安装docker
环境要求:
centos 8
linux内核3.1以上
// 查看linux内核版本
uname -r
// 低于3.1,升级(注:生产环境谨慎操作,该更新会同时升级内核)
yum update
部署docker容器虚拟化平台并配置docker镜像加速地址
安装docker环境依赖
yum install-y yum-utils device-mapper-persistent-data lvm2
配置国内docker-ce的yum源(阿里云)
yum-config-manager --add-repo http://mirrors.aliyun.com/docker-ce/linux/centos/docker-ce.repo
安装docker-ce
// 查看仓库中的所有docker版本,可以自定义选择版本安装。
yum list docker-ce --showduplicates|sort-r
// 开始,以下两个方式,幸福二选一
方式1.默认稳定版
// 2021.07.13 更新,直接使用以下命令安装,该操作会默认安装最新稳定版docker,由于repo中默认只开启stable仓库
yum install docker-ce
方式2.选择版本安装
// 选择版本安装
yum install-y docker-ce-19.03.13
// 结束
// 旧版(请勿执行,未确认是否可继续使用)
yum install docker-ce docker-ce-cli containerd.io -y
注:docker-ce-cli 作用是docker命令行工具包
containerd.io 作用是容器接口相关包
yum info 软件包名字,可以查看一个包的具体作用
docker启动并设置开机启动
systemctl start docker&& systemctl enabledocker
查看proc下网络参数,路由转发功能是否有效
cat /proc/sys/net/ipv4/ip_forward
启动docker后会自动修改,返回值为1
配置阿里云docker镜像加速器,提升pull的速度
登录容器hub服务,https://cr.console.aliyun.com控制台,使用支付宝账号,第一次登录时,需要设置一个独立密码,左侧的加速器帮助页会显示为你独立分配的加速地址
修改方法1:
修改文件配置,添加镜像地址
vim /etc/docker/daemon.json
{
"registry-mirrors":["https://e9yjns4.mirror.aliyuncs.com","https://第二个镜像地址(未验证是否可用)"]
}
查看当前docker有多少服务启动
docker info |more
查看镜像包
docker images
修改方法2:
修改docker服务启动脚本
vim /usr/lib/systemd/system/docker.service
修改:ExecStart=/usr/bin/dockerd -H fd:// --containerd=/run/containerd/containerd.sock
添加镜像地址:ExecStart=/usr/bin/dockerd -H fd:// --registry-mirror=https://阿里云ID.mirror.aliyuncs.com --containerd=/run/containerd/containerd.sock
国内镜像地址配置及阿里云官网申请:
修改systemd服务脚本后执行daemon-reload重新加载,修改服务配置文件不需要执行
systemctl daemon-reload
重启docker
systemctl restart docker
tips:shell终端操作
cd 到目录下,输入rz命令回车,上传文件
关闭防火墙
// 关闭防火墙
systemctl stop firewalld && systemctl disable firewalld
// 重启docker
systemctl restart docker
关闭防火墙,需要把docker服务重启一下,否则docker的ip包转发功能无法使用,即使防火墙关闭,docker会调用内核模块netfilter增加规则
iptables只是操作netfilter工具
docker平台基本使用方法
运行docker容器实例
例1:
运行一个container并加载镜像centos,运行起来这个实例后,在实例中执行/bin/bash命令
docker常用参数
run 运行
-i 以交互模式运行容器,通常与-t同时使用
-t 为容器重新分配一个伪输入终端,通常与-i同时使用
docker run -it centos:latest /bin/bash
centos:latest:镜像名及镜像tag
/bin/bash:运行镜像里的bash,可直接写bash
例2:
在container中运行一个长久运行的进程,不断向stdin输出hello world,模拟一个后台运行的服务
docker常用参数
-d 后台运行容器,并返回容器ID
-c 后面跟待完成的命令
docker run -d centos:latest /bin/sh -c'while true;do echo hello world;sleep 1;done'
/bin/sh -c :执行命令
从一个容器中取日志,查看输出的内容,可用于后期检查docker实例在标准输出中弹出的错误信息或正常信息
docker logs 容器实例的name/ID
命令:
查看运行中的容器
docker ps
查看所有容器(运行中及沉睡/退出的)
docker ps -a
查看日志输出
docker logs 实例ID
杀死docker实例
docker kill 实例ID
启动、停止、重启container容器实例
启动:run 创建并运行docker实例
关闭防火墙
iptables -F
重启docker
systemctl restart docker
载入镜像
docker load -i
查看镜像
docker images
运行实例,物理机的80端口:映射容器实例的80端口,容器端口映射到物理机的端口
docker run -d-p80:80 centos:httpd-v2
查看物理机上开启的80代理端口
netstat-antup|grep80
docker容器命名和资源配额控制
docker容器命名和重命名
容器命名语法:
docker run -itd --name 容器实例名 容器镜像名 要执行的命令
容器重命名语法:
docker rename 旧容器名 新容器名
例1:运行一个名字为docker1的容器
docker run -itd--name docker1 centos:latest /bin/bash
查看命名
dockerps
例2:将docker1容器重命名
dockerrename docker1 docker2
dockerps
创建docker容器实例时指定容器的主机名
docker run -it --name 容器名 -h 指定主机名 镜像 /bin/bash
例1:
docker run -it--name docker3 -h onebig.cn centos bash
注:centos镜像代表centos:latest,没有指定tag标签,默认为latest,且没有加-d,不是后台运行
查看主机名
hostname
退出
exit
让docker容器开机自动启动
docker run --restart=always -itd --name 容器名 镜像 /bin/bash
参数:–restart=always 在容器退出时总是重启容器
测试:
运行容器
docker run --restart=always -itd--name test1 centos bash
重启docker:
systemctl restart docker
查看运行中的容器
dockerps
docker容器的重启策略
参数:–restart=
no:默认策略,在容器退出时不重启容器
on-failure:在容器非正常退出时重启容器,最多重启3次
always:在容器退出时一直重启容器
unless-stopped:在容器退出时总是重启容器,但是不考虑在docker守护进程启动时就已经停止了容器
修改容器重启策略
docker update --restart=always 容器ID或名字
docker容器资源配额控制之cpu
docker通过cgroup来控制容器使用的资源配额,包括cpu、内存、硬盘,基本覆盖了常见的资源配额和使用量控制
cgroup概述:
cgroup是control groups的缩写,是linux内核提供的一种可以限制、记录、隔离进程组所使用的物理资源(如 cpu、memory、磁盘io等)的机制,被LXC、docker等很多项目用于实现进程资源控制,cgroup将任意进程进行分组化管理的linux内核功能,cgroup本身是提供将进程进行分组化管理的功能和接口的基础结构,io或内存的分配控制等具体的资源管理功能是通过这个功能来实现的
为什么要进行硬件配额
当多个容器运行时,防止某个容器把所有的硬件都占用了(比如一台被黑的容器,有可能把所有的资源都占用)
指定docker容器可以使用的cpu份额
例1:给容器实例分配512权重的cpu使用份额
查看cpu参数帮助
docker run --help|grep cpu-shares
cpu配额参数:-c,–cpu-shares init
cpu shares(relative weight) 在创建容器时指定容器所使用的cpu份额值,cpu-shares的值不能保证可以获得1个vcpu或者多少GHz的cpu资源,仅仅只是一个弹性的加权值
默认每个docker容器的cpu份额值都是1024,在同一个cpu核心上,同时运行多个容器时,容器的cpu加权的效果才能体现出来
两个容器A/B的cpu份额分别为1000和500,结果会怎样?
情况1:A和B正常运行,在cpu进行时间片分配的时候,容器A比容器B多一倍的机会获得cpu的时间片
情况2:分配的结果取决于当时其他容器的运行状态,比如容A的进程一直是空闲的,那么容器B是可以获取比容器A更多的cpu时间片的,比如主机上只运行了一个容器,即使它的cpu份额只有50,它也可以独占整个主机的cpu资源
cgroups只在多个容器同时争抢同一个cpu资源时,cpu配额才会生效,因此无法单纯根据某个容器的cpu份额来确定有多少个cpu资源分配给它,资源分配结果取决于同时运行的其他容器的cpu分配和容器中进程运行情况
例1:给容器分配512权重的cpu使用份额
参数:–cpu-shares 512
docker run -it-c512 centos /bin/bash
查看结果
cat /sys/fs/cgroup/cpu/cpu.shares
注:启动多个容器,测试是否只能使用512份额的cpu资源,单独一个容器,看不出来使用的cpu的比例,因没有docker实例同此docker实例竞争
cpu core核心控制
参数:–cpuset 可以绑定cpu
对多核cpu的服务器,docker还可以控制容器运行限定使用哪些cpu内核和内存节点,即使用–cpuset-cpus和–cpuset-mems参数,对具有NUMA拓扑(具有多cpu、多内存节点)的服务器尤其有用,可以对需要高性能计算的容器进行性能最优的配置,如果服务器只有一个内存节点,则–cpuset-mems的配置基本上不会有明显效果
扩展:
服务器架构一般分为SMP、NUMA、MPP体系架构
从系统架构来看,目前的商用服务器大体可以分为三类:
1、即对称多处理器结构(SMP:Symmetric Multi-Processor)例:x86服务器,双路服务器,主板上有两个物理cpu
2、非一致存储访问结构(MUMA:Non-Uniform Memory Access)例:IBM 小型机 pSeries690
3、海量并行处理结构(MPP:Massive ParallelProcessing)例:大型机
扩展技术taskset命令
taskset设定cpu亲和力,taskset能将一个或多个进程绑定到一个或多个处理器上运行
参数:
-c,–cpu-list 以列表格式显示和指定cpu
-p,–pid 在已经存在的pid上操作
例1:设置只在cpuID是1和2的cpu上运行sshd进程程序,第一个cpu的ID是0
查看sshd进程id
// 查看sshd进程号
ps -axu | grep sshd
// 设置sshdcpu亲和力,只在1和2cpu上运行
taskset -cp 1,2 1089
查看pid为1的cpu亲和力
taskset -cp1
查看ID为1的进程在哪个cpu上运行,查看进程树
pstree -p | more
当cpu数量很多时,确实需要绑定进程到cpu上,可以减少cpu上下文切换的开销,节约时间
例:物理机一共有16个核心,创建的容器只能用0、1、2三个核心
docker run -it--name cpu1 --cpuset-cpus 0-2 centos bash
cat /sys/fs/cgroup/cpuset/cpuset.cpus #查看当前docker配置cpu可用核心
cpu配额控制参数的混合使用
当上面这些参数中时,cpu-shares控制只发生在容器竞争同一个cpu的时间片时有效
如果通过cpuset-cpus指定容器A使用cpu 0,容器B只使用cpu 1,在主机上只有这两个容器使用对应内核的情况,它们各自占用全部的内核资源,cpu-shares没有明显效果
效果展示
容器A和容器B配置上cpuset-cpus值并都绑定到同一个cpu上,然后同时抢占cpu资源,就可以看出效果了
例1:测试cpu-shares和cpuset-cpus混合使用运行效果,就需要一个压力测试工具stress来让容器实例把cpu跑满
如何把cpu跑满?如何把4核心的cpu中第一和第三个核心跑满?可以运行stress,然后使用taskset绑定一个cpu
扩展:stress命令
概述:linux系统压力测试软件stress,stress可以测试linux系统cpu、menory、io、disk的负载
下载页
注:也可以使用epel源中的stress-xxx.rpm
yum install epel-release
yum install stress -y
stress参数解释
-? 显示帮助信息
-v 显示版本号
-q 不显示运行信息
-n 显示已完成的指令情况
-t --timeout N 指定运行N妙后停止
--backoff N 等待N秒后开始运行
-c 产生n个进程,每个进程都反复不停的计算随机数的平方根,测试cpu
-i 产生n个进程,每个进程反复调用sync(),sync()用于将内存上的内容写到硬盘上,测试硬盘
-m --vm n 产生n个进程,每个进程不断调用内存分配malloc()和内存释放free()函数,测试内存
--vm-bytes B 指定malloc时内存的字节数(默认256MB)
--vm-hang N 指定在free栈的秒数
-d --hadd n 产生n个执行write和unlink函数的进程
--hadd-bytes B 指定写的字节数
--hadd-noclean 不unlink
注:时间单位可以为秒s,分m,时h,天d,年y,文件大小单位可以为K,M,G
例:产生2个cpu进程,2个io进程,20秒后停止运行
stress -c2-i2--verbose--timeout 20s
#如果执行时间为分钟,修改20s为1m
查看当前cpu运行状态
top 回车后按1
例:测试cpuset-cpus和cpu-shares混合使用运行效果,就需要一个压力测试工具stress来让容器实例把cpu跑满,当跑满后,会不会去其他cpu上运行,如果没有在其他cpu上运行,说明cgroup资源限制成功
例:创建2个容器实例,docker10和docker20,让docker10和docker20只运行在cpu0和cpu1上,最终测试一下docker10和docker20使用cpu的百分比,实验拓扑图如下:
docker run -itd--name docker10 --cpuset-cpus 0,1 --cpu-shares 512 centos /bin/bash
docker run -itd--name docker20 --spuset-cpus 0,1 --cpus-shares 1024 centos /bin/bash
测试1:进入docker10,使用stress测试进程是不是只在cpu0,1上运行?
docker10安装stress
dockerexec-it docker10 bash
yum install-y epel-release
yum install stress -y
docker20安装stress,新开终端页面
dockerexec-it docker20 bash
yum install-y epel-release
yum install stress -y
在docker10终端里运行
stress -c2-v-t 10m #运行2个进程,把2个cpu占满
在物理机另外一个终端上运行top命令,按1快捷键,查看每个cpu使用情况,0,1cpu跑满100%为正常
测试2:进入docker20,使用stress测试进程是不是只在cpu0,1上运行,且docker20上运行的stress使用cpu百分比是docker10的2倍?
stress -c2-v-t 10m
注:两个容器只在cpu0,1上运行,说明cpu绑定限制成功,而docker20是docker10使用cpu的2倍,说明–cpu-shares限制资源成功
docker容器实例运行结束后自动释放资源
docker run --help | grep rm
– rm 参数:当容器命令运行结束后,自动删除容器,自动释放资源
应用场景:在某些环境下,可能需要大量的新建docker实例,然后仅仅运行几秒钟或几分钟,然后就彻底删除,如运行单元测试或测试弹性云计算
例:阿里云要模拟双11的压力,需要快速创建1万docker实例,每个docker容器实例中都运行ab命令,拼命访问tmall.com首页,运行1个小时后自动删除
docker run -it-rm--name mk centos sleep5
物理机上查看
dockerps-a|grep mk
等5s后再查看
dockerps-a|grep mk #自动删除了
docker容器资源配额控制之内存
docker提供参数-m,–memory=‘’,限制容器的内存使用量
例:允许容器使用的内存上限为128M
docker run -it -m 128m centos
cat /sys/fs/cgroup/memory.limit_in_bytes
注:也可以使用stress进行测试
例:创建一个docker,只使用2个cpu核心,只能使用128M内存
docker run -it --cpuset-cpus 0,1-m 128m centos
docker数据映射
docker run -itd -v /src:/dst centos bash
-v 用来指定挂载目录,冒号:前面的/src为物理机本地目录,:后面的/dst为容器的目录
例:把物理机上的/var/www/html映射到docker实例的/var/www/html
优势:这样当docker坏了,数据还在物理机上,再使用apache镜像启动一个docker实例就可以了,数据不丢失
物理机目录:/var/www/html
mkdir /var/www/html
docker run -it--name web1 -v /var/www/html/:/var/www/html centos bashecho aaa > /var/www/html/index.html
物理机查看:
ls /var/www/html #index.html
版权归原作者 瀚若辰 所有, 如有侵权,请联系我们删除。