一 Dockerfile
1 概述
commit的局限
- 很容易制作简单的镜像,但碰到复杂的情况就十分不方便例如碰到下面的情况
- 需要设置默认的启动命令
- 需要设置环境变量
- 需要指定镜像开放某些特定的端口
Dockerfile就是解决这些问题的方法
Dockerfile是一种更强大的镜像制作方式
编写类似脚本的 Dockerfile 文件,通过该文件制作镜像
2 使用
- 创建编写 Dockerfile
- 制作镜像
docker build -t 镜像名称:标签 Dockerfile所在目录
3 指令说明
| 指令 | 说明 |
|---|---|
| FROM | 指定基础镜像(唯一) |
| RUN | 在容器内执行命令,可以写多条 |
| ADD | 把文件拷贝的容器内,如果文件是 tar.xx 格式,会自动解压 |
| COPY | 把文件拷贝的容器内,不会自动解压 |
| ENV | 设置启动容器的环境变量 |
| WORKDIR | 设置启动容器的默认工作目录(唯一) |
| CMD | 容器默认的启动参数(唯一) |
| ENTRYPOINT | 容器默认的启动命令(唯一) |
| USER | 启动容器使用的用户(唯一) |
| EXPOSE | 使用镜像创建的容器默认监听使用的端口号/协议 |
4 制作
什么是上帝进程?
简单的说就是系统创建之初产生的第一个进程
特点:
- 没有父进程,PID == 1l
- 是所有程序的根进程
- 上帝进程死亡系统实例也就关闭了
容器有没有上帝进程?
- 容器的启动进程就是上帝进程
- 如果容器的启动进程关闭等同于容器关闭
容器的启动进程能否放在后台运行?
- 后台进程的本质是向系统托管进程服务
- 容器没有操作系统,所以无法实现进程托管
- 如果强行把容器的启动进程放后台,将导致容器直接关闭
- 容器的启动进程必须放在前台运行
5 语法案例
语法案例(1)
# 编写 Dockerfile
[root@docker ~]# mkdir myimg
[root@docker ~]# vim myimg/Dockerfile
FROM mylinux:latest
CMD ["/bin/ls", "-l"]
# 创建镜像
[root@docker ~]# docker build -t img1:latest myimg
......
Successfully tagged img1:latest
[root@docker ~]# docker images
REPOSITORY TAG IMAGE ID CREATED SIZE
img1 latest 9278f72f8cb1 5 seconds ago 249MB
mylinux latest e3b3d26bf0da 21 hours ago 249MB
rockylinux 8.5 210996f98b85 13 months ago 205MB
# 创建容器
[root@docker ~]# docker run -it --rm img1:latest
total 48
lrwxrwxrwx 1 root root 7 Oct 11 2021 bin -> usr/bin
drwxr-xr-x 5 root root 360 Feb 5 04:21 dev
drwxr-xr-x 1 root root 4096 Feb 5 04:21 etc
drwxr-xr-x 2 root root 4096 Oct 11 2021 home
......
# 传递参数命令,覆盖 CMD 执行
[root@docker ~]# docker run -it --rm img1:latest id
uid=0(root) gid=0(root) groups=0(root)
语法案例(2)
ENTRYPOINT一定会执行,CMD 可以通过传递参数覆盖
# ENTRYPOINT 与 CMD 执行方式为 ${ENTRYPOINT} ${CMD}
[root@docker ~]# vim myimg/Dockerfile
FROM mylinux:latest
ENTRYPOINT ["echo"]
CMD ["/bin/ls", "-l"]
# 创建镜像
[root@docker ~]# docker build -t img2:latest myimg
......
Successfully tagged img2:latest
# CMD 做为参数传递,在容器内执行了 echo '/bin/ls -l'
[root@docker ~]# docker run -it --rm img2:latest
/bin/ls -l
# CMD 被替换,在容器内执行了 echo id
[root@docker ~]# docker run -it --rm img2:latest id
id
语法案例(3)
# 制作测试文件
[root@docker ~]# tar -cf myimg/myfile.tar -C /etc hosts issue
# 编辑Dockerfile
[root@docker ~]# vim myimg/Dockerfile
FROM mylinux:latest
COPY myfile.tar /var/tmp/
ADD myfile.tar /tmp/
RUN id && touch /tmp/file1
USER nobody
RUN id && touch /tmp/file2
ENV mymsg="Hello World"
WORKDIR /tmp
CMD ["/bin/bash"]
# 创建镜像
[root@docker ~]# docker build -t img3:latest myimg
......
Successfully built eb8b669cbe7c
Successfully tagged img3:latest
# 运行测试
[root@docker ~]# docker run -it --rm img3:latest
# 使用 COPY 进来的文件还是 tar 包
bash-4.4$ tree /var/tmp
/var/tmp
`-- myfile.tar
# 使用 ADD 添加的文件已经被解压了
bash-4.4$ tree /tmp
/tmp
|-- hosts
`-- issue
# USER 指令设置使用 nobody 用户运行容器
bash-4.4$ id
uid=65534(nobody) gid=65534(nobody) groups=65534(nobody)
# USER 指令前创建的文件是 root 权限,之后是 USER 用户权限
bash-4.4$ ls -l /tmp/file?
-rw-r--r-- 1 root root 0 Feb 5 05:25 /tmp/file1
-rw-r--r-- 1 nobody nobody 0 Feb 5 05:25 /tmp/file2
# 环境变量可以直接调用
bash-4.4$ echo ${mymsg}
Hello World
# WORKDIR 把工作目录设置到 /tmp
bash-4.4$ pwd
/tmp
二 镜像制作实战
1 apache镜像
创建一个可以解析 php 页面的 httpd 镜像
设置默认首页为 Welcome to The Apache
添加php 测试页面info.php
设置默认的工作目录到 /var/www/html
准备配置文件
[root@docker ~]# mkdir httpd
# 设置测试页面
[root@docker ~]# echo 'Welcome to The Apache.' >httpd/index.html
[root@docker ~]# cp -a info.php httpd/
[root@docker ~]# tar czf httpd/myweb.tar.gz -C httpd index.html info.php
# 获取配置文件
[root@docker ~]# docker run -itd --name myweb mylinux:latest
[root@docker ~]# docker exec -it myweb dnf install -y httpd
[root@docker ~]# docker cp myweb:/etc/httpd/conf.modules.d/00-mpm.conf httpd/
[root@docker ~]# docker rm -f myweb
# 修改配置文件
[root@docker ~]# sed -ri -e 's,^Load.*,#&,' -e 's,^#(.*mod_mpm_prefork.so)$,\1,' httpd/00-mpm.conf
制作镜像
# 编写 dockerfile 文件
[root@docker ~]# vim httpd/Dockerfile
FROM mylinux:latest
RUN dnf install -y httpd php && dnf clean all
ADD myweb.tar.gz /var/www/html/
COPY 00-mpm.conf /etc/httpd/conf.modules.d/
ENV LANG=C
WORKDIR /var/www/html/
EXPOSE 80/tcp
CMD ["/usr/sbin/httpd", "-DFOREGROUND"]
[root@docker ~]# docker build -t httpd:latest httpd
......
Successfully tagged httpd:latest
验证镜像
# 查看镜像并创建容器
[root@docker ~]# docker images httpd:latest
REPOSITORY TAG IMAGE ID CREATED SIZE
httpd latest c1e854cde1f4 About a minute ago 299MB
[root@docker ~]# docker run -itd --name myweb httpd:latest
cc2b82ad0367172c344c7207def94c4c438027c60859e94883e440b53a860a93
# 查看容器地址并访问验证
[root@docker ~]# docker inspect myweb |grep -i IPAddress
[root@docker ~]# curl http://172.17.0.2/info.php
<pre>
Array
(
[REMOTE_ADDR] => 172.17.0.1
[REQUEST_METHOD] => GET
[HTTP_USER_AGENT] => curl/7.61.1
[REQUEST_URI] => /info.php
)
php_host: 2fbc8c132f7f
1229
[root@docker ~]# docker rm -f myweb
2 nginx镜像
在容器内编译 Nginx不方便,我们可以在真机编译 Nginx,然后把编译好的二进制打包部署在容器内
# 安装编译工具和依赖软件包
[root@docker ~]# dnf install -y openssl-devel pcre-devel gcc make
# 编译安装
[root@docker ~]# tar zxf nginx-1.22.1.tar.gz
[root@docker ~]# cd nginx-1.22.1/
[root@docker nginx-1.22.1]# ./configure --prefix=/usr/local/nginx --with-pcre --with-http_ssl_module
[root@docker nginx-1.22.1]# make && make install
# 设置默认首页
[root@docker nginx-1.22.1]# echo 'Nginx is running !' >/usr/local/nginx/html/index.html
制作镜像
注意:nginx 服务不能托管在后台运行
[root@docker ~]# mkdir nginx
# 将编译好的 nginx 打包,这里必须使用相对路径
[root@docker ~]# tar czf nginx/nginx.tar.gz -C /usr/local nginx
[root@docker ~]# vim nginx/Dockerfile
FROM mylinux:latest
RUN dnf install -y pcre openssl && dnf clean all
ADD nginx.tar.gz /usr/local/
ENV PATH=${PATH}:/usr/local/nginx/sbin
WORKDIR /usr/local/nginx/html
EXPOSE 80/tcp
CMD ["nginx", "-g", "daemon off;"]
[root@docker ~]# docker build -t nginx:latest nginx
Successfully tagged nginx:latest
验证镜像
# 查看镜像并创建容器
[root@docker ~]# docker images nginx:latest
REPOSITORY TAG IMAGE ID CREATED SIZE
nginx latest 645dd2d9a8ec 3 minutes ago 274MB
[root@docker ~]# docker run -itd --name myweb nginx:latest
e440b53a860a93cc2b82ad0367172c344c7207def94c4c438027c60859e94883
# 查看容器地址并访问验证
[root@docker ~]# docker inspect myweb |grep -i IPAddress
[root@docker ~]# curl http://172.17.0.2/
Nginx is running !
# 查看 nginx 服务的用户
# nginx 服务为了提高安全性,在启动之后默认会使用nobody 用户对外提供服务
[root@docker ~]# docker exec -it myweb ps -ef
UID PID PPID C STIME TTY TIME CMD
root 1 0 0 15:48 pts/0 00:00:00 nginx: master process nginx
nobody 7 1 0 15:48 pts/0 00:00:00 nginx: worker process
root 32 0 0 15:49 pts/1 00:00:00 ps -ef
[root@docker ~]# docker rm -f myweb
3 php-fpm镜像
按照下面的要求创建php-fpm镜像
- php-fpm 服务监听地址为 127.0.0.19000
- php-fpm 使用和 nginx 相同的普通用户运行完成镜像制作,并验证
准备配置文件
获取并修改php-fpm配置文件
使用nobody 用户启动运行 php-fpm 服务
# 获取配置文件
[root@docker ~]# mkdir php
[root@docker ~]# docker run -itd --name myphp mylinux:latest
[root@docker ~]# docker exec -it myphp dnf install -y php-fpm
[root@docker ~]# docker cp myphp:/etc/php-fpm.d/www.conf php/
[root@docker ~]# docker rm -f myphp
# 修改配置文件
[root@docker ~]# sed -ri 's,^(listen = ).*,\1127.0.0.1:9000,' php/www.conf
制作镜像
# 编写 dockerfile 文件
[root@docker ~]# vim php/Dockerfile
FROM mylinux:latest
RUN dnf install -y php-fpm && dnf clean all && \
mkdir -p /run/php-fpm /usr/local/nginx/html && \
chown -R nobody.nobody /run/php-fpm /var/log/php-fpm /usr/local/nginx/html
COPY www.conf /etc/php-fpm.d/www.conf
USER nobody
WORKDIR /usr/local/nginx/html
EXPOSE 9000/tcp
CMD ["/usr/sbin/php-fpm", "--nodaemonize"]
[root@docker ~]# docker build -t php-fpm:latest php
Successfully tagged php-fpm:latest
验证镜像
# 查看镜像并创建容器
[root@docker ~]# docker images php-fpm:latest
REPOSITORY TAG IMAGE ID CREATED SIZE
php-fpm latest b2404bd119b0 48 seconds ago 275MB
[root@docker ~]# docker run -itd --name myphp php-fpm:latest
6eeff6af4a6469c298944b2bdd2ba69f32ebcbc6cb683a0a05af4eefbf90e8c1
# 验证服务
[root@docker ~]# docker exec -it myphp /bin/bash
# 验证用户
bash-4.4$ id
uid=65534(nobody) gid=65534(nobody) groups=65534(nobody)
# 我们无法直接调用 php 服务,可以通过查看进程验证服务
bash-4.4$ ps -ef
UID PID PPID C STIME TTY TIME CMD
nobody 1 0 0 16:13 pts/0 00:00:00 php-fpm: master process (/etc/php-fpm.conf)
nobody 7 1 0 16:13 pts/0 00:00:00 php-fpm: pool www
nobody 8 1 0 16:13 pts/0 00:00:00 php-fpm: pool www
nobody 9 1 0 16:13 pts/0 00:00:00 php-fpm: pool www
nobody 10 1 0 16:13 pts/0 00:00:00 php-fpm: pool www
nobody 11 1 0 16:13 pts/0 00:00:00 php-fpm: pool www
nobody 12 0 0 16:13 pts/1 00:00:00 /bin/bash
nobody 19 12 0 16:13 pts/1 00:00:00 ps -ef
bash-4.4$ exit
[root@docker ~]# docker rm -f myphp
三 docker私有仓库
1 概述
私有仓库是存储 docker image 的仓库
管理了一个 docker 集群,在所有节点维护镜像的一致性是一个非常麻烦繁琐的任务,使用公共仓库,我们又无法控制仓库中的镜像、版本等数据,私有仓库就是解决这些问题的最佳方法。
用户只需要维护私有仓库里面的镜像即可,docker 客户端可以通过私有仓库创建容器服务。
主流仓库有 docker Registry 和 vmware HarborRegistry 提供了仓库的核心功能,包括分层传输机制、WEB接口等功能
Habor 是在 Registry 上进行了相应的企业级扩展,从而获得了更加广泛的应用,这些新的企业级特性包括:提供 WEB界面,优化用户体验,支持登陆、搜索功能,区分公有、私有镜像,以及基于角色的访问控制,集成日志审计、支持水平扩展等功能
2 原理
3 安装部署
主机清单
| 主机名 | ip地址 | 最低配置 |
|---|---|---|
| registry | 192.168.1.35 | 2CPU,4G内存 |
registry安装部署
# 在 registry 上安装私有仓库
[root@registry ~]# dnf install -y docker-distribution
# 启动私有仓库,并设置开机自启动
[root@registry ~]# systemctl enable --now docker-distribution
4 管理
<1> 概述
仓库配置文件及数据存储路径
- /etc/docker-distribution/registry/config.yml
- /var/lib/registry
- 默认端口号5000
查看私有镜像仓库中的镜像名称或标签
- 名称: curl http://仓库IP:端口/v2/ catalog
- 标签: curl http://仓库IP:端口/v2/镜像路径/tags/list
如何让Docker知道私有仓库的地址?
配置文件 /etc/docker/daemon.json
核心参数
镜像仓库地址 [ "registry-mirrors":["http://registry:5000" ]
私有仓库地址 [ "insecure-registries":["registry:5000" ]
<2> 案列
配置私有仓库
上传镜像 nginx到仓库 img 目录下 myimg:web
上传镜像php-fpm到仓库img目录下myimg:php-fpm
上传镜像 httpd 到仓库 library 目录下httpd:latest
上传镜像mylinux到仓库library 目录下mylinux:latest
运行容器
删除所有容器和镜像
分别使用 img/myimg:web 和 library/httpd:latest 创建容器
访问验证
客户端配置
所有node节点都需要配置
[root@docker ~]# vim /etc/hosts
192.168.1.35 registry
# 修改配置文件
[root@docker ~]# vim /etc/docker/daemon.json
{
"registry-mirrors": ["http://registry:5000"],
"insecure-registries":["registry:5000"]
}
# 重启服务生效
[root@docker ~]# systemctl restart docker
上传镜像
-
使用 docker tag 通过标签设置上传地址和路径
-
使用 docker push 上传镜像
给 nginx 镜像设置标签
[root@docker ~]# docker tag nginx:latest registry:5000/img/myimg:web
上传 nginx 镜像
[root@docker ~]# docker push registry:5000/img/myimg:web
The push refers to repository [registry:5000/img/myimg]
c9d01852a13b: Pushed
......
web: digest: sha256:3e1fc9ad1ee46ee4619c95dc9d71034d919e53abfc size: 952上传 php-fpm 镜像
[root@docker ~]# docker tag php-fpm:latest registry:5000/img/myimg:php-fpm
[root@docker ~]# docker push registry:5000/img/myimg:php-fpm
The push refers to repository [registry:5000/img/myimg]
619c95dc93e1: Pushed
......
php-fpm: digest: sha256:619c95dc93e1fc9ad1ee46ee4d71034d919e53abfc size: 875上传 httpd 镜像
[root@docker ~]# docker tag httpd:latest registry:5000/library/httpd:latest
[root@docker ~]# docker push registry:5000/library/httpd:latest
The push refers to repository [registry:5000/library/httpd]
95dc9d71034d: Pushed
......
latest: digest: sha256:95dc9d71034d919e53abfc3e1fc9ad1ee46ee4619c size: 968
验证测试
查看镜像名称: curl http://仓库IP:5000/v2/_catalog
查看镜像标签: curl http://仓库IP:5000/v2/镜像路径/tags/list
使用易读格式: python3 -m json.tool
# 查看仓库中所有镜像的名称
[root@docker ~]# curl http://registry:5000/v2/_catalog
{"repositories":["img/myimg", "library/httpd"]}
# 查看某一镜像的所有标签
[root@docker ~]# curl http://registry:5000/v2/img/myimg/tags/list
{"name":"img/myimg","tags":["web", "php-fpm"]}
# 易读格式查看镜像名称
[root@docker ~]# curl -s http://registry:5000/v2/_catalog |python3 -m json.tool
{
"repositories": [
"img/myimg",
"library/httpd"
]
}
# 易读格式查看镜像标签
[root@docker ~]# curl -s http://registry:5000/v2/img/myimg/tags/list |python3 -m json.tool
{
"name": "img/myimg",
"tags": [
"php-fpm",
"web"
]
}
创建容器
# 删除所有容器
[root@docker ~]# docker rm -f $(docker ps -aq)
......
# 删除所有镜像
[root@docker ~]# docker rmi $(docker images -q)
......
# 使用仓库中的镜像运行容器
[root@docker ~]# docker run -itd --rm registry:5000/img/myimg:web
2b7cd6d88a7665dbea0a4b3d99478e9f302c0a5661d7676d6d3bd3cb6d181
# library 是默认路径,可以省略路径地址
[root@docker ~]# docker run -itd --rm httpd:latest
634766f788d665dbea0a4b39709e0a2cc8624fd99478e9f302c0a5661d767