什么是docker

Docker是使用go語(yǔ)言基于LINUX內(nèi)核的cgroup，namespace以及AUFS 類(lèi)的 Union FS 等技術(shù)，對(duì)進(jìn)程進(jìn)行封裝隔離的一種操作系統(tǒng)層面的虛擬化技術(shù)，由于隔離的進(jìn)程獨(dú)立于宿主和其它的隔離的進(jìn)程，因此也稱(chēng)其為容器。

Docker和傳統(tǒng)虛擬化技術(shù)的對(duì)比

為什么要使用 Docker

更高效的利用系統(tǒng)資源

由于Docker工作在進(jìn)程級(jí)別，不需要進(jìn)行硬件虛擬以及運(yùn)行完整操作系統(tǒng)等額外開(kāi)銷(xiāo)，所以Docker對(duì)系統(tǒng)資源的利用率更高。相比虛擬機(jī)技術(shù)，一個(gè)相同配置的主機(jī)，往往可以運(yùn)行更多數(shù)量的應(yīng)用。

更快速的啟動(dòng)時(shí)間

傳統(tǒng)的虛擬機(jī)技術(shù)啟動(dòng)應(yīng)用服務(wù)往往需要數(shù)分鐘，而 Docker容器應(yīng)用，由于直接運(yùn)行于宿主內(nèi)核，無(wú)需啟動(dòng)完整的操作系統(tǒng)，因此可以做到秒級(jí)、甚至毫秒級(jí)的啟動(dòng)時(shí)間。大大的節(jié)約了開(kāi)發(fā)、測(cè)試、部署的時(shí)間。

一致的運(yùn)行環(huán)境

由于開(kāi)發(fā)環(huán)境、測(cè)試環(huán)境、生產(chǎn)環(huán)境不一致，導(dǎo)致有些 bug 并未在開(kāi)發(fā)過(guò)程中被發(fā)現(xiàn)。Docker 的鏡像提供了除內(nèi)核外完整的運(yùn)行時(shí)環(huán)境，確保了應(yīng)用運(yùn)行環(huán)境一致性，從而不會(huì)再出現(xiàn) “這段代碼在我機(jī)器上沒(méi)問(wèn)題啊” 這類(lèi)問(wèn)題。

持續(xù)交付和部署

一次創(chuàng)建，多次運(yùn)行。通過(guò)定制應(yīng)用鏡像來(lái)實(shí)現(xiàn)持續(xù)集成、持續(xù)交付、部署。開(kāi)發(fā)人員可以通過(guò) Dockerfile 來(lái)進(jìn)行鏡像構(gòu)建，并結(jié)合持續(xù)集成(Continuous Integration)系統(tǒng)進(jìn)行集成測(cè)試，而運(yùn)維人員則可以直接在生產(chǎn)環(huán)境中快速部署該鏡像，甚至結(jié)合 持續(xù)部署(Continuous Delivery/Deployment) 系統(tǒng)進(jìn)行自動(dòng)部署。而且使用 Dockerfile 使鏡像構(gòu)建透明化，不僅僅開(kāi)發(fā)團(tuán)隊(duì)可以理解應(yīng)用運(yùn)行環(huán)境，也方便運(yùn)維團(tuán)隊(duì)理解應(yīng)用運(yùn)行所需條件，幫助更好的生產(chǎn)環(huán)境中部署該鏡像。

更輕松的遷移

Docker 確保了執(zhí)行環(huán)境的一致性，無(wú)論是物理機(jī)、虛擬機(jī)、公有云、私有云，甚至是筆記本，其運(yùn)行結(jié)果是一致的。因此可以很輕易遷移到任意上，而不用擔(dān)心運(yùn)行環(huán)境的變化導(dǎo)致應(yīng)用無(wú)法正常運(yùn)行的情況。

更輕松的維護(hù)和擴(kuò)展

Docker 使用的分層存儲(chǔ)以及鏡像的技術(shù)，Docker 團(tuán)隊(duì)同各個(gè)開(kāi)源項(xiàng)目團(tuán)隊(duì)一起維護(hù)了一大批高質(zhì)量的官方鏡像，既可以直接在生產(chǎn)環(huán)境使用，又可以作為基礎(chǔ)進(jìn)一步定制。

對(duì)比傳統(tǒng)虛擬機(jī)總結(jié)

特性	容器	虛擬機(jī)
啟動(dòng)	秒級(jí)	分鐘級(jí)
硬盤(pán)使用	一般為 MB	一般為 GB
性能	接近原生	弱于
系統(tǒng)支持量	單機(jī)支持上千個(gè)容器	一般幾十個(gè)

Docker的基本概念

Docker 鏡像

我們都知道，操作系統(tǒng)分為內(nèi)核和用戶空間。對(duì)于 Linux 而言，內(nèi)核啟動(dòng)后，會(huì)掛載根文件系統(tǒng)為其提供用戶空間支持。而 Docker 鏡像（Image），就相當(dāng)于是一個(gè)根文件系統(tǒng)。

Docker 鏡像是一個(gè)特殊的文件系統(tǒng)，除了提供容器運(yùn)行時(shí)所需的程序、庫(kù)、資源、配置等文件外，還包含了一些為運(yùn)行時(shí)準(zhǔn)備的一些配置參數(shù)（如匿名卷、環(huán)境變量、用戶等）。鏡像不包含任何動(dòng)態(tài)數(shù)據(jù)，其內(nèi)容在構(gòu)建之后也不會(huì)被改變。

分層存儲(chǔ)

因?yàn)殓R像包含操作系統(tǒng)完整的根文件系統(tǒng)，其體積往往是龐大的，因此在 Docker 設(shè)計(jì)時(shí)，就充分利用 Union FS 的技術(shù)，將其設(shè)計(jì)為分層存儲(chǔ)的架構(gòu)。所以嚴(yán)格來(lái)說(shuō)，鏡像并非是像一個(gè) ISO 那樣的打包文件，鏡像只是一個(gè)虛擬的概念，其實(shí)際體現(xiàn)并非由一個(gè)文件組成，而是由一組文件系統(tǒng)組成，或者說(shuō)，由多層文件系統(tǒng)聯(lián)合組成。

鏡像構(gòu)建時(shí)，會(huì)一層層構(gòu)建，前一層是后一層的基礎(chǔ)。每一層構(gòu)建完就不會(huì)再發(fā)生改變，后一層上的任何改變只發(fā)生在自己這一層。比如，刪除前一層文件的操作，實(shí)際不是真的刪除前一層的文件，而是僅在當(dāng)前層標(biāo)記為該文件已刪除。在最終容器運(yùn)行的時(shí)候，雖然不會(huì)看到這個(gè)文件，但是實(shí)際上該文件會(huì)一直跟隨鏡像。因此，在構(gòu)建鏡像的時(shí)候，需要額外小心，每一層盡量只包含該層需要添加的東西，任何額外的東西應(yīng)該在該層構(gòu)建結(jié)束前清理掉。

分層存儲(chǔ)的特征還使得鏡像的復(fù)用、定制變的更為容易。甚至可以用之前構(gòu)建好的鏡像作為基礎(chǔ)層，然后進(jìn)一步添加新的層，以定制自己所需的內(nèi)容，構(gòu)建新的鏡像。

Docker 容器

鏡像（Image）和容器（Container）的關(guān)系，就像是面向?qū)ο蟪绦蛟O(shè)計(jì)中的類(lèi)和實(shí)例一樣，鏡像是靜態(tài)的定義，容器是鏡像運(yùn)行時(shí)的實(shí)體。容器可以被創(chuàng)建、啟動(dòng)、停止、刪除、暫停等。

容器的實(shí)質(zhì)是進(jìn)程，但與直接在宿主執(zhí)行的進(jìn)程不同，容器進(jìn)程運(yùn)行于屬于自己的獨(dú)立的命名空間。因此容器可以擁有自己的根文件系統(tǒng)、自己的網(wǎng)絡(luò)配置、自己的進(jìn)程空間，甚至自己的用戶 ID 空間。容器內(nèi)的進(jìn)程是運(yùn)行在一個(gè)隔離的環(huán)境里，使用起來(lái)，就好像是在一個(gè)獨(dú)立于宿主的系統(tǒng)下操作一樣。這種特性使得容器封裝的應(yīng)用比直接在宿主運(yùn)行更加安全。

前面講過(guò)鏡像使用的是分層存儲(chǔ)，容器也是如此。每一個(gè)容器運(yùn)行時(shí)，是以鏡像為基礎(chǔ)層，在其上創(chuàng)建一個(gè)當(dāng)前容器的存儲(chǔ)層，我們可以稱(chēng)這個(gè)為容器運(yùn)行時(shí)讀寫(xiě)而準(zhǔn)備的存儲(chǔ)層為容器存儲(chǔ)層。

容器存儲(chǔ)層的生存周期和容器一樣，容器消亡時(shí)，容器存儲(chǔ)層也隨之消亡。因此，任何保存于容器存儲(chǔ)層的信息都會(huì)隨容器刪除而丟失。

按照 Docker 最佳實(shí)踐的要求，容器不應(yīng)該向其存儲(chǔ)層內(nèi)寫(xiě)入任何數(shù)據(jù)，容器存儲(chǔ)層要保持無(wú)狀態(tài)化。所有的文件寫(xiě)入操作，都應(yīng)該使用 數(shù)據(jù)卷（Volume）、或者綁定宿主目錄，在這些位置的讀寫(xiě)會(huì)跳過(guò)容器存儲(chǔ)層，直接對(duì)宿主(或網(wǎng)絡(luò)存儲(chǔ))發(fā)生讀寫(xiě)，其性能和穩(wěn)定性更高。

數(shù)據(jù)卷的生存周期獨(dú)立于容器，容器消亡，數(shù)據(jù)卷不會(huì)消亡。因此，使用數(shù)據(jù)卷后，容器可以隨意刪除、重新運(yùn)行，數(shù)據(jù)卻不會(huì)丟失。

Docker Registry

Docker Registry 提供了鏡像的集中的存儲(chǔ)、分發(fā)功能。一個(gè) Docker Registry 中可以包含多個(gè)倉(cāng)庫(kù)（Repository）；每個(gè)倉(cāng)庫(kù)可以包含多個(gè)標(biāo)簽（Tag）；通過(guò)?<倉(cāng)庫(kù)名>:<標(biāo)簽>?的格式來(lái)指定具體是這個(gè)軟件哪個(gè)版本的鏡像。Docker Registry 分為公有服務(wù)和私有服務(wù)，我們可以搭建一個(gè)基于本地的registry

Docker 實(shí)踐

安裝docker

添加內(nèi)核參數(shù)

tee -a /etc/sysctl.conf << EOF
net.bridge.bridge-nf-call-ip6tables = 1
net.bridge.bridge-nf-call-iptables = 1
EOF
sysctl -p

添加 yum 源，使用最新版的 docker

tee /etc/yum.repos.d/docker.repo <<-'EOF'
[dockerrepo]
name=Docker Repository
baseurl=https://mirrors.tuna.tsinghua.edu.cn/docker/yum/repo/centos7/
enabled=1
gpgcheck=1
gpgkey=https://mirrors.tuna.tsinghua.edu.cn/docker/yum/gpg
EOF

安裝 docker-engine

yum -y install  docker-engine

啟動(dòng)docker

systemctl enable docker
systemctl start docker

配置鏡像加速

由于國(guó)內(nèi)訪問(wèn)docker原站點(diǎn)非常困難，國(guó)內(nèi)的云服務(wù)提供商提供了加速功能。我們使用阿里云進(jìn)行docker加速
地址：?https://dev.aliyun.com/search.html
添加你的專(zhuān)屬地址

sed -i "s|ExecStart=/usr/bin/dockerd|ExecStart=/usr/bin/dockerd --registry-mirror=https://fz5yth0r.mirror.aliyuncs.com|g" /usr/lib/systemd/system/docker.service
systemctl daemon-reload
systemctl restart docker

查看是否加速

docker info

docker info的Registry Mirrors:里面是否有內(nèi)容

ps aux|grep dockerd

查看是否有--registry-mirror=

使用鏡像

獲取鏡像

命令格式為：

docker pull [OPTIONS] NAME[:TAG|@DIGEST]

獲取centos鏡像

docker pull centos

列出鏡像

[root@node1 docker]# docker images
#倉(cāng)庫(kù)名             #標(biāo)簽                #鏡像ID             #創(chuàng)建時(shí)間            #大小
REPOSITORY          TAG                 IMAGE ID            CREATED             SIZE
centos              latest              98d35105a391        7 days ago          192 MB

為了加速鏡像構(gòu)建、重復(fù)利用資源，Docker 會(huì)利用 中間層鏡像。所以在使用一段時(shí)間后，可能會(huì)看到一些依賴的中間層鏡像。使用-a參數(shù)來(lái)顯示中間層鏡像。

[root@node1 docker]# docker images  -a

按照指定格式輸出

docker images   --format "table {{.ID}}\t{{.Repository}}\t{{.Tag}}"

Docker commit

使用nginx 鏡像啟動(dòng)一個(gè)容器，命名為 webserver，并且把容器的80端口映射在宿主機(jī)的80端口。

docker run --name webserver -d -p 80:80 nginx

使用瀏覽器訪問(wèn)宿主機(jī)的80端口，訪問(wèn)到容器的web服務(wù)

我們更改訪問(wèn)頁(yè)面,使用exec命令進(jìn)入容器，并執(zhí)行bash命令，更改nginx的歡迎頁(yè)面內(nèi)容

docker exec -it webserver bash
echo '<h1>Hello, Docker!</h1>' > /usr/share/nginx/html/index.html
exit

我們修改了容器的存儲(chǔ)層，使用docker diff 查看文件的改動(dòng)

[root@node1 docker]# docker diff webserver
C /usr
C /usr/share
C /usr/share/nginx
C /usr/share/nginx/html
C /usr/share/nginx/html/index.html
C /run
A /run/nginx.pid
C /var
C /var/cache
C /var/cache/nginx
A /var/cache/nginx/uwsgi_temp
A /var/cache/nginx/client_temp
A /var/cache/nginx/fastcgi_temp
A /var/cache/nginx/proxy_temp
A /var/cache/nginx/scgi_temp
C /root
A /root/.bash_history

定制好頁(yè)面之后，保存為鏡像，當(dāng)我們運(yùn)行一個(gè)容器的時(shí)候（如果不使用卷的話），我們做的任何文件修改都會(huì)被記錄于容器存儲(chǔ)層里。而 Docker 提供了一個(gè) docker commit 命令，可以將容器的存儲(chǔ)層保存下來(lái)成為鏡像。換句話說(shuō)，就是在原有鏡像的基礎(chǔ)上，再疊加上容器的存儲(chǔ)層，并構(gòu)成新的鏡像。

 docker commit \
    --author "xiaohou <xxx@163.com>" \
    --message "修改了默認(rèn)網(wǎng)頁(yè)" \
    webserver \
    nginx:v2

使用docker image查看新的鏡像

[root@node1 docker]# docker images nginx
REPOSITORY          TAG                 IMAGE ID            CREATED              SIZE
nginx               v2                  2be7bf1f91da        About a minute ago   182 MB
nginx               latest              6b914bbcb89e        3 weeks ago          182 MB

還可以用 docker history 具體查看鏡像內(nèi)的歷史記錄，如果比較 nginx:latest 的歷史記錄

[root@node1 docker]# docker history nginx:v2
IMAGE               CREATED             CREATED BY                                      SIZE                COMMENT
2be7bf1f91da        2 minutes ago       nginx -g daemon off;                            97 B                修改了默認(rèn)網(wǎng)頁(yè)
6b914bbcb89e        3 weeks ago         /bin/sh -c #(nop)  CMD ["nginx" "-g" "daem...   0 B                 
<missing>           3 weeks ago         /bin/sh -c #(nop)  EXPOSE 443/tcp 80/tcp        0 B                 
<missing>           3 weeks ago         /bin/sh -c ln -sf /dev/stdout /var/log/ngi...   0 B                 
<missing>           3 weeks ago         /bin/sh -c apt-key adv --keyserver hkp://p...   58.8 MB             
<missing>           3 weeks ago         /bin/sh -c #(nop)  ENV NGINX_VERSION=1.11....   0 B                 
<missing>           3 weeks ago         /bin/sh -c #(nop)  MAINTAINER NGINX Docker...   0 B                 
<missing>           3 weeks ago         /bin/sh -c #(nop)  CMD ["/bin/bash"]            0 B                 
<missing>           3 weeks ago         /bin/sh -c #(nop) ADD file:41ac8d85ee35954...   123 MB              

新的鏡像定制好后，我們可以來(lái)運(yùn)行這個(gè)鏡像,訪問(wèn)宿主機(jī)的81端口

docker run --name web2 -d -p 81:80 nginx:v2

慎用 docker commit

觀察之前的 docker diff webserver 的結(jié)果，你會(huì)發(fā)現(xiàn)除了真正想要修改的 /usr/share/nginx/html/index.html 文件外，還有很多文件被改動(dòng)或添加了。如果是安裝軟件包、編譯構(gòu)建，那會(huì)有大量的無(wú)關(guān)內(nèi)容被添加進(jìn)來(lái)，將會(huì)導(dǎo)致鏡像極為臃腫。

使用 docker commit 意味著除了制作鏡像的人知道執(zhí)行過(guò)什么命令、怎么生成的鏡像，別人根本無(wú)從得知。而且，即使是這個(gè)制作鏡像的人，過(guò)一段時(shí)間后也無(wú)法記清具體在操作的。

如果使用 docker commit 制作鏡像，由于只在當(dāng)前層操作，后期修改的話，每一次修改都會(huì)讓鏡像更加臃腫一次，所刪除的上一層的東西并不會(huì)丟失，會(huì)一直如影隨形的跟著這個(gè)鏡像，即使根本無(wú)法訪問(wèn)到™。這會(huì)讓鏡像更加臃腫。

docker commit 命令除了學(xué)習(xí)之外，還有一些特殊的應(yīng)用場(chǎng)合，比如被入侵后保存現(xiàn)場(chǎng)等。但是，不要使用 docker commit 定制鏡像，定制行為應(yīng)該使用 Dockerfile 來(lái)完成。

Dockerfile

Dockerfile是一個(gè)文本文件，用來(lái)來(lái)構(gòu)建、定制鏡像。之前使用 docker commit 提及的無(wú)法重復(fù)的問(wèn)題、鏡像構(gòu)建透明性的問(wèn)題、體積的問(wèn)題就都會(huì)解決。

使用docker file 定制nginx鏡像

mkdir ~/mynginx
cd ~/mynginx
vim   Dockerfile
FROM nginx
RUN echo '<h1>Hello, Docker!</h1>' > /usr/share/nginx/html/index.html

FROM：

指定一個(gè)基礎(chǔ)鏡像，可以直接拿來(lái)使用的服務(wù)類(lèi)的鏡像，如ubuntu、debian、centos、fedora、alpine、nginx、redis、mongo、mysql、httpd、php、tomcat 等。

指定一個(gè)空白鏡像

FROM scratch
RUN  ...

RUN:

RUN 指令是用來(lái)執(zhí)行命令行命令。其格式有兩種。

• SHELL格式：

RUN echo '<h1>Hello, Docker!</h1>' > /usr/share/nginx/html/index.html

• exec 格式:

RUN ["可執(zhí)行文件", "參數(shù)1", "參數(shù)2"]

在使用shell模式編寫(xiě)時(shí)，不建議每個(gè)命令都寫(xiě)一層RUN，每一個(gè) RUN 的行為，就和剛才我們手工建立鏡像的過(guò)程一樣：新建立一層，在其上執(zhí)行這些命令，執(zhí)行結(jié)束后，commit 這一層的修改，構(gòu)成新的鏡像。Union FS 是有最大層數(shù)限制的，比如 AUFS，曾經(jīng)是最大不得超過(guò) 42 層，現(xiàn)在是不得超過(guò) 127 層。

正確dockerfile寫(xiě)法

FROM debian:jessie

RUN buildDeps='gcc libc6-dev make' \
    && apt-get update \
    && apt-get install -y $buildDeps \
    && wget -O redis.tar.gz "http://download.redis.io/releases/redis-3.2.5.tar.gz" \
    && mkdir -p /usr/src/redis \
    && tar -xzf redis.tar.gz -C /usr/src/redis --strip-components=1 \
    && make -C /usr/src/redis \
    && make -C /usr/src/redis install \
    && rm -rf /var/lib/apt/lists/* \
    && rm redis.tar.gz \
    && rm -r /usr/src/redis \
    && apt-get purge -y --auto-remove $buildDeps

不建議的寫(xiě)法：

FROM debian:jessie

RUN apt-get update
RUN apt-get install -y gcc libc6-dev make
RUN wget -O redis.tar.gz "http://download.redis.io/releases/redis-3.2.5.tar.gz"
RUN mkdir -p /usr/src/redis
RUN tar -xzf redis.tar.gz -C /usr/src/redis --strip-components=1
RUN make -C /usr/src/redis
RUN make -C /usr/src/redis install

構(gòu)建鏡像

cd ~/mynginx/
# -t:指定標(biāo)簽
docker build -t nginx:v3 .

鏡像構(gòu)建上下文（Context）

在 docker build 命令最后有一個(gè)?.?。.?表示當(dāng)前目錄，而 Dockerfile 就在當(dāng)前目錄，因此不少初學(xué)者以為這個(gè)路徑是在指定 Dockerfile 所在路徑，這么理解其實(shí)是不準(zhǔn)確的。如果對(duì)應(yīng)上面的命令格式，你可能會(huì)發(fā)現(xiàn)，這是在指定上下文路徑。那么什么是上下文呢？

首先我們要理解 docker build 的工作原理。Docker 在運(yùn)行時(shí)分為 Docker 引擎（也就是服務(wù)端守護(hù)進(jìn)程）和客戶端工具。Docker 的引擎提供了一組 REST API，被稱(chēng)為 Docker Remote API，而如 docker 命令這樣的客戶端工具，則是通過(guò)這組 API 與 Docker 引擎交互，從而完成各種功能。因此，雖然表面上我們好像是在本機(jī)執(zhí)行各種 docker 功能，但實(shí)際上，一切都是使用的遠(yuǎn)程調(diào)用形式在服務(wù)端（Docker 引擎）完成。也因?yàn)檫@種 C/S 設(shè)計(jì)，讓我們操作遠(yuǎn)程服務(wù)器的 Docker 引擎變得輕而易舉。

當(dāng)我們進(jìn)行鏡像構(gòu)建的時(shí)候，并非所有定制都會(huì)通過(guò) RUN 指令完成，經(jīng)常會(huì)需要將一些本地文件復(fù)制進(jìn)鏡像，比如通過(guò) COPY 指令、ADD 指令等。而 docker build 命令構(gòu)建鏡像，其實(shí)并非在本地構(gòu)建，而是在服務(wù)端，也就是 Docker 引擎中構(gòu)建的。那么在這種客戶端/服務(wù)端的架構(gòu)中，如何才能讓服務(wù)端獲得本地文件呢？

這就引入了上下文的概念。當(dāng)構(gòu)建的時(shí)候，用戶會(huì)指定構(gòu)建鏡像上下文的路徑，docker build 命令得知這個(gè)路徑后，會(huì)將路徑下的所有內(nèi)容打包，然后上傳給 Docker 引擎。這樣 Docker 引擎收到這個(gè)上下文包后，展開(kāi)就會(huì)獲得構(gòu)建鏡像所需的一切文件。

如果在 Dockerfile 中這么寫(xiě)：

COPY ./package.json /app/

這并不是要復(fù)制執(zhí)行 docker build 命令所在的目錄下的 package.json，也不是復(fù)制 Dockerfile 所在目錄下的 package.json，而是復(fù)制 上下文（context） 目錄下的 package.json。

因此，COPY 這類(lèi)指令中的源文件的路徑都是相對(duì)路徑。這也是初學(xué)者經(jīng)常會(huì)問(wèn)的為什么 COPY ../package.json /app 或者 COPY /opt/xxxx /app 無(wú)法工作的原因，因?yàn)檫@些路徑已經(jīng)超出了上下文的范圍，Docker 引擎無(wú)法獲得這些位置的文件。如果真的需要那些文件，應(yīng)該將它們復(fù)制到上下文目錄中去。

如果觀察 docker build 輸出，我們其實(shí)已經(jīng)看到了這個(gè)發(fā)送上下文的過(guò)程：

[root@node1 mynginx]# docker build -t nginx:v3 .
Sending build context to Docker daemon 2.048 kB
Step 1/2 : FROM nginx
 ---> 6b914bbcb89e
Step 2/2 : RUN echo '<h1>Hello, Docker!</h1>' > /usr/share/nginx/html/index.html
 ---> Running in e3405aef8ac5
 ---> 11c14b5ee07d
Removing intermediate container e3405aef8ac5
Successfully built 11c14b5ee07d

理解構(gòu)建上下文對(duì)于鏡像構(gòu)建是很重要的，避免犯一些不應(yīng)該的錯(cuò)誤。比如有些初學(xué)者在發(fā)現(xiàn) COPY /opt/xxxx /app 不工作后，于是干脆將 Dockerfile 放到了硬盤(pán)根目錄去構(gòu)建，結(jié)果發(fā)現(xiàn) docker build 執(zhí)行后，在發(fā)送一個(gè)幾十 GB 的東西，極為緩慢而且很容易構(gòu)建失敗。那是因?yàn)檫@種做法是在讓 docker build 打包整個(gè)硬盤(pán)，這顯然是使用錯(cuò)誤。

一般來(lái)說(shuō)，應(yīng)該會(huì)將 Dockerfile 置于一個(gè)空目錄下，或者項(xiàng)目根目錄下。如果該目錄下沒(méi)有所需文件，那么應(yīng)該把所需文件復(fù)制一份過(guò)來(lái)。如果目錄下有些東西確實(shí)不希望構(gòu)建時(shí)傳給 Docker 引擎，那么可以用 .gitignore 一樣的語(yǔ)法寫(xiě)一個(gè) .dockerignore，該文件是用于剔除不需要作為上下文傳遞給 Docker 引擎的。

那么為什么會(huì)有人誤以為 . 是指定 Dockerfile 所在目錄呢？這是因?yàn)樵谀J(rèn)情況下，如果不額外指定 Dockerfile 的話，會(huì)將上下文目錄下的名為 Dockerfile 的文件作為 Dockerfile。

這只是默認(rèn)行為，實(shí)際上 Dockerfile 的文件名并不要求必須為 Dockerfile，而且并不要求必須位于上下文目錄中，比如可以用 -f ../Dockerfile.php 參數(shù)指定某個(gè)文件作為 Dockerfile。

當(dāng)然，一般大家習(xí)慣性的會(huì)使用默認(rèn)的文件名 Dockerfile，以及會(huì)將其置于鏡像構(gòu)建上下文目錄中。

Dockerfile 指令

COPY：

格式：

• SHELL格式：

COPY <源路徑>... <目標(biāo)路徑>

• exec 格式:

COPY ["<源路徑1>",... "<目標(biāo)路徑>"]

"源路徑"可以是多個(gè)，也可以是通配符，其通配符規(guī)則要滿足 Go 的 filepath.Match 規(guī)則，如：

COPY hom* /mydir/
COPY hom?.txt /mydir/

"目標(biāo)路徑"可以是容器內(nèi)的絕對(duì)路徑，也可以是相對(duì)于工作目錄的相對(duì)路徑（工作目錄可以用 WORKDIR 指令來(lái)指定）。目標(biāo)路徑不需要事先創(chuàng)建，如果目錄不存在會(huì)在復(fù)制文件前先行創(chuàng)建缺失目錄。

使用 COPY 指令，源文件的各種元數(shù)據(jù)都會(huì)保留。比如讀、寫(xiě)、執(zhí)行權(quán)限、文件變更時(shí)間等。這個(gè)特性對(duì)于鏡像定制很有用。特別是構(gòu)建相關(guān)文件都在使用 Git 進(jìn)行管理的時(shí)候。

ADD

"源路徑"可以是一個(gè) URL，這種情況下，Docker 引擎會(huì)試圖去下載這個(gè)鏈接的文件放到"目標(biāo)路徑"。下載后的文件權(quán)限自動(dòng)設(shè)置為600。

如果這并不是想要的權(quán)限，那么還需要增加額外的一層 RUN 進(jìn)行權(quán)限調(diào)整。

如果"源路徑"為一個(gè) tar.gzip,tar.bzip2,tar.xz的文件，ADD 指令將會(huì)自動(dòng)解壓縮這個(gè)壓縮文件到"目標(biāo)路徑"去。

FROM scratch
ADD ubuntu-xenial-core-cloudimg-amd64-root.tar.gz /

在 Docker 官方的最佳實(shí)踐文檔中要求，盡可能的使用 COPY，因?yàn)?COPY 的語(yǔ)義很明確，就是復(fù)制文件而已，而 ADD 則包含了更復(fù)雜的功能，其行為也不一定很清晰。最適合使用 ADD 的場(chǎng)合，就是所提及的需要自動(dòng)解壓縮的場(chǎng)合。

CMD

CMD 指令的格式和 RUN 相似，也是兩種格式：

• shell 格式：

 CMD <命令>

• exec 格式：

CMD ["可執(zhí)行文件", "參數(shù)1", "參數(shù)2"...]

• 參數(shù)列表格式：

CMD ["參數(shù)1", "參數(shù)2"...]。

在指定了 ENTRYPOINT 指令后，用 CMD 指定具體的參數(shù)。

之前介紹容器的時(shí)候曾經(jīng)說(shuō)過(guò)，Docker 不是虛擬機(jī)，容器就是進(jìn)程。既然是進(jìn)程，那么在啟動(dòng)容器的時(shí)候，需要指定所運(yùn)行的程序及參數(shù)。CMD 指令就是用于指定默認(rèn)的容器主進(jìn)程的啟動(dòng)命令的。

在運(yùn)行時(shí)可以指定新的命令來(lái)替代鏡像設(shè)置中的這個(gè)默認(rèn)命令，鏡像默認(rèn)的 CMD 是 /bin/bash ，如果我們直接?docker run -it centos?的話，會(huì)直接進(jìn)入?bash。我們也可以在運(yùn)行時(shí)指定運(yùn)行別的命令，如?docker run -it ubuntu cat /etc/os-release。這就是用?cat /etc/os-release命令替換了默認(rèn)的 /bin/bash 命令了，輸出了系統(tǒng)版本信息。

在指令格式上，一般推薦使用?exec?格式，這類(lèi)格式在解析時(shí)會(huì)被解析為 JSON 數(shù)組，因此一定要使用雙引號(hào)?"，而不要使用單引號(hào)。

如果使用 shell 格式的話，實(shí)際的命令會(huì)被包裝為sh -c?的參數(shù)的形式進(jìn)行執(zhí)行。比如：

CMD echo $HOME

在實(shí)際執(zhí)行中，會(huì)將其變更為：

CMD [ "sh", "-c", "echo $HOME" ]

這就是為什么我們可以使用環(huán)境變量的原因，因?yàn)檫@些環(huán)境變量會(huì)被 shell 進(jìn)行解析處理。

Docker 不是虛擬機(jī)，容器中的應(yīng)用都應(yīng)該以前臺(tái)執(zhí)行，而不是像虛擬機(jī)、物理機(jī)里面那樣，用 upstart/systemd 去啟動(dòng)后臺(tái)服務(wù)，容器內(nèi)沒(méi)有后臺(tái)服務(wù)的概念。

一些初學(xué)者將?CMD?寫(xiě)為：

CMD service nginx start

然后發(fā)現(xiàn)容器執(zhí)行后就立即退出了。甚至在容器內(nèi)去使用?systemctl?命令結(jié)果卻發(fā)現(xiàn)根本執(zhí)行不了。這就是因?yàn)闆](méi)有搞明白前臺(tái)、后臺(tái)的概念，沒(méi)有區(qū)分容器和虛擬機(jī)的差異，依舊在以傳統(tǒng)虛擬機(jī)的角度去理解容器。

對(duì)于容器而言，其啟動(dòng)程序就是容器應(yīng)用進(jìn)程，容器就是為了主進(jìn)程而存在的，主進(jìn)程退出，容器就失去了存在的意義，從而退出，其它輔助進(jìn)程不是它需要關(guān)心的東西。

而使用service nginx start命令，則是希望 upstart 來(lái)以后臺(tái)守護(hù)進(jìn)程形式啟動(dòng) nginx 服務(wù)。而剛才說(shuō)了 CMD service nginx start 會(huì)被理解為 CMD [ "sh", "-c", "service nginx start"]，因此主進(jìn)程實(shí)際上是 sh。那么當(dāng) service nginx start 命令結(jié)束后，sh 也就結(jié)束了，sh 作為主進(jìn)程退出了，自然就會(huì)令容器退出。

正確的做法是直接執(zhí)行 nginx 可執(zhí)行文件，并且要求以前臺(tái)形式運(yùn)行。比如：

CMD ["nginx", "-g", "daemon off;"]

ENTRYPOINT

ENTRYPOINT 的目的和 CMD 一樣，都是在指定容器啟動(dòng)程序及參數(shù)。ENTRYPOINT 在運(yùn)行時(shí)也可以替代，不過(guò)比 CMD 要略顯繁瑣，需要通過(guò) docker run 的參數(shù) --entrypoint 來(lái)指定。

當(dāng)指定了 ENTRYPOINT 后，CMD 的含義就發(fā)生了改變，不再是直接的運(yùn)行其命令，而是將 CMD 的內(nèi)容作為參數(shù)傳給 ENTRYPOINT 指令，換句話說(shuō)實(shí)際執(zhí)行時(shí)，將變?yōu)椋?/p>

<ENTRYPOINT> "<CMD>"

場(chǎng)景一：讓鏡像變成像命令一樣使用

假設(shè)我們需要一個(gè)得知自己當(dāng)前公網(wǎng) IP 的鏡像，那么可以先用 CMD 來(lái)實(shí)現(xiàn)：

mkdir ~/myip/
cd ~/myip/
tee Dockerfile <<'EOF'
FROM centos
RUN  yum -y install wget \
     && wget -O /etc/yum.repos.d/CentOS-Base.repo http://mirrors.aliyun.com/repo/Centos-7.repo \
     &&wget -O /etc/yum.repos.d/epel.repo http://mirrors.aliyun.com/repo/epel-7.repo \
     &&yum -y install  curl
CMD [ "curl", "-s", "http://ip.cn" ]
EOF
docker build  -t myip .

啟動(dòng)一個(gè)容器測(cè)試

[root@node1 myip]# docker run  myip
當(dāng)前 IP：123.117.85.77 來(lái)自：北京市 聯(lián)通

這么看起來(lái)好像可以直接把鏡像當(dāng)做命令使用了，如果我們希望加參數(shù)呢？從上面的 CMD 中可以看到實(shí)質(zhì)的命令是 curl，那么如果我們希望顯示 HTTP 頭信息，就需要加上 -i 參數(shù)。那么我們可以直接加 -i 參數(shù)給 docker run myip 么？

[root@node1 myip]# docker rum myip -i
unknown shorthand flag: 'i' in -i
See 'docker --help'.
...

跟在鏡像名后面的是 command，運(yùn)行時(shí)會(huì)替換 CMD 的默認(rèn)值。因此這里的 -i 替換了原來(lái)的 CMD，而不是添加在原來(lái)的 curl -s?http://ip.cn?后面。而 -i 根本不是命令，所以自然找不到。

如果我們希望加入 -i 這參數(shù)，我們就必須重新完整的輸入這個(gè)命令：

[root@node1 myip]# docker run myip curl -s http://ip.cn -i
HTTP/1.1 200 OK
Server: nginx/1.10.0 (Ubuntu)
Date: Fri, 24 Mar 2017 02:21:43 GMT
Content-Type: text/html; charset=UTF-8
Transfer-Encoding: chunked
Connection: keep-alive

當(dāng)前 IP：123.117.85.77 來(lái)自：北京市 

而使用 ENTRYPOINT 就可以給 docker 傳參，修改docker鏡像

cd ~/myip/
tee Dockerfile <<'EOF'
FROM centos
RUN  yum -y install wget \
     && wget -O /etc/yum.repos.d/CentOS-Base.repo http://mirrors.aliyun.com/repo/Centos-7.repo \
     &&wget -O /etc/yum.repos.d/epel.repo http://mirrors.aliyun.com/repo/epel-7.repo \
     &&yum -y install  curl
ENTRYPOINT [ "curl", "-s", "http://ip.cn" ]
EOF
docker build  -t myip .

再次運(yùn)行

[root@node1 myip]# docker run myip
當(dāng)前 IP：123.117.85.77 來(lái)自：北京市


[root@node1 myip]# docker run myip -i
HTTP/1.1 200 OK
Server: nginx/1.10.0 (Ubuntu)
Date: Fri, 24 Mar 2017 02:24:42 GMT
Content-Type: text/html; charset=UTF-8
Transfer-Encoding: chunked
Connection: keep-alive

當(dāng)前 IP：123.117.85.77 來(lái)自：北京市

場(chǎng)景二：應(yīng)用運(yùn)行前的準(zhǔn)備工作

redis的官方dockerfile?https://github.com/docker-library/redis/blob/master/3.2/alpine/Dockerfile

FROM alpine:3.5
...
RUN addgroup -S redis && adduser -S -G redis redis
...
ENTRYPOINT ["docker-entrypoint.sh"]

EXPOSE 6379
CMD [ "redis-server" ]

可以看到其中為了 redis 服務(wù)創(chuàng)建了 redis 用戶，并在最后指定了 ENTRYPOINT 為 docker-entrypoint.sh 腳本。

#!/bin/sh
...
# allow the container to be started with `--user`
if [ "$1" = 'redis-server' -a "$(id -u)" = '0' ]; then
    chown -R redis .
    exec su-exec redis "$0" "$@"
fi

exec "$@"

該腳本的內(nèi)容就是根據(jù) CMD 的內(nèi)容來(lái)判斷，如果是 redis-server 的話，則切換到 redis 用戶身份啟動(dòng)服務(wù)器，否則依舊使用 root 身份執(zhí)行。比如：

$ docker run -it redis id
uid=0(root) gid=0(root) groups=0(root)

ENV 設(shè)置環(huán)境變量

格式有兩種：

• ENV <key> <value>
• ENV <key1>=<value1> <key2>=<value2>...

這個(gè)指令很簡(jiǎn)單，就是設(shè)置環(huán)境變量而已，無(wú)論是后面的其它指令，如?RUN，還是運(yùn)行時(shí)的應(yīng)用，都可以直接使用這里定義的環(huán)境變量。

ENV VERSION=1.0 DEBUG=on \
    NAME="Happy Feet"

這個(gè)例子中演示了如何換行，以及對(duì)含有空格的值用雙引號(hào)括起來(lái)的辦法，這和 Shell 下的行為是一致的。

定義了環(huán)境變量，那么在后續(xù)的指令中，就可以使用這個(gè)環(huán)境變量。比如在官方?node?鏡像?Dockerfile中，就有類(lèi)似這樣的代碼：

ENV NODE_VERSION 7.2.0

RUN curl -SLO "https://nodejs.org/dist/v$NODE_VERSION/node-v$NODE_VERSION-linux-x64.tar.xz" \
  && curl -SLO "https://nodejs.org/dist/v$NODE_VERSION/SHASUMS256.txt.asc" \
  && gpg --batch --decrypt --output SHASUMS256.txt SHASUMS256.txt.asc \
  && grep " node-v$NODE_VERSION-linux-x64.tar.xz\$" SHASUMS256.txt | sha256sum -c - \
  && tar -xJf "node-v$NODE_VERSION-linux-x64.tar.xz" -C /usr/local --strip-components=1 \
  && rm "node-v$NODE_VERSION-linux-x64.tar.xz" SHASUMS256.txt.asc SHASUMS256.txt \
  && ln -s /usr/local/bin/node /usr/local/bin/nodejs

在這里先定義了環(huán)境變量 NODE_VERSION，其后的 RUN 這層里，多次使用 $NODE_VERSION 來(lái)進(jìn)行操作定制?？梢钥吹?，將來(lái)升級(jí)鏡像構(gòu)建版本的時(shí)候，只需要更新 7.2.0 即可，Dockerfile 構(gòu)建維護(hù)變得更輕松了。

下列指令可以支持環(huán)境變量展開(kāi)： ADD、COPY、ENV、EXPOSE、LABEL、USER、WORKDIR、VOLUME、STOPSIGNAL、ONBUILD。

可以從這個(gè)指令列表里感覺(jué)到，環(huán)境變量可以使用的地方很多，很強(qiáng)大。通過(guò)環(huán)境變量，我們可以讓一份 Dockerfile 制作更多的鏡像，只需使用不同的環(huán)境變量即可。

ARG 構(gòu)建參數(shù)

• 格式：

ARG <參數(shù)名>[=<默認(rèn)值>]

構(gòu)建參數(shù)和 ENV 的效果一樣，都是設(shè)置環(huán)境變量。所不同的是，ARG 所設(shè)置的構(gòu)建環(huán)境的環(huán)境變量，在將來(lái)容器運(yùn)行時(shí)是不會(huì)存在這些環(huán)境變量的。不建議 ARG 保存密碼之類(lèi)的信息，因?yàn)?docker history 還是可以看到所有值的。

VOLUME 定義匿名卷

• 格式：

VOLUME ["<路徑1>", "<路徑2>"...]
VOLUME <路徑>

之前我們說(shuō)過(guò)，容器運(yùn)行時(shí)應(yīng)該盡量保持容器存儲(chǔ)層不發(fā)生寫(xiě)操作，對(duì)于數(shù)據(jù)庫(kù)類(lèi)需要保存動(dòng)態(tài)數(shù)據(jù)的應(yīng)用，其數(shù)據(jù)庫(kù)文件應(yīng)該保存于卷(volume)中，后面的章節(jié)我們會(huì)進(jìn)一步介紹 Docker 卷的概念。為了防止運(yùn)行時(shí)用戶忘記將動(dòng)態(tài)文件所保存目錄掛載為卷，在?Dockerfile?中，我們可以事先指定某些目錄掛載為匿名卷，這樣在運(yùn)行時(shí)如果用戶不指定掛載，其應(yīng)用也可以正常運(yùn)行，不會(huì)向容器存儲(chǔ)層寫(xiě)入大量數(shù)據(jù)。

VOLUME /data

也可以運(yùn)行時(shí)覆蓋這個(gè)掛載設(shè)置。比如：

docker run -d -v mydata:/data xxxx

在這行命令中，就使用了 mydata 這個(gè)命名卷掛載到了 /data 這個(gè)位置，替代了 Dockerfile 中定義的匿名卷的掛載配置。

EXPOSE 聲明端口

• 格式：

EXPOSE <端口1> [<端口2>...]

EXPOSE 指令是聲明運(yùn)行時(shí)容器提供服務(wù)端口，在運(yùn)行時(shí)并不會(huì)因?yàn)檫@個(gè)聲明應(yīng)用就會(huì)開(kāi)啟這個(gè)端口的服務(wù)。

在 Dockerfile 中寫(xiě)入這樣的聲明有兩個(gè)好處:

1. 幫助鏡像使用者理解這個(gè)鏡像服務(wù)的守護(hù)端口，以方便配置映射
2. 在運(yùn)行時(shí)使用隨機(jī)端口映射時(shí)，也就是 docker run -P 時(shí)，會(huì)自動(dòng)隨機(jī)映射 EXPOSE 的端口。

此外，在早期 Docker 版本中還有一個(gè)特殊的用處。以前所有容器都運(yùn)行于默認(rèn)橋接網(wǎng)絡(luò)中，因此所有容器互相之間都可以直接訪問(wèn)，這樣存在一定的安全性問(wèn)題。于是有了一個(gè) Docker 引擎參數(shù) --icc=false，當(dāng)指定該參數(shù)后，容器間將默認(rèn)無(wú)法互訪，除非互相間使用了 --links 參數(shù)的容器才可以互通，并且只有鏡像中 EXPOSE 所聲明的端口才可以被訪問(wèn)。這個(gè) --icc=false 的用法，在引入了 docker network 后已經(jīng)基本不用了，通過(guò)自定義網(wǎng)絡(luò)可以很輕松的實(shí)現(xiàn)容器間的互聯(lián)與隔離。

WORKDIR 指定工作目錄

• 格式:

WORKDIR <工作目錄路徑>

使用 WORKDIR 指令可以來(lái)指定工作目錄（或者稱(chēng)為當(dāng)前目錄），以后各層的當(dāng)前目錄就被改為指定的目錄，如該目錄不存在，WORKDIR 會(huì)幫你建立目錄。
之前提到一些初學(xué)者常犯的錯(cuò)誤是把?Dockerfile?等同于 Shell 腳本來(lái)書(shū)寫(xiě)，這種錯(cuò)誤的理解還可能會(huì)導(dǎo)致出現(xiàn)下面這樣的錯(cuò)誤：

RUN cd /app
RUN echo "hello" > world.txt

如果將這個(gè) Dockerfile 進(jìn)行構(gòu)建鏡像運(yùn)行后，會(huì)發(fā)現(xiàn)找不到?/app/world.txt?文件，或者其內(nèi)容不是hello。原因其實(shí)很簡(jiǎn)單，在 Shell 中，連續(xù)兩行是同一個(gè)進(jìn)程執(zhí)行環(huán)境，因此前一個(gè)命令修改的內(nèi)存狀態(tài)，會(huì)直接影響后一個(gè)命令；而在 Dockerfile 中，這兩行?RUN?命令的執(zhí)行環(huán)境根本不同，是兩個(gè)完全不同的容器。這就是對(duì) Dokerfile 構(gòu)建分層存儲(chǔ)的概念不了解所導(dǎo)致的錯(cuò)誤。

之前說(shuō)過(guò)每一個(gè)?RUN?都是啟動(dòng)一個(gè)容器、執(zhí)行命令、然后提交存儲(chǔ)層文件變更。第一層?RUN cd /app?的執(zhí)行僅僅是當(dāng)前進(jìn)程的工作目錄變更，一個(gè)內(nèi)存上的變化而已，其結(jié)果不會(huì)造成任何文件變更。而到第二層的時(shí)候，啟動(dòng)的是一個(gè)全新的容器，跟第一層的容器更完全沒(méi)關(guān)系，自然不可能繼承前一層構(gòu)建過(guò)程中的內(nèi)存變化。

因此如果需要改變以后各層的工作目錄的位置，那么應(yīng)該使用?WORKDIR?指令。

USER 指定當(dāng)前用戶

• 格式：

USER <用戶名>

USER 指令和 WORKDIR 相似，都是改變環(huán)境狀態(tài)并影響以后的層。WORKDIR 是改變工作目錄，USER 則是改變之后層的執(zhí)行 RUN, CMD 以及 ENTRYPOINT 這類(lèi)命令的身份。

當(dāng)然，和 WORKDIR 一樣，USER 只是幫助你切換到指定用戶而已，這個(gè)用戶必須是事先建立好的，否則無(wú)法切換。

RUN groupadd -r redis && useradd -r -g redis redis
USER redis
RUN [ "redis-server" ]

HEALTHCHECK 健康檢查

• 格式：

HEALTHCHECK [選項(xiàng)] CMD <命令>：設(shè)置檢查容器健康狀況的命令
HEALTHCHECK NONE：如果基礎(chǔ)鏡像有健康檢查指令，使用這行可以屏蔽掉其健康檢查指令

HEALTHCHECK 指令是告訴 Docker 應(yīng)該如何進(jìn)行判斷容器的狀態(tài)是否正常，這是 Docker 1.12 引入的新指令。

在沒(méi)有 HEALTHCHECK 指令前，Docker 引擎只可以通過(guò)容器內(nèi)主進(jìn)程是否退出來(lái)判斷容器是否狀態(tài)異常。很多情況下這沒(méi)問(wèn)題，但是如果程序進(jìn)入死鎖狀態(tài)，或者死循環(huán)狀態(tài)，應(yīng)用進(jìn)程并不退出，但是該容器已經(jīng)無(wú)法提供服務(wù)了。在 1.12 以前，Docker 不會(huì)檢測(cè)到容器的這種狀態(tài)，從而不會(huì)重新調(diào)度，導(dǎo)致可能會(huì)有部分容器已經(jīng)無(wú)法提供服務(wù)了卻還在接受用戶請(qǐng)求。

而自 1.12 之后，Docker 提供了 HEALTHCHECK 指令，通過(guò)該指令指定一行命令，用這行命令來(lái)判斷容器主進(jìn)程的服務(wù)狀態(tài)是否還正常，從而比較真實(shí)的反應(yīng)容器實(shí)際狀態(tài)。

當(dāng)在一個(gè)鏡像指定了 HEALTHCHECK 指令后，用其啟動(dòng)容器，初始狀態(tài)會(huì)為 starting，在 HEALTHCHECK 指令檢查成功后變?yōu)?healthy，如果連續(xù)一定次數(shù)失敗，則會(huì)變?yōu)?unhealthy。

HEALTHCHECK 支持下列選項(xiàng)：

--interval=<間隔>：兩次健康檢查的間隔，默認(rèn)為 30 秒；
--timeout=<時(shí)長(zhǎng)>：健康檢查命令運(yùn)行超時(shí)時(shí)間，如果超過(guò)這個(gè)時(shí)間，本次健康檢查就被視為失敗，默認(rèn) 30 秒；
--retries=<次數(shù)>：當(dāng)連續(xù)失敗指定次數(shù)后，則將容器狀態(tài)視為 unhealthy，默認(rèn) 3 次。

和 CMD, ENTRYPOINT 一樣，HEALTHCHECK 只可以出現(xiàn)一次，如果寫(xiě)了多個(gè)，只有最后一個(gè)生效。

在 HEALTHCHECK [選項(xiàng)] CMD 后面的命令，格式和 ENTRYPOINT 一樣，分為 shell 格式，和 exec 格式。命令的返回值決定了該次健康檢查的成功與否：0：成功；1：失??；2：保留，不要使用這個(gè)值。

假設(shè)我們有個(gè)鏡像是個(gè)最簡(jiǎn)單的 Web 服務(wù)，我們希望增加健康檢查來(lái)判斷其 Web 服務(wù)是否在正常工作，我們可以用 curl 來(lái)幫助判斷，其 Dockerfile 的 HEALTHCHECK 可以這么寫(xiě)：

mkdir ~/nginxcheck
cd ~/nginxcheck
vim Dockerfile
FROM nginx
RUN apt-get update && apt-get install -y curl && rm -rf /var/lib/apt/lists/*
HEALTHCHECK --interval=5s --timeout=3s \
  CMD curl -fs http://localhost/ || exit 1

docker build -t myweb:v1 .

這里我們?cè)O(shè)置了每 5 秒檢查一次（這里為了試驗(yàn)所以間隔非常短，實(shí)際應(yīng)該相對(duì)較長(zhǎng)），如果健康檢查命令超過(guò) 3 秒沒(méi)響應(yīng)就視為失敗，并且使用 curl -fs?http://localhost/?|| exit 1 作為健康檢查命令。

啟動(dòng)測(cè)試

docker run -d --name myweb -p 80:82 myweb:v1

查看

[root@node1 nginxcheck]# docker ps -f name=myweb
CONTAINER ID        IMAGE               COMMAND                  CREATED             STATUS                    PORTS                                 NAMES
beb18dcc15fe        myweb:v1            "nginx -g 'daemon ..."   22 seconds ago      Up 21 seconds (healthy)   80/tcp, 443/tcp, 0.0.0.0:80->82/tcp   myweb

如果健康檢查連續(xù)失敗超過(guò)了重試次數(shù)，狀態(tài)就會(huì)變?yōu)?(unhealthy)。

健康檢查命令的輸出（包括 stdout 以及 stderr）都會(huì)被存儲(chǔ)于健康狀態(tài)里，可以用 docker inspect 來(lái)查看。

docker inspect --format '{{json .State.Health}}' web | python -m json.tool

ONBUILD 為他人做嫁衣

ONBUILD 是一個(gè)特殊的指令，它后面跟的是其它指令，比如 RUN, COPY 等，而這些指令，在當(dāng)前鏡像構(gòu)建時(shí)并不會(huì)被執(zhí)行。只有當(dāng)以當(dāng)前鏡像為基礎(chǔ)鏡像，去構(gòu)建下一級(jí)鏡像的時(shí)候才會(huì)被執(zhí)行。
例如：

FROM node:slim
RUN "mkdir /app"
WORKDIR /app
ONBUILD COPY ./package.json /app
ONBUILD RUN [ "npm", "install" ]
ONBUILD COPY . /app/
CMD [ "npm", "start" ]

在構(gòu)建基礎(chǔ)鏡像的時(shí)候，包含ONBUILD這三行并不會(huì)被執(zhí)行，但是當(dāng)把這個(gè)鏡像作為基礎(chǔ)鏡像構(gòu)建時(shí)，這三行就會(huì)執(zhí)行。

#首先構(gòu)建基礎(chǔ)鏡像
docker build -t my-node .

#在其他項(xiàng)目需要使用這個(gè)Dockerfile制作的鏡像作為基礎(chǔ)鏡像時(shí)，直接寫(xiě)Dockerfile，基礎(chǔ)鏡像的三行會(huì)在子Dockerfile中執(zhí)行
FROM my-node

其他制作鏡像方法

除了標(biāo)準(zhǔn)的使用 Dockerfile 生成鏡像的方法外，由于各種特殊需求和歷史原因，還提供了一些其它方法用以生成鏡像。

從 rootfs 壓縮包導(dǎo)入

格式：docker import [選項(xiàng)] <文件>|<URL>|- [<倉(cāng)庫(kù)名>[:<標(biāo)簽>]]

壓縮包可以是本地文件、遠(yuǎn)程 Web 文件，甚至是從標(biāo)準(zhǔn)輸入中得到。壓縮包將會(huì)在鏡像 / 目錄展開(kāi)，并直接作為鏡像第一層提交。

比如我們想要?jiǎng)?chuàng)建一個(gè) OpenVZ 的 Ubuntu 14.04 模板的鏡像：

docker import \
    http://download.openvz.org/template/precreated/ubuntu-14.04-x86_64-minimal.tar.gz \
    openvz/ubuntu:14.04

這條命令自動(dòng)下載了 ubuntu-14.04-x86_64-minimal.tar.gz 文件，并且作為根文件系統(tǒng)展開(kāi)導(dǎo)入，并保存為鏡像 openvz/ubuntu:14.04。

docker save 和 docker load

Docker 還提供了 docker load 和 docker save 命令，用以將鏡像保存為一個(gè) tar 文件，然后傳輸?shù)搅硪粋€(gè)位置上，再加載進(jìn)來(lái)。這是在沒(méi)有 Docker Registry 時(shí)的做法，現(xiàn)在已經(jīng)不推薦，鏡像遷移應(yīng)該直接使用 Docker Registry，無(wú)論是直接使用 Docker Hub 還是使用內(nèi)網(wǎng)私有 Registry 都可以。

使用 docker save 命令可以將鏡像保存為歸檔文件。

docker pull alpine
docker save alpine |gzip > alpine.tar.gz

然后我們將 alpine-latest.tar.gz 文件復(fù)制到了到了另一個(gè)機(jī)器上，可以用下面這個(gè)命令加載鏡像：

docker load -i alpine-latest.tar.gz

使用容器

啟動(dòng)容器

啟動(dòng)容器有兩種方式，一種是基于鏡像新建一個(gè)容器并啟動(dòng)，另外一個(gè)是將在終止?fàn)顟B(tài)（stopped）的容器重新啟動(dòng)。

容器的啟動(dòng)流程

當(dāng)利用 docker run 來(lái)創(chuàng)建容器時(shí)，Docker 在后臺(tái)運(yùn)行的標(biāo)準(zhǔn)操作包括：

• 檢查本地是否存在指定的鏡像，不存在就從公有倉(cāng)庫(kù)下載
• 利用鏡像創(chuàng)建并啟動(dòng)一個(gè)容器
• 分配一個(gè)文件系統(tǒng)，并在只讀的鏡像層外面掛載一層可讀寫(xiě)層
• 從宿主主機(jī)配置的網(wǎng)橋接口中橋接一個(gè)虛擬接口到容器中去
• 從地址池配置一個(gè) ip 地址給容器
• 執(zhí)行用戶指定的應(yīng)用程序
• 執(zhí)行完畢后容器被終止

使用docker run啟動(dòng)

下面的命令輸出一個(gè) “Hello World”，之后終止容器。

docker run centos /bin/echo 'Hello world'

啟動(dòng)一個(gè)前臺(tái)的bash進(jìn)程，-t 選項(xiàng)讓Docker分配一個(gè)偽終端（pseudo-tty）并綁定到容器的標(biāo)準(zhǔn)輸入上，-i 則讓容器的標(biāo)準(zhǔn)輸入保持打開(kāi)。

docker run -t -i centos /bin/bash

使用docker start啟動(dòng)已終止容器

docker start  容器名字或ID

查看容器的資源占用,只有一個(gè)bash進(jìn)程

[root@94b57792acbf /]# ps aux
USER        PID %CPU %MEM    VSZ   RSS TTY      STAT START   TIME COMMAND
root          1  0.0  0.1  11768  1932 ?        Ss   07:19   0:00 /bin/bash
root         56  0.0  0.1  47440  1672 ?        R+   07:27   0:00 ps aux

讓容器以后臺(tái)進(jìn)程模式運(yùn)行

更多的時(shí)候，需要讓 Docker在后臺(tái)運(yùn)行而不是直接把執(zhí)行命令的結(jié)果輸出在當(dāng)前宿主機(jī)下。此時(shí)，可以通過(guò)添加?-d?參數(shù)來(lái)實(shí)現(xiàn)。

使用例子來(lái)體驗(yàn)區(qū)別：
不使用 -d 參數(shù)：

[root@node1 ~]# docker run centos /bin/bash -c "while true; do echo hello world; sleep 1; done"
hello world
hello world
hello world
hello world

所有的輸出都輸出到宿主機(jī)。

加-d參數(shù)

[root@node1 ~]# docker run  -d centos /bin/bash -c "while true; do echo hello world; sleep 1; done"
a8e42575a9ff340c65f0023c77926b0f80051f53ade13c38847f0e8a6319ee63

此時(shí)容器會(huì)在后臺(tái)運(yùn)行并不會(huì)把輸出的結(jié)果打印到宿主機(jī)上，可以使用 docker logs 查看

[root@node1 ~]# docker logs a8e42575a9ff

注： 容器是否會(huì)長(zhǎng)久運(yùn)行，是和docker run指定的命令有關(guān)，和 -d 參數(shù)無(wú)關(guān)。

終止容器

docker stop {CONTAINER ID| NAMES}

對(duì)于上一章節(jié)中只啟動(dòng)了一個(gè)bash的容器，用戶通過(guò) exit 命令或 Ctrl+d 來(lái)退出終端時(shí)，所創(chuàng)建的容器立刻終止。

進(jìn)入容器

attach 命令

[root@node1 ~]# docker run -dit centos /bin/bash
14c0b4a935f57317f25111aa55beed0f3329afe60871ca06c44a12acc4172140
[root@node1 ~]# docker ps 
CONTAINER ID        IMAGE               COMMAND                  CREATED             STATUS                 PORTS                                 NAMES
14c0b4a935f5        centos              "/bin/bash"              25 seconds ago      Up 24 seconds                                                dreamy_wiles

[root@node1 ~]# docker attach dreamy_wiles

但是使用 attach 命令有時(shí)候并不方便。當(dāng)多個(gè)窗口同時(shí) attach 到同一個(gè)容器的時(shí)候，所有窗口都會(huì)同步顯示。當(dāng)某個(gè)窗口因命令阻塞時(shí),其他窗口也無(wú)法執(zhí)行操作了,使用attach命令退出使用ctrl+p+q 退出不影響容器運(yùn)行。

nsenter 命令

安裝命令

yum -y install  util-linux

獲取容器PID

PID=$(docker inspect --format "{{ .State.Pid }}" dreamy_wiles)

進(jìn)入容器

nsenter --target $PID --mount --uts --ipc --net --pid

導(dǎo)入導(dǎo)出容器

導(dǎo)出容器快照

docker export 7691a814370e > centos.tar

導(dǎo)入容器快照

cat centos.tar | sudo docker import - myimages/centos:v1.0

刪除容器

docker rm {CONTAINER ID| NAMES}

Docer 數(shù)據(jù)管理

Docker 內(nèi)部管理數(shù)據(jù)主要有兩種方式：

• 數(shù)據(jù)卷（Data volumes）
• 數(shù)據(jù)卷容器（Data volume containers）

數(shù)據(jù)卷

數(shù)據(jù)卷是一個(gè)可供一個(gè)或多個(gè)容器使用的特殊目錄，它繞過(guò) UFS，可以提供很多有用的特性：

• 數(shù)據(jù)卷可以在容器之間共享和重用
• 對(duì)數(shù)據(jù)卷的修改會(huì)立馬生效
• 對(duì)數(shù)據(jù)卷的更新，不會(huì)影響鏡像
• 數(shù)據(jù)卷默認(rèn)會(huì)一直存在，即使容器被刪除

注意：數(shù)據(jù)卷的使用，類(lèi)似于 Linux 下對(duì)目錄或文件進(jìn)行 mount，鏡像中的被指定為掛載點(diǎn)的目錄中的文件會(huì)隱藏掉，能顯示看的是掛載的數(shù)據(jù)卷。

使用?-v?標(biāo)記也可以指定掛載一個(gè)本地主機(jī)的目錄到容器中去。

docker run -dit --name test  -v /tmp:/opt:ro centos  /bin/bash

數(shù)據(jù)卷容器

數(shù)據(jù)卷容器，其實(shí)就是一個(gè)正常的容器，專(zhuān)門(mén)用來(lái)提供數(shù)據(jù)卷供其它容器掛載的。

docker run -dit -v /dbdata --name dbdata centos /bin/bash
[root@node1 ~]# docker attach dbdata
[root@a9642e6adf7b /]# touch /dbdata/{1..10}.txt

在其他容器中使用 --volumes-from 來(lái)掛載 dbdata 容器中的數(shù)據(jù)卷。

docker run -dit --volumes-from dbdata --name db1 centos /bin/bash
docker run -dit --volumes-from dbdata --name db2 centos /bin/bash

驗(yàn)證

[root@node1 ~]# docker attach db1
[root@87f964ea0f31 /]# ls /dbdata/
1.txt  10.txt  2.txt  3.txt  4.txt  5.txt  6.txt  7.txt  8.txt  9.txt

注意：使用?--volumes-from?參數(shù)所掛載數(shù)據(jù)卷的容器自己并不需要保持在運(yùn)行狀態(tài)。

如果刪除了掛載的容器（包括 dbdata、db1 和 db2），數(shù)據(jù)卷并不會(huì)被自動(dòng)刪除。如果要?jiǎng)h除一個(gè)數(shù)據(jù)卷，必須在刪除最后一個(gè)還掛載著它的容器時(shí)使用?docker rm -v?命令來(lái)指定同時(shí)刪除關(guān)聯(lián)的容器。 這可以讓用戶在容器之間升級(jí)和移動(dòng)數(shù)據(jù)卷。

利用數(shù)據(jù)卷容器來(lái)備份、恢復(fù)、遷移數(shù)據(jù)卷

可以利用數(shù)據(jù)卷對(duì)其中的數(shù)據(jù)進(jìn)行進(jìn)行備份、恢復(fù)和遷移。

備份

首先使用?--volumes-from?標(biāo)記來(lái)創(chuàng)建一個(gè)加載 dbdata 容器卷的容器，并從主機(jī)掛載/opt/backup到容器的 /backup 目錄。命令如下：

docker run --volumes-from dbdata -v /opt/backup:/backup centos tar cvf /backup/backup.tar /dbdata

恢復(fù)

如果要恢復(fù)數(shù)據(jù)到一個(gè)容器，首先創(chuàng)建一個(gè)帶有空數(shù)據(jù)卷的容器 dbdata2。

docker run -v /dbdata --name dbdata2 centos /bin/bash

然后創(chuàng)建另一個(gè)容器，掛載 dbdata2 容器卷中的數(shù)據(jù)卷，并使用?untar?解壓備份文件到掛載的容器卷中。

docker run --volumes-from dbdata2 -v /opt/backup:/backup centos tar xvf /backup/backup.tar

為了查看/驗(yàn)證恢復(fù)的數(shù)據(jù)，可以再啟動(dòng)一個(gè)容器掛載同樣的容器卷來(lái)查看

docker run --volumes-from dbdata2 centos /bin/ls /dbdata

Docker registry

Registry 和 Repository 的區(qū)別

注冊(cè)服務(wù)器（Registry），是管理倉(cāng)庫(kù)的具體服務(wù)器，每個(gè)服務(wù)器上可以有多個(gè)倉(cāng)庫(kù)（Repository），而每個(gè)倉(cāng)庫(kù)（Repository）下面有多個(gè)鏡像。

配置registry

registry如果想要?jiǎng)e人可以使用，需要https才可以，我們可以利用openssl來(lái)搭建私有的CA服務(wù)器，用以簽名、頒發(fā)證書(shū)，管理已簽名證書(shū)和已吊銷(xiāo)證書(shū)等。

搭建私有CA

初始化CA環(huán)境，在/etc/pki/CA/下建立證書(shū)索引數(shù)據(jù)庫(kù)文件index.txt和序列號(hào)文件serial，并為證書(shū)序列號(hào)文件提供初始值。

touch /etc/pki/CA/{index.txt,serial}
echo 01 > /etc/pki/CA/serial

生成密鑰并保存到/etc/pki/CA/private/cakey.pem

(umask 077;openssl genrsa -out  /etc/pki/CA/private/cakey.pem 2048)

生成根證書(shū)

 openssl req -new -x509 -key  /etc/pki/CA/private/cakey.pem -out /etc/pki/CA/cacert.pem -days 3650

填寫(xiě)的信息

Country Name (2 letter code) [XX]:CN
State or Province Name (full name) []:Beijing
Locality Name (eg, city) [Default City]:Beijing
Organization Name (eg, company) [Default Company Ltd]:mycompany
Organizational Unit Name (eg, section) []:ops
Common Name (eg, your name or your server's hostname) []:registry.mycompany.com
Email Address []:admin@mycompany.com

使Linux系統(tǒng)信任根證書(shū)

cat /etc/pki/CA/cacert.pem >> /etc/pki/tls/certs/ca-bundle.crt

簽發(fā)證書(shū)

安裝nginx

yum -y install nginx

創(chuàng)建ssl目錄用來(lái)存放密鑰文件和證書(shū)申請(qǐng)文件

mkdir  /etc/nginx/ssl

創(chuàng)建密鑰文件和證書(shū)申請(qǐng)文件

(umask 077;openssl genrsa -out /etc/nginx/ssl/docker.key 2048)
openssl req -new -key /etc/nginx/ssl/docker.key -out /etc/nginx/ssl/docker.csr

填寫(xiě)的申請(qǐng)信息前四項(xiàng)要和私有CA的信息一致

Country Name (2 letter code) [XX]:CN
State or Province Name (full name) []:Beijing
Locality Name (eg, city) [Default City]:Beijing
Organization Name (eg, company) [Default Company Ltd]:mycompany
Organizational Unit Name (eg, section) []:ops
Common Name (eg, your name or your server's hostname) []:registry.mycompany.com
Email Address []:admin@mycompany.com
#直接回車(chē)
A challenge password []:
An optional company name []:

簽署，證書(shū)

[root@node1 ~]# openssl ca -in /etc/nginx/ssl/docker.csr -out /etc/nginx/ssl/docker.crt -days 3650
Using configuration from /etc/pki/tls/openssl.cnf
Check that the request matches the signature
Signature ok
Certificate Details:
        Serial Number: 1 (0x1)
        Validity
            Not Before: Mar 30 08:12:58 2017 GMT
            Not After : Mar 28 08:12:58 2027 GMT
        Subject:
            countryName               = CN
            stateOrProvinceName       = Beijing
            organizationName          = mycompany
            organizationalUnitName    = ops
            commonName                = registry.mycompany.com
            emailAddress              = admin@mycompany.com
        X509v3 extensions:
            X509v3 Basic Constraints: 
                CA:FALSE
            Netscape Comment: 
                OpenSSL Generated Certificate
            X509v3 Subject Key Identifier: 
                59:27:56:F3:67:46:4B:6D:A5:1B:66:C0:D8:C7:7D:0F:CA:90:C2:ED
            X509v3 Authority Key Identifier: 
                keyid:76:4A:E0:BB:91:F5:0C:B2:67:2E:D1:3C:74:2B:05:F6:2C:A9:9B:7B

Certificate is to be certified until Mar 28 08:12:58 2027 GMT (3650 days)
Sign the certificate? [y/n]:y


1 out of 1 certificate requests certified, commit? [y/n]y
Write out database with 1 new entries
Data Base Updated

檢查index.txt和serial序列號(hào)更新

[root@node1 ~]# cat /etc/pki/CA/index.txt
V    270328055023Z        01    unknown    /C=CN/ST=Beijing/O=mycompany/OU=ops/CN=registry.mycompany.com/emailAddress=admin@mycompany.com

[root@node1 ~]# cat /etc/pki/CA/serial
02

基于localhost搭建docker-registry

啟動(dòng)registry

docker run -d -p 5000:5000 --restart=always --name registry -v /opt/registry:/var/lib/registry registry:2

從dockerhub下載centos鏡像，使用docker tag 將 centos 這個(gè)鏡像標(biāo)記為 localhost:5000/centos

docker pull centos && docker tag centos localhost:5000/centos

使用docker push 上傳標(biāo)記的鏡像

docker push localhost:5000/centos

從私有倉(cāng)庫(kù)下載鏡像

docker pull  localhost:5000/centos

配置nginx反向代理docker registry

為nginx添加認(rèn)證

yum -y install httpd-tools
htpasswd -cb /etc/nginx/conf.d/docker-registry.htpasswd admin admin

添加nginx的server

[root@node1 ~]# cat /etc/nginx/conf.d/docker-registry.conf
upstream docker-registry {
    server 127.0.0.1:5000;
}
server {
        listen       443;
        server_name           registry.mycompany.com;
        ssl                   on;
        ssl_certificate       /etc/nginx/ssl/docker.crt;
        ssl_certificate_key   /etc/nginx/ssl/docker.key;
        client_max_body_size 0;
        chunked_transfer_encoding on;
        proxy_set_header Host $host;
        proxy_set_header X-Real-IP $remote_addr;
        proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
        location / {
               auth_basic   "Docker registry";
               auth_basic_user_file /etc/nginx/conf.d/docker-registry.htpasswd;
               proxy_pass  http://docker-registry;
        }
         location /_ping{
               auth_basic off;
               proxy_pass  http://docker-registry;
               }
         location /v1/_ping{
               auth_basic off;
               proxy_pass  http://docker-registry;
               }
}

重啟nginx

systemctl restart nginx

修改hosts

10.0.7.1    registry.mycompany.com

測(cè)試

[root@node1 ~]# docker login registry.mycompany.com
Username: admin
Password: 
Login Succeeded

上傳鏡像

docker tag centos registry.mycompany.com/centos
docker push registry.mycompany.com/centos

查看

curl --user admin:admin  https://registry.mycompany.com/v2/_catalog
{"repositories":["centos"]}

配置局域網(wǎng)內(nèi)其他機(jī)器認(rèn)證

修改hosts

vim /etc/hosts
10.0.7.1    registry.mycompany.com

同樣的系統(tǒng)版本,直接覆蓋ca-bundle.crt，

 scp -rp /etc/pki/tls/certs/ca-bundle.crt  root@10.0.7.2:/etc/pki/tls/certs/ca-bundle.crt

不同版本把CA的密鑰發(fā)送到客戶機(jī)，并添加到ca-bundle.crt

scp -rp  /etc/pki/CA/cacert.pem root@10.0.7.2:/etc/pki/CA/cacert.pem
cat /etc/pki/CA/cacert.pem >> /etc/pki/tls/certs/ca-bundle.crt

重啟docker，如果不重啟會(huì)出現(xiàn)docker提示x509證書(shū)沒(méi)有授權(quán)

systemctl daemon-reload
systemctl restart docker

驗(yàn)證

[root@node1 ~]# curl --user admin:admin  https://registry.mycompany.com/v2/_catalog
{"repositories":["centos"]}
[root@node1 ~]# docker login registry.mycompany.com
Username: admin
Password: 
Login Succeeded
[root@node1 ~]# docker pull registry.mycompany.com/centos
Using default tag: latest
latest: Pulling from centos
4969bbd91a1e: Pull complete 
Digest: sha256:d7f3db1caf4ea76117abce89709ebfc66c9339e13866016b8b2e4eee3ab4bea0
Status: Downloaded newer image for registry.mycompany.com/centos:latest

Docker 網(wǎng)絡(luò)

查看容器IP

第一種方法

docker run -d --name nginx nginx
docker inspect --format '{{ .NetworkSettings.IPAddress }}' nginx

第二種方法

docker exec -ti nginx ip add | grep global

第三種方法

docker exec -ti nginx cat /etc/hosts

端口映射

把Docker的內(nèi)部端口通過(guò)端口映射的方法映射到宿主機(jī)的某一個(gè)端口，當(dāng)使用 -P 標(biāo)記時(shí)，Docker 會(huì)隨機(jī)映射一個(gè)?49000~49900?的端口到內(nèi)部容器開(kāi)放的網(wǎng)絡(luò)端口。

docker run -d -P nginx

docker ps
CONTAINER ID        IMAGE               COMMAND                  CREATED             STATUS              PORTS                                         NAMES
3a5ec1bc2837        nginx               "nginx -g 'daemon ..."   About an hour ago   Up About an hour    0.0.0.0:2049->80/tcp, 0.0.0.0:2048->443/tcp   adoring_pike

通過(guò)docker logs查看應(yīng)用信息

[root@node1 ~]# docker logs -f adoring_pike 
172.17.0.1 - - [30/Mar/2017:15:02:40 +0000] "GET / HTTP/1.1" 200 612 "-" "curl/7.29.0" "-"
10.0.7.1 - - [30/Mar/2017:15:02:47 +0000] "GET / HTTP/1.1" 200 612 "-" "curl/7.29.0" "-"

-p（小寫(xiě)的）則可以指定要映射的端口，并且，在一個(gè)指定端口上只可以綁定一個(gè)容器。支持的格式有ip:hostPort:containerPort | ip::containerPort | hostPort:containerPort。

映射到本機(jī)所有IP的 80 端口映射到容器的 80 端口

docker run -d -p 80：80 nginx

查看映射的端口

docker port adoring_pike

容器互聯(lián)

使用?--link?參數(shù)可以讓容器之間安全的進(jìn)行交互。
下面先創(chuàng)建一個(gè)新的數(shù)據(jù)庫(kù)容器。

docker run -d --name db training/postgres

然后創(chuàng)建一個(gè) web 容器，并將它連接到 db 容器

docker run -d -P --name web --link db:db training/webapp python app.py

此時(shí)，db 容器和 web 容器建立互聯(lián)關(guān)系。

--link?參數(shù)的格式為?--link name:alias，其中?name?是要鏈接的容器的名稱(chēng)，alias?是這個(gè)連接的別名。

使用?env?命令來(lái)查看 web 容器的環(huán)境變量

[root@node1 ~]# docker run --rm --name web2 --link db:db training/webapp env
PATH=/usr/local/sbin:/usr/local/bin:/usr/sbin:/usr/bin:/sbin:/bin
HOSTNAME=f2868b0479d8
DB_PORT=tcp://172.17.0.8:5432
DB_PORT_5432_TCP=tcp://172.17.0.8:5432
DB_PORT_5432_TCP_ADDR=172.17.0.8
DB_PORT_5432_TCP_PORT=5432
DB_PORT_5432_TCP_PROTO=tcp
DB_NAME=/web2/db
DB_ENV_PG_VERSION=9.3
HOME=/root

其中 DB_ 開(kāi)頭的環(huán)境變量是供 web 容器連接 db 容器使用，前綴采用大寫(xiě)的連接別名。

除了環(huán)境變量，Docker 還添加 host 信息到父容器的?/etc/hosts?的文件。下面是父容器 web 的 hosts 文件

[root@node1 ~]# docker run -t -i --rm --link db:db training/webapp /bin/bash
root@8299f9685894:/opt/webapp# cat /etc/hosts
127.0.0.1    localhost
::1    localhost ip6-localhost ip6-loopback
fe00::0    ip6-localnet
ff00::0    ip6-mcastprefix
ff02::1    ip6-allnodes
ff02::2    ip6-allrouters
172.17.0.8    db d65ebb9124a4
172.17.0.10    8299f9685894

docker的網(wǎng)絡(luò)模式

Docker的網(wǎng)絡(luò)模式分為四種

Bridge模式

當(dāng)Docker進(jìn)程啟動(dòng)時(shí)，會(huì)在主機(jī)上創(chuàng)建一個(gè)名為docker0的虛擬網(wǎng)橋，此主機(jī)上啟動(dòng)的Docker容器會(huì)連接到這個(gè)虛擬網(wǎng)橋上。虛擬網(wǎng)橋的工作方式和物理交換機(jī)類(lèi)似，這樣主機(jī)上的所有容器就通過(guò)交換機(jī)連在了一個(gè)二層網(wǎng)絡(luò)中。

從docker0子網(wǎng)中分配一個(gè)IP給容器使用，并設(shè)置docker0的IP地址為容器的默認(rèn)網(wǎng)關(guān)。在主機(jī)上創(chuàng)建一對(duì)虛擬網(wǎng)卡veth pair設(shè)備，Docker將veth pair設(shè)備的一端放在新創(chuàng)建的容器中，并命名為eth0（容器的網(wǎng)卡），另一端放在主機(jī)中，以vethxxx這樣類(lèi)似的名字命名，并將這個(gè)網(wǎng)絡(luò)設(shè)備加入到docker0網(wǎng)橋中?？梢酝ㄟ^(guò)brctl show命令查看。

bridge模式是docker的默認(rèn)網(wǎng)絡(luò)模式，不寫(xiě)--net參數(shù)，就是bridge模式。使用docker run -p時(shí)，docker實(shí)際是在iptables做了DNAT規(guī)則，實(shí)現(xiàn)端口轉(zhuǎn)發(fā)功能?？梢允褂胕ptables -t nat -vnL查看。

bridge模式如下圖所示：

演示：

docker run -tid --net=bridge --name docker_bri1 ubuntu-base:v3
docker run -tid --net=bridge --name docker_bri2 ubuntu-base:v3

brctl show
docker exec -ti docker_bri1 /bin/bash
docker exec -ti docker_bri1 /bin/bash

ifconfig –a
route –n

Host模式

如果啟動(dòng)容器的時(shí)候使用host模式，那么這個(gè)容器將不會(huì)獲得一個(gè)獨(dú)立的Network Namespace，而是和宿主機(jī)共用一個(gè)Network Namespace。容器將不會(huì)虛擬出自己的網(wǎng)卡，配置自己的IP等，而是使用宿主機(jī)的IP和端口。但是，容器的其他方面，如文件系統(tǒng)、進(jìn)程列表等還是和宿主機(jī)隔離的。
Host模式如下圖所示：

Container模式

這個(gè)模式指定新創(chuàng)建的容器和已經(jīng)存在的一個(gè)容器共享一個(gè) Network Namespace，而不是和宿主機(jī)共享。新創(chuàng)建的容器不會(huì)創(chuàng)建自己的網(wǎng)卡，配置自己的 IP，而是和一個(gè)指定的容器共享 IP、端口范圍等。同樣，兩個(gè)容器除了網(wǎng)絡(luò)方面，其他的如文件系統(tǒng)、進(jìn)程列表等還是隔離的。兩個(gè)容器的進(jìn)程可以通過(guò) lo 網(wǎng)卡設(shè)備通信。
Container模式示意圖：

None模式

使用none模式，Docker容器擁有自己的Network Namespace，但是，并不為Docker容器進(jìn)行任何網(wǎng)絡(luò)配置。也就是說(shuō)，這個(gè)Docker容器沒(méi)有網(wǎng)卡、IP、路由等信息。需要我們自己為Docker容器添加網(wǎng)卡、配置IP等。

Docker網(wǎng)絡(luò)設(shè)置

配置 DNS

在docker run時(shí)使用以下參數(shù)：

參數(shù)	說(shuō)明
-h HOSTNAME or --hostname=HOSTNAME	設(shè)定容器的主機(jī)名，它會(huì)被寫(xiě)到容器內(nèi)的 /etc/hostname 和/etc/hosts。但它在容器外部看不到，既不會(huì)在 docker ps 中顯示，也不會(huì)在其他的容器的/etc/hosts 看到。
--link=CONTAINER_NAME:ALIAS	選項(xiàng)會(huì)在創(chuàng)建容器的時(shí)候，添加一個(gè)其他容器的主機(jī)名到 /etc/hosts 文件中，讓新容器的進(jìn)程可以使用主機(jī)名 ALIAS 就可以連接它。
--dns=IP_ADDRESS	添加 DNS 服務(wù)器到容器的 /etc/resolv.conf 中，讓容器用這個(gè)服務(wù)器來(lái)解析所有不在 /etc/hosts 中的主機(jī)名。
--dns-search=DOMAIN	設(shè)定容器的搜索域，當(dāng)設(shè)定搜索域?yàn)?.example.com 時(shí)，在搜索一個(gè)名為 host 的主機(jī)時(shí)，DNS 不僅搜索host，還會(huì)搜索 host.example.com。 注意：如果沒(méi)有上述最后 2 個(gè)選項(xiàng)，Docker 會(huì)默認(rèn)用主機(jī)上的 /etc/resolv.conf 來(lái)配置容器。

容器訪問(wèn)控制

容器訪問(wèn)外部網(wǎng)絡(luò)

容器要想訪問(wèn)外部網(wǎng)絡(luò)，需要本地系統(tǒng)的轉(zhuǎn)發(fā)支持。在Linux 系統(tǒng)中，檢查轉(zhuǎn)發(fā)是否打開(kāi)。

sysctl net.ipv4.ip_forward
net.ipv4.ip_forward = 1

容器之間訪問(wèn)

容器之間相互訪問(wèn)，需要兩方面的支持。

• 容器的網(wǎng)絡(luò)拓?fù)涫欠褚呀?jīng)互聯(lián)。默認(rèn)情況下，所有容器都會(huì)被連接到?docker0?網(wǎng)橋上。
• 本地系統(tǒng)的防火墻軟件 --?iptables?是否允許通過(guò)。

訪問(wèn)所有端口

當(dāng)啟動(dòng) Docker 服務(wù)時(shí)候，默認(rèn)會(huì)添加一條轉(zhuǎn)發(fā)策略到 iptables 的 FORWARD 鏈上。策略為通過(guò)（ACCEPT）還是禁止（DROP）取決于配置 --icc=true（缺省值）還是 --icc=false。當(dāng)然，如果手動(dòng)指定 --iptables=false 則不會(huì)添加 iptables 規(guī)則。

可見(jiàn)，默認(rèn)情況下，不同容器之間是允許網(wǎng)絡(luò)互通的。如果為了安全考慮，可以在docker服務(wù)修改/usr/lib/systemd/system/docker.service啟動(dòng)時(shí)添加--icc=false。

訪問(wèn)指定端口

在通過(guò)?-icc=false?關(guān)閉網(wǎng)絡(luò)訪問(wèn)后，可以通過(guò)?--link=CONTAINER_NAME:ALIAS?選項(xiàng)來(lái)訪問(wèn)容器的開(kāi)放端口。

例如，在啟動(dòng) Docker 服務(wù)時(shí)，可以同時(shí)使用?--icc=false --iptables=true?參數(shù)來(lái)關(guān)閉允許相互的網(wǎng)絡(luò)訪問(wèn)，并讓 Docker 可以修改系統(tǒng)中的?iptables?規(guī)則。

此時(shí)，系統(tǒng)中的?iptables?規(guī)則可能是類(lèi)似

iptables -nL
...
Chain FORWARD (policy ACCEPT)
target     prot opt source               destination
DROP       all  --  0.0.0.0/0            0.0.0.0/0
...

之后，啟動(dòng)容器（docker run）時(shí)使用?--link=CONTAINER_NAME:ALIAS?選項(xiàng)。Docker 會(huì)在?iptable中為 兩個(gè)容器分別添加一條?ACCEPT?規(guī)則，允許相互訪問(wèn)開(kāi)放的端口（取決于 Dockerfile 中的 EXPOSE 行）。

當(dāng)添加了?--link=CONTAINER_NAME:ALIAS?選項(xiàng)后，添加了?iptables?規(guī)則。

iptables -nL
...
Chain FORWARD (policy ACCEPT)
target     prot opt source               destination
ACCEPT     tcp  --  172.17.0.2           172.17.0.3           tcp spt:80
ACCEPT     tcp  --  172.17.0.3           172.17.0.2           tcp dpt:80
DROP       all  --  0.0.0.0/0            0.0.0.0/0

注意：--link=CONTAINER_NAME:ALIAS?中的?CONTAINER_NAME?目前必須是 Docker 分配的名字，或使用?--name?參數(shù)指定的名字。主機(jī)名則不會(huì)被識(shí)別。

配置 docker0 網(wǎng)橋

配置docekr服務(wù)的啟動(dòng)參數(shù)

• --bip=CIDR?-- IP 地址加掩碼格式，例如 192.168.1.0/24
• --mtu=BYTES?-- 覆蓋默認(rèn)的 Docker mtu 配置

sed -ri  's@(ExecStart=.*)@\1 --bip=192.168.1.100/24 --mtu=1500@g' /usr/lib/systemd/system/docker.service
systemctl daemon-reload
systemctl start docker

自定義網(wǎng)橋

除了默認(rèn)的?docker0?網(wǎng)橋，用戶也可以指定網(wǎng)橋來(lái)連接各個(gè)容器。

在啟動(dòng) Docker 服務(wù)的時(shí)候，使用?-b BRIDGE或--bridge=BRIDGE?來(lái)指定使用的網(wǎng)橋。

如果服務(wù)已經(jīng)運(yùn)行，那需要先停止服務(wù)，并刪除舊的網(wǎng)橋。

systemctl stop docker
ip link set dev docker0 down
brctl delbr docker0

然后創(chuàng)建一個(gè)網(wǎng)橋?bridge0。

brctl addbr bridge0
ip addr add 192.168.10.10/24 dev bridge0
ip link set dev bridge0 up

查看確認(rèn)網(wǎng)橋創(chuàng)建并啟動(dòng)。

[root@node1 ~]# ip addr show bridge0
4: bridge0: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc noqueue state UNKNOWN
    link/ether 66:8c:82:ec:4e:73 brd ff:ff:ff:ff:ff:ff
    inet 192.168.10.10/24 scope global bridge0
       valid_lft forever preferred_lft forever

配置 Docker 服務(wù)，默認(rèn)橋接到創(chuàng)建的網(wǎng)橋上。

sed -ri  's@(ExecStart=.*)@\1 -b bridge0@g' /usr/lib/systemd/system/docker.service 
systemctl daemon-reload
systemctl start docker

啟動(dòng) Docker 服務(wù)。 新建一個(gè)容器，可以看到它已經(jīng)橋接到了?bridge0?上。

可以繼續(xù)用?brctl show?命令查看橋接的信息。另外，在容器中可以使用?ip addr?和?ip route?命令來(lái)查看 IP 地址配置和路由信息。

[root@node1 ~]# docker run -dit centos /bin/bash
4d50cfe3a998a8597020a608d4713e3581094c9058425a4bc0652c934614713e
[root@node1 ~]# brctl show
bridge name    bridge id        STP enabled    interfaces
bridge0        8000.b6e3d8e984c5    no        vethe468bd3

創(chuàng)建一個(gè)點(diǎn)到點(diǎn)連接

默認(rèn)情況下，Docker 會(huì)將所有容器連接到由?docker0?提供的虛擬子網(wǎng)中。

用戶有時(shí)候需要兩個(gè)容器之間可以直連通信，而不用通過(guò)主機(jī)網(wǎng)橋進(jìn)行橋接。
解決辦法很簡(jiǎn)單：創(chuàng)建一對(duì)?peer?接口，分別放到兩個(gè)容器中，配置成點(diǎn)到點(diǎn)鏈路類(lèi)型即可。

首先啟動(dòng) 2 個(gè)容器：

docker run -dit --rm --net=none  --name test1 centos /bin/bash
docker run -dit --rm  --net=none --name test2 centos /bin/bash

找到進(jìn)程號(hào)，然后創(chuàng)建網(wǎng)絡(luò)命名空間的跟蹤文件。

[root@node1 ~]# docker inspect -f '{{.State.Pid}}' test1
6006
[root@node1 ~]# docker inspect -f '{{.State.Pid}}' test2
6058
mkdir -p /var/run/netns
ln -s /proc/6006/ns/net /var/run/netns/6058
ln -s /proc/6058/ns/net /var/run/netns/6006

創(chuàng)建一對(duì)?peer?接口，然后配置路由

ip link add A type veth peer name B

ip link set A netns 6006
ip netns exec 6006 ip addr add 10.1.1.1/32 dev A
ip netns exec 6006 ip link set A up
ip netns exec 6006 ip route add 10.1.1.2/32 dev A

ip link set B netns 6058
ip netns exec 6058 ip addr add 10.1.1.2/32 dev B
ip netns exec 6058 ip link set B up
ip netns exec 6058 ip route add 10.1.1.1/32 dev B

現(xiàn)在這 2 個(gè)容器就可以相互 ping 通，并成功建立連接。點(diǎn)到點(diǎn)鏈路不需要子網(wǎng)和子網(wǎng)掩碼。

此外，也可以不指定?--net=none?來(lái)創(chuàng)建點(diǎn)到點(diǎn)鏈路。這樣容器還可以通過(guò)原先的網(wǎng)絡(luò)來(lái)通信。

利用類(lèi)似的辦法，可以創(chuàng)建一個(gè)只跟主機(jī)通信的容器。但是一般情況下，更推薦使用?--icc=false?來(lái)關(guān)閉容器之間的通信。

Docker跨主機(jī)容器互聯(lián)

pipework

編輯自己的ifcfg-enoxxx網(wǎng)卡

vim /etc/sysconfig/network-scripts/ifcfg-eno16777728
TYPE="Ethernet"
DEVICE="eno16777728"
ONBOOT="yes"
BRIDGE=br0

編輯br0

vim /etc/sysconfig/network-scripts/ifcfg-br0
TYPE=Bridge
BOOTPROTO=static
IPADDR=10.0.7.1
NETMASK=255.255.0.0
GATEWAY=10.0.0.2
DNS1=10.0.0.2
NAME=br0
ONBOOT=yes
DEVICE=br0

安裝

git clone https://github.com/jpetazzo/pipework.git
cp pipework/pipework /usr/bin/

啟動(dòng)docker

pipework br0 $(docker run -d -it --net=none  centos /bin/bash) 10.0.7.200/16@10.0.0.2

另一臺(tái)主機(jī)

pipework br0 $(docker run -d -it --net=none  centos /bin/bash) 10.0.7.201/16@10.0.0.2

重啟容器后需要再次指定

pipework br0 elegant_jepsen  10.0.0.200/16@10.0.0.2

flannel

在kubernetes中有提到。

使用Supervisor來(lái)管理進(jìn)程

Docker 容器在啟動(dòng)的時(shí)候開(kāi)啟單個(gè)進(jìn)程，如果需要在一個(gè)服務(wù)器上開(kāi)啟多個(gè)服務(wù)，最簡(jiǎn)單的就是把多個(gè)啟動(dòng)命令放到一個(gè)啟動(dòng)腳本里面，啟動(dòng)的時(shí)候直接啟動(dòng)這個(gè)腳本，另外就是安裝進(jìn)程管理工具。

我們演示一下如何同時(shí)使用 ssh 和 apache 服務(wù)。

創(chuàng)建dockerfile

[root@node1 ~]# mkdir httpd && cd httpd
[root@node1 httpd]# cat Dockerfile
FROM centos
MAINTAINER  admin@test.com
RUN yum -y install epel-release
RUN yum -y install openssh-server openssh openssh-clients httpd supervisor
RUN mkdir -p /var/run/sshd &&\
    mkdir -p /var/log/supervisor &&\
    #centos鏡像sshd遠(yuǎn)程連接直接斷開(kāi)解決辦法
    sed -i  's@session    required     pam_loginuid.so@#&@g' /etc/pam.d/sshd &&\
    /usr/bin/ssh-keygen -t ed25519 -f /etc/ssh/ssh_host_ed25519_key -N '' &&\
    /usr/bin/ssh-keygen -f /etc/ssh/ssh_host_rsa_key &&\
    /usr/bin/ssh-keygen -t dsa -f /etc/ssh/ssh_host_dsa_key &&\
    echo "123456"|passwd root --stdin
COPY supervisord.conf /etc/supervisord.conf
EXPOSE 22 80
CMD ["/usr/bin/supervisord"]

創(chuàng)建supervisor.conf

[root@node1 httpd]# cat supervisord.conf
#配置supervisord，使用 nodaemon 參數(shù)來(lái)運(yùn)行
[supervisord]
nodaemon=true

#啟動(dòng)ssh，
[program:sshd]
command=/usr/sbin/sshd -D
#啟動(dòng)httpd，
[program:httpd]
command=/usr/sbin/httpd

創(chuàng)建鏡像

docker build -t test/supervisord .

啟動(dòng) supervisor 容器

docker run -p 22 -p 80 -t -i test/supervisord

Docker Harbor

Harbor 是一個(gè)企業(yè)級(jí)的 Docker Registry，可以實(shí)現(xiàn) images 的私有存儲(chǔ)和日志統(tǒng)計(jì)權(quán)限控制等功能，并支持創(chuàng)建多項(xiàng)目(Harbor 提出的概念)，基于官方 Registry V2 實(shí)現(xiàn)。

安裝docker

tee -a /etc/sysctl.conf << EOF
net.bridge.bridge-nf-call-ip6tables = 1
net.bridge.bridge-nf-call-iptables = 1
EOF
sysctl -p
tee /etc/yum.repos.d/docker.repo <<-'EOF'
[dockerrepo]
name=Docker Repository
baseurl=https://mirrors.tuna.tsinghua.edu.cn/docker/yum/repo/centos7/
enabled=1
gpgcheck=1
gpgkey=https://mirrors.tuna.tsinghua.edu.cn/docker/yum/gpg
EOF
yum -y install  docker-engine
systemctl enable docker
systemctl start docker
sed -i "s|ExecStart=/usr/bin/dockerd|ExecStart=/usr/bin/dockerd --registry-mirror=https://fz5yth0r.mirror.aliyuncs.com|g" /usr/lib/systemd/system/docker.service
systemctl daemon-reload
systemctl restart docker

安裝docker-compose

curl -L https://github.com/docker/compose/releases/download/1.7.0/docker-compose-`uname -s`-`uname -m` > /usr/local/bin/docker-compose
chmod +x /usr/local/bin/docker-compose

下載源代碼

wget https://github.com/vmware/harbor/releases/download/v1.1.1-rc1/harbor-online-installer-v1.1.1-rc1.tgz
tar  xf harbor-online-installer-v1.1.1-rc1.tgz

配置ssl，參考上面的registry

touch /etc/pki/CA/{index.txt,serial}
echo 01 > /etc/pki/CA/serial
(umask 077;openssl genrsa -out  /etc/pki/CA/private/cakey.pem 2048)
openssl req -new -x509 -key  /etc/pki/CA/private/cakey.pem -out /etc/pki/CA/cacert.pem -days 3650
#填寫(xiě)的信息
Country Name (2 letter code) [XX]:CN
State or Province Name (full name) []:Beijing
Locality Name (eg, city) [Default City]:Beijing
Organization Name (eg, company) [Default Company Ltd]:harbor 
Organizational Unit Name (eg, section) []:ops
Common Name (eg, your name or your server's hostname) []:harbor.com
Email Address []:admin@harbor.com

cat /etc/pki/CA/cacert.pem >> /etc/pki/tls/certs/ca-bundle.crt
mkdir -p /root/cert
(umask 077;openssl genrsa -out /root/cert/harbor.key 2048)
openssl req -new -key /root/cert/harbor.key -out /root/cert/harbor.csr
#和上面的信息一樣
openssl ca -in /root/cert/harbor.csr -out /root/cert/harbor.crt -days 3650

#docker創(chuàng)建根證書(shū)
mkdir -p /etc/docker/certs.d/harbor.com
cp /etc/pki/CA/cacert.pem /etc/docker/certs.d/harbor.com/ca.crt
systemctl daemon-reload
systemctl restart docker

修改配置文件

vim harbor/harbor.cfg

hostname = harbor.com
ui_url_protocol = https
db_password = 123456
ssl_cert = /root/cert/harbor.crt
ssl_cert_key = /root/cert/harbor.key
harbor_admin_password = 123456

安裝

cd harbor
./install.sh

常用操作，在harbor目錄下

#啟動(dòng)
docker-compose start
#關(guān)閉
docker-compose stop
#修改配置文件步驟
docker-compose down -v
vim harbor.cfg
./prepare 
docker-compose up -d
docker-compose start

修改hosts

vim /etc/hosts
10.0.7.1 harbor.com

登陸測(cè)試

[root@node1 harbor]# docker login harbor.com
Username: admin
Password: 
Login Succeeded

其他主機(jī)測(cè)試

#創(chuàng)建一個(gè)文件夾
mkdir -p /etc/docker/certs.d/harbor.com
#把證書(shū)復(fù)制過(guò)去
scp /etc/docker/certs.d/harbor.com/ca.crt 10.0.7.2:/etc/docker/certs.d/harbor.com/ca.crt
systemctl daemon-reload
systemctl restart docker

vim /etc/hosts
10.0.7.1 harbor.com


[root@node2 ~]# docker login harbor.com
Username: admin
Password: 
Login Succeeded

windows測(cè)試

如果使用http，使用以下配置

vim harbor/harbor.cfg
ui_url_protocol = http

修改docker啟動(dòng)參數(shù)，添加
--insecure-registry

上傳鏡像測(cè)試

docker pull centos
docker tag centos harbor.com/library/centos
docker push harbor.com/library/centos

添加系統(tǒng)用戶

為項(xiàng)目添加用戶

• 項(xiàng)目管理員和開(kāi)發(fā)人員可以push 和pull鏡像，
• 訪客只能pull鏡像。

使用test作為開(kāi)發(fā)人員測(cè)試

[root@node2 ~]# docker login harbor.com
Username (admin): test
Password: 
Login Succeeded

docker pull busybox
docker tag centos harbor.com/library/busybox
docker push harbor.com/library/busybox

看日志為test提交了一個(gè)busybox鏡像

總結(jié)

以上是生活随笔為你收集整理的Docker学习笔记，从原理到实践的全部?jī)?nèi)容，希望文章能夠幫你解決所遇到的問(wèn)題。

如果覺(jué)得生活随笔網(wǎng)站內(nèi)容還不錯(cuò)，歡迎將生活随笔推薦給好友。