《Docker极简教程》--Docker容器--Docker容器的创建和使用

一、创建Docker容器

1.1 使用现有镜像创建容器

当使用现有镜像创建容器时，通常会涉及以下步骤：

1. 获取镜像：首先，需要从Docker Hub或其他镜像仓库获取所需的镜像。可以使用docker pull命令来获取镜像，语法如下：docker pull <镜像名称>:<标签> 其中，<镜像名称>是要获取的镜像的名称，<标签>是可选的版本或标识符。
2. 创建容器：一旦获取了所需的镜像，就可以使用docker run命令来创建容器。通常，运行容器时可以指定一些选项来定制容器的行为，例如端口映射、数据卷挂载等。基本的语法如下：docker run [选项]<镜像名称>:<标签> 其中，[选项]是可选的参数，用于配置容器的运行方式。<镜像名称>:<标签>指定了要使用的镜像及其版本或标签。
3. 示例：以下是一个简单的示例，演示如何使用现有的nginx镜像创建一个运行中的容器，并将容器的80端口映射到主机的8080端口：docker run -d-p8080:80 nginx 在这个示例中，-d参数表示以后台模式运行容器，-p 8080:80指定将容器的80端口映射到主机的8080端口，nginx是要使用的镜像名称。
4. 查看容器状态：创建容器后，可以使用docker ps命令查看当前正在运行的容器列表，以确保容器已成功创建并正在运行。若要查看所有容器，包括已停止的容器，可以添加-a参数。

这些是使用现有镜像创建容器的基本步骤。根据实际需求，还可以进一步定制容器的配置，如挂载数据卷、设置环境变量等。

1.2 自定义镜像

自定义镜像是通过编写 Dockerfile 并使用 Docker 构建命令来创建的。以下是创建自定义镜像的基本步骤：

1. 编写 Dockerfile： Dockerfile 是一个包含了创建镜像的指令的文本文件。在 Dockerfile 中，你可以定义从基础镜像开始所需的操作和配置，例如安装软件包、设置环境变量、添加文件等。下面是一个简单的示例 Dockerfile：# 使用官方的 Node.js 镜像作为基础镜像FROM node:14# 设置工作目录WORKDIR /app# 将当前目录下的文件复制到工作目录中COPY ..# 安装应用程序的依赖RUN npminstall# 暴露应用程序的端口EXPOSE 3000# 定义容器启动时运行的命令CMD ["node", "app.js"]
2. 构建镜像： 在编写好 Dockerfile 后，使用 docker build 命令来构建镜像。在命令中，你需要指定 Dockerfile 所在的目录（通常为当前目录）和要为镜像命名的名称以及可选的标签。例如：docker build -t my-custom-image . 在这个示例中，-t 参数用于指定镜像的名称（my-custom-image），. 表示 Dockerfile 所在的目录为当前目录。
3. 运行容器： 构建成功后，你就可以使用 docker run 命令来运行新创建的镜像，并创建一个容器实例。例如：docker run -d-p3000:3000 my-custom-image 这个命令会以后台模式运行容器，并将容器的3000端口映射到主机的3000端口。

通过以上步骤，你就可以创建自定义的 Docker 镜像，并在容器中运行你的应用程序。在实际应用中，你可能需要根据你的应用程序需求对 Dockerfile 进行更多的定制化配置。

二、管理Docker容器

2.1 启动和停止容器

启动和停止容器是使用 Docker 运行容器时常见的操作。下面是如何启动和停止容器的基本步骤：

1. 启动容器- 启动已有容器：如果已经创建了一个容器但尚未启动，可以使用 docker start 命令启动它。语法如下：docker start <容器ID 或 容器名称>- 创建并启动新容器：如果要创建并启动一个新的容器，可以使用 docker run 命令。例如：docker run -d<镜像名称>这会在后台模式下启动一个新容器。
2. 停止容器- 停止运行中的容器：如果容器正在运行，可以使用 docker stop 命令来停止它。语法如下：docker stop <容器ID 或 容器名称>这会向容器发送停止信号，使其停止运行。- 强制停止容器：在某些情况下，可能需要强制停止容器，即使它不响应正常的停止信号。可以使用 docker kill 命令强制停止容器。例如：dockerkill<容器ID 或 容器名称>
3. 示例 以下是一个示例，演示如何启动和停止容器：

• 启动容器：docker start my-container
• 停止容器：docker stop my-container

请确保替换命令中的

<容器ID 或 容器名称>

为实际的容器 ID 或名称。使用这些命令，你可以方便地控制 Docker 容器的启动和停止。

2.2 查看容器状态

要查看容器的状态，你可以使用

docker ps

命令。这个命令用于列出当前正在运行的容器。如果你想查看所有的容器，包括已经停止的容器，你可以使用

docker ps -a

命令。

1. 查看运行中的容器 使用以下命令可以列出当前正在运行的容器：dockerps 这将显示一个列表，其中包含容器的一些关键信息，如容器ID、镜像名称、创建时间、状态等。
2. 查看所有容器（包括已停止的容器） 如果你想查看所有的容器，包括已经停止的容器，你可以使用 -a 参数：dockerps-a 这将显示所有的容器，无论其状态是运行中还是已停止。
3. 示例 以下是一个示例输出：CONTAINER ID IMAGE COMMAND CREATED STATUS PORTS NAMESabcdef123456 nginx:latest "nginx -g 'daemon of…"5 minutes ago Up 5 minutes 80/tcp my-nginx-container123456abcdef mysql:latest "docker-entrypoint.s…"2 hours ago Up 2 hours 3306/tcp my-mysql-container 在这个示例中，docker ps 命令显示了两个容器，一个是运行中的 Nginx 容器，另一个是运行中的 MySQL 容器。容器的状态栏会显示 “Up” 表示容器正在运行。

2.3 进入容器

要进入正在运行的容器并与其交互，可以使用

docker exec

命令。这个命令允许你在容器内执行特定的命令。

1. 进入容器交互式 Shell 要进入容器的交互式 Shell，可以使用以下命令：dockerexec-it<容器ID 或 容器名称> /bin/bash 在这个命令中，-it 参数用于指定使用交互式终端，并且 /bin/bash 是要在容器内执行的 Shell。你也可以使用其他 Shell，如 /bin/sh 或 /bin/zsh。
2. 示例 例如，要进入名为 my-container 的容器，可以运行以下命令：dockerexec-it my-container /bin/bash 这将在容器内启动一个交互式 Bash Shell，并将你放置在容器的文件系统中，允许你执行命令和查看容器内部情况。
3. 注意事项 请确保替换命令中的 <容器ID 或 容器名称> 为你想要进入的容器的实际 ID 或名称。另外，要进入的容器必须是运行中的状态。

使用

docker exec

进入容器是一个非常有用的功能，可以让你在容器内部进行调试、查看日志、执行命令等操作。

2.4 删除容器

要删除容器，可以使用

docker rm

命令。以下是删除容器的基本语法：

dockerrm<容器ID 或 容器名称>

这个命令会删除指定的容器。你也可以同时删除多个容器，只需在命令中提供多个容器的 ID 或名称。

1. 示例 例如，要删除名为 my-container 的容器，可以运行以下命令：dockerrm my-container
2. 删除所有容器 如果要删除所有已停止的容器，可以结合使用 docker ps -a 命令和 awk 命令。例如，要删除所有已停止的容器，可以运行以下命令：dockerrm$(dockerps-a-q) 在这个命令中，docker ps -a -q 用于列出所有容器的 ID，然后通过 $(...) 将这些 ID 传递给 docker rm 命令来删除这些容器。
3. 注意事项- 在删除容器之前，请确保你不再需要它们。删除容器将导致其内部数据丢失，除非你在创建容器时使用了数据卷进行持久化。- 如果要删除正在运行的容器，可以添加 -f 参数来强制删除容器，例如：docker rm -f <容器ID 或 容器名称>。

三、容器间通信与数据管理

3.1 容器网络

容器网络是 Docker 中一个重要的概念，它允许容器之间进行通信，以及容器与外部世界进行通信。在容器网络中，每个容器都拥有自己的 IP 地址，并可以通过这个 IP 地址与其他容器或主机进行通信。
以下是容器网络的一些关键概念和特点（网络的具体讲解会在后面的章节展现）：

1. 默认网络模式 当你创建一个新的容器时，Docker 会为该容器分配一个默认的网络，通常是桥接网络（bridge network）。在桥接网络中，每个容器都会分配一个唯一的 IP 地址，容器之间可以通过这些 IP 地址进行通信。此外，Docker 还提供了一种称为主机模式（host mode）的网络模式，允许容器与主机共享网络命名空间。
2. 用户自定义网络 除了默认的网络模式之外，Docker 还允许用户创建自定义网络，以满足特定的网络需求。用户自定义网络可以使一组容器在同一个网络中，这样它们可以通过容器名称进行相互访问，而不必依赖于 IP 地址。此外，用户自定义网络还支持连接到外部网络，允许容器与外部服务进行通信。
3. 网络驱动程序 Docker 提供了多种网络驱动程序（network driver），用于支持不同类型的网络。除了默认的桥接网络驱动程序之外，还有覆盖网络（overlay network）、macvlan 网络（macvlan network）等。每种网络驱动程序都有自己的特点和适用场景，例如覆盖网络适用于跨主机的容器通信，而 macvlan 网络允许容器直接绑定到物理网络接口。
4. 外部连接 容器可以通过外部连接（external connectivity）与外部世界进行通信。这意味着容器可以连接到主机网络、外部服务或其他网络，以访问外部资源或提供服务。外部连接通常需要使用端口映射或容器网络的特殊配置来实现。
5. 容器之间通信 容器之间的通信通常通过容器 IP 地址或容器名称进行。在同一网络中的容器可以直接通过 IP 地址或容器名称进行通信，而不需要额外的配置。如果容器位于不同的网络中，则可能需要通过端口映射或其他网络连接方法进行通信。

容器网络是 Docker 中一个重要的组成部分，它为容器提供了通信和连接外部世界的能力。通过了解容器网络的基本概念和特点，你可以更好地理解和管理容器化应用程序的网络部署。

3.2 共享数据卷

共享数据卷是 Docker 中实现容器间数据共享的一种机制。数据卷是一个特殊的目录，它可以绕过容器的文件系统，并且可以被一个或多个容器共享和访问。共享数据卷使得多个容器可以在同一个数据卷上读写数据，从而实现数据共享和持久化存储。
以下是共享数据卷的主要特点和用法（卷的详细讲解会在后面章节展开）：

1. 创建数据卷 在 Docker 中，可以通过两种方式创建数据卷：- 使用 docker volume create 命令创建匿名数据卷：docker volume create myvolume- 在运行容器时指定挂载点来创建具名数据卷：docker run -v myvolume:/path/to/mount ...
2. 挂载数据卷到容器 要在容器中使用数据卷，需要在运行容器时将数据卷挂载到容器的指定路径上。可以使用 -v 或 --mount 参数来指定挂载点。
3. 多容器共享数据卷 多个容器可以在同一个数据卷上进行读写操作，从而实现数据共享。只需在运行容器时将相同的数据卷挂载到不同的容器中即可。
4. 数据卷生命周期管理 数据卷可以在容器的生命周期内持久化存储数据，即使容器被删除，数据卷中的数据仍然保留。你可以选择删除数据卷或保留它们以供以后使用。
5. 使用案例 共享数据卷适用于许多场景，包括：- 数据库容器：多个数据库容器可以共享同一个数据卷来持久化存储数据。- 文件共享：多个应用程序容器可以共享同一个数据卷来进行文件共享和同步。- 日志收集：多个日志容器可以将日志数据写入同一个数据卷，然后由另一个容器将日志数据收集和处理。

共享数据卷是 Docker 中实现容器间数据共享和持久化存储的重要机制。通过共享数据卷，你可以更灵活地设计和管理容器化应用程序，并实现数据的持久化存储和共享。

3.3 网络连接

在 Docker 中，容器之间的网络连接可以通过多种方式实现：

1. 默认桥接网络 默认情况下，Docker 使用桥接网络（bridge network）来连接容器。在桥接网络中，每个容器都会被分配一个唯一的 IP 地址，并且容器可以通过这些 IP 地址进行通信。通过桥接网络，你可以在同一主机上运行的多个容器之间建立网络连接。
2. 用户自定义网络 除了默认的桥接网络之外，Docker 还允许用户创建自定义网络，以满足特定的网络需求。用户自定义网络可以使一组容器在同一个网络中，这样它们可以通过容器名称进行相互访问，而不必依赖于 IP 地址。通过用户自定义网络，你可以更灵活地管理容器之间的网络连接，并实现不同容器之间的隔离和通信。
3. 外部连接 容器可以通过外部连接（external connectivity）与外部世界进行通信。外部连接通常是通过容器的端口映射或特殊网络配置来实现的。通过外部连接，你可以让容器与主机网络、外部服务或其他网络进行通信，以访问外部资源或提供服务。
4. 容器间通信 在同一网络中的容器可以直接通过 IP 地址或容器名称进行通信。在默认的桥接网络中，每个容器都被分配一个唯一的 IP 地址，因此可以通过 IP 地址进行通信。在用户自定义网络中，容器可以通过容器名称进行相互访问。
5. 跨主机通信 如果容器部署在不同的主机上，你可以使用 Docker 提供的覆盖网络（overlay network）来实现跨主机通信。覆盖网络允许多个主机上的容器在同一个网络中进行通信，从而实现跨主机的容器间通信。

通过以上方式，你可以在 Docker 中实现灵活的容器间网络连接，并根据需求选择合适的网络配置来实现容器之间的通信和隔离。

四、Docker容器的部署与扩展

4.1 Docker Compose

Docker Compose 是一个用于定义和运行多容器 Docker 应用程序的工具。通过一个简单的 YAML 文件，你可以配置应用程序的服务、网络和卷等，并使用单个命令启动、停止和管理整个应用程序。以下是 Docker Compose 的主要特点和用法：

1. 特点：- 声明式语法：使用 YAML 文件来定义应用程序的服务、网络和卷等，使得配置更加简洁清晰。- 多容器应用：支持多个容器组成的应用程序，可以定义和管理多个服务之间的依赖关系和连接。- 容器编排：自动化容器的创建、启动、停止和删除，简化了容器编排和管理的过程。- 跨平台支持：Docker Compose 可以运行在 Windows、macOS 和 Linux 等不同的操作系统上，并且支持常见的容器编排功能。
2. 用法：- 编写 Docker Compose 文件：创建一个名为 docker-compose.yml 的 YAML 文件，并在文件中定义应用程序的服务、网络、卷等配置信息。- 定义服务：在 Docker Compose 文件中使用 services 关键字来定义应用程序的各个服务。每个服务都包含了容器的镜像、端口映射、环境变量等配置。- 构建和启动应用程序：使用 docker-compose up 命令来构建和启动整个应用程序。Docker Compose 会读取 docker-compose.yml 文件，并根据文件中的配置来创建和启动容器。- 管理应用程序：一旦应用程序启动成功，你可以使用 docker-compose 命令来管理应用程序的状态，包括启动、停止、重启和删除等操作。- 扩展和定制：Docker Compose 允许你通过添加新的服务、修改配置文件等方式来扩展和定制应用程序，以满足特定的需求。
3. 示例 Docker Compose 文件： 以下是一个简单的 Docker Compose 文件示例：version:'3'services:web:image: nginx:latest ports:-"8080:80"volumes:- ./html:/usr/share/nginx/html networks:- mynetworknetworks:mynetwork:driver: bridge在这个示例中，我们定义了一个名为 web 的服务，它使用了 Nginx 镜像，并将主机的 8080 端口映射到容器的 80 端口。同时，我们还定义了一个数据卷，用于将主机上的 html 目录挂载到容器内的 /usr/share/nginx/html 目录。最后，我们定义了一个自定义网络 mynetwork，用于连接应用程序的各个服务。

通过 Docker Compose，你可以轻松地管理多容器 Docker 应用程序的部署和运行，简化了容器编排和管理的过程，提高了开发和部署的效率。

4.2 使用Docker Swarm进行集群部署

Docker Swarm 是 Docker 官方提供的容器编排工具，它允许你将多个 Docker 主机组合成一个虚拟的容器集群，以便于部署、管理和扩展容器化应用程序。下是使用 Docker Swarm 进行集群部署的基本步骤：

1. 初始化 Swarm 首先，在一个 Docker 主机上初始化 Swarm，该主机将作为 Swarm 集群的管理节点。使用 docker swarm init 命令来初始化 Swarm。例如：docker swarm init --advertise-addr <管理节点的IP地址> 在这个命令中，--advertise-addr 参数用于指定管理节点的 IP 地址。
2. 将其他节点加入 Swarm 接下来，将其他 Docker 主机加入到 Swarm 集群中作为工作节点。在每个要加入的节点上运行 docker swarm join 命令，以连接到 Swarm 集群。例如：docker swarm join--token<SWMTKN><管理节点的IP地址>:<端口> 在这个命令中，<SWMTKN> 是初始化 Swarm 时生成的 token，<管理节点的IP地址> 是管理节点的 IP 地址，<端口> 是 Swarm 控制平面的端口，默认为 2377。
3. 部署服务 一旦 Swarm 集群建立完成，你可以使用 docker service 命令来部署服务。服务是容器化应用程序的逻辑单元，它由一个或多个容器组成，并根据指定的副本数量在 Swarm 集群中运行。例如：dockerservice create --name my-web-app --replicas3-p8080:80 my-web-image 这个命令将创建一个名为 my-web-app 的服务，它由 my-web-image 镜像构建，并在集群中运行 3 个副本。
4. 扩展服务 使用 docker service scale 命令可以扩展或缩减服务的副本数量。例如：dockerservice scale my-web-app=5 这个命令将增加 my-web-app 服务的副本数量到 5 个。
5. 管理服务 你可以使用 docker service ls 命令来列出 Swarm 集群中运行的所有服务，使用 docker service ps <服务名称> 命令来查看特定服务的任务状态，以及使用 docker service rm <服务名称> 命令来删除服务。
6. 管理集群 可以使用 docker node ls 命令来列出 Swarm 集群中的所有节点，使用 docker node inspect <节点名称> 命令来查看特定节点的详细信息，以及使用 docker node rm <节点名称> 命令来从集群中删除节点。
7. 注意事项- 在部署之前，请确保所有节点上都已经安装了 Docker Engine，并且版本兼容。- 使用 Docker Swarm 部署集群应用程序时，建议使用 Docker 标签来限制容器部署在特定的节点上，以实现更灵活的资源管理。- 使用 Docker Swarm 可以方便地部署和管理容器化应用程序，但在生产环境中仍需考虑到高可用性、安全性和监控等方面的问题。

4.3 Kubernetes与Docker容器的整合

Kubernetes（通常简称为 K8s）是一个开源的容器编排平台，用于自动化容器化应用程序的部署、扩展和管理。虽然 Kubernetes 可以管理任何容器化的应用程序，但它最常用于管理 Docker 容器。下面是 Kubernetes 与 Docker 容器整合的主要方式：

1. 使用 Docker 镜像 Kubernetes 支持使用 Docker 镜像作为容器化应用程序的基础。Kubernetes 通过 Docker Hub 或其他镜像仓库来获取 Docker 镜像，并将其部署到集群中的节点上。
2. 容器运行时 Kubernetes 使用容器运行时（Container Runtime）来在节点上运行容器。Docker 是 Kubernetes 支持的容器运行时之一，其他常见的容器运行时还包括 containerd 和 CRI-O。
3. 容器对象 在 Kubernetes 中，容器被抽象为 Pod 这个概念。一个 Pod 可以包含一个或多个容器，这些容器共享相同的网络命名空间、存储卷和其他资源。每个 Pod 都可以包含一个或多个 Docker 容器。
4. 容器编排 Kubernetes 提供了强大的容器编排功能，可以根据应用程序的需求自动调度和管理容器。Kubernetes 可以根据资源需求、健康状态、网络连接等因素来调度容器，并在节点之间进行自动负载平衡和故障恢复。
5. Docker CLI 与 Kubernetes Kubernetes 提供了一个命令行工具 kubectl，用于与集群进行交互。尽管 Kubernetes 使用 Docker 容器作为运行时，但它不直接依赖于 Docker CLI。相反，Kubernetes 提供了自己的 API 和对象模型，使得用户可以使用 kubectl 命令来管理集群中的容器和应用程序。
6. 容器存储卷 Kubernetes 提供了各种类型的存储卷（Volume）来管理容器的持久化存储需求。这些存储卷可以与 Docker 容器一起使用，以提供持久化存储和数据共享。
7. 容器网络 Kubernetes 提供了网络插件（CNI 插件）来管理容器间的网络连接。这些插件可以与 Docker 容器一起使用，以提供网络隔离、负载均衡和服务发现等功能。

Kubernetes 与 Docker 容器紧密整合，通过 Kubernetes 可以更轻松地管理和运行 Docker 容器化应用程序，并提供了许多高级功能和工具来简化容器编排、自动化部署和管理容器化应用程序。

五、容器使用规范

容器安全性是容器化应用程序中一个非常重要的方面，因为容器化应用程序往往会涉及到敏感数据和关键业务逻辑。以下是一些提高容器安全性的常见措施和最佳实践：

1. 使用官方镜像 尽量使用官方的 Docker 镜像或信任的镜像仓库来获取容器镜像。官方镜像通常会定期更新和修复安全漏洞，以确保最新版本的安全性。
2. 最小化镜像大小 构建容器时，尽量选择最小化的基础镜像，并且仅安装应用程序所需的依赖和组件。减少镜像大小可以降低攻击面并提高安全性。
3. 定期更新镜像 定期更新容器镜像以应用最新的安全补丁和修复程序。可以使用自动化工具来监控和更新镜像，以减少手动操作和遗漏更新的风险。
4. 实施容器镜像签名 使用容器镜像签名来验证镜像的来源和完整性。容器镜像签名可以防止镜像被篡改或替换，从而提高容器的安全性。
5. 限制容器权限 在容器中使用最小特权原则，尽量限制容器的权限和访问范围。例如，使用非特权用户运行容器，并使用 Linux 的命名空间和控制组来隔离容器。
6. 实施网络隔离 在容器之间实施网络隔离，以防止未经授权的网络访问和攻击。可以使用容器网络插件来实现网络隔离、防火墙规则和流量控制。
7. 使用安全配置 对容器和容器编排平台进行安全配置，包括启用安全选项、限制资源访问和使用安全策略等。确保容器和容器宿主机的安全配置符合最佳实践和安全标准。
8. 监控和审计 实施监控和审计机制来检测和响应安全事件和威胁。监控容器活动、日志和指标，并定期审查安全策略和配置，以及及时响应安全事件。
9. 安全培训和意识 提高团队成员和开发人员的安全意识，加强容器安全培训和教育。确保团队了解容器安全最佳实践，并且知道如何应对安全威胁和事件。
10. 持续改进 容器安全性是一个持续改进的过程，需要不断审查和改进安全措施。定期进行安全审查、漏洞扫描和渗透测试，以及修复安全漏洞和缺陷。

通过以上措施和最佳实践，可以提高容器化应用程序的安全性，减少安全风险和威胁，并保护敏感数据和关键业务逻辑。

六、总结

本文介绍了 Docker 容器的创建和使用过程。首先，我们了解了使用现有镜像创建容器的步骤，通过

docker run

命令可以轻松地启动容器。其次，我们学习了如何通过自定义镜像来满足特定的应用需求，包括编写 Dockerfile、构建镜像和发布镜像到仓库等步骤。然后，我们探讨了容器的启动、停止、状态查看、进入以及删除等操作，以及如何使用数据卷实现容器间的数据共享。最后，我们简要介绍了容器网络，包括默认网络模式、用户自定义网络和外部连接等内容。
Docker 容器的创建和使用过程相对简单而灵活。通过掌握基本的 Docker 命令和概念，开发人员可以轻松地构建、部署和管理容器化应用程序，实现快速、一致和可重复的开发环境。Docker 的流行和普及使得容器技术成为现代软件开发的重要组成部分，为构建可靠、可扩展和安全的应用提供了强大的基础。