Docker的Logo设计为蓝色鲸鱼,拖着许多集装箱。
鲸鱼可看作为宿主机,集装箱可理解为相互隔离的容器,每个集装箱中都包含自己的应用程序。
一、Docker 概述
Docker是一个开源的应用容器引擎,基于go语言开发并遵循了apache2.0协议开源。
Docker是在Linux容器里运行应用的开源工具,是一种轻量级的"虚拟机"。
Docker 的容器技术可以在一台主机上轻松为任何应用创建一个轻量级的、可移植的、自给自足的容器。
Docker的设计宗旨:Build,Ship and Run Any App,Anywhere,
即通过对应用组件的封装、发布、部署、运行等生命周期的管理,达到应用组件级别的"一次封装,到处运行"的目的。这里的组件,既可以是一个应用,也可以是一套服务,甚至是一个完整的操作系统。
在学习docker之前需要了解云和虚拟化知识
1.1、云
|------------------|--------------------------------|--------------------------------------------|
| 公有云 | 私有云 | 混合云 |
| 西部数码云 | 移动云 | 微软(Azure Stack提供混合云解决方案,支持在私有环境中运行Azure服务) |
| 阿里云 | 天翼云 | IBM(提供混合云解决方案,支持私有云和公有云的集成) |
| 腾讯云 | Oracle(提供私有云基础设施和平台服务) | 阿里云(提供混合云解决方案,支持私有云和公有云的集成与互操作) |
| 京东云 | VMware(提供私有云虚拟化技术和解决方案) | Dell EMC(与VMware合作提供混合云解决方案) |
| 华为云 | 360亿方云(提供企业私有网盘解决方案,注重数据安全与协作) | |
| 百度云 | | |
| 国外云 aws 亚马逊云 谷歌云 | | |
提供的服务
1.2、虚拟化
虚拟化是一种资源管理技术,它将计算机的各种实体资源(如CPU、内存、磁盘空间、网络适配器等)进行抽象、转换后呈现出来,并可供分割、组合为一个或多个电脑配置环境。
这种技术打破了实体结构间的不可切割的障碍,使用户能够以比原本配置更好的方式来应用这些电脑硬件资源。
- 真实==>虚拟
- CPU、内存、磁盘空间、网络适配器等资源==>抽象(虚拟化)===>重新分配
两种架构
1、全虚拟化
就是在裸金属之上安装
服务器--虚拟化产品
总结:金虚拟化模拟整个硬件环境,实现多个操作系统运行在同一个硬件平台上,具有较高的隔离性和兼容性
ESXI(是vSphere的虚拟化操作系统) vmware 企业版
2、半虚拟化
服务器--->本机(真实操作系统:winio-11-centos等)----)虚拟化产品-->虚拟化操作系统
电脑
总结:半虚拟化则是一种更轻量级的应拟化方式,庭拟机与宿主机紧密合作,提高性能以及资源利用率
kvm(全、半都有) openstack VMware Workstation Pro(mac版叫其他名字) Xen Hyper-V**(微软)**VirtualBox(个人Oracle)
1.3、容器化
容器化越来越受欢迎,因为容器是:
●灵活:即使是最复杂的应用也可以集装箱化。
●轻量级:容器利用并共享主机内核。
●可互换:可以即时部署更新和升级。
●便携式:可以在本地构建,部署到云,并在任何地方运行。
●可扩展:可以增加并自动分发容器副本。
●可堆叠:可以垂直和即时堆叠服务。
容器是在linux上本机运行,并与其他容器共享主机的内核,它运行的是一个独立的进程,不占用其他任何可执行文件的内存,非常轻量。
虚拟机运行的是一个完整的操作系统,通过虚拟机管理程序对主机资源进行虚拟访问,相比之下需要的资源更多。
特性 | Docker容器 | 虚拟机 |
---|---|---|
启动速度 | 秒级 | 分钟级 |
计算能力损耗 | 几乎无 | 损耗50%左右 |
性能 | 接近原生 | 弱于原生 |
系统支持量(单机) | 上千个 | 几十个 |
隔离性 | 资源隔离/限制(共享宿主机的操作系统内核) | 完全隔离(每个虚拟机都有独立的操作系统) |
1.2、容器在内核中支持2种重要技术
docker本质就是宿主机的一个进程,docker是通过namespace实现资源隔离,通过cgroup实现资源限制,通过写时复制技术(copy-on-write)实现了高效的文件操作(类似虚拟机的磁盘比如分配500g并不是实际占用物理磁盘500g)。
-
Namespace(命名空间):
- Namespace是Linux系统提供的一种资源隔离机制。通过Namespace,Linux内核能够创建出一组相互隔离的进程,这些进程在各自的Namespace中拥有独立的系统资源视图。
- Docker利用Namespace实现了容器之间的资源隔离。这包括隔离PID(进程ID)、NET(网络)、IPC(进程间通信)、MNT(挂载点)、UTS(主机名)和USER(用户)等命名空间。每个容器都像是一个独立的操作系统实例,拥有自己的进程表、网络栈、文件系统挂载点等。
- 命名空间技术使得容器能够在共享宿主机的操作系统内核的同时,保持相互之间的独立性和隔离性。
- namespace六项隔离技术
Namespace | 系统调用参数 | 隔离内容clone |
---|---|---|
UTS | CLONE_NEWUTS | 主机名(Hostname)与域名(Domain Name)的隔离 |
IPC | CLONE_NEWIPC | 信号量(Semaphores)、消息队列(Message Queues)和共享内存(Shared Memory)的隔离 |
PID | CLONE_NEWPID | 进程编号(Process ID)的隔离,使得容器内的进程编号与宿主机和其他容器内的进程编号相互独立 |
NETWORK | CLONE_NEWNET | 网络设备、网络栈(Network Stack)和端口(Ports)等的隔离,允许容器拥有自己独立的网络环境和配置 |
MOUNT | CLONE_NEWNS | 挂载点(Mount Points)和文件系统(File Systems)的隔离,使得容器可以拥有自己独立的文件系统视图 |
USER | CLONE_NEWUSER | 用户(Users)和用户组(Groups)的隔离(在Linux 3.8及以后的内核版本中支持),允许容器内的进程以不同于宿主机的用户身份运行 |
-
Cgroup(控制组):
- Cgroup是Linux内核提供的一种用于限制、记录和隔离进程组所使用的物理资源的机制。
- Docker通过Cgroup来限制容器使用的资源配额,包括CPU、内存、磁盘I/O等。这有助于防止某个容器过度使用资源,从而影响其他容器或宿主机的性能。
- 通过Cgroup,Docker能够为每个容器分配特定的资源限制,并监控其资源使用情况。这对于维护整个系统的稳定性和性能至关重要。
此外,Docker还通过写时复制技术(copy-on-write)实现了高效的文件操作。这种技术允许容器在启动时共享相同的镜像文件,只有当需要修改文件时才会创建副本。这大大节省了存储空间,并提高了容器的启动速度。
1.3、Docker核心概念:
- 镜像**(Image)**
- Docker的镜像是创建容器的基础,类似虚拟机的快照,可以理解为一个面向 Docker 容器引擎的只读模板。
- 可以将其看作是一个静态的模板或快照,它包含了运行一个应用程序所需的所有文件、代码、运行时间,库、环境变量、工具、库和配置。
- 镜像是一个只读的文件系统,它包含了应用程序的代码、运行时环境、系统工具等。
- 你可以从Docker Hub等镜像仓库中下载镜像,或者通过Dockerfile自己构建镜像。
- Docker镜像也是一个压缩包,只是这个压缩包不只是可执行文件,环境部署脚本,它还包含了完整的操作系统。因为大部分的镜像都是基于某个操作系统来构建,所以很轻松的就可以构建本地和远端一样的环境,这也是Docker镜像的精髓。
- 容器**(Container)**
- 容器是从镜像创建的运行实例,它可以被启动、停止和删除。所创建的每一个容器都是相互隔离、互不可见,以保证平台的安全性。
- 容器是一个独立、隔离的运行单元,它包含了应用程序及其所有运行时所需的文件系统、环境变量、进程、网络配置等。可以把容器看做是一个简易版的linux环境(包括root用户权限、镜像空间、用户空间和网络空间等)和运行在其中的应用程序。
- 容器是镜像 nginx (run) 起来之后的一个实例,可以把容器看做时一个简易版的linux环境容器 就是集装箱(logo上的集装箱)
- 容器可以被启动、停止、删除等操作,而不会影响镜像本身。
- 仓库
- Docker仓库是用来集中保存镜像的地方,当创建了自己的镜像之后,可以使用push命令将它上传到公有仓库(Public)或者私有仓库(Private)。当下次要在另外一台机器上使用这个镜像时,只需从仓库获取。
- Docker 的镜像、容器、日志等内容全部都默认存储在 /var/lib/docker
- 仓库就是放镜像的场所,做大的公开库 docker hub
镜像与容器的关系
- 镜像就像是类的定义,它描述了如何创建一个对象(容器)。
- 容器就像是类的实例,它是根据镜像创建出来的具体对象。
- 一个镜像可以创建多个容器,每个容器都是独立的、隔离的运行环境。
- 当你修改容器时(例如安装软件或更改配置),这些更改不会影响到镜像本身。但是,你可以将修改后的容器保存为一个新的镜像。
总结:
镜像是静态的模板,而容器是动态的运行实例。它们之间的关系就像类与实例的关系一样
通俗理解可以类比为"类与实例"的关系,或者"模板与运行实例"的关系
二、安装 Docker
目前 Docker 只能支持 64 位系统。
systemctl stop firewalld.service
setenforce 0
安装依赖包
yum install -y yum-utils device-mapper-persistent-data lvm2
yum-utils:提供了 yum-config-manager 工具。
device mapper: 是Linux内核中支持逻辑卷管理的通用设备映射机制,它为实现用于存储资源管理的块设备驱动提供了一个高度模块化的内核架构。
device mapper存储驱动程序需要 device-mapper-persistent-data 和 lvm2。
设置阿里云镜像源
yum-config-manager --add-repo https://mirrors.aliyun.com/docker-ce/linux/centos/docker-ce.repo
----------------------------------------------------------------------------------------------------------------
或
yum-config-manager --add-repo https://download.docker.com/linux/centos/docker-ce.
安装 Docker-CE并设置为开机自动启动(ce是社区版本,一般用这个免费)
yum install -y docker-ce-20.10.18 docker-ce-cli-20.10.18 containerd.io
或者
yum install -y docker-ce docker-ce-cli containerd.io 安装最新版本
systemctl start docker.service
systemctl enable docker.service
卸载
先查看版本,然后删除
yum remove -y docker-ce-20.10.18 docker-ce-cli-20.10.18 containerd.io
sudo yum remove -y docker-buildx-plugin
安装好的Docker系统有两个程序,Docker服务端和Docker客户端。
其中Docker服务端是一个服务进程,负责管理所有容器。
Docker客户端则扮演着Docker服务端的远程控制器,可以用来控制Docker的服务端进程。
大部分情况下Docker服务端和客户端运行在一台机器上。
查看 docker 版本信息
docker version
docker 信息查看
docker info
2.1、加速
设置阿里云镜像源加速网(或者挂梯子或者其他云加速)
①、阿里云
分三次复制
②、华为云加速
https://console.huaweicloud.com/swr/?region=cn-north-4#/swr/mirror
在左侧导航栏选择"镜像资源 > 镜像中心"。
3.单击"镜像加速器",在弹框中找到"加速器地址",单击,将加速器地址复制到剪切板。
4.服务器中vim /etc/docker/daemon.json修改地址,按Esc wq退出。
5.重新加载
systemctl daemon-reload
systemctl restart docker
③、其他小网站
mkdir -p /etc/docker
cd /etc/docker
vim daemon.json
{
"registry-mirrors": [
"https://registry.docker-cn.com",
"https://docker.mirrors.ustc.edu.cn",
"https://hub-mirror.c.163.com",
"https://hub.uuuadc.top",
"https://docker.anyhub.us.kg",
"https://dockerhub.jobcher.com",
"https://dockerhub.icu",
"https://docker.ckyl.me",
"https://docker.awsl9527.cn",
"https://hub.littlediary.cn/",
"https://mirror.baidubce.com"
]
}
重新加载
systemctl daemon-reload
systemctl restart docker
2.2、镜像操作
- 搜索镜像(加速好像不行,魔法可以)
格式:docker search 关键字
docker search nginx
- 获取镜像 nginx
格式:docker pull 仓库名称[:标签]
如果下载镜像时不指定标签,则默认会下载仓库中最新版本的镜像,即选择标签为 latest 标签。
docker pull nginx
- 查看镜像信息
镜像下载后存放在 /var/lib/docker 。
Docker 相关的本地资源存放在 /var/lib/docker/ 目录下,
其中 containers 目录存放容器信息,image 目录存放镜像信息,overlay2 目录下存放具体的镜像底层文件。
目录名 | 含义 |
---|---|
buildkit | Docker BuildKit 的存储目录。BuildKit 是一个用于构建Docker镜像的构建工具包和守护进程,它提供了更强大和灵活的构建功能。 |
containers | 存储Docker容器的元数据和配置信息的目录。每个容器在这个目录下都有一个对应的子目录,包含了容器的配置文件、状态信息等。 |
image | 存储Docker镜像的元数据和层信息的目录。Docker镜像是由多个层组成的,这些层包含了运行应用程序所需的所有文件、依赖项和配置。 |
network | 存储Docker网络的配置信息和状态的目录。Docker网络允许容器之间以及容器与外部世界进行通信。 |
overlay2 | Docker的存储驱动之一,用于存储镜像和容器的实际数据。**Overlay2 是目前最常用的存储驱动之一,**它通过将数据分层来优化存储效率和性能。 |
plugins | 存储Docker插件的目录。Docker插件是一种扩展Docker功能的方式,可以用于添加新的存储驱动、网络类型、日志记录机制等。 |
runtimes | 存储Docker运行时(runtime)的配置信息的目录。Docker运行时是用于执行容器内进程的组件,例如Docker默认的runtime是runc,但也可以配置为使用其他runtime。 |
swarm | 存储Docker Swarm模式的配置信息和状态的目录。Docker Swarm是Docker的原生集群管理和编排工具,允许用户将多个Docker主机组织成一个虚拟的Docker主机,以便进行容器的部署和管理。 |
tmp | Docker临时文件的存储目录。这个目录通常用于存储Docker运行时的临时数据,例如构建镜像时的临时层等。 |
trust | 存储Docker内容信任(Content Trust)的配置信息和状态的目录。内容信任是一种安全机制,允许用户验证从远程仓库下载的镜像是否被信任的签名者签名过。 |
volumes | 存储Docker卷的目录。Docker卷是一种持久化存储机制,允许用户将数据存储在Docker容器之外,以便在容器删除后仍然能够保留数据。 |
- 查看下载的镜像文件信息
cat /var/lib/docker/image/overlay2/repositories.json
- 查看下载到本地的所有镜像
docker images
REPOSITORY:镜像属于的仓库;
TAG:镜像的标签信息,标记同一个仓库中的不同镜像;
IMAGE ID:镜像的唯一ID 号,唯一标识一个镜像;
CREATED:镜像创建时间;
VIRTUAL SIZE:镜像大小;
- 根据镜像的唯一标识 ID 号,获取镜像详细信息
格式:docker inspect 镜像ID号
docker inspectimageid的那个串
- 为本地的镜像添加新的标签
格式:docker tag 名称:[标签] 新名称:[新标签]
docker tag nginx:latest nginx:web
查看 docker images | grep nginx
- 删除镜像
格式:
docker rmi 仓库名称:标签 #当一个镜像有多个标签时,只是删除其中指定的标签
例如: docker rminginx:web
或者
docker rmi 镜像ID号 #会彻底删除该镜像
-f 强制删除
注意:如果该镜像已经被容器使用,正确的做法是先删除依赖该镜像的所有容器,再去删除镜像。
- 存出镜像:将镜像保存成为本地文件
格式:docker save -o 存储文件名 存储的镜像
dockersave -o nginx666 nginx:latest #存出镜像命名为nginx存在当前目录下
ls -lh
- 载入镜像:将镜像文件导入到镜像库中
格式:
dockerload < 存出的文件
或者
dockerload -i 存出的文件
docker load < nginx666
docker load -i nginx666
- 上传镜像(公共仓库)
第一种方式
默认上传到 docker Hub 官方公共仓库,需要注册使用公共仓库的账号。
可以使用 docker login 命令来输入用户名、密码和邮箱来完成注册和登录。
在上传镜像之前,还需要先对本地镜像添加新的标签,然后再使用 docker push 命令进行上传。
添加新的标签时必须在前面加上自己的dockerhub的username
docker tag nginx:latest 你的账号/nginx:web
docker login #登录公共仓库
Username:你的账号
password:密码
docker push 你的账号/nginx:web #上传镜像
(可能网络限制)
第二种方式
https://console.huaweicloud.com/
在容器镜像 创建组织
在我的镜像 客户端,然后根据步骤
比如临时,直接复制那串,登录
上传
docker tag {镜像名称}:{版本名称} swr.cn-north-4.myhuaweicloud.com/{组织名称}/{镜像名称}:{版本名称}
docker push swr.cn-north-4.myhuaweicloud.com/{组织名称}/{镜像名称}:{版本名称}
注意吧}{}去掉
2.3、容器操作
- 容器创建:就是将镜像加载到容器的过程。
新创建的容器默认处于停止状态,不运行任何程序,需要在其中发起一个进程来启动容器。
格式:docker create**[选项]**镜像
常用选项:
-i:让容器开启标准输入
-t:让 Docker 分配一个伪终端 tty
-it :合起来实现和容器交互的作用,运行一个交互式会话 shell
(前台运行展示)
docker create -itnginx:latest /bin/bash
- 查看容器的运行状态
docker ps -a #-a 选项可以显示所有的容器容器的ID号 加载的镜像 运行的程序 创建时间 当前的状态 端口映射 名称
- 启动容器
格式:docker start容器的ID/名称
docker start 8b0a7be0ff58
docker ps -a
- 创建并启动容器
可以直接执行 docker run 命令, 等同于先执行 docker create 命令,再执行 docker start 命令。
注意:容器是一个与其中运行的 shell 命令共存亡的终端,命令运行容器运行, 命令结束容器退出。
docker 容器默认会把容器内部第一个进程,也就是 pid=1 的程序作为docker容器是否正在运行的依据,如果docker容器中 pid = 1 的进程挂了,那么docker容器便会直接退出,也就是说Docker容器中必须有一个前台进程,否则认为容器已经挂掉。
/var/lib/docker
当利用 docker run 来创建容器时, Docker 在后台的标准运行过程是:
(1)检查本地是否存在指定的镜像。当镜像不存在时,会从公有仓库下载;
(2)利用镜像创建并启动一个容器;
(3)分配一个文件系统给容器,在只读的镜像层外面挂载一层可读写层;
(4)从宿主主机配置的网桥接口中桥接一个虚拟机接口到容器中;
(5)分配一个地址池中的 IP 地址给容器;
(6)执行用户指定的应用程序,执行完毕后容器被终止运行。
docker runcentos:7 /usr/bin/bash -c ls /
docker ps -a #会发现创建了一个新容器并启动执行一条 shell 命令,之后就停止了
在后台持续运行 docker run 创建的容器
需要在 docker run 命令之后添加 -d 选项 让 Docker 容器以守护形式在后台运行。并且容器所运行的程序不能结束。(守护进程,后台运行)
dockerrun -d centos:7 /usr/bin/bash -c "while true;do echo hello;done"
docker ps -a #可以看出容器始终处于 UP,运行状态
创建容器并持续运行容器
随机名字太乱,可以自定义
docker run -itd --name test1 centos:7 /bin/bash
**2.3.1、**docker run 原理
运行的守护进程docker run 底层如图1
当利用 docker run 来创建容器时, Docker 在后台的标准运行过程是:
(1)检查本地是否存在指定的镜像。当镜像不存在时,会从公有仓库下载;
(2)利用镜像创建并启动一个容器;
(3)分配一个文件系统给容器,在只读的镜像层外面挂载一层可读写层;
(4)从宿主主机配置的网桥接口中桥接一个虚拟机接口到容器中;
(5)分配一个地址池中的 IP 地址给容器;
(6)执行用户指定的应用程序,执行完毕后容器被终止运行。
检查本地镜像 --->配置容器并且创建容器实例 (网络分配) --->启动容器 --->挂载一层可读写层
桥接一个虚拟机接口---> 分配 IP给容器---> 执行完毕后容器被终止运行
图一
- 终止容器运行
格式:docker stop 容器的ID/名称
docker stop 2592d3fad0fb
docker ps -a
- 容器的进入
需要进入容器进行命令操作时,可以使用 docker exec 命令进入运行着的容器。
格式:docker exec -it 容器ID/名称 /bin/bash
-i 选项表示让容器的输入保持打开;
-t 选项表示让 Docker 分配一个伪终端。
docker start 2592d3fad0fb #进入容器前,确保容器正在运行
docker exec -it 2592d3fad0fb /bin/bash
ls
exit #退出容器后,容器仍在运行
docker ps -a
docker run -it centos:7 bash #不加 -d 选项会创建容器后直接进入容器,但是退出容器,容器也会停止
- 容器的导出与导入
用户可以将任何一个 Docker 容器从一台机器迁移到另一台机器。在迁移过程中,可以使用docker export 命令将已经创建好的容器导出为文件,无论这个容器是处于运行状态还是停止状态均可导出。可将导出文件传输到其他机器,通过相应的导入命令实现容器的迁移。
导出格式 :docker export 容器ID/名称 > 文件名
docker export 2592d3fad0fb > centos7.tar
导入格式 :cat 文件名 | docker import - 镜像名称:标签 (自定义)
cat centos7.tar | docker import - centos7:test 导入后会生成镜像,但不会创建容器
- 删除容器
格式:docker rm [-f] 容器ID/名称
docker stop 2592d3fad0fb
docker rm 2592d3fad0fb #删除已经终止状态的容器
docker rm -f 2592d3fad0fb #强制删除正在运行的容器
docker ps -a | awk 'NR>=2{print "docker stop "$1}' | bash #批量停止容器
docker ps -a | awk 'NR>=2{print $1}'| xargs docker stop
docker ps -a | awk 'NR>=2{print "docker rm "$1}' | bash #批量删除所有容器
docker ps -a | awk 'NR>=2{print $1}'| xargs docker rm
#批量删除镜像
docker images | awk 'NR>=2{print "docker rmi " $3}'|bash
#删除none镜像
docker images | grep none | awk '{print $3}' | xargs docker rmi
#批量清理后台停止的容器
docker rm $(docker ps -a -q)
三、面试题
①、怎么把宿主机的文件传入到容器内部
-
查看容器ID或名称:docker ps -a 查看全部Docker容器
-
执行复制命令:
docker
cp<宿主机文件路径> <容器ID或名称>:<容器内目标路径>
例如:docker cp /opt/file.txt 容器id:/opt/abc
3、验证文件是否成功复制:
- 可以使用
docker exec
命令进入容器,并检查目标目录中是否存在已复制的文件。
例如:docker exec -it 容器id ls /opt
②、怎么把容器的文件传入到宿主机内部
相反从容器复制文件到主机
容器id:容器文件地址 要存放的宿主机的文件地址
docker cp 容器id:/opt/a.txt /opt
四、Docker 网络
4.1、Docker网络模式
Docker默认提供了3种网络模式,生成容器时不指定网络模式下默认使用bridge桥接模式 。
使用命令查看当前Docker所有的网络模式。
docker network ls
或docker network list
安装Docker时,它会自动创建三个网络,bridge(创建容器默认连接到此网络)、 none 、host
Docker 的网络模式:
网络类型 | 描述 | 备注 |
---|---|---|
HOST | 与宿主机共享网络名称空间/网络协议 | |
Container | 多个容器之间共享一个network namespaces | 注意是"network namespaces"的复数形式,可能表示多个网络命名空间被共享 |
none | 自闭空间 | 表示容器没有网络连接,是一个封闭的网络环境 |
bridge | 默认模式,通过vEth对连 容器与Docker网桥 | 网桥自动分配容器IP,Docker作为"局域网"内容器的网关,最后和宿主机网卡进行通讯 |
自定义网络 | ||
overlay(swarm中了解即可) | 跨主机虚拟网络 | 适合集群环境中的容器通信 |
注意:
使用docker run创建Docker容器时,可以用**--net** 或 --network 选项指定容器的网络模式
- host模式:使用 --net=host 指定。
- none模式:使用 --net=none 指定。
- bridge模式:使用 --net=bridge 指定,默认设置,可省略。
- container模式:使用 --net=container:NAME或者ID 指定。
详细内容请看4.3详解
4.2、Docker 网络实现原理
1、Docker使用Linux桥接,在宿主机虚拟一个Docker容器网桥(即docker0),
ifconfig
如下图Docker网桥地址
2、Docker启动一个容器时会根据Docker网桥的网段分配给容器一个IP地址,称为Container-IP,
同时Docker网桥是每个容器的默认网关。
因为在同一宿主机内的容器都接入同一个网桥,这样容器之间就能够通过容器Container-IP 直接通信。(默认的bridge模式)
3、Docker网桥是宿主机虚拟出来的,并不是真实存在的网络设备,外部网络是无法寻址到的,这也意味着外部网络无法直接通过 Container-IP 访问到容器。
如果容器希望外部访问能够访问到,可以通过映射容器端口到宿主主机(端口映射),
即 docker run 创建容器时候通过 -p 或 -P 参数来启用,
-P
或--publish-all
:这个选项会随机分配一个宿主机的高端口(通常是32768及以上)来映射容器内部暴露的所有端口p <宿主机端口>:<容器端口>
或--publish <宿主机端口>:<容器端口>
:这个选项允许您指定宿主机上的一个端口来映射容器内部的某个特定端口。这是最常用的方式,因为它允许您控制外部访问的端口号,并确保端口冲突的可能性最小化。
访问容器的时候就通过[宿主机IP]:[容器端口]访问容器。
docker run -d --name test1 -P nginx #随机映射端口(从32768开始)
这条命令会启动一个名为test1
的nginx容器,并随机将nginx监听的默认端口(80)映射到宿主机的一个高端口上。您可以通过docker ps
命令查看实际的端口映射情况。
docker run -d --name nginx_test -p 43000:80 nginx #指定映射端口 主机端口:容器端口
docker ps -a
简答来说,docker需要映射出来端口才可以访问
我的机器是192.168.88.77
浏览器访问:http://192.168.88.77:43000
- 查看容器的输出和日志信息
docker logs 容器的ID/名称
docker logs nginx_test
4.3、网络模式详解
1.host模式
相当于Vmware中的桥接模式,与宿主机在同一个网络中,但没有独立IP地址。
Docker使用了Linux的Namespaces技术来进行资源隔离,如PID Namespace隔离进程,Mount Namespace隔离文件系统,Network Namespace隔离网络等。一个Network Namespace提供了一份独立的网络环境,包括网卡、路由、iptable规则等都与其他的Network Namespace隔离。 一个Docker容器一般会分配一个独立的Network Namespace。
但如果启动容器的时候使用host模式,那么这个容器将不会获得一个独立的Network Namespace, 而是和宿主机共用一个Network Namespace。
容器将不会虚拟出自己的网卡、配置自己的IP等,而是使用宿主机的IP和端口。
简述:直接用主机的ip+端口号,不和虚拟ip有关了,高并发可以用,但是不安全
docker run -itd --name nginx_02 --network host nginx
检查
docker inspect id号
2.container模式
在理解了host模式后,这个模式也就好理解了。
这个模式指定新创建的容器和已经存在的一个容器共享一个Network Namespace,而不是和宿主机共享。新创建的容器不会创建自己的网卡,配置自己的IP,而是和一个指定的容器共享IP、端口范围等。同样,两个容器除了网络方面,其他的如文件系统、进程列表等还是隔离的。两个容器的进程可以通过lo网卡设备通信。
简述:共享一个ip
--name 选项可以给容器创建一个自定义名称
docker run -itd --name test1 centos:7 /bin/bash
①、找到第一个共享的namespace的网络的pid
docker ps -a
CONTAINER ID IMAGE COMMAND CREATED STATUS PORTS NAMES
3ed82355f811 centos:7 "/bin/bash" 5 days ago Up 6 hours test1
查看容器进程号
docker inspect -f '{{.State.Pid}}' 3ed82355f811
-f '{``{.State.Pid}}'
:这是inspect
命令的格式化选项。-f
或--format
选项允许你指定一个 Go 模板来格式化输出。在这个例子中,模板是{``{.State.Pid}}
,它告诉 Docker 只输出容器的状态(State)中的进程 ID(Pid)字段。
ls -l /proc/上面输出的pid/ns #查看容器的进程、网络、文件系统等命名空间编号
②、依靠的是第一个(共享的是Network Namespace)对应的是是--net=container:对应的共享的容器id
docker run -itd --name test2 --net=container:第一个容器的id centos:7 /bin/bash
docker ps -a
docker inspect -f '{{.State.Pid}}' test2的id
ls -l /proc/113678/ns #查看可以发现两个容器的 net namespace 编号相同
3.none模式
使用none模式,Docker容器拥有自己的Network Namespace,但是,并不为Docker容器进行任何网络配置。 也就是说,这个Docker容器没有网卡、IP、路由等信息。这种网络模式下容器只有lo回环网络,没有其他网卡。这种类型的网络没有办法联网,封闭的网络能很好的保证容器的安全性。
简述:单机模式, 无网卡
4.bridge模式
bridge模式是docker的默认网络模式,不用--net参数,就是bridge模式。
简述 :相当于Vmware中的 nat 模式
容器使用独立network Namespace,并连接到docker0虚拟网卡。通过docker0网桥以及iptables nat表配置与宿主机通信,此模式会为每一个容器分配Network Namespace、设置IP等,并将一个主机上的 Docker 容器连接到一个虚拟网桥上。
(1)当Docker进程启动时,会在主机上创建一个名为docker0的虚拟网桥,此主机上启动的Docker容器会连接到这个虚拟网桥上。虚拟网桥的工作方式和物理交换机类似,这样主机上的所有容器就通过交换机连在了一个二层网络中。
(2)从docker0子网中分配一个IP给容器使用,并设置docker0的IP地址为容器的默认网关。
在主机上创建一对虚拟网卡veth pair设备。veth设备总是成对出现的,它们组成了一个数据的通道,数据从一个设备进入,就会从另一个设备出来。因此,veth设备常用来连接两个网络设备。
(3)Docker将 veth pair 设备的一端放在新创建的容器中,并命名为 eth0(容器的网卡),另一端放在主机中, 以 * 这样类似的名字命名,并将这个网络设备加入到 docker0 网桥中。可以通过 brctl show 命令查看。veth
(4)使用 docker run -p 时,docker实际是在iptables做了DNAT规则,实现端口转发功能。可以使用iptables -t nat -vnL 查看。
5.自定义网络
直接使用bridge模式,是无法支持指定IP运行docker的,例如执行以下命令就会报错
docker run -itd --name test3 --network bridge --ip 172.17.0.10 centos:7 /bin/bash
①、创建自定义网络
可以先自定义网络
docker network create --subnet=172.18.0.0/16 --opt "com.docker.network.bridge.name"="docker1" mynetwork
ip a
docker1 为执行 ifconfig -a 命令时,显示的网卡名,如果不使用 --opt 参数指定此名称,那你在使用 ifconfig -a 命令查看网络信息时,看到的是类似 br-110eb56a0b22 这样的名字,这显然不怎么好记。
mynetwork 为执行 docker network list 命令时,显示的bridge网络模式名称。
②、再使用指定IP运行docker
docker run -itd --name test4 --net mynetwork --ip 172.18.0.10 centos:7 /bin/bash
查看docker inspect 255bd5a2f276
五、资源控制
1.CPU 资源控制
cgroups,是一个非常强大的linux内核工具,他不仅可以限制被 namespace 隔离起来的资源, 还可以为资源设置权重、计算使用量、操控进程启停等等。 所以 cgroups(Control groups)实现了对资源的配额和度量。
5.1、cgroups有四大功能
**资源限制:**可以对任务使用的资源总额进行限制
**资源统计:**可以统计系统的资源使用量,如cpu时长,内存用量等
**优先级分配:**通过分配的cpu时间片数量以及磁盘IO带宽大小,实际上相当于控制了任务运行优先级
**任务控制:**cgroup可以对任务执行挂起、恢复等操作
5.2、CPU 资源控制
(1)设置CPU使用率上限
CFS:Linux通过CFS(Completely Fair Scheduler,完全公平调度器)来调度各个进程对CPU的使用。CFS默认的调度周期是100ms。
CPU周期:指的是CFS调度CPU遍历处理一次容器所有的进程时长,默认是0.1s。设置有效范围为1ms~1s 【1秒(s)等于1000毫秒(ms)】
Cgroups限制时间:使用cpu.cfs_quota_us 即可设置在每个周期内容器能使用的CPU的时长,默认是-1即不限制。
CPU利用率:Cgroups限制时间/CPU周期,默认Cgroups是-1而CPU周期为0.1s表示用满CPU
查看docker的CPU默认配置:
cd /sys/fs/cgroup/cpu/docker;ll
cat 一下
- CPU分配时间0.1s -
- 1代表cgroups不限制时间
以上是默认值
我们可以设置每个容器进程的调度周期,以及在这个周期内各个容器最多能使用多少 CPU 时间。
使用 --cpu-period 即可设置调度周期,使用 --cpu-quota 即可设置在每个周期内容器能使用的CPU时间。两者可以配合使用。
--cpu-period 的数值范围是 1000~1000000。 周期100毫秒 而容器的 CPU 配额必须不小于 1ms,即 --cpu-quota 的值必须 >= 1000。微秒(μs)
首先启动一个容器
docker run -itd --name test5 centos:7 /bin/bash
docker ps -a
找到对应的idhash号然后
cd /sys/fs/cgroup/cpu/docker/id号
进入
cat cpu.cfs_quota_us
-1
cat cpu.cfs_period_us
100000
cpu.cfs_period_us:cpu分配的周期(微秒,所以文件名中用 us 表示),默认为100000。
cpu.cfs_quota_us:表示该cgroups限制占用的时间(微秒),默认为-1,表示不限制。 如果设为50000,表示占用50000/100000=50%的CPU。
进行CPU压力测试(因为-1代表无限制我们撑满)
docker exec -it id号 /bin/bash
vi /cpu.sh
#!/bin/bash
i=0
while true
do
let i++
done
chmod +x /cpu.sh
./cpu.sh
top 可以看到这个脚本占了很多的cpu资源,如果不限制会满
5.2.1、CPU 资源限制
(1)分配cpu使用时间来限制
设置50%的比例分配CPU使用时间上限
①、可以重新创建一个容器并设置限额
docker run -itd --name test6 --cpu-quota 50000 centos:7 /bin/bash
②、或者
cd /sys/fs/cgroup/cpu/docker/长的id号/echo 50000 > cpu.cfs_quota_us
注意这里因为docker运行所以只能echo,而不能vi写入
docker exec -it id号 /bin/bash
./cpu.sh
top #可以看到cpu占用率接近50%,cgroups对cpu的控制起了效果
(2)设置CPU资源占用比 (设置多个容器时才有效)
Docker 通过 --cpu-shares 指定 CPU 份额,默认值为1024,值为1024的倍数。
创建两个容器为 c1 和 c2,若只有这两个容器,设置容器的权重,使得c1和c2的CPU资源占比为1/3和2/3。
docker run -itd --name c1 --cpu-shares 512 centos:7
docker run -itd --name c2 --cpu-shares 1024 centos:7
或者同理在
/sys/fs/cgroup/cpu/docker/长id/cpu.shares修改
分别进入容器,进行压力测试(容器可能需要配置yum源)
yum install -y epel-release
yum install -y stress
stress -c 4 【产生四个进程,每个进程都反复不停的计算随机数的平方根】
查看容器运行状态(动态更新)
docker stats
观察(两个同时运行的情况)大概比例就是1:2
(3)设置容器绑定指定的CPU
在vm里先分配虚拟机4个CPU核数
docker run -itd --name test7 --cpuset-cpus 1,3centos:7 /bin/bash
#进入容器,进行压力测试
yum install -y epel-release
yum install stress -y
stress -c 4
退出容器,执行 top 命令再按 1 查看CPU使用情况。【1使其显示每个 CPU 核心的使用情况】
5.3、对内存使用的限制
-m(--memory=) 选项用于限制容器可以使用的最大内存
docker run -itd --name test8 -m 512m centos:7 /bin/bash
docker stats
5.3.1、对swap内存使用的限制
了解
限制可用的 swap 大小, --memory-swap
强调一下,--memory-swap 是必须要与 --memory 一起使用的。
正常情况下,--memory-swap 的值包含容器可用内存和可用 swap。
所以 -m 300m --memory-swap=1g 的含义为:容器可以使用 300M 的物理内存,并且可以使用 700M(1G - 300)的 swap。
如果 --memory-swap 设置为 0 或者 不设置,则容器可以使用的 swap 大小为 -m 值的两倍。
如果 --memory-swap 的值和 -m 值相同,则容器不能使用 swap。
如果 --memory-swap 值为 -1,它表示容器程序使用的内存受限,而可以使用的 swap 空间使用不受限制(宿主机有多少 swap 容器就可以使用多少)。
docker run -itd --name vm --memory 200m --memory-swap 400m <image_name>
--name vm
指定容器的名称为vm
。--memory 200m
限制容器使用的内存为 200MB。--memory-swap 400m
限制容器使用的内存加交换空间的总和为 400MB。注意,这意味着容器可以使用最多 200MB 的内存和额外的 200MB 的交换空间(总共 400MB),或者更少的内存和更多的交换空间,但总和不能超过 400MB。<image_name>
应该替换为您想要运行的 Docker 镜像的名称。
5.3.2、对磁盘IO配额控制(blkio)的限制
宿主机位置........
--device-read-bps:限制某个设备上的读 速度bps(数据量),单位可以是kb、mb(M)或者gb。
例:
docker run -itd --name test9 --device-read-bps /dev/sda:1M centos:7 /bin/bash
--device-write-bps : 限制某个设备上的写 速度bps(数据量),单位可以是kb、mb(M)或者gb。
例:
docker run -itd --name test10 --device-write-bps /dev/sda:1mb centos:7 /bin/bash
--device-read-iops :限制读某个设备的iops(次数 )
--device-write-iops :限制写入某个设备的iops(次数)
创建容器,并限制写速度
docker run -itd --name test15 --device-write-bps /dev/sda:1M centos:7 /bin/bash
测试
通过dd来验证写速度
dd if=/dev/zero of=test.out bs=1M count=10 oflag=direct
添加oflag参数以规避掉文件系统cache
10+0 records in
10+0 records out
10485760 bytes (10 MB) copied, 10.0025 s, 1.0 MB/s
如果不行
查看/sys/fs/cgroup/blkio/docker/容器id/blkio.throttle.write_bps_device
清理docker占用的磁盘空间
#可以用于清理磁盘,删除关闭的容器、无用的数据卷和网络
docker system prune -a
六、生产扩展
故障:由于docker容器故障导致大量日志集满,会造成磁盘空间满
解决方案
1、清除日志
#!/bin/bash
logs=$ (find /var/lib/docker/containers/ -name *-json.log*)
for log in $logs
do
cat /dev/null > $log
done
2、当日志占满之后如何处理
设置docker日志文件数量及每个日志大小
vim /etc/docker/daemon.json
{
"registry-mirrors": ["http://f613ce8f.m.daocloud.io"],
"log-driver": "json-file", #我的一日志格式
"log-opts": { "max-size" : "500m", "max-file" : "3"} 日志的参数最大500M 我最大容器中有三个日志文件 每个日志文件大小是500M
}
修改完需要重新加载
systemctl daemon-reload