收藏 分享(赏)

docker学习之基础知识.docx

上传人:HR专家 文档编号:6048966 上传时间:2019-03-25 格式:DOCX 页数:16 大小:278.71KB
下载 相关 举报
docker学习之基础知识.docx_第1页
第1页 / 共16页
docker学习之基础知识.docx_第2页
第2页 / 共16页
docker学习之基础知识.docx_第3页
第3页 / 共16页
docker学习之基础知识.docx_第4页
第4页 / 共16页
docker学习之基础知识.docx_第5页
第5页 / 共16页
点击查看更多>>
资源描述

1、 内部公开第 1 页Docker 学习之基础知识Docker 是一个开源项目,诞生于 2013 年初,最初是 dotCloud 公司内部的一个业余项目。它基于 Google 公司推出的 Go 语言实现。 Docker 项目的目标是实现轻量级的操作系统虚拟化解决方案。 Docker 的基础是 Linux 容器(LXC)等技术。在 LXC 的基础上 Docker 进行了进一步的封装,让用户不需要去关心容器的管理,使得操作更为简便。用户操作 Docker 的容器就像操作一个快速轻量级的虚拟机一样简单。图 1 虚拟机的 Guest OS 层和 Hypervisor 层在 docker 中被 Docke

2、r Engine 层所替代。虚拟机的 Guest OS 即为虚拟机安装的操作系统,它是一个完整操作系统内核;虚拟机的Hypervisor 层可以简单理解为一个硬件虚拟化平台,它在 Host OS 是以内核态的驱动存在的。 图 1 虚拟机图二 Dockerdocker 并没有和虚拟机一样利用一个完全独立的 Guest OS 实现环境隔离,它利用的是目前 Linux 内核本身支持的容器方式实现资源和环境隔离。简单的说,docker 利用namespace 实现系统环境的隔离;利用 Cgroup 实现资源限制;利用镜像实现根目录环境的隔离。内部公开第 2 页1. Docker 优势作为一种新兴的虚拟

3、化方式,Docker 跟传统的虚拟化方式相比具有众多的优势。首先,Docker 容器的启动可以在秒级实现,这相比传统的虚拟机方式要快得多。其次,Docker 对系统资源的利用率很高,一台主机上可以同时运行数千个 Docker 容器。容器除了运行其中应用外,基本不消耗额外的系统资源,使得应用的性能很高,同时系统的开销尽量小。传统虚拟机方式运行 10 个不同的应用就要起 10 个虚拟机,而 Docker 只需要启动 10 个隔离的应用即可。具体说来,Docker 在如下几个方面具有较大的优势:更快速的交付和部署对开发和运维(devop)人员来说,最希望的就是一次创建或配置,可以在任意地方正常运行。

4、更高效的虚拟化Docker 容器的运行不需要额外的 hypervisor 支持,它是内核级的虚拟化,因此可以实现更高的性能和效率。1、docker 相对于物理机其计算能力几乎没有损耗,而虚拟机对比物理机则有着非常明显的损耗。虚拟机的计算能力损耗在 50%左右。2、运行在 docker 容器上的程序直接使用的都是实际物理机的硬件资源。因此在 CPU、内存利用率上 docker 将会在效率上有优势;3、docker 利用的是宿主机的内核,而不需要 Guest OS。因此,当新建一个容器时,docker 不需要和虚拟机一样重新加载一个操作系统内核,避免了虚拟机启动时所需的系统引导时间和操作系统运行的

5、资源消耗;4、在应用程序内存访问上,虚拟机的应用程序要进行 2 次的虚拟内存到物理内存的映射,读写内存的代价比 docker 的应用程序高。更轻松的迁移和扩展Docker 容器几乎可以在任意的平台上运行,包括物理机、虚拟机、公有云、私有云、个人电脑、服务器等。 这种兼容性可以让用户把一个应用程序从一个平台直接迁移到另外一个。内部公开第 3 页更简单的管理使用 Docker,只需要小小的修改,就可以替代以往大量的更新工作。所有的修改都以增量的方式被分发和更新,从而实现自动化并且高效的管理。与传统虚拟机比较特性 容器 虚拟机启动 秒级 分钟级硬盘使用 一般为 MB 一般为 GB性能 接近原生 弱于

6、系统支持量 单机支持上千个容器 一般几十个2. Docker 劣势前面的内容主要论述 docker 相对于虚拟机的优势,但 docker 也不是完美的系统。相对于虚拟机,docker 还存在着以下几个缺点: 资源隔离方面不如虚拟机,docker 是利用 cgroup 实现资源限制的,只能限制资源消耗的最大值,而不能隔绝其他程序占用自己的资源。 安全性问题。docker 目前并不能分辨具体执行指令的用户,只要一个用户拥有执行docker 的权限,那么他就可以对 docker 的容器进行所有操作,不管该容器是否是由该用户创建。比如 A 和 B 都拥有执行 docker 的权限,由于 docker

7、的 server 端并不会具体判断 docker clinet 是由哪个用户发起的,A 可以删除 B 创建的容器,存在一定的安全风险。 docker 目前还在版本的快速更新中,细节功能调整比较大。一些核心模块依赖于高版本内核,存在版本兼容问题Docker 的基本概念Docker 包括三个基本概念 镜像(Image) 容器(Container) 仓库(Repository)镜像(Image)Docker 镜像就是一个只读的模板。内部公开第 4 页例如:一个镜像可以包含一个完整的 ubuntu 操作系统环境,里面仅安装了 Apache 或用户需要的其它应用程序。镜像可以用来创建 Docker 容器

8、。Docker 提供了一个很简单的机制来创建镜像或者更新现有的镜像,用户甚至可以直接从其他人那里下载一个已经做好的镜像来直接使用。容器(Container)Docker 利用容器来运行应用。容器是从镜像创建的运行实例。它可以被启动、开始、停止、删除。每个容器都是相互隔离的、保证安全的平台。可以把容器看做是一个简易版的 Linux 环境(包括 root 用户权限、进程空间、用户空间和网络空间等)和运行在其中的应用程序。仓库(Repository)仓库是集中存放镜像文件的场所。有时候会把仓库和仓库注册服务器(Registry)混为一谈,并不严格区分。实际上,仓库注册服务器上往往存放着多个仓库,每个

9、仓库中又包含了多个镜像,每个镜像有不同的标签(tag) 。仓库分为公开仓库(Public)和私有仓库(Private)两种形式。最大的公开仓库是 Docker Hub,存放了数量庞大的镜像供用户下载。 国内的公开仓库包括 Docker Pool 等,可以提供大陆用户更稳定快速的访问。当然,用户也可以在本地网络内创建一个私有仓库。当用户创建了自己的镜像之后就可以使用 push 命令将它上传到公有或者私有仓库,这样下次在另外一台机器上使用这个镜像时候,只需要从仓库上 pull 下来就可以了。安装 docker1. 在 yum repository 增加 docker 的 repository# s

10、udo vim /etc/yum.repos.d/docker.repo# 在 vim 编辑器中输入以下内容后保存内部公开第 5 页dockerreponame=Docker Repositorybaseurl=https:/yum.dockerproject.org/repo/main/centos/$releasever/enabled=1gpgcheck=1gpgkey=https:/yum.dockerproject.org/gpg2. 安装 docker-engineyum install lvm2yum install docker-engine重新安装的话需需要删除 docker

11、 的配置和数据目录,否则会有垃圾数据rm -rf /usr/bin/dockerrm -rf /var/lib/dockerrootlocalhost /# ps aux|grep dockerroot 6779 0.0 0.0 112656 972 pts/2 S+ 11:04 0:00 grep -color=auto dockerrootlocalhost /# service docker startRedirecting to /bin/systemctl start docker.servicerootlocalhost yum.repos.d# ps aux|grep docke

12、rroot 13376 1.2 0.0 2358880 45140 ? Ssl 09:47 0:17 /usr/bin/docker daemon -H fd:/root 13386 0.0 0.0 426968 10344 ? Ssl 09:47 0:00 docker-containerd -l /var/run/docker/libcontainerd/docker-containerd.sock -runtime docker-runc -start-timeout 2mroot 15579 0.0 0.0 112660 972 pts/2 S+ 10:09 0:00 grep -co

13、lor=auto docker3. 测试 docker 服务是否成功rootlocalhost docker# sudo docker run hello-worldHello from Docker!This message shows that your installation appears to be working correctly.To generate this message, Docker took the following steps:1. The Docker client contacted the Docker daemon.2. The Docker daem

14、on pulled the “hello-world“ image from the Docker Hub.3. The Docker daemon created a new container from that image which runs theexecutable that produces the output you are currently reading.4. The Docker daemon streamed that output to the Docker client, which sent itto your terminal.To try somethin

15、g more ambitious, you can run an Ubuntu container with:$ docker run -it ubuntu bash内部公开第 6 页Share images, automate workflows, and more with a free Docker Hub account:https:/For more examples and ideas, visit:https:/ yum.repos.d# sudo docker pull ubuntuUsing default tag: latestlatest: Pulling from li

16、brary/ubuntuf069f1d21059: Pull complete ecbeec5633cf: Pull complete ea6f18256d63: Pull complete 54bde7b02897: Pull complete Digest: sha256:bbfd93a02a8487edb60f20316ebc966ddc7aa123c2e609185450b96971020097Status: Downloaded newer image for ubuntu:latestrootlocalhost docker# sudo docker images REPOSITO

17、RY TAG IMAGE ID CREATED SIZEhello-world latest c54a2cc56cbb 3 days ago 1.848 kBubuntu latest 0f192147631d 5 days ago 132.7 MBrootlocalhost docker# sudo docker run ubuntu echo hello,I am here!hello,I am here!镜像创建镜像的方法有 3 种:基于已有的镜像的容器创建、基于本地模板导入、基于 dockerfile创建。1. 基于已有镜像文件创建rootlocalhost # sudo docker

18、 run -ti ubuntu:latest /bin/bashrootd34dce20aab5:/# pwd/rootd34dce20aab5:/# cd home/rootd34dce20aab5:/home# lsrootd34dce20aab5:/home# mkdir setup rootd34dce20aab5:/home# touch test rootd34dce20aab5:/home# lssetup testrootd34dce20aab5:/home# exit内部公开第 7 页exitrootlocalhost # sudo docker commit -m “Add

19、 a new file“ -a “Docker Newbee“ d34dce20aab5 pyj_testsha256:fb1cc943194c47542636ef8d8072008a67656c5cd86354a07e9f95d1618a6295上面代码,用-m 指定行创建的镜像的提交信息。-author 指定镜像作者,接着是容器 ID、目标镜像仓库、镜像名。2. 基于本地模板导入可以从已有的一个系统上打包镜像,然后倒入 dockerrootlocalhost # sudo cat suse11sp3_python.tar.gz| docker import - suse11sp3_pyth

20、onsha256:d4e683d052ff8e29a7826e8bab468940f0b734666e66a7589e858813a74440473. 基于 dockerfile 创建使用 docker commit 来扩展一个镜像比较简单,但是不方便在一个团队中分享。我们可以使用 dockerbuild 来创建一个新的镜像。为此,首先需要创建一个 Dockerfile,包含一些如何创建镜像的指令。roothost-192-168-101-222 home# mkdir dockerfileroothost-192-168-101-222 home# cd dockerfile/roothos

21、t-192-168-101-222 dockerfile# vi Dockerfile # This is a commentFROM 80.80.44.211:5000/ubuntuMAINTAINER Docker Newbee RUN echo “deb http:/ precise main universe“ /etc/apt/sources.listRUN mkdir -p /var/run/sshdroothost-192-168-101-222 dockerfile# sudo docker build -t=“test/dockerfile:v2“ .Sending buil

22、d context to Docker daemon 2.048 kBStep 1 : FROM 80.80.44.211:5000/ubuntu- cf62323fa025Step 2 : MAINTAINER Docker Newbee - Running in 0f1f3c470893- 26b18e183480Removing intermediate container 0f1f3c470893Step 3 : RUN echo “deb http:/ precise main universe“ /etc/apt/sources.list- Running in e04c0dd36

23、f43- bbcfab81cedaRemoving intermediate container e04c0dd36f43Step 4 : RUN mkdir -p /var/run/sshd- Running in 689d9cb5e730- 67220c342e04Removing intermediate container 689d9cb5e730内部公开第 8 页Successfully built 67220c342e04roothost-192-168-101-222 # docker images REPOSITORY TAG IMAGE ID CREATED SIZEtest

24、/dockerfile v2 67220c342e04 5 seconds ago 124.9 MBDockerfile 基本的语法是: 使用 # 来注释 FROM 指令告诉 Docker 使用哪个镜像作为基础 接着是维护者的信息 RUN 开头的指令会在创建中运行,比如安装一个软件包,在这里使用 apt-get 来安装了一些软件 ADD 命令复制本地文件到镜像; EXPOSE 命令来向外部开放端口; CMD 命令来描述容器启动后运行的程序等。4. 存出和载入如果要导出镜像到本地文件,可以使用 docker save 命令。rootlocalhost home# sudo docker save

25、 -o ubutu_14.04.tar ubuntu:latestrootlocalhost home# lssuse11sp3_python.tar.gz suse11.tar ubutu_14.04.tar whc zte可以使用 docker load 从导出的本地文件中再导入到本地镜像库。rootlocalhost home# sudo docker load -input ubutu_14.04.tarrootlocalhost home# sudo docker load 当利用 docker run 来创建容器时,Docker 在后台运行的标准操作包括: 检查本地是否存在指定的镜

26、像,不存在就从公有仓库下载 利用镜像创建并启动一个容器 分配一个文件系统,并在只读的镜像层外面挂载一层可读写层 从宿主主机配置的网桥接口中桥接一个虚拟接口到容器中去 从地址池配置一个 ip 地址给容器 执行用户指定的应用程序 执行完毕后容器被终止2. 将在终止状态(stopped)的容器重新启动用 start 命令打开一个停止的容器rootlocalhost # sudo docker start cfe66bdec22dcfe66bdec22d内部公开第 11 页3. 守护态运行-d 参数 ,-d 参数表示 docker 把容器放到后台运行rootlocalhost # sudo docke

27、r run -d ubuntu /bin/sh -c “while true; do echo hello world; sleep 1; done“a5d0522d8740f045434c0ac877efd92818121387b4758a120cb3cc8ea9d2e23crootlocalhost # sudo docker psCONTAINER ID IMAGE COMMAND CREATED STATUS PORTS NAMESa5d0522d8740 ubuntu “/bin/sh -c while tr“ 2 minutes ago Up 2 minutes angry_ros

28、alindrootlocalhost # sudo docker logs a5d0522d8740hello worldhello worldhello worldhello world4. 进入容器某些时候需要进入容器进行操作,有很多种方法,包括使用 docker attach 命令或 nsenter 工具等。rootlocalhost # sudo docker run -idt 80.80.44.211:5000/ubunturootlocalhost # sudo docker attach 15b5f564fb20root15b5f564fb20:/#root localhost

29、# sudo docker attach 15b5f564fb20You cannot attach to a stopped container, start it first但是使用 attach 命令有时候并不方便。当多个窗口同时 attach 到同一个容器的时候,所有窗口都会同步显示。当某个窗口因命令阻塞时,其他窗口也无法执行操作了。建议大家下载 .bashrc_docker,并将内容放到 .bashrc 中。wget -P https:/ “ -f /.bashrc_docker source /.bashrcroot localhost # docker ps CONTAINER

30、ID IMAGE COMMAND CREATED STATUS PORTS NAMES7059f20c3857 80.80.44.211:5000/ubuntu “/bin/bash“ 32 seconds ago Up 29 seconds berserk_lamarrafc856f98918 registry:2.3.0 “/bin/registry /etc/d“17 minutes ago Up 17 minutes 0.0.0.0:5000-5000/tcp registry内部公开第 12 页root localhost # docker-pid 7059f20c38578729r

31、oothost-192-168-101-222 # docker-enter 7059f20c3857root7059f20c3857:#5. 终止用 stop 命令打开一个停止的容器rootlocalhost # sudo docker stop a5d0522d8740a5d0522d8740当 Docker 容器中指定的应用终结时,容器也自动终止。 例如对于上一章节中只启动了一个终端的容器,用户通过 exit 命令或 Ctrl+d 来退出终端时,所创建的容器立刻终止。rootlocalhost # docker rm $(docker ps -a -q)docker rm 命令遇到正在运

32、行的容器就会失效,所以这个命令完美的删除了所有没在运行的容器。6. 导出和导入容器如果要导出本地某个容器,可以使用 docker export 命令。rootlocalhost # docker psCONTAINER ID IMAGE COMMAND CREATED STATUS PORTS NAMES2c8395d13b58 registry “/bin/registry /etc/d“ 2 hours ago Up 2 hours 0.0.0.0:5000-5000/tcp gigantic_parerootlocalhost templates# sudo docker export

33、2c8395d13b58 registry.tar可以使用 docker import 从容器快照文件中再导入为镜像rootlocalhost templates# sudo cat registry.tar |docker import - test/registry:2.3.0sha256:55d8f6a9f7d863c49aaaf8395b6933090fcc8af1c979332a4e7d2e1a483020ce用户既可以使用 docker load 来导入镜像存储文件到本地镜像库,也可以使用 docker import 来导入一个容器快照到本地镜像库。这两者的区别在于容器快照文件将丢

34、弃所有的历史记录和元数据信息(即仅保存容器当时的快照状态) ,而镜像存储文件将保存完整记录,体积也要大。此外,从容器快照文件导入时可以重新指定标签等元数据信息。内部公开第 13 页仓库1. Docker HUB仓库(Repository)是集中存放镜像的地方。一个容易混淆的概念是注册服务器(Registry) 。实际上注册服务器是管理仓库的具体服务器,每个服务器上可以有多个仓库,而每个仓库下面有多个镜像。从这方面来说,仓库可以被认为是一个具体的项目或目录。例如对于仓库地址 来说, 是注册服务器地址, ubuntu 是仓库名。rootlocalhost # sudo docker searc

35、h ubuntuNAME DESCRIPTION STARS OFFICIAL AUTOMATEDubuntu Ubuntu is a Debian-based Linux operating s. 4281 OK ubuntu-upstart Upstart is an event-based replacement for . 65 OK rastasheep/ubuntu-sshd Dockerized SSH service, built on top of of. 29 OKtorusware/speedus-ubuntu Always updated official Ubuntu

36、 docker imag. 26 OK.根据是否是官方提供,可将镜像资源分为两类。 一种是类似 centos 这样的基础镜像,被称为基础或根镜像。这些基础镜像是由 Docker 公司创建、验证、支持、提供。这样的镜像往往使用单个单词作为名字。还有一种类型,比如 tianon/centos 镜像,它是由 Docker 的用户创建并维护的,往往带有用户名称前缀。可以通过前缀 user_name/ 来指定使用某个用户提供的镜像,比如 tianon 用户。可以通过 docker pull 命令将镜像下载到本地,用户也可以在登录后通过 docker push 命令来将镜像推送到 Docker Hub。2

37、. 私有仓库docker-registry 是官方提供的工具,可以用于构建私有的镜像仓库。yum install docker-registry内部公开第 14 页1、 构建私有仓库rootlocalhost# sudo docker run -p 5000:5000 -v /home/registry/:/var/lib/registry -d registry:2.3.0Unable to find image registry:2.3.0 locallyPulling repository docker.io/library/registry1986f6fa547f: Pull comp

38、lete d8bd0657b25f: Pull complete a582cd499e0f: Pull complete ff9c2740a9ad: Pull complete 598cf69db3df: Pull complete c3ee0ca45b37: Pull complete 1b808dcd3222: Pull complete 79dae8a48c0b: Pull complete b1029e55dfd2: Pull complete Status: Downloaded newer image for registry:2.3.0docker.io/library/regi

39、stry: this image was pulled from a legacy registry. Important: This registry version will not be supported in future versions of docker.daee588e4d3e7f15198d6891d4b4f27ad2406484bd51434a4ed461fc8c7fa05drootlocalhost # docker tag registry:2.3.0 registry:latestrootlocalhost # sudo docker psCONTAINER ID

40、IMAGE COMMAND CREATED STATUS PORTS NAMESdaee588e4d3e registry:2.3.0 “/bin/registry /etc/d“ 32 seconds ago Up 30 seconds 0.0.0.0:5000-5000/tcp furious_franklin运行上述命令后,会从 DockerHub 上拉取 registry 镜像并在本地启动 Registry 服务,并监听 5000 端口。rootlocalhost # curl 127.0.0.1:5000“docker-registry server“2、重新标记一个本地镜像为私有仓

41、库的版本,这里将本地的 ubuntu 标记为80.80.44.211:5000/ubunturootlocalhost # sudo docker tag ubuntu 80.80.44.211:5000/ubunturootlocalhost # sudo docker images REPOSITORY TAG IMAGE ID CREATED SIZE80.80.44.211:5000/ubuntu latest cf62323fa025 9 days ago 124.9 MBubuntu latest cf62323fa025 9 days ago 124.9 MBregistry 2

42、.3.0 36aac1e0ec3c 4 months ago 165.7 MBregistry latest 36aac1e0ec3c 4 months ago 165.7 MB3、再次查看镜像可以看到多了一个标记为 80.80.44.211:5000/ubuntu 的镜像,将本地镜像推送到本地仓库中。rootlocalhost home# sudo docker push 80.80.44.211:5000/ubuntuThe push refers to a repository 80.80.44.211:5000/ubuntueb33f051084b: Pushed 内部公开第 15 页

43、3e907de58acd: Pushed b04095771c04: Pushed 3d865816fc94: Pushed latest: digest: sha256:ba1688fec34f66d8a7ff5b42e6971625d8232c72bf0e38ad06dda10cad157293 size: 1130rootlocalhost # curl http:/80.80.44.211:5000/v2/_catalog“repositories“:“ubuntu“可能会出现无法 push 镜像到私有仓库的问题rootlocalhost repositories# sudo dock

44、er push 80.80.44.211:5000/suse11sp3_pythonThe push refers to a repository 80.80.44.211:5000/suse11sp3_pythonGet https:/80.80.44.211:5000/v1/_ping: tls: oversized record received with length 20527这是因为我们启动的 registry 服务不是安全可信赖的。这是我们需要修改 docker 的配置文件/etc/default/docker,添加下面的内 DOCKER_OPTS=“-insecure-regi

45、stry xxx.xxx.xxx.xxx:5000“,xxx.xxx.xxx.xxx:5000 为私有仓库的地址。rootlocalhost etc# vi /etc/sysconfig/dockerINSECURE_REGISTRY=“-insecure-registry 80.80.44.211:5000“OPTIONS=“-registry-mirror=https:/“rootlocalhost etc# systemctl restart dockercat /usr/lib/systemd/system/docker.serviceUnitDescription=Docker Ap

46、plication Container EngineDocumentation=https:/After=network.target docker.socketRequires=docker.socketServiceType=notify# the default is not to use systemd for cgroups because the delegate issues still# exists and systemd currently does not support the cgroup feature set required# for containers run by dockerMountFlags=slaveLimitNOFILE=1048576LimitNPROC=1048576LimitCORE=infinityTimeoutStartSec=0# set delegate yes so that systemd does not reset the cgroups of docker containersDelegat

展开阅读全文
相关资源
猜你喜欢
相关搜索
资源标签

当前位置:首页 > 企业管理 > 经营企划

本站链接:文库   一言   我酷   合作


客服QQ:2549714901微博号:道客多多官方知乎号:道客多多

经营许可证编号: 粤ICP备2021046453号世界地图

道客多多©版权所有2020-2025营业执照举报