- 1探索 JavaScript 宇宙:DOM与BOM的星际邂逅
- 2一年实习感想_实习感悟
- 3xp系统能不能安装mysql_XP系统不能安装SQL Server 2000?
- 4探秘编程之旅:Baidu Comate 智能代码助手的魔法揭秘
- 5getStorageSync获取到的是undefined 微信小程序
- 6[flutter专题]详解AppBar小部件_flutter appbar leading
- 7github Desktop工具桌面版汉化教程_gitdesk
- 8Android Service_c# android 后台运行
- 9Spring Security 之 JWT介绍_springsecurity jwt
- 10redis 报错 Redis protected-mode 配置文件没有真正启动_denied redis is running in protected mode because
Docker简述和安装
赞
踩
#docker容器技术基础入门
###传统虚拟化与容器的区别
虚拟化分为以下两类:
-
主机级虚拟化
全虚拟化
半虚拟化 -
容器级虚拟化
-
容器分离开的资源:
UTS(主机名与域名)
Mount(文件系统挂载树)
IPC
PID进程树
User
Network(tcp/ip协议栈)
###Linux容器技术
Linux容器其实并不是什么新概念。最早的容器技术可以追遡到1982年Unix系列操作系统上的chroot工具(直到今天,主流的Unix、Linux操作系统仍然支持和带有该工具)。
###Linux Namespaces
命名空间(Namespaces)是Linux内核针对实现容器虚拟化而引入的一个强大特性。
每个容器都可以拥有自己独立的命名空间,运行其中的应用都像是在独立的操作系统中运行一样。命名空间保证了容器间彼此互不影响。
| namespaces | 系统调用参数 | 隔离内容 | 内核版本 |
|---|---|---|---|
| UTS | CLONE_NEWUTS | 主机名和域名 | 2.6.19 |
| IPC | CLONE_NEWIPC | 信号量、消息队列和共享内存 | 2.6.19 |
| PID | CLONE_NEWPID | 进程编号 | 2.6.24 |
| Network | CLONE_NEWNET | 网络设备、网络栈、端口等 | 2.6.29 |
| Mount | CLONE_NEWNS | 挂载点(文件系统) | 2.4.19 |
| User | CLONE_NEWUSER | 用户和用户组 | 3.8 |
###CGroups
控制组(CGroups)是Linux内核的一个特性,用来对共享资源进行隔离、限制、审计等。只有能控制分配到容器的资源,Docker才能避免多个容器同时运行时的系统资源竞争。
控制组可以提供对容器的内存、CPU、磁盘IO等资源进行限制。
CGroups能够限制的资源有:
-
blkio:块设备IO
-
cpu:CPU
-
cpuacct:CPU资源使用报告
-
cpuset:多处理器平台上的CPU集合
-
devices:设备访问
-
freezer:挂起或恢复任务
-
memory:内存用量及报告
-
perf_event:对cgroup中的任务进行统一性能测试
-
net_cls:cgroup中的任务创建的数据报文的类别标识符
具体来看,控制组提供如下功能: -
资源限制(Resource Limitting)组可以设置为不超过设定的内存限制。比如:内存子系统可以为进行组设定一个内存使用上限,一旦进程组使用的内存达到限额再申请内存,就会发出Out of Memory警告
-
优先级(Prioritization)通过优先级让一些组优先得到更多的CPU等资源
资源审计(Accounting)用来统计系统实际上把多少资源用到合适的目的上,可以使用cpuacct子系统记录某个进程组使用的CPU时间 -
隔离(Isolation)为组隔离命名空间,这样一个组不会看到另一个组的进程、网络连接和文件系统
-
控制(Control)挂起、恢复和重启等操作
###安装Docker后,用户可以在/sys/fs/cgroup/memory/docker/目录下看到对Docker组应用的各种限制项,包括
[root@localhost ~]# cd /sys/fs/cgroup/memory/
[root@localhost memory]# ls
cgroup.clone_children memory.kmem.slabinfo memory.memsw.limit_in_bytes memory.swappiness
cgroup.event_control memory.kmem.tcp.failcnt memory.memsw.max_usage_in_bytes memory.usage_in_bytes
cgroup.procs memory.kmem.tcp.limit_in_bytes memory.memsw.usage_in_bytes memory.use_hierarchy
cgroup.sane_behavior memory.kmem.tcp.max_usage_in_bytes memory.move_charge_at_immigrate notify_on_release
memory.failcnt memory.kmem.tcp.usage_in_bytes memory.numa_stat release_agent
memory.force_empty memory.kmem.usage_in_bytes memory.oom_control system.slice
memory.kmem.failcnt memory.limit_in_bytes memory.pressure_level tasks
memory.kmem.limit_in_bytes memory.max_usage_in_bytes memory.soft_limit_in_bytes user.slice
memory.kmem.max_usage_in_bytes memory.memsw.failcnt memory.stat
- 1
- 2
- 3
- 4
- 5
- 6
- 7
- 8
- 9
- 10
- 11
用户可以通过修改这些文件值来控制组限制Docker应用资源。
#LXC
通过传统方式使用容器功能的话需要我们自己写代码去进行系统调用来实现创建内核,实际上拥有此能力的人廖廖无几。而LXC(LinuX Container)把容器技术做得更加易用,把需要用到的容器功能做成一组工具,从而极大的简化用户使用容器技术的麻烦程度。
LXC是最早一批真正把完整的容器技术用一组简易使用的工具和模板来极大的简化了容器技术使用的一个方案。
LXC虽然极大的简化了容器技术的使用,但比起直接通过内核调用来使用容器技术,其复杂程度其实并没有多大降低,因为我们必须要学会LXC的一组命令工具,且由于内核的创建都是通过命令来实现的,通过批量命令实现数据迁移并不容易。其隔离性也没有虚拟机那么强大。
后来就出现了docker,所以从一定程度上来说,docker就是LXC的增强版。
#docker基本概念
docker是容器技术的一个前端工具,容器是内核的一项技术,docker只是把这一项技术的使用得以简化,使之普及而已。
LXC进行大规模创建容器很难,想在另一台主机上复刻一个一模一样的容器也很难,而docker就是从这方面着手去找解决方案。所以docker早期的版本其核心就是一个LXC,docker对其进行了二次封装,功能的实现是通过LXC做容器管理引擎,但是在创建容器时,不再是像LXC一样用模板去现场安装,而是事先通过一种类似镜像技术,就像在KVM中一样,将一个操作系统打包成一个镜像,然后将这个镜像拷贝到目标主机上直接部署启动。
我们可以尝试着把一个操作系统用户空间需要用到的所有组件,事先准备、编排好,编排好以后整体打包成一个文件,这个文件我们称其为镜像文件(image)。
docker的镜像文件是放在一个集中统一的互联网仓库中的,把一些人们常用的镜像文件放在互联网仓库中,比如最小化的centos系统,有时我们需要在操作系统上安装一些应用,比如nginx,我们就可以在一个最小化的centos系统中安装一个nginx,然后将其打包成镜像,将其放在互联网仓库中,当人们想启动一个容器的时候,docker会到这个互联网仓库中去下载我们需要的镜像到本地,并基于镜像来启动容器。
自docker 0.9版本起,docker除了继续支持LXC外,还开始引入自家的libcontainer,试图打造更通用的底层容器虚拟化库。如今的docker基本上都已经是使用libcontainer而非LXC了。
从操作系统功能上看,docker底层依赖的核心技术主要包括Linux操作系统的命名空间、控制组、联合文件系统和Linux虚拟网络支持。
#docker工作方式
为了使容器的使用更加易于管理,docker采取一个用户空间只跑一个业务进程的方式,在一个容器内只运行一个进程,比如我们要在一台主机上安装一个nginx和一个tomcat,那么nginx就运行在nginx的容器中,tomcat运行在tomcat的容器中,二者用容器间的通信逻辑来进行通信。
LXC是把一个容器当一个用户空间使用,当虚拟机一样使用,里面可以运行N个进程,这就使得我们在容器内去管理时极为不便,而docker用这种限制性的方式,在一个容器中只运行一个进程的方式,使得容器的管理更加方便。
使用docker的优劣:
删除一个容器不会影响其他容器
调试不便,占空间(每个容器中都必须自带调试工具,比如ps命令)
分发容易,真正意义上一次编写到处运行,比java的跨平台更彻底
部署容易,无论底层系统是什么,只要有docker,直接run就可以了
分层构建,联合挂载
在容器中有数据称作有状态,没有数据称作无状态。在容器的使用中,我们应以有状态为耻,以无状态为荣。数据不应该放在容器中,而应放置于外部存储中,通过挂载到容器中从而进行数据的存储。
#docker容器编排
当我们要去构建一个lnmp架构的时候,它们之间会有依赖关系,哪个应用应该在什么时候启动,在谁之前或之后启动,这种依赖关系我们应该要事先定义好,最好是按照一定的次序实现,而docker自身没有这个功能,所以我们需要一个在docker的基础上,能够把这种应用程序之间的依赖关系、从属关系、隶属关系等等反映在启动、关闭时的次序和管理逻辑中,这种功能被称为容器编排。
有了docker以后,运维的发布工作必须通过编排工具来实现容器的编排,如果没有编排工具,运维人员想去管理容器其实比直接管理程序要更加麻烦,增加了运维环境管理的复杂度。
常见的容器编排工具:
machine+swarm(把N个docker主机当一个主机来管理)+compose(单机编排)
mesos(实现统一资源调度和分配)+marathon
kubernetes --> k8s
#docker基础用法
什么是docker
docker中的容器:
lxc --> libcontainer --> runC
#OCI&OCF
#OCI
Open Container-initiative
由Linux基金会主导于2015年6月创立
旨在围绕容器格式和运行时制定一个开放的工业化标准
contains two specifications
the Runtime Specification(runtime-spec)
the Image Specification(image-spec)
OCF
Open Container Format
runC is a CLI tool for spawning and running containers according to the OCI specification
Containers are started as a child process of runC and can be embedded into various other systems without having to run a daemon
runC is built on libcontainer, the same container technology powering millions of Docker Engine installations
docker提供了一个专门容纳容器镜像的站点:https://hub.docker.com
#docker架构
docker镜像与镜像仓库
![[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-JdkCUMuu-1659573274053)(./1659506404621.png)]](https://img-blog.csdnimg.cn/a46d64ec1f5c441b93de3e68a799956d.png)
镜像是静态的,而容器是动态的,容器有其生命周期,镜像与容器的关系类似于程序与进程的关系。镜像类似于文件系统中的程序文件,而容器则类似于将一个程序运行起来的状态,也即进程。所以容器是可以删除的,容器被删除后其镜像是不会被删除的。
#docker对象
When you use docker, you are creating and using images, containers, networks, volumes, pluginns, and other objects.
- IMAGES
An image is a read-only template with instructions for creating a docker container.
Often, an image is based on another image, with some additional customization.
You might create your own images or you might only use those created by others and published in a registry. - CONTAINERS
A conntainer is a runnable instance of an image.
You can create, run, stop, move, or delete a container using the docker API or CLI.
You can connect a container to one or more networks, attach storage to it, or even create a new image based on its current state
#安装及使用docker
###docker安装
[root@localhost yum.repos.d]# rm -rf * [root@localhost yum.repos.d]# ls [root@localhost yum.repos.d]# [root@localhost yum.repos.d]# wget -O /etc/yum.repos.d/CentOS-Base.repo https://mirrors.aliyun.com/repo/Centos-vault-8.5.2111.repo --2022-08-03 15:01:55-- https://mirrors.aliyun.com/repo/Centos-vault-8.5.2111.repo Resolving mirrors.aliyun.com (mirrors.aliyun.com)... 58.49.248.229, 58.49.248.227, 119.96.138.212, ... Connecting to mirrors.aliyun.com (mirrors.aliyun.com)|58.49.248.229|:443... connected. HTTP request sent, awaiting response... 200 OK Length: 2495 (2.4K) [application/octet-stream] Saving to: ‘/etc/yum.repos.d/CentOS-Base.repo’ /etc/yum.repos.d/Ce 100%[===================>] 2.44K --.-KB/s in 0.004s 2022-08-03 15:01:55 (612 KB/s) - ‘/etc/yum.repos.d/CentOS-Base.repo’ saved [2495/2495] [root@localhost yum.repos.d]# sed -i -e '/mirrors.cloud.aliyuncs.com/d' -e '/mirrors.aliyuncs.com/d' /etc/yum.repos.d/CentOS-Base.repo [root@localhost yum.repos.d]# wget -c https://mirrors.aliyun.com/docker-ce/linux/centos/docker-ce.repo --2022-08-03 15:02:40-- https://mirrors.aliyun.com/docker-ce/linux/centos/docker-ce.repo Resolving mirrors.aliyun.com (mirrors.aliyun.com)... 119.96.138.216, 119.96.138.210, 58.49.248.231, ... Connecting to mirrors.aliyun.com (mirrors.aliyun.com)|119.96.138.216|:443... connected. HTTP request sent, awaiting response... 200 OK Length: 2081 (2.0K) [application/octet-stream] Saving to: ‘docker-ce.repo’ docker-ce.repo 100%[===================>] 2.03K --.-KB/s in 0.005s 2022-08-03 15:02:41 (428 KB/s) - ‘docker-ce.repo’ saved [2081/2081] [root@localhost yum.repos.d]# dnf -y install docker-ce --allowerasing [root@localhost yum.repos.d]# ls CentOS-Base.repo docker-ce.repo
- 1
- 2
- 3
- 4
- 5
- 6
- 7
- 8
- 9
- 10
- 11
- 12
- 13
- 14
- 15
- 16
- 17
- 18
- 19
- 20
- 21
- 22
- 23
- 24
- 25
- 26
- 27
- 28
- 29
- 30
- 31
- 32
###docker加速
docker-ce的配置文件是/etc/docker/daemon.json,此文件默认不存在,需要我们手动创建并进行配置,而docker的加速就是通过配置此文件来实现的。
docker的加速有多种方式:
docker cn
中国科技大学加速器
阿里云加速器(需要通过阿里云开发者平台注册帐号,免费使用个人私有的加速器)
您可以通过修改daemon配置文件/etc/docker/daemon.json来使用加速器
[root@localhost ~]#mkdir -p /etc/docker
[root@localhost ~]#vim /etc/docker/daemon.json <<-'EOF'
{
"registry-mirrors": ["https://urcxei73.mirror.aliyuncs.com"]
}
[root@localhost ~]#systemctl daemon-reload
[root@localhost ~]#systemctl restart docker
[root@localhost ~]# systemctl enable docker
- 1
- 2
- 3
- 4
- 5
- 6
- 7
- 8
- 9
- 10
- 11
#docker常规操作
#info|version docker info #显示docker的系统信息,包括镜像和容器的数量 docker version #显示docker的版本信息。 #帮助命令 docker 命令 --help #帮助命令 #镜像命令 docker images #查看所有本地主机上的镜像 可以使用docker image ls代替 docker search #搜索镜像 docker pull #下载镜像 docker image pull docker rmi #删除镜像 docker image rm #容器命令 docker run 镜像id #新建容器并启动 docker ps 列出所有运行的容器 docker container list docker rm 容器id #删除指定容器 #删除所有容器 docker rm -f $(docker ps -aq) #删除所有的容器 docker ps -a -q|xargs docker rm #删除所有的容器 #启动和停止容器 docker start 容器id #启动容器 docker restart 容器id #重启容器 docker stop 容器id #停止当前正在运行的容器 docker kill 容器id #强制停止当前容器 #退出容器 exit #容器直接退出 ctrl +P +Q #容器不停止退出 ---注意:这个很有用的操作 #其他常用命令 docker run -d 镜像名 #后台启动命令 docker logs #查看日志 docker top 容器id #查看容器中进程信息ps docker inspect 容器id #查看镜像的元数据 docker exec #进入当前容器后开启一个新的终端,可以在里面操作。(常用) docker attach # 进入容器正在执行的终端 docker cp 容器id:容器内路径 主机目的路径 #从容器内拷贝到主机上 docker attach #连接到正在运行中的容器 docker build #使用 Dockerfile 创建镜像 docker builder #管理builds docker builder prune #清除build缓存 docker checkpoint #管理checkpoints docker checkpoint create #从正在运行的容器创建检查点 docker checkpoint ls #列出容器的检查点 docker checkpoint rm #删除指定的检查点 docker commit #从容器创建一个新的镜像 docker config #管理Docker配置 docker config create #创建配置文件 docker config inspect #查看配置文件信息 docker config ls #显示docker里已经保存得配置文件 docker config rm #删除配置文件 docker container #管理容器 docker container prune #删除所有已停止的容器 docker context #管理contexts docker context create #创建一个上下文 docker context export #将上下文导出到tar或kubecconfig文件中 docker context import #从tar或zip文件导入上下文 docker context inspect #在一个或多个上下文上显示详细信息 docker context ls #列出上下文 docker context rm #删除一个或多个上下文 docker context update #更新 docker context use #设置当前docker的上下文 docker cp #用于容器与主机之间的数据拷贝 docker create #创建一个新的容器但不启动它 docker diff #检查容器里文件结构的更改 docker events #从服务器获取实时事件 docker exec #在运行的容器中执行命令 docker export #将文件系统作为一个tar归档文件导出到STDOUT docker history #查看指定镜像的创建历史 docker image #管理镜像 docker image inspect #显示一个或多个镜像的元数据 docker image ls #列出本地镜像 docker image prune #删除没有使用的镜像 docker image rm #删除一个或多个镜像 docker images #列出本地镜像 docker import #从归档文件中创建镜像 docker info #显示 Docker 系统信息,包括镜像和容器数 docker inspect #获取容器/镜像的元数据 docker kill #杀掉一个运行中的容器 docker load #导入使用 docker save 命令导出的镜像 docker login #登陆到一个Docker镜像仓库,如果未指定镜像仓库地址,默认为官方仓库 Docker Hub docker logout #登出一个Docker镜像仓库,如果未指定镜像仓库地址,默认为官方仓库 Docker Hub docker logs #获取容器的日志 docker manifest #管理manifest(实验,不应用于生产环境) docker manifest annotate #向本地镜像清单添加附加信息 docker manifest create #创建用于注释和推入注册表的本地清单列表 docker manifest inspect #显示镜像清单或清单列表 docker manifest push #将清单列表推入仓库 docker manifest rm #从本地存储中删除一个或多个清单列表 docker network #管理网络 docker network connect #将容器连接到网络 docker network create #创建一个网络 docker network disconnect #断开容器的网络 docker network inspect #显示一个或多个网络的元数据 docker network ls #列出网络 docker network prune #删除所有没有使用的网络 docker network rm #删除一个或多个网络 docker node #管理集群(swarm)节点 docker node demote #从群集(swarm)管理器中降级一个或多个节点 docker node inspect #显示一个或多个节点的元数据 docker node ls #列出群集(swarm)中的节点 docker node promote #将一个或多个节点推入到群集管理器中 docker node ps #列出在一个或多个节点上运行的任务,默认为当前节点 docker node rm #从群集(swarm)删除一个或多个节点 docker node update #更新一个节点 docker pause #暂停容器中所有的进程 docker plugin #管理插件 docker plugin create #从rootfs和配置创建一个插件。插件数据目录必须包含config.json和rootfs目录。 docker plugin disable #禁用插件 docker plugin enable #启用插件 docker plugin inspect #显示一个或多个插件的元数据 docker plugin install #安装一个插件 docker plugin ls #列出所有插件 docker plugin push #将插件推送到注册表 docker plugin rm #删除一个或多个插件 docker plugin set #更改插件的设置 docker plugin upgrade #升级现有插件 docker port #列出指定的容器的端口映射,或者查找将PRIVATE_PORT NAT到面向公众的端口 docker ps #列出容器 docker pull #从镜像仓库中拉取或者更新指定镜像 docker push #将本地的镜像上传到镜像仓库,要先登陆到镜像仓库 docker rename #重命名容器 docker restart #重启容器 docker rm #删除一个或多个容器 docker rmi #删除一个或多个镜像 docker run #创建一个新的容器并运行一个命令 docker save #将指定镜像保存成 tar 归档文件 docker search #从Docker Hub查找镜像 docker secret #管理Docker secrets docker secret create #从文件或STDIN创建一个秘密作为内容 docker secret inspect #显示有关一个或多个秘密的详细信息 docker secret ls #列出秘密 docker secret rm #删除一个或多个秘密 docker service #管理服务 docker service create #创建一个服务 docker service inspect #查看服务的元数据 docker service logs #获取服务的日志 docker service ls #列出服务 docker service ps #列出一个或多个服务的任务 docker service rm #删除一个或多个服务 docker service rollback #将更改恢复到服务的配置 docker service scale #缩放一个或多个复制服务 docker service update #更新服务 docker stack #管理堆栈 docker stack deploy #部署新的堆栈或更新现有堆栈 docker stack ls #列出现有堆栈 docker stack ps #列出堆栈中的任务 docker stack rm #删除堆栈 docker stack services #列出堆栈中的服务 docker start #启动一个或多个已经被停止的容器 docker stats #显示容器的实时流资源使用统计信息 docker stop #停止一个运行中的容器 docker swarm #管理集群(Swarm) docker swarm ca #查看或旋转当前群集CA证书。此命令必须针对管理器节点 docker swarm init #初始化一个群集(Swarm) docker swarm join #加入群集作为节点和/或管理器 docker swarm join-token #管理加入令牌 docker swarm leave #离开群集(Swarm) docker swarm unlock #解锁群集(Swarm) docker swarm unlock-key #管理解锁钥匙 docker swarm update #更新群集(Swarm) docker system #管理Docker docker system df #显示docker磁盘使用情况 docker system events #从服务器获取实时事件 docker system info #显示系统范围的信息 docker system prune #删除未使用的数据 docker tag #标记本地镜像,将其归入某一仓库 docker top #查看容器中运行的进程信息,支持 ps 命令参数 docker trust #管理Docker镜像的信任 docker trust inspect #返回有关key和签名的低级信息 docker trust key #管理登入Docker镜像的keys docker trust key generate #生成并加载签名密钥对 docker trust key load #加载私钥文件以进行签名 docker trust revoke #删除对镜像的认证 docker trust sign #镜像签名 docker trust signer #管理可以登录Docker镜像的实体 docker trust signer add #新增一个签名者 docker trust signer remove #删除一个签名者 docker unpause #恢复容器中所有的进程 docker update #更新一个或多个容器的配置 docker version #显示 Docker 版本信息 docker volume #管理volumes docker volume create #创建一个卷 docker volume inspect #显示一个或多个卷的元数据 docker volume ls #列出卷 docker volume prune #删除所有未使用的卷 docker volume rm #删除一个或多个卷 docker wait #阻塞运行直到容器停止,然后打印出它的退出代码
- 1
- 2
- 3
- 4
- 5
- 6
- 7
- 8
- 9
- 10
- 11
- 12
- 13
- 14
- 15
- 16
- 17
- 18
- 19
- 20
- 21
- 22
- 23
- 24
- 25
- 26
- 27
- 28
- 29
- 30
- 31
- 32
- 33
- 34
- 35
- 36
- 37
- 38
- 39
- 40
- 41
- 42
- 43
- 44
- 45
- 46
- 47
- 48
- 49
- 50
- 51
- 52
- 53
- 54
- 55
- 56
- 57
- 58
- 59
- 60
- 61
- 62
- 63
- 64
- 65
- 66
- 67
- 68
- 69
- 70
- 71
- 72
- 73
- 74
- 75
- 76
- 77
- 78
- 79
- 80
- 81
- 82
- 83
- 84
- 85
- 86
- 87
- 88
- 89
- 90
- 91
- 92
- 93
- 94
- 95
- 96
- 97
- 98
- 99
- 100
- 101
- 102
- 103
- 104
- 105
- 106
- 107
- 108
- 109
- 110
- 111
- 112
- 113
- 114
- 115
- 116
- 117
- 118
- 119
- 120
- 121
- 122
- 123
- 124
- 125
- 126
- 127
- 128
- 129
- 130
- 131
- 132
- 133
- 134
- 135
- 136
- 137
- 138
- 139
- 140
- 141
- 142
- 143
- 144
- 145
- 146
- 147
- 148
- 149
- 150
- 151
- 152
- 153
- 154
- 155
- 156
- 157
- 158
- 159
- 160
- 161
- 162
- 163
- 164
- 165
- 166
- 167
- 168
- 169
- 170
- 171
- 172
- 173
- 174
- 175
- 176
- 177
- 178
- 179
- 180
- 181
- 182
- 183
- 184
###docker event state
