安装完docker后，没有任何镜像是无法运行容器的，需要从仓库（公共仓库/私有仓库）中拉取镜像，基于镜像运行容器，容器可以暂停、启动、重启等操作，可以将容器保存为一个镜像，保存之后可以进行备份为一个backup.tar包，这个tar包可以被迁移到其他地方再次恢复，恢复以后又是一个镜像。镜像又可以通过被打一个私有标签tag推送到仓库中

镜像来源有三种方式：

从仓库中直接拉取

基于容器制作镜像

通过dockerfile去创建镜像

镜像：

鲸鱼拖着的所有集装箱就是一个镜像。镜像以分层的形式进行存储，类似于下图：

鲸鱼一次一般只能运一个镜像的集装箱，然后将其运回码头中心或者其他目的地

每一层都是只读的，然后把每一层加载完成之后这些文件都会被看成是同一个目录,相当于只有一个文件系统.docker的这种文件系统被称之为镜像.

容器：

只有最上面容器那一层是可读可写的，方便存储一些运行容器过程中的日志、数据和修改。

镜像是不能修改的,这样就能保证镜像可以生成多个容器独立运行,没有任何干扰.

仓库：

用于统一的管理大量的镜像，并且进行标准化的运输方式，比如A的镜像要到B，都是需要通过输入命令，使得鲸鱼来到A并把镜像运输到超级码头，B再输入命令，使得鲸鱼将相应的镜像运输到B

docker官方自带仓库：dockerHub

Docker常用命令

Docker管理容器命令

创建容器常用选项

docker run --help可以进行查看命令

-i和-t一般是组合去使用，可以进入到该容器里面

docker exec -it web bash：进入到容器里面，并可以修改里面的内容用于区分

docker run -d -e env=prod -p 88:80 --name web --restart=always nginx

prod是线上环境，test是测试环境，可以调用这个变量为环境做一些初始的配置

-p：将nginx暴露出来

88:80 右边是容器里面的服务端口，左边是宿主机端口

--name:可以一目了然的知道这个容器是用来干什么的

--restart=always：实现docker服务器重启了，容器依旧是可用的

docker ps：查看容器信息

可以通过docker inspect查看容器的详细信息

重启后容器里的数据是不会丢失的

常用管理容器命令

docker ps：

-l：查看最新操作的容器

-a：查看所有容器，包含退出的

-q：列出所有的容器ID

容器部署步骤

拉取镜像
创建并启动容器
验证是否部署成功

在浏览器中访问容器，http://+ip地址+映射的端口号（nginx）
连接redis：使用命令行客户端、使用图形界面工具

nginx默认端口：80、redis默认端口：6379、mysql默认端口：3306、tomcat默认端口：8080

要注意映射到宿主机的端口号是否有被占用

Docker Compose

应用于需要多个容器相互配合来完成某项任务的情况。可以通过配置docker-compose.yml文件同时启动多个容器。

Compose简介

概念：

Compose是Docker官方的开源项目。它是一个定义和运行多容器的docker应用工具。

通过YAML文件配置你的服务，然后通过一个命令，你能使用配置文件创建和运行所有的服务。

组成：

docker-compose将管理的容器分为三层，分别是工程、服务以及容器。

Docker-Compose运行目录下所有文件（docker-compose.yml,extends文件或环境变量文件等）组成一个工程

每个服务中定义容器运行的镜像、参数、依赖和多个容器实例

Docker-Compose安装

1、下载二进制文件

wget https://github.com/docker/compose/releases/download/1.24.0/docker-compose-Linux-x86_64

2、移动文件

mv docker-compose-Linux-x86_64 /usr/local/bin/docker-compose

3、赋予可执行权限

chmod +x /usr/local/bin/docker-compose

4、创建软链

ln -s /usr/local/bin/docker-compose /usr/bin/docker-compose

5、测试是否安装成功

docker-compose --version

Docker Compose应用

没有创建相应的tomcat、mysql和redis，只明白原理

目标：编写模板文件（docker-compose.yml)同时启动docker容器

docker-compose.yml文件比如：

步骤：

编写模板文件

创建并启动docker-compose项目（模板文件所在的目录，docker-compose.yml)
测试

网络配置说明：

Docker管理镜像命令

主要分为管理命令和命令

可以通过：docker --help进行查看

history可以查看构建历史，是通过dockerfile进行构建镜像的

从pull可以看出镜像是分层（目录）的，拉取的时候也是一层一层的进行拉取

Docker网络详解

我们在使用docker run创建Docker容器时，可以用 --net 选项指定容器的网络模式，Docker可以有以下4种网络模式：

host模式：使用 --net=host 指定。
none模式：使用 --net=none 指定。
bridge模式：使用 --net=bridge 指定，默认设置。
container模式：使用 --net=container:NAME_or_ID 指定。

Docker使用了Linux的Namespaces技术来进行资源隔离，如PID Namespace隔离进程，Mount Namespace隔离文件系统，Network Namespace隔离网络等。

Host模式：

相当于Vmware中的桥接模式，与宿主机在同一个网络中，但没有独立IP地址。

容器和宿主机共用一个Network Namespace。容器将不会虚拟出自己的网卡，配置自己的IP等，而是使用宿主机的IP和端口。

Container模式：

这个模式指定新创建的容器和已经存在的一个容器共享一个Network Namespace，并共享IP、端口范围等

注意：两个容器除了网络方面，其他的如文件系统、进程列表等还是隔离的。

None模式：

该模式将容器放置在它自己的网络栈中，但是并不进行任何配置。实际上，该模式关闭了容器的网络功能，在以下两种情况下是有用的：容器并不需要网络（例如只需要写磁盘卷的批处理任务）。

Bridge模式：

相当于Vmware中的Nat模式，容器使用独立network Namespace，并连接到docker0虚拟网卡（默认模式）。通过docker0网桥以及Iptables nat表配置与宿主机通信；bridge模式是Docker默认的网络设置，此模式会为每一个容器分配Network Namespace、设置IP等，并将一个主机上的Docker容器连接到一个虚拟网桥上。

docker0虚拟网桥，相当于一个二层交换机，可以给容器分配ip，并设置docker0的IP地址为容器的默认网关

通过Docker0和veth pair，宿主机上的连在同一网桥上的所有容器可以不受任何限制地相互通信，这可能导致拒绝服务攻击。进一步地，Docker可以通过–ip_forward和–iptables两个选项控制容器间、容器和外部世界的通信。

容器访问外部：

假设主机有一块网卡为eth0，IP地址为10.10.101.105/24，网关为10.10.101.254。从主机上一个IP为172.17.0.1/16的容器中ping百度（180.76.3.151）。IP包首先从容器发往自己的默认网关docker0，包到达docker0后，也就到达了主机上。然后会查询主机的路由表，发现包应该从主机的eth0发往主机的网关10.10.105.254/24。接着包会转发给eth0，并从eth0发出去（主机的ip_forward转发应该已经打开）。这时候，上面的Iptable规则就会起作用，对包做SNAT转换，将源地址换为eth0的地址。这样，在外界看来，这个包就是从10.10.101.105上发出来的。

Docker容器对外是不可见的。

流程：将容器的ip包通过veth pair传到主机的docker0上，然后根据路由表进行判断寻找有没有容器想要的IP地址，如果没有则会使用Iptable对包做SNAT转换，将源地址转换为主机地址向外部发出。

外部访问容器：

首先需要完成端口映射，将容器的端口暴露在主机的端口上，使用Iptable中的DNAT将目标地址进行转发，然后通过docker0找到对应的容器并连接上进行通信。

Docker和虚拟化的区别

vmware就相当于Hypervisor层，可以允许存在多个操作系统

传统虚拟机：（基于硬件进行虚拟化）

Computer Hardware：基础设备（个人电脑，数据中心的服务器）

Hypervisor：虚拟机管理系统，如：VirtualBox或VMWare

Guest OS：虚拟出来的从操作系统

APP：应用

首先需要有一个笔记本或者是服务器，在该上面安装操作系统（windows/mac系统），再安装虚拟机管理系统比如VMWare，再去创建一个虚拟机，在虚拟机虚拟出来的硬件基础上再去创建一个虚拟出来的从操作系统比如centos7，在从操作系统上再去部署各种应用。

docker容器化：

Computer Hardware：基础设备（个人电脑，数据中心的服务器）

HostOS：主操作系统（如windows/mac)

Docker Engine:

直接在主操作系统上安装docker软件，再去在docker里面安装各种应用

docker直接利用的是宿主机的内核，而虚拟机需要基于宿主机再虚拟出来一个硬件设备供虚拟机使用，所以docker处理数据是秒级且占用体积小，虚拟机处理数据是分钟级

实操部分

使用dockerfile编译创建镜像

dockerfile文件内容：

将dockerfile的压缩包通过xftp传到vm操作系统的dockerfile文件夹中

可以在网页中F12点击网络中的所有，可以查看安装的nginx版本等

暴露端口并容器数据持久化（nginx）

-v：将宿主机上的目录或文件挂载到容器中

nginx的默认访问端口是：80

注意：主机的88端口是否有被占用

意思是创建一个容器名称为web、将容器端口80暴露给宿主机88端口的并将宿主机的/opt/wwwroot目录挂载在容器的/usr/share/nginx/html中，向/usr/share/nginx/html里面添加的内容会同步在宿主机的/opt/wwwroot目录中，并且也可以在宿主机上的目录对数据进行修改

docker rm -f web：删除名称为web的容器