我们日常使用容器技术,主要且常用的操作就是涉及使用容器、操作镜像、访问仓库,需要融会贯通。本文主要参考《Docker — 从入门到实践》一书进行总结而来。
0. 常用操作
1. 使用镜像
在
Ubuntu/Debian上有UnionFS可以使用,如aufs或者overlay2,而CentOS和RHEL的内核中没有相关驱动。因此对于这类系统,一般使用devicemapper驱动利用LVM的一些机制来模拟分层存储。这样的做法除了性能比较差外,稳定性一般也不好,而且配置相对复杂。
- [1] 获取镜像 - pull
# 获取镜像的格式
# 仓库地址: 格式为域名或IP地址,默认为官方仓库地址
# 仓库名称: 格式为两段式,用户名/软件名,默认用户名为library官方镜像
docker pull [选项] [仓库地址:端口号]/仓库名称[:标签]
# 获取docker镜像
docker pull ubuntu:16.04
# 运行docker容器且退出后立即删除
docker run -it --rm <image:tag> bash
- [2] 列出镜像 - ls
# 列出本地docker镜像
docker image ls
# 列出本地docker镜像,包括中间层镜像
docker image ls -a
# 列出本地镜像摘要
docker image ls --digests
# 列出本地部分docker镜像
docker image ls ubuntu
# 只列出docker镜像的ID信息,便于后续操作
docker image ls -q
docker image rm $(docker image ls -q -f before=mongo:3.2)
docker image ls -q -f before=mongo:3.2 | xargs docker image rm
# 筛选出redis之前/后构建的镜像列表
docker image ls -f before=redis
docker image ls -f since=redis
# 指定格式化输出docker镜像信息
docker image ls --format "table {{.ID}}\t{{.Repository}}\t{{.Tag}}"
# 查看镜像、容器、数据卷所占用的空间
docker system df
# 显示悬空镜像
docker image ls -f dangling=true
# 删除悬空镜像
docker image prune
- [3] 删除镜像 - rm
# 删除本地镜像格式
# 镜像可以是: 镜像短ID、镜像长ID、镜像名称、镜像摘要
docker image rm [选项] <镜像1> [<镜像2> ...]
# 镜像短ID
docker image rm cd6d8154f1e1
# 镜像名称
docker image rm centos:latest
- [4] 镜像构建 - commit
# 如果不使用卷的话,任何文件修改都会被记录于容器存储层里
# 可使用commit命令,将容器的存储层保存下来成为一个镜像
# 用docker的commit命令就意味着所有对镜像的操作都是黑箱操作
docker commit [选项] <容器ID或容器名> [<仓库名>[:<标签>]]
# 创建一个nginx服务的容器
docker run --name webserver -d -p 80:80 nginx
# 进入容器修改页面显示内容
docker exec -it webserver bash
# 查看容器存储层的具体改动
docker diff webserver
# 保存存储层的内容成为镜像
docker commit -a "Escape" -m "Change Page" webserver nginx:v1.0
# 查看镜像内的历史记录
docker history nginx:v1.0
# 创建我们的新版本nginx服务的容器
docker run --name web2 -d -p 81:80 nginx:v1.0
- [5] 定制镜像 - Dockerfile
# Dockerfile可以把每一层修改、安装、构建、操作的命令都写入一个脚本
# Dockerfile支持Shell类的行尾添加\的命令换行方式,以及行首#进行注释
# 以scratch为基础镜像的话,意味着你不以任何镜像为基础进行构建
# 使用Go微服务架构语言开发的应用很多会使用scratch这种方式来制作镜像
docker build [选项] <上下文路径/URL/->
# 容器build的原理
# Docker在运行时分为Docker引擎(提供API接口)和客户端工具(Docker命令)
# 通过API与Docker引擎交互,从而在引擎上完成各种功能,从而让远程调用变的简单
# 编写Dockerfile文件
FROM debian:jessie
RUN buildDeps='gcc libc6-dev make' \
&& apt-get update \
&& apt-get install -y $buildDeps \
&& wget -O redis.tar.gz "http://download.redis.io/releases/redis-3.2.5.tar.gz" \
&& mkdir -p /usr/src/redis \
&& tar -xzf redis.tar.gz -C /usr/src/redis --strip-components=1 \
&& make -C /usr/src/redis \
&& make -C /usr/src/redis install \
&& rm -rf /var/lib/apt/lists/* \
&& rm redis.tar.gz \
&& rm -r /usr/src/redis \
&& apt-get purge -y --auto-remove $buildDeps
# 通过Dockerfile构建镜像
docker build -t redis:v1.0 .
# 通过URL构建镜像
docker build https://github.com/twang2218/gitlab-ce-zh.git#:11.1
# 通过压缩包构建镜像
docker build http://server/context.tar.gz
| 序号 | 命令 | 对应含义 |
|---|---|---|
| 1 | FROM |
指定基础镜像;必选且必须是第一条指令 |
| 2 | RUN |
执行命令;建议命令合并执行;不得超过 127 层 |
| 3 | COPY |
复制文件;可以使用通配符;保留源文件元数据信息 |
| 4 | ADD |
更高级的复制文件;URL 路径会自动下载;压缩包会自动解压 |
| 5 | CMD |
在启动时指定默认的容器主进程的启动命令;容器内没有后台服务的概念 |
| 6 | ENTRYPOINT |
入口点;与 CMD 一样都是在指定容器启动程序及参数;CMD 为参数 |
| 7 | ENV |
设置环境变量;后续的指令中可以使用;使用空格和等号为分隔符 |
| 8 | ARG |
构建参数;类似于 ENV 但不会在将来容器运行时看到;不要保存密码信息 |
| 9 | VOLUME |
定义匿名卷;任何向匿名卷中写入信息都会存储在匿名卷,而非存储层 |
| 10 | EXPOSE |
声明端口;在运行时并不会因为声明应用就会开启这个端口的服务 |
| 11 | WORKDIR |
指定工作目录;以后各层的当前目录就被改为指定的目录 |
| 12 | USER |
指定当前用户;该用户必须是事先建立好的;建议使用 gosu 命令 |
| 13 | HEALTHCHECK |
设置检查容器健康状况的命令;只可以出现一次 |
| 14 | ONBUILD |
在当前镜像构建时并不会被执行,去构建下一级镜像时才会被执行 |
# RUN vs CMD vs ENTRYPOINT
# 1.RUN: 执行命令并创建新的镜像层,经常用于安装软件包
# Shell格式:RUN
# Exec格式:RUN ["executable", "param1", "param2"]
# 2.CMD: 设置容器启动后默认执行的命令及其参数,但能够被docker的run命令后面跟的命令行参数替换
# Exec格式:CMD ["executable","param1","param2"]
# CMD ["param1","param2"] 为ENTRYPOINT提供额外的参数
# Shell 格式:CMD command param1 param2
# 3.ENTRYPOINT: 配置容器启动时运行的命令,推荐使用Exec格式且可为可执行文件
# Exec格式:ENTRYPOINT ["executable", "param1", "param2"]
# Shell格式:ENTRYPOINT command param1 param2
# HEALTHCHECK [选项] CMD <命令>: 设置检查容器健康状况的命令
# HEALTHCHECK NONE: 如果基础镜像有健康检查指令使用这行可以屏蔽掉其健康检查指令
# 间隔时间: --interval=30s
# 超过时长: --timeout=30s
# 重试次数: --retries=3
# 间隔时间: --start-period=5s
# 查看健康检查命令的输出
docker inspect --format '{{json .State.Health}}' web | python -m json.tool
- [6] 多阶段构建 - Dockerfile
FROM golang:1.9-alpine
RUN apk --no-cache add git
WORKDIR /go/src/github.com/go/helloworld/
RUN go get -d -v github.com/go-sql-driver/mysql
COPY app.go .
RUN CGO_ENABLED=0 GOOS=linux go build -a -installsuffix cgo -o app .
FROM alpine:latest
RUN apk --no-cache add ca-certificates
WORKDIR /root/
COPY --from=0 /go/src/github.com/go/helloworld/app .
CMD ["./app"]
- [7] 其它制作镜像的方式
# 1.使用Dockerfile生成镜像
docker build -t go/helloworld:v0.1 .
# 2. 可以修改镜像的标签
docker tag [容器ID] remgoote/helloworld:0.0.1
# 容器导出为文件
docker export [容器ID] > ubuntu.tar
# 导入容器文件
docker import [选项] <文件>|<URL>|- [<仓库名>[:<标签>]]
# 镜像导出为文件
docker save alpine -o alpine.tar
docker save alpine | gzip > alpine-latest.tar.gz
# 导入镜像文件
docker load -i alpine-latest.tar.gz
2. 操作容器
简单的说,容器是独立运行的一个或一组应用,以及它们的运行态环境。
- [1] 启动容器
# 启动一个容器,Docker在后台会运行如下步骤
- 1.检查本地是否存在指定的镜像,不存在就从公有仓库下载
- 2.利用镜像创建并启动一个容器
- 3.分配一个文件系统并在只读的镜像层外面挂载一层可读写层
- 4.从宿主主机配置的网桥接口中桥接一个虚拟接口到容器中去
- 5.从地址池配置一个IP地址给容器
- 6.执行用户指定的应用程序
- 7.执行完毕后容器被终止
# 1.基于镜像新建一个容器并启动
# -i: 让容器的标准输入保持打开
# -t: 分配一个伪终端并绑定到容器的标准输入上
docker run -it ubuntu:18.04 /bin/bash
# 2.将在终止状态的容器重新启动
docker container start ubuntu:18.04
# 3.以守护态运行容器
docker run -d ubuntu:18.04 /bin/sh -c "while true; do echo 1; done"
# 获取容器的输出信息
docker container logs [container ID or NAMES]
- [2] 终止容器
# 终止一个正在运行的容器
# 容器中指定的应用终结时,容器也会自动终止
docker container stop ubuntu:18.04
docker container restart ubuntu:18.04
docker container pause ubuntu:18.04
docker container unpause ubuntu:18.04
- [3] 进入容器
# [attach]命令
# 如果进入容器之后执行exit命令会导致容器的停止
docker attach 243c32535da7
# [exec]命令
# 不会因为exit命令导致容器的停止,推荐使用
docker exec -it 243c32535da7 bash
- [4] 导出和导入容器
# 导出容器快照到本地文件
docker export 7691a814370e > ubuntu.tar
# 从容器快照文件中再导入为镜像
cat ubuntu.tar | docker import - test/nginx:v1.0
# 也可以通过指定URL或某个目录来导入
docker import http://example.com/exampleimage.tgz example/imagerepo
# docker load: 导入镜像存储文件到本地镜像库
# docker import: 导入一个容器快照到本地镜像库
# 两者的区别: 容器快照文件将丢弃所有的历史记录和元数据信息,而镜像存储文件将保存完整记录,体积也要大。
docker save app:0.0.1 -o app-0.0.1.tar
docker save app:0.0.1 | gzip > app-0.0.1.tar.gz
docker load -i app-0.0.1.tar.gz
# 从一个机器将镜像迁移到另一个机器,并且带进度条的功能
docker save app-0.0.1.tar.gz | bzip2 | pv | ssh <用户名>@<主机名> 'cat | docker load -i'
- [5] 删除容器
# 删除一个处于终止状态的容器
docker container rm [container ID or NAMES]
# 删除一个运行中的容器
docker container rm -f [container ID or NAMES]
# 清理所有处于终止状态的容器
docker container prune
3. 访问仓库
实际上注册服务器(
Registry)是管理仓库(Repository)的具体服务器,每个服务器上可以有多个仓库,而每个仓库下面有多个镜像。从这方面来说,仓库可以被认为是一个具体的项目或目录。
- [1] 公共仓库
# DockerHub是官方维护了一个公共仓库,其为Docker的默认安装源。
# 交互式的输入用户名及密码完成登录
docker login
docker logout
# 获取拉取远程镜像
docker search centos
docker search centos:latest
# 打标推送本地镜像
# 注意这里打标操作的username是自己dockerhub的名称,否则无法推送
docker tag ubuntu:18.04 username/ubuntu:base
docker push username/ubuntu:base
docker search username
# 高级搜索操作
docker search --limit 5 centos
docker search --filter=stars=1000 centos
docker search --filter=is-official=true centos
docker search --filter=is-automated=true centos
# [自动构建镜像]
# 允许用户通过指定跟踪一个目标网站上的项目,一旦项目发生新的提交或者创建新的标签
# 就会自动构建镜像并推送到DockerHub中,目前支持GitHub或BitBucket
# 配置自动创建的步骤
# - 1.创建并登录DockerHub及目标网站
# - 2.在目标网站中连接帐户到DockerHub
# - 3.在DockerHub中配置一个自动创建
# - 4.选取一个目标网站中的项目和分支,需要含Dockerfile文件
# - 5.指定Dockerfile文件的位置并提交创建
- [2] 私有仓库
# 通过docker-registry部署私有仓库
docker run -d -p 5000:5000 --restart=always --name registry registry
# 通过-v参数来将镜像文件存放在本地的指定路径
docker run -d -p 5000:5000 -v /opt/data/registry:/var/lib/registry registry
# 在私有仓库上传/搜索/下载镜像 - 标记之后推送到仓库
# 标记本地镜像
docker tag ubuntu:18.04 127.0.0.1:5000/ubuntu:latest
# 上传标记镜像
docker push 127.0.0.1:5000/ubuntu:latest
# 查看仓库镜像
curl 127.0.0.1:5000/v2/_catalog
# 下载仓库镜像
docker pull 127.0.0.1:5000/ubuntu:latest
# Docker默认不允许非HTTPS方式推送镜像,需要配置才可以
$ vim /etc/docker/daemon.json
{
"registry-mirror": [
"https://registry.docker-cn.com"
],
"insecure-registries": [
"192.168.199.100:5000"
]
}
- [3] 私有仓库的高级配置
#【1】搭建HTTPS私有仓库
# 使用openssl自行签发docker.domain.com的站点SSL证书
# 生成网站SSL私钥docker.domain.com.key和SSL证书docker.domain.com.crt
# 新建ssl文件夹并将docker.domain.com.key和docker.domain.com.crt这两个文件移入, 删除其他文件。
# 第一步: 创建CA私钥(即CA证书的私有Key)
# genrsa: 生成RSA私钥; 4096: 生成Key的长度
# -des3: 生成的Key使用des3进行加密; 加个这个参数需要输入密码
$ openssl genrsa -des3 -out "root-ca.key" 4096
# 第二步: 利用私钥创建CA根证书请求文件
# 生成CA的公钥部分,即我们所说的证书,会询问地区、组织、时区等
$ openssl req -new -x509 -days 365 \
-key "root-ca.key" \
-out "root-ca.csr" -sha256 \
-subj '/C=CN/ST=Shanxi/L=Datong/O=Your Company Name/CN=Your Company Name Docker Registry CA'
# 第三步,配置CA根证书并新建root-ca.cnf文件
[root_ca]
basicConstraints = critical,CA:TRUE,pathlen:1
keyUsage = critical, nonRepudiation, cRLSign, keyCertSign
subjectKeyIdentifier=hash
# 第四步,签发根证书
$ openssl x509 -req -days 3650 -in "root-ca.csr" \
-signkey "root-ca.key" -sha256 -out "root-ca.crt" \
-extfile "root-ca.cnf" -extensions \
root_ca
# 第五步,生成站点SSL私钥
$ openssl genrsa -out "docker.domain.com.key" 4096
# 第六步,使用私钥生成证书请求文件
$ openssl req \
-new -key "docker.domain.com.key" \
-out "site.csr" -sha256 \
-subj '/C=CN/ST=Shanxi/L=Datong/O=Your Company Name/CN=docker.domain.com'
# 第七步,配置证书并新建site.cnf文件
[server]
authorityKeyIdentifier=keyid,issuer
basicConstraints = critical,CA:FALSE
extendedKeyUsage=serverAuth
keyUsage = critical, digitalSignature, keyEncipherment
subjectAltName = DNS:docker.domain.com, IP:127.0.0.1
subjectKeyIdentifier=hash
# 第八步,签署站点SSL证书
$ openssl x509 -req -days 750 -in "site.csr" -sha256 \
-CA "root-ca.crt" -CAkey "root-ca.key" -CAcreateserial \
-out "docker.domain.com.crt" -extfile "site.cnf" -extensions server
#【2】配置私有仓库
# 私有仓库默认的config.yml配置文件
$ vim /etc/docker/registry/config.yml
version: 0.1
log:
accesslog:
disabled: true
level: debug
formatter: text
fields:
service: registry
environment: staging
storage:
delete:
enabled: true
cache:
blobdescriptor: inmemory
filesystem:
rootdirectory: /var/lib/registry
auth:
htpasswd:
realm: basic-realm
path: /etc/docker/registry/auth/nginx.htpasswd
http:
addr: :443
host: https://docker.domain.com
headers:
X-Content-Type-Options: [nosniff]
http2:
disabled: false
tls:
certificate: /etc/docker/registry/ssl/docker.domain.com.crt
key: /etc/docker/registry/ssl/docker.domain.com.key
health:
storagedriver:
enabled: true
interval: 10s
threshold: 3
#【3】生成http认证文件
# 将下面的username和password替换为你自己的用户名和密码
$ mkdir auth
$ docker run --rm --entrypoint htpasswd registry \
-Bbn username password > auth/nginx.htpasswd
#【4】编辑docker-compose.yml文件
version: "3"
services:
registry:
image: registry
ports:
- "443:443"
volumes:
- ./:/etc/docker/registry
- registry-data:/var/lib/registry
volumes:
registry-data:
#【5】修改hosts配置
$ vim /etc/hosts
docker.domain.com 127.0.0.1
#【6】启动服务
$ docker-compose up -d
#【7】测试私有仓库功能
# 登录到私有仓库
$ docker login docker.domain.com
# 尝试推送、拉取镜像
$ docker pull ubuntu:18.04
$ docker tag ubuntu:18.04 docker.domain.com/username/ubuntu:18.04
$ docker push docker.domain.com/username/ubuntu:18.04
$ docker image rm docker.domain.com/username/ubuntu:18.04
$ docker pull docker.domain.com/username/ubuntu:18.04
# 如果我们退出登录,尝试推送镜像
$ docker logout docker.domain.com
$ docker push docker.domain.com/username/ubuntu:18.04
no basic auth credentials
# 发现会提示没有登录,不能将镜像推送到私有仓库中
4. 写在最后
书到用时方恨少,早知应该多努力!
- 定时删除镜像中间层
$ crontab -l
0 0 * * 0 docker image prune -f
- 重启自动启动容器
# 添加sleep是因为系统启动时候dockerd服务是在crond服务之后的,可能会导致reboot任务无法生效
$ crontab -l
@reboot sleep 60 && \
docker ps -a --format '{{.ID}} {{.CreatedAt}} {{.Names}}' | \
grep -v 'xxx' | \
sort -t' ' -k2 | \
awk '{print $1}' | \
xargs docker container start
@reboot sleep 60 && \
docker ps -a --format '{{.ID}} {{.CreatedAt}} {{.Names}}' | \
egrep -v '_[[:digit:]]{6,}' | \
sort -t' ' -k2 | \
awk '{print $1}' | \
xargs docker container start
# 另外,可以通过如下命令查看系统启动流程
$ systemd-analyze plot > systemd.svg
