Docker是一种轻量级的虚拟化技术,通过分层存储实现高效利用系统资源。镜像是静态的定义,容器是镜像运行时的实体,两者通过分层存储进行交互。Docker通过Docker Registry进行镜像的存储和分发,有公共的Docker Hub和私有的Registry服务。本文详述了Docker的安装、镜像的构建与管理、容器的启动与操作,以及数据卷的使用,旨在提供全面的Docker实践指导。
Docker笔记
简介
基于go语言实现
属于操作系统层面的虚拟化技术
由于隔离的进程独立于宿主和其他的隔离的进程,因此也称为容器。
与传统虚拟化方式的区别:
- 传统虚拟化是虚拟出一套硬件后,在其上运行一个完整的操作系统,在该系统上再运行所需应用进程。
- 容器内的应用进程直接运行于宿主机的内核。容器没有自己的内核,而且也没有进行硬件虚拟,更轻便[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-PnZhEsmq-1583052766444)(https://yeasy.gitbooks.io/docker_practice/introduction/_images/virtualization.png)]
图 1.4.1.1 - 传统虚拟化
[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-XOJkjPJd-1583052766447)(https://yeasy.gitbooks.io/docker_practice/introduction/_images/docker.png)]
图 1.4.1.2 - Docker
优点:
-
更高效的利用系统资源
由于不需要进行硬件虚拟以及运行完整地操作系统等额外开销,docker对系统资源的利用率更高。各种速度更快。
-
更快的启动时间
由于直接运行于宿主内核,所以无需启动完整的操作系统。
-
一致的运行环境
docker的镜像提供了除内核外的完整运行环境,确保了应用运行环境一致性,从而避免了【这段代码在我机器上没问题啊】
-
持续交付和部署
可以通过定制应用镜像来实现持续集成、持续交付、部署,可以通过dockerfile来进行镜像构建,并结合持续集成(Continuous Integration) 系统进行集成测试。而运维人员则可以直接在生产环境中快速部署该镜像甚至结合持续部署系统(Continuous Delivery/Deployment) 进行自动部署
对比传统虚拟机总结
特性 容器 虚拟机 启动 秒级 分钟级 硬盘使用 一般为 MB一般为 GB性能 接近原生 弱于 系统支持量 单机支持上千个容器 一般几十个
基本概念
docker镜像
我们都知道,操作系统分为内核和用户空间(并不知道)。对于Linux而言,内核启动后,会挂载root二年级按系统为其提供用户空间支持。而docker镜像(image)就像但与是一个root文件系统。比如官方镜像ubuntu:18.04就包含了完整的一套ubuntu 18.04最小系统的root文件系统(包含系统运行所必须的文件https://blog.youkuaiyun.com/xiewenhao12/article/details/52924079)。
docker镜像是一个特殊的文件系统,除了提供容器运行时所需的程序、库、资源、配置等文件外,还包含了一些为运行时准别的一些配置参数(如匿名卷、环境变量、用户等)。镜像不包含任何动态数据,其内容在构建之后也不会被改变。
分层存储
因为镜像包含操作系统完整的root文件系统,其体积往往是庞大的,因此在docker设计时,就充分利用Union FS 的技术,将其设为分层存储的架构。所以严格来说,镜像并非是像一个ISO那样的打包文件,镜像只是一个虚拟的概念,其实际体现并非有一个文件组成,而是由一组文件系统组成,或者说,由多层文件系统联合组成。
镜像构建时,会一层层构建,前一层是后一层的基础,每一层构建完就不会再发生改变。后一层上的任何改变只发生在自己的这一层。比如,删除前一层的文件的操作,实际并不是针对删除前一层的文件,而是仅在当前层标记该文件已删除。最终容器运行的时候,虽然不会看到这个文件,但是实际上该文件会一直跟随进行。因此在构建镜像时,需额外小心,每一层尽量只包含该层需要添加的东西,任何额外的东西应该在该层构建结束前清理掉。
分层存储的特征还使得镜像的复用、定制变得更加容易。甚至可以用之前创建好的镜像作为基础层,然后进一步添加新的层,以定制自己所需的内容,构建新的镜像。
而容器,就是以镜像为基础层,在其上创建一个当前容器的存储层。
docker容器
镜像(image)和容器(container)的关系,就像是类和实例,镜像是静态的定义,容器是镜像运行时的实体。容器可以被创建、启动、停止、删除、暂停等。
容器的实质是进程,但与直接在宿主执行的进程不同,容器进程运行于属于自己的独立的命名空间。因此容器可以拥有自己的root文件系统、网络配置、进程空间、甚至用户ID空间。容器内的进程是运行在一个隔离的环境里,使用起来,就好像是在一个独立于宿主的系统下操作一样。因为这种隔离的特性,很多人会混淆容器和虚拟机。
前面讲过镜像使用的是分层存储,容器也是如此。每一个容器运行时,是以镜像为基础层,在其上创建一个当前容器的存储层,我们可以称这个为容器运行时读写而准备的存储层为容器存储层。
容器存储层的生存周期和容器一样,容器消亡时,容器存储层也随之消亡。因此,任何保存于容器存储层的信息都会随容器的删除而丢失。
更具docker最佳实践(什么东西)的要求,容器不应该向其存储层内写入任何数据,容器存储层要保持无状态化。所有的文件写入操作,都应该使用数据卷(volume),或绑定宿主目录,在这些位置的读写会跳过容器存储层,直接对宿主(或网络存储)发生读写,其性能和稳定性更高。
数据卷的生存周期独立于容器,容器消亡,数据卷不会消亡。因此,使用数据卷后,容器删除或重新运行后,数据不会丢失。
docker Registry
镜像构建完成后,可以很容易的在当前宿主机上运行,但是,如果需要在其他服务器上使用这个镜像,我们就需要一个集中的存储、分发镜像的服务,docker registry就是这样的服务。
一个Docker Registry 中可以包含多个仓库(Repository),每个仓库可以包含多个标签(Tag),每个标签对应一个镜像。
通常,一个仓库会包含同一个软件不同版本的镜像,而标签就常用于对应该软件的各个版本。我们可以通过<仓库名>:<标签>的格式来指定具体是这个软件哪个版本的镜像。如果不给标签,将以latest作为默认标签。
以 Ubuntu 镜像 为例,ubuntu 是仓库的名字,其内包含有不同的版本标签,如,16.04, 18.04。我们可以通过 ubuntu:14.04,或者 ubuntu:18.04 来具体指定所需哪个版本的镜像。如果忽略了标签,比如 ubuntu,那将视为 ubuntu:latest。
仓库名经常以两段式路径 出现,如 jwilder/nginx-proxy,前者往往意味着 Docker Registry 多用户环境下的用户名,后者往往是对应的软件名。往往。
docker registry 公开服务
此服务是开放给用户使用、允许用户管理镜像的registry服务。一般这类公开服务允许用户免费上传、下载公开的镜像,并可能提供收费服务供用户管理私有镜像
最常使用的registry公开服务就是官方的Docker Hub(hub.docker.com),也是默认的registry,除此之外,还有CoreOS的Quay.io,CoreOS相关的镜像存储在这里,Google的Google Container Registry,Kubernetes的镜像使用的就是这个服务。
私有 Docker Registry
除了使用公开服务外,用户还可以在本地搭建私有Docker Registry,Docker官方提供了Docker Registry镜像,可以直接使用作为私有Registry服务。详见https://yeasy.gitbooks.io/docker_practice/repository/registry.html
开源的Docker Registry 镜像只提供了 Docker Registry API 的服务端实现,足以支持docker命令,不影响使用。但不包含图形界面、镜像维护、用户管理、访问控制等高级功能。在官方的商业版本 Docker Trusted Registry 中提供了这些高级功能。
还有第三方软件实现了 Docker Registry API,甚至提供了用户界面以及一些高级功能,如 VMWare Harbor 和 Sonatype Nexus。
安装
docker-ce 社区免费版
docker-ee 企业版 收费
安装必要的系统工具
yum install -y yum-utils device-mapper-persistent-data lvm2
添加软件源
yum-config-manager --add-repo http://mirrors.aliyun.com/docker-ce/linux/centos/docker-ce.repo
更新yum缓存
yum makecache fast
安装 Docker-ce:
yum -y install docker-ce
RPM安装
在https://download.docker.com/linux/centos/7/x86_64/stable/Packages/下载那四个包
[root@localhost download]# ll
总用量 56220
-rw-rw-r--. 1 sure sure 23217684 3月 28 13:00 containerd.io-1.2.5-3.1.el7.x86_64.rpm
-rw-rw-r--. 1 sure sure 19623520 4月 11 14:50 docker-ce-18.09.5-3.el7.x86_64.rpm
-rw-rw-r--. 1 sure sure 14689524 4月 11 14:50 docker-ce-cli-18.09.5-3.el7.x86_64.rpm
-rw-rw-r--. 1 sure sure 29392 8月 31 2018 docker-ce-selinux-17.03.3.ce-1.el7.noarch.rpm
然后
先安装con…与docker-ce-selinux…
一起安装的话会报错:
docker-ce-selinux conflicts with 2:container-selinux-2.74-1.el7.noarch
然后再安装docker-ce-cli…和docker-ce-18…
报错?
这里,Redhat如果使用原生yum可能会提示找不到包,或者需要container-selinux,
可以:
-
下载container-selinux(2.9版本以上)
或其他更高版本的rpm包
-
开启yum扩展包
subscription-manager repos --enable=rhel-7-server-extras-rpms之后再执行安装,就没问题了
镜像加速
新版的 Docker 使用 /etc/docker/daemon.json(Linux) 或者 %programdata%\docker\config\daemon.json(Windows) 来配置 Daemon
请在该配置文件中加入(没有该文件的话,请先建一个):
Docker 官方加速器 https://registry.docker-cn.com
网易加速器 http://hub-mirror.c.163.com
七牛云加速器 https://reg-mirror.qiniu.com/]
{
"registry-mirrors": ["http://hub-mirror.c.163.com"]
}
如果没用的话,听说Redhat 7是在/etc/sysconfig/docker 文件里的option选项加入,具体百度。反正我的Redhat7生效了。
windows需要执行:
cd “C\Program Files\Docker\Docker”
./DockerCli.exe -SwitchDaemon
如果这时docker服务已启动,需要重启一下使加速生效删除 Docker CE
systemctl restart docker
卸载
执行以下命令来删除 Docker CE:
$ sudo yum remove docker-ce
$ sudo rm -rf /var/lib/docker
。
启动 Docker 后台服务
systemctl start docker
测试运行 hello-world
[root@runoob ~]# docker run hello-world
docker run = docker create + docker start
安装镜像
docker pull [选项] [Docker Registry 地址[:端口号]/]仓库名[:标签]
如:
docker pull centos
- Docker 镜像仓库地址:地址的格式一般是
<域名/IP>[:端口号]。默认地址是 Docker Hub。 - 仓库名:如之前所说,这里的仓库名是两段式名称,即
<用户名>/<软件名>。对于 Docker Hub,如果不给出用户名,则默认为library,也就是官方镜像。
或其他镜像,在dockerhub(hub.docker.com)找
上面的命令中没有给出 Docker 镜像仓库地址,因此将会从 Docker Hub 获取镜像。而镜像名称是 ubuntu:18.04,因此将会获取官方镜像 library/ubuntu 仓库中标签为 18.04 的镜像。
从下载过程中可以看到我们之前提及的分层存储的概念,镜像是由多层存储所构成。下载也是一层层的去下载,并非单一文件。下载过程中给出了每一层的 ID 的前 12 位。并且下载结束后,给出该镜像完整的 sha256 的摘要,以确保下载一致性。
在使用上面命令的时候,你可能会发现,你所看到的层 ID 以及 sha256 的摘要和这里的不一样。这是因为官方镜像是一直在维护的,有任何新的 bug,或者版本更新,都会进行修复再以原来的标签发布,这样可以确保任何使用这个标签的用户可以获得更安全、更稳定的镜像。
其实也可以使用的时候等他自己下载镜像
PowerPC 还是arm?
PowerPC性能高功耗小,中高端。
arm性能较高功耗较小性价比高,低端。
如果你无需考虑虚拟机的省电问题,那么就选PowerPC版
基本命令
使用镜像输出Hello World
runoob@runoob:~$ docker run ubuntu:15.10 /bin/echo "Hello world"
Hello world
各个参数解析:
-
docker: Docker 的二进制执行文件。
-
**run:**与前面的 docker 组合来运行一个容器。
-
ubuntu:15.10指定要运行的镜像,Docker首先从本地主机上查找镜像是否存在,如果不存在,Docker 就会从镜像仓库 Docker Hub 下载公共镜像。
如刚才安装的是centos,就是
docker run centos /bin/echo "Hello, World" -
/bin/echo “Hello world”: 在启动的容器里执行的命令
运行交互式的容器
使用两个参数使docker容器实现“对话”的能力
[root@localhost docker]# docker run -i -t --rm centos /bin/bash
[root@8baabffbc704 /]#
参数解析:
- -t:在新容器内指定一个伪终端或终端
- -i:允许你对容器内的标准输入(stdin)进行交互
- –rm:这个参数是说容器退出后随之将其删除。默认情况下,为了排障需求,退出的容器并不会立即删除,除非手动
docker rm。我们这里只是随便执行个命令,看看结果,不需要排障和保留结果,因此使用--rm可以避免浪费空间。
示例:查看镜像的系统信息:
root@e7009c6ce357:/# cat /etc/os-release
使用exit或CTRL+D来退出容器
启动容器(后台模式)
创建一个以进程方式运行的容器:
runoob@runoob:~$ docker run -d ubuntu:15.10 /bin/sh -c "while true; do echo hello world; sleep 1; done"
它并没有直接输出hello world,而是给了一个字符串,这个叫做容器ID,对每个容器来说都是唯一的。可以通过容器ID来查看对应的容器内发生了什么。
首先要确认容器有在运行:
[root@localhost docker]# docker ps
CONTAINER ID IMAGE COMMAND CREATED STATUS PORTS NAMES
9f99ed03bf92 centos "/bin/sh -c 'while t…" 2 minutes ago Up 2 minutes competent_mayer
docker ps -a 查看所有已创建的容器,包括没有在运行的
查看容器内的标准输出:
docker logs 容器ID/容器NAMES
e.g.:
docker logs 9f99ed03bf92
docker logs competent_mayer
停止容器
docker stop 容器ID/容器NAMES
运行一个WEB应用
使用docker构建一个web应用程序
在docker容器中运行一个Python Flask 应用来运行一个web应用
docker pull training/webapp
docker run -d -P training/webapp python app.py
参数说明:
- -d:让容器后台运行
- -P:将容器内部使用的网络端口映射到我们使用的主机上
使用docker ps来查看正在运行的容器
runoob@runoob:~# docker ps
CONTAINER ID IMAGE COMMAND ... PORTS
d3d5e39ed9d3 training/webapp "python app.py" ... 0.0.0.0:32769->5000/tcp
这里多了端口信息
PORTS
0.0.0.0:32769->5000/tcp
docker开放了5000端口(默认Python Flask端口)映射到主机端口32769上,这时就可以在宿主机浏览器访问web应用(或在其他可访问宿主机的机器上通过IP地址等访问)
也可以使用**-p** 参数来设置端口
docker run -d -p 5000:5000 training/webapp python app.py
查看
runoob@runoob:~# docker ps
CONTAINER ID IMAGE PORTS NAMES
bf08b7f2cd89 training/webapp ... 0.0.0.0:5000->5000/tcp wizardly_chandrasekhar
d3d5e39ed9d3 training/webapp ... 0.0.0.0:32769->5000/tcp xenodochial_hoov
容器内部的5000端口呗映射到本地主机的5000端口上
也可以通过
docker port 容器ID/容器NAMES
直接查看容器的某个确定端口映射到宿主机的端口号。
runoob@runoob:~$ docker port bf08b7f2cd89
5000/tcp -> 0.0.0.0:5000
通过
runoob@runoob:~$ docker logs -f bf08b7f2cd89
* Running on http://0.0.0.0:5000/ (Press CTRL+C to quit)
192.168.239.1 - - [09/May/2016 16:30:37] "GET / HTTP/1.1" 200 -
192.168.239.1 - - [09/May/2016 16:30:37] "GET /favicon.ico HTTP/1.1" 404 -
选项**-f让docker logs像使用tail -f**一样来输出容器内部的标准输出
可以看出应用使用的是5000端口并且可以看到应用的访问日志
查看web应用容器的进程
使用docker top 来查看容器内部运行的进程
runoob@runoob:~$ docker top wizardly_chandrasekhar
UID PID PPID ... TIME CMD
root 23245 23228 ... 00:00:00 python app.py
检查web应用
使用docker inspect 来查看docker的底层信息。他会返回一个json文件记录着docker容器的配置和状态信息。
runoob@runoob:~$ docker inspect wizardly_chandrasekhar
[
{
"Id": "bf08b7f2cd897b5964943134aa6d373e355c286db9b9885b1f60b6e8f82b2b85",
"Created": "2018-09-17T01:41:26.174228707Z",
"Path": "python",
"Args": [
"app.py"
],
"State": {
"Status": "running",
"Running": true,
"Paused": false,
"Restarting": false,
"OOMKilled": false,
"Dead": false,
"Pid": 23245,
"ExitCode": 0,
"Error": "",
"StartedAt": "2018-09-17T01:41:26.494185806Z",
"FinishedAt": "0001-01-01T00:00:00Z"
},
......
-
使用docker stop 容器ID来停止web应用容器
-
使用docker restart 容器ID来重启web应用容器
-
使用docker rm 来删除不需要的容器(容器必须是停止状态)
-
使用docker ps -l 查询最后一次创建的容器
输入docker命令来查看docker客户端的所有命令选项
输入docker command --help 更深入的了解指定的docker命令用法。
- 如docker stats --help
容器连接
前面实现了通过网络端口来访问运行在docker容器内的服务
下面实现通过端口连接到一个docker容器
创建一个python应用的容器:
runoob@runoob:~$ docker run -d -P training/webapp python app.py
fce072cc88cee71b1cdceb57c2821d054a4a59f67da6b416fceb5593f059fc6d
复制文件
docker cp mycontainer:/opt/file.txt /opt/local/
docker cp /opt/local/file.txt mycontainer:/opt/
镜像
列出镜像列表
使用docker image 来列出本地主机上的镜像
[root@localhost docker]# docker images
REPOSITORY TAG IMAGE ID CREATED SIZE
hello-world latest fce289e99eb9 6 days ago 1.84kB
centos latest 1e1148e4cc2c 4 weeks ago 202MB
<none> <none> 00285df0df87 5 days ago 342 MB
- REPOSITORY表示镜像的仓库源
- TAG:镜像的标签
- IMAGE ID:镜像ID
- CREATED:镜像创建时间
- SIZE:镜像大小
同一个仓库源可以有多个TAG,表示这个仓库源的不同版本。如centos7.6、centos7.5等
这里的镜像大小于docker hub上的已经不同了,docker hub 中显示的体积是压缩后的体积,在镜像下载和上传过程中是保持着压缩状态的。而这里显示的是镜像下载到本地后展开的大小,准确的说是展开后各层所占空间的总和。
另外,这里的镜像体积总和并给是所有镜像实际硬盘消耗。由于docker镜像是多层存储结构,并且可以继承、复用,因此不同镜像可能会因为使用相同的基础镜像,从而拥有共同的层。由于docker 使用Union FS,相同的层只需要保存一份即可,因此实际镜像硬盘占用空间很可能要比这个列表镜像大小的总和小得多。
可以使用以下命令来便捷的查看镜像、容器、数据卷所占用的空间
$ docker system df
TYPE TOTAL ACTIVE SIZE RECLAIMABLE
Images 24 0 1.992GB 1.992GB (100%)
Containers 1 0 62.82MB 62.82MB (100%)
Local Volumes 9 0 652.2MB 652.2MB (100%)
Build Cache 0B 0B
可以使用repository:tag来定义不同的镜像。如:
ubuntu:18.04
不指定则默认是centos:latest镜像
虚悬镜像
在上面的镜像列表中,还可以看到一个特殊的镜像,这个镜像既没有仓库名也没有标签,均为<none>。
其实这个镜像原本是有和标签的,如原来为 mongo:3.2 ,但随着官方镜像维护,发布了新版本后,重新 docker pull mongo:3.2,mongo:3.2这个镜像名被转移到了新下载的镜像身上,而旧的镜像上的这个名称则被取消。从而成为了<none>。docker build 也可能导致这种情况,由于新旧镜像同名,旧镜像名称被取消,从而出现了<none>,这列无标签镜像也被成为虚悬镜像(dangling image),可以用下main的命令专门显示这类镜像:
$ docker image ls -f dangling=true
REPOSITORY TAG IMAGE ID CREATED SIZE
<none> <none> 00285df0df87 5 days ago 342 MB
docker image ls相当于docker images
一般来说,虚悬镜像已经失去了存在的价值,是可以随意删除的,使用下面的命令来删除
$ docker image prune
中间层镜像
为了加速镜像构建、重复利用资源,docker会利用中间层镜像。所以在使用一段时间后,可能会看到一些依赖的中间层镜像。默认的docker images只会显示顶层镜像,如果希望显示包括中间层镜像在内的所有镜像的话,需要加-a参数
docker images -a
这样会看到很多无标签的镜像,与之前的虚悬镜像不同,这些无标签镜像很多都是中间层镜像,是其他镜像所依赖的镜像。这些无标签镜像不应该删除,否则会导致上层镜像因为依赖丢失而出错。当然也没必要删除,因为相同的镜像只会有一份。
列出指定镜像
可以直接指定仓库名、仓库名+标签名来显示指定镜像
docker image ls 还支持强大的过滤器参数--filter,或者简写为-f,比如想要看到在 mongo:3.2之后建立的镜像,可以使用:
$ docker image ls -f since=mongo:3.2
REPOSITORY TAG IMAGE ID CREATED SIZE
redis latest 5f515359c7f8 5 days ago 183 MB
nginx latest 05a60462f8ba 5 days ago 181 MB
before查看之前的
如果镜像构建时定于了LABEL,还可以通过LABEL来过滤
$ docker image ls -f label=com.example.version=0.1
...
以特定格式显示
如显示ID
$ docker image ls -q
5f515359c7f8
05a60462f8ba
fe9198c04d62
--filter配合-q产生出指定范围的ID列表,然后送给另一个docker命令作为参数。从而针对这组实体成批的进行操作。
或
对表格结构不满意,希望自己组织列,或不想要标题方便其他程序解析结果,这就用到了 Go 的模板语法。
比如,下面的命令会直接列出镜像结果,并且只包含镜像ID和仓库名。
$ docker image ls --format "{{.ID}}: {{.Repository}}"
5f515359c7f8: redis
05a60462f8ba: nginx
fe9198c04d62: mongo
00285df0df87: <none>
f753707788c5: ubuntu
f753707788c5: ubuntu
1e0c3dd64ccd: ubuntu
或者想要等距显示,并且有标题行,和默认一样,不过自己定义列:
$ docker image ls --format "table {{.ID}}\t{{.Repository}}\t{{.Tag}}"
IMAGE ID REPOSITORY TAG
5f515359c7f8 redis latest
05a60462f8ba nginx latest
fe9198c04d62 mongo 3.2
00285df0df87 <none> <none>
f753707788c5 ubuntu 18.04
f753707788c5 ubuntu latest
获取镜像
当使用本地主机上不存在的镜像时docker会自动的功能下载这个镜像
使用docker pull 命令来预先下载镜像 如:docker pull centos
使用docker search 命令来搜索镜像 如:docker search httpd 会出现
- NAME:镜像仓库源的名称
- DESCRIPTION:镜像的描述
- OFFICIAL:是否docker官方发布
创建镜像
当从docker仓库中下载的镜像不能满足需求时,可以通过以下两种方式:
- 从一创建的容器中更新镜像,并提交这个镜像
- 使用Dockerfile指令来创建一个新的镜像
更新镜像
在运行的容器内(进入docker run -t -i centos /bin/bash)执行yum update(更新) 或yum upgrade(升级=更新+清理)来更新镜像
(ubuntu使用apt-get update命令来更新)
runoob@runoob:~$ docker run -t -i ubuntu:15.10 /bin/bash
root@e218edb10161:/#
exit退出
定制镜像
回顾一下之前我们学到的知识,镜像是多层存储,每一层是在前一层的基础上进行的修改;而容器同样也是多层存储,是在以镜像为基础层,在其基础上加一层作为容器运行时的存储层。
现在让我们以定制一个 Web 服务器为例子,来讲解镜像是如何构建的。
$ docker run --name webserver -d -p 80:80 nginx
这条命令会用nginx镜像启动一个容器
小错误:(貌似没啥影响)
WARNING: IPv4 forwarding is disabled. Networking will not work.
解决方法:
I added the following to /etc/sysctl.conf:
net.ipv4.ip_forward=1
现在,假如你不喜欢这个欢迎页面,想要改成自己的页面,可以使用docker exec命令进入容器,修改其内容:
$ docker exec -it webserver bash
root@3729b97e8226:/# echo '<h1>Hello, Nginx!</h1>' > /usr/share/nginx/html/index.html
root@3729b97e8226:/# exit
我们以交互式终端方式进入webserver容器,并执行了bash命令,也就是获得一个可操作的Shell。
然后用
Hello, Docker
覆盖了/user/share/nginx/html/index.html的内容。现在再次访问localhost:80,就可以看到Hello, Nginx了。
我们修改的容器的文件,也就是改动了容器的存储层,我们可以通过docker diff命令看到具体的改动。
$ docker diff webserver
C /root
A /root/.bash_history
C /run
C /usr
C /usr/share
C /usr/share/nginx
C /usr/share/nginx/html
C /usr/share/nginx/html/index.html
C /var
C /var/cache
C /var/cache/nginx
A /var/cache/nginx/client_temp
A /var/cache/nginx/fastcgi_temp
A /var/cache/nginx/proxy_temp
A /var/cache/nginx/scgi_temp
A /var/cache/nginx/uwsgi_temp
提交镜像
现在我们定制好的变化,我们希望能将其保存下来形成镜像。
要知道,当我们运行一个容器的时候(如果不使用卷的话),我们所做的任何文件修改都会被冀鲁豫容器存储层里,而Docker 提供了一个docker commit 命令,可以将容器的存储层保存下来成为镜像。换句话说,就是在原有镜像的基础上,在叠加上容器的存储层,并构成新的镜像。以后我们运行这个新镜像的时候,就会拥有原有容器的最后文件的变化。
docker commit 的语法格式为:
docker commit [选项] <容器ID或容器名> [<仓库名>[:<标签>]]
此时ID为e218edb…的容器,是按我们的需求更改的容器,可以通过docker commit来提交容器副本。
runoob@runoob:~$ docker commit -m="修改了默认网页" -a="runoob" e218edb10161 runoob/ubuntu:v2
sha256:70bf1840fd7c0d2d8ef0a42a817eb29f854c1af8f7c59fc03ac7bdee9545aff8
参数说明:
- -m: --message 的简写,提交的描述信息
- -a: --author 的简写,镜像作者
- e218ed…:容器ID
- runoob/ubuntu:v2:指定要创建的目标镜像名(runoob/ubuntu)与tag名(v2)
此时就可以使用docker images命令来查看我们的新镜像 runoob/ubu…
docker images
docker commit 命令除了学习之外,还有一些特殊的应用场合,比如被入侵后保存现场等。但是,不要使用 docker commit 定制镜像,定制镜像应该使用 Dockerfile 来完成。
还可以用docker history具体查看镜像内的历史记录,如果我们比较nginx:latest的历史记录,我们会发现新增了我们刚刚提交的这一层。
新的镜像定制好后,就可以运行了
docker run --name web2 -d -p 81:80 nginx:v2
至此,就完成了定制镜像。使用的是 docker commit 命令,手动给旧镜像添加了新的一层,形成新的镜像。
慎用docker commit
使用docker commit命令虽然可以比较直观的帮助理解镜像分层存储的概念,但实际环境中不会这样用。
首先,如果仔细观察之前的docker diff webserver的结果,你会发现除了真正想要修改的/usr/share/nginx/html/index/html文件外,由于命令的执行,还有很多文件被改动或添加了,这还仅仅是最简单的操作,如果是安装软件包、编译构建、哪会有大量的无关内容被添加进来。如果不去小心清理,将会导致镜像极为臃肿。
此外,使用docker commit意味着对所有镜像的操作都是黑箱操作,生成的镜像也被称为黑箱镜像,也就是除了制作镜像的人知道执行过什么命令,怎么生成的镜像,别人根本无从得知。而且,即使是值作镜像的人,过一段时间后或许也无法记清具体的操作了。随人docker diff能得到一些线索,但远远不到可以确保生成一致镜像的地步。这样的黑箱镜像维护起来是很痛苦的。
而且,回顾之前提及的镜像所使用的分层存储的概念,除当前层外,之前的每一层都是不会发生改变的,换句话说,任何修改的结果仅仅是在当前层内进行标记、添加、修改,而不会改动上一层。所以使用docker commit制作镜像,以及后期修改的话,每一次修改都会让镜像更加臃肿一次,所删除的上一层的东西并不会丢失,会一直跟随着这个镜像,即使根本无法访问到。这会让镜像更加臃肿。
镜像导入与导出
使用 docker save 命令可以将镜像保存为归档文件。
比如我们希望保存这个 alpine 镜像。
$ docker image ls alpine
REPOSITORY TAG IMAGE ID CREATED SIZE
alpine latest baa5d63471ea 5 weeks ago 4.803 MB
保存镜像的命令为:
image > tar
$ docker save alpine -o filename
$ file filename
filename: POSIX tar archive
#或者
#一定要加 >
$ docker save new_centos:latest > new_centos.tar
container > tar
$ docker export pid > centos_container.tar
这里的 filename 可以为任意名称甚至任意后缀名,但文件的本质都是归档文件
注意:如果同名则会覆盖(没有警告)
若使用 gzip 压缩:
$ docker save alpine | gzip > alpine-latest.tar.gz
导出镜像
然后我们将 alpine-latest.tar.gz 文件复制到了到了另一个机器上,可以用下面这个命令加载镜像:
tar > image
$ docker load -i alpine-latest.tar.gz
Loaded image: alpine:latest
#或
$ docker import centos_container.tar centos:latest
docker save和docker export的区别:
- docker save保存的是镜像(image),docker export保存的是容器(container);
- docker load用来载入镜像包,docker import用来载入容器包,但两者都会恢复为镜像;
- docker load不能对载入的镜像重命名,而docker import可以为镜像指定新名称。
如果我们结合这两个命令以及 ssh 甚至 pv 的话,利用 Linux 强大的管道,我们可以写一个命令完成从一个机器将镜像迁移到另一个机器,并且带进度条的功能:
docker save <镜像名> | bzip2 | pv | ssh <用户名>@<主机名> 'cat | docker load'
使用Dockerfile定制镜像
从刚才的docker commit的学习中,可以了解到,镜像的定制实际上就是定制每一层所添加的配置、文件。如果我们可以把每一层修改、安装、构建、操作的命令都写入一个脚本。用这个脚本来构建、定制镜像,那么之前提及的无法重复的问题、镜像构建透明性的问题、体积的问题就都会解决。这个脚本就是Dockerfile。
Dockerfile是一个文本文件,其中包含了一条条的指令(Instruction),每一条指令构建一层,因此每一条指令的内容就是描述该层应当如何构建。
还以之前定制nginx镜像为例,这次使用Dockerfile来定制。
在一个空白目录中,建立一个文本文件,并命名为Dockerfile
$ mkdir mynginx
$ cd mynginx
$ touch Dockerfile
内容为:
FROM nginx
RUN echo '<h1>Hello, Docker!</h1>' > /usr/share/nginx/html/index.html
这个dockerfile很简单,一共就两行,设计到了两条命令,FROM和RUN。
FROM 指定基础镜像
所谓定制镜像,就是以一个镜像为基础,在其上进行定制。就像之前运行了一个nginx镜像的容器,在进行修改一样。基础镜像是必须指定的。而FROM 就是指定基础镜像。因此一个Dockerfile中FROM是必备的指令,而且必须是第一条指令。
在 Docker Hub 上有非常多的高质量的官方镜像,有可以直接拿来使用的服务类的镜像,如 nginx、redis、mongo、mysql、httpd、php、tomcat等;也有一些方便开发、构建、运行各种语言应用的镜像,如 node、openjdk、python、ruby、golang 等。可以在其中寻找一个最符合我们最终目标的镜像为基础镜像进行定制。
如果没有找到对应服务的镜像,官方镜像中还提供了一些更为基础的操作系统镜像,如 ubuntu、debian、centos、fedora、alpine 等,这些操作系统的软件库为我们提供了更广阔的扩展空间。
除了选择现有镜像为基础镜像外,docker还存在一个特殊的镜像:scratch。这个镜像是虚拟的概念,并不实际存在,他表示一个空白的镜像。
如果以scratch为基础镜像的话,意味着你不以任何镜像为基础,接下来所写的指令将作为镜像第一层开始存在。
不以任何系统为基础,直接将可执行文件复制进镜像的做法并不罕见,比如 swarm、coreos/etcd。对于 Linux 下静态编译的程序来说,并不需要有操作系统提供运行时支持,所需的一切库都已经在可执行文件里了,因此直接 FROM scratch 会让镜像体积更加小巧。使用 Go 语言 开发的应用很多会使用这种方式来制作镜像,这也是为什么有人认为 Go 是特别适合容器微服务架构的语言的原因之一。
RUN 执行命令
RUN 指令使用来执行命令行命令的,由于命令行的强大功能,RUN 指令在定制镜像时是最常用的指令之一。其格式有两种:
-
shell 格式:
RUN <命令>,就像直接在命令函中输入的命令一样。刚才dockerfile里的run指令也是它RUN echo '<h1>Hello, Docker!</h1>' > /usr/share/nginx/html/index.html -
exec 格式:
RUN ["可执行文件", "参数1", "参数2"],这更像是函数调用中的格式。
既然RUN 就像shell 脚本一样可以执行命令,那么是否就可以向shell 脚本一样把每个命令对应一个RUN 呢?像这样:
FROM debian:stretch
RUN apt-get update
RUN apt-get install -y gcc libc6-dev make wget
RUN wget -O redis.tar.gz "http://download.redis.io/releases/redis-5.0.3.tar.gz"
RUN mkdir -p /usr/src/redis
RUN tar -xzf redis.tar.gz -C /usr/src/redis --strip-components=1
RUN make -C /usr/src/redis
RUN make -C /usr/src/redis install
之前说过,dockerfile 中每一条指令都会建立一层,run 也不例外。每一个RUN 的行为,就和刚才我们手工建立镜像的过程一样:新建立一层,在其上执行这些命令,执行结束后,commit这一层的修改,构成新的镜像。
而上面的这种写法,创建了7层镜像,这时完全没有意义的,而且很多运行时不需要的东西,都被装进了镜像里,比如编译环境、更新的软件包等。结果就是产生非常臃肿、非常多层的镜像,不仅增加了构建部署的时间,也很容易出错。
Union FS 实由最大层数限制的,比如 AUFS,最大不得超过127层。
上面的Dockerfile 正确的写法应该是这样:
FROM debian:stretch
RUN buildDeps='gcc libc6-dev make wget' \
&& apt-get update \
&& apt-get install -y $buildDeps \
&& wget -O redis.tar.gz "http://download.redis.io/releases/redis-5.0.3.tar.gz" \
&& mkdir -p /usr/src/redis \
&& tar -xzf redis.tar.gz -C /usr/src/redis --strip-components=1 \
&& make -C /usr/src/redis \
&& make -C /usr/src/redis install \
&& rm -rf /var/lib/apt/lists/* \
&& rm redis.tar.gz \
&& rm -r /usr/src/redis \
&& apt-get purge -y --auto-remove $buildDeps
首先,之前所有的命令只有一个目的,就是编译、安装redis可执行文件,一次没有必要建立很多层,这只是一层的事情。因此,这里没有使用很多个RUN对应不同的指令,而仅仅是使用的一个RUN指令,并使用&&将各个所需命令串联起来,将之前的7层简化为了一层。
并且,这里为了格式化还进行了换行。dockerfile支持shell类的行尾添加\的命令换行方式,以及行首#进行注释的格式。
此外,还可以看到这一组命令的最后添加了清理工作的领命,删除了为了编译构建所需要的软件,清理了所有下载、展开的文件,并且还清理的apt缓存文件。这是很重要的一步。之前说过镜像是多层存储,每一层的东西并不会在下一层被删除,会一直跟随着镜像。因此镜像构建时,一定要确保每一层只添加真正需要添加的东西,任何无关的东西都应该被清理掉。
菜鸟教程版:
使用命令docker build 从零开始创建一个新的镜像。为此,我们需要创建一个Dockerfile文件。其中包含一组指令来告诉docker如何构建我们的镜像:
runoob@runoob:~$ cat Dockerfile
FROM centos:6.7
MAINTAINER Fisher "fisher@sudops.com"
RUN /bin/echo 'root:123456' |chpasswd
RUN useradd runoob
RUN /bin/echo 'runoob:123456' |chpasswd
RUN /bin/echo -e "LANG=\"en_US.UTF-8\"" >/etc/default/local
EXPOSE 22
EXPOSE 80
CMD /usr/sbin/sshd -D
(cat命令是输出了作者的文件内容,我们在构建时需要使用vim等新建一个文件并写入内容。不要手黑黑的CTRL+CV)
每一条指令都会在镜像上创建一个新的层
每一个指令的前缀都必须是大写的
第一条FROM指定使用哪个镜像源
RUN指令告诉docker在镜像内执行命令,安装了什么。
构建镜像
明白了Dockerfile的内容,现在来构建这个镜像吧
构建命令:
docker build [选项] <上下文路径/URL/->
在Dockerfile文件所在目录执行:
$ docker build -t nginx:v3 .
Sending build context to Docker daemon 2.048 kB
Step 1 : FROM nginx
---> e43d811ce2f4
Step 2 : RUN echo '<h1>Hello, Docker!</h1>' > /usr/share/nginx/html/index.html
---> Running in 9cdc27646c7b
---> 44aa4490ce2c
Removing intermediate container 9cdc27646c7b
Successfully built 44aa4490ce2c
在命令的输出结果中,可以清晰的看到镜像的构建过程。在Step 2 中,如同之前所说,RUN 指令启动了一个容器9cdc27646c7b,执行了所要求的命令,并最后提交了这一层44aa4490ce2c,随后删除了这个所用到的容器9cdc27646c7b。
镜像构建上下文
可能会注意到docker build命令最后有一个.,.表示当前目录,而Dockerfile就在当前目录,因此不少初学者认为这个路径是在指定Dockerfile所在路径,这么理解其实是不准确的。如果对应上面的命令你个格式,可能会发现,这是在指定上下文路径
什么是上下文?
首先要理解docker build 的工作原理。docker在运行时会分为Docker引擎(也就是服务端守护进程)和客户端工具。Docker的引擎提供了一组REST API,被称为 Docker Remote API,而如docker命令这样的客户端工具,则是通过这组API 与Docker 引擎交互,从而完成个各种功能。因此,虽然表面上实在本机执行各种docker功能,但实际上一切都是使用的远程调用形式在服务端(Docker引擎)完成。也因为这种C/S (客户端/服务器)设计,让我们操作远程服务器的Docker 引擎变得轻而易举。
当我们继续宁镜像构建的时候,并非所有定制都会通过RUN 指令完成,经常会需要将一些本地文件复制进镜像,比如通过COPY、ADD指令等。而docker build命令构建镜像,其实并非在本地构建,而是在服务端,也就是Docker引擎中构造的。那么在这种客户端/服务端的架构中,如何才能让服务器获得本地文件呢?
这就引入了上下文的概念,当构建的时候,用户会指定构建镜像上下文的路径,docker build 命令得知这个路径后,会将路径下的所有内容打包,然后上传给Docker 引擎。这样 Docker 引擎收到这个上下文包后,展开就会获得构建镜像所需的一切文件。
如果在Dockerfile 中这样写:
COPY ./package.json /app/
这并不是要复制执行docker build 命令所在目录下的 package.json ,也不是复制Dockerfile 所在目录下的,而是复制上下文目录中的package.json。
因此,COPY这类指令中的源文件的路径都是相对路径。这也是初学者经常会问的为什么 COPY ../package.json /app 或者 COPY /opt/xxxx /app 无法工作的原因,因为这些路径已经超出了上下文的范围,Docker 引擎无法获得这些位置的文件。如果真的需要那些文件,应该将它们复制到上下文目录中去。
(构建时指定上下文路径,是一个文件夹。指定这个文件夹后,所有的文件都应该存放在这个文件夹里,文件夹外的路径是访问不到的。)
现在就可以理解刚才的命令 docker build -t nginx:v3 . 中的这个 .,实际上是在指定上下文的目录,docker build 命令会将该目录下的内容打包交给 Docker 引擎以帮助构建镜像。
如果观察 docker build 的输出,就会发现这个发送上下文的过程:
$ docker build -t nginx:v3 .
Sending build context to Docker daemon 2.048 kB
...
一般会将Dockerfile置于一个空目录下,或者项目根目录下,如果该目录下没有所需文件,那么应该把所需文件复制一份过来。如果目录下有些东西不希望构建时传给Docker引擎,那么可以用.gitignore一样的语法写一个.dockerignore,该文件是用于提出不需要作为上下文传递给Docker引擎的。
那为什么会有人误认为.是指定Dockerfile 所在的目录呢?这是因为在默认情况下,如果不额外指定Dockerfile的话,会将上下文目录中名为Dockerfile的文件作为Dockerfile。
这只是默认行为,实际上Dockerfile的文件名并不要求必须为Dockerfile,也不必须位于上下文目录中,比如可以用-f ../Dockerfile.php参数指定某个文件作为Dockerfile。
当然,习惯性的大家都会使用默认的文件名Dockerfile。并将其部署在镜像构建上下文目录中。
其他docker build的用法
直接Git repo 进行构建
或许你已经注意到了,docker build还支持URL构建,比如可以直接从 Git repo 中构建:
$ docker build https://github.com/twang2218/gitlab-ce-zh.git#:11.1
Sending build context to Docker daemon 2.048 kB
Step 1 : FROM gitlab/gitlab-ce:11.1.0-ce.0
11.1.0-ce.0: Pulling from gitlab/gitlab-ce
aed15891ba52: Already exists
773ae8583d14: Already exists
...
这行命令指定了构建所需的Git repo,并且指定默认的master分支,构建目录为/11.1/,然后Docker就会自己去git clone这个项目、切换到指定分支、并进入到指定目录后开始构建。
用给定的tar包构建
$ docker build http://server/context.tar.gz
如果给出的URL不是个Git repo,而是个tar压缩包,那么Docker引擎会下载这个包,并自动解压缩,以其作为上下文,开始构建。
从标准输入中读取Dockerfile进行构建
docker build - < Dockerfile
或:
cat Dockerfile | docker build -
如果标准输入传入的是文本文件,则将其视为Dockerfile,并开始构建,这种形式由于直接从标准输入中读取Dockerfile的内容,它没有上下文,因此不可以像其他方法那样可以将本地文件COPY进镜像之类的事情。
从标准输入中读取上下文压缩包进行构建
$ docker build - < context.tar.gz
如果发现标准输入的格式是gzip、bzip2、xz等,会将其视为上下文压缩包,直接将其展开,将里面视为上下文,并开始构建。
菜鸟教程版:
使用docker build 命令来构建一个镜像
runoob@runoob:~$ docker build -t runoob/centos:6.7 .
Sending build context to Docker daemon 17.92 kB
Step 1 : FROM centos:6.7
---> d95b5ca17cc3
Step 2 : MAINTAINER Fisher "fisher@sudops.com"
---> Using cache
---> 0c92299c6f03
Step 3 : RUN /bin/echo 'root:123456' |chpasswd
---> Using cache
---> 0397ce2fbd0a
Step 4 : RUN useradd runoob
......
参数:
- -t:指定要创建的目标镜像名
- .:Dockerfile文件所在目录,可以指定Dockerfile文件的绝对路径
使用docker images 查看创建的镜像,并且可以用来创建容器了
runoob@runoob:~$ docker run -t -i runoob/centos:6.7 /bin/bash
[root@41c28d18b5fb /]# id runoob
uid=500(runoob) gid=500(runoob) groups=500(runoob)
Dockerfile 基本命令
COPY 复制文件
格式:
COPY [--chown=<user>:<group>] <源路径>... <目标路径>COPY [--chown=<user>:<group>] ["<源路径1>",... "<目标路径>"]
和RUN指令一样,也有两种格式,一种类似于命令行,一种类似于函数调用。
COPY指令将从构建上下文目录<源路径>的文件/目录复制到新的一层的镜像内的<目标路径>位置。比如:
COPY package.json /usr/src/app/
源路径可以是多个,甚至是通配符,但其通配符规则要满足Go的 的 filepath.Match 规则,如:
COPY hom* /mydir/
COPY hom?.txt /mydir/
<目标路径>可以是容器内的绝对路径也可以是相对于工作目录的相对路径(工作目录可以用WORKDIR来指定)。目标路径不需要事先创建,如果目录不存在会在复制文件前先创建缺失目录。
还要注意一点,使用COPY指令,源文件的各种元数据都会保留。比如读、写、执行权限、文件变更时间等。这个特性对于镜像定制很有用。特别是构建相关文件都在使用Git进行管理的时候。
在使用该指令的时候还可以加上 --chown=<user>:<group> 选项来改变文件的所属用户及所属组。
COPY --chown=55:mygroup files* /mydir/
COPY --chown=bin files* /mydir/
COPY --chown=1 files* /mydir/
COPY --chown=10:11 files* /mydir/
ADD 更高级的复制文件
仅在需要自动解压缩的时候使用。
ADD 指令和 COPY 的格式和性质基本一致。但是在 COPY 基础上增加了一些功能。
比如 <源路径> 可以是一个 URL,这种情况下,Docker 引擎会试图去下载这个链接的文件放到 <目标路径> 去。下载后的文件权限自动设置为 600,如果这并不是想要的权限,那么还需要增加额外的一层 RUN 进行权限调整,另外,如果下载的是个压缩包,需要解压缩,也一样还需要额外的一层 RUN 指令进行解压缩。所以不如直接使用 RUN 指令,然后使用 wget 或者 curl 工具下载,处理权限、解压缩、然后清理无用文件更合理。因此,这个功能其实并不实用,而且不推荐使用。
如果 <源路径> 为一个 tar 压缩文件的话,压缩格式为 gzip, bzip2 以及 xz 的情况下,ADD 指令将会自动解压缩这个压缩文件到 <目标路径> 去。
在某些情况下,这个自动解压缩的功能非常有用,比如官方镜像 ubuntu 中:
FROM scratch
ADD ubuntu-xenial-core-cloudimg-amd64-root.tar.gz /
...
但在某些情况下,如果我们真的是希望复制个压缩文件进去,而不解压缩,这时就不可以使用 ADD 命令了。
在 Docker 官方的 Dockerfile 最佳实践文档 中要求,尽可能的使用 COPY,因为 COPY 的语义很明确,就是复制文件而已,而 ADD则包含了更复杂的功能,其行为也不一定很清晰。最适合使用 ADD的场合,就是所提及的需要自动解压缩的场合。
另外需要注意的是,ADD 指令会令镜像构建缓存失效,从而可能会令镜像构建变得比较缓慢。
因此在 COPY 和 ADD 指令中选择的时候,可以遵循这样的原则,所有的文件复制均使用 COPY 指令,仅在需要自动解压缩的场合使用 ADD。
在使用该指令的时候还可以加上 --chown=<user>:<group> 选项来改变文件的所属用户及所属组。
ADD --chown=55:mygroup files* /mydir/
ADD --chown=bin files* /mydir/
ADD --chown=1 files* /mydir/
ADD --chown=10:11 files* /mydir/
CMD 容器启动命令
之前介绍容器的时候说过,Docker不是虚拟机,容器就是进程。既然是进程,那么在启动容器的时候,需要指定所运行的程序及参数。CMD指令就是用于执行默认的容器主进程的启动命令的。
CMD 指令的格式和 RUN 相似,也是两种格式:
shell格式:CMD <命令>exec格式:CMD ["可执行文件", "参数1", "参数2"...]- 参数列表格式:
CMD ["参数1", "参数2"...]。在指定了ENTRYPOINT指令后,用CMD指定具体的参数。
在运行时可以指定新的命令来替代镜像设置中的这个默认命令,比如:ubuntu镜像的默认CMD是bin/bash,所以如果直接docker run -it ubuntu的话,就会进入bash。我们也可以在运行时指定运行别的命令,如docker run -it ubuntu cat /etc/os-release,这就是用cat /etc/os-release 命令替换了默认的/bin/bash命令了。(命令用来输出系统版本信息)
一般推荐使用exec格式,这类格式在解析时会被解析为 JSON数组,因此一定要使用双引号",而不要使用单引号。
如果使用shell格式的话,实际的命令会被包装为sh -c的参数的形式进行执行。比如:
CMD echo $HOME
在实际执行中,会将其变更为:
CMD [ "sh", "-c", "echo $HOME" ]
这就是为什么我们可以使用环境变量的原因,因为这些环境变量会被shell进行解析处理。
提到CMD 就不得不提容器中应用在前台执行和后台执行的问题。这是经常会混淆的一个问题。
Docker不是虚拟机。容器中的应用都应该以前台执行,而不是像虚拟机、物理机里面那样,用 upstart/systemd 去启动后台服务,容器内没有后台服务的概念。
一些初学者将CMD 写为
CMD service nginx start
然后发现容器执行后就立即退出了。甚至在容器内去使用systemctl 命令,却发现根本执行不了。这就是因为没有搞明白前台、后台的概念,没有区分容器和虚拟机的差异,依旧在以传统虚拟机的角度去理解容器。
而使用service nginx start 命令,则是希望 upstart 来以后台守护进程形式启动 nginx服务。而刚才说 CMD service nginx start 会被理解为 CMD [ "sh", "-c", "service nginx start"],因此主进程实际上是 sh 。那么当 service nginx start 命令结束后,sh也就结束了,sh作为主进程退出了,自然就会令容器退出。
正确的做法是直接执行 nginx 可执行文件,并且要求以前台形式运行,如:
ENTERPOINT 入口点
一个Dockerfile中只能有一个ENTRYPOINT命令。如果有多条,只有最后一条有效。
无参方式:
有参方式:
docker run 的--entrypoint 标志可以覆盖原dockerfile中的ENTRYPOINT指令
在dockerfile中,ENTRYPOINT和CMD至少有其中一个。
ENTRYPOINT或CMD的最后一条命令为无限运行的命令
在Docker Daemon模式下,entrypoint、cmd命令的最后一个命令一定是要当前容器需要一直运行的,才能防止容器退出。有限运行的指令不能在无限运行的指令的后面,不然永远也没有机会运行了。
ENTERPOINT 的格式和 RUN 指令格式一样,
ENTERPOINT 的目的和 CMD 一样,都是在指定容器启动程序及参数。ENTRYPOINT 在运行时也可以替代,不过比 CMD 要略显繁琐,需要通过 docker run 的参数 --entrypoint 来指定。
使用ENTERPOINT 可以在运行镜像时加上参数。
当指定了 ENTRYPOINT 后,CMD 的含义就发生了改变,不再是直接的运行其命令,而是将 CMD 的内容作为参数传给 ENTRYPOINT指令,换句话说实际执行时,将变为:
<ENTRYPOINT> "<CMD>"
""可以为ENTRYPOINT提供参数,ENTRYPOINT本身也可以包含参数,但可以把需要变动的参数写到CMD里,而不需要变动的参数写道ENTRYPOINT里。也就是说,ENTRYPOINT自带了参数,那么参数每次都会运行,并且如果运行时指定了参数,运行时指定的参数会跟在自带参数的后面。
那么有了 CMD 后,为什么还要有 ENTRYPOINT 呢?这种 <ENTRYPOINT> "<CMD>" 有什么好处么?让我们来看几个场景。
场景一:让镜像变成像命令一样使用
假设我们需要一个得知自己当前公网 IP 的镜像,那么可以先用 CMD 来实现:
FROM ubuntu:18.04
RUN apt-get update \
&& apt-get install -y curl \
&& rm -rf /var/lib/apt/lists/*
CMD [ "curl", "-s", "https://ip.cn" ]
假如我们使用 docker build -t myip . 来构建镜像的话,如果我们需要查询当前公网 IP,只需要执行:
$ docker run myip
当前 IP:61.148.226.66 来自:北京市 联通
嗯,这么看起来好像可以直接把镜像当做命令使用了,不过命令总有参数,如果我们希望加参数呢?比如从上面的 CMD 中可以看到实质的命令是 curl,那么如果我们希望显示 HTTP 头信息,就需要加上 -i 参数。那么我们可以直接加 -i 参数给 docker run myip 么?
$ docker run myip -i
docker: Error response from daemon: invalid header field value "oci runtime error: container_linux.go:247: starting container process caused \"exec: \\\"-i\\\": executable file not found in $PATH\"\n".
我们可以看到可执行文件找不到的报错,executable file not found。之前我们说过,跟在镜像名后面的是 command,运行时会替换 CMD 的默认值。因此这里的 -i 替换了原来的 CMD,而不是添加在原来的 curl -s https://ip.cn 后面。而 -i 根本不是命令,所以自然找不到。
那么如果我们希望加入 -i 这参数,我们就必须重新完整的输入这个命令:
$ docker run myip curl -s https://ip.cn -i
这显然不是很好的解决方案,而使用 ENTRYPOINT 就可以解决这个问题。现在我们重新用 ENTRYPOINT 来实现这个镜像:
FROM ubuntu:18.04
RUN apt-get update \
&& apt-get install -y curl \
&& rm -rf /var/lib/apt/lists/*
ENTRYPOINT [ "curl", "-s", "https://ip.cn" ]
这次我们再来尝试直接使用 docker run myip -i:
就相当于docker run myip curl -s https://ip.cn -i了
$ docker run myip
当前 IP:61.148.226.66 来自:北京市 联通
$ docker run myip -i
HTTP/1.1 200 OK
Server: nginx/1.8.0
Date: Tue, 22 Nov 2016 05:12:40 GMT
Content-Type: text/html; charset=UTF-8
Vary: Accept-Encoding
X-Powered-By: PHP/5.6.24-1~dotdeb+7.1
X-Cache: MISS from cache-2
X-Cache-Lookup: MISS from cache-2:80
X-Cache: MISS from proxy-2_6
Transfer-Encoding: chunked
Via: 1.1 cache-2:80, 1.1 proxy-2_6:8006
Connection: keep-alive
当前 IP:61.148.226.66 来自:北京市 联通
可以看到,这次成功了。这是因为当存在 ENTRYPOINT 后,CMD的内容将会作为参数传给 ENTRYPOINT,而这里 -i 就是新的 CMD,因此会作为参数传给 curl,从而达到了我们预期的效果。
场景2:应用运行前的准备工作
启动容器就是启动主进程,但有些时候,启动主进程前,需要一些准备工作。
比如 mysql 类的数据库,可能需要一些数据库配置、初始化的工作,这些工作要在最终的 mysql 服务器运行之前解决。
此外,可能希望避免使用 root 用户去启动服务,从而提高安全性,而在启动服务前还需要以 root身份执行一些必要的准备工作,最后切换到服务用户身份启动服务。或者除了服务外,其它命令依旧可以使用 root 身份执行,方便调试等。
这些准备工作是和容器 CMD 无关的,无论 CMD 为什么,都需要事先进行一个预处理的工作。这种情况下,可以写一个脚本,然后放入 ENTRYPOINT 中去执行,而这个脚本会将接到的参数(也就是 <CMD>)作为命令,在脚本最后执行。比如官方镜像 redis 中就是这么做的:
FROM alpine:3.4
...
RUN addgroup -S redis && adduser -S -G redis redis
...
ENTRYPOINT ["docker-entrypoint.sh"]
EXPOSE 6379
CMD [ "redis-server" ]
可以看到其中为了 redis 服务创建了 redis 用户,并在最后指定了 ENTRYPOINT 为 docker-entrypoint.sh 脚本。
#!/bin/sh
...
# allow the container to be started with `--user`
if [ "$1" = 'redis-server' -a "$(id -u)" = '0' ]; then
chown -R redis .
exec su-exec redis "$0" "$@"
fi
exec "$@"
该脚本的内容就是根据 CMD 的内容来判断,如果是 redis-server 的话,则切换到 redis 用户身份启动服务器,否则依旧使用 root 身份执行。比如:
$ docker run -it redis id
uid=0(root) gid=0(root) groups=0(root)
ENV 设置环境变量
格式有两种:
ENV <key> <value>ENV <key1>=<value1> <key2>=<value2>
这个指令很简单,就是设置环境变量而已,无论是后面的其他指令,如RUN,还是运行时的应用,都可以直接使用这里定义的环境变量
ENV VERSION=1.0 DEBUG=on \
NAME="Happy Feet"
这个例子中演示了如何换行,以及对含有空格的值用双引号括起来的办法,这和 Shell 下的行为是一致的。
在后续的指令中使用,如:官方的node镜像Dockerfile中就有类似这样的代码:
ENV NODE_VERSION 7.2.0
RUN curl -SLO "https://nodejs.org/dist/v$NODE_VERSION/node-v$NODE_VERSION-linux-x64.tar.xz" \
&& curl -SLO "https://nodejs.org/dist/v$NODE_VERSION/SHASUMS256.txt.asc" \
&& gpg --batch --decrypt --output SHASUMS256.txt SHASUMS256.txt.asc \
&& grep " node-v$NODE_VERSION-linux-x64.tar.xz\$" SHASUMS256.txt | sha256sum -c - \
&& tar -xJf "node-v$NODE_VERSION-linux-x64.tar.xz" -C /usr/local --strip-components=1 \
&& rm "node-v$NODE_VERSION-linux-x64.tar.xz" SHASUMS256.txt.asc SHASUMS256.txt \
&& ln -s /usr/local/bin/node /usr/local/bin/nodejs
这里先定义了环境变量NODE_VERSION,其后的RUN这层里,多次使用$NODE_VERSION来进行操作定制,可以看到,将来升级镜像构建版本的时候,只需要更新``7.2.0`即可,Dockerfile构建维护变得更加轻松。
下列指令可以支持环境变量展开: ADD、COPY、ENV、EXPOSE、LABEL、USER、WORKDIR、VOLUME、STOPSIGNAL、ONBUILD。
ARG 构建参数
格式:ARG <参数名>[=<默认值>]
构建参数和 ENV 的效果一样,都是设置环境变量。所不同的是,ARG 所设置的构建环境的环境变量,在将来容器运行时是不会存在这些环境变量的。但是不要因此就使用 ARG 保存密码之类的信息,因为 docker history 还是可以看到所有值的。
Dockerfile 中的 ARG 指令是定义参数名称,以及定义其默认值。该默认值可以在构建命令 docker build 中用 --build-arg <参数名>=<值> 来覆盖。
在 1.13 之前的版本,要求 --build-arg 中的参数名,必须在 Dockerfile 中用 ARG 定义过了,换句话说,就是 --build-arg 指定的参数,必须在 Dockerfile 中使用了。如果对应参数没有被使用,则会报错退出构建。从 1.13 开始,这种严格的限制被放开,不再报错退出,而是显示警告信息,并继续构建。这对于使用 CI 系统,用同样的构建流程构建不同的 Dockerfile 的时候比较有帮助,避免构建命令必须根据每个 Dockerfile 的内容修改。
VOLUME 定义匿名卷
格式为:
VOLUME ["<路径1>", "<路径2>"...]VOLUME <路径>
之前我们说过,容器运行时应该尽量保持容器存储层不发生写操作,对于数据库类需要保存动态数据的应用,其数据库文件应该保存于卷(volume)中,后面的章节我们会进一步介绍 Docker 卷的概念。为了防止运行时用户忘记将动态文件所保存目录挂载为卷,在 Dockerfile 中,我们可以事先指定某些目录挂载为匿名卷,这样在运行时如果用户不指定挂载,其应用也可以正常运行,不会向容器存储层写入大量数据。
VOLUME /data
这里的 /data 目录就会在运行时自动挂载为匿名卷,任何向 /data 中写入的信息都不会记录进容器存储层,从而保证了容器存储层的无状态化。当然,运行时可以覆盖这个挂载设置。比如:
docker run -d -v mydata:/data xxxx
在这行命令中,就使用了 mydata 这个命名卷挂载到了 /data 这个位置,替代了 Dockerfile 中定义的匿名卷的挂载配置。
EXPOSE 声明端口
端口与端口映射:
端口是容器运行时使用的,如 :12345 ,如果宿主机想要访问,那么就把这个端口映射到宿主机,如 80:12345,这样宿主机就有了映射到端口12345的端口映射,可以访问容器了。相当于一条路上的两扇门。
在Dockerfile中使用EXPOSE指令来暴露端口。(在docker run时指定--expose=1234与它相同),这两种方式作用相同,但是–expose可以接收端口范围作为参数,比如--expose=2000-3000。但是EXPOSE和–expose都不依赖于宿主机器。默认状态下,这些规则并不会使这些端口可以通过宿主机来访问,而是需要一个端口映射。
基于EXPOSE指令的上述限制,Dockerfile的作者一般在包含EXPOSE规则时都只将其作为哪个端口提供哪个服务的提示。使用时,还要依赖于容器的操作人员
使用-p参数显式地将一个或一组端口从容器里绑定到宿主机上,而不仅仅是提供一个端口。
参数:
ip:hostPort:containerPort| ip::containerPort \
| hostPort:containerPort | containerPort
实际中,可以忽略ip或者hostPort,但是必须要指定需要暴露的containerPort。另外,所有这些发布的规则都默认为tcp。如果需要udp,需要在最后加以指定,比如-p 1234:1234/udp。如果只是用命令docker run -p 8080:3000 my-image运行一个简单的应用程序,那么容器里运行在3000端口的服务在宿主机的8080端口也就可用了。端口不需要一样,但是在多个容器都暴露端口时,必须注意避免端口冲突。
避免冲突的最佳方法是让Docker自己分配hostPort。在上述例子里,可以选择docker run -p 3000 my_image来运行容器,而不是显式指定宿主机端口。这时,Docker会帮助选择一个宿主机端口。运行命令docker port $container_id | $container_name可以查看Docker选出的端口号。除了端口号,该命令只能显示容器运行时端口绑定信息。还可以通过在容器上运行docker inspect查看详细的网络信息,在定义了端口映射时,这样的信息就很有用。该信息在Config、HostConfig和NetworkSettings部分。
格式为 EXPOSE <端口1> [<端口2>...]。
EXPOSE 指令是声明运行时容器提供服务端口,这只是一个声明,在运行时并不会因为这个声明应用就会开启这个端口的服务。在 Dockerfile 中写入这样的声明有两个好处,一个是帮助镜像使用者理解这个镜像服务的守护端口,以方便配置映射;另一个用处则是在运行时使用随机端口映射时,也就是 docker run -P 时,会自动随机映射 EXPOSE 的端口。
要将 EXPOSE 和在运行时使用 -p <宿主端口>:<容器端口> 区分开来。-p,是映射宿主端口和容器端口,换句话说,就是将容器的对应端口服务公开给外界访问,而 EXPOSE 仅仅是声明容器打算使用什么端口而已,并不会自动在宿主进行端口映射。
WORKDIR 指定工作目录
格式为 WORKDIR <工作目录路径>。
使用 WORKDIR 指令可以来指定工作目录(或者称为当前目录),以后各层的当前目录就被改为指定的目录,如该目录不存在,WORKDIR 会帮你建立目录。
之前提到一些初学者常犯的错误是把 Dockerfile 等同于 Shell 脚本来书写,这种错误的理解还可能会导致出现下面这样的错误:
RUN cd /app
RUN echo "hello" > world.txt
如果将这个 Dockerfile 进行构建镜像运行后,会发现找不到 /app/world.txt 文件,或者其内容不是 hello。原因其实很简单,在 Shell 中,连续两行是同一个进程执行环境,因此前一个命令修改的内存状态,会直接影响后一个命令;而在 Dockerfile 中,这两行 RUN 命令的执行环境根本不同,是两个完全不同的容器。这就是对 Dockerfile 构建分层存储的概念不了解所导致的错误。
之前说过每一个 RUN 都是启动一个容器、执行命令、然后提交存储层文件变更。第一层 RUN cd /app的执行仅仅是当前进程的工作目录变更,一个内存上的变化而已,其结果不会造成任何文件变更。而到第二层的时候,启动的是一个全新的容器,跟第一层的容器更完全没关系,自然不可能继承前一层构建过程中的内存变化。
因此如果需要改变以后各层的工作目录的位置,那么应该使用 WORKDIR 指令。(同层可以使用&&连起来?)
USER 指定当前用户
格式:USER <用户名>[:<用户组>]
USER指令和WORKDIR指令相似,都是改变环境状态并影响以后的层,WORKDIR是改变工作目录,USER则是改变之后的层执行RUN、CMD、ENTRYPOINT这类命令的身份。
当然,和WORKDIR一样,USER只是帮助你切换到指定用户而已,这个用户必须是事先创建好的,否则无法切换。
RUN groupadd -r redis && useradd -r -g redis redis
USER redis
RUN [ "redis-server" ]
如果以root执行的脚本,在执行期间希望改变身份,比如希望以某个已经建立好的用户来运行某个服务进程,不要使用 su 或者 sudo,这些都需要比较麻烦的配置,而且在 TTY 缺失的环境下经常出错。建议使用 gosu。
# 建立redis用户,并使用gosu 换另一个用户执行命令
RUN groupadd -r redis && useradd -r -g redis redis
# 下载gosu
RUN wget -O /usr/local/bin/gosu "https://github.com/tianon/gosu/releases/download/1.7/gosu-amd64" \
&& chmod +x /usr/local/bin/gosu \
&& gosu nobody true
# 设置 CMD,并以另外的用户执行
CMD [ "exec", "gosu", "redis", "redis-server" ]
HEALTHCHECK 健康检查
格式:
HEALTHCHECK [选项] CMD <命令>:设置检查容器健康状况的命令HEALTHCHECK NONE:如果基础镜像有健康检查指令,使用这行可以屏蔽掉其健康检查指令
HEALTHCHECK 指令是告诉 Docker 应该如何进行判断容器的状态是否正常,这是 Docker 1.12 引入的新指令。
在没有 HEALTHCHECK 指令前,Docker 引擎只可以通过容器内主进程是否退出来判断容器是否状态异常。很多情况下这没问题,但是如果程序进入死锁状态,或者死循环状态,应用进程并不退出,但是该容器已经无法提供服务了。在 1.12 以前,Docker 不会检测到容器的这种状态,从而不会重新调度,导致可能会有部分容器已经无法提供服务了却还在接受用户请求。
而自 1.12 之后,Docker 提供了 HEALTHCHECK 指令,通过该指令指定一行命令,用这行命令来判断容器主进程的服务状态是否还正常,从而比较真实的反应容器实际状态。
当在一个镜像指定了 HEALTHCHECK 指令后,用其启动容器,初始状态会为 starting,在 HEALTHCHECK 指令检查成功后变为 healthy,如果连续一定次数失败,则会变为 unhealthy。
HEALTHCHECK 支持下列选项:
--interval=<间隔>:两次健康检查的间隔,默认为 30 秒;--timeout=<时长>:健康检查命令运行超时时间,如果超过这个时间,本次健康检查就被视为失败,默认 30 秒;--retries=<次数>:当连续失败指定次数后,则将容器状态视为unhealthy,默认 3 次。
和 CMD, ENTRYPOINT 一样,HEALTHCHECK 只可以出现一次,如果写了多个,只有最后一个生效。
在 HEALTHCHECK [选项] CMD 后面的命令,格式和 ENTRYPOINT一样,分为 shell 格式,和 exec 格式。命令的返回值决定了该次健康检查的成功与否:0:成功;1:失败;2:保留,不要使用这个值。
假设我们有个镜像是个最简单的 Web 服务,我们希望增加健康检查来判断其 Web 服务是否在正常工作,我们可以用 curl 来帮助判断,其 Dockerfile 的 HEALTHCHECK 可以这么写:
FROM nginx
RUN apt-get update && apt-get install -y curl && rm -rf /var/lib/apt/lists/*
HEALTHCHECK --interval=5s --timeout=3s \
CMD curl -fs http://localhost/ || exit 1
这里我们设置了每 5 秒检查一次(这里为了试验所以间隔非常短,实际应该相对较长),如果健康检查命令超过 3 秒没响应就视为失败,并且使用 curl -fs http://localhost/ || exit 1 作为健康检查命令。
使用 docker build 来构建这个镜像:
$ docker build -t myweb:v1 .
构建好了后,我们启动一个容器:
$ docker run -d --name web -p 80:80 myweb:v1
当运行该镜像后,可以通过 docker container ls 看到最初的状态为 (health: starting):
$ docker container ls
CONTAINER ID IMAGE COMMAND CREATED STATUS PORTS NAMES
03e28eb00bd0 myweb:v1 "nginx -g 'daemon off" 3 seconds ago Up 2 seconds (health: starting) 80/tcp, 443/tcp web
在等待几秒钟后,再次 docker container ls,就会看到健康状态变化为了 (healthy):
$ docker container ls
CONTAINER ID IMAGE COMMAND CREATED STATUS PORTS NAMES
03e28eb00bd0 myweb:v1 "nginx -g 'daemon off" 18 seconds ago Up 16 seconds (healthy) 80/tcp, 443/tcp web
如果健康检查连续失败超过了重试次数,状态就会变为 (unhealthy)。
为了帮助排障,健康检查命令的输出(包括 stdout 以及 stderr)都会被存储于健康状态里,可以用 docker inspect 来查看。
$ docker inspect --format '{{json .State.Health}}' web | python -m json.tool
{
"FailingStreak": 0,
"Log": [
{
"End": "2016-11-25T14:35:37.940957051Z",
"ExitCode": 0,
"Output": "<!DOCTYPE html>\n<html>\n<head>\n<title>Welcome to nginx!</title>\n<style>\n body {\n width: 35em;\n margin: 0 auto;\n font-family: Tahoma, Verdana, Arial, sans-serif;\n }\n</style>\n</head>\n<body>\n<h1>Welcome to nginx!</h1>\n<p>If you see this page, the nginx web server is successfully installed and\nworking. Further configuration is required.</p>\n\n<p>For online documentation and support please refer to\n<a href=\"http://nginx.org/\">nginx.org</a>.<br/>\nCommercial support is available at\n<a href=\"http://nginx.com/\">nginx.com</a>.</p>\n\n<p><em>Thank you for using nginx.</em></p>\n</body>\n</html>\n",
"Start": "2016-11-25T14:35:37.780192565Z"
}
],
"Status": "healthy"
}
ONBUILD 为他人做嫁衣
在其他镜像以当前镜像为基础镜像,去构建下一级镜像的时候才会被执行。
如果某个镜像里使用了onbuild指令,则该使用dockerfile构建镜像时不会执行onbuild部分的指令,而当以当前镜像为基础镜像,去构造一个子镜像时,则会先执行onbuild指令,在执行其他指令。但使用子镜像构建孙子镜像时就不会再执行了。(毕竟子镜像里已经执行过了)
可以用作构造子镜像前的准备工作,比如用来安装子镜像运行时的应用等。
设置镜像标签
使用docker tag命令来为镜像添加一个新的标签
docker tag 镜像ID 用户名/源镜像名:新标签名
如:
docker tag ID.... runoob/centos:dev
再次使用docker images查看,指定的ID的镜像会多一个标签
runoob@runoob:~$ docker images
REPOSITORY TAG IMAGE ID CREATED SIZE
runoob/centos 6.7 860c279d2fec 5 hours ago 190.6 MB
runoob/centos dev 860c279d2fec 5 hours ago 190.6 MB
ubuntu 14.04 90d5884b1ee0 6 days ago 188 MB
删除镜像
使用docker image rm命令来删除镜像。格式为:
$ docker image rm [选项] <镜像1> [<镜像2> ...]
其中,<镜像>可以是镜像短ID、镜像长ID、镜像名或镜像摘要
一般手动时使用镜像短ID来删除,docker images 默认列出的就已经是短ID了,不过取更短的,一般是前三个字符以上,只要足够区分于别的镜像就可以了。
比如:
$ docker image ls
REPOSITORY TAG IMAGE ID CREATED SIZE
centos latest 0584b3d2cf6d 3 weeks ago 196.5 MB
redis alpine 501ad78535f0 3 weeks ago 21.03 MB
$ docker image rm 501
Untagged: redis:alpine
Untagged: redis@sha256:f1ed3708f538b537eb9c2a7dd50dc90a706f7debd7e1196c9264edeea521a86d
Deleted: sha256:501ad78535f015d88872e13fa87a828425117e3d28075d0c117932b05bf189b7
Deleted: sha256:96167737e29ca8e9d74982ef2a0dda76ed7b430da55e321c071f0dbff8c2899b
等同于<仓库名>:<标签>:
$ docker image rm centos
等同于镜像摘要(更精确):
$ docker image ls --digests
REPOSITORY TAG DIGEST IMAGE ID CREATED SIZE
node slim sha256:b4f0e0bdeb578043c1ea6862f0d40cc4afe32a4a582f3be235a3b164422be228 6e0c4c8e3913 3 weeks ago 214 MB
$ docker image rm node@sha256:b4f0e0bdeb578043c1ea6862f0d40cc4afe32a4a582f3be235a3b164422be228
Untagged: node@sha256:b4f0e0bdeb578043c1ea6862f0d40cc4afe32a4a582f3be235a3b164422be228
可能会注意到,删除行分为两类,一类是Untagged,另一类是Deleted。之前介绍过,镜像的唯一标识是其ID和摘要,而一个镜像可以有多个标签。
因此当使用上面命令删除镜像的时候,实际上是在要求删除某个标签的镜像。所以首先需要做的是将满足我们要求的所有镜像标签都取消,这就是看到的Untagged信息。因为一个镜像可以对应多个标签,因此当删除了指定的标签后,可能还有别的标签指向了这个镜像,这种情况下Delete行为就不会发生。所以斌给所有docker image rm都会产生删除镜像的行为,有可能只是取消了某个标签而已。(就是说,一个镜像的多个标签,如果标签很多,你删除其中的一个,那么还有其他标签在这个镜像里,所以镜像不会别删除,只是删除了这个镜像里的一个标签。当只有一个标签,删除这个标签时,这个镜像也空了,这个镜像就会被删除。)
当该镜像的所有标签都被取消了,该镜像很可能已经失去了存在的意义,因此会触发删除行为。镜像是多层存储结构,因此在删除的时候,也是从上层向基础层方向依次进行判断删除。镜像的多层结构让镜像复用变动变得容易,因此很有可能某个其他镜像正依赖于当前镜像的某一层。这种情况,一就不会差法删除该层的行为。知道没有任何层依赖当前层时,才会真实的删除当前层。这就是为什么命名没有别的标签指向这个镜像,但他还是存在的原因。也是为什么有时候会发现所删除的层数和自己docker pull 看到的层数不一样的原因。
除了镜像依赖以外,还需要注意的是容器对镜像的依赖。如果有用这个镜像启动的容器存在(即使容器没有运行),那么同样不可以删除这个镜像。之前讲过,容器是以镜像为基础,再加一层容器存储层,组成这样的多层存储结构去运行的。因此该镜像如果被这个容器所依赖的,那么删除必然会导致故障。如果这些容器是不需要的,应该先将它们删除,然后再来删除镜像。
命令配合
如:列出ID并删除
删除所有仓库名为 redis 的镜像:
$ docker image rm $(docker image ls -q redis)
停止所有容器
docker stop $(docker ps -aq)
删除所有容器
docker rm $(docker ps -aq)
删除所有镜像
docker rmi $(docker images -q)
删除 Docker CE
执行以下命令来删除 Docker CE:
$ sudo yum remove docker-ce
$ sudo rm -rf /var/lib/docker
挂在主机目录/文件作为数据卷
— 博客 —
为什么需要数据卷?
这得从 docker 容器的文件系统说起。出于效率等一系列原因,docker 容器的文件系统在宿主机上存在的方式很复杂,这会带来下面几个问题:
- 不能在宿主机上很方便地访问容器中的文件。
- 无法在多个容器之间共享数据。
- 当容器删除时,容器中产生的数据将丢失。
为了解决这些问题,docker 引入了数据卷(volume) 机制。数据卷是存在于一个或多个容器中的特定文件或文件夹,这个文件或文件夹以独立于 docker 文件系统的形式存在于宿主机中。数据卷的最大特定是:其生存周期独立于容器的生存周期。
使用数据卷的最佳场景
- 在多个容器之间共享数据,多个容器可以同时以只读或者读写的方式挂载同一个数据卷,从而共享数据卷中的数据。
- 当宿主机不能保证一定存在某个目录或一些固定路径的文件时,使用数据卷可以规避这种限制带来的问题。
- 当你想把容器中的数据存储在宿主机之外的地方时,比如远程主机上或云存储上。
- 当你需要把容器数据在不同的宿主机之间备份、恢复或迁移时,数据卷是很好的选择。
docker volume 子命令
docker 专门提供了 volume 子命令来操作数据卷:
create 创建数据卷
inspect 显示数据卷的详细信息
ls 列出所有的数据卷
prune 删除所有未使用的 volumes,并且有 -f 选项
rm 删除一个或多个未使用的 volumes,并且有 -f 选项
先创建一个名称为 hello 的数据卷并通过 ls 命令进行查看:
然后可以使用 inspect 命令看看数据卷 hello 的详细信息:
在这里我们可以看到创建数据卷的时间;该数据卷使用的驱动程序为默认的 “local”,表示数据卷使用宿主机的本地存储;数据卷的挂载点,默认是本机 /var/lib/docker/volumes 下的一个目录。
最后我们可以使用 rm 或 prune 命令删除数据卷,后面笔者会介绍一些实际使用中与数据卷的删除有关的一些实践。
使用 mount 语法挂载数据卷
之前我们使用 --volume(-v) 选项来挂载数据卷,现在 docker 提供了更强大的 --mount 选项来管理数据卷。mount 选项可以通过逗号分隔的多个键值对一次提供多个配置项,因此 mount 选项可以提供比 volume 选项更详细的配置。使用 mount 选项的常用配置如下:
type 指定挂载方式,我们这里用到的是 volume,其实还可以有 bind 和 tmpfs。
volume-driver 指定挂载数据卷的驱动程序,默认值是 local。
source 指定挂载的源,对于一个命名的数据卷,这里应该指定这个数据卷的名称。在使用时可以写 source,也可以简写为 src。
destination 指定挂载的数据在容器中的路径。在使用时可以写 destination,也可以简写为 dst 或 target。
readonly 指定挂载的数据为只读。
volume-opt 可以指定多次,用来提高更多的 mount 相关的配置。
下面我们看个具体的例子:
$ docker volume create hello
$ docker run -id --mount type=volume,source=hello,target=/world ubuntu /bin/bash
我们创建了名称为 hello 的数据卷,然后把它挂在到容器中的 /world 目录。通过 inspect 命令查看容器的详情中的 “Mounts” 信息可以验证实际的数据卷挂载结果 :
使用 volume driver 把数据存储到其它地方
除了默认的把数据卷中的数据存储在宿主机,docker 还允许我们通过指定 volume driver 的方式把数据卷中的数据存储在其它的地方,比如 Azrue Storge 或 AWS 的 S3。
简单起见,我们接下来的 demo 演示如何通过 vieux/sshfs 驱动把数据卷的存储在其它的主机上。
docker 默认是不安装 vieux/sshfs 插件的,我们可以通过下面的命令进行安装:
$ docker plugin install --grant-all-permissions vieux/sshfs
然后通过 vieux/sshfs 驱动创建数据卷,并指定远程主机的登录用户名、密码和数据存放目录:
docker volume create --driver vieux/sshfs \
-o sshcmd=nick@10.32.2.134:/home/nick/sshvolume \
-o password=yourpassword \
mysshvolume
注意,请确保你指定的远程主机上的挂载点目录是存在的(demo 中是 /home/nick/sshvolume 目录),否则在启动容器时会报错。
最后在启动容器时指定挂载这个数据卷:
docker run -id \
--name testcon \
--mount type=volume,volume-driver=vieux/sshfs,source=mysshvolume,target=/world \
ubuntu /bin/bash
这就搞定了,你在容器中 /world 目录下操作的文件都存储在远程主机的 /home/nick/sshvolume 目录中。进入容器 testcon 然后在 /world 目录中创建一个文件,然后打开远程主机的 /home/nick/sshvolume 目录进行查看,你新建的文件是不是已经出现在那里了!
— gitboot —
挂载一个主机目录作为数据卷
使用 --mount 标记可以指定挂载一个本地主机的目录到容器中去。
$ docker run -d -P \
--name web \
# -v /src/webapp:/opt/webapp \
--mount type=bind,source=/src/webapp,target=/opt/webapp \
training/webapp \
python app.py
上面的命令加载主机的 /src/webapp 目录到容器的 /opt/webapp目录。这个功能在进行测试的时候十分方便,比如用户可以放置一些程序到本地目录中,来查看容器是否正常工作。本地目录的路径必须是绝对路径,以前使用 -v 参数时如果本地目录不存在 Docker 会自动为你创建一个文件夹,现在使用 --mount 参数时如果本地目录不存在,Docker 会报错。
Docker 挂载主机目录的默认权限是 读写,用户也可以通过增加 readonly 指定为 只读。
$ docker run -d -P \
--name web \
# -v /src/webapp:/opt/webapp:ro \
--mount type=bind,source=/src/webapp,target=/opt/webapp,readonly \
training/webapp \
python app.py
加了 readonly 之后,就挂载为 只读 了。如果你在容器内 /opt/webapp 目录新建文件,会显示如下错误
/opt/webapp # touch new.txt
touch: new.txt: Read-only file system
查看数据卷的具体信息
在主机里使用以下命令可以查看 web 容器的信息
$ docker inspect web
挂载主机目录 的配置信息在 “Mounts” Key 下面
"Mounts": [
{
"Type": "bind",
"Source": "/src/webapp",
"Destination": "/opt/webapp",
"Mode": "",
"RW": true,
"Propagation": "rprivate"
}
],
挂载一个本地主机文件作为数据卷
--mount 标记也可以从主机挂载单个文件到容器中
$ docker run --rm -it \
# -v $HOME/.bash_history:/root/.bash_history \
--mount type=bind,source=$HOME/.bash_history,target=/root/.bash_history \
ubuntu:18.04 \
bash
root@2affd44b4667:/# history
1 ls
2 diskutil list
这样就可以记录在容器输入过的命令了。
存在的(demo 中是 /home/nick/sshvolume 目录),否则在启动容器时会报错。
最后在启动容器时指定挂载这个数据卷:
docker run -id \
--name testcon \
--mount type=volume,volume-driver=vieux/sshfs,source=mysshvolume,target=/world \
ubuntu /bin/bash
这就搞定了,你在容器中 /world 目录下操作的文件都存储在远程主机的 /home/nick/sshvolume 目录中。进入容器 testcon 然后在 /world 目录中创建一个文件,然后打开远程主机的 /home/nick/sshvolume 目录进行查看,你新建的文件是不是已经出现在那里了!
— gitboot —
挂载一个主机目录作为数据卷
使用 --mount 标记可以指定挂载一个本地主机的目录到容器中去。
$ docker run -d -P \
--name web \
# -v /src/webapp:/opt/webapp \
--mount type=bind,source=/src/webapp,target=/opt/webapp \
training/webapp \
python app.py
上面的命令加载主机的 /src/webapp 目录到容器的 /opt/webapp目录。这个功能在进行测试的时候十分方便,比如用户可以放置一些程序到本地目录中,来查看容器是否正常工作。本地目录的路径必须是绝对路径,以前使用 -v 参数时如果本地目录不存在 Docker 会自动为你创建一个文件夹,现在使用 --mount 参数时如果本地目录不存在,Docker 会报错。
Docker 挂载主机目录的默认权限是 读写,用户也可以通过增加 readonly 指定为 只读。
$ docker run -d -P \
--name web \
# -v /src/webapp:/opt/webapp:ro \
--mount type=bind,source=/src/webapp,target=/opt/webapp,readonly \
training/webapp \
python app.py
加了 readonly 之后,就挂载为 只读 了。如果你在容器内 /opt/webapp 目录新建文件,会显示如下错误
/opt/webapp # touch new.txt
touch: new.txt: Read-only file system
查看数据卷的具体信息
在主机里使用以下命令可以查看 web 容器的信息
$ docker inspect web
挂载主机目录 的配置信息在 “Mounts” Key 下面
"Mounts": [
{
"Type": "bind",
"Source": "/src/webapp",
"Destination": "/opt/webapp",
"Mode": "",
"RW": true,
"Propagation": "rprivate"
}
],
挂载一个本地主机文件作为数据卷
--mount 标记也可以从主机挂载单个文件到容器中
$ docker run --rm -it \
# -v $HOME/.bash_history:/root/.bash_history \
--mount type=bind,source=$HOME/.bash_history,target=/root/.bash_history \
ubuntu:18.04 \
bash
root@2affd44b4667:/# history
1 ls
2 diskutil list
这样就可以记录在容器输入过的命令了。
扫一扫
1万+
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
