Docker知识基础

为什么要用到容器？

docker是什么？

容器与虚拟机的区别？

docker的三个核心概念：

为什么要用到容器？

1）容器可以屏蔽底层操作系统的差异性，让业务应用不管在哪里都是使用容器的环境运行，从而保证开发测试环境与生产环境的一致性

2）容器部署起来非常便捷和迅速，缩短开发测试部署的周期时间

容器引擎：docker containered podman rocket

虚拟化软件：Windows VMware Workstation 个人工作站版 VMware Sphere + ESXI 企业版 XEN

Linux KVM (基于linux内核的虚拟机) -> Openstack

docker是什么？

docker是用go语言开发并开源的容器引擎，用来运行容器里的应用。docker也是可用来管理容器和镜像的一种工具。

容器与虚拟机的区别？

容器虚拟机

所有容器共享宿主机的内核每个虚拟机都有独立的操作系统和内核

通过namespace实现资源隔离，通过cgroup实现限制资源的最大使用量完全隔离。每个虚拟机都有独立的硬件资源

秒级启动速度分钟级启动速度

容器相当于宿主机的进程，性能几乎没有损耗需要通过hypervisor虚拟机管理程序对宿主机资源虚拟访问，有一定的性能损耗

单机容量能支持成百上千个容器单机只能支持最多几十个虚拟机

docker的三个核心概念：

镜像：是创建容器的基础，是一个只读的模板文件，里面包含运行容器中的应用程序所需要的所有内容（应用程序文件、配置文件、运行库文件、依赖包等）

容器：是用镜像运行的实例，容器可以被创建、启动、停止、删除，每个容器之间默认是相互隔离的

仓库：是用来集中保存镜像的地方，有公有仓库和私有仓库之分

docker version

docker info

docker镜像操作

docker search 仓库|镜像的关键词

pull 仓库名/镜像名:标签 #如果不指定标签默认使用 :latest 标签

images $-q$

inspect 镜像名|镜像ID

tag 旧镜像名:旧标签新镜像名:新标签

rmi 镜像名|镜像ID $-f$

save -o 镜像文件镜像名|镜像ID

load -i|< 镜像文件

push 仓库名/镜像名:标签

docker容器操作

docker create $-i -t$ $--name 容器名$ 镜像名:标签 $容器启动命令$

start 容器名|容器ID

ps $-a -q$

inspect 容器名|容器ID

stop 容器名|容器ID #发送 SIGTERM 信号，默认等待10s

kill 容器名|容器ID #发送 SIGKILL 信号，强制停止容器

rm 容器名|容器ID $-f$

exec -it 容器名|容器ID bash|sh

logs 容器名|容器ID #查看容器中PID=1的主进程的日志

cp 宿主机文件路径容器名|容器ID:绝对路径

cp 容器名|容器ID:绝对路径宿主机文件路径

docker export -o 容器模板文件容器名|容器ID docker export 容器名|容器ID > 容器模板文件

docker import 容器模板文件 -- 镜像名:标签 cat 容器模板文件 | docker import - 镜像名:标签

docker run -d $-i -t --name --rm$ 镜像名:标签 $容器启动命令$

-P #使用从32768开始的随机端口映射容器

-p 宿主机端口:容器端口 #使用指定的宿主机端口映射容器

-v 宿主机绝对路径:容器绝对路径 $:ro$ #将宿主机目标|文件挂载到容器的数据卷

--volumes-from 数据卷容器名 #共享数据卷容器的数据卷

--link 目标容器名:连接别名 #可实现在容器内通过目标容器名或连接别名与目标容器通信

--network bridge|host|none|container:容器名或ID #设置容器的网络模式

docker run 的启动过程：1）检查本地是否有镜像，如果有则直接使用本地镜像创建容器，如果没有则从仓库拉取镜像再创建容器

2）在只读的镜像层上挂载一层可读可写的容器层

3）从docker网桥给容器分配一个虚拟接口和IP

4）使用镜像的默认启动命令或者指定的启动命令启动容器，直到容器中PID=1的主进程退出为止

docker网络模式

bridge

docker的默认网络模式。使用此模式的每个容器都有独立的网络命名空间namespace，即每个容器都有独立的IP、端口范围（每个容器可以用同一个端口）、路由、iptables规则等网络资源。

docker run $--network=bridge$ ....

host

容器与宿主机共享网络namespace，即容器和宿主机使用同一个IP、端口范围（容器与宿主机或其它使用host模式的容器不能用同一个端口）、路由、iptables规则等网络资源。

docker run --network=host ....

container

和指定已存在的容器共享网络namespace，即这两个容器使用同一个IP、端口范围（容器与指定的容器不能用同一个端口）、路由、iptables规则等网络资源。

docker run --network=container:容器名|容器ID ....

none

每个容器都有独立的网络namespace，但是容器没有自己的eth0网卡、IP、端口等，只有lo网卡。

docker run --network=none ....

自定义网络

可以用来自定义创建一个网段、网桥、网络模式，从而可以创建容器时自定义容器IP

docker network create --subnet 自定义网段 --opt "com.docker.network.bridge.name"="自定义网桥名" 自定义网络模式名

docker run --network 自定义网络模式名 --ip 自定义容器IP ....

cgroup资源限制（限制容器进程对CPU 内存磁盘IO 等资源的最大使用量）

CPU限制

设置单个容器进程能够使用的CPU使用率上限

针对新建的容器：

docker run --cpu-period 单个CPU调度周期时间(1000~1000000) --cpu-quota 容器进程能够使用的最大CPU时间(>=1000)

针对已存在的容器：

修改 /sys/fs/cgroup/cpu/docker/容器ID/ 目录下的 cpu.cfs_period_us(单个CPU调度周期时间) cpu.cfs_quota_us(容器进程能够使用的最大CPU时间) 文件的值

设置多个容器的CPU占用份额（只能在多个容器同时运行且CPU资源紧张时生效）

docker run --cpu-shares 容器进程最大占用CPU的份额(值为1024的倍数)

设置容器绑定指定的CPU

docker run --cpuset-cpus CPUID1 $,CPUID2,....$

内存限制

设置容器能够使用的内存和swap的值

docker run -m 内存值 --memory-swap 内存和swap的总值

设置 0 或不设置，表示swap为内存的2倍

设置 -1，表示不限制swap的值，宿主机有多少容器即可使用多少

设置与 -m 一样的值，表示不使用swap