docker技术原理和操作实践

容器有自己的主机名和域名(UTS),文件系统(mount),IPC, PID, USER, Net

在内核中创建出多个名称空间,每个名称空间拥有自己的独立的主机名和域名,文件系统,IPC, PID, USER, Net

Linux内核引入namespaces,容器即是基于namespaces实现的。





这就是容器级虚拟化,所有容器工作于同一个内核中,内核可对容器内进程实行资源分配,靠的是Control Groups技术,简称cgroups



LinuX Container LXC):

lxc-create+template

Docker相当于LXC的简化使用版

用户空间所需要的所有文件编排好打包成一个文件称为镜像文件,此些文件可放置于仓库,需要时取之。当你创建容器的时候,就到仓库里拉取镜像文件,基于镜像文件创建容器,简化了容器的使用难度

 

一个容器只运行一个进程的思路。

 

镜像构建:镜像文件分层构建,联合使用,容器里的程序的配置文件可以存放于外部。镜像文件一般都是只读的。

 

容器编排工具:machine+swam+composekubernetes

 

Docker社区版改名Moby

 

相关类库libcontainer  runC(容器引擎)

 

OCIOpen Container Initiative)包含运行时标准和镜像格式标准

OCFOpen Container Format):runC就是该格式的实现

存放容器镜像的网站  https://hub.docker.com/

 

 

 

 

Docker架构图:



Docker daemon支持ipv4+端口,ipv6+端口,unix socket通信

Docker架构有3部分组成:docker daemon, docker client, docker registries(仓库)

关于仓库:仓库里有各应用程序小仓库,比如nginx小仓库里只有各个不同版本的nginx镜像,各个不同版本的nginx镜像使用 标签(tag) 标识,比如nginx:1.10,  nginx:latest, nginx:stable等等

可以建立自己的私有仓库

 

镜像和容器的关系类似于程序和进程的关系,所以容器有生命周期。

 

Docker的对象:镜像,容器,网络,存储卷(volumes),plugins等等统称为Docker的对象。

 

Docker的依赖基础环境:

164cpu

2linux kernel 3.10+

3linux内核支持cgroupsnamespaces

 

安装过程如下:

yum erase podman buildah 卸载podmanbuildah

yum install -y yum-utils   安装yum-utils 

yum-config-manager --add-repo http://mirrors.aliyun.com/docker-ce/linux/centos/docker-ce.repo 添加阿里云的docker-ce仓库

yum makecache 更新软件包索引

yum install docker-ce  安装docker-ce 社区版

docker version  检查是否安装成功

systemctl start docker 启动docker

systemctl enable docker 开机启动

 

docker镜像加速:

mkdir -pv /etc/docker

tee /etc/docker/daemon.json <<-'EOF'

{

  "registry-mirrors": [

    "https://dockerhub.azk8s.cn",

    "https://docker.mirrors.ustc.edu.cn",

    "https://hub-mirror.c.163.com"

  ]

}EOF

 

docker  COMMAND --help 查看帮助信息,COMMAND表示子命令

 

docker常用命令



 

docker image pull nginx:alpine   从仓库拉取镜像

docker image ls  列出镜像

docker image ls --help  查看更多帮助

 

docker container --help  

镜像创建的时候有默认的执行命令

 

docker run --help   启动一个容器

docker run [OPTIONS] IMAGE [COMMAND] [ARG...] 

docker run -it --name busybox_1  busybox

docker run  --name web1 -d nginx:stable-alpine  启动nginx服务,本地没有该镜像会自动去镜像仓库拉取

docker ps   列出启动的容器

docker ps -a  列出所有的容器

docker run --name  kvstor1 -d  redis:latest  启动redis服务

docker exec -it kvstor1 /bin/sh  kvstor1服务交互

docker logs kvstor1  获取容器kvstor1的日志

 

关于Docker镜像:

 




用于支持联合挂载的文件系统:Aufsoverlayfsbtrfsdevicemapper

 




镜像的存储位置:Registry

 


Docker Registry分类:

 




Docker Registry包含两部分repoindx

 


 

Docker hub提供的特性有:

 


docker pull <registry>[:port]/[<namespace>/]<name>:<tag>

 

镜像的生成方法有3种:

dockerfile,基于容器制作和Docker Hub automated builds(配合gitgithub

 

基于容器制作镜像的方法:其实就是基于容器的可写层

 


docker commit quirky_leakey  busyboxpp:v1.0 基于容器quirky_leakey创建镜像

docker tag busyboxpp:v1.0  qinghe/busyboxpp:latest  给镜像打标签

 

docker客户端登录时使用的用户名为阿里云账户全名,密码为当前设置的密码jm6688mfc  lqingheno.1@gmail.com  jm6688mfc

 

 

1. 登录阿里云Docker Registry

$ docker login --username=lqingheno.1@gmail.com registry.cn-hangzhou.aliyuncs.com

用于登录的用户名为阿里云账号全名,密码为开通服务时设置的密码。密码jm6688mfc

您可以在访问凭证页面修改凭证密码。

2. Registry中拉取镜像

$ docker pull registry.cn-hangzhou.aliyuncs.com/qinghe/busyboxpp:[镜像版本号]

3. 将镜像推送到Registry

$ docker login --username=lqing******@gmail.com registry.cn-hangzhou.aliyuncs.com

$ docker tag [ImageId] registry.cn-hangzhou.aliyuncs.com/qinghe/busyboxpp:[镜像版本号] 

$ docker push registry.cn-hangzhou.aliyuncs.com/qinghe/busyboxpp:[镜像版本号]

请根据实际镜像信息替换示例中的[ImageId][镜像版本号]参数。

 

 

镜像的导入和导出:

docker save -o my_images.gz nginx:stable-alpine  redis:latest  镜像保存为my_images.gz

 

docker虚拟化网络:

docker network ls  支持bridgehost none

 

bridge(默认)

docker0设备是docker虚拟出来的软交换机。当创建一个容器的时候,就随同一起创建2个网卡设备,一个在插在该容器上,一个插在该软交换机上,就相当于该容器连接到了该软交换机上。在docker宿主机上执行ifconfig可以看见插在docker0设备上的网卡设备(yum install bridge-utils && brctl show 命令可查看)。

 

docker0设备既可以当作交换机,当赋予IP地址也可以当作网卡设备。



图解:web1web2web2表示容器,容器连接的表示docker0交换机,交换机下面表示物理机器,外部的客户端要访问容器中提供的服务,只能通过物理机器的DNAT

 

 

Overlay network 叠加网络:使用ip隧道

 

Host

每个容器具有独立的UserMountPIDUTSNetIPC。现在让每个容器有自己独立的UserMountPID,但是它们公用同一组UTSNetIPC

 

Docker网络模型总结:

 


docker inspect --help

docker inspect bridge

docker inspect host

docker inspect none

docker inspect  web1   inspect可以查看任何docker对象的详细信息

 

 

 

docker run --rm --network none busybox:latest ifconfig -a  指定为无网络的容器



docker run命令中 --add-host, --dns, --hostname 选项的使用

--dns 设置dns服务器,--hostname设置主机名, --add-host添加主机àip条目

 


容器暴露:

 


 

将容器端口映射到宿主机的指定的IP和端口上,然后访问宿主机的IP和端口就可以访问到该容器提供的服务。

docker run --name myweb -p 192.168.32.130:80:80 nginx:stable-alpine





查看如上创建的容器myweb提供的端口:docker port myweb

表示该容器的80端口映射到了192.168.32.130:80



其实是在宿主机上添加了DNAT的防火墙规则:iptables -t nat -vnL

 


 



 

docker run --name web -d -it --rm -p 2222 busybox:latest /bin/httpd -p 2222 -f

docker run -it --rm --net container:web --name joined busybox:latest netstat -tan

joined容器共享了web容器的网络名称空间

 


 

 

docker network create -d bridge --subnet '172.88.0.0/16' mybr0 创建mybr0交换机

docker network ls

docker run -it --name bb2 --network mybr0 busybox:latest  ifconfig

docker存储卷 volumn



总结一句话:将容器的存储数据保存在外部

 





 

 

 

 






 

 

基于容器(docker commit命令)制作镜像

通过dockerfile制作镜像:制作符合自己需求的镜像

Dockerfile是构建docker image的源代码,就是用于构建镜像的命令保存的文本文档。

Dockerfile语法格式:如下

# 表示注释

INSTRUCTION arguments 

指令不区分大小写,但是约定俗成一般大写,指令按顺序执行,第一条指令必须是`FROM`指令,表示基于哪个基础镜像制作。(docker build命令)

Docker build时是可以使用环境变量的,因为Docker build过程中要先基于基础镜像启动容器,此时可以向容器中注入环境变量

 


 

MAINTAINER指令已经废弃:使用LABEL指令替换

 




 

指定镜像的存储卷:



 

可以在镜像中直接指定要暴露的端口:

基于该镜像生成容器的时候(docker run -P 要有-P选项才会暴露),会映射至宿主机的所有地址,端口是动态的端口

 

 

 

 


RUN指定在docker build过程中运行的命令:

 


 

 

 

CMD指令表示镜像启动为容器时要被执行的默认命令

 


例子:

mkdir -pv  /data/img2  创建目录/data/img2

cd   /data/img2

vim Dockerfile    创建Dockerfile文件,写入如下内容:

FROM  busybox:latest

LABEL maintainer="MageEdu  <mage@magedu.com>"  app="httpd"

ENV WEB_DOC_ROOT="/data/web/html/"

RUN mkdir -p $WEB_DOC_ROOT &&  \

         echo "<h1>Busybox httpd server.</h1>" > ${WEB_DOC_ROOT}/index.html

CMD /bin/httpd -f -h ${WEB_DOC_ROOT} 

#另外的写法CMD ["/bin/sh","-c","/bin/httpd -f -h ${WEB_DOC_ROOT}"]

 

docker build   -t  tinyhttpd:v0.2-1 ./    基于上面Dockerfile文件做镜像tinyhttpd:v0.2-1

 

docker image inspect tinyhttpd:v0.2-1   查看镜像tinyhttpd:v0.2-1的信息

 

docker run --name tinyweb2 -it --rm  -P tinyhttpd:v0.2-1   基于镜像tinyhttpd:v0.2-1运行容器

 

docker exec -it tinyweb2  /bin/sh   进入镜像里面

 




 


 

 

例子:

mkdir -pv img3

cd img3

vim Dockerfile

FROM nginx:stable-alpine

LABEL maintainer="mageedu"

ENV NGX_DOC_ROOT="/data/web/html"

ADD  entrypoint.sh  /bin/

CMD ["/usr/sbin/nginx", "-g", "daemon off;"]  #CMDENTRYPOINT提供parm

ENTRYPOINT ["/bin/entrypoint.sh"]

 

 

vim entrypoint.sh

#!/bin/sh

cat > /etc/nginx/conf.d/www.conf  << EOF

server {

       server_name $HOSTNAME;

       listen ${IP:-0.0.0.0}:${PORT:-80};

       root ${NGX_DOC_ROOT:-/usr/share/nginx/html};

}

EOF

exec "$@"

chmod +x entrypoint.sh   赋予执行权限

docker build -t myweb:v0.1  ./   构建成镜像myweb:v0.1

docker run --name web14  myweb:v0.1   基于该镜像生成容器

docker exec -it  web14   /bin/sh   进入该镜像

 


 

 

 

对容器中主进程的状态监测:

 


 


 

 

 

STOPSIGNAL指令定义容器接收的用于退出的信号:

 


 

 

 

 

ARG指令用于在docker build时传递变量:

 


 


 

 

 

 

 

 

 

构建私有的docker registry

 


Harbor项目:





Harbor的特性:



Docker compose:定义多个容器,管理编排容器的工具

 

Harbor依赖于Docker compose

 


评论

发表评论

此博客中的热门博文

OAuth 2教程

图片
原文: http://tutorials.jenkov.com/oauth2/index.html OAuth 2.0是一种开放式 授权 协议,该协议使得应用程序可以访问彼此的数据。例如:一个游戏应用可以访问Facebook中的用户数据,或者基于位置的应用程序可以访问Foursquare应用程序的用户数据( user data )等。 OAuth 2.0被用于通过应用程序共享数据的示例如上图。 首先用户进入游戏的web应用,该应用要求用户通过Facebook账户登录,并定向到Facebook的登录界面,用户登录Facebook后,会重定向到之前的游戏应用。此时该应用就访问到了用户在Facebook的用户数据以及授权信息,并代表用户在Facebook中调用功能(例如发布状态更新)。 OAuth 2.0 用例 OAuth 2.0既可以用于在某个应用内访问其它应用的用户信息(比如上例中的游戏应用),又可以提供用户授权服务供其它应用调用(比如上例中的Facebook)。 OAuth 2.0是OAuth 1.0的替代,因为OAuth 1.0太复杂了,比如OAuth 1.0要求使用证书等。OAuth 2.0更加简单,不要求使用证书,仅使用SSL/TLS。 OAuth 2.0 规范 这个教程的目的是提供一个OAuth 2.0协议的概览以帮助理解,而不是涵盖此协议的所有细节。 如果你计划实现一个OAuth 2.0协议,最好是去阅读规范的详细内容,规范的地址:http://tools.ietf.org/html/draft-ietf-oauth-v2-23 OAuth 2.0 概述 在之前的介绍中我们提到,OAuth 2.0是一个开放标准,其允许某个应用程序访问其它应用程序的用户授权的数据。现在我们来介绍这个协议是如何工作的,以及规范中提到的各种概念。 OAuth 2.0 提供了不同的方式使得客户端应用获得权限去访问存储在资源服务器中的资源。现在介绍其中最安全和最常用的使用方式: 一个web应用请求访问另一个web应用 的资源。 下面的示例图描述了整个认证过程: 首先,用户访问客户端Web应用程序,在这个应用程序里有“通过Facebook登录”(或谷歌或Twitter等其他系统)的按钮。 第二步,当用户点击这个按...
阅读全文

网格策略

图片
波段策略网格之一:写在前面,体系以及策略 壹:写在前面 踏踏实实的踏踏实实 在这个有些寒意又充满希望的春天,我决定将我使用了7年的一个波段策略——网格策略,与大家分享与交流。这次分享,会把目前已经升级到3.0的网格策略事无巨细说的非常清楚。这应该是你能见到最详细最有价值的网格策略文章,因为这几篇文章凝结了整整7年的思考和实践。 在此之前,我不是不想与大家分享。有三个原因导致我迟迟没有做这件事。 第一个原因很简单,对于这样一个凝聚心血的东西,我是有些私心的。这个各位也应该能够理解。 第二个原因,在于这件事是一件需要耗费极大精力,又有很大风险的事情。对于做事的信条,我的理念是要么不做,要做就做到极致。所以我如果讨论这个策略,就一定要把方方面面的东西全部说到。这个工作量非常大。 同时,风险很大。风险点在于无论我如何强调需要注意的问题,看这篇文章的几万十几万读者,也一定有人学习能力强,有人接受能力差一些。只要有一个关键点你没有融会贯通,就可能出现不好的结果。 第三个原因,我自己也需要对这个策略进行不断的实践,不断将细节升级。我不可能将一个自己没有做过3轮以上的策略与大家分享,这是对你负责。我必须深刻理解它的优点缺点,才能跟你交流。我会用我自己的钱去做实证,而不是用你的。 基于以上原因,我一直没有公开讨论过这个策略。但现在,我认为时机差不多成熟了。再加上一些外部因素刺激,我决定与你分享。 这一个系列的文章会分为3-4篇。第一篇很重要,会讨论投资体系的构建,各种投资策略互相搭配的重要性以及应该注意的问题。这一篇虽然还未涉及网格策略,但真的很重要,希望你能认真看一看。 第二篇会介绍网格策略的基本操作方式。即1.0版本。 第三篇会介绍网格策略2.0。这次升级意义非常重大,将网格1.0的一些固有缺陷在一定程度上弥补掉。到时候看情况,也有可能将3.0也放在第三篇里,有可能将3.0单独开一篇。 这就是全部这次的交流计划。也许这个策略不适合你,也许你不喜欢这种波段策略,但无论如何,希望你能感受到我的责任感与诚意。 贰:投资体系 踏踏实实的踏踏实实 每个人做投资,都应该有一套完整的投资体系。整套体系包括大致两个方面: 第一个方面,是观察金融世界的体系。 ...
阅读全文

apt-get详细使用

NAME apt-get - APT包处理程序--基于命令行 SYNOPSIS apt-get [-asqdyfmubV] [-o=config_string] [-c=config_file] [-t=target_release] [-a=architecture] {update | upgrade | dselect-upgrade | dist-upgrade | install pkg [{=pkg_version_number | /target_release}]...  | remove pkg...  | purge pkg...  | source pkg [{=pkg_version_number | /target_release}]...  | build-dep pkg [{=pkg_version_number | /target_release}]...  | download pkg [{=pkg_version_number | /target_release}]...  | check | clean | autoclean | autoremove | {-v | --version} | {-h | --help}} DESCRIPTION apt-get是一种基于命令行的包处理工具,被认为是相对于其它apt库的“后端”(指在命令行下)工具,同样也有一些“前端”(基于图形模式)下工具,如aptitude(8),synaptic(8)和wajig(1). 除了-h,或是--help这两个参数,下面的子命令之一必须使用。 update update是被用来与它们的源中的包索引文件进行同步的。 可用的软件包的索引是从/etc/apt/sources.list文件中指定的路径获取的。举个例子,当我们使用Debian时,这个命令就取出并扫描Packages.gz的文件,因为这样就能得到升级了的包和新的包的信息了。更新(update)应该在使用upgrade或是dist-upgrade这2个子命令之前使用。请注意:因爲无法预知包文件的大小,所以整體更新進度表將不正確。 (译者注:所以請注意,update並不真正升級安裝在系統上的軟件包,只是查...
阅读全文