Docker使用初记(二)

虚拟化
,

在上一次的笔记后,我们已经初步知道docker的用途,是什么,使用的基本方法.然后跑了几个demo起来.
这次来进一步从docker的细化功能方面来学习一下它.

①.Docker镜像与仓库

  1. docker的image存储在宿主机的/var/lib/docker中:
1
2
#可以查看完整的docker跟本机相关信息,仓库信息等,这才是最可靠的,推荐
docker info

  1. 镜像的tag(Repository与Registry区别)

    First,Q:Difference between Docker registry and repository:

    A. Docker registry is a service that is storing your docker images.

    Docker registry could be hosted by a third party, as public or private registry, like one of the following registries:

    B.Docker repository is a collection of different docker images with same name, that have different tags. Tag is alphanumeric identifier of the image within a repository.

    简单来说,repository一般说的其他服务商提供的docker镜像存储地(github).registry一般指自建的仓库(gitlab)

    Tag:

    ubuntu:14.04 这里的14.04就是一个tag,不指定默认使用latest.

    在仓库的同一个镜像文件/imageID,可能根据需求不同,打上不同的tag.

    1. pull与push镜像
    1
    2
    3
    4
    5
    6
    7
    #查找docker_hub中某个名字的镜像
    $ docker search gogs -s amount  # -s是对star的筛选,大于多少的star才会显示

    #修改默认的下载源加速
    $ vim /etc/default/docker  #在--registry-mirror="写加速器的地址"

    #push的时候可以选择阿里提供的国内仓库,或者默认的docker_hub 语法不同,上传并不会把整个镜像都丢上去.只会上传修改的部分.大大降低了上传时间,跟git类似

    1. 构建镜像(重要)

      • commit方法
    1
    2
    3
    $ docker commit -m #m就像git一样记录这次提交的信息 
    #常用可能参数-a 作者  
    $ docker commit -a 'Jin' -m 'commit test' bigdate ubuntu_nginx#后面是新的名字
    • build方法–dockerfile(推荐)
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
#1.创建dockerfile文件
#This is first dockerfile
FROM ubuntu:14.04
MAINTAINER  jin "admin@imbajin.com"
RUN apt-get update
RUN apt-get install -y nginx
EXPOSE 80

#2.docker build命令构建镜像 -t是tag的意思
docker build -t='nginx1' .  #记得默认加上 '.'  当前上下文路径,并不等同当前路径
#然后可以看到以下步骤,可以看出命令在分步执行,每执行完一个,会返回一个唯一id,这个id就是我们实际说的中间层镜像
ending build context to Docker daemon  2.048kB
Step 1/5 : FROM ubuntu:14.04
---> 7c09e61e9035
Step 2/5 : MAINTAINER jin "admin@imbajin.com"
---> Running in 39e1bb7772eb
---> ecb0c17cc8ea
Removing intermediate container 39e1bb7772eb
Step 3/5 : RUN apt-get update
---> Running in 72dbb9e53f4f
Ign http://archive.ubuntu.com trusty InRelease
Get:1 http://archive.ubuntu.com trusty-updates InRelease [65.9 kB]
Get:2 http://archive.ubuntu.com trusty-security InRelease [65.9 kB]
Get:3 http://archive.ubuntu.com trusty Release.gpg [933 B]
Get:4 http://archive.ubuntu.com trusty-updates/main Sources [489 kB]
......

#完成之后,通过查看运行就可以正常启动容器了

②.Docker客户端与守护进程

  1. 继续了解docker的本质相关,前面说了docker是一个C/S程序,那么client好理解,Server端在哪呢,这里指的是宿主机上的守护进程.如图:

docker's C/S

  1. 除此之外,docker还提供了Remote API的方式与Server端通信,这跟很多网络服务平台提供的API调用很相似,满足RESTful.如图:

docker的remoteAPI

docker官方网址提供remote API的参考.自行查询.

  1. Docker的Client与Server如何通信(Socket)
    • Unix_Port : unix:///var/run/docker.sock (默认)
    • TCP : tcp://host:port
    • FD : fd://socketfd

docker连接方式

这种连接本身就意味着docker的client跟server端是可以不在同一机器上的,可以分开运行.

1
2
3
4
5
$ docker version #输入版本命令就会发现,有Client/Server分开描述.从而知道缘由了

#Ubuntu下使用netcat,Cent下使用yum install nc 安装就行了,默认不自带,netcat号称Unix下瑞士军刀.功能极其强大
$ nc -U /var/run/docker.sock #建立socket连接
GET /info HTTP/1.1 #输入之后,正常情况会返回200以及一大堆Json的数据.不过Cent7.2报错400,没解决
  1. docker守护进程的配置和操作
1
2
3
4
5
6
7
8
9
10
11
12
$ ps -ef |grep docker #传统方式管道查找
$ status docker #新的方法--status 查看docker状态,Ubuntu自带,Cent缺失.

#启动,停止,重启 跟普通程序一样
$ service docker start #stop/restart 是一样的,不重复说

#docker的启动选项(针对不同的应用场景)   有非常灵活的设置模式
$ docker -d #后台模式,这里参数很多,不比死记,可以直接查看man docker/docker --help

#重要:docker重要的配置文件 Ubuntu下 /etc/default/docker  
#cent7下是用 systemd来管理docker进程的。那就要去看下systemd的配置,这千万要注意....很坑
$ cat /usr/lib/systemd/system/docker.service

  1. docker的远程访问(待测试)

    之前都是在同一机器运行docker的client/server,这里实现一下远程的server.

    • 需要两台服务器
    • 修改docker的server启动选项,区分不同服务器
    • 保证A主机的client API与B主机的server API版本一致
    • 环境变量 DOCKER_HOST : export DOCKER_HOST = “tcp://ip:port” (临时也可以使用 -H选项)

③.Dockerfile详解

Dockerfile构建过程:

  1. 首先它从基础镜像运行一个容器,产生一个image_id
  2. 执行一条指令,就对容器进行修改.
  3. 执行类似docker commit的操作,提交改动到一个新的镜像层,id改变,再运行这个镜像层对应的新的容器
  4. 删除上一个中间层容器,但是中间层的镜像会保留,这样就方便docker build的时候报错可以方便的调错.
  5. 执行下一条指令,循环2~4,直到结束.

Cache机制:

由于每一步的构建结果都会提交为镜像,所以docker为了提速省空间,就会把之前的镜像作为缓存存下来.方便以后中间层镜像复用,因为大部分镜像之间差别其实只是很少一部分.

1
$ docker history image#可以查看镜像构建的过程

Dockerfile的指令不区分大小写,但是要求规范是大写,所以以防以后变为强制大写,还是保持官方统一,不小写.

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
#FROM指令  e.g. FROM image:tag  
FROM ubuntu:14.04  #tag可以省略,但是多个的时候需要指定,必须是第一条指令

#MAINTAINER指令 相当于commit -a 属性(作者) 不必要,不常用
MAINTAINER jin "jin@geek.com   "

#RUN指令有两种模式: 1.shell 2.exec
RUN echo 'hello' #shell mode  (常用)
RUN ["/bin/bash","-c","echo hello"] #exec mode


#EXPOSE指令 指定运行此镜像容器使用的端口,一个Dockerfile可以使用多个EXPOSE
EXPOSE 3306  #出于安全考虑,容器运行时,还是需要单独指定容器映射端口,默认不会打开

#CMD指令,与RUN类似.不同之处是CMD在容器运行的时候才运行,RUN是构建时运行.如果docker run的时候指定了其他命令,也会覆盖CMD指令.可与ENTRYPOINY搭配使用
CMD ["/usr/sbin/nginx","-g","daemon off"] #exec mode
#ENTERYPOINT指令 与CMD很相似,只不过ep不会被docker run的其他命令覆盖

#ADD,COPY指令传输文件(可以从远程,但是不推荐) Add包含类似tar的解压功能,单纯复制推荐使用COPY
COPY index.html /usr/share/nginx/html/ #用当前文件夹的index页面替换默认nginx的页面

#VOLUME命令 向容器添加卷,这个部分可以绕过UF系统.实现共享数据/数据持久化  (重点,后面单独说)
VOLUME "/data"

#WORKDIR指令 顾名思义,在容器内部设置工作目录(ENTRYPOINT跟CMD的命令都会在这个目录执行)
WORKDIR /path/to/workdir  #建议使用绝对路径

#ENV指令 设置环境变量,与WORKDIR类似. 

#USER 用来指定此镜像以什么用户运行.不指定的时候默认是root
USER jin # uid也可以
USER jin:nginx # uid:gid也可以  这里nginx是用户组

#ONBUILD指令用来对镜像添加触发器,当前镜像不会触发它的命令,基于这个镜像再构建的才会执行(e.g.)
ONBUILD COPY index.html /usr/share/nginx/html/#这个指令在构建当前镜像时不会执行,只会当下一个镜像基于此镜像构建,触发器才会触发

④.Docker的网络/数据管理

1.docker容器的网络基础

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
#运行docker跟容器之后
$ ifconfig #发现下面有一堆docker的网卡 e.g eth0是本机的网卡.
docker0: flags=4163<UP,BROADCAST,RUNNING,MULTICAST>  mtu 1500
        inet 172.17.0.1  netmask 255.255.0.0  broadcast 0.0.0.0
        ether 02:42:3b:08:6c:59  txqueuelen 0  (Ethernet)
        RX packets 286825  bytes 346625711 (330.5 MiB)
        RX errors 0  dropped 0  overruns 0  frame 0
        TX packets 255241  bytes 137110433 (130.7 MiB)
        TX errors 0  dropped 0 overruns 0  carrier 0  collisions 0

eth0: flags=4163<UP,BROADCAST,RUNNING,MULTICAST>  mtu 1500
        inet 10.104.xx.59  netmask 255.255.0.0  broadcast 10.104.xx.255
        ether 52:54:00:88:8b:79  txqueuelen 1000  (Ethernet)
        RX packets 5129856  bytes 826729031 (788.4 MiB)
        RX errors 0  dropped 0  overruns 0  frame 0
        TX packets 2425136  bytes 829533735 (791.1 MiB)
        TX errors 0  dropped 0 overruns 0  carrier 0  collisions 0

lo: flags=73<UP,LOOPBACK,RUNNING>  mtu 65536
        inet 127.0.0.1  netmask 255.0.0.0
        loop  txqueuelen 1  (Local Loopback)
        RX packets 0  bytes 0 (0.0 B)
        RX errors 0  dropped 0  overruns 0  frame 0
        TX packets 0  bytes 0 (0.0 B)
        TX errors 0  dropped 0 overruns 0  carrier 0  collisions 0

veth8192657: flags=4163<UP,BROADCAST,RUNNING,MULTICAST>  mtu 1500
        ether aa:ce:24:2b:5c:3a  txqueuelen 0  (Ethernet)
        RX packets 157574  bytes 214668198 (204.7 MiB)
        RX errors 0  dropped 0  overruns 0  frame 0
        TX packets 127694  bytes 40000501 (38.1 MiB)
        TX errors 0  dropped 0 overruns 0  carrier 0  collisions 0

上面网卡信息中的docker0 实际就是Linux中的虚拟网桥,(补:什么是网桥?)

网桥是网络中OSI的七层模型中 位于倒数第二的数据链路层的设备,通过mac地址对网络进行划分,并且在不同的网络间传输数据.是纯数据链路层设备[数据链路层上面是网络层,下是物理层]

linux的虚拟网桥有所不同:(包含网络层的内容例如IP)

  • 可以设置IP地址
  • 相当有了一个虚拟隐藏的网卡(网桥名,linux可通过路由表在网络层定位网桥)
  • 默认docker0的地址划分 : IP从172.17.42.1 子网掩码255.255.0.0.Mac也是有相应的范围.提供65534个地址

2.docker容器的互联

3.docker容器与外部网络的连接(基于iptables的防火墙机制)

⑤.Docker的跨主机访问

⑥.其他

2017.04.20更新

docker的野心略大,github项目已经正式更名为moby,然后同时大力推win10/winserver2016的支持,以及LinuxKit这个项目(为容器组装os提供的工具包)

未来,Linux也是Docker的组件。 ——Patrick Chanezon

docker的未来

附moby的github说明( moby ) :

Audience

Moby is recommended for anyone who wants to assemble a container-based system. This includes:

  • Hackers who want to customize or patch their Docker build
  • System engineers or integrators building a container system
  • Infrastructure providers looking to adapt existing container systems to their environment
  • Container enthusiasts who want to experiment with the latest container tech
  • Open-source developers looking to test their project in a variety of different systems
  • Anyone curious about Docker internals and how it’s built

Moby is NOT recommended for:

  • Application developers looking for an easy way to run their applications in containers. We recommend Docker CE instead.
  • Enterprise IT and development teams looking for a ready-to-use, commercially supported container platform. We recommend Docker EE instead.
  • Anyone curious about containers and looking for an easy way to learn. We recommend the docker.com website instead.

Transitioning to Moby

Docker is transitioning all of its open source collaborations to the Moby project going forward. During the transition, all open source activity should continue as usual.

We are proposing the following list of changes:

  • splitting up the engine into more open components
  • removing the docker UI, SDK etc to keep them in the Docker org
  • clarifying that the project is not limited to the engine, but to the assembly of all the individual components of the Docker platform
  • open-source new tools & components which we currently use to assemble the Docker product, but could benefit the community
  • defining an open, community-centric governance inspired by the Fedora project (a very successful example of balancing the needs of the community with the constraints of the primary corporate sponsor)