Docker 基础知识

最新推荐文章于 2024-04-28 13:12:53 发布

莫~留

最新推荐文章于 2024-04-28 13:12:53 发布

阅读量581

点赞数

CC 4.0 BY-SA版权

分类专栏： docker 文章标签： docker

本文链接：https://blog.youkuaiyun.com/liujun19930313/article/details/80504045

docker 专栏收录该内容

1 篇文章

订阅专栏

一、Docker 组件

客户端和服务器即docker引擎

docker 是一个客户端/服务器（C/S）架构程序。客户端只需向docker服务器或守护进程发出请求，服务器或守护进程完成所有工作并返回结果。

docker 镜像

镜像是docker的基石，用户基于镜像来运行自己的容器。镜像是docker生命周期中的构建部分。
镜像是基于联合文件系统的一种层式结构，有一系列指令一步一步构建出来。

register

用来存储用户构建的镜像。
register分为公有和私有。

docker 容器

容器是docker启动或执行阶段
一个镜像格式
一系列标准化操作
一个执行环境

二、docker 守护进程

docker守护进程：docker daemon

配置docker守护进程

修改docker守护进程网络，可以使用-H标志调整守护进程绑定监听接口的方式

$ sudo docker daemon -H tcp://0.0.0.0:2375

使用DOCKER_HOST环境变量指定服务器地址

$ export DOCKER_HOST="tcp://0.0.0.0:2375"

可以将docker 守护进程绑定到非默认套接字

$ sudo docker daemon -H unix://home/docker/docker.sock

也可以同时指定多个绑定地址

$ sudo docker daemon -H tcp://0.0.0.0:2375 -H unix://home/docker/docker.sock

如果docker运行在代理或公司防火墙之后，也可以使用HTTPS_PROXY、HTTP_PROXY和NO_PROXY控制守护进程如何连接

检查docker守护进程是否正在运行

检查docker守护进程状态

$ sudo status docker
docker start/running, process 18147

用Upstart启动和停止docker守护进程

$ sudo stop docker
docker stop/waiting
$ sudo start docker
docker start/running, process 18192

三、运行docker

$ sudo docker run-i -t ubuntu /bin/bash

-i:标志保证容器中STDIN是开启的；
-t:告诉docker为创建的容器分配一个伪tty终端

docker 基本操作

1.查看docker容器列表

# 所有容器列表
$ docker ps -a
# 正在运行的docker
$ docker ps
# 最后一个运行的容器
$ docker ps -l

2.容器命名

$ sudo docker run --name container -i -t ubuntu /bin/bash

3.删除容器

$ sudo docker rm container_id
# 删除所有容器(-q表示只返回容器id)
$ sudo docker rm `sudo docker ps -a -q`

4.重新启动已经停止的容器

# 容器名
$ sudo docker start container_name
# 容器id
$ sudo docker start container_id
# restart
$ sudo docker restart

5.创建一个容器但不运行

$ sudo docker create

6.附着到容器上

$ sudo docker attach container_name

7.创建守护式容器

$ sudo docker run --name container_name -d ubuntu /bin/bash

8.获取docker日志

# 跟踪容器日志
$ sudo docker logs -f container_name

–tail:获取日志中某一片段

9.docker日志驱动
–log-driver:重定向日志输出，包括json-file、syslog，为none时docker logs被禁用

10.查看容器内进程

$ sudo docker top container_name

11.docker统计信息

$ sudo docker stats container_name

12.容器内运行进程

$ sudo docker exec -d container_name touch /etc/new_config_file

在容器内运行交互命令

$ sudo docker exec -t -i container_name /bin/bash

13.停止守护式容器

$ sudo docker stop contianer_name
$ sudo docker stop container_id

14.自动重启容器
–restart:重启标志，always、on-failure:count(容器退出的代码为非0值时最多自动重启count次)

$ sudo docker run --restart=always --name container_name -d ubuntu /bin/bash

15.深入容器

$ sudo docker inspect container_name
# -f 或 --format标志选定查看结果
$ sudo docker inspect --format='{{.State.Runnig}}' container_name

16.容器互联
使用 --link 参数可以让容器之间安全的进行交互。

$ sudo docker run -d --name db training/postgres
$ sudo docker run -d -P --name web --link db:db training/webapp python app.py

--link 参数的格式为 --link name:alias，其中 name 是要链接的容器的名称，alias是这个连接的别名。

四、docker镜像和仓库

1.什么是docker镜像

docker镜像：由文件系统叠加而成，最底端是一个引导文件系统。一个镜像可以放到另一个镜像的顶部

2.列出docker镜像

# 列出docker镜像
$ sudo docker images
# 拉取docker镜像
$ sudo docker pull ubuntu

注意：本地镜像保存在/var/lib/docker目录下，容器位于/var/lib/docker/containers目录下
构建镜像时指定仓库的标签

3.查找镜像

$ sudo docker search image_name:tag

4.构建镜像

使用docker commit命令
使用docker build 命令和dockerfile文件

# Version: 0.0.1
# 基础镜像，必须有
FROM ubuntu:14.04
# 镜像作者
MAINTAINER James Turnbull "James@example.com"
RUN apt-get update && apt-get install -y nginx
RUN echo 'Hi, I am in your container' >/usr/share/nginx/html/index.html
EXPOSE 80

用dockerfile创建镜像，docker执行流程:

Docker 从基础镜像运行一个容器。
执行一条命令，对容器做出修改
执行类似docker commit 的操作，提交一个新的镜像层
Docker再基于刚提交的镜像运行一个新容器
执行Dockerfile中的下一条指令，直到所有指令都执行完毕

如果用户的Dockerfile由于某些原因（如某条指令失败了）没有正常结束，那么用户将得到了一个可以使用的镜像。
1）.每个dockerfile的第一条指令必须是FROM，指定一个已存在的基础镜像。
2）.指定MAINTAINER,告诉docker镜像作者及相关联系方式。
3）.指定RUN指令，在当前镜像中执行该命令。
4）.设置EXPOSE指令，告诉docker该容器内的应用程序将会使用容器的指定端口。

5.基于dockerfile构建新镜像

执行docker build命令, -t设置仓库和镜像名,还可以添加标签，没有指定标签，默认设置一个latest标签。

$ sudo docker build -t="test/demo:v1"

6.Dokerfile和构建缓存

docker构建镜像会将之前的镜像看作缓存，其会从出错的地方再构建，而不是从头再来，如果dockerfile发生变化，会从变化的地放开始进行构建，忽略缓存可以使用docker build --no-cache标志

6.1 dockerfile基本结构

Dockerfile 由一行行命令语句组成，并且支持以 # 开头的注释行。

一般的，Dockerfile 分为四部分：基础镜像信息、维护者信息、镜像操作指令和容器启动时执行指令。

# This dockerfile uses the ubuntu image
# VERSION 2 - EDITION 1
# Author: docker_user
# Command format: Instruction [arguments / command] ..

# Base image to use, this must be set as the first line
FROM ubuntu

# Maintainer: docker_user <docker_user at email.com> (@docker_user)
MAINTAINER docker_user docker_user@email.com

# Commands to update the image
RUN echo "deb http://archive.ubuntu.com/ubuntu/ raring main universe" >> /etc/apt/sources.list
RUN apt-get update && apt-get install -y nginx
RUN echo "\ndaemon off;" >> /etc/nginx/nginx.conf

# Commands when creating a new container
CMD /usr/sbin/nginx

一开始必须指明所基于的镜像名称，接下来推荐说明维护者信息。

后面则是镜像操作指令，例如 RUN 指令，RUN 指令将对镜像执行跟随的命令。每运行一条 RUN 指令，镜像添加新的一层，并提交。

最后是 CMD 指令，来指定运行容器时的操作命令。

7.查看新镜像和镜像构建历史

docker images
docker history image_id

8.从新镜像启动容器

$ sudo docker run -d -p 8080:80 --name demo

docker inspect 或docker port查看容器内的80端口绑定到宿主机的哪个端口上。
也可以使用 -p对外公开dockerfile中EXPOSE指令公开的多有端口

9.Dockerfile指令

指令的一般格式为 INSTRUCTION arguments，指令包括 FROM、MAINTAINER、RUN 等。

9.1 FROM

格式为 FROM <image>或FROM <image>:<tag>。

第一条指令必须为 FROM 指令。并且，如果在同一个Dockerfile中创建多个镜像时，可以使用多个 FROM 指令（每个镜像一次）。

9.2 MAINTAINER

格式为 MAINTAINER <name>，指定维护者信息。

9.3 RUN

格式为 RUN <command> 或 RUN ["executable", "param1", "param2"]。

前者将在 shell 终端中运行命令，即 /bin/sh -c；后者则使用 exec 执行。指定使用其它终端可以通过第二种方式实现，例如 RUN ["/bin/bash", "-c", "echo hello"]。

每条 RUN 指令将在当前镜像基础上执行指定命令，并提交为新的镜像。当命令较长时可以使用 \ 来换行。

9.4 CMD

用于指定一个容器启动时要运行的命令
支持三种格式

CMD ["executable","param1","param2"]使用 exec 执行，推荐方式；
CMD command param1 param2 在 /bin/sh 中执行，提供给需要交互的应用；
CMD ["param1","param2"] 提供给 ENTRYPOINT 的默认参数；
指定启动容器时执行的命令，每个 Dockerfile只能有一条 CMD 命令。如果指定了多条命令，只有最后一条会被执行。

如果用户启动容器时候指定了运行的命令，则会覆盖掉 CMD 指定的命令。

9.5 EXPOSE

格式为 EXPOSE <port> [<port>...]。

告诉 Docker 服务端容器暴露的端口号，供互联系统使用。在启动容器时需要通过 -P，Docker 主机会自动分配一个端口转发到指定的端口。

9.6 ENV

用来在镜像构建过程中设置环境变量。
格式为 ENV <key> <value>。指定一个环境变量，会被后续 RUN 指令使用，并在容器运行时保持。

# dockerfile 中设置环境变量
ENV RVM_PATH /home/rvm
	
# run 指令设置前缀
RUN gem install unicorn
	
# 添加ENV前缀后执行
RVM_PATH=/home/rvm gem install unicorn

# 使用ENV设置多个环境变量
ENV RVM_PATH=/home/rvm RVM_ARCHFALAGS="-arch i386"
	
# 在其他dockerfile指令中使用环境变量
ENV TARGET_DIR /opt/app
WORKDIR $TARGET_DIR

注意：可以使用docker run命令-e标志传递环境变量。

9.7 ADD

格式为 ADD <src> <dest>。

该命令将复制指定的 <src> 到容器中的 <dest>。其中 <src> 可以是Dockerfile所在目录的一个相对路径；也可以是一个 URL；还可以是一个 tar 文件（自动解压为目录）。

add在处理归档文件时指定归档文件为原文件，docker会自动将归档文件解开。目标文件位置不存在时，docker会自动创建全路径。
ADD指令会使构建缓存变得无效，如果通过ADD指令向镜像中添加一个文件或目录会使dockerfile中后续指令都不能继续使用之前的构建缓存。

9.8 COPY

格式为 COPY <src> <dest>。

复制本地主机的 <src>（为 Dockerfile 所在目录的相对路径）到容器中的 <dest>。

当使用本地目录为源目录时，推荐使用 COPY。
COPY指令类似ADD，但其只关心在构建上下文中复制本地文件。
文件源路径必须是一个与当前构建环境相对的文件或目录，本地文件都和dockerfile位于同一级目录下。
目的位置必须是容器内部的一个绝对路径。目的位置不存在会创建所有需要的目录结构。

9.9 ENTRYPOINYT

两种格式：

ENTRYPOINT ["executable", "param1", "param2"]
ENTRYPOINT command param1 param2（shell中执行）。
配置容器启动后执行的命令，并且不可被 docker run 提供的参数覆盖。

每个 Dockerfile 中只能有一个 ENTRYPOINT，当指定多个时，只有最后一个起效。
docker run命令指定的任何参数都会被当作参数再次传递给ENTRYPOINT指令中指定的命令。

ENTRYPOINT ["/usr/sbin/nginx"]

注意：用户也可以在docker run --entrypoint标志覆盖ENTRYPOINT指令。

9.10 VOLUME

用来向基于镜像创建的容器添加卷。一个卷是可以存在于一个或多个容器内的特定目录，这个目录可以绕过联合文件系统，并提供如下共享数据或者对数据进行持久化功能。

卷可以在容器间共享和重用
一个容器可以不是必须和其他容器共享卷
对卷的修改是即时生效的
对卷的修改不会对更新镜像产生影响
卷会一直存在直到没有容器再使用它

卷功能能让我们将数据，数据库或者其他内容添加到镜像中而不是将这些内容提交到镜像中，且允许我们在多个容器间共享这些内容。

VOLUME ["/opt/project"]

9.11 USER

用来指定镜像会以什么样的用户去运行。

USER user:group
USER uid:gid
USER uid:group
USER user:gid

也可以在docker run 命令中通过 -u标志覆盖该值，不指定时默认为root

指定运行容器时的用户名或 UID，后续的 RUN 也会使用指定用户。

当服务不需要管理员权限时，可以通过该命令指定运行用户。并且可以在之前创建所需要的用户，例如：RUN groupadd -r postgres && useradd -r -g postgres postgres。要临时获取管理员权限可以使用 gosu，而不推荐 sudo。

9.12 WORKDIR

用来在从镜像创建一个新容器时，在容器内部设置一个工作目录，ENTRYPOINT/CMD指定的程序会在这个目录中执行。

WORKDIR /opt/webapp/db
RUN bundle install
WORKDIR /opt/webapp
ENTRYPOINT ["rackup"]

注意：覆盖工作目录-w

$ sudo docker run -ti -w /var/log ubuntu pwd

9.13 LABEL

LABEL指令用于为docker镜像添加元数据，以键值对形式展示。

LABEL version="1.0"
LABEL location="New York" type="Data Center" role="Web Server"

可以在每一条指令中指定一个或多个元数据，不同元数据之间用空格隔开。

9.14 STOPSIGNAL

STOPSIGNAL指令用来设置停止容器时发送什么系统调用信号给容器。这个信号必须是内核系统调用表中合法的数，如9，或者SIGNAME格式中的信号名称，如SIGKILL。

9.15 ARG

ARG指令用来定义可以在docker build命令运行时传递给构建运行时的变量，我们只需要在构建时使用–build-arg标志即可。用户只能在构建时指定在dockerfile文件中定义过的参数

ARG build
ARG webapp_user=user

$ docker build --build-arg build=1234 -t jamtur01/webapp

9.16 ONBUILD

ONBUILD指令能为镜像添加触发器。当一个镜像被使用做其他镜像的基础镜像时，该镜像中的触发器会被执行。触发器会在构建过程中插入新指令，我们可以认为这些指令是跟在FROM之后指定的。

ONBUILD ADD . /app/src
ONBUILD RUN cd /app/src && make

五、容器网络设置

1.快速配置

其中有些命令选项只有在 Docker 服务启动的时候才能配置，而且不能马上生效。

-b BRIDGE or –bridge=BRIDGE –指定容器挂载的网桥
–bip=CIDR –定制 docker0 的掩码
-H SOCKET… or –host=SOCKET… –Docker 服务端接收命令的通道
–icc=true|false –是否支持容器之间进行通信
–ip-forward=true|false –请看下文容器之间的通信
–iptables=true|false –禁止 Docker 添加 iptables 规则
–mtu=BYTES –容器网络中的 MTU

下面命令选项既可以在启动服务时指定，也可以 Docker 容器启动（docker run）时候指定。在 Docker 服务启动的时候指定则会成为默认值，后面执行 docker run 时可以覆盖设置的默认值。

–dns=IP_ADDRESS… –使用指定的DNS服务器
–dns-search=DOMAIN… –指定DNS搜索域

下面这些选项只有在 docker run 执行时使用，因为它是针对容器的特性内容。

-h HOSTNAME or –hostname=HOSTNAME –配置容器主机名
–link=CONTAINER_NAME:ALIAS –添加到另一个容器的连接
–net=bridge|none|container:NAME_or_ID|host –配置容器的桥接模式
-p SPEC or –publish=SPEC –映射容器端口到宿主主机
-P or –publish-all=true|false –映射容器所有端口到宿主主机

2.配置DNS

Docker 没有为每个容器专门定制镜像，那么怎么自定义配置容器的主机名和 DNS 配置呢？秘诀就是它利用虚拟文件来挂载到来容器的 3 个相关配置文件。

在容器中使用 mount 命令可以看到挂载信息：

$ mount
...
/dev/disk/by-uuid/1fec...ebdf on /etc/hostname type ext4 ...
/dev/disk/by-uuid/1fec...ebdf on /etc/hosts type ext4 ...
tmpfs on /etc/resolv.conf type tmpfs ...
...

这种机制可以让宿主主机 DNS 信息发生更新后，所有 Docker 容器的 dns 配置通过 /etc/resolv.conf 文件立刻得到更新。

-h HOSTNAME or --hostname=HOSTNAME 设定容器的主机名，它会被写到容器内的 /etc/hostname 和/etc/hosts。但它在容器外部看不到，既不会在 docker ps 中显示，也不会在其他的容器的 /etc/hosts 看到。

--link=CONTAINER_NAME:ALIAS 选项会在创建容器的时候，添加一个其他容器的主机名到 /etc/hosts 文件中，让新容器的进程可以使用主机名 ALIAS 就可以连接它。

--dns=IP_ADDRESS 添加 DNS 服务器到容器的 /etc/resolv.conf 中，让容器用这个服务器来解析所有不在/etc/hosts 中的主机名。

--dns-search=DOMAIN 设定容器的搜索域，当设定搜索域为 .example.com 时，在搜索一个名为 host 的主机时，DNS 不仅搜索host，还会搜索 host.example.com。
注意：如果没有上述最后 2 个选项，Docker 会默认用主机上的 /etc/resolv.conf 来配置容器。

3.容器访问控制

容器的访问控制，主要通过 Linux 上的 iptables 防火墙来进行管理和实现。iptables 是 Linux 上默认的防火墙软件，在大部分发行版中都自带。

3.1 容器访问外部网络

容器要想访问外部网络，需要本地系统的转发支持。在Linux 系统中，检查转发是否打开。

$sysctl net.ipv4.ip_forward
net.ipv4.ip_forward = 1

手动打开

$sysctl -w net.ipv4.ip_forward=1

如果在启动 Docker 服务的时候设定 --ip-forward=true, Docker 就会自动设定系统的 ip_forward 参数为 1。

3.2 容器之间访问

容器之间相互访问，需要两方面的支持。

容器的网络拓扑是否已经互联。默认情况下，所有容器都会被连接到 docker0 网桥上。
本地系统的防火墙软件 --iptables 是否允许通过。

3.2.1 访问所有端口

当启动 Docker 服务时候，默认会添加一条转发策略到 iptables 的 FORWARD 链上。策略为通过（ACCEPT）还是禁止（DROP）取决于配置--icc=true（缺省值）还是 --icc=false。当然，如果手动指定 --iptables=false 则不会添加 iptables 规则。

可见，默认情况下，不同容器之间是允许网络互通的。如果为了安全考虑，可以在 /etc/default/docker 文件中配置 DOCKER_OPTS=--icc=false 来禁止它。

3.2.2 访问指定端口

在通过 -icc=false 关闭网络访问后，还可以通过 --link=CONTAINER_NAME:ALIAS 选项来访问容器的开放端口。

例如，在启动 Docker 服务时，可以同时使用 icc=false --iptables=true 参数来关闭允许相互的网络访问，并让 Docker 可以修改系统中的 iptables 规则。

此时，系统中的 iptables 规则可能是类似

$ sudo iptables -nL
...
Chain FORWARD (policy ACCEPT)
target     prot opt source               destination
DROP       all  --  0.0.0.0/0            0.0.0.0/0
...

之后，启动容器（docker run）时使用 --link=CONTAINER_NAME:ALIAS 选项。Docker 会在 iptable 中为两个容器分别添加一条 ACCEPT 规则，允许相互访问开放的端口（取决于 Dockerfile 中的 EXPOSE 行）。

当添加了 --link=CONTAINER_NAME:ALIAS 选项后，添加了 iptables 规则。

$ sudo iptables -nL
...
Chain FORWARD (policy ACCEPT)
target     prot opt source               destination
ACCEPT     tcp  --  172.17.0.2           172.17.0.3           tcp spt:80
ACCEPT     tcp  --  172.17.0.3           172.17.0.2           tcp dpt:80
DROP       all  --  0.0.0.0/0            0.0.0.0/0

注意：--link=CONTAINER_NAME:ALIAS 中的 CONTAINER_NAME 目前必须 Docker 分配的名字，或使用 --name参数指定的名字。主机名则不会被识别。

4.映射容器端口到宿主主机的实现

默认情况下，容器可以主动访问到外部网络的连接，但是外部网络无法访问到容器。

4.1 容器访问外部实现

容器所有到外部网络的连接，源地址都会被NAT成本地系统的IP地址。这是使用 iptables 的源地址伪装操作实现的。

查看主机的 NAT 规则。

$ sudo iptables -t nat -nL
...
Chain POSTROUTING (policy ACCEPT)
target     prot opt source               destination
MASQUERADE  all  --  172.17.0.0/16       !172.17.0.0/16
...

其中，上述规则将所有源地址在 172.17.0.0/16 网段，目标地址为其他网段（外部网络）的流量动态伪装为从系统网卡发出。MASQUERADE 跟传统 SNAT 的好处是它能动态从网卡获取地址。

4.2 外部访问容器实现

容器允许外部访问，可以在 docker run 时候通过 -p 或 -P 参数来启用。

不管用那种办法，其实也是在本地的 iptable 的 nat 表中添加相应的规则。

使用 -P 时：

$ iptables -t nat -nL
...
Chain DOCKER (2 references)
target     prot opt source               destination
DNAT       tcp  --  0.0.0.0/0            0.0.0.0/0            tcp dpt:49153 to:172.17.0.2:80

使用 -p 80:80 时：

$ iptables -t nat -nL
Chain DOCKER (2 references)
target     prot opt source               destination
DNAT       tcp  --  0.0.0.0/0            0.0.0.0/0            tcp dpt:80 to:172.17.0.2:80

注意：

这里的规则映射了 0.0.0.0，意味着将接受主机来自所有接口的流量。用户可以通过 -p IP:host_port:container_port 或 -p IP::port来指定允许访问容器的主机上的 IP、接口等，以制定更严格的规则。
如果希望永久绑定到某个固定的 IP 地址，可以在 Docker 配置文件 /etc/default/docker 中指定DOCKER_OPTS="--ip=IP_ADDRESS"，之后重启 Docker 服务即可生效。

5.配置 docker0 网桥

Docker 服务默认会创建一个 docker0 网桥（其上有一个 docker0 内部接口），它在内核层连通了其他的物理或虚拟网卡，这就将所有容器和本地主机都放到同一个物理网络。

Docker 默认指定了 docker0 接口的 IP 地址和子网掩码，让主机和容器之间可以通过网桥相互通信，它还给出了 MTU（接口允许接收的最大传输单元），通常是 1500 Bytes，或宿主主机网络路由上支持的默认值。这些值都可以在服务启动的时候进行配置。

--bip=CIDR — IP 地址加掩码格式，例如 192.168.1.5/24
--mtu=BYTES — 覆盖默认的 Docker mtu 配置
也可以在配置文件中配置 DOCKER_OPTS，然后重启服务。由于目前 Docker 网桥是 Linux 网桥，用户可以使用 brctl show 来查看网桥和端口连接信息。

$ sudo brctl show
bridge name     bridge id               STP enabled     interfaces
docker0         8000.3a1d7362b4ee       no              veth65f9

*注：brctl命令在 Debian、Ubuntu 中可以使用 sudo apt-get install bridge-utils 来安装。
每次创建一个新容器的时候，Docker 从可用的地址段中选择一个空闲的 IP 地址分配给容器的 eth0 端口。使用本地主机上 docker0 接口的 IP 作为所有容器的默认网关。

6.自定义网桥

除了默认的 docker0 网桥，用户也可以指定网桥来连接各个容器。

在启动 Docker 服务的时候，使用 -b BRIDGE或--bridge=BRIDGE 来指定使用的网桥。

如果服务已经运行，那需要先停止服务，并删除旧的网桥。
删除旧网桥：

$ sudo service docker stop
$ sudo ip link set dev docker0 down
$ sudo brctl delbr docker0

创建新网桥并查看确认启动

$ sudo brctl addbr bridge0
$ sudo ip addr add 192.168.5.1/24 dev bridge0
$ sudo ip link set dev bridge0 up
$ ip addr show bridge0

配置docker，默认桥接到创建的网桥上。

$ echo 'DOCKER_OPTS="-b=bridge0"' >> /etc/default/docker
$ sudo service docker start

启动 Docker 服务。新建一个容器，可以看到它已经桥接到了 bridge0 上。

可以继续用 brctl show命令查看桥接的信息。另外，在容器中可以使用 ip addr 和 ip route 命令来查看 IP 地址配置和路由信息。

7.编辑网络配置文件

Docker 1.2.0 开始支持在运行中的容器里编辑 /etc/hosts, /etc/hostname 和 /etc/resolve.conf 文件。

但是这些修改是临时的，只在运行的容器中保留，容器终止或重启后并不会被保存下来。也不会被 docker commit 提交。

8.创建一个点到点连接

用户有时候需要两个容器之间可以直连通信，而不用通过主机网桥进行桥接。

解决办法很简单：创建一对 peer 接口，分别放到两个容器中，配置成点到点链路类型即可。

首先启动 2 个容器：

$ sudo docker run -i -t --rm --net=none base /bin/bash
root@1f1f4c1f931a:/#
$ sudo docker run -i -t --rm --net=none base /bin/bash
root@12e343489d2f:/#

找到进程号，然后创建网络名字空间的跟踪文件：

$ sudo docker inspect -f '{{.State.Pid}}' 1f1f4c1f931a
2989
$ sudo docker inspect -f '{{.State.Pid}}' 12e343489d2f
3004
$ sudo mkdir -p /var/run/netns
$ sudo ln -s /proc/2989/ns/net /var/run/netns/2989
$ sudo ln -s /proc/3004/ns/net /var/run/netns/3004

创建一对 peer 接口，然后配置路由：

$ sudo ip link add A type veth peer name B

$ sudo ip link set A netns 2989
$ sudo ip netns exec 2989 ip addr add 10.1.1.1/32 dev A
$ sudo ip netns exec 2989 ip link set A up
$ sudo ip netns exec 2989 ip route add 10.1.1.2/32 dev A

$ sudo ip link set B netns 3004
$ sudo ip netns exec 3004 ip addr add 10.1.1.2/32 dev B
$ sudo ip netns exec 3004 ip link set B up
$ sudo ip netns exec 3004 ip route add 10.1.1.1/32 dev B

现在这 2 个容器就可以相互 ping 通，并成功建立连接。点到点链路不需要子网和子网掩码。

此外，也可以不指定 --net=none 来创建点到点链路。这样容器还可以通过原先的网络来通信。

利用类似的办法，可以创建一个只跟主机通信的容器。但是一般情况下，更推荐使用 --icc=false 来关闭容器之间的通信。