Sorry, your browser cannot access this site
This page requires browser support (enable) JavaScript
Learn more >

DokerFile

发布于:Aug 27, 2024

Docker 实践

简介

Docker 使用 Google 公司推出的 Go 语言进行开发实现,基于 Linux 内核的 cgroup ,namespace ,以及 OverlayFS类的 Union FS等技术,对进程进行封装隔离,属于 操作系统层面的虚拟化技术 。由于隔离的进程独立于宿主和其它的隔离的进程,因此也称其为容器。最初实现是基于 LXC,从 0.7 版本以后开始去除 LXC,转而使用自行开发的 libcontainer,从 1.11 版本开始,则进一步演进为使用 runC和。

runc 是一个 Linux 命令行工具,用于根据 OCI容器运行时规范创建和运行容器。

containerd 是一个守护程序,它管理容器生命周期,提供了在一个节点上执行容器和管理镜像的最小功能集。

基本概念

Docker 包括三个基本概念

  • 镜像Image
  • 容器Container
  • 仓库Repository

镜像

Docker 镜像 是一个特殊的文件系统,除了提供容器运行时所需的程序、库、资源、配置等文件外,还包含了一些为运行时准备的一些配置参数(如匿名卷、环境变量、用户等)。镜像 不包含 任何动态数据,其内容在构建之后也不会被改变。

分层存储

在 Docker 设计时,就充分利用 Union FS的技术,将其设计为分层存储的架构。所以严格来说,镜像并非是像一个 ISO 那样的打包文件,镜像只是一个虚拟的概念,其实际体现并非由一个文件组成,而是由一组文件系统组成,或者说,由多层文件系统联合组成。

在构建镜像的时候,需要额外小心,每一层尽量只包含该层需要添加的东西,任何额外的东西应该在该层构建结束前清理掉。分层存储的特征还使得镜像的复用、定制变的更为容易。甚至可以用之前构建好的镜像作为基础层,然后进一步添加新的层,以定制自己所需的内容,构建新的镜像。

容器

容器的实质是进程,但与直接在宿主执行的进程不同,容器进程运行于属于自己的独立的 命名空间

容器内的进程是运行在一个隔离的环境里,使用起来,就好像是在一个独立于宿主的系统下操作一样。这种特性使得容器封装的应用比直接在宿主运行更加安全。

每一个容器运行时,是以镜像为基础层,在其上创建一个当前容器的存储层,我们可以称这个为容器运行时读写而准备的存储层为 容器存储层

容器存储层的生存周期和容器一样,容器消亡时,容器存储层也随之消亡。因此,任何保存于容器存储层的信息都会随容器删除而丢失。

容器不应该向其存储层内写入任何数据,容器存储层要保持无状态化。所有的文件写入操作,都应该使用 数据卷(Volume)、或者 绑定宿主目录,在这些位置的读写会跳过容器存储层,直接对宿主(或网络存储)发生读写,其性能和稳定性更高。

仓库

一个 Docker Registry 中可以包含多个 仓库Repository);每个仓库可以包含多个 标签Tag);每个标签对应一个镜像。

通常,一个仓库会包含同一个软件不同版本的镜像,而标签就常用于对应该软件的各个版本。我们可以通过 <仓库名>:<标签> 的格式来指定具体是这个软件哪个版本的镜像。如果不给出标签,将以 latest 作为默认标签。

镜像

基础命令

获取镜像
1
docker pull [选项] [Docker Registry 地址[:端口号]/]仓库名[:标签]
运行镜像
1
docker run -it --rm ubuntu:18.04 bash

参数:

  • -it:这是两个参数,一个是 -i:交互式操作,一个是 -t 终端。交互式终端。
  • --rm:这个参数是说容器退出后随之将其删除。因此使用 --rm 可以避免浪费空间。
  • ubuntu:18.04:这是指用 ubuntu:18.04 镜像为基础来启动容器。
  • bash:放在镜像名后的是 命令,有个交互式 Shell,用的是 bash
列出镜像
1
2
3
4
5
6
7
8
9
docker image ls
# 显示中间层镜像
docker image ls -a
# 根据仓库名列出镜像
docker image ls ubuntu
# 过滤器参数 --filter,或者简写 -f
docker image ls -f since=mongo:3.2
# 格式化显示
docker image ls --format "{{.ID}}: {{.Repository}}"

列表包含了 仓库名标签镜像 ID创建时间 以及 所占用的空间

1
docker system df

查看镜像、容器、数据卷所占用的空间

删除镜像
1
docker image rm [选项] <镜像1> [<镜像2> ...]

镜像的唯一标识是其 ID 和摘要,而一个镜像可以有多个标签。

删除行为分为两类,一类是 Untagged,另一类是 Deleted。删除镜像的时候,实际上是在要求删除某个标签的镜像。当该镜像所有的标签都被取消了,该镜像很可能会失去了存在的意义,因此会触发删除行为。

有用这个镜像启动的容器存在(即使容器没有运行),那么同样不可以删除这个镜像。

1
docker image rm $(docker image ls -q redis)
commit

docker commit 命令有一些特殊的应用场合,比如被入侵后保存现场等。不要使用 docker commit 定制镜像,定制镜像应该使用 Dockerfile 来完成。

修改了容器的文件,也就是改动了容器的存储层。可以通过 docker diff 命令看到具体的改动。

1
docker diff webserver

运行一个容器的时候(如果不使用卷的话),做的任何文件修改都会被记录于容器存储层。 docker commit 命令,可以将容器的存储层保存下来成为镜像。换句话说,就是在原有镜像的基础上,再叠加上容器的存储层,并构成新的镜像。

1
2
3
4
5
6
7
docker commit [选项] <容器ID或容器名> [<仓库名>[:<标签>]]

docker commit \
    --author "Tao Wang <twang2218@gmail.com>" \
    --message "修改了默认网页" \
    webserver \
    nginx:v2

使用 docker commit 意味着所有对镜像的操作都是黑箱操作,生成的镜像也被称为 黑箱镜像

导入和导出

docker savedocker load 命令,用以将镜像保存为一个文件,然后传输到另一个位置上,再加载进来。

1
2
3
4
5
6
7
8
# 将镜像保存为归档文件
docker save alpine -o filename
# 使用 gzip 压缩
docker save alpine | gzip > alpine-latest.tar.gz
# 加载镜像
docker load -i alpine-latest.tar.gz
# 镜像迁移
docker save <镜像名> | bzip2 | pv | ssh <用户名>@<主机名> 'cat | docker load'

更新于:Aug 27, 2024

评论