Docker学习笔记，从原理到实践

时间 2019-11-30

原文原文链接

什么是docker

Docker是使用go语言基于LINUX内核的cgroup，namespace以及AUFS 类的 Union FS 等技术，对进程进行封装隔离的一种操做系统层面的虚拟化技术，因为隔离的进程独立于宿主和其它的隔离的进程，所以也称其为容器。php

Docker和传统虚拟化技术的对比

为何要使用 Docker

更高效的利用系统资源

因为Docker工做在进程级别，不须要进行硬件虚拟以及运行完整操做系统等额外开销，因此Docker对系统资源的利用率更高。相比虚拟机技术，一个相同配置的主机，每每能够运行更多数量的应用。html

更快速的启动时间

传统的虚拟机技术启动应用服务每每须要数分钟，而 Docker容器应用，因为直接运行于宿主内核，无需启动完整的操做系统，所以能够作到秒级、甚至毫秒级的启动时间。大大的节约了开发、测试、部署的时间。node

一致的运行环境

因为开发环境、测试环境、生产环境不一致，致使有些 bug 并未在开发过程当中被发现。Docker 的镜像提供了除内核外完整的运行时环境，确保了应用运行环境一致性，从而不会再出现 “这段代码在我机器上没问题啊” 这类问题。python

持续交付和部署

一次建立，屡次运行。经过定制应用镜像来实现持续集成、持续交付、部署。开发人员能够经过 Dockerfile 来进行镜像构建，并结合持续集成(Continuous Integration)系统进行集成测试，而运维人员则能够直接在生产环境中快速部署该镜像，甚至结合持续部署(Continuous Delivery/Deployment) 系统进行自动部署。并且使用 Dockerfile 使镜像构建透明化，不只仅开发团队能够理解应用运行环境，也方便运维团队理解应用运行所需条件，帮助更好的生产环境中部署该镜像。mysql

更轻松的迁移

Docker 确保了执行环境的一致性，不管是物理机、虚拟机、公有云、私有云，甚至是笔记本，其运行结果是一致的。所以能够很轻易迁移到任意上，而不用担忧运行环境的变化致使应用没法正常运行的状况。linux

更轻松的维护和扩展

Docker 使用的分层存储以及镜像的技术，Docker 团队同各个开源项目团队一块儿维护了一大批高质量的官方镜像，既能够直接在生产环境使用，又能够做为基础进一步定制。nginx

对比传统虚拟机总结

特性	容器	虚拟机
启动	秒级	分钟级
硬盘使用	通常为 MB	通常为 GB
性能	接近原生	弱于
系统支持量	单机支持上千个容器	通常几十个

Docker的基本概念

Docker 镜像

咱们都知道，操做系统分为内核和用户空间。对于 Linux 而言，内核启动后，会挂载根文件系统为其提供用户空间支持。而 Docker 镜像（Image），就至关因而一个根文件系统。git

Docker 镜像是一个特殊的文件系统，除了提供容器运行时所需的程序、库、资源、配置等文件外，还包含了一些为运行时准备的一些配置参数（如匿名卷、环境变量、用户等）。镜像不包含任何动态数据，其内容在构建以后也不会被改变。github

分层存储

由于镜像包含操做系统完整的根文件系统，其体积每每是庞大的，所以在 Docker 设计时，就充分利用 Union FS 的技术，将其设计为分层存储的架构。因此严格来讲，镜像并不是是像一个 ISO 那样的打包文件，镜像只是一个虚拟的概念，其实际体现并不是由一个文件组成，而是由一组文件系统组成，或者说，由多层文件系统联合组成。web

镜像构建时，会一层层构建，前一层是后一层的基础。每一层构建完就不会再发生改变，后一层上的任何改变只发生在本身这一层。好比，删除前一层文件的操做，实际不是真的删除前一层的文件，而是仅在当前层标记为该文件已删除。在最终容器运行的时候，虽然不会看到这个文件，可是实际上该文件会一直跟随镜像。所以，在构建镜像的时候，须要额外当心，每一层尽可能只包含该层须要添加的东西，任何额外的东西应该在该层构建结束前清理掉。

分层存储的特征还使得镜像的复用、定制变的更为容易。甚至能够用以前构建好的镜像做为基础层，而后进一步添加新的层，以定制本身所需的内容，构建新的镜像。

Docker 容器

镜像（Image）和容器（Container）的关系，就像是面向对象程序设计中的类和实例同样，镜像是静态的定义，容器是镜像运行时的实体。容器能够被建立、启动、中止、删除、暂停等。

容器的实质是进程，但与直接在宿主执行的进程不一样，容器进程运行于属于本身的独立的命名空间。所以容器能够拥有本身的根文件系统、本身的网络配置、本身的进程空间，甚至本身的用户 ID 空间。容器内的进程是运行在一个隔离的环境里，使用起来，就好像是在一个独立于宿主的系统下操做同样。这种特性使得容器封装的应用比直接在宿主运行更加安全。

前面讲过镜像使用的是分层存储，容器也是如此。每个容器运行时，是以镜像为基础层，在其上建立一个当前容器的存储层，咱们能够称这个为容器运行时读写而准备的存储层为容器存储层。

容器存储层的生存周期和容器同样，容器消亡时，容器存储层也随之消亡。所以，任何保存于容器存储层的信息都会随容器删除而丢失。

按照 Docker 最佳实践的要求，容器不该该向其存储层内写入任何数据，容器存储层要保持无状态化。全部的文件写入操做，都应该使用数据卷（Volume）、或者绑定宿主目录，在这些位置的读写会跳过容器存储层，直接对宿主(或网络存储)发生读写，其性能和稳定性更高。

数据卷的生存周期独立于容器，容器消亡，数据卷不会消亡。所以，使用数据卷后，容器能够随意删除、从新运行，数据却不会丢失。

Docker Registry

Docker Registry 提供了镜像的集中的存储、分发功能。一个 Docker Registry 中能够包含多个仓库（Repository）；每一个仓库能够包含多个标签（Tag）；经过 <仓库名>:<标签> 的格式来指定具体是这个软件哪一个版本的镜像。Docker Registry 分为公有服务和私有服务，咱们能够搭建一个基于本地的registry

Docker 实践

安装docker

添加内核参数

tee -a /etc/sysctl.conf << EOF
net.bridge.bridge-nf-call-ip6tables = 1
net.bridge.bridge-nf-call-iptables = 1
EOF
sysctl -p

添加 yum 源，使用最新版的 docker

tee /etc/yum.repos.d/docker.repo <<-'EOF'
[dockerrepo]
name=Docker Repository
baseurl=https://mirrors.tuna.tsinghua.edu.cn/docker/yum/repo/centos7/
enabled=1
gpgcheck=1
gpgkey=https://mirrors.tuna.tsinghua.edu.cn/docker/yum/gpg
EOF

安装 docker-engine

yum -y install  docker-engine

启动docker

systemctl enable docker
systemctl start docker

配置镜像加速

因为国内访问docker原站点很是困难，国内的云服务提供商提供了加速功能。咱们使用阿里云进行docker加速
地址： https://dev.aliyun.com/search.html
添加你的专属地址

sed -i "s|ExecStart=/usr/bin/dockerd|ExecStart=/usr/bin/dockerd --registry-mirror=https://fz5yth0r.mirror.aliyuncs.com|g" /usr/lib/systemd/system/docker.service
systemctl daemon-reload
systemctl restart docker

查看是否加速

docker info

docker info的Registry Mirrors:里面是否有内容

ps aux|grep dockerd

查看是否有--registry-mirror=

使用镜像

获取镜像

命令格式为：

docker pull [OPTIONS] NAME[:TAG|@DIGEST]

获取centos镜像

docker pull centos

列出镜像

[root@node1 docker]# docker images
#仓库名             #标签                #镜像ID             #建立时间            #大小
REPOSITORY          TAG                 IMAGE ID            CREATED             SIZE
centos              latest              98d35105a391        7 days ago          192 MB

为了加速镜像构建、重复利用资源，Docker 会利用中间层镜像。因此在使用一段时间后，可能会看到一些依赖的中间层镜像。使用-a参数来显示中间层镜像。

[root@node1 docker]# docker images  -a

按照指定格式输出

docker images   --format "table {{.ID}}\t{{.Repository}}\t{{.Tag}}"

Docker commit

使用nginx 镜像启动一个容器，命名为 webserver，而且把容器的80端口映射在宿主机的80端口。

docker run --name webserver -d -p 80:80 nginx

使用浏览器访问宿主机的80端口，访问到容器的web服务

咱们更改访问页面,使用exec命令进入容器，并执行bash命令，更改nginx的欢迎页面内容

docker exec -it webserver bash
echo '<h1>Hello, Docker!</h1>' > /usr/share/nginx/html/index.html
exit

咱们修改了容器的存储层，使用docker diff 查看文件的改动

[root@node1 docker]# docker diff webserver
C /usr
C /usr/share
C /usr/share/nginx
C /usr/share/nginx/html
C /usr/share/nginx/html/index.html
C /run
A /run/nginx.pid
C /var
C /var/cache
C /var/cache/nginx
A /var/cache/nginx/uwsgi_temp
A /var/cache/nginx/client_temp
A /var/cache/nginx/fastcgi_temp
A /var/cache/nginx/proxy_temp
A /var/cache/nginx/scgi_temp
C /root
A /root/.bash_history

定制好页面以后，保存为镜像，当咱们运行一个容器的时候（若是不使用卷的话），咱们作的任何文件修改都会被记录于容器存储层里。而 Docker 提供了一个 docker commit 命令，能够将容器的存储层保存下来成为镜像。换句话说，就是在原有镜像的基础上，再叠加上容器的存储层，并构成新的镜像。

docker commit \
    --author "xiaohou <xxx@163.com>" \
    --message "修改了默认网页" \
    webserver \
    nginx:v2

使用docker image查看新的镜像

[root@node1 docker]# docker images nginx
REPOSITORY          TAG                 IMAGE ID            CREATED              SIZE
nginx               v2                  2be7bf1f91da        About a minute ago   182 MB
nginx               latest              6b914bbcb89e        3 weeks ago          182 MB

还能够用 docker history 具体查看镜像内的历史记录，若是比较 nginx:latest 的历史记录

[root@node1 docker]# docker history nginx:v2
IMAGE               CREATED             CREATED BY                                      SIZE                COMMENT
2be7bf1f91da        2 minutes ago       nginx -g daemon off;                            97 B                修改了默认网页
6b914bbcb89e        3 weeks ago         /bin/sh -c #(nop)  CMD ["nginx" "-g" "daem...   0 B                 
<missing>           3 weeks ago         /bin/sh -c #(nop)  EXPOSE 443/tcp 80/tcp        0 B                 
<missing>           3 weeks ago         /bin/sh -c ln -sf /dev/stdout /var/log/ngi...   0 B                 
<missing>           3 weeks ago         /bin/sh -c apt-key adv --keyserver hkp://p...   58.8 MB             
<missing>           3 weeks ago         /bin/sh -c #(nop)  ENV NGINX_VERSION=1.11....   0 B                 
<missing>           3 weeks ago         /bin/sh -c #(nop)  MAINTAINER NGINX Docker...   0 B                 
<missing>           3 weeks ago         /bin/sh -c #(nop)  CMD ["/bin/bash"]            0 B                 
<missing>           3 weeks ago         /bin/sh -c #(nop) ADD file:41ac8d85ee35954...   123 MB

新的镜像定制好后，咱们能够来运行这个镜像,访问宿主机的81端口

docker run --name web2 -d -p 81:80 nginx:v2

慎用 docker commit

观察以前的 docker diff webserver 的结果，你会发现除了真正想要修改的 /usr/share/nginx/html/index.html 文件外，还有不少文件被改动或添加了。若是是安装软件包、编译构建，那会有大量的无关内容被添加进来，将会致使镜像极为臃肿。

使用 docker commit 意味着除了制做镜像的人知道执行过什么命令、怎么生成的镜像，别人根本无从得知。并且，即便是这个制做镜像的人，过一段时间后也没法记清具体在操做的。

若是使用 docker commit 制做镜像，因为只在当前层操做，后期修改的话，每一次修改都会让镜像更加臃肿一次，所删除的上一层的东西并不会丢失，会一直如影随形的跟着这个镜像，即便根本没法访问到™。这会让镜像更加臃肿。

docker commit 命令除了学习以外，还有一些特殊的应用场合，好比被入侵后保存现场等。可是，不要使用 docker commit 定制镜像，定制行为应该使用 Dockerfile 来完成。

Dockerfile

Dockerfile是一个文本文件，用来来构建、定制镜像。以前使用 docker commit 说起的没法重复的问题、镜像构建透明性的问题、体积的问题就都会解决。

使用docker file 定制nginx镜像

mkdir ~/mynginx
cd ~/mynginx
vim   Dockerfile
FROM nginx
RUN echo '<h1>Hello, Docker!</h1>' > /usr/share/nginx/html/index.html

FROM：

指定一个基础镜像，能够直接拿来使用的服务类的镜像，如ubuntu、debian、centos、fedora、alpine、nginx、redis、mongo、mysql、httpd、php、tomcat 等。

指定一个空白镜像

FROM scratch
RUN  ...

RUN:

RUN 指令是用来执行命令行命令。其格式有两种。

SHELL格式：

RUN echo '<h1>Hello, Docker!</h1>' > /usr/share/nginx/html/index.html

exec 格式:

RUN ["可执行文件", "参数1", "参数2"]

在使用shell模式编写时，不建议每一个命令都写一层RUN，每个 RUN 的行为，就和刚才咱们手工创建镜像的过程同样：新创建一层，在其上执行这些命令，执行结束后，commit 这一层的修改，构成新的镜像。Union FS 是有最大层数限制的，好比 AUFS，曾经是最大不得超过 42 层，如今是不得超过 127 层。

正确dockerfile写法

FROM debian:jessie

RUN buildDeps='gcc libc6-dev make' \
    && apt-get update \
    && apt-get install -y $buildDeps \
    && wget -O redis.tar.gz "http://download.redis.io/releases/redis-3.2.5.tar.gz" \
    && mkdir -p /usr/src/redis \
    && tar -xzf redis.tar.gz -C /usr/src/redis --strip-components=1 \
    && make -C /usr/src/redis \
    && make -C /usr/src/redis install \
    && rm -rf /var/lib/apt/lists/* \
    && rm redis.tar.gz \
    && rm -r /usr/src/redis \
    && apt-get purge -y --auto-remove $buildDeps

不建议的写法：

FROM debian:jessie

RUN apt-get update
RUN apt-get install -y gcc libc6-dev make
RUN wget -O redis.tar.gz "http://download.redis.io/releases/redis-3.2.5.tar.gz"
RUN mkdir -p /usr/src/redis
RUN tar -xzf redis.tar.gz -C /usr/src/redis --strip-components=1
RUN make -C /usr/src/redis
RUN make -C /usr/src/redis install

构建镜像

cd ~/mynginx/
# -t:指定标签
docker build -t nginx:v3 .

镜像构建上下文（Context）

在 docker build 命令最后有一个 . 。. 表示当前目录，而 Dockerfile 就在当前目录，所以很多初学者觉得这个路径是在指定 Dockerfile 所在路径，这么理解实际上是不许确的。若是对应上面的命令格式，你可能会发现，这是在指定上下文路径。那么什么是上下文呢？

首先咱们要理解 docker build 的工做原理。Docker 在运行时分为 Docker 引擎（也就是服务端守护进程）和客户端工具。Docker 的引擎提供了一组 REST API，被称为 Docker Remote API，而如 docker 命令这样的客户端工具，则是经过这组 API 与 Docker 引擎交互，从而完成各类功能。所以，虽然表面上咱们好像是在本机执行各类 docker 功能，但实际上，一切都是使用的远程调用形式在服务端（Docker 引擎）完成。也由于这种 C/S 设计，让咱们操做远程服务器的 Docker 引擎变得垂手可得。

当咱们进行镜像构建的时候，并不是全部定制都会经过 RUN 指令完成，常常会须要将一些本地文件复制进镜像，好比经过 COPY 指令、ADD 指令等。而 docker build 命令构建镜像，其实并不是在本地构建，而是在服务端，也就是 Docker 引擎中构建的。那么在这种客户端/服务端的架构中，如何才能让服务端得到本地文件呢？

这就引入了上下文的概念。当构建的时候，用户会指定构建镜像上下文的路径，docker build 命令得知这个路径后，会将路径下的全部内容打包，而后上传给 Docker 引擎。这样 Docker 引擎收到这个上下文包后，展开就会得到构建镜像所需的一切文件。

若是在 Dockerfile 中这么写：

COPY ./package.json /app/

这并非要复制执行 docker build 命令所在的目录下的 package.json，也不是复制 Dockerfile 所在目录下的 package.json，而是复制上下文（context）目录下的 package.json。

所以，COPY 这类指令中的源文件的路径都是相对路径。这也是初学者常常会问的为何 COPY ../package.json /app 或者 COPY /opt/xxxx /app 没法工做的缘由，由于这些路径已经超出了上下文的范围，Docker 引擎没法得到这些位置的文件。若是真的须要那些文件，应该将它们复制到上下文目录中去。

若是观察 docker build 输出，咱们其实已经看到了这个发送上下文的过程：

[root@node1 mynginx]# docker build -t nginx:v3 .
Sending build context to Docker daemon 2.048 kB
Step 1/2 : FROM nginx
 ---> 6b914bbcb89e
Step 2/2 : RUN echo '<h1>Hello, Docker!</h1>' > /usr/share/nginx/html/index.html
 ---> Running in e3405aef8ac5
 ---> 11c14b5ee07d
Removing intermediate container e3405aef8ac5
Successfully built 11c14b5ee07d

理解构建上下文对于镜像构建是很重要的，避免犯一些不该该的错误。好比有些初学者在发现 COPY /opt/xxxx /app 不工做后，因而干脆将 Dockerfile 放到了硬盘根目录去构建，结果发现 docker build 执行后，在发送一个几十 GB 的东西，极为缓慢并且很容易构建失败。那是由于这种作法是在让 docker build 打包整个硬盘，这显然是使用错误。

通常来讲，应该会将 Dockerfile 置于一个空目录下，或者项目根目录下。若是该目录下没有所需文件，那么应该把所需文件复制一份过来。若是目录下有些东西确实不但愿构建时传给 Docker 引擎，那么能够用 .gitignore 同样的语法写一个 .dockerignore，该文件是用于剔除不须要做为上下文传递给 Docker 引擎的。

那么为何会有人误觉得 . 是指定 Dockerfile 所在目录呢？这是由于在默认状况下，若是不额外指定 Dockerfile 的话，会将上下文目录下的名为 Dockerfile 的文件做为 Dockerfile。

这只是默认行为，实际上 Dockerfile 的文件名并不要求必须为 Dockerfile，并且并不要求必须位于上下文目录中，好比能够用 -f ../Dockerfile.php 参数指定某个文件做为 Dockerfile。

固然，通常你们习惯性的会使用默认的文件名 Dockerfile，以及会将其置于镜像构建上下文目录中。

Dockerfile 指令

COPY：

格式：

SHELL格式：

COPY <源路径>... <目标路径>

exec 格式:

COPY ["<源路径1>",... "<目标路径>"]

"源路径"能够是多个，也能够是通配符，其通配符规则要知足 Go 的 filepath.Match 规则，如：

COPY hom* /mydir/
COPY hom?.txt /mydir/

"目标路径"能够是容器内的绝对路径，也能够是相对于工做目录的相对路径（工做目录能够用 WORKDIR 指令来指定）。目标路径不须要事先建立，若是目录不存在会在复制文件前先行建立缺失目录。

使用 COPY 指令，源文件的各类元数据都会保留。好比读、写、执行权限、文件变动时间等。这个特性对于镜像定制颇有用。特别是构建相关文件都在使用 Git 进行管理的时候。

ADD

"源路径"能够是一个 URL，这种状况下，Docker 引擎会试图去下载这个连接的文件放到"目标路径"。下载后的文件权限自动设置为600。

若是这并非想要的权限，那么还须要增长额外的一层 RUN 进行权限调整。

若是"源路径"为一个 tar.gzip,tar.bzip2,tar.xz的文件，ADD 指令将会自动解压缩这个压缩文件到"目标路径"去。

FROM scratch
ADD ubuntu-xenial-core-cloudimg-amd64-root.tar.gz /

在 Docker 官方的最佳实践文档中要求，尽量的使用 COPY，由于 COPY 的语义很明确，就是复制文件而已，而 ADD 则包含了更复杂的功能，其行为也不必定很清晰。最适合使用 ADD 的场合，就是所说起的须要自动解压缩的场合。

CMD

CMD 指令的格式和 RUN 类似，也是两种格式：

shell 格式：

CMD <命令>

exec 格式：

CMD ["可执行文件", "参数1", "参数2"...]

参数列表格式：

CMD ["参数1", "参数2"...]。

在指定了 ENTRYPOINT 指令后，用 CMD 指定具体的参数。

以前介绍容器的时候曾经说过，Docker 不是虚拟机，容器就是进程。既然是进程，那么在启动容器的时候，须要指定所运行的程序及参数。CMD 指令就是用于指定默认的容器主进程的启动命令的。

在运行时能够指定新的命令来替代镜像设置中的这个默认命令，镜像默认的 CMD 是 /bin/bash ，若是咱们直接 docker run -it centos 的话，会直接进入 bash。咱们也能够在运行时指定运行别的命令，如 docker run -it ubuntu cat /etc/os-release。这就是用 cat /etc/os-release命令替换了默认的 /bin/bash 命令了，输出了系统版本信息。

在指令格式上，通常推荐使用 exec 格式，这类格式在解析时会被解析为 JSON 数组，所以必定要使用双引号 "，而不要使用单引号。

若是使用 shell 格式的话，实际的命令会被包装为sh -c 的参数的形式进行执行。好比：

CMD echo $HOME

在实际执行中，会将其变动为：

CMD [ "sh", "-c", "echo $HOME" ]

这就是为何咱们可使用环境变量的缘由，由于这些环境变量会被 shell 进行解析处理。

Docker 不是虚拟机，容器中的应用都应该之前台执行，而不是像虚拟机、物理机里面那样，用 upstart/systemd 去启动后台服务，容器内没有后台服务的概念。

一些初学者将 CMD 写为：

CMD service nginx start

而后发现容器执行后就当即退出了。甚至在容器内去使用 systemctl 命令结果却发现根本执行不了。这就是由于没有搞明白前台、后台的概念，没有区分容器和虚拟机的差别，依旧在以传统虚拟机的角度去理解容器。

对于容器而言，其启动程序就是容器应用进程，容器就是为了主进程而存在的，主进程退出，容器就失去了存在的意义，从而退出，其它辅助进程不是它须要关心的东西。

而使用service nginx start命令，则是但愿 upstart 来之后台守护进程形式启动 nginx 服务。而刚才说了 CMD service nginx start 会被理解为 CMD [ "sh", "-c", "service nginx start"]，所以主进程其实是 sh。那么当 service nginx start 命令结束后，sh 也就结束了，sh 做为主进程退出了，天然就会令容器退出。

正确的作法是直接执行 nginx 可执行文件，而且要求之前台形式运行。好比：

CMD ["nginx", "-g", "daemon off;"]

ENTRYPOINT

ENTRYPOINT 的目的和 CMD 同样，都是在指定容器启动程序及参数。ENTRYPOINT 在运行时也能够替代，不过比 CMD 要略显繁琐，须要经过 docker run 的参数 --entrypoint 来指定。

当指定了 ENTRYPOINT 后，CMD 的含义就发生了改变，再也不是直接的运行其命令，而是将 CMD 的内容做为参数传给 ENTRYPOINT 指令，换句话说实际执行时，将变为：

<ENTRYPOINT> "<CMD>"

场景一：让镜像变成像命令同样使用

假设咱们须要一个得知本身当前公网 IP 的镜像，那么能够先用 CMD 来实现：

mkdir ~/myip/
cd ~/myip/
tee Dockerfile <<'EOF'
FROM centos
RUN  yum -y install wget \
     && wget -O /etc/yum.repos.d/CentOS-Base.repo http://mirrors.aliyun.com/repo/Centos-7.repo \
     &&wget -O /etc/yum.repos.d/epel.repo http://mirrors.aliyun.com/repo/epel-7.repo \
     &&yum -y install  curl
CMD [ "curl", "-s", "http://ip.cn" ]
EOF
docker build  -t myip .

启动一个容器测试

[root@node1 myip]# docker run  myip
当前 IP：123.117.85.77 来自：北京市 联通

这么看起来好像能够直接把镜像当作命令使用了，若是咱们但愿加参数呢？从上面的 CMD 中能够看到实质的命令是 curl，那么若是咱们但愿显示 HTTP 头信息，就须要加上 -i 参数。那么咱们能够直接加 -i 参数给 docker run myip 么？

[root@node1 myip]# docker rum myip -i
unknown shorthand flag: 'i' in -i
See 'docker --help'.
...

跟在镜像名后面的是 command，运行时会替换 CMD 的默认值。所以这里的 -i 替换了原来的 CMD，而不是添加在原来的 curl -s http://ip.cn 后面。而 -i 根本不是命令，因此天然找不到。

若是咱们但愿加入 -i 这参数，咱们就必须从新完整的输入这个命令：

[root@node1 myip]# docker run myip curl -s http://ip.cn -i
HTTP/1.1 200 OK
Server: nginx/1.10.0 (Ubuntu)
Date: Fri, 24 Mar 2017 02:21:43 GMT
Content-Type: text/html; charset=UTF-8
Transfer-Encoding: chunked
Connection: keep-alive

当前 IP：123.117.85.77 来自：北京市

而使用 ENTRYPOINT 就能够给 docker 传参，修改docker镜像

cd ~/myip/
tee Dockerfile <<'EOF'
FROM centos
RUN  yum -y install wget \
     && wget -O /etc/yum.repos.d/CentOS-Base.repo http://mirrors.aliyun.com/repo/Centos-7.repo \
     &&wget -O /etc/yum.repos.d/epel.repo http://mirrors.aliyun.com/repo/epel-7.repo \
     &&yum -y install  curl
ENTRYPOINT [ "curl", "-s", "http://ip.cn" ]
EOF
docker build  -t myip .

再次运行

[root@node1 myip]# docker run myip
当前 IP：123.117.85.77 来自：北京市


[root@node1 myip]# docker run myip -i
HTTP/1.1 200 OK
Server: nginx/1.10.0 (Ubuntu)
Date: Fri, 24 Mar 2017 02:24:42 GMT
Content-Type: text/html; charset=UTF-8
Transfer-Encoding: chunked
Connection: keep-alive

当前 IP：123.117.85.77 来自：北京市

场景二：应用运行前的准备工做

redis的官方dockerfile https://github.com/docker-library/redis/blob/master/3.2/alpine/Dockerfile

FROM alpine:3.5
...
RUN addgroup -S redis && adduser -S -G redis redis
...
ENTRYPOINT ["docker-entrypoint.sh"]

EXPOSE 6379
CMD [ "redis-server" ]

能够看到其中为了 redis 服务建立了 redis 用户，并在最后指定了 ENTRYPOINT 为 docker-entrypoint.sh 脚本。

#!/bin/sh
...
# allow the container to be started with `--user`
if [ "$1" = 'redis-server' -a "$(id -u)" = '0' ]; then
    chown -R redis .
    exec su-exec redis "$0" "$@"
fi

exec "$@"

该脚本的内容就是根据 CMD 的内容来判断，若是是 redis-server 的话，则切换到 redis 用户身份启动服务器，不然依旧使用 root 身份执行。好比：

$ docker run -it redis id
uid=0(root) gid=0(root) groups=0(root)

ENV 设置环境变量

格式有两种：

ENV <key> <value>
ENV <key1>=<value1> <key2>=<value2>...

这个指令很简单，就是设置环境变量而已，不管是后面的其它指令，如 RUN，仍是运行时的应用，均可以直接使用这里定义的环境变量。

ENV VERSION=1.0 DEBUG=on \
    NAME="Happy Feet"

这个例子中演示了如何换行，以及对含有空格的值用双引号括起来的办法，这和 Shell 下的行为是一致的。

定义了环境变量，那么在后续的指令中，就可使用这个环境变量。好比在官方 node 镜像 Dockerfile中，就有相似这样的代码：

ENV NODE_VERSION 7.2.0

RUN curl -SLO "https://nodejs.org/dist/v$NODE_VERSION/node-v$NODE_VERSION-linux-x64.tar.xz" \
  && curl -SLO "https://nodejs.org/dist/v$NODE_VERSION/SHASUMS256.txt.asc" \
  && gpg --batch --decrypt --output SHASUMS256.txt SHASUMS256.txt.asc \
  && grep " node-v$NODE_VERSION-linux-x64.tar.xz\$" SHASUMS256.txt | sha256sum -c - \
  && tar -xJf "node-v$NODE_VERSION-linux-x64.tar.xz" -C /usr/local --strip-components=1 \
  && rm "node-v$NODE_VERSION-linux-x64.tar.xz" SHASUMS256.txt.asc SHASUMS256.txt \
  && ln -s /usr/local/bin/node /usr/local/bin/nodejs

在这里先定义了环境变量 NODE_VERSION，其后的 RUN 这层里，屡次使用 $NODE_VERSION 来进行操做定制。能够看到，未来升级镜像构建版本的时候，只须要更新 7.2.0 便可，Dockerfile 构建维护变得更轻松了。

下列指令能够支持环境变量展开： ADD、COPY、ENV、EXPOSE、LABEL、USER、WORKDIR、VOLUME、STOPSIGNAL、ONBUILD。

能够从这个指令列表里感受到，环境变量可使用的地方不少，很强大。经过环境变量，咱们可让一份 Dockerfile 制做更多的镜像，只需使用不一样的环境变量便可。

ARG 构建参数

格式：

ARG <参数名>[=<默认值>]

构建参数和 ENV 的效果同样，都是设置环境变量。所不一样的是，ARG 所设置的构建环境的环境变量，在未来容器运行时是不会存在这些环境变量的。不建议 ARG 保存密码之类的信息，由于 docker history 仍是能够看到全部值的。

VOLUME 定义匿名卷

格式：

VOLUME ["<路径1>", "<路径2>"...]
VOLUME <路径>

以前咱们说过，容器运行时应该尽可能保持容器存储层不发生写操做，对于数据库类须要保存动态数据的应用，其数据库文件应该保存于卷(volume)中，后面的章节咱们会进一步介绍 Docker 卷的概念。为了防止运行时用户忘记将动态文件所保存目录挂载为卷，在 Dockerfile 中，咱们能够事先指定某些目录挂载为匿名卷，这样在运行时若是用户不指定挂载，其应用也能够正常运行，不会向容器存储层写入大量数据。

VOLUME /data

也能够运行时覆盖这个挂载设置。好比：

docker run -d -v mydata:/data xxxx

在这行命令中，就使用了 mydata 这个命名卷挂载到了 /data 这个位置，替代了 Dockerfile 中定义的匿名卷的挂载配置。

EXPOSE 声明端口

格式：

EXPOSE <端口1> [<端口2>...]

EXPOSE 指令是声明运行时容器提供服务端口，在运行时并不会由于这个声明应用就会开启这个端口的服务。

在 Dockerfile 中写入这样的声明有两个好处:

帮助镜像使用者理解这个镜像服务的守护端口，以方便配置映射
在运行时使用随机端口映射时，也就是 docker run -P 时，会自动随机映射 EXPOSE 的端口。

此外，在早期 Docker 版本中还有一个特殊的用处。之前全部容器都运行于默认桥接网络中，所以全部容器互相之间均可以直接访问，这样存在必定的安全性问题。因而有了一个 Docker 引擎参数 --icc=false，当指定该参数后，容器间将默认没法互访，除非互相间使用了 --links 参数的容器才能够互通，而且只有镜像中 EXPOSE 所声明的端口才能够被访问。这个 --icc=false 的用法，在引入了 docker network 后已经基本不用了，经过自定义网络能够很轻松的实现容器间的互联与隔离。

WORKDIR 指定工做目录

格式:

WORKDIR <工做目录路径>

使用 WORKDIR 指令能够来指定工做目录（或者称为当前目录），之后各层的当前目录就被改成指定的目录，如该目录不存在，WORKDIR 会帮你创建目录。
以前提到一些初学者常犯的错误是把 Dockerfile 等同于 Shell 脚原本书写，这种错误的理解还可能会致使出现下面这样的错误：

RUN cd /app
RUN echo "hello" > world.txt

若是将这个 Dockerfile 进行构建镜像运行后，会发现找不到 /app/world.txt 文件，或者其内容不是hello。缘由其实很简单，在 Shell 中，连续两行是同一个进程执行环境，所以前一个命令修改的内存状态，会直接影响后一个命令；而在 Dockerfile 中，这两行 RUN 命令的执行环境根本不一样，是两个彻底不一样的容器。这就是对 Dokerfile 构建分层存储的概念不了解所致使的错误。

以前说过每个 RUN 都是启动一个容器、执行命令、而后提交存储层文件变动。第一层 RUN cd /app 的执行仅仅是当前进程的工做目录变动，一个内存上的变化而已，其结果不会形成任何文件变动。而到第二层的时候，启动的是一个全新的容器，跟第一层的容器更彻底不要紧，天然不可能继承前一层构建过程当中的内存变化。

所以若是须要改变之后各层的工做目录的位置，那么应该使用 WORKDIR 指令。

USER 指定当前用户

格式：

USER <用户名>

USER 指令和 WORKDIR 类似，都是改变环境状态并影响之后的层。WORKDIR 是改变工做目录，USER 则是改变以后层的执行 RUN, CMD 以及 ENTRYPOINT 这类命令的身份。

固然，和 WORKDIR 同样，USER 只是帮助你切换到指定用户而已，这个用户必须是事先创建好的，不然没法切换。

RUN groupadd -r redis && useradd -r -g redis redis
USER redis
RUN [ "redis-server" ]

HEALTHCHECK 健康检查

格式：

HEALTHCHECK [选项] CMD <命令>：设置检查容器健康情况的命令
HEALTHCHECK NONE：若是基础镜像有健康检查指令，使用这行能够屏蔽掉其健康检查指令

HEALTHCHECK 指令是告诉 Docker 应该如何进行判断容器的状态是否正常，这是 Docker 1.12 引入的新指令。

在没有 HEALTHCHECK 指令前，Docker 引擎只能够经过容器内主进程是否退出来判断容器是否状态异常。不少状况下这没问题，可是若是程序进入死锁状态，或者死循环状态，应用进程并不退出，可是该容器已经没法提供服务了。在 1.12 之前，Docker 不会检测到容器的这种状态，从而不会从新调度，致使可能会有部分容器已经没法提供服务了却还在接受用户请求。

而自 1.12 以后，Docker 提供了 HEALTHCHECK 指令，经过该指令指定一行命令，用这行命令来判断容器主进程的服务状态是否还正常，从而比较真实的反应容器实际状态。

当在一个镜像指定了 HEALTHCHECK 指令后，用其启动容器，初始状态会为 starting，在 HEALTHCHECK 指令检查成功后变为 healthy，若是连续必定次数失败，则会变为 unhealthy。

HEALTHCHECK 支持下列选项：

--interval=<间隔>：两次健康检查的间隔，默认为 30 秒；
--timeout=<时长>：健康检查命令运行超时时间，若是超过这个时间，本次健康检查就被视为失败，默认 30 秒；
--retries=<次数>：当连续失败指定次数后，则将容器状态视为 unhealthy，默认 3 次。

和 CMD, ENTRYPOINT 同样，HEALTHCHECK 只能够出现一次，若是写了多个，只有最后一个生效。

在 HEALTHCHECK [选项] CMD 后面的命令，格式和 ENTRYPOINT 同样，分为 shell 格式，和 exec 格式。命令的返回值决定了该次健康检查的成功与否：0：成功；1：失败；2：保留，不要使用这个值。

假设咱们有个镜像是个最简单的 Web 服务，咱们但愿增长健康检查来判断其 Web 服务是否在正常工做，咱们能够用 curl 来帮助判断，其 Dockerfile 的 HEALTHCHECK 能够这么写：

mkdir ~/nginxcheck
cd ~/nginxcheck
vim Dockerfile
FROM nginx
RUN apt-get update && apt-get install -y curl && rm -rf /var/lib/apt/lists/*
HEALTHCHECK --interval=5s --timeout=3s \
  CMD curl -fs http://localhost/ || exit 1

docker build -t myweb:v1 .

这里咱们设置了每 5 秒检查一次（这里为了试验因此间隔很是短，实际应该相对较长），若是健康检查命令超过 3 秒没响应就视为失败，而且使用 curl -fs http://localhost/ || exit 1 做为健康检查命令。

启动测试

docker run -d --name myweb -p 80:82 myweb:v1

查看

[root@node1 nginxcheck]# docker ps -f name=myweb
CONTAINER ID        IMAGE               COMMAND                  CREATED             STATUS                    PORTS                                 NAMES
beb18dcc15fe        myweb:v1            "nginx -g 'daemon ..."   22 seconds ago      Up 21 seconds (healthy)   80/tcp, 443/tcp, 0.0.0.0:80->82/tcp   myweb

若是健康检查连续失败超过了重试次数，状态就会变为 (unhealthy)。

健康检查命令的输出（包括 stdout 以及 stderr）都会被存储于健康状态里，能够用 docker inspect 来查看。

docker inspect --format '{{json .State.Health}}' web | python -m json.tool

ONBUILD 为他人作嫁衣

ONBUILD 是一个特殊的指令，它后面跟的是其它指令，好比 RUN, COPY 等，而这些指令，在当前镜像构建时并不会被执行。只有当以当前镜像为基础镜像，去构建下一级镜像的时候才会被执行。
例如：

FROM node:slim
RUN "mkdir /app"
WORKDIR /app
ONBUILD COPY ./package.json /app
ONBUILD RUN [ "npm", "install" ]
ONBUILD COPY . /app/
CMD [ "npm", "start" ]

在构建基础镜像的时候，包含ONBUILD这三行并不会被执行，可是当把这个镜像做为基础镜像构建时，这三行就会执行。

#首先构建基础镜像
docker build -t my-node .

#在其余项目须要使用这个Dockerfile制做的镜像做为基础镜像时，直接写Dockerfile，基础镜像的三行会在子Dockerfile中执行
FROM my-node

其余制做镜像方法

除了标准的使用 Dockerfile 生成镜像的方法外，因为各类特殊需求和历史缘由，还提供了一些其它方法用以生成镜像。

从 rootfs 压缩包导入

格式：docker import [选项] <文件>|<URL>|- [<仓库名>[:<标签>]]

压缩包能够是本地文件、远程 Web 文件，甚至是从标准输入中获得。压缩包将会在镜像 / 目录展开，并直接做为镜像第一层提交。

好比咱们想要建立一个 OpenVZ 的 Ubuntu 14.04 模板的镜像：

docker import \
    http://download.openvz.org/template/precreated/ubuntu-14.04-x86_64-minimal.tar.gz \
    openvz/ubuntu:14.04

这条命令自动下载了 ubuntu-14.04-x86_64-minimal.tar.gz 文件，而且做为根文件系统展开导入，并保存为镜像 openvz/ubuntu:14.04。

docker save 和 docker load

Docker 还提供了 docker load 和 docker save 命令，用以将镜像保存为一个 tar 文件，而后传输到另外一个位置上，再加载进来。这是在没有 Docker Registry 时的作法，如今已经不推荐，镜像迁移应该直接使用 Docker Registry，不管是直接使用 Docker Hub 仍是使用内网私有 Registry 均可以。

使用 docker save 命令能够将镜像保存为归档文件。

docker pull alpine
docker save alpine |gzip > alpine.tar.gz

而后咱们将 alpine-latest.tar.gz 文件复制到了到了另外一个机器上，能够用下面这个命令加载镜像：

docker load -i alpine-latest.tar.gz

使用容器

启动容器

启动容器有两种方式，一种是基于镜像新建一个容器并启动，另一个是将在终止状态（stopped）的容器从新启动。

容器的启动流程

当利用 docker run 来建立容器时，Docker 在后台运行的标准操做包括：

检查本地是否存在指定的镜像，不存在就从公有仓库下载
利用镜像建立并启动一个容器
分配一个文件系统，并在只读的镜像层外面挂载一层可读写层
从宿主主机配置的网桥接口中桥接一个虚拟接口到容器中去
从地址池配置一个 ip 地址给容器
执行用户指定的应用程序
执行完毕后容器被终止

使用docker run启动

下面的命令输出一个 “Hello World”，以后终止容器。

docker run centos /bin/echo 'Hello world'

启动一个前台的bash进程，-t 选项让Docker分配一个伪终端（pseudo-tty）并绑定到容器的标准输入上，-i 则让容器的标准输入保持打开。

docker run -t -i centos /bin/bash

使用docker start启动已终止容器

docker start  容器名字或ID

查看容器的资源占用,只有一个bash进程

[root@94b57792acbf /]# ps aux
USER        PID %CPU %MEM    VSZ   RSS TTY      STAT START   TIME COMMAND
root          1  0.0  0.1  11768  1932 ?        Ss   07:19   0:00 /bin/bash
root         56  0.0  0.1  47440  1672 ?        R+   07:27   0:00 ps aux

让容器之后台进程模式运行

更多的时候，须要让 Docker在后台运行而不是直接把执行命令的结果输出在当前宿主机下。此时，能够经过添加 -d 参数来实现。

使用例子来体验区别：
不使用 -d 参数：

[root@node1 ~]# docker run centos /bin/bash -c "while true; do echo hello world; sleep 1; done"
hello world
hello world
hello world
hello world

全部的输出都输出到宿主机。

加-d参数

[root@node1 ~]# docker run  -d centos /bin/bash -c "while true; do echo hello world; sleep 1; done"
a8e42575a9ff340c65f0023c77926b0f80051f53ade13c38847f0e8a6319ee63

此时容器会在后台运行并不会把输出的结果打印到宿主机上，可使用 docker logs 查看

[root@node1 ~]# docker logs a8e42575a9ff

注：容器是否会长久运行，是和docker run指定的命令有关，和 -d 参数无关。

终止容器

docker stop {CONTAINER ID| NAMES}

对于上一章节中只启动了一个bash的容器，用户经过 exit 命令或 Ctrl+d 来退出终端时，所建立的容器马上终止。

进入容器

attach 命令

[root@node1 ~]# docker run -dit centos /bin/bash
14c0b4a935f57317f25111aa55beed0f3329afe60871ca06c44a12acc4172140
[root@node1 ~]# docker ps 
CONTAINER ID        IMAGE               COMMAND                  CREATED             STATUS                 PORTS                                 NAMES
14c0b4a935f5        centos              "/bin/bash"              25 seconds ago      Up 24 seconds                                                dreamy_wiles

[root@node1 ~]# docker attach dreamy_wiles

可是使用 attach 命令有时候并不方便。当多个窗口同时 attach 到同一个容器的时候，全部窗口都会同步显示。当某个窗口因命令阻塞时,其余窗口也没法执行操做了,使用attach命令退出使用ctrl+p+q 退出不影响容器运行。

nsenter 命令

安装命令

yum -y install  util-linux

获取容器PID

PID=$(docker inspect --format "{{ .State.Pid }}" dreamy_wiles)

进入容器

nsenter --target $PID --mount --uts --ipc --net --pid

导入导出容器

导出容器快照

docker export 7691a814370e > centos.tar

导入容器快照

cat centos.tar | sudo docker import - myimages/centos:v1.0

删除容器

docker rm {CONTAINER ID| NAMES}

Docer 数据管理

Docker 内部管理数据主要有两种方式：

数据卷（Data volumes）
数据卷容器（Data volume containers）

数据卷

数据卷是一个可供一个或多个容器使用的特殊目录，它绕过 UFS，能够提供不少有用的特性：

数据卷能够在容器之间共享和重用
对数据卷的修改会立马生效
对数据卷的更新，不会影响镜像
数据卷默认会一直存在，即便容器被删除

注意：数据卷的使用，相似于 Linux 下对目录或文件进行 mount，镜像中的被指定为挂载点的目录中的文件会隐藏掉，能显示看的是挂载的数据卷。

使用 -v 标记也能够指定挂载一个本地主机的目录到容器中去。

docker run -dit --name test  -v /tmp:/opt:ro centos  /bin/bash

数据卷容器

数据卷容器，其实就是一个正常的容器，专门用来提供数据卷供其它容器挂载的。

docker run -dit -v /dbdata --name dbdata centos /bin/bash
[root@node1 ~]# docker attach dbdata
[root@a9642e6adf7b /]# touch /dbdata/{1..10}.txt

在其余容器中使用 --volumes-from 来挂载 dbdata 容器中的数据卷。

docker run -dit --volumes-from dbdata --name db1 centos /bin/bash
docker run -dit --volumes-from dbdata --name db2 centos /bin/bash

验证

[root@node1 ~]# docker attach db1
[root@87f964ea0f31 /]# ls /dbdata/
1.txt  10.txt  2.txt  3.txt  4.txt  5.txt  6.txt  7.txt  8.txt  9.txt

注意：使用 --volumes-from 参数所挂载数据卷的容器本身并不须要保持在运行状态。

若是删除了挂载的容器（包括 dbdata、db1 和 db2），数据卷并不会被自动删除。若是要删除一个数据卷，必须在删除最后一个还挂载着它的容器时使用 docker rm -v 命令来指定同时删除关联的容器。这可让用户在容器之间升级和移动数据卷。

利用数据卷容器来备份、恢复、迁移数据卷

能够利用数据卷对其中的数据进行进行备份、恢复和迁移。

备份

首先使用 --volumes-from 标记来建立一个加载 dbdata 容器卷的容器，并从主机挂载/opt/backup到容器的 /backup 目录。命令以下：

docker run --volumes-from dbdata -v /opt/backup:/backup centos tar cvf /backup/backup.tar /dbdata

恢复

若是要恢复数据到一个容器，首先建立一个带有空数据卷的容器 dbdata2。

docker run -v /dbdata --name dbdata2 centos /bin/bash

而后建立另外一个容器，挂载 dbdata2 容器卷中的数据卷，并使用 untar 解压备份文件到挂载的容器卷中。

docker run --volumes-from dbdata2 -v /opt/backup:/backup centos tar xvf /backup/backup.tar

为了查看/验证恢复的数据，能够再启动一个容器挂载一样的容器卷来查看

docker run --volumes-from dbdata2 centos /bin/ls /dbdata

Docker registry

Registry 和 Repository 的区别

注册服务器（Registry），是管理仓库的具体服务器，每一个服务器上能够有多个仓库（Repository），而每一个仓库（Repository）下面有多个镜像。

配置registry

registry若是想要别人可使用，须要https才能够，咱们能够利用openssl来搭建私有的CA服务器，用以签名、颁发证书，管理已签名证书和已吊销证书等。

搭建私有CA

初始化CA环境，在/etc/pki/CA/下创建证书索引数据库文件index.txt和序列号文件serial，并为证书序列号文件提供初始值。

touch /etc/pki/CA/{index.txt,serial}
echo 01 > /etc/pki/CA/serial

生成密钥并保存到/etc/pki/CA/private/cakey.pem

(umask 077;openssl genrsa -out  /etc/pki/CA/private/cakey.pem 2048)

生成根证书

openssl req -new -x509 -key  /etc/pki/CA/private/cakey.pem -out /etc/pki/CA/cacert.pem -days 3650

填写的信息

Country Name (2 letter code) [XX]:CN
State or Province Name (full name) []:Beijing
Locality Name (eg, city) [Default City]:Beijing
Organization Name (eg, company) [Default Company Ltd]:mycompany
Organizational Unit Name (eg, section) []:ops
Common Name (eg, your name or your server's hostname) []:registry.mycompany.com
Email Address []:admin@mycompany.com

使Linux系统信任根证书

cat /etc/pki/CA/cacert.pem >> /etc/pki/tls/certs/ca-bundle.crt

签发证书

安装nginx

yum -y install nginx

建立ssl目录用来存放密钥文件和证书申请文件

mkdir  /etc/nginx/ssl

建立密钥文件和证书申请文件

(umask 077;openssl genrsa -out /etc/nginx/ssl/docker.key 2048)
openssl req -new -key /etc/nginx/ssl/docker.key -out /etc/nginx/ssl/docker.csr

填写的申请信息前四项要和私有CA的信息一致

Country Name (2 letter code) [XX]:CN
State or Province Name (full name) []:Beijing
Locality Name (eg, city) [Default City]:Beijing
Organization Name (eg, company) [Default Company Ltd]:mycompany
Organizational Unit Name (eg, section) []:ops
Common Name (eg, your name or your server's hostname) []:registry.mycompany.com
Email Address []:admin@mycompany.com
#直接回车
A challenge password []:
An optional company name []:

签署，证书

[root@node1 ~]# openssl ca -in /etc/nginx/ssl/docker.csr -out /etc/nginx/ssl/docker.crt -days 3650
Using configuration from /etc/pki/tls/openssl.cnf
Check that the request matches the signature
Signature ok
Certificate Details:
        Serial Number: 1 (0x1)
        Validity
            Not Before: Mar 30 08:12:58 2017 GMT
            Not After : Mar 28 08:12:58 2027 GMT
        Subject:
            countryName               = CN
            stateOrProvinceName       = Beijing
            organizationName          = mycompany
            organizationalUnitName    = ops
            commonName                = registry.mycompany.com
            emailAddress              = admin@mycompany.com
        X509v3 extensions:
            X509v3 Basic Constraints: 
                CA:FALSE
            Netscape Comment: 
                OpenSSL Generated Certificate
            X509v3 Subject Key Identifier: 
                59:27:56:F3:67:46:4B:6D:A5:1B:66:C0:D8:C7:7D:0F:CA:90:C2:ED
            X509v3 Authority Key Identifier: 
                keyid:76:4A:E0:BB:91:F5:0C:B2:67:2E:D1:3C:74:2B:05:F6:2C:A9:9B:7B

Certificate is to be certified until Mar 28 08:12:58 2027 GMT (3650 days)
Sign the certificate? [y/n]:y


1 out of 1 certificate requests certified, commit? [y/n]y
Write out database with 1 new entries
Data Base Updated

检查index.txt和serial序列号更新

[root@node1 ~]# cat /etc/pki/CA/index.txt
V    270328055023Z        01    unknown    /C=CN/ST=Beijing/O=mycompany/OU=ops/CN=registry.mycompany.com/emailAddress=admin@mycompany.com

[root@node1 ~]# cat /etc/pki/CA/serial
02

基于localhost搭建docker-registry

启动registry

docker run -d -p 5000:5000 --restart=always --name registry -v /opt/registry:/var/lib/registry registry:2

从dockerhub下载centos镜像，使用docker tag 将 centos 这个镜像标记为 localhost:5000/centos

docker pull centos && docker tag centos localhost:5000/centos

使用docker push 上传标记的镜像

docker push localhost:5000/centos

从私有仓库下载镜像

docker pull  localhost:5000/centos

配置nginx反向代理docker registry

为nginx添加认证

yum -y install httpd-tools
htpasswd -cb /etc/nginx/conf.d/docker-registry.htpasswd admin admin

添加nginx的server

[root@node1 ~]# cat /etc/nginx/conf.d/docker-registry.conf
upstream docker-registry {
    server 127.0.0.1:5000;
}
server {
        listen       443;
        server_name           registry.mycompany.com;
        ssl                   on;
        ssl_certificate       /etc/nginx/ssl/docker.crt;
        ssl_certificate_key   /etc/nginx/ssl/docker.key;
        client_max_body_size 0;
        chunked_transfer_encoding on;
        proxy_set_header Host $host;
        proxy_set_header X-Real-IP $remote_addr;
        proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
        location / {
               auth_basic   "Docker registry";
               auth_basic_user_file /etc/nginx/conf.d/docker-registry.htpasswd;
               proxy_pass  http://docker-registry;
        }
         location /_ping{
               auth_basic off;
               proxy_pass  http://docker-registry;
               }
         location /v1/_ping{
               auth_basic off;
               proxy_pass  http://docker-registry;
               }
}

重启nginx

systemctl restart nginx

修改hosts

10.0.7.1    registry.mycompany.com

测试

[root@node1 ~]# docker login registry.mycompany.com
Username: admin
Password: 
Login Succeeded

上传镜像

docker tag centos registry.mycompany.com/centos
docker push registry.mycompany.com/centos

查看

curl --user admin:admin  https://registry.mycompany.com/v2/_catalog
{"repositories":["centos"]}

配置局域网内其余机器认证

修改hosts

vim /etc/hosts
10.0.7.1    registry.mycompany.com

一样的系统版本,直接覆盖ca-bundle.crt，

scp -rp /etc/pki/tls/certs/ca-bundle.crt  root@10.0.7.2:/etc/pki/tls/certs/ca-bundle.crt

不一样版本把CA的密钥发送到客户机，并添加到ca-bundle.crt

scp -rp  /etc/pki/CA/cacert.pem root@10.0.7.2:/etc/pki/CA/cacert.pem
cat /etc/pki/CA/cacert.pem >> /etc/pki/tls/certs/ca-bundle.crt

重启docker，若是不重启会出现docker提示x509证书没有受权

systemctl daemon-reload
systemctl restart docker

验证

[root@node1 ~]# curl --user admin:admin  https://registry.mycompany.com/v2/_catalog
{"repositories":["centos"]}
[root@node1 ~]# docker login registry.mycompany.com
Username: admin
Password: 
Login Succeeded
[root@node1 ~]# docker pull registry.mycompany.com/centos
Using default tag: latest
latest: Pulling from centos
4969bbd91a1e: Pull complete 
Digest: sha256:d7f3db1caf4ea76117abce89709ebfc66c9339e13866016b8b2e4eee3ab4bea0
Status: Downloaded newer image for registry.mycompany.com/centos:latest

Docker 网络

查看容器IP

第一种方法

docker run -d --name nginx nginx
docker inspect --format '{{ .NetworkSettings.IPAddress }}' nginx

第二种方法

docker exec -ti nginx ip add | grep global

第三种方法

docker exec -ti nginx cat /etc/hosts

端口映射

把Docker的内部端口经过端口映射的方法映射到宿主机的某一个端口，当使用 -P 标记时，Docker 会随机映射一个 49000~49900 的端口到内部容器开放的网络端口。

docker run -d -P nginx

docker ps
CONTAINER ID        IMAGE               COMMAND                  CREATED             STATUS              PORTS                                         NAMES
3a5ec1bc2837        nginx               "nginx -g 'daemon ..."   About an hour ago   Up About an hour    0.0.0.0:2049->80/tcp, 0.0.0.0:2048->443/tcp   adoring_pike

经过docker logs查看应用信息

[root@node1 ~]# docker logs -f adoring_pike 
172.17.0.1 - - [30/Mar/2017:15:02:40 +0000] "GET / HTTP/1.1" 200 612 "-" "curl/7.29.0" "-"
10.0.7.1 - - [30/Mar/2017:15:02:47 +0000] "GET / HTTP/1.1" 200 612 "-" "curl/7.29.0" "-"

-p（小写的）则能够指定要映射的端口，而且，在一个指定端口上只能够绑定一个容器。支持的格式有ip:hostPort:containerPort | ip::containerPort | hostPort:containerPort。

映射到本机全部IP的 80 端口映射到容器的 80 端口

docker run -d -p 80：80 nginx

查看映射的端口

docker port adoring_pike

容器互联

使用 --link 参数可让容器之间安全的进行交互。
下面先建立一个新的数据库容器。

docker run -d --name db training/postgres

而后建立一个 web 容器，并将它链接到 db 容器

docker run -d -P --name web --link db:db training/webapp python app.py

此时，db 容器和 web 容器创建互联关系。

--link 参数的格式为 --link name:alias，其中 name 是要连接的容器的名称，alias 是这个链接的别名。

使用 env 命令来查看 web 容器的环境变量

[root@node1 ~]# docker run --rm --name web2 --link db:db training/webapp env
PATH=/usr/local/sbin:/usr/local/bin:/usr/sbin:/usr/bin:/sbin:/bin
HOSTNAME=f2868b0479d8
DB_PORT=tcp://172.17.0.8:5432
DB_PORT_5432_TCP=tcp://172.17.0.8:5432
DB_PORT_5432_TCP_ADDR=172.17.0.8
DB_PORT_5432_TCP_PORT=5432
DB_PORT_5432_TCP_PROTO=tcp
DB_NAME=/web2/db
DB_ENV_PG_VERSION=9.3
HOME=/root

其中 DB_ 开头的环境变量是供 web 容器链接 db 容器使用，前缀采用大写的链接别名。

除了环境变量，Docker 还添加 host 信息到父容器的 /etc/hosts 的文件。下面是父容器 web 的 hosts 文件

[root@node1 ~]# docker run -t -i --rm --link db:db training/webapp /bin/bash
root@8299f9685894:/opt/webapp# cat /etc/hosts
127.0.0.1    localhost
::1    localhost ip6-localhost ip6-loopback
fe00::0    ip6-localnet
ff00::0    ip6-mcastprefix
ff02::1    ip6-allnodes
ff02::2    ip6-allrouters
172.17.0.8    db d65ebb9124a4
172.17.0.10    8299f9685894

docker的网络模式

Docker的网络模式分为四种

Bridge模式

当Docker进程启动时，会在主机上建立一个名为docker0的虚拟网桥，此主机上启动的Docker容器会链接到这个虚拟网桥上。虚拟网桥的工做方式和物理交换机相似，这样主机上的全部容器就经过交换机连在了一个二层网络中。

从docker0子网中分配一个IP给容器使用，并设置docker0的IP地址为容器的默认网关。在主机上建立一对虚拟网卡veth pair设备，Docker将veth pair设备的一端放在新建立的容器中，并命名为eth0（容器的网卡），另外一端放在主机中，以vethxxx这样相似的名字命名，并将这个网络设备加入到docker0网桥中。能够经过brctl show命令查看。

bridge模式是docker的默认网络模式，不写--net参数，就是bridge模式。使用docker run -p时，docker实际是在iptables作了DNAT规则，实现端口转发功能。可使用iptables -t nat -vnL查看。

bridge模式以下图所示：

演示：

docker run -tid --net=bridge --name docker_bri1 ubuntu-base:v3
docker run -tid --net=bridge --name docker_bri2 ubuntu-base:v3

brctl show
docker exec -ti docker_bri1 /bin/bash
docker exec -ti docker_bri1 /bin/bash

ifconfig –a
route –n

Host模式

若是启动容器的时候使用host模式，那么这个容器将不会得到一个独立的Network Namespace，而是和宿主机共用一个Network Namespace。容器将不会虚拟出本身的网卡，配置本身的IP等，而是使用宿主机的IP和端口。可是，容器的其余方面，如文件系统、进程列表等仍是和宿主机隔离的。
Host模式以下图所示：

Container模式

这个模式指定新建立的容器和已经存在的一个容器共享一个 Network Namespace，而不是和宿主机共享。新建立的容器不会建立本身的网卡，配置本身的 IP，而是和一个指定的容器共享 IP、端口范围等。一样，两个容器除了网络方面，其余的如文件系统、进程列表等仍是隔离的。两个容器的进程能够经过 lo 网卡设备通讯。
Container模式示意图：

None模式

使用none模式，Docker容器拥有本身的Network Namespace，可是，并不为Docker容器进行任何网络配置。也就是说，这个Docker容器没有网卡、IP、路由等信息。须要咱们本身为Docker容器添加网卡、配置IP等。

Docker网络设置

配置 DNS

在docker run时使用如下参数：

参数	说明
-h HOSTNAME or --hostname=HOSTNAME	设定容器的主机名，它会被写到容器内的 /etc/hostname 和/etc/hosts。但它在容器外部看不到，既不会在 docker ps 中显示，也不会在其余的容器的/etc/hosts 看到。
--link=CONTAINER_NAME:ALIAS	选项会在建立容器的时候，添加一个其余容器的主机名到 /etc/hosts 文件中，让新容器的进程可使用主机名 ALIAS 就能够链接它。
--dns=IP_ADDRESS	添加 DNS 服务器到容器的 /etc/resolv.conf 中，让容器用这个服务器来解析全部不在 /etc/hosts 中的主机名。
--dns-search=DOMAIN	设定容器的搜索域，当设定搜索域为 .example.com 时，在搜索一个名为 host 的主机时，DNS 不只搜索host，还会搜索 host.example.com。注意：若是没有上述最后 2 个选项，Docker 会默认用主机上的 /etc/resolv.conf 来配置容器。

容器访问控制

容器访问外部网络

容器要想访问外部网络，须要本地系统的转发支持。在Linux 系统中，检查转发是否打开。

sysctl net.ipv4.ip_forward
net.ipv4.ip_forward = 1

容器之间访问

容器之间相互访问，须要两方面的支持。

容器的网络拓扑是否已经互联。默认状况下，全部容器都会被链接到 docker0 网桥上。
本地系统的防火墙软件 -- iptables 是否容许经过。

访问全部端口

当启动 Docker 服务时候，默认会添加一条转发策略到 iptables 的 FORWARD 链上。策略为经过（ACCEPT）仍是禁止（DROP）取决于配置 --icc=true（缺省值）仍是 --icc=false。固然，若是手动指定 --iptables=false 则不会添加 iptables 规则。

可见，默认状况下，不一样容器之间是容许网络互通的。若是为了安全考虑，能够在docker服务修改/usr/lib/systemd/system/docker.service启动时添加--icc=false。

访问指定端口

在经过 -icc=false 关闭网络访问后，能够经过 --link=CONTAINER_NAME:ALIAS 选项来访问容器的开放端口。

例如，在启动 Docker 服务时，能够同时使用 --icc=false --iptables=true 参数来关闭容许相互的网络访问，并让 Docker 能够修改系统中的 iptables 规则。

此时，系统中的 iptables 规则多是相似

iptables -nL
...
Chain FORWARD (policy ACCEPT)
target     prot opt source               destination
DROP       all  --  0.0.0.0/0            0.0.0.0/0
...

以后，启动容器（docker run）时使用 --link=CONTAINER_NAME:ALIAS 选项。Docker 会在 iptable中为两个容器分别添加一条 ACCEPT 规则，容许相互访问开放的端口（取决于 Dockerfile 中的 EXPOSE 行）。

当添加了 --link=CONTAINER_NAME:ALIAS 选项后，添加了 iptables 规则。

iptables -nL
...
Chain FORWARD (policy ACCEPT)
target     prot opt source               destination
ACCEPT     tcp  --  172.17.0.2           172.17.0.3           tcp spt:80
ACCEPT     tcp  --  172.17.0.3           172.17.0.2           tcp dpt:80
DROP       all  --  0.0.0.0/0            0.0.0.0/0

注意：--link=CONTAINER_NAME:ALIAS 中的 CONTAINER_NAME 目前必须是 Docker 分配的名字，或使用 --name 参数指定的名字。主机名则不会被识别。

配置 docker0 网桥

配置docekr服务的启动参数

--bip=CIDR -- IP 地址加掩码格式，例如 192.168.1.0/24
--mtu=BYTES -- 覆盖默认的 Docker mtu 配置

sed -ri  's@(ExecStart=.*)@\1 --bip=192.168.1.100/24 --mtu=1500@g' /usr/lib/systemd/system/docker.service
systemctl daemon-reload
systemctl start docker

自定义网桥

除了默认的 docker0 网桥，用户也能够指定网桥来链接各个容器。

在启动 Docker 服务的时候，使用 -b BRIDGE或--bridge=BRIDGE 来指定使用的网桥。

若是服务已经运行，那须要先中止服务，并删除旧的网桥。

systemctl stop docker
ip link set dev docker0 down
brctl delbr docker0

而后建立一个网桥 bridge0。

brctl addbr bridge0
ip addr add 192.168.10.10/24 dev bridge0
ip link set dev bridge0 up

查看确认网桥建立并启动。

[root@node1 ~]# ip addr show bridge0
4: bridge0: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc noqueue state UNKNOWN
    link/ether 66:8c:82:ec:4e:73 brd ff:ff:ff:ff:ff:ff
    inet 192.168.10.10/24 scope global bridge0
       valid_lft forever preferred_lft forever

配置 Docker 服务，默认桥接到建立的网桥上。

sed -ri  's@(ExecStart=.*)@\1 -b bridge0@g' /usr/lib/systemd/system/docker.service 
systemctl daemon-reload
systemctl start docker

启动 Docker 服务。新建一个容器，能够看到它已经桥接到了 bridge0 上。

能够继续用 brctl show 命令查看桥接的信息。另外，在容器中可使用 ip addr 和 ip route 命令来查看 IP 地址配置和路由信息。

[root@node1 ~]# docker run -dit centos /bin/bash
4d50cfe3a998a8597020a608d4713e3581094c9058425a4bc0652c934614713e
[root@node1 ~]# brctl show
bridge name    bridge id        STP enabled    interfaces
bridge0        8000.b6e3d8e984c5    no        vethe468bd3

建立一个点到点链接

默认状况下，Docker 会将全部容器链接到由 docker0 提供的虚拟子网中。

用户有时候须要两个容器之间能够直连通讯，而不用经过主机网桥进行桥接。
解决办法很简单：建立一对 peer 接口，分别放到两个容器中，配置成点到点链路类型便可。

首先启动 2 个容器：

docker run -dit --rm --net=none  --name test1 centos /bin/bash
docker run -dit --rm  --net=none --name test2 centos /bin/bash

找到进程号，而后建立网络命名空间的跟踪文件。

[root@node1 ~]# docker inspect -f '{{.State.Pid}}' test1
6006
[root@node1 ~]# docker inspect -f '{{.State.Pid}}' test2
6058
mkdir -p /var/run/netns
ln -s /proc/6006/ns/net /var/run/netns/6058
ln -s /proc/6058/ns/net /var/run/netns/6006

建立一对 peer 接口，而后配置路由

ip link add A type veth peer name B

ip link set A netns 6006
ip netns exec 6006 ip addr add 10.1.1.1/32 dev A
ip netns exec 6006 ip link set A up
ip netns exec 6006 ip route add 10.1.1.2/32 dev A

ip link set B netns 6058
ip netns exec 6058 ip addr add 10.1.1.2/32 dev B
ip netns exec 6058 ip link set B up
ip netns exec 6058 ip route add 10.1.1.1/32 dev B

如今这 2 个容器就能够相互 ping 通，并成功创建链接。点到点链路不须要子网和子网掩码。

此外，也能够不指定 --net=none 来建立点到点链路。这样容器还能够经过原先的网络来通讯。

利用相似的办法，能够建立一个只跟主机通讯的容器。可是通常状况下，更推荐使用 --icc=false 来关闭容器之间的通讯。

Docker跨主机容器互联

pipework

编辑本身的ifcfg-enoxxx网卡

vim /etc/sysconfig/network-scripts/ifcfg-eno16777728
TYPE="Ethernet"
DEVICE="eno16777728"
ONBOOT="yes"
BRIDGE=br0

编辑br0

vim /etc/sysconfig/network-scripts/ifcfg-br0
TYPE=Bridge
BOOTPROTO=static
IPADDR=10.0.7.1
NETMASK=255.255.0.0
GATEWAY=10.0.0.2
DNS1=10.0.0.2
NAME=br0
ONBOOT=yes
DEVICE=br0

安装

git clone https://github.com/jpetazzo/pipework.git
cp pipework/pipework /usr/bin/

启动docker

pipework br0 $(docker run -d -it --net=none  centos /bin/bash) 10.0.7.200/16@10.0.0.2

另外一台主机

pipework br0 $(docker run -d -it --net=none  centos /bin/bash) 10.0.7.201/16@10.0.0.2

重启容器后须要再次指定

pipework br0 elegant_jepsen  10.0.0.200/16@10.0.0.2

flannel

在kubernetes中有提到。

使用Supervisor来管理进程

Docker 容器在启动的时候开启单个进程，若是须要在一个服务器上开启多个服务，最简单的就是把多个启动命令放到一个启动脚本里面，启动的时候直接启动这个脚本，另外就是安装进程管理工具。

咱们演示一下如何同时使用 ssh 和 apache 服务。

建立dockerfile

[root@node1 ~]# mkdir httpd && cd httpd
[root@node1 httpd]# cat Dockerfile
FROM centos
MAINTAINER  admin@test.com
RUN yum -y install epel-release
RUN yum -y install openssh-server openssh openssh-clients httpd supervisor
RUN mkdir -p /var/run/sshd &&\
    mkdir -p /var/log/supervisor &&\
    #centos镜像sshd远程链接直接断开解决办法
    sed -i  's@session    required     pam_loginuid.so@#&@g' /etc/pam.d/sshd &&\
    /usr/bin/ssh-keygen -t ed25519 -f /etc/ssh/ssh_host_ed25519_key -N '' &&\
    /usr/bin/ssh-keygen -f /etc/ssh/ssh_host_rsa_key &&\
    /usr/bin/ssh-keygen -t dsa -f /etc/ssh/ssh_host_dsa_key &&\
    echo "123456"|passwd root --stdin
COPY supervisord.conf /etc/supervisord.conf
EXPOSE 22 80
CMD ["/usr/bin/supervisord"]

建立supervisor.conf

[root@node1 httpd]# cat supervisord.conf
#配置supervisord，使用 nodaemon 参数来运行
[supervisord]
nodaemon=true

#启动ssh，
[program:sshd]
command=/usr/sbin/sshd -D
#启动httpd，
[program:httpd]
command=/usr/sbin/httpd

建立镜像

docker build -t test/supervisord .

启动 supervisor 容器

docker run -p 22 -p 80 -t -i test/supervisord

Docker Harbor

Harbor 是一个企业级的 Docker Registry，能够实现 images 的私有存储和日志统计权限控制等功能，并支持建立多项目(Harbor 提出的概念)，基于官方 Registry V2 实现。

安装docker

tee -a /etc/sysctl.conf << EOF
net.bridge.bridge-nf-call-ip6tables = 1
net.bridge.bridge-nf-call-iptables = 1
EOF
sysctl -p
tee /etc/yum.repos.d/docker.repo <<-'EOF'
[dockerrepo]
name=Docker Repository
baseurl=https://mirrors.tuna.tsinghua.edu.cn/docker/yum/repo/centos7/
enabled=1
gpgcheck=1
gpgkey=https://mirrors.tuna.tsinghua.edu.cn/docker/yum/gpg
EOF
yum -y install  docker-engine
systemctl enable docker
systemctl start docker
sed -i "s|ExecStart=/usr/bin/dockerd|ExecStart=/usr/bin/dockerd --registry-mirror=https://fz5yth0r.mirror.aliyuncs.com|g" /usr/lib/systemd/system/docker.service
systemctl daemon-reload
systemctl restart docker

安装docker-compose

curl -L https://github.com/docker/compose/releases/download/1.7.0/docker-compose-`uname -s`-`uname -m` > /usr/local/bin/docker-compose
chmod +x /usr/local/bin/docker-compose

下载源代码

wget https://github.com/vmware/harbor/releases/download/v1.1.1-rc1/harbor-online-installer-v1.1.1-rc1.tgz
tar  xf harbor-online-installer-v1.1.1-rc1.tgz

配置ssl，参考上面的registry

touch /etc/pki/CA/{index.txt,serial}
echo 01 > /etc/pki/CA/serial
(umask 077;openssl genrsa -out  /etc/pki/CA/private/cakey.pem 2048)
openssl req -new -x509 -key  /etc/pki/CA/private/cakey.pem -out /etc/pki/CA/cacert.pem -days 3650
#填写的信息
Country Name (2 letter code) [XX]:CN
State or Province Name (full name) []:Beijing
Locality Name (eg, city) [Default City]:Beijing
Organization Name (eg, company) [Default Company Ltd]:harbor 
Organizational Unit Name (eg, section) []:ops
Common Name (eg, your name or your server's hostname) []:harbor.com
Email Address []:admin@harbor.com

cat /etc/pki/CA/cacert.pem >> /etc/pki/tls/certs/ca-bundle.crt
mkdir -p /root/cert
(umask 077;openssl genrsa -out /root/cert/harbor.key 2048)
openssl req -new -key /root/cert/harbor.key -out /root/cert/harbor.csr
#和上面的信息同样
openssl ca -in /root/cert/harbor.csr -out /root/cert/harbor.crt -days 3650

#docker建立根证书
mkdir -p /etc/docker/certs.d/harbor.com
cp /etc/pki/CA/cacert.pem /etc/docker/certs.d/harbor.com/ca.crt
systemctl daemon-reload
systemctl restart docker

修改配置文件

vim harbor/harbor.cfg

hostname = harbor.com
ui_url_protocol = https
db_password = 123456
ssl_cert = /root/cert/harbor.crt
ssl_cert_key = /root/cert/harbor.key
harbor_admin_password = 123456

安装

cd harbor
./install.sh

经常使用操做，在harbor目录下

#启动
docker-compose start
#关闭
docker-compose stop
#修改配置文件步骤
docker-compose down -v
vim harbor.cfg
./prepare 
docker-compose up -d
docker-compose start

修改hosts

vim /etc/hosts
10.0.7.1 harbor.com

登录测试

[root@node1 harbor]# docker login harbor.com
Username: admin
Password: 
Login Succeeded

其余主机测试

#建立一个文件夹
mkdir -p /etc/docker/certs.d/harbor.com
#把证书复制过去
scp /etc/docker/certs.d/harbor.com/ca.crt 10.0.7.2:/etc/docker/certs.d/harbor.com/ca.crt
systemctl daemon-reload
systemctl restart docker

vim /etc/hosts
10.0.7.1 harbor.com


[root@node2 ~]# docker login harbor.com
Username: admin
Password: 
Login Succeeded

windows测试

若是使用http，使用如下配置

vim harbor/harbor.cfg
ui_url_protocol = http

修改docker启动参数，添加
--insecure-registry

上传镜像测试

docker pull centos
docker tag centos harbor.com/library/centos
docker push harbor.com/library/centos

添加系统用户

为项目添加用户

项目管理员和开发人员能够push 和pull镜像，
访客只能pull镜像。

使用test做为开发人员测试

[root@node2 ~]# docker login harbor.com
Username (admin): test
Password: 
Login Succeeded

docker pull busybox
docker tag centos harbor.com/library/busybox
docker push harbor.com/library/busybox

看日志为test提交了一个busybox镜像