Docker入门-常用命令、镜像分层、容器卷_docker 查看层级

一、Docker常用命令

帮助启动类命令

• 启动docker

  systemctl start docker
  1

• 停止docker

  systemctl stop docker
  1

• 重启docker

  systemctl restart docker
  1

• 查看docker状态

  systemctl status docker
  1

• 开机启动

  systemctl enable docker
  1

• 查看docker概要信息

  docker info
  1

• 查看docker总体帮助文档

  docker --help
  1

• 查看docker命令帮助文档

  docker 具体命令 --help
  1

镜像命令

• 查看本机上的镜像

  docker images
  1

  字段说明

  REPOSITORY 表示镜像的仓库源

  TAG 镜像的标签版本号

  IMAGE ID 镜像ID

  CREATED 镜像创建时间

  SIZE 镜像大小

  注意：同一仓库源可以有多个TAG版本，代表这个仓库源的不同个版本，我们使用REPOSITORY:TAG来定义不同的镜像。如果不指定一个镜像的版本标签，默认使用最新版的镜像，例如：你只使用ubuntu，docker将默认使用ubuntu:latest镜像

  OPTOPNS说明

  • -a 列出本地所有的镜像（含历史映射层）

  • -q 只显示镜像ID

• 查找某个镜像

  docker search [OPTOPNS] 镜像名
  1

  会在docker hub（远程库/自己配置的镜像加速器）查找镜像

  OPTOPNS说明

  • –limit N 只列出前N个镜像

    如：docker search --limit 5 redis 只列出前5个redis镜像

• 拉取（下载）镜像

  docker pull 镜像名[:TAG]
  1

  没写TAG，就下载最新版本，写了就下载相应版本号

• 查看镜像/容器/数据卷所占的空间

  docker system df 
  1

  字段说明

  TYPE(类型)      TOTAL(总数)    ACTIVE(活动中的)  SIZE(大小) RECLAIMABLE(可伸缩性)
  Images           2               1               72.79MB     72.78MB (99%)
  Containers       3               0                 0B        0B
  Local Volumes    0               0                 0B        0B
  Build Cache(缓存) 0                0                 0B        0B
  1
  2
  3
  4
  5

• 删除镜像

  # 删除单个镜像  -f 强制删除
  docker rmi -f 镜像id
  docker rmi -f 镜像名
  
  # 删除多个
  docker rmi -f 镜像名1:TAG 镜像名2:TAG
  
  # 删除全部
  docker rmi -f $(docker images -qa)
  1
  2
  3
  4
  5
  6
  7
  8
  9

• 虚悬镜像

  虚悬镜像就是指仓库名、标签名都是<none> 的镜像。一般把它删掉。

容器命令

有镜像才能创建容器，这里使用ubuntu做演示

下载ubuntu镜像

docker pull ubuntu
1

• 新建+启动容器

  docker run [OPTIONS] 镜像 [COMMAND]
  1

  OPTIONS说明：有些是一个减号，有些是两个减号

  • –name=“容器新名字” 为容器指定一个名称

  • -d：后台运行容器并返回容器ID，也即启动守护式容器（后台运行）

  • -i：以交互模式运行容器，通常与 -t 同时使用

  • -t：为容器重新分配一个伪输入终端，通常与 -i 同时使用

    也即启动交互式容器（前台有伪终端，等待交互）

  • -P：随机端口映射，大写P

  • -p：指定端口映射，小写p

    参数	说明
    -p hostPort:containerPort	端口映射 -p 8080:80
    -p ip:hostPort:containerPort	配置监听地址 -p 10.0.0.100:8080:80
    -p ip::containerPort	随机分配端口 -p 10.0.0100::80
    -p hostPort:containerPort:udp	指定协议 -p 8080:80:tcp
    -p 81:80 -p 443:443	指定多个

  启动交互式容器(前台命令行)

  docker run -it ubuntu /bin/bash
  1

  参数说明：

  -i ：交互式操作

  -t：终端

  ubuntu：ubuntu镜像

  /bin/bash：存放在镜像后的是命令，这里我们希望有一个交互式Shell，因此使用的 是/bin/bash

  若要退出终端：exit

  

• 列出当前所有正在运行的容器

  docker ps [OPTIONS]
  1

  OPTIONS说明

  • -a：列出当前所有正在运行的容器+历史上运行过的容器
  • -l：显示最近创建的容器
  • -n：显示最近n个创建的容器 docker ps -n2
  • -q：静默模式，只显示容器编号

• 退出容器

  exit : run进去容器，exit退出，容器停止

  ctrl+p+q : run进去容器，ctrl+p+q退出，容器不停止

• 启动已停止运行的容器

  docker start 容器ID或者容器名
  1

  若该容器要使用shell，则启动后使用该容器

  docker attach 容器ID或者容器名
  1

• 重启容器

  docker restart 容器ID或者容器名
  1

• 停止容器

  docker stop 容器ID或者容器名
  1

• 强制停止容器

  docker kill 容器ID或者容器名
  1

• 删除已停止的容器

  docker rm 容器ID或者容器名
  1

• 强制删除容器

  docker rm -f 容器ID或者容器名
  1

• 一次性删除多个容器【谨慎使用】

  docker rm -f $(docker ps -a -q)
  # 或
  docker ps -a -q | xargs docker rm
  1
  2
  3

启动守护式容器(后台服务器)

在大部分的场景下，我们希望docker的服务是在后台运行的，我们可以通过 -d 指定容器的后台运行模式。

docker run -d 容器名
1

我们使用镜像ubuntu:latest以后台模式启动一个容器【docker run -d ubuntu】

问题：然后使用 docker ps -a 进行查看，会发现容器已经退出

很重要的要说明一点：Docker容器后台运行，就必须有一个前台进程

容器运行的命令如果不是那些一直挂起的命令（比如运行top，tail），就是会自动退出的。

这个是docker的机制问题，比如你的web容器，我们以Nginx为例，正常情况下，我们配置启动服务只需要启动响应的service即可。例如service nginx start。但是，这样做，nginx为后台进程模式运行，就导致docker前台没有运行的应用，这样的容器后台启动后，会立即自杀，是因为他觉得他没事可做了。所以，最佳的解决方案是：将你要运行的程序以前台进程的形式运行，常见就是命令行模式，表示我还有交互操作，docker就不会将他kill掉

redis前后台启动演示case

我这里以redis6.0.8演示，下载镜像

docker pull redis:6.0.8
1

前台交互式启动

docker run -it redis:6.0.8
1

后台守护式启动

docker run -d redis:6.0.8
1

• 查看容器日志

  docker logs 容器id
  1

• 查看容器内运行的进程

  docker top 容器id
  1

• 查看容器内部细节

  docker inspect 容器id
  1

• 进入正在运行的容器并以命令行交互

  • docker exec -it 容器id /bin/bash
    1

  • 重新进入容器

    docker arrach 容器id
    1

  • 上述两个区别

    attach直接进入容器启动命令的终端，不会启动新的进程，用exit退出，会导致容器的停止

    exec 是在容器中打开新的终端，并且可以启动新的进程，用exit退出，不会导致容器的停止

    推荐大家使用 docker exec 命令，因为退出容器终端，不会导致容器的停止。

  • 用之前的redis容器实例进入试试

    进入redis服务器

    docker exec -it 容器ID /bin/bash
    docker exec -it 容器ID redis-cli
    1
    2

    一般用-d后台启动的程序，再用exec进入对应容器实例

• 从容器内拷贝文件到主机上

  docker cp 容器ID:容器内路径 目的主机路径
  1

  docker cp f45e42fb7a1d:/tmp/a.txt /tmp
  1

• 导入和导出容器

  export 导出容器的内容留作为一个tar归档文件[对应import命令]

  import 从tar包中的内容创建一个新的文件系统再导入为镜像[对应export]

  案例：

  docker export 容器ID > 文件名.tar

  cat 文件名.tar | docker import - 镜像用户/镜像名:镜像版本号

  docker export f45e42fb7a1d > adcd.tar
  docker rm -f f45e42fb7a1d  # 删除原容器
  cat adcd.tar | sudo docker import - tom/ubuntu:3.7 # 导入容器
  1
  2
  3

  结果生成新的镜像

  REPOSITORY    TAG       IMAGE ID       CREATED              SIZE
  tom/ubuntu    3.7       bb18429a1ecc   About a minute ago   72.8MB
  1
  2

  运行新的容器，查看内容

  docker run -it bb18429a1ecc /bin/bash
  1

二、Docker镜像的分层

Docker镜像是一种轻量级、可执行的独立软件包，它包含运行某个软件所需的所有内容，我们把应用程序和配置依赖打包好形成一个可交付的运行环境(包括代码、运行时需要的库、环境变量和配置文件等)，这个打包好的运行环境就是image镜像文件。

只有通过这个镜像文件才能生成Docker容器实例(类似Java中new出来的一个对象)。

---

分层的镜像

镜像是分层的，以我们的pull为例，在下载过程中我们可以看到docker镜像好像是在一层一层的在下载。

UnionFS(联合文件系统)

Union文件系统（UnionFS）是一种分层、轻量级并且高性能的文件系统，它支持对文件系统的修改作为一次提交来一层层的叠加，同时可以将不同目录挂载到同一个虚拟文件系统下（unite serveral directories into a single virtual files system）。Union文件系统是Docker镜像的基础。镜像可以通过分层来进行继承，基于基础镜像（没有父镜像），可以制作各种具体的应用镜像。

特性：一次同时加载多个文件系统，但从外面看起来，只能看到一个文件系统，联合加载会把各层文件系统叠加起来，这样最终的文件系统会包含所有底层的文件和目录。

---

Docker镜像加载原理

docker的镜像实际上由一层一层的文件系统组成，这种层级的文件系统UnionFS。

bootfs(boot file system)主要包含bootloader和kernel(内核)，bootloader主要引导加载kernel，Linux刚启动时会加载bootfs文件系统，**在Docker镜像的最底层是引导文件系统bootfs。**这一层与我们典型的Linux系统是一样的，包含boot加载器和内核。当boot加载完成之后整个内核就都在内存中了，此时内存的使用权已由bootfs转交给内核，此时系统就会卸载bootfs。

bootfs(boot file system)，在bootfs之上。包含的就是典型Linux系统中的/dev、/proc、/bin、/etc等标准目录文件目录。rootfs就是各种不同操作系统发行版，比如Ubuntu，CentOS等。

对于一个精简的OS，rootfs可以很小，只需要包括最基本的命令、工具和程序库就可以了，因为底层直接使用宿主机的内核，自己只需要提供rootfs就行了。由此可见对于不同的Linux发行版，bootfs基本是一致的，rootfs会有差别，因此不同的发行版可以公用bootfs。

---

镜像分层最大的一个好处就是共享资源，方便复制迁移，就是为了复用。

比如说有多个镜像都从相同的base镜像构建而来的，那么Docker Host只需要在磁盘上保存一份base镜像，同时内存中也

需加载一份base镜像，就可以为所有容器服务了。而且镜像的每一层都可以被共享。

---

重点理解

Docker镜像层都是只读的，容器层是可写的。当容器启动时，一个新的可写层被加载到镜像的顶部。这一层通常被称作“容器层”，“容器层”之下的都叫“镜像层”。所有对容器的改动，无论添加、删除、还是修改文件都只会发生在容器层中，只有容器层是可写的，容器层下面的所有镜像层都是只读的。

commit命令

docker commit 命令的功能是：提交容器副本使之成为一个新的镜像

docker commit -m="提交的描述信息" -a="作者" 容器ID 要创建的目标镜像名[:标签名]
1

案例演示ubuntu安装vim

1、从hub上下载ubuntu镜像到本地并运行成功，原始的默认ubuntu镜像是不带vim命令的

2、外网连通环境下，在当前的ubuntu容器安装vim

# 先更新我们的包管理工具
apt-get update
# 然后安装vim
apt-get install vim
1
2
3
4

3、安装完成后，commit我们自己的新镜像

docker commit -m="add vim cmd" -a="tom" 5d77fe292507 ubuntu-vim:1.1 
1

4、启动我们的新镜像并和原来的对比

总结

Docker中的镜像分层，支持通过扩展现有的镜像，创建新的镜像。类似于Java继承与一个Base类，自己在按需扩展。新的镜像是从base镜像一层一层叠加生成的。每安装一个软件，就在现有的镜像基础上在增加一层。

三、本地镜像发布到阿里云

本地镜像发布到阿里云的流程

本地镜像推送到阿里云

打开阿里云官网，进入控制台，进入容器镜像服务

点击个人实例，确认

设置Docker客户端密码

创建命名空间

创建镜像仓库，选择命令空间，设置仓库为公开。填完仓库内容，确定，选择本地仓库，创建镜像仓库

进入仓库管理，获取操作脚本（操作指南）

将镜像推送到Registry（以下命令是自己仓库管理里面的脚本），注意要用自己仓库的脚本

# 登录阿里云Docker Registry
$ docker login --username=阿里云用户名 registry.cn-shenzhen.aliyuncs.com
1
2

出现 Login Succeeded表明登录成功

# 将镜像推送到Registry 两条命令版本号一致
$ docker tag 镜像ID registry.cn-shenzhen.aliyuncs.com/binhl/mydocker:[镜像版本号]
$ docker push registry.cn-shenzhen.aliyuncs.com/binhl/mydocker:[镜像版本号]
1
2
3

出现以下内容表明push成功

验证一下，拉取自己仓库的镜像，运行该容器

# 登录阿里云Docker Registry
$ docker login --username=阿里云用户名 registry.cn-shenzhen.aliyuncs.com
# 从Registry中拉取镜像
$ docker pull registry.cn-shenzhen.aliyuncs.com/binhl/mydocker:[镜像版本号]
1
2
3
4

推送至私有库

Docker Registry 是官方提供的工具，可以用于构建私有镜像仓库

1、下载镜像Docker Registry

docker pull registry
1

2、运行私有库Registry，相当于本地有个私有的Docker Hub

docker run -d -p 5000:5000 -v /tom/myregistry/:/tmp/registry --privileged=true registry
1

默认情况下，仓库会被创建在容器的/var/lib/registry目录下，建议自行用容器卷映射，方便于宿主机联调。 -v 参数后面的为容器卷。

3、演示创建一个新的ubuntu镜像，安装ifconfig命令

# 运行ubuntu容器，并进入容器
docker run -it ubuntu /bin/bash
# 更新包管理工具
apt-get update
# 安装ifconfig命令
apt-get install net-tools

1
2
3
4
5
6
7

4、commit我们的镜像到私有仓库

docker commit -m="ifconfig cmd add" -a="tom" 755903f31a55 tom-ubuntu:1.2
1

docker images 查看镜像

5、启动新镜像和原来的对比，发现ifconfig可用。

6、curl验证私服库上有什么镜像

curl -XGET http://192.168.10.130:5000/v2/_catalog
1

7、将新镜像tom-ubuntu:1.2修改符合私服规范的Tag

docker tag 镜像:tag Host:Port/Repository:Tag
1

自己host主机的IP地址

使用命令 docker tag 将 tom-ubuntu:1.2 这个镜像修改为192.168.10.13:5000/tom-ubuntu:1.2

docker tag tom-ubuntu:1.2 192.168.10.130:5000/tom-ubuntu:1.2
1

8、修改配置文件使之支持http

docker默认不允许http方式推送镜像，通过配置选项来取消这个限制。 修改完如果不生效，建议重启docker

查看一下之前配置阿里云镜像加速器的配置文件

cat /etc/docker/daemon.json
1

在下面添加 “insecure-registries”:[“自己主机IP:端口”]，两个配置中间要有逗号

vim /etc/docker/daemon.json
1

配置完成重启 docker systemctl restart docker

运行私有库

docker run -d -p 5000:5000 -v /tom/myregistry/:/tmp/registry --privileged=true registry
1

9、push推送到私服库

docker push 主机IP:端口/镜像名:[标签名]
1

再次验证私服库上有什么镜像

10、pull到本地运行容器

docker pull 主机IP:5000/镜像名:[标签名]
1

四、Docker容器数据卷

卷就是目录或文件，存在于一个或多个容器中，由docker挂载到容器，但不属于联合文件系统，因此能够绕过联合文件系统提供一些用于持续存储或共享数据的特性：卷的设计目的就是数据的持久化，完全独立于容器的生存周期，因此Docker不会在容器删除时，删除其挂载的数据卷。

Docker容器数据卷就是将docker容器内的数据保存在宿主主机的磁盘中，运行一个带有容器卷存储功能的容器实例。

Docker容器数据卷的方式完成数据的持久化重要数据的备份。

通过映射，将容器内的数据 备份+持久化 到本地主机目录

Docker数据卷的作用

将运行与运行的环境打包镜像，run后形成容器实例运行，但是我们对数据的要求希望是持久化的。

Docker容器产生的数据，如果不备份，那么当容器实例删除后，容器内的数据自然也就没有了。为了保存数据在docker中，我们使用卷。

特点：

1、数据卷可在容器之间共享或重用数据

2、卷中的更改可以直接实时生效

3、数据卷中的更改不会包含在镜像的更新中

4、数据卷的生命周期一直持续到没有容器使用它为止。

运行一个带有容器卷存储功能的容器实例

docekr run -it --privileged=true -v /宿主机绝对路径目录:/容器内目录 镜像名
1

–privileged=true 参数说明：

Docker 挂载主机目录访问如果出现cannot open directory :Permission denied

解决办法：在挂载目录后多加一个 **–privileged=true"**参数即可。

如果是CentOS安全模块会比之前系统版本加强，不安全的会先禁止，所以目录挂载的情况被默认为不安全的行为。在SELinux里面挂载目录被禁止掉了，如果要开启，我们一般使用 --privileged=true 命令，扩大容器的权限解决挂载目录没有权限的问题，也即使用该参数，container内的root拥有真正的root权利，否则，container内的root只是外部的一个普通用户权限。

容器与主机互通

宿主vs容器之间映射添加容器卷

直接命令添加：

docker run -it --privileged=true -v /tmp/host_data:/tmp/docker_data --name=u1 ubuntu
1

查看数据卷是否挂载成功

docker inspect 容器ID
1

"Mounts": [
            {
                "Type": "bind",
                "Source": "/tmp/host_data",
                "Destination": "/tmp/docker_data",
                "Mode": "",
                "RW": true,
                "Propagation": "rprivate"
            }
        ],
1
2
3
4
5
6
7
8
9
10

容器和宿主机之间数据共享

停止容器，在主机/tmp/host_data 下创建 stop.txt

再启动该容器，进入容器/tmp/docker_data目录下，发现stop.txt存在，实现容器与宿主机的数据共享

容器卷ro和rw读写规则

• 读写（默认）

  宿主机和容器是可读可写的

  docekr run -it --privileged=true -v /宿主机绝对路径目录:/容器内目录:rw 镜像名

  不写默认是rw

• 只读

  容器实例内部被限制，只能读取不能写

  docekr run -it --privileged=true -v /宿主机绝对路径目录:/容器内目录:ro 镜像名

卷的继承和共享

容器1完成和宿主机的映射

docker run -it --privileged=true -v /mydocker/u:/tmp/u --name=u2 ubuntu
1

容器2继承容器1对的卷规则

docker run -it --privileged=true --volumes-from 父类 --name u3 ubuntu
1

docker run -it --privileged=true --volumes-from u2 --name u3 ubuntu
1

当容器1停止了，容器2和宿主机依然互连，当容器1再次启动时，数据依然存在并且同步

五、Docker常规安装

tomcat安装

• docker search tomcat 查找镜像

• docker pull tomcat 将镜像下载到本地

• docker images 查看镜像是否下载

• 使用tomcat镜像创建容器实例(也叫运行镜像)

  docker run -d -p 8080:8080 tomcat
  1

• 访问tomcat首页

  如果出现404，解决方法

  • 端口映射出问题或者防火墙没关

  • 新版tomcat中的webapps目录是空的，原来的内容存放在webapps.dist中，删掉webapps，并将webapps.dist重命名为webapps

    rm -f webapps
    mv webapps.dist webapps
    1
    2

  处理完成之后，再次访问成功。

  免修改版说明

  docker pull billygoo/tomcat8-jdk8
  docker run -d -p 8080:8080 --name mytomcat8 billygoo/tomcat8-jdk8
  1
  2

mysql安装

• 下载镜像

  docker pull mysql:5.7
  1

简单版

• 运行mysql容器

  注意：可能自己主机的虚拟机本身就安装了MySQL，使用 ps -ef | grep mysql 查看，如果有，就kill掉，防止端口号冲突

  docker run -d -p 3306:3306 -e MYSQL_ROOT_PASSWORD=123456 -d mysql:5.7
  1

  查看容器是否启动 docker ps

  进入mysql容器

  docker exec -it 036295308f38 bash
  # 登录mysql
  mysql -uroot -p
  1
  2
  3

• windows远程连接mysql测试

• 存在的问题

  • 插入中文乱码

    # 在docker里面执行
    mysql> show variables like 'character%';
    +--------------------------+----------------------------+
    | Variable_name            | Value                      |
    +--------------------------+----------------------------+
    | character_set_client     | latin1                     |
    | character_set_connection | latin1                     |
    | character_set_database   | latin1                     |
    | character_set_filesystem | binary                     |
    | character_set_results    | latin1                     |
    | character_set_server     | latin1                     |
    | character_set_system     | utf8                       |
    | character_sets_dir       | /usr/share/mysql/charsets/ |
    +--------------------------+----------------------------+
    8 rows in set (0.00 sec)
    1
    2
    3
    4
    5
    6
    7
    8
    9
    10
    11
    12
    13
    14
    15

  • docker实例删除后，数据怎么办？

实战版（解决存在的问题）

• 新建mysql容器实例

使用容器卷对mysql数据进行备份

docker run -d -p 3306:3306 --privileged=true -v /tom/mysql/log:/var/log/mysql -v /tom/mysql/data:/var/lib/mysql -v /tom/mysql/conf:/etc/mysql/conf.d -e MYSQL_ROOT_PASSWORD=123456 --name mysql mysql:5.7
1

• 新建my.cnf

  通过容器卷同步给mysql容器实例

  在宿主机的/tom/mysql/conf目录下，新建my.cnf，输入一下内容，解决中文乱码

  [client]
  default_character_set=utf8
  [mysqld]
  collation_server=utf8_general_ci
  character_set_server=utf8
  1
  2
  3
  4
  5

  重新启动mysql容器实例再重新进入并查看字符编码，新建数据库建表，插入中文测试

  mysql> select * from t1;
  +------+--------+
  | id   | name   |
  +------+--------+
  |    1 | tom    |
  |    3 | 张三   |
  +------+--------+
  2 rows in set (0.00 sec)
  1
  2
  3
  4
  5
  6
  7
  8

• 使用了容器卷，即使删掉了此mysql容器，在运行一个带容器卷的mysql，数据还在

redis安装

• 下载镜像

  docker pull redis:6.0.8
  1

• 运行容器，使用容器卷

  在宿主机新建 /app/redis 目录

  mkdir -p /app/redis
  1

  将一个redis.conf文件模板拷贝进 /app/redis目录下

  /app/redis 目录下修改redis.conf文件

  • 开启redis验证 【可选】

    requirepass 123

  • 允许redis外地连接 【必须】

    注释掉 bind 127.0.0.1

    

  • daemonize no 【必须】

    将这一句daemonize yes 注释起来，或者daemonize no 设置，因为该配置和docker -d 参数冲突，会导致容器一直启动失败

    

  • 开启redis数据持久化 appendonly yes 【可选】

  • 保护模式关闭 protected-mode no 【可选】

  开启容器

  docker run -p 6379:6379 --name myr3 --privileged=true -v /app/redis/redis.conf:/etc/redis/redis.conf -v /app/redis/data:/data -d redis:6.0.8 redis-server /etc/redis/redis.conf
  1

• 进入容器

  docker exec -it 84319c52f96a /bin/bash
  1

• 证明docker里面的redis使用的是宿主机的redis.conf

  修改宿主机的redis.conf ， database 16 ===> database 10

  
  重启redis容器，进去容器

  docker restart myr3
  docker exec -it myr3 bash
  1
  2

  
  默认的配置文件是 database 16 执行 select 15 是不报错的，现在改为databases 10 执行。select 15 就报错了，说明宿主机的配置文件生效。