相对路径,不过,其是相对此前一个WORKDIR指令指定的路径
        ? 另外,WORKDIR也可调用由ENV指定定义的变量
        ? 例
            ? WORKDIR /var/log 
            ? WORKDIR $STATEPATH

    VOLUME
    ?用于在image中创建一个挂载点目录,以挂载Docker host上的卷或其它容器上的卷
    ? Syntax 
        ? VOLUME <mountpoint> 或
        ? VOLUME ["<mountpoint>"] 
    ?如果挂载点目录路径下此前在文件存在,docker run命令会在卷挂载完成后将此前的所有文件复制到新挂载的卷中 

    EXPOSE
    ?用于为容器打开指定要监听的端口以实现与外部通信
    ? Syntax 
        ? EXPOSE <port>[/<protocol>] [<port>[/<protocol>] ...] 
            ? <protocol>用于指定传输层协议,可为tcp或udp二者之一,默认为TCP协议
    ? EXPOSE指令可一次指定多个端口,例如
        ? EXPOSE 11211/udp 11211/tcp
    docker run --name web1 -it --rm -P tinyweb:v0.1 创建容器的时候,需要通过-P选项来暴露EXPOSE指定的端口

    ENV
    ?用于为镜像定义所需的环境变量,并可被Dockerfile文件中位于其后的其它指令如ENV、ADD、COPY等)所调用
    ?调用格式为$variable_name或${variable_name}
    ? Syntax 
        ? ENV <key> <value> 或
        ? ENV <key>=<value> ...
    ? 第一种格式中,<key>之后的所有内容均会被视作其<value>的组成部分,因此,一次只能设置一个变量;
    ? 第二种格式可用一次设置多个变量,每个变量为一个"<key>=<value>"的键值对,如果<value>中包含空格,可以以反斜线(\)进行转义,也可通过对<value>加引号进行标识;另外,反斜线也可用于续行;
    ? 定义多个变量时,建议使用第二种方式,以便在同一层中完成所有功能
    Dockerfile 中指定的变量只能在docker build中使用,docker run指定的变量在docker container中使用。

    RUN
    ?用于指定docker build过程中运行的程序,其可以是任何命令
    ? Syntax 
        ? RUN <command> 或
        ? RUN ["<executable>", "<param1>", "<param2>"] 
    ? 第一种格式中,<command>通常是一个shell命令,且以“/bin/sh -c”来运行它,这意味着此进程在容器中的PID不为1,不能接收Unix信号,因此,当使用docker stop <container>命令停止容器
    时,此进程接收不到SIGTERM信号;
    ? 第二种语法格式中的参数是一个JSON格式的数组,其中<executable>为要运行的命令,后面的<paramN>为传递给命令的选项或参数;然而,此种格式指定的命令不会以“/bin/sh -c”来发起
    ,因此常见的shell操作如变量替换以及通配符(?,*等)替换将不会进行;不过,如果要运行的命令依赖于此shell特性的话,可以将其替换为类似下面的格式。
    ? RUN ["/bin/sh", "-c", "<executable>", "<param1>"]
    ?注意:json数组中,要使用双引号

    CMD
    ?类似于RUN指令,CMD指令也可用于运行任何命令或应用程序,不过,二者的运行时间点不同
        ? RUN指令运行于映像文件构建过程中,而CMD指令运行于基于Dockerfile构建出的新映像文件启动一个容器时
        ? CMD指令的首要目的在于为启动的容器指定默认要运行的程序,且其运行结束后,容器也将终止;不过,CMD指定的命令其可以被docker run的命令行选项所覆盖
        ? 在Dockerfile中可以存在多个CMD指令,但仅最后一个会生效
    ? Syntax 
        ? CMD <command> 或 作为shell的子命令运行
        ? CMD [“<executable>”, “<param1>”, “<param2>”] 或
        ? CMD ["<param1>","<param2>"]
    ?前两种语法格式的意义同RUN
    ?第三种则用于为ENTRYPOINT指令提供默认参数      

    ENTRYPOINT
    ?类似CMD指令的功能,用于为容器指定默认运行程序,从而使得容器像是一个单独的可执行程序
    ?与CMD不同的是,由ENTRYPOINT启动的程序不会被docker run命令行指定的参数所覆盖,而且,这些命令行参数会被当作参数传递给ENTRYPOINT指定指定的程序
        ? 不过,docker run命令的--entrypoint选项的参数可覆盖ENTRYPOINT指令指定的程序
    ? Syntax 
        ? ENTRYPOINT <command>
        ? ENTRYPOINT ["<executable>", "<param1>", "<param2>"]
    ? docker run命令传入的命令参数会覆盖CMD指令的内容并且附加到ENTRYPOINT命令最后做为其参数使用
    ? Dockerfile文件中也可以存在多个ENTRYPOINT指令,但仅有最后一个会生效
    如果CMD和ENTRYPOINT同时存在,CMD作为ENTRYPOINT的参数运行。
    在docker run时也可以通过docker -e来改变环境变量

    USER
    ?用于指定运行image时的或运行Dockerfile中任何RUN、CMD或ENTRYPOINT指令指定的程序时的用户名或UID
    ?默认情况下,container的运行身份为root用户
    ? Syntax 
        ? USER <UID>|<UserName>
        ? 需要注意的是,<UID>可以为任意数字,但实践中其必须为/etc/passwd中某用户的有效UID,否则,docker run命令将运行失败

    HELTHCHECK 
    ? 检测容器的健康状态
    HEALTHCHECK [OPTIONS] CMD command (check container health by running a command inside the container)
    HEALTHCHECK NONE (disable any healthcheck inherited from the base image)

    [options]:
        --interval=DURATION (default: 30s)  间隔时长
        --timeout=DURATION (default: 30s)  超时时长
        --start-period=DURATION (default: 0s)  container启动之后多久开始监测
        --retries=N (default: 3)  重试次数
    退出码含意
        0: success - the container is healthy and ready for use
        1: unhealthy - the container is not working correctly
        2: reserved - do not use this exit code
    HEALTHCHECK --interval=5m --timeout=3s CMD curl -f http://localhost/ || exit 1
    如果容器自己没有健康检测,则可以在docker run时通过-e 定义  

    SHELL  
    改变系统默认的shell程序,因为基础镜像可能是windows。

    STOPSIGNAL
    指定系统的终止信号,默认为9

    ARG 
    在build镜像的时候,通过 --build-arg 来传递参数给ARG定义的变量,而不用事先在Dockerfile中定义好
    Syntax:ARG<name>[=<default value>]

    ONBUILD
    在Dockerfile中定义一个指令,ONBULID后面必须跟一个正常的Dockerfile指令,我们自己build的镜像可能被别人作为FROM镜像。ONBUILD后面的指令在我们build时不执行,当别人用我们的镜像build时ONBUILD才会执行。
    所以任何来路不明的镜像都不应该被运行。

Dokcer入门及其Docker file的制作指令

标签:PNAT   cal   conf   镜像制作   duration   不为   应用   注意   rect   

原文地址:http://blog.51cto.com/8031757/2312947

(0)
(0)
   
举报
评论 一句话评论(0
登录后才能评论!
© 2014 mamicode.com 版权所有  联系我们:gaon5@hotmail.com
迷上了代码!