Docker学习笔记第一记

来源：互联网发布：controlcenter软件下载编辑：程序博客网时间：2024/06/05 09:04

*注：部分内容来自于网络摘取
懒得排版，凑合看吧
基于
Linux centos 7
Docker version 1.12.6*

什么是docker

Docker 是一个开源的应用容器引擎，让开发者可以打包他们的应用以及依赖包到一个可移植的容器中，然后发布到任何流行的 Linux 机器上，也可以实现虚拟化。容器是完全使用沙箱机制，相互之间不会有任何接口。

docker的特性

    交互式Shell：Docker可以分配一个虚拟终端并关联到任何容器的标准输入上，例如运行一个一次性交互shell       文件系统隔离：每个进程容器运行在完全独立的根文件系统里       写时复制：采用写时复制方式创建根文件系统，这让部署变得极其快捷，并且节省内存和硬盘空间       资源隔离：可以使用cgroup为每个进程容器分配不同的系统资源       网络隔离：每个进程容器运行在自己的网络命名空间里，拥有自己的虚拟接口和IP地址       日志记录：Docker将会收集和记录每个进程容器的标准流（stdout/stderr/stdin），用于实时检索或批量检索       变更管理：容器文件系统的变更可以提交到新的映像中，并可重复使用以创建更多的容器。无需使用模板或手动配置

docker的原理

docker是一个容器引擎，容器就要求对进程空间、用户空间、网络空间、硬盘空间等等做一些隔离，docker的底层是使用LXC实现的，LXC则使用Linux Namespace技术对各种技术做隔离。

Linux Namespace是Linux提供的一种内核级别环境隔离的方法, 隔离的资源包括：Mount、UTS、IPC、PID、Network、User。

docker的基本构成

图片来自于网络

**Docker 镜像(Images)：镜像是用于创建 Docker 容器的模板。是一个只读模板，用来运行Docker容器。
Docker 容器(Container) ：容器是独立运行的一个或一组应用。负责应用程序的运行，包括操作系统、用户添加的文件以及元数据。
DockerFile：是文件指令集，用来说明如何自动创建Docker镜像。**
Docker 客户端(Client) 客户端通过命令行或者其他工具使用 Docker API (https://docs.docker.com/reference/api/docker_remote_api) 与 Docker 的守护进程通信。
Docker 主机(Host)
一个物理或者虚拟的机器用于执行 Docker 守护进程和容器。
Docker 仓库(Registry)
Docker 仓库用来保存镜像，可以理解为代码控制中的代码仓库。
Docker Hub(https://hub.docker.com) 提供了庞大的镜像集合供使用。
Docker Machine
Docker Machine是一个简化Docker安装的命令行工具，通过一个简单的命令行即可在相应的平台上安装Docker，比如VirtualBox、 Digital Ocean、Microsoft Azure。

Docker 的安装

安装就不多说了，傻瓜式安装步骤如下：

1、安装环境： centOS 7 64位
2、运行 uname -r 查看当前系统内核
3、可选运行 yum update 进行 yum的更新
4、安装docker 运行 yum install docker
5、安装完毕后，运行 docker info 查看docker信息，在启动后执行
6、运行 docker –version 查看docker版本
7、运行 service docker start 启动服务
8、运行 chkconfig docker on 设置开机启动

运行Docker

安装完毕了，那开始运行喽
先看看这三个操作docker服务的命令吧

service docker start #启动docker服务service docker stop # 停止docker服务service docker restart # 重新启动docker 服务

好了，服务起来了？
接下来，看看docker 的版本信息吧
运行 docker –version

[root@bogon myevn]# docker infoContainers: 4 Running: 0 Paused: 0 Stopped: 4Images: 13Server Version: 1.12.6Storage Driver: devicemapper Pool Name: docker-8:3-136136012-pool Pool Blocksize: 65.54 kB Base Device Size: 10.74 GB Backing Filesystem: xfs Data file: /dev/loop0 Metadata file: /dev/loop1 Data Space Used: 891.9 MB Data Space Total: 107.4 GB Data Space Available: 45.46 GB Metadata Space Used: 1.675 MB Metadata Space Total: 2.147 GB Metadata Space Available: 2.146 GB Thin Pool Minimum Free Space: 10.74 GB Udev Sync Supported: true Deferred Removal Enabled: false Deferred Deletion Enabled: false Deferred Deleted Device Count: 0 Data loop file: /var/lib/docker/devicemapper/devicemapper/data WARNING: Usage of loopback devices is strongly discouraged for production use. Use `--storage-opt dm.thinpooldev` to specify a custom block storage device. Metadata loop file: /var/lib/docker/devicemapper/devicemapper/metadata Library Version: 1.02.135-RHEL7 (2016-11-16)Logging Driver: journaldCgroup Driver: systemdPlugins: Volume: local Network: overlay bridge null hostSwarm: inactiveRuntimes: docker-runc runcDefault Runtime: docker-runcSecurity Options: seccomp selinuxKernel Version: 3.10.0-514.21.2.el7.x86_64Operating System: CentOS Linux 7 (Core)OSType: linuxArchitecture: x86_64Number of Docker Hooks: 2CPUs: 2Total Memory: 2.765 GiBName: bogonID: G276:IK5Z:5U2N:4DCW:ISYK:DVQE:XQM7:NTEA:4BAX:UACX:YV5P:V2YMDocker Root Dir: /var/lib/dockerDebug Mode (client): falseDebug Mode (server): falseRegistry: https://index.docker.io/v1/Insecure Registries: 127.0.0.0/8Registries: docker.io (secure)

运行docker --version 或者 docker -v 返回如下：

Docker version 1.12.6, build 1398f24/1.12.6

好，一切正常，按照以往惯例运行 docker -help

Commands:    attach    Attach to a running container    build     Build an image from a Dockerfile    commit    Create a new image from a container's changes    cp        Copy files/folders between a container and the local filesystem    create    Create a new container    diff      Inspect changes on a container's filesystem    events    Get real time events from the server    exec      Run a command in a running container    export    Export a container's filesystem as a tar archive    history   Show the history of an image    images    List images    import    Import the contents from a tarball to create a filesystem image    info      Display system-wide information    inspect   Return low-level information on a container, image or task    kill      Kill one or more running containers    load      Load an image from a tar archive or STDIN    login     Log in to a Docker registry.    logout    Log out from a Docker registry.    logs      Fetch the logs of a container    network   Manage Docker networks    node      Manage Docker Swarm nodes    pause     Pause all processes within one or more containers    port      List port mappings or a specific mapping for the container    ps        List containers    pull      Pull an image or a repository from a registry    push      Push an image or a repository to a registry    rename    Rename a container    restart   Restart a container    rm        Remove one or more containers    rmi       Remove one or more images    run       Run a command in a new container    save      Save one or more images to a tar archive (streamed to STDOUT by default)    search    Search the Docker Hub for images    service   Manage Docker services    start     Start one or more stopped containers    stats     Display a live stream of container(s) resource usage statistics    stop      Stop one or more running containers    swarm     Manage Docker Swarm    tag       Tag an image into a repository    top       Display the running processes of a container    unpause   Unpause all processes within one or more containers    update    Update configuration of one or more containers    version   Show the Docker version information    volume    Manage Docker volumes    wait      Block until a container stops, then print its exit code

出现一堆命令，不过在深入之前，只有几个关键命令要用到，其他暂且不管。

images   #查看镜像pull      #拉取一个镜像push      #提交一个镜像rm        #删除一个容器rmi       #删除一个镜像run       #运行一个容器stop      #停止一个容器

详细的参数网上有很多资料，查下就明白啦。

获取一个docker镜像

运行 docker pull busybox

Using default tag: latestTrying to pull repository docker.io/library/busybox ...latest: Pulling from docker.io/library/busyboxDigest: sha256:be3c11fdba7cfe299214e46edc642e09514dbb9bbefcd0d3836c05a1e0cd0642

已经从官方镜像库里成功拉取了一个busybox的简单小镜像
busybox是一个最小的Linux系统，它提供了该系统的主要功能，不包含一些与GNU相关的功能和选项。
下一步我们将运行一个“Hello World”的例子，我们暂且叫它“Hello Docker”吧。

docker run busybox /bin/echo Hello Docker

现在，让我们以后台进程的方式运行hello docker：

sample_job=$(docker run -d busybox /bin/sh -c "while true; do echo Docker; sleep 1; done")

sample_job命令会隔一秒打印一次Docker，使用docker logs可以查看输出的结果。如果没有给这个job起名字，那这个job就会被分配一个id，以后使用命令例如docker logs查看日志就会变得比较麻烦。
运行
docker logs $sample_job #可以查看日志的输出

也可以使用以下命令来停止：

docker stop $sample_job

使用以下命令可以重新启动该容器：

docker restart $sample_job

如果要完全移除容器，需要先将该容器停止，然后才能移除。像这样：

docker stop $sample_job #停止docker rm $sample_job

将容器的状态保存为镜像，使用以下命令：

docker commit $sample_job job1

注意，镜像名称只能取字符[a-z]和数字[0-9]。
现在，你就可以使用以下命令查看所有镜像的列表：

docker images

在我们之前的Docker教程中，我们学习过镜像是存储在Docker registry。在registry中的镜像可以使用以下命令查找到：

docker search (image-name)

查看镜像的历史版本可以执行以下命令：

docker history (image_name)

最后，使用以下命令将镜像推送到registry：

docker push (image_name)

非常重要的一点是，你必须要知道存储库不是根存储库，它应该使用此格式(user)/(repo_name)。

好了，大神翻译的docker 文档贴完了，基本就是这个步骤，就可以玩转了

docker私有库搭建

从 Docker v1.12 开始，docker 就不支持从 HTTP 仓库下载镜像，建立私有仓库必须走 HTTPs 加密协议，坑好多，来走起。

我在本地机器上安装了两个虚拟机一个是248一个是249 都是centos 7 64

首先呢，得有docker环境，嗯。
再来呢，更改两台机器上的 hosts文件了，以便签名和push 镜像方便。
编辑 /etc/hosts , 添加 registry 域名 mydockerregistry.com

172.20.81.248 mydockerregistry.com

在来就是创建证书了：
运行

mkdir -p certs  #在当前目录创建一个certs 文件夹mkdir -p certs && openssl req \   -newkey rsa:4096 -nodes -sha256 -keyout certs/domain.key \   -x509 -days 365 -out certs/domain.crt#在certs文件目录里生成 两个签名文件，一个叫 domain.key  一个叫domain.crt

按步骤输入相应内容

Generating a 4096 bit RSA private key..................................................................................................................++.......................++writing new private key to 'certs/domain.key'-----You are about to be asked to enter information that will be incorporatedinto your certificate request.What you are about to enter is what is called a Distinguished Name or a DN.There are quite a few fields but you can leave some blankFor some fields there will be a default value,If you enter '.', the field will be left blank.-----Country Name (2 letter code) [XX]:CNState or Province Name (full name) []:beijingLocality Name (eg, city) [Default City]:beijingOrganization Name (eg, company) [Default Company Ltd]:zthdOrganizational Unit Name (eg, section) []:itCommon Name (eg, your name or your server's hostname) []:mydockerregistry.com #这里要写域名哦Email Address []:28154232@qq.com

ok大功告成

接下来呢，是让docker 客户端信任你的证书

mkdir /etc/docker/certs.d/myregistrydomain.com:5000/ -pcp certs/domain.crt /etc/docker/certs.d/myregistrydomain.com:5000/ca.crtservice docker restart

这些命令就不用解释了吧
嗯接下来下来 registry

mkdir datadocker run -d -p 5000:5000 --restart=always --privileged=true --name registry \  -v `pwd`/certs:/certs \  -v `pwd`/data:/var/lib/registry \  -e REGISTRY_HTTP_TLS_CERTIFICATE=/certs/domain.crt \  -e REGISTRY_HTTP_TLS_KEY=/certs/domain.key \  registry:2

这里解释下 /data:/var/lib/registry,格式：（宿主机目录：容器目录）
宿主机的/data目录与容器的/var/lib/registry共享

在这里，如果不添加–privileged=true，可以正常启动，但是当上传镜像是，会给出500错误

错误如下：

received unexpected HTTP status: 500 Internal Server Error

靠，真是坑，那查看下日志吧，/var/log/message的log会发现这样一段日志：

Jun 30 02:01:00 bogon journal: 172.20.81.248 - - [30/Jun/2017:09:01:00 +0000] "HEAD /v2/busybox/blobs/sha256:a3ed95caeb02ffe68cdd9fd84406680ae93d633cb16422d00e8a7c22955b46d4 HTTP/1.1" 404 157 "" "docker/1.12.6 go/go1.7.4 kernel/3.10.0-514.21.2.el7.x86_64 os/linux arch/amd64 UpstreamClient(Docker-Client/1.12.6 \\(linux\\))"Jun 30 02:01:00 bogon dbus[558]: [system] Activating service name='org.fedoraproject.Setroubleshootd' (using servicehelper)Jun 30 02:01:00 bogon dbus-daemon: dbus[558]: [system] Activating service name='org.fedoraproject.Setroubleshootd' (using servicehelper)Jun 30 02:01:00 bogon journal: time="2017-06-30T09:01:00Z" level=error msg="response completed with error" err.code=unknown err.detail="filesystem: mkdir /var/lib/registry/docker/registry/v2/repositories/busybox/_uploads/28e24cbe-b921-4f86-9096-2260346d2e44: permission denied" err.message="unknown error" go.version=go1.7.3 http.request.host="mydockerregistry.com:5000" http.request.id=6e7029aa-8b4d-4f2d-86c5-75f22ad34b14 http.request.method=POST http.request.remoteaddr="172.20.81.248:38532" http.request.uri="/v2/busybox/blobs/uploads/" http.request.useragent="docker/1.12.6 go/go1.7.4 kernel/3.10.0-514.21.2.el7.x86_64 os/linux arch/amd64 UpstreamClient(Docker-Client/1.12.6 \\(linux\\))" http.response.contenttype="application/json; charset=utf-8" http.response.duration="890.217µs" http.response.status=500 http.response.written=243 instance.id=9b8b0eab-1c6e-4c80-ac7e-fe39137ae88d vars.name=busybox version=v2.6.1Jun 30 02:01:00 bogon dockerd-current: time="2017-06-30T02:01:00.816251847-07:00" level=error msg="Attempting next endpoint for push after error: received unexpected HTTP status: 500 Internal Server Error"Jun 30 01:52:21 bogon journal: 172.20.81.248 - - [30/Jun/2017:08:52:21 +0000] "HEAD /v2/busybox/blobs/sha256:27144aa8f1b9e066514d7f765909367584e552915d0d4bc2f5b7438ba7d1033a HTTP/1.1" 404 157 "" "docker/1.12.6 go/go1.7.4 kernel/3.10.0-514.21.2.el7.x86_64 os/linux arch/amd64 UpstreamClient(Docker-Client/1.12.6 \\(linux\\))"Jun 30 01:52:21 bogon journal: time="2017-06-30T08:52:21Z" level=error msg="response completed with error" err.code=unknown err.detail="filesystem: mkdir /var/lib/registry/docker: permission denied" err.message="unknown error" go.version=go1.7.3 http.request.host="mydockerregistry.com:5000" http.request.id=683956ea-e9b6-4ec7-b4c4-290f5b2f7ff7 http.request.method=POST http.request.remoteaddr="172.20.81.248:38488" http.request.uri="/v2/busybox/blobs/uploads/" http.request.useragent="docker/1.12.6 go/go1.7.4 kernel/3.10.0-514.21.2.el7.x86_64 os/linux arch/amd64 UpstreamClient(Docker-Client/1.12.6 \\(linux\\))" http.response.contenttype="application/json; charset=utf-8" http.response.duration=3.299945ms http.response.status=500 http.response.written=164 instance.id=9b8b0eab-1c6e-4c80-ac7e-fe39137ae88d vars.name=busybox version=v2.6.1

说是没有权限巴拉巴拉巴拉 (╯—﹏—)╯（┷━━━┷
知道错误那就好办啦
在启动时候加上 –privileged=true 就ok了。。。┻━┻ ヘ╰( •̀ε•́ ╰)

解释下：

在Cent OS 7中运行，发现挂载的本地目录在容器中没有执行权限，原因是CentOS7中的安全模块selinux把权限禁掉了，至少有以下三种方式解决挂载的目录没有权限的问题：
1，在运行容器的时候，给容器加特权：--privileged=true
2，临时关闭selinux：

su -c "setenforce 0"

注意：之后要记得重新开启selinux，命令：
su -c "setenforce 1"
3，添加selinux规则，将要挂载的目录添加到白名单：

chcon -Rt svirt_sandbox_file_t /home/docs

嗯
跑偏了。。。

继续 ٩(๑`н´๑)۶

docker tag hello-world mydockerregistry.com:5000/hello-world # 标记本地镜像，将其归入某一仓库。docker push mydockerregistry.com:5000/hello-worlddocker pull mydockerregistry.com:5000/hello-world

如果没错的话，大功告成了就，来检查下本地镜像吧。

浏览器输入 https://172.20.81.248:5000/v2/
返回一个文件让你下载打开是一个 {}
https://172.20.81.248:5000/v2/_catalog
返回 {“repositories”:[“hello-world”]}

＼（＠￣∇￣＠）／这里就算成功了吧
下一步通过 dockerfile 创建个自己的镜像。。。未完

阅读全文

0 0

Docker学习笔记 第一记