Docker 学习手册

Docker 是什么,能做什么?

  • Docker 有点像传统的虚拟机,最大的区别是不需要虚拟出一个内核,直接基于宿主内核。
  • 使用 Docker 的目的是让程序有一个一致的运行环境,方便迁移、部署。官网表示解决的最大痛点是「这段代码在我机器上没问题啊」这个问题。

三个基本概念,镜像、容器与仓库是什么?

  • 镜像:Image,就是很多层==只读==的 layers,后面会写到 Dockerfile,Dockerfile 的一个命令就是一层,所有这些层合起来编程一个 unioned file system。当然,镜像作为这些只读的 layers 合成的文件系统也是只读的。
  • 容器:Container,容器和镜像的区别就是在镜像的外面多了一层可读写的 layer。但容器未必是要在运行状态的。

基本命令有哪些?

  • create、start、stop 和 run:
    • docker run 其实等于 docker create + docker start。
    • docker create 是在 image 上加一层可读写的 layer,变成一个 container。
    • docker start 则是把这个 container 变成 running container。
    • docker stop 把 running container 停下来变成 container。
    • 常见用法:开一个交互窗口: docker run --rm -it -p 5000:80 -v /host:/local #image_id /bin/bash
      • --rm :退出之后自动删除这个 container。
      • -it :把 container 连接到 terminal。
      • -p 5000:80:把 container 的 80 端口 map 到 host 的 5000 端口。
      • -v /host:/local:把 host 的路径/host map 到 container 的 /local
      • /bin/bash :开启 container 之后运行这个命令。
  • exec:
    • 和 run 有点像,但 exec 是针对 running container 的,是在 running container里再跑一个进程。
    • 常见用法:再开一个交互窗口: docker exec -it #container_id /bin/bash
  • ps 和 images:
    • ps 列出所有 running containers,加上参数 -a,能列出所有 containers.
    • images 列出所有 images,加上参数 -a,列出所有可读层。
  • stop 和 kill:
    • 区别在于对进程是发出了 SIGTERM 还是 SIGKILL。前者可以被 block,后者强制。
  • rm 和 rmi:
    • 前者移除容器的可读写层,只能针对非运行状态的容器。
    • 后者可以移除镜像的只读层,但只能移除最顶层镜像,用 -f 可以移除中间层。
  • commit:
    • 把一个可读写层变成一个只读层,也就是把一个 container 变成 image。
  • build:
    • 输入一个镜像和 dockerfile,输出一个镜像
    • build 的本质其实是 FORM image -> docker run -> RUN command-> docker commit.
  • inspect:
    • 查看一个镜像或容器的元数据。
  • save 和 export:
    • save 只对镜像有效,生成的 tar 文件有所有镜像的层。
    • export 则会生成合并完后的一层镜像,会移除元数据和不必要的层。
  • history:
    • 显示一个镜像的 build 历史。
  • tag:
    • 给一个 image 打上 tag:docker tag ba90d13a384b updated_ubuntu:20170803

Dockerfile 的一些知识

  • FORM:
    • 指定基础镜像,FORM 必须是 Dockerfile 的第一行。有个特殊的空白 FORM 叫 scratch,这个 form 是空白的,也就是不以任何系统为基础,直接将可执行文件复制进镜像。
  • RUN,CMD,ENTRYPOINT:
    • RUN <命令>:<命令>有两种格式,一种是直接写 shell 命令CMD echo $HOME,另一种是 exec 格式RUN ["sh", "-c", "echo $HOME"]。每一个 RUN 行为都会 commit,也就是创建一层新的镜像。但是 Union FS 是有最大层数限制的,目前是不超过 127 层,因此,尽量把所有的 RUN 放到一条命令里面,用 && 把命令串起来。记得每次 RUN 最后要加 apt-get purge -y --auto-remove 清除不必要的中间文件。
    • CMD <命令>:跟 RUN 一样,有两种格式,都是跑一个命令,区别是 RUN 之后的结果是镜像,CMD 是开启容器之后的启动命令,也就是 CMD 执行完之后并不会做 commit。CMD 就一条,就算写了多条,前面的 CMD 都会被忽略,而且在 docker run 的启动命令后加上命令,Dockerfile 里的这一句会被忽略。
    • ENTRYPOINT<命令>:跟 CMD 一样,也是开启容器之后的启动命令,区别是 ENTRYPOINT 的命令可以在启动 docker 的时候补加命令行参数,相当于把整个镜像当做一个命令行工具来使用。
  • COPY,ADD:
    • COPY ./source /target:source 要相对路径,并且必须是./ 而不能是../ 或绝对路径/,COPY 不是真的 copy 文件,而是相当于把这个文件挂载到 docker 里,让 docker 能读取这些文件。ADD 除了 COPY 本身的命令之外,还有解压缩和下载 URL 调整权限的功能,功能比较复杂,但 Docker 官方的最佳实践提示:用 COPY 尽量不用 ADD.
  • ENV,ARG:
    • ENV <key> = <val>:设置环境变量,在其他命令当中可以使用。
    • ARG<key>[=<deafult val>]:设置环境变量名,可以在 docker run 命令中通过 --build-arg 来传进去。
  • EXPOSE:
    • 运行容器时,暴露出来的端口,但其实 EXPOSE 只是一个容器端口的声明,真正映射出去的,是在运行 docker 的时候 -p <宿主端口>:<容器端口> 开的。
  • WORKDIR:
    • 改变工作目录,因为在 Dockerfile 里面写下面这样的命令是没法在/app 下面找到 world.txt 的。 RUN cd /app RUN echo "hello" > world.txt
    • 因为每个 RUN 都会构造一层镜像,第一个 RUN 只发生在内存中,对文件系统不做任何修改,第二个 RUN 也就跟第一个 RUN 没有关系了。所以要用WORKDIR 才能真的切换路径。
  • VOLUME:
    • volume 可以将容器以及容器产生的数据分离开来,即使当 rm 了 container 之后,volume 也会保留下来。
    • volume 定义的路径是在 docker container 里的路径,而不是 host 宿主的路径,如果要指定 map 到宿主路径,需要在docker run 的时候用-v /host:/local 来指定。不然 volume 定义的路径会生成一个随机的 host 宿主地址去存储。实际 mount 的地址可以通过docker container inspect --format {{.Mounts}} 07c3fe7802df 命令来获得。修改对应 mount 在 host 地址内的文件夹,能直接影响 container 里面访问的文件夹内容。
    • 但在 mac 里,因为 docker 本身就是放在 VM 里面的,因此,这个路径是 docker 本身 VM 内的地址。可以先开一个 screen:screen ~/Library/Containers/com.docker.docker/Data/com.docker.driver.amd64-linux/tty 在里面可以访问 inspect 到的地址。​

从 Docker 内连接 Host 网络

  • 这部分的需求在于,比如我在 Docker 外起了一个服务,我需要从一个 app 的 Docker 内部去访问这个服务 。而因为 Docker 内部是一个虚拟环境,直接访问 localhost 肯定是没法转到宿主的,所以一个方法是知道宿主的 IP,然后通过 IP 去访问。
  • 为了最简化,直接在 Host 用 python 起一个最简单的 server. >$python -m SimpleHTTPServer 8000
  • 先试试本地能不能访问,确保 Host 可以访问: >$curl 127.0.0.1:8000 <!DOCTYPE html PUBLIC "-//W3C//DTD HTML 3.2 Final//EN"><html> <title>Directory listing for /</title> <body> <h2>Directory listing for /</h2> <hr> ...
  • 然后打开一个 docker: >$docker run --rm -it --net=host ubuntu:latest /bin/bash
  • 理论上用了--net=host 之后就可以用 localhost 访问 Host 主机了,然而: >$curl 127.0.0.1:8000 curl: (7) Failed to connect to 127.0.0.1 port 8000: Connection refused
  • 查了半天,终于发现问题原因是,我的操作系统是 OSX,docker 本身就在沙盒里。所以要用迂回的方法再获得 host ip.
  • 获得 host ip: >$ip route|awk '/default/ {print $3}' 192.168.65.1
  • 访问 host 服务: >$curl 192.168.65.1:8000 <!DOCTYPE html PUBLIC "-//W3C//DTD HTML 3.2 Final//EN"><html> <title>Directory listing for /</title> <body> <h2>Directory listing for /</h2> <hr> ...
  • 事实上,这个时候就算不用--net=host 一样可以通过 192.168.65.1:8000 访问到host 主机了。不过用ip route|awk '/default/ {print $3}' 这个命令获得不到这个 IP。
  • 使用--net=host 会导致 port mapping 失效,因此如果需要从 host 用 localhost 访问 docker 内部暴露的端口,一方面要在 Dockerfile 里加入 Expose,另一方面不能使用--net=host,所以在需要 container 和 host 双向沟通的地方,还是使用局域网 ip 吧。

本文参与腾讯云自媒体分享计划,欢迎正在阅读的你也加入,一起分享。

发表于

我来说两句

0 条评论
登录 后参与评论

相关文章

来自专栏拂晓风起

CruiseControl 安装 配置 教程 实例 搭建服务器 (CruiseControl + git/svn)

853
来自专栏张善友的专栏

Windows 7 远程服务器管理工具

通过 Windows 7 远程服务器管理工具,IT 管理员可以从运行 Windows 7 的远程计算机上管理安装在运行 Windows Server 2008 ...

2159
来自专栏性能与架构

Linux 非交互式SSH

ssh是linux管理时常用的一个服务,ssh有个特点,属于交互式操作,就是当你执行ssh时,他会要求你手动输入密码 这就给shell脚本带来了麻烦,如果想在...

3317
来自专栏Hadoop实操

如何在Kerberos环境下使用Flume采集Kafka数据写入HBase

1152
来自专栏醉生梦死

二进制安装MySQL5.7.17 原

# 将mysql-5.7.17-linux-glibc2.5-x86_64.tar.gz上传到/server/tools # 将mysql-5.7.17-li...

553
来自专栏十月梦想

MongoDB数据库备份与恢复

-h 数据库服务器地址127.0.0.1或者可以指定端口号127.0.0.1:27017

783
来自专栏轻扬小栈

XP下SQL2000的安装(ZZ)

1353
来自专栏Laoqi's Linux运维专列

parted分区GPT格式

1433
来自专栏云计算教程系列

如何在Ubuntu 14.04上使用Cassandra运行多节点群集数据库

Apache Cassandra是一个高度可扩展的开源数据库系统,在多节点设置上实现了出色的性能。

802
来自专栏宝哥的专栏

Docker系列学习文章 - docker基本使用(四)

| 导语通过上一篇文章的学习,我们把docker安装好了,那么安装好docker后该怎么使用呢?本篇文章通过一两个例子跟大家讲述下docker的基本使用。然后,...

1.1K21

扫码关注云+社区