Docker (一)
1. Docker 是什么
- Docker 属于 Linux 容器的一种封装,提供简单易用的容器使用接口。它是目前最流行的 Linux 容器解决方案。
- Docker 将应用程序与该程序的依赖,打包在一个文件里面。运行这个文件,就会生成一个虚拟容器。程序在这个虚拟容器里运行,就好像在真实的物理机上运行一样
Docker主要解决的问题:
- 保证程序运行环境的一致性;
- 降低配置开发环境、生产环境的复杂度和成本;
- 实现程序的快速部署和分发。
2.Linux 容器
inux 容器不是模拟一个完整的操作系统,而是对进程进行隔离。或者说,在正常进程的外面套了一个保护层。对于容器里面的进程来说,它接触到的各种资源都是虚拟的,从而实现与底层系统的隔离
特点
- 启动快
- 资源占用少
- 体积小
核心内核技术
1.命名空间
- 作用:隔离进程的视图,使每个容器拥有独立的系统资源标识。
2.控制组
- 作用:限制和分配容器的物理资源(CPU、内存、磁盘 I/O、网络带宽等)。
3.容器文件系统
- 联合文件系统:通过分层存储实现镜像的轻量共享。
- 写时复制:容器启动时仅复制修改的文件,减少镜像体积。
3.docker和KVM
-
启动时间
- Docker秒级启动
- KVM分钟级启动
-
轻量级 容器镜像通常以M为单位,虚拟机以G为单位,容器资源占用小,要比虚拟要部署更快速
- 容器共享宿主机内核,系统级虚拟化,占用资源少,容器性能基本接近物理机
- 虚拟机需要虚拟化一些设备,具有完整的OS,虚拟机开销大,因而降低性能,没有容器性能好
-
安全性
- 由于共享宿主机内核,只是进程隔离,因此隔离性和稳定性不如虚拟机,容器具有一定权限访问宿主机内核,存在一下安全隐患
-
使用要求
- KVM基于硬件的完全虚拟化,需要硬件CPU虚拟化技术支持
- 容器共享宿主机内核,可运行在主机的Linux的发行版,不用考虑CPU是否支持虚拟化技术
4. Docker 体系结构
4.1Docker 架构图
- containerd 是一个守护进程,使用runc管理容器,向Docker Engine提供接口
- shim 只负责管理一个容器
- runC是一个轻量级工具,只用来运行容器
lua
+------------------+ +-------------------+ +-------------------+
| | | | | |
| Docker Client | <---> | Docker Daemon | <---> | Docker Registry |
| (CLI, API) | | (dockerd + runc) | | (Docker Hub, etc) |
+------------------+ +---------+---------+ +---------+---------+
| |
| v
| +-------------------+
| | Docker Images |
| +---------+---------+
| |
| v
| +---------+---------+
| | Containers |
| +---------+---------+
| |
| v
| +---------+---------+
| | Docker Engine |
| | (containerd, runc,Shim)|
+-------------------+4.2核心组件详解
1. Docker 客户端(Docker Client)
- 功能:用户与 Docker 交互的入口(CLI 或 API)。
- 工具 :
docker命令行工具。 - 交互 :向 Docker Daemon 发送指令(如
docker run、docker build)。
2. Docker 守护进程(Docker Daemon)
-
功能:后台服务,负责容器生命周期管理。
-
组成:
- dockerd:主守护进程,监听客户端请求,调用底层工具。
- containerd:OCI 标准的容器运行时,管理容器的完整生命周期(创建、启动、停止)。
- runc:轻量级 OCI 运行时,直接与 Linux 内核交互(创建 Namespaces、Cgroups 等)。
-
交互:从 Registry 拉取镜像,构建容器文件系统,通过 containerd 启动容器。
3. Docker 镜像(Docker Image)
- 功能:只读模板,包含应用代码、依赖和配置。
- 存储 :基于 UnionFS 的分层结构(如 OverlayFS),支持复用和共享。
- 示例 :
ubuntu:20.04镜像包含 Ubuntu 系统的基础环境。
4. Docker 容器(Docker Container)
- 功能:镜像的运行实例,具有可写层(读写隔离)。
- 隔离机制:通过 Namespaces(进程、网络、文件系统等)和 Cgroups 实现资源隔离。
- 生命周期 :由
docker run创建,依赖 containerd 和 runc 启动。
5. Docker Registry
-
功能:镜像仓库,用于存储和分发镜像。
-
类型:
- 公有仓库:Docker Hub、GitHub Container Registry。
- 私有仓库:Harbor、AWS ECR、阿里云 ACR。
6.Docker底层使用的技术
-
Docker使用Go语言实现。
-
Docker利用linux内核的几个特性来实现功能:
-
利用linux的命名空间(Namespaces)
-
利用linux控制组(Control Groups)
-
利用linux的联合文件系统(Union File Systems)
这也就意味着Docker只能在linux上运行。
在windows、MacOS上运行Docker,其实本质上是借助了虚拟化技术,然后在linux虚拟机上运行的Docker程序。
-
-
容器格式( Container Format ):
- Docker Engine将namespace、cgroups、UnionFS进行组合后的一个package,就是一个容器格式(Container Format)。Docker通过对这个package中的namespace、cgroups、UnionFS进行管理控制实现容器的创建和生命周期管理。
- 容器格式(Container Format)有多种,其中Docker目前使用的容器格式被称为libcontainer。
-
Namespaces(命名空间):为Docker容器提供操作系统层面的隔离
- 进程号隔离:每一个容器内运行的第一个进程,进程号总是从1开始起算
- 网络隔离:容器的网络与宿主机或其他容器的网络是隔离的、分开的,也就是相当于两个网络
- 进程间通隔离:容器中的进程与宿主机或其他容器中的进程是互相不可见的,通信需要借助网络
- 内核以及系统版本号隔离:容器查看内核版本号或者系统版本号时,查看的是容器的,而非宿主机的
- 文件系统挂载隔离: 容器拥有自己单独的工作目录
-
Control Groups(控制组-cgroups):为Docker容器提供硬件层面的隔离
-
Union File Systems(联合文件系统--UnionFS):利用分层(layer)思想管理镜像和容器
7.docker安装
1 .Linux安装
kotlin
// 安装依赖和存储驱动相关包
yum install -y yum-utils device-mapper-persistent-data lvm2作用:安装 Docker 所需的依赖包和存储驱动支持。
yum-utils:提供yum-config-manager等工具,用于管理 YUM 仓库。device-mapper-persistent-data和lvm2: 这些是 设备映射器(Device Mapper) 存储驱动的依赖项。Docker 默认使用overlay2存储驱动,但如果系统不支持overlay2(例如旧版内核),可能会回退到devicemapper。
arduino
// 添加 Docker 阿里云 官方仓库
yum-config-manager --add-repo https://mirrors.aliyun.com/docker-ce/linux/centos/docker-ce.repo-
作用:将 Docker 的官方软件仓库添加到 CentOS 的 YUM 源列表中。
- 此仓库包含 Docker CE(社区版)、Docker CLI 和容器运行时
containerd.io的 RPM 包。 --add-repo:直接通过 URL 添加仓库,无需手动下载.repo文件。
- 此仓库包含 Docker CE(社区版)、Docker CLI 和容器运行时
python
# 清除缓存并重试安装
sudo yum clean all
sudo yum makecache
sudo yum install -y docker-ce-
作用:从已添加的 Docker 官方仓库中安装以下组件:
docker-ce:Docker 社区版引擎(核心组件,负责容器管理)。
2.启动
bashsystemctl start docker systemctl enable docker # 开机自启3. 查看docker版本
docker version docker info4. docker 镜像加速器
1. 配置国内镜像源
bash# 创建配置文件(若不存在) sudo tee /etc/docker/daemon.json <<-'EOF' { "registry-mirrors": [ "https://mirrors.tencent.com", "https://image.cloudlayer.icu", "https://hub.fast360.xyz", "https://docker-0.unsee.tech" ] } EOF2. 重启服务并验证
perlsudo systemctl daemon-reload sudo systemctl restart docker docker info | grep -A5 "Registry Mirrors" # 应显示配置的镜像源二、解决内核警告(网络功能关键)
docker info 警告
vbnetdocker info | grep "Registry Mirrors" WARNING: bridge-nf-call-iptables is disabled WARNING: bridge-nf-call-ip6tables is disabled1. 启用内核参数
bash# 永久生效 cat <<EOF | sudo tee -a /etc/sysctl.conf net.bridge.bridge-nf-call-iptables=1 net.bridge.bridge-nf-call-ip6tables=1 EOF sudo sysctl -p2. 加载内核模块
bashsudo modprobe br_netfilter echo "br_netfilter" | sudo tee /etc/modules-load.d/br_netfilter.confDocker架构
2. Docker版本
Docker-CE和Docker-EE
- Docker-CE指Docker社区版,由社区维护和提供技术支持,为免费版本,适合个人开发人员和小团队使用。
- Docker-EE指Docker企业版,为收费版本,由售后团队和技术团队提供技术支持,专为企业开发和IT团队而设计。
- 相比Docker-EE,增加一些额外功能,更重要的是提供了更安全的保障。
- 此外,Docker的发布版本分为Stable版和Edge版,区别在于前者是按季度发布的稳定版(发布慢),后者是按月发布的边缘版(发布快)。
- 通常情况下,Docker-CE足以满足我们的需求。后面学习主要针对Docker-CE进行学习
8. 镜像
-
Docker 把应用程序及其依赖,打包在 image 文件里面。只有通过这个文件,才能生成 Docker 容器
-
image 文件可以看作是容器的模板
-
Docker 根据 image 文件生成容器的实例
-
同一个 image 文件,可以生成多个同时运行的容器实例
-
镜像不是一个单一的文件,而是有多层
-
容器其实就是在镜像的最上面加了一层读写层,在运行容器里做的任何文件改动,都会写到这个读写层里。如果容器删除了,最上面的读写层也就删除了,改动也就丢失了
-
我们可以通过
docker history <ID/NAME>查看镜像中各层内容及大小, -
用户既可以使用
docker load来导入镜像存储文件到本地镜像库,也可以使用docker import来导入一个容器快照到本地镜像库 -
这两者的区别在于容器(import)快照文件将丢弃所有的历史记录和元数据信息(即仅保存容器当时的快照状态),而镜像(load)存储文件将保存完整记录,体积也要大
命令 含义 语法 案例 ls 查看全部镜像 docker image ls search 查找镜像 docker search [imageName] history 查看镜像历史 docker history [imageName] inspect 显示一个或多个镜像详细信息 docker inspect [imageName] pull 拉取镜像 docker pull [imageName] push 推送一个镜像到镜像仓库 docker push [imageName] rmi 删除镜像 docker rmi [imageName] docker image rmi 2 prune 移除未使用的镜像,没有标记或补任何容器引用 docker image prune docker image prune tag 标记本地镜像,将其归入某一仓库 docker tag [OPTIONS] IMAGE[:TAG] [REGISTRYHOST/](#命令 含义 语法 案例 ls 查看全部镜像 docker image ls search 查找镜像 docker search [imageName] history 查看镜像历史 docker history [imageName] inspect 显示一个或多个镜像详细信息 docker inspect [imageName] pull 拉取镜像 docker pull [imageName] push 推送一个镜像到镜像仓库 docker push [imageName] rmi 删除镜像 docker rmi [imageName] docker image rmi 2 prune 移除未使用的镜像,没有标记或补任何容器引用 docker image prune docker image prune tag 标记本地镜像,将其归入某一仓库 docker tag [OPTIONS] IMAGE[:TAG] REGISTRYHOST/NAME[:TAG] docker tag centos:7 zhangrenyang/centos:v1 export 将容器文件系统作为一个tar归档文件导出到STDOUT docker export [OPTIONS] CONTAINER docker export -o hello-world.tar b2712f1067a3 import 导入容器快照文件系统tar归档文件并创建镜像 docker import [OPTIONS] file/URL/- [REPOSITORY[:TAG]] docker import hello-world.tar save 将指定镜像保存成tar文件 docker save [OPTIONS] IMAGE [IMAGE...] docker save -o hello-world.tar hello-world:latest load 加载tar文件并创建镜像 docker load -i hello-world.tar build 根据Dockerfile构建镜像 docker build [OPTIONS] PATH / URL / - docker build -t zf/ubuntu:v1 . "#")NAME[:TAG] docker tag centos:7 zhangrenyang/centos:v1 export 将容器文件系统作为一个tar归档文件导出到STDOUT docker export [OPTIONS] CONTAINER docker export -o hello-world.tar b2712f1067a3 import 导入容器快照文件系统tar归档文件并创建镜像 docker import [OPTIONS] file/URL/- [REPOSITORY[:TAG]] docker import hello-world.tar save 将指定镜像保存成 tar文件docker save [OPTIONS] IMAGE [IMAGE...] docker save -o hello-world.tar hello-world:latest load 加载tar文件并创建镜像 docker load -i hello-world.tar build 根据Dockerfile构建镜像 docker build [OPTIONS] PATH / URL / - docker build -t zf/ubuntu:v1 .
1. 镜像搜索 - docker search
-
作用:搜索Docker Hub(镜像仓库)上的镜像。
-
命令格式:docker search [OPTIONS] TERM
-
命令参数(OPTIONS):
- --filter filter 根据提供的格式筛选结果
- --format string 利用GO语言的format格式化输出结果
- -- limit int 展示最大的结果数,默认25个
- --not-trunc 内容全部显示
bash
# 搜索 centos
docker search centos
# 搜索 hello-world
docker search hello-world2. 镜像查看 - docker images/docker image ls
-
作用:列出本地镜像
-
命令格式:docker image ls [OPTIONS] [REPOSITORY[:TAG]]
-
命令参数(OPTIONS) :
- -a, --all 展示所有镜像(默认隐藏底层的镜像)
- --no-trunc 不缩率显示
- -q , --quiet 只显示镜像ID
bash
# 查看所有本地存储的镜像。
docker images
REPOSITORY TAG IMAGE ID CREATED SIZE
mongo 6.0 4f3dbc8f2775 5 weeks ago 747MB
bitnami/redis latest f7f358889b53 2 months ago 145MB
mysql 8.3.0 6f343283ab56 14 months ago 632MB
# 查看指定
docker images mysql
REPOSITORY TAG IMAGE ID CREATED SIZE
mysql 8.3.0 6f343283ab56 14 months ago 632MB
3. 镜像下载 - docker pull
-
作用:下载远程仓库(如Docker Hub)中的镜像
-
命令格式:docker pull [OPTIONS] NAME[:TAG|@DIGEST]
-
命令参数(OPTIONS) :
- -a, --all-tags 下载所有符合给定tag的镜像
bash
# 下载 centos
docker pull centos
# 下载 hello-world
docker pull hello-world4. 镜像删除 - docker rmi/docker image rm
-
作用:将本地的一个或多个镜像删除
-
命令格式:docker rmi [OPTIONS] IMAGE [IMAGE...]
-
命令参数(OPTIONS) :
- -f, --force 强制删除
makefile
# 删除 hello-world
docker rmi hello-world
Untagged: hello-world:latest
# 如果有多个版本hello-world 会删除 最新的hello-world
# docker rmi hello-world 等价 docker rmi hello-world:last5. 镜像保存备份 -- docker save
-
作用:将本地的一个或多个镜像打包保存成本地tar文件(输出到STDOUT)
-
命令格式:docker save [OPTIONS] IMAGE [IMAGE...]
-
命令参数(OPTIONS) :
- -o, --output string 指定写入的文件名和路径
bash
# 语法 备份 mysql (redis_image.tar文件名称)
docker save -o redis_image.tar mysql
6. 镜像备份导入 - docker load
-
作用:将save命令打包的镜像导入本地镜像库中
-
命令格式:docker load [OPTIONS]
-
命令参数(OPTIONS) :
- -i, --input string 指定要打入的文件
- -q, --quiet 不打印导入过程信息
arduino
#
docker load -i redis_image.tar7. 镜像重命名 -- docker tag
- 作用:对本地镜像的NAME、TAG进行重命名,并新产生一个命名后镜像
- 命令格式:docker tag SOURCE_IMAGE[:TAG] TARGET_IMAGE[:TAG]
bash
# 重命名
# 如果centos名称有,就把原有的镜像指向新名称,如果原有名称none 就会覆盖
docker tag centos centos:7.48. 镜像详细信息 -- docker image inspect/docker inspect
-
作用:查看本地一个或多个镜像的详细信息
-
命令格式:docker image inspect [OPTIONS] IMAGE [IMAGE...]
-
命令参数(OPTIONS) :
- -f, --format string 利用特定Go语言的format格式输出结果
- -q, --quiet 不打印导入过程信息
arduino
docker image inspect centos9. 容器
什么是容器
容器(Container):容器是一种轻量级、可移植、并将应用程序进行的打包的技术,使应用程序可以在几乎任何地方以相同的方式运行.
docker run命令会从image文件,生成一个正在运行的容器实例。docker container run命令具有自动抓取 image 文件的功能。如果发现本地没有指定的 image 文件,就会从仓库自动抓取- image 文件生成的容器实例,本身也是一个文件,称为容器文件.
- 关闭容器并不会删除容器文件,只是容器停止运行
| 命令 | 含义 | 案例 | |
|---|---|---|---|
| run | 从镜像运行一个容器 | docker run ubuntu /bin/echo 'hello-world' | |
| ls | 列出容器 | docker container ls | |
| inspect | 显示一个或多个容器详细信息 | docker inspect | |
| attach | 要attach上去的容器必须正在运行,可以同时连接上同一个container来共享屏幕 | docker attach [OPTIONS] CONTAINER | docker attach 6d1a25f95132 |
| stats | 显示容器资源使用统计 | docker container stats | |
| top | 显示一个容器运行的进程 | docker container top | |
| update | 更新一个或多个容器配置 | docker update -m 500m --memory-swap -1 6d1a25f95132 | |
| port | 列出指定的容器的端口映射 | docker run -d -p 8080:80 nginx docker container port containerID | |
| ps | 查看当前运行的容器 | docker ps -a -l | |
| kill [containerId] | 终止容器(发送SIGKILL ) | docker kill [containerId] | |
| rm [containerId] | 删除容器 | docker rm [containerId] | |
| start [containerId] | 启动已经生成、已经停止运行的容器文件 | docker start [containerId] | |
| stop [containerId] | 终止容器运行 (发送 SIGTERM ) | docker stop [containerId] docker container stop $(docker container ps -aq) | |
| logs [containerId] | 查看 docker 容器的输出 | docker logs [containerId] | |
| exec [containerId] | 进入一个正在运行的 docker 容器执行命令 | docker container exec -it f6a53629488b /bin/bash | |
| cp [containerId] | 从正在运行的 Docker 容器里面,将文件拷贝到本机 | docker container cp f6a53629488b:/root/root.txt . | |
| commit [containerId] | 根据一个现有容器创建一个新的镜像 | docker commit -a "zhufeng" -m "mynginx" a404c6c174a2 mynginx:v1 |
cloud.tencent.com.cn/developer/a...
1. 容器创建 -- docker create
-
作用:利用镜像创建出一个Created 状态的待启动容器
-
命令格式:docker create [OPTIONS] IMAGE [COMMAND] [ARG...]
-
命令参数(OPTIONS) :
- -t, --tty 分配一个伪TTY,也就是分配虚拟终端
- -i, --interactive 即使没有连接,也要保持STDIN打开
- --name 为容器起名,如果没有指定将会随机产生一个名称
-
命令参数(COMMAND\ARG):
- COMMAND 表示容器启动后,需要在容器中执行的命令,如ps、ls 等命令
- RG 表示执行 COMMAND 时需要提供的一些参数,如ps 命令的 aux、ls命令的-a等等
lua
# 创建容器名为wo-mysql, 表示容器启动后执行ls命令 参数 -a
docker create --name wo-mysql mysql:8.3.0 ls -a
# docker-entrypoint.sh 是 Docker 容器启动时执行的脚本,通常用于初始化容器的环境设置
NAMES IMAGE COMMAND STATUS
mysql:8.3.0 mysql:8.3.0 "docker-entrypoint.sh ls -a" Created
#-t(--tty)表示为容器分配一个伪终端(TTY),通常用于与容器进行交互式会话。
#(--interactive)表示以交互模式启动容器,允许你在容器内执行命令。如果你在命令行启动 MySQL 容器时加上 -ti,它意味着你可以在容器内交互
docker create -ti --name wo-mysql2 mysql:8.3.02. 容器启动 -- docker start
-
作用:将一个或多个处于创建状态或关闭状态的容器启动起来
-
命令格式:docker start [OPTIONS] CONTAINER [CONTAINER...]
-
命令参数(OPTIONS) :
- -a, --attach 将当前shell的 STDOUT/STDERR 连接到容器上
- -i, --interactive 将当前shell的 STDIN连接到容器上
ini
# 容器启动 wo-mysql
docker start wo-mysql
# STATUS(容器状态) 从 Created(创建)到很快Exited(退出)状态,是因为ls -a 命令很快执行完了
IMAGE COMMAND STATUS NAMES
mysql:8.3.0 "docker-entrypoint.s..." Exited (0) 24 seconds ago wo-mysql
# 容器启动 -a 把容器输出结果,展示到当前shell
C:\Users\sunmeng>docker start -a wo-mysql
.
..
.dockerenv
bin
boot
dev
docker-entrypoint-initdb.d
etc
home
lib
lib64
media
#执行容器wo-mysql2 通过创建时候传入 -ti,允许你在容器内执行命令mysql
docker start -a wo-mysql2
2025-05-27 02:21:04+00:00 [Note] [Entrypoint]: Entrypoint script for MySQL Server 8.3.0-1.el8 started.
2025-05-27 02:21:05+00:00 [Note] [Entrypoint]: Switching to dedicated user 'mysql'
2025-05-27 02:21:05+00:00 [Note] [Entrypoint]: Entrypoint script for MySQL Server 8.3.0-1.el8 started.
2025-05-27 02:21:05+00:00 [ERROR] [Entrypoint]: Database is uninitialized and password option is not specified
You need to specify one of the following as an environment variable:
# 指定一个密码来初始化 root 用户(推荐)
- MYSQL_ROOT_PASSWORD
# 允许使用空密码(不推荐,除非你知道自己在做什么)
- MYSQL_ALLOW_EMPTY_PASSWORD
- MYSQL_RANDOM_ROOT_PASSWORD
3. 容器创建并启动 -- docker run
-
作用:利用镜像创建并启动一个容器
-
命令格式:docker run [OPTIONS] IMAGE [COMMAND] [ARG...]
-
命令参数(OPTIONS) :
- -t, --tty 分配一个伪TTY,也就是分配虚拟终端
- -i, --interactive 即使没有连接,也要保持STDIN打开
- --name 为容器起名,如果没有指定将会随机产生一个名称
- --rm 当容器退出运行后,自动删除容器
-
命令参数(COMMAND\ARG):
- COMMAND 表示容器启动后,需要在容器中执行的命令,如ps、ls 等命令
- RG 表示执行 COMMAND 时需要提供的一些参数,如ps 命令的 aux、ls命令的-a等等
ini
# docker run == docker create + docker start -a 前台模式
# docker run -d === docker create + docker start 后台模式
# 创建并启动 mysql:8.3.0
docker run mysql:8.3.0
2025-05-27 02:39:07+00:00 [Note] [Entrypoint]: Entrypoint script for MySQL Server 8.3.0-1.el8 started.
2025-05-27 02:39:07+00:00 [Note] [Entrypoint]: Switching to dedicated user 'mysql'
2025-05-27 02:39:07+00:00 [Note] [Entrypoint]: Entrypoint script for MySQL Server 8.3.0-1.el8 started.
2025-05-27 02:39:07+00:00 [ERROR] [Entrypoint]: Database is uninitialized and password option is not specified
You need to specify one of the following as an environment variable:
- MYSQL_ROOT_PASSWORD
- MYSQL_ALLOW_EMPTY_PASSWORD
- MYSQL_RANDOM_ROOT_PASSWORD
# 创建时候没有传名称,所以docker随机生成名称 vibrant_hawking
docker ps -a
IMAGE COMMAND CREATED STATUS NAMES
mysql:8.3.0 "docker-entrypoint.s..." 8 seconds ago Exited (1) 6 seconds ago vibrant_hawking
4. 容器关闭 -- docker stop
-
作用:关闭一个或多个处于暂停状态或者运行状态的容器
-
命令格式:docker stop [OPTIONS] CONTAINER [CONTAINER...]
-
命令参数(OPTIONS) :
- -t, --time int 关闭前,等待的时间,单位秒(默认 10s)
bash
# 现在后台运行 b-express-mysql-1容器 端口3306
IMAGE COMMAND STATUS PORTS NAMES
mysql:8.3.0 "docker-entrypoint.s..." Up 21 seconds 0.0.0.0:3306->3306/tcp, 33060/tcp b-express-mysql-1
# 关闭 b-express-mysql-1
docker stop b-express-mysql-15. 容器终止 -- docker kill
-
作用:强制并立即关闭一个或多个处于暂停状态或者运行状态的容器
-
命令格式:docker kill [OPTIONS] CONTAINER [CONTAINER...]
-
命令参数(OPTIONS) :
- -s, --signal string 指定发送给容器的关闭信号 (默认"KILL"信号)
bash
# 常用场景:当容器无法响应 SIGTERM,或者在某些情况下需要立即停止容器时使用
docker kill <container_name_or_id>| 特性 | docker stop |
docker kill |
|---|---|---|
| 停止方式 | 向容器发送 SIGTERM 信号,允许容器优雅停止 |
向容器发送 SIGKILL 信号,立即强制停止容器 |
| 容器响应 | 容器可以捕获并处理 SIGTERM 信号,有时间进行清理 |
容器无法捕获 SIGKILL 信号,立即终止容器 |
| 使用场景 | 优雅关闭容器,常用于生产环境 | 强制停止容器,常用于容器无法正常停止时 |
| 默认超时 | 默认 10 秒(可以通过 -t 参数调整) |
无超时,立即强制停止容器 |
6. 容器暂停 -- docker pause
- 作用:暂停一个或多个处于运行状态的容器
- 命令格式:docker pause CONTAINER [CONTAINER...]
bash
# 运行容器 b-express-mysql-1
docker start b-express-mysql-1
# 查看运行容器
docker ps
# 状态运行
IMAGE COMMAND STATUS NAMES
mysql:8.3.0 "docker-entrypoint.s..." Up 10 seconds b-express-mysql-1
# 容器暂停
docker pause b-express-mysql-1
# 状态暂停
docker ps
IMAGE COMMAND STATUS NAMES
mysql:8.3.0 "docker-entrypoint.s..." Up 36 seconds (Paused) b-express-mysql-17. 容器取消暂停 -- docker unpause
- 作用:取消一个或多个处于暂停状态的容器,恢复运行
- 命令格式:docker unpause CONTAINER [CONTAINER...]
bash
# 取消暂停
docker unpause <container_name_or_id>8 . 容器删除 -- docker container rm
-
作用:删除一个或多个容器
-
命令格式:docker container rm [OPTIONS] CONTAINER [CONTAINER...]
-
命令参数(OPTIONS) :
- -f, --force 强行删除容器(会使用 SIGKILL信号)
- -v, --volumes 同时删除绑定在容器上的数据卷
bash# 删除 docker rm <container_name_or_id> #强制删除 docker rm -f <container_name_or_id>
9 .容器重启 -- docker restart
-
作用:重启一个或多个处于运行状态、暂停状态、关闭状态或者新建状态的容器 该命令相当于stop和start命令的结合
-
命令格式:docker restart [OPTIONS] CONTAINER [CONTAINER...]
-
命令参数(OPTIONS) :
- -t, --time int 重启前,等待的时间,单位秒(默认 10s
bash#基本语法 docker restart <container_name_or_id>
10 .容器日志信息 -- docker logs
-
作用:查看容器的日志信息
-
命令格式:docker logs [OPTIONS] CONTAINER
-
命令参数(OPTIONS) :
- --details 显示日志的额外信息
- -f, --follow 动态跟踪显示日志信息
- --since string 只显示某事时间节点之后的
- -t, --timestamps 显示timestamps时间
- --until string 只显示某事时间节点之前的
-
注意: 容器日志中记录的是容器主进程的输出STDOUT\STDERR
11. 容器连接 -- docker attach
-
作用:将当前终端的STDIN、STDOUT、STDERR绑定到正在运行的容器的主进程上实现连接
-
命令格式:docker attach [OPTIONS] CONTAINER
-
命令参数(OPTIONS) :
- --no-stdin 不绑定STDIN
bash
# 基本语法
docker attach <container_name_or_id>
# 1. 连接到标准输入输出:连接后,你会看到容器内正在运行的应用程序的输出,并且你可以通过输入来与容器进行交互(如果容器内有交互式命令)
# 2. 退出连接:如果你希望退出容器的连接,你可以按 Ctrl + C 或 Ctrl + P 然后 Ctrl + Q,以便返回到主机终端,但不会停止容器13. 容器中执行新命令 -- docker exec
-
作用:在容器中运行一个命令
-
命令格式:docker exec [OPTIONS] CONTAINER COMMAND [ARG...]
-
命令参数(OPTIONS) :
- -d, --detach 后台运行命令
- -i, --interactive 即使没连接容器,也将当前的STDIN绑定上
- -t, --tty 即使没连接容器,也将当前的STDIN绑定上
- -w, --workdir string 指定在容器中的工作目录
- -e, --env list 设置容器中运行时的环境变量
bash
# 进入 MySQL 容器的命令行(b-express-mysql-1 容器名称)
docker exec -it b-express-mysql-1 bash10. 容器和镜像
1. 容器和镜像关系
| 特性 | 镜像 (Images) | 容器 (Containers) |
|---|---|---|
| 状态 | 静态,只读 | 动态,可写 |
| 存储 | 分层存储 | 镜像层+可写层 |
| 生命周期 | 持久存在 | 运行(临时)/停止(保留状态) |
| 变更 | 不可变更 | 可修改文件系统和配置 |
| 类比 | 软件的安装程序 | 软件正在运行 |
| 创建方式 | 构建、提交、拉取 | 基于镜像运行 |
| 占用资源 | 磁盘空间 | CPU、内存、磁盘 |
| 数量关系 | 一个镜像可以创建多个容器 | 多个容器可共享同一镜像 |
2. 容器提交 -- docker commit
-
作用:根据容器生成一个新的镜像
-
命令格式:docker commit [OPTIONS] CONTAINER [REPOSITORY[:TAG]]
-
命令参数(OPTIONS) :
- -a, --author string 作者
- -c, --change list 为创建的镜像加入Dockerfile命令
- -m, --message string 提交信息,类似git commit -m
- --p, --pause 提交时暂停容器 (default true)
python
# 运行容器 centos
docker run -dti centos bash
# 查看容器
docker ps -a
# 查看结果
CONTAINER ID IMAGE COMMAND CREATED STATUS PORTS NAMES
aa562037700b centos "bash" 26 seconds ago Up 25 seconds sweet_stonebraker
#在容器centos 安装net-tools工具包
[root@lavm-zo7f3xq5c6 ~]# docker exec aa56 yum install -y net-tools
# 查看容器centos ifconfig
docker exec aa56 ifconfig
# 输出结果
eth0: flags=4163<UP,BROADCAST,RUNNING,MULTICAST> mtu 1500
inet 172.17.0.2 netmask 255.255.0.0 broadcast 172.17.255.255
ether 02:42:ac:11:00:02 txqueuelen 0 (Ethernet)
RX packets 11333 bytes 17635289 (16.8 MiB)
RX errors 0 dropped 0 overruns 0 frame 0
TX packets 7759 bytes 474305 (463.1 KiB)
# 容器提交
docker commit -m 'install net-tools' aa56 coentos-net:v1.0
sha256:b46656d01be91ced0fbc7154dac16e7f25af906be00adb044d1af087b8a811f5
# 查看镜像
docker images
# 查看结果
REPOSITORY TAG IMAGE ID CREATED SIZE
coentos-net v1.0 b46656d01be9 6 minutes ago 342MB
nginx latest be69f2940aaf 6 weeks ago 192MB
centos latest 9f38484d220f 6 years ago 202MB
# coentos-net 生成的镜像
3. 容器导出 -- docker export
-
作用:将容器当前的文件系统导出成一个tar文件
-
命令格式:docker export [OPTIONS] CONTAINER
-
命令参数(OPTIONS) :
- -o, --output string 指定写入的文件,默认是STDOUT
bash
# 查看容器
docker ps -a
# 查看容器结果
CONTAINER ID IMAGE COMMAND CREATED STATUS PORTS NAMES
aa562037700b centos "bash" 44 minutes ago Up 44 minutes sweet_stonebraker
# 容器导出
docker export -o net-tools-image.tar aa56
# 查看目录
ls
# 查看目录结果
anaconda-ks.cfg net-tools-image.tar
4. 容器打包的导入 -- docker import
-
作用:从一个tar文件中导入内容创建一个镜像
-
命令格式:ddocker import [OPTIONS] file|URL|- [REPOSITORY[:TAG]]
-
命令参数(OPTIONS) :
- -c, --change list 为创建的镜像加入Dockerfile命令
- -m, --message string 导入时,添加提交信息
arduino
#导入
docker import -m '(import) install net-tools' net-tools-image.tar centos-netv2:1.0
[root@lavm-zo7f3xq5c6 ~]# docker images
REPOSITORY TAG IMAGE ID CREATED SIZE
centos-netv2 1.0 6d0baed20aad 6 seconds ago 319MB
coentos-net v1.0 b46656d01be9 50 minutes ago 342MB
nginx latest be69f2940aaf 6 weeks ago 192MB
centos latest 9f38484d220f 6 years ago 202MB
5.commit和import对比
核心对比
| 特性 | docker commit |
docker import |
|---|---|---|
| 输入源 | 正在运行的容器 | 文件系统压缩包(.tar 等) |
| 输出 | 带历史层的新镜像 | 单层基础镜像 |
| 保留元数据 | ✅ (CMD, ENV, EXPOSE 等) |
❌ (需手动指定) |
| 分层结构 | ✅ (新增层叠加在原镜像之上) | ❌ (整个文件系统作为单一层) |
如何选择?
- 需要保留完整构建历史或团队协作时,优先使用
docker commit - 仅需迁移文件系统或快速生成轻量镜像时,使用
docker import
6. 深入理解Docker容器与镜像
1. 镜像的Layer
Docker 镜像采用分层存储结构,每个层(Layer)都是只读的文件系统快照。这种设计是 Docker 的核心优化之一。
关键特性
- 写时复制(Copy-on-Write) 当容器修改文件时,Docker 从镜像层复制文件到容器层(读写层),原始镜像层保持不变。
- 层堆叠结构 镜像由多个层堆叠而成,底层是基础镜像(如 Alpine)
ini
# 查看镜像分层
docker image inspect nginx:alpine --format='{{.RootFS.Layers}}'- 共享复用 多个镜像可共享基础层(如
alpine层),节省磁盘空间。
分层示例 (以 python:3.9 镜像为例):
yaml
Layer 4: pip install -r requirements.txt # 应用依赖层(只读)
Layer 3: COPY app.py /app/ # 代码层(只读)
Layer 2: RUN apt-get install gcc # 编译工具层(只读)
Layer 1: FROM debian:buster-slim # 基础操作系统层(只读)2.容器的Layer
容器在运行时依赖于镜像的分层结构,但添加了独有的可写层,这是容器动态性的核心
1. 容器分层结构
一个运行中的容器由两部分组成:
scss
┌───────────────────────────────┐
│ 容器实例 (Container) │
├───────────────────────────────┤
│ ╔═════════════════════════╗ │
│ ║ 可写层 (容器层) ║ │ ← 容器运行时创建,存储所有修改
│ ║ (Container Layer) ║ │
│ ╚═════════════════════════╝ │
│ ┌──────────────────────────┐ │
│ │ 镜像层 (只读) │ │
│ │ (Image Layers) │ │ ← 来自基础镜像和应用镜像
│ └──────────────────────────┘ │
└───────────────────────────────┘2. 容器层的核心特性
| 特性 | 说明 |
|---|---|
| 位置 | 位于所有镜像层之上(堆叠结构的最顶层) |
| 读写权限 | 唯一可写层,所有文件修改(增删改)均发生在此层 |
| 生命周期 | 随容器创建而生成,随容器删除而销毁(docker rm 会删除此层) |
| 存储驱动 | 由 Docker 配置的存储驱动管理(如 Overlay2、AUFS、Btrfs) |
| 写时复制 (CoW) | 首次修改文件时,从镜像层复制文件到容器层,原始镜像层保持不变 |
| 数据隔离 | 每个容器拥有独立的容器层,互不影响 |
3. 容器层的工作机制
文件修改场景(写时复制示例)
-
读取文件:
- 容器直接读取镜像层中的文件(无需复制)。
-
修改文件:
- 若修改镜像层中的文件
A,Docker 先将A复制到容器层,再修改容器层中的副本。 - 原始镜像层的
A保持不变。
- 若修改镜像层中的文件
-
删除文件:
- 在容器层创建 白障文件(whiteout file)标记删除,隐藏镜像层中的文件。
-
创建文件:
- 直接在容器层生成新文件。
4. 容器与镜像的底层关系
关键技术:联合文件系统(UnionFS) Docker 使用 Overlay2/AUFS 等联合文件系统将多层文件合并为单一视图:
- 镜像层(Lower Dir) 只读的基础层,来自镜像。
- 容器层(Upper Dir) 可写层,存储容器修改。
- 合并视图(Merged Dir) 呈现给容器的统一文件系统(
/目录)
bash
# 1. 创建容器
docker run -d --name test nginx:alpine
# 2. 查看联合挂载点
docker inspect test --format='{{.GraphDriver.Data}}'
# 输出示例:
{
"LowerDir": "/var/lib/docker/overlay2/xx...xx/diff",
"MergedDir": "/var/lib/docker/overlay2/xx...xx/merged",
"UpperDir": "/var/lib/docker/overlay2/xx...xx/diff",
"WorkDir": "/var/lib/docker/overlay2/xx...xx/work"
}5. 容器的运行机制
当执行 docker run 时发生的过程:
步骤 1:文件系统准备
- 从镜像加载所有只读层
- 创建容器专属读写层(Upper Dir)
- 通过 UnionFS 挂载合并视图(Merged Dir)
步骤 2:运行时配置
- 命名空间隔离(Namespace) 创建独立的进程、网络、文件系统等视图。
- 控制组资源限制(Cgroups) 分配 CPU/内存等资源配额。
- 虚拟网络接口 创建 veth pair 连接容器与宿主机。
步骤 3:启动进程
- 执行镜像中定义的
ENTRYPOINT/CMD(如/docker-entrypoint.sh nginx) - 进程成为容器的 PID 1(init 进程)
步骤 4:运行时交互
- 所有文件写入操作发生在读写层(Upper Dir)
- 日志输出到 STDERR/STDOUT(可通过
docker logs捕获)