docker专项

宇文氏

　　容器虚拟化--docker
　　一、核心概念

• 镜像
  

　　是一个只读的模板，类似于安装系统用到的那个iso文件，我们通过镜像来完成各种应用的部署。

• docker容器
  

　　镜像类似于操作系统，而容器类似于虚拟机本身。它可以被启动、开始、停止、删除等操作，每个容器都是相互隔离的。

• docker仓库
  

　　存放镜像的一个场所，仓库分为公开仓库和私有仓库。 最大的公开仓库是Docker hub（hub.docker.com），国内公开仓库http://dockerpool.com/
　　二、安装：
　　centos6 上安装(6.5之前版本需要升级一下 yum update ) yum install -y epel-release
　　yum install -y docker-io
　　如果是centos7
　　yum install -y docker
　　三、启动docker
　　/etc/init.d/docker start
　　systemctl start docker
　　四、镜像管理：
　　docker pull  centos   //从docker.com获取centos镜像，如果太慢，直接做个加速 centos6 给docker配置加速器
　　docker images  //查看本地都有哪些镜像

　　docker tag centos suning:susu  //为centos镜像设置    仓库名为suning，标签名为susu    再使用docker images查看会多出来一行，改行的image>　　docker search (image-name)   //从docker仓库搜索docker镜像，后面是关键词
　　docker run -t -i centos  /bin/bash  //用下载到的镜像开启容器并进入容器，-i表示让容器的标准输入打开，-t表示分配一个伪终端，要把-i -t 放到镜像名字前面
　　exit  退出容器，退出后容器随即停止
　　docker start containerID  //开启容器
　　docker exec -it 278 /bin/bash   //进入容器 ，其中278位containerID
　　当该镜像发生修改后，我们可以把该镜像提交重新生成一个新版本进行在本地。
　　docker ps  //查看正在运行的容器
　　docker rmi -f  suning:latest   //用来删除指定镜像， -f表示强制删除  其中后面的参数可以是tag，如果是tag时，实际上是删除该tag，只要该镜像还有其他tag，就不会删除该镜像。当后面的参数为镜像ID时，则会彻底删除整个镜像，连通所有标签一同删除
　　docker ps -a //查看所有容器，包括已经退出的。
　　创建镜像：基于已有镜像的容器创建
　　运行docker run后，进入到该容器中，我们做一些变更，比如安装一些东西，然后针对这个容器进行创建新的镜像
　　docker commit -m "描述信息"  -a "作者信息"  image_id （通过docker images获取id） 新镜像名字
　　例如：  docker commit -m "install httpd" -a "Aming" 2c74d574293f aming/centos
　　这个命令有点像svn的提交，-m 加一些改动信息，-a 指定作者相关信息  2c74d这一串为容器id，再后面为新镜像的名字
　　创建镜像：基于本地模板导入
　　模块获取，可以直接在网上下载一个模块  http://openvz.org/Download/templates/precreated 可惜速度并不快，假如我们下载了一个centos的模板 centos-5-x86.tar.gz 那么导入该镜像的命令为：
　　cat 镜像名.tar.gz |dock import - 自定义或原镜像名
　　cat centos-5-x86.tar.gz |docker import - centos-5-x86
　　把现有镜像，导出为一个文件：
　　docker save -o aming-centos.tar imageID
　　我们还可以用该文件恢复本地镜像：
　　docker load --input aming-centos.tar  或者
　　docker load < aming-centos.tar
　　docker push image_name  //可以把自己的镜像传到dockerhub官方网站上去，但前提是需要先注册一个用户，后续如果有需求再研究吧
　　容器管理
　　docker create  -it  centos   //这样可以创建一个容器，但该容器并没有启动，需要
　　docker start   container_id   //启动容器后，可以使用 docker ps  查看到，有start 就有stop，和restart之前我们使用的docker run 相当于先create再start
　　docker run -i -t centos  /bin/bash
　　这样进入了一个虚拟终端里面，我们可以运行一些命令，使用命令exit或者ctrl d 退出该bash，当退出后这个容器也会停止。
　　docker run -d  可以让容器在后台运行
　　比如：docker run -d centos  bash -c &quot;while :; do echo &quot;123&quot;; sleep 1; done &quot;
　　docker logs 可以获取到容器的运行历史信息
　　docker logs  container_id
　　docker attach 可以进入一个后台运行的容器
　　docker attach  container_id    //但是attach命令不算好用，比如我们想要退出终端，就得exit了，这样容器也就退出了，还有一种方法
　　docker exec -i -t container_id  bash  //可以临时打开一个虚拟终端，并且exit后，容器依然运行着
　　docker run -itd --name aminglinux centos_with_net:mm bash    //   --name：指定名字
　　docker rm  container_id  //container_id是ps的时候查看到的，这样就可以把所有container删除，如果是运行的容器，可以加-f
　　docker  export  container_id  > file.tar  // 导出容器，可以迁移到其他机器上，需要导入
　　cat file.tar |docker import - aming_test   //这样会生成aming_test的镜像
　　扩展： docker save和export的区别：
　　仓库管理
　　docker pull registry   //下载registry 镜像，registy为docker官方提供的一个镜像，我们可以用它来创建本地的docker私有仓库。
　　docker run -d -p 5000:5000 registry   //以registry镜像启动容器，监听5000端口
　　curl http://172.17.149.208:5000/v2/_catalog     //可以访问它  内网ip
　　下面我们来把其中一个镜像上传到私有仓库

• 　　更改标记     docker tag busybox  172.17.149.208 :5000/busybox //标记一下tag，必须要带有私有仓库的ip:port
  
  
• 上传镜像     docker push 172.17.149.208 :5000/centos   //此时报错了类似如下
  

　　Error response from daemon: invalid registry endpoint https://172.7.15.106:5000/v0/: unable to ping registry endpoint https://172.7.15.106:5000/v0/v2 ping attempt failed with error: Get https://172.7.15.106:5000/v2/: EOF
　　v1 ping attempt failed with error: Get https://172.7.15.106:5000/v1/_ping: EOF. If this private registry supports only HTTP or HTTPS with an unknown CA certificate, please add --insecure-registry 172.7.15.106:5000 to the daemon's arguments. In the case of HTTPS, if you have access to the registry's CA certificate, no need for the flag; simply place the CA certificate at /etc/docker/certs.d/172.7.15.106:5000/ca.crt
　　这是因为Docker从1.3.X之后，与docker registry交互默认使用的是https，然而此处搭建的私有仓库只提供http服务，所以当与私有仓库交互时就会报上面的错误。为了解决这个问题需要在启动docker server时增加启动参数为默认使用http访问。解决该问题的方法为：
　　vi /etc/init.d/docker
　　把 $exec -d $other_args 改为
　　$exec -d --insecure-registry 172.17.149.208 :5000 $other_args
　　然后重启docker
　　service docker restart
　　再启动registry容器
　　docker start  registry_container_id
　　curl http://172.17.149.208:5000/v2/_catalog   //可以查看私有仓库里面的所有镜像
　　3   拉取本地私有镜像
　　数据管理

• 挂载本地的目录到容器里
  

　　docker run -tid -v /data/:/data aming bash
　　-v 用来指定挂载目录，:前面的/data/为本地目录，:后面的/data/为容器里的目录

• 挂载数据卷
  

　　其实我们挂载目录的时候，可以指定容器name，如果不指定就随机定义了。比如上面我们没有指定，它就生成了一个名字为loving_kowalevski，这个名字可以使用命令 docker ps  看最右侧一列
　　docker run -itd --volumes-from elegant_jones suning:susu bash
　　这样，我们使用suning:susu 镜像创建了新的容器，并且使用了 elegant_jones 容器的数据卷
　　自定义容器name
　　docker run -itd -v /data/:/mnt --name datavol aming/centos bash

• 定义数据卷容器
  

　　有时候，我们需要多个容器之间相互共享数据，类似于linux里面的NFS，所以就可以搭建一个专门的数据卷容器，然后其他容器直接挂载该数据卷。
　　首先建立数据卷容器
　　docker run -itd -v /data/ --name shujujuan  suning:susu /bin/bash    //注意这里的/data/是容器的/data目录，并非本地的/data/目录。
　　然后让其他容器挂载该数据卷
　　docker run -itd  --volumes-from shujujuan suning:susu /bin/bash

• 数据卷的备份与恢复
  

　　(1）备份
　　mkdir /vol_data_backup
　　docker run --volumes-from testvol -v  /vol_data_backup/:/backup aming/centos tar cvf  /backup/data.tar /data/
　　说明：首先我们需要使用testvol数据卷新开一个容器，同时我们还需要把本地的/vol_data_backup/目录挂载到该容器的/backup下，这样在容器中/backup目录里面新建的文件，我们就可以直接在/vol_data_backup/目录中看到了。 然后再把/data/目录下面的文件打包到成data.tar文件放到/backup目录下面。
　　（2）恢复
　　思路： 先新建一个数据卷容器，再建一个新的容器并挂载该数据卷容器，然后再把tar包解包。
　　新建数据卷容器：docker run -itd -v /data/ --name testvol2 aming/centos bash
　　挂载数据卷新建容器，并解包：docker run --volumes-from testvol2  -v /vol_data_backup/:/backup aming:centos tar xvf /backup/data.tar -C /data
　　网络管理
　　四种网络模式：
　　host模式，使用docker run时使用--net=host指定docker使用的网络实际上和宿主机一样，在容器内看到的网卡ip是宿主机上的ip container模式，
　　使用--net=container:container_id/container_name多个容器使用共同的网络，看到的ip是一样的
　　none模式，使用--net=none指定这种模式下，不会配置任何网络
　　bridge模式，使用--net=bridge指定默认模式，不用指定默认就是这种网络模式。这种模式会为每个容器分配一个独立的Network Namespace。类似于vmware的nat网络模式。同一个宿主机上的所有容器会在同一个网段下，相互之间是可以通信的。
　　外部网络访问容器：
　　首先使用centos镜像新建一个容器，然后在该容器中安装httpd服务，并启动
　　再把该容器导成一个新的镜像（centos-httpd)，
　　docker commit -m &quot;centos_with_httpd&quot; -a &quot;suning&quot; 3f27 centos_with_httpd:suning
　　然后再使用新镜像创建容器，并指定端口映射
　　docker run -itd -p 5123:80 centos_with_httpd:suning /bin/bash  //-p 可以指定端口映射，本例中将容器的80端口映射为本地的5123端口
　　docker exec -it container_id  /bin/bash
　　启动httpd： httpd -k start
　　编辑1.html： vi /var/www/html/1.html 随便写点东西
　　退出该容器：exit
　　测试： curl 本机内网ip:5123/1.html
　　-p后面也支持IP:port:ip:port 的格式，比如
　　-p 127.0.0.1:8080:80
　　也可以不写本地的端口，只写ip，这样会随意分配一个端口
　　-p 127.0.0.1::80
　　容器互联：
　　下载一个mysql镜像
　　docker pull mysql
　　新建一个容器，命名为db
　　docker run -it -d -p 13306:3306 --name db1 mysql bash
　　在新建一个web容器，并和db互联
　　docker run -it -d -p 12308:80 --name web --link db1:db2 centos-httpd bash
　　配置桥接网络（centos7)
　　为了使本地网络中的机器和Docker容器更方便的通信，我们经常会有将Docker容器配置到和主机同一网段的需求。这个需求其实很容易实现，我们只要将Docker容器和宿主机的网卡桥接起来，再给Docker容器配上IP就可以了。
　　安装pipworkgit clone https://github.com/jpetazzo/pipework
　　cp ~/pipework/pipework /usr/local/bin/
　　开启一个容器 docker run -itd --net=none --name aming123 centos  /bin/bash
　　pipework br0  aming123 172.7.15.201/24@172.7.15.107  #201为容器的ip，@后面的ip为宿主机ip
　　brctl addif br0 eth0  #eth0为宿主机网卡，这一步为把br0和eth0桥接起来
　　ip addr add 172.7.15.107/24 br0 #把107的ip绑定在br0上
　　docker exec -it aming123 /bin/bash #进去后ifconfig查看就可以看到新添加的ip
　　配置桥接网络（centos6)
　　cd /etc/sysconfig/network-scripts/; cp ifcfg-eth0  ifcfg-br0
　　vi ifcfg-eth0 //增加BRIDGE=br0，删除IPADDR,NETMASK,GATEWAY,DNS1
　　vi ifcfg-br0//修改DEVICE为br0,Type为Bridge,把eth0的网络设置设置到这里来
　　service network restart
　　安装pipwork:  git clone https://github.com/jpetazzo/pipework; cp ~/pipework/pipework /usr/local/bin/ 开启一个容器: docker run -itd --net=none --name aming123 centos  /bin/bash rpm -Uvh https://repos.fedorapeople.org/openstack/EOL/openstack-grizzly/epel-6/iproute-2.6.32-130.el6ost.netns.2.x86_64.rpm #不安会报错Object &quot;netns&quot; is unknown, try &quot;ip help&quot; pipework br0  aming123 172.7.15.201/24 docker exec -it aming123 /bin/bash #进去后ifconfig查看就可以看到新添加的ip
　　###############################
　　周振涛同学的方法：
　　1、安装brctl 命令

yum -y install bridge-utils
　　2、编辑网卡配置文件

cat ifcfg-eno16777736
　　TYPE=Ethernet
　　IPV4_FAILURE_FATAL=no
　　IPV6INIT=yes
　　IPV6_AUTOCONF=yes
　　IPV6_DEFROUTE=yes
　　IPV6_PEERDNS=yes
　　IPV6_PEERROUTES=yes
　　IPV6_FAILURE_FATAL=no
　　NAME=eno16777736
　　UUID=2b04503d-4c0d-4f0f-8790-7b6203739892
　　DEVICE=eno16777736
　　ONBOOT=yes
　　BRIDGE=br0

cat ifcfg-br0
　　DEVICE=br0
　　TYPE=Bridge
　　BOOTPROTO=static
　　ONBOOT=yes
　　DELAY=0
　　STP=yes
　　IPADDR=192.168.1.144
　　NETMASK=255.255.255.0
　　GATEWAY=192.168.1.1
　　3、重启相关服务，以及关闭相关服务

systemctl stop NetworkManager

systemctl disable NetworkManager

systemctl restart network
　　br0正常启动，能够正常访问该机器即可，再用下面命令查看有即可：

brctl show

　　bridge name bridge>　　br0 8000.000c29ebab05 yes eno16777736
　　4、修改docker配置文件，修改桥接的网卡以及IP分配范围

vim /etc/sysconfig/docker
　　将：
　　OPTIONS='--selinux-enabled'
　　修改为：
　　OPTIONS='--selinux-enabled -b=br0 --fixed-cidr=192.168.1.192/26'
　　重新启动docker

systemctl stop docker.service

systemctl start docker.service
　　5、启动docker实例

docker run -i -t centos /bin/bash

ip addr show eth0
　　23: eth0:mtu 1500 qdisc noqueue state UP
　　

link/ether 02:42:c0:a8:01:c6 brd ff:ff:ff:ff:ff:ff　　

　　
inet 192.168.1.193/24 scope global eth0
　　

　　valid_lft forever preferred_lft forever
　　

　　
inet6 fe80::42:c0ff:fea8:1c6/64 scope link
　　

　　valid_lft forever preferred_lft forever
　　

　　###############################
　　centos6按照下面的方法操作:
　　cd /etc/sysconfig/network-scripts/; cp ifcfg-eth0  ifcfg-br0
　　vi ifcfg-eth0 //增加BRIDGE=br0，删除IPADDR,NETMASK,GATEWAY,DNS1
　　vi ifcfg-br0//修改DEVICE为br0,Type为Bridge,把eth0的网络设置设置到这里来
　　service network restart
　　安装pipwork:  git clone https://github.com/jpetazzo/pipework
　　cp ~/pipework/pipework /usr/local/bin/
　　开启一个容器: docker run -itd --net=none --name aming123 centos  /bin/bash
　　rpm -Uvh rpm -Uvh https://repos.fedorapeople.org/openstack/EOL/openstack-grizzly/epel-6/iproute-2.6.32-130.el6ost.netns.2.x86_64.rpm #不安会报错Object &quot;netns&quot; is unknown, try &quot;ip help&quot;
　　pipework br0  aming123 172.7.15.201/24@172.7.15.1  //@后面的ip为网关ip
　　docker exec -it aming123 /bin/bash #进去后ifconfig查看就可以看到新添加的ip
　　Dockerfile 创建镜像
　　Dockerfile 分为四部分： 基础镜像信息、维护者信息、镜像操作指令、容器启动时执行命令。Dockerfile语法1. FROM  格式 FROM  或者  FROM :比如FROM centosFROM centos:latest2. MAINTAINER  格式  MAINTAIN  比如MAINTAINER  aming  aming@aminglinux.com3. RUN 格式为 RUN   或者 RUN [&quot;executable&quot;, &quot;param1&quot;, &quot;param2&quot;]比如RUN  yum install  httpdRUN [&quot;/bin/bash&quot;, &quot;-c&quot;, &quot;echo hello&quot;]4. CMD三种格式：CMD [&quot;executable&quot;, &quot;param1&quot;, &quot;param2&quot;]CMD command param1 param2CMD [&quot;param1&quot;, &quot;param2&quot;]RUN和CMD看起来挺像，但是CMD用来指定容器启动时用到的命令，只能有一条。比如CMD [&quot;/bin/bash&quot;, &quot;/usr/local/nginx/sbin/nginx&quot;, &quot;-c&quot;, &quot;/usr/local/nginx/conf/nginx.conf&quot;]5. EXPOSE  格式为 EXPOSE  [...]比如EXPOSE 22 80 8443这个用来指定要映射出去的端口，比如容器内部我们启动了sshd和nginx，所以我们需要把22和80端口暴漏出去。这个需要配合-P（大写）来工作，也就是说在启动容器时，需要加上-P，让它自动分配。如果想指定具体的端口，也可以使用-p（小写）来指定。6. ENV  格式 ENV  比如  ENV PATH /usr/local/mysql/bin:$PATH它主要是为后续的RUN指令提供一个环境变量，我们也可以定义一些自定义的变量ENV MYSQL_version 5.67. ADD 格式 add 将本地的一个文件或目录拷贝到容器的某个目录里。 其中src为Dockerfile所在目录的相对路径，它也可以是一个url。比如ADD /local/nginx/conf>8. COPY  格式同add使用方法和add一样，不同的是，它不支持url9. ENTRYPOINT  格式类似CMD表示容器启动时要执行的命令，它和CMD很像，也是只有一条生效，如果写多个只有最后一条有效。和CMD不同是：CMD 是可以被 docker run 指令覆盖的，而ENTRYPOINT不能覆盖。比如，容器名字为amingCMD [“/bin/echo”, “test ”]而我们启动容器的命令是  docker run aming 这样会输出 test假如启动容器的命令是 docker run -it aming  /bin/bash  什么都不会输出ENTRYPOINT不会被覆盖，而且会比CMD或者docker run指定的命令要靠前执行ENTRYPOINT [&quot;echo&quot;, &quot;test&quot;]docker run -it aming  123则会输入 test  123 ，这相当于要执行命令  echo test  123 Dockerfile 示例：（搭建nginx镜像）先下载nginx的配置文件 wget http://www.apelearn.com/study_v2/.nginx_confvim Dockerfile //内容如下############################################################# Dockerfile to build Nginx Installed Containers# Based on CentOS############################################################# Set the base image to CentOSFROM centos# File Author / MaintainerMAINTAINER aming aming@aminglinux.com# Install necessary toolsRUN yum install -y pcre-devel wget net-tools gccRUN yum install -y zlib zlib-devel makeRUN yum install -y openssl-devel# Install NginxADD http://nginx.org/download/nginx-1.8.0.tar.gz .RUN tar zxvf nginx-1.8.0.tar.gzRUN mkdir -p /usr/local/nginxRUN cd nginx-1.8.0 && ./configure --prefix=/usr/local/nginx && make && make installRUN rm -fv /usr/local/nginx/conf/nginx.confCOPY .nginx_conf /usr/local/nginx/conf/nginx.conf# Expose portsEXPOSE 80# Set the default command to execute# when creating a new containerCMD /usr/local/nginx/sbin/nginx -c /usr/local/nginx/conf/nginx.conf创建镜像：docker build -t centos_nginx  .
　　docker  images 可以看到我们新建的镜像
　　vim Dockerfile
　　FROM centos:centos6
　　MAINTAINER suning 1107914055@qq.com
　　RUN yum install -y pcre-devel wget net-tools gcc zlib zlib-devel make openssl-devel
　　ADD http://nginx.org/download/nginx-1.8.0.tar.gz .
　　RUN tar zxvf nginx-1.8.0.tar.gz
　　RUN mkdir -p /usr/local/nginx
　　RUN cd nginx-1.8.0 && ./configure --prefix=/usr/local/nginx && make && make install
　　RUN rm -rf /usr/local/nginx/conf/nginx.conf
　　COPY .nginx_conf /usr/local/nginx/conf/nginx.conf
　　EXPOSE 80
　　docker run -it -P 1f5 /bin/bash  -P:容器启动时自动创建本地端口到设置端口的映射