开头处生动的描述一下”码头工人”吧:小鲸鱼(登记处Registry:比如docker hub官方)背着好多集装箱(仓库repository:存放各种各样的镜像,一般存放的是一类镜像,这一类镜像中通过tag 版本进行区分),可以游向各个地方(指无需配置环境便可直接运行)。
【入门级】docker
一、docker概念简述
所有应用,可以打包成docker镜像(包含某个软件运行所需的所有内容:代码、库、环境变量、配置文件等),无需重新配置环境,可以直接跑起来!简单了解以下几个名词:
- 镜像(images):可以理解成C++里的类/模板,通过镜像实例化对象.
- 容器(container):镜像实例化的对象就是容器,每个容器都类似一个VM虚拟机(区别是容器不用单独构建操作系统内核,所有的容器共用宿主机的内核,启动更快),各个容器之间存储隔离,不同容器可以进行交互.
- 仓库(repository):存放镜像的地方(官方docker hub,以及一些国内的镜像仓库).
- Ubuntu下docker的安装可以采用鱼香ros一键安装:
wget http://fishros.com/install -O fishros && . fishros
(安装的是引擎版,不是桌面版)- 安装完成后启动docker:
systemctl start docker
查看docker版本:docker version
run hello-world检测docker:docker run hello-world
(自动pull hello-world的镜像,拉取时关闭防火墙)- docker的默认工作路径在
/var/lib/docker
下,可以使用sudo -i
提高权限,cd
查看,Ctrl+D
退出高级权限.- docker遵循client-server模式,可以输入
docker info
查看- 其余详情请移步到 docker官方用户手册
二、docker拉取
1.国内镜像加速
- 在终端进行下述配置:
sudo mkdir -p /etc/docker
sudo tee /etc/docker/daemon.json <<EOF{"registry-mirrors":["https://hub.uuuadc.top","https://docker.anyhub.us.kg","https://dockerhub.jobcher.com","https://dockerhub.icu","https://docker.ckyl.me","https://docker.awsl9527.cn"]}EOF
sudo systemctl daemon-reload
sudo systemctl restart docker
- 以docker.awsl9527.cn为例拉取:
docker pull docker.awsl9527.cn/library/alpine:latest // 拉取 library 镜像
docker pull docker.awsl9527.cn/coredns/coredns:latest // 拉取 coredns 镜像
(说明:library是一个特殊的命名空间,它代表的是官方镜像。如果是某个用户的镜像就把library替换为镜像的用户名)
- 重命名镜像名称:
docker image tag docker.awsl9527.cn/library/alpine:latest library/alpine:latest
docker image tag docker.awsl9527.cn/coredns/coredns:latest coredns/coredns:latest
- 删除“中间站”镜像:
docker rmi docker.awsl9527.cn/library/alpine:latest
docker rmi docker.awsl9527.cn/coredns/coredns:latest
欲知其余镜像加速器的配置方法,可以跳转DockerHub国内镜像源列表
2.docker pull with proxy
若想使用clash(确保已经配置好clash)直接从docker hub官网拉取镜像,可以配置proxy,具体步骤如下:
mkdir /etc/systemd/system/docker.service.d
vim /etc/systemd/system/docker.service.d/http-proxy.conf
- 在 http-proxy.conf 中添加下述内容:
[Service]
Environment="HTTP_PROXY=http://proxy.example.com:80/"
Environment="HTTPS_PROXY=http://proxy.example.com:80/"
*(在终端使用命令
env | grep -i proxy
,查看
HTTP_PROXY
和
HTTPS_PROXY
的值进行替换)*
- 刷新一下:
sudo systemctl daemon-reload
- 查看配置是否被加载完成
$ sudo systemctl show --property Environment docker
Environment=HTTP_PROXY=http://proxy.example.com:80/
Environment=HTTPS_PROXY=http://proxy.example.com:80/
- 重启docker:
sudo systemctl restart docker
(注:配置好代理后pull时需要关掉防火墙)
三、docker基本命令
1.帮助命令
docker 命令 --help
官方命令Reference
2.镜像命令
sudo docker images //查看所有已下载的docker镜像
docker images -q //只显示镜像id
docker search osrf/ros //搜索镜像(也可以在docker hub上直接搜索)
docker search osrf/ros --filter=STARS=73//过滤:只搜索stars大于73的镜像
sudo docker pull osrf/ros:humble-desktop-full //拉取ros-humble的docker镜像 分层下载(如果不写tag,默认latest)
sudo docker rmi 镜像ID/镜像name //删除镜像
docker rmi -f $(docker images -aq)//删除所有镜像(f->force a->all q->id)
(注:容器ID≠镜像ID)
3.容器命令
sudo docker ps //查看正在运行的docker容器
sudo docker ps -a //列出所有运行/停止的容器
sudo docker ps -aq //仅列出所有运行/停止的容器的id
sudo docker ps -n=?//显示最近创建的容器(尚存在的)
sudo docker run -it hello-world:latest //运行容器(-it:交互式运行;i:从容器中获取一个标准输入stdIn创建可交互连接;t:在容器内分配一个伪终端;hello-world:repository;latest:tag)
sudo docker run -it -d osrf/ros:humble-desktop-full-jammy //在后台运行一个容器(输出1c7a8a5b58116e6b5f7d88aa1608748a1b36ab582822c760556d5e6b7850f5ee,前12位为容器ID)(容器发现没有前台进程,自杀->exit)
sudo docker run -it --rm osrf/ros:humble-desktop-full-jammy //仅用于测试,关闭容器后自动删除
sudo docker run -it -d --name xiaoxin osrf/ros:humble-desktop-full-jammy //创建容器时自己给容器rename
sudo docker start 容器name/ID //重新打开已经创建好但退出的容器
docker restart 容器name/ID //重启容器
sudo docker attach 1c7a8a5b5811 //连接进入ID为1c7a8a5b5811的容器(Ctrl+D后exited)
docker exec -it frosty_mahavira /bin/bash //连接进入name为frosty_mahavira的容器(开启一个新终端 Ctrl+D后up)
CTRL+P+Q //让容器呆在后台(不停止)
当前终端:CTRL+D或exit //停止并退出容器
新开终端:sudo docker stop 容器name/ID //温柔退出容器
sudo docker kill 容器name/ID //强制关闭docker容器
sudo docker rm 容器ID/容器name //删除容器(不能删除正在运行的容器,如果强制删除rm -f)
docker rm -f $(docker ps -aq)//删除所有的up/exit容器(若去掉-f,只能删掉停止的容器)
docker ps -aq | xargs docker rm //删除所有的容器(xargs处理管道多行变单行,换行和空白将被空格取代)
sudo docker container prune //把所有停止的容器一键删除
sudo docker system prune -a //(慎用)删掉所有未运行的容器、所有镜像、构建的缓存、所有网络
4.移动命令
docker save -o lawskiybin.tar lawskiy/roaf3d_bin:v3.0//把镜像打包成tar
docker load -i lawskiybin.tar //从tar文件导出镜像
sudo docker commit 容器ID 容器name/镜像name //创建一个当前运行容器的 Docker 镜像
docker commit -m="提交的描述信息"-a="作者" 容器ID 目标镜像名:tag
docker cp 容器id:容器内路径 目的主机路径 //从容器内拷贝文件(夹)到主机上
docker cp /home/zixie/ws frosty_mahavira:/home //从主机拷贝文件(夹)到容器内
5.其余命令
# 查找日志
docker logs -tf --tail 10 容器name/ID //输出最近的10条日志(t-时间戳 f-实时显示 tail-后跟最近日志获取数量)
docker logs -tf 容器names/ID //输出所有日志
# 查看容器中进程信息
docker top 容器name/ID
//各个输出所表含义://UID-进程的用户ID //PID-进程ID //PPID-父进程ID //C-CPU使用率 //STIME-进程启动时间 //TTY-进程所在的终端 //TIME-进程累计CPU时间 //CMD-启动进程的命令
#查看容器的源数据
docker inspect 容器name/ID
#查看docker磁盘使用情况
docker system df
四、容器数据卷
容器内部数据和主机数据的互相挂载,确保容器的”持久化“以及”同步化“。通过挂载数据卷,容器之间也可以共享数据.
docker inspect 容器name
:查看挂载详情:Mounts
挂载-v;Source
主机目录;Destination
容器内目录.docker volume ls
:查看所有容器数据卷.docker volume inspect 卷名:
查看容器在主机的挂载目录Mountpoint
.docker volume rm 数据卷名
:删除容器数据卷(在/var/lib/docker/volumes执行rm -rf 主机目录
有时删不掉).
1. 容器-v挂载
docker run -it -v 主机目录:容器内目录 镜像name:tag
- 匿名挂载:
docker run --rm -it -v /home/test osrf/ros:humble-desktop-full
(只写了容器内目录:/home/test;主机目录默认为:/var/lib/docker/volumes/数据卷名/_data)- 具名挂载:
docker run --rm -it -v juming:/home/test osrf/ros:humble-desktop-full
(juming前没加/,不是主机目录,而是数据卷的名字,主机目录默认为:/var/lib/docker/volumes/数据卷名/_data)- 指定路径挂载:
docker run --rm -it -v /home/zixie:/home/test osrf/ros:humble-desktop-full
(指定路径挂载是一种把主机目录绝对化的匿名挂载)
//改变读写权限(针对于容器而言)
docker run -it -v 主机目录:容器内目录:ro/rw 镜像name:tag
//ro:readonly 只能在宿主机进行操作,容器内只读//rw:readwrite
2.构建镜像时挂载
vim Dockerfile
新建Dockerfile文件,输入:
FROM osrf/ros:humble-desktop-full
VOLUME ["volume1","volume2"]
CMD echo "---end---"
CMD /bin/bash
终端输入
docker build -f ./Dockerfile -t hzx/ros:1.0 .
构建镜像(不要少写了 “.”)
新建容器
docker run --rm -it hzx/ros:1.0
,完成后
ls
可以看到挂载的数据卷
volume1
&
volume2
.
3.数据卷容器
docker run --rm -it --name docker01 hzx/ros:1.0//hzx/ros:1.0镜像在构建时自带数据卷
docker run --rm -it --name docker02 --volumes-from docker01 hzx/ros:1.0//实现容器间挂载数据卷
(关于挂载原理不是很清楚:本人先删除docker,虚拟机中的文件不会丢失;删除虚拟机中的volume数据卷,docker中的文件丢失)
五、DockerFile
构建docker镜像的文件(手工构建image)——命令脚本
通过
docker history 镜像名
可以大致窥见构建镜像的Dockerfile.
- 关键字(指令)可以大/小写字母(推荐大写).
- 从上到下顺序执行.
- 使用#注释
- 每一个指令都会创建一个镜像层,并提交.(bootfs是Docker镜像的基础文件系统,由多个只读层(read-only layer)组成,这些层叠加形成了完整的文件系统,这个文件系统是唯一一个在容器运行时保持不变的层,所有的修改都是在其他层上完成)
指令说明FROM指定基础镜像:FROM ubuntu:18.04(FROM scratch 白手起家)RUN在构建镜像过程中执行的操作:RUN apt-get update && apt-get install -y vimCOPY拷贝本机文件到镜像内ADD类似于COPY,支持URL和自动解压缩WORKDIR进入容器后所在的工作目录EXPOSE暴露端口CMD指定容器启动时默认执行的命令,只有最后一个生效,运行容器时若添加CMD后的相关指令会被替代:CMD [“python ”, “app.py”]ENTRYPOINT指定容器启动时默认执行的命令,只有最后一个生效, 运行容器时可以在原先Dockerfile ENTRYPOINT的基础上追加命令LABEL键值对形式,可以生成镜像的作者名称(取代MAINTAINER):LABEL maintainer=‘zixie’ENV设置环境变量,运行容器时有效ARG设置环境变量,构建镜像时有效VOLUME挂载数据卷:VOLUME [“volume1”, “volume2”]USERdocker默认运行权限是root,USER用于设置运行容器时的用户ONBUILD该指令后面的指令在当前镜像被构建时,并不会被执行;只有以当前镜像为基础镜像去构建下一级镜像时,才会被执行
(每个指令的些微介绍请移步Docker Dockerfile指令大全)
发布自己的镜像到 docker hub 官网:
- 首先在个人docker hub账户
dockerhub_username
(命名空间)下Create repository
创建仓库repository_name
,这样做是为了确定要上传网站的位置为dockerhub_username/repository_name
- 给自己的镜像打标签 *docker tag [镜像id] [网站上的位置]:[自定义Tag名字]*:
docker tag <local_image_id> dockerhub_username/repository_name:tag
- 终端输入
docker login -u username
,然后输入密码——>Login Succeeded- push到官方
docker push dockerhub_username/repository_name:tag
docker logout
退出
docker流程小结:
(Dockerfile & Images & Containers & Docker registry & backup.tar)
六、Docker网络
首先,简要插播一下计算机网络的内容:
- 集线器hub(物理层):连接多个PC端。不做任何处理,通过48位的MAC地址无脑将电信号广播至所有出口,浪费网络资源又不安全。
- 交换机(数据链路层):内部维护一张 MAC 地址表(起初MAC地址表的形成要依靠广播),只把数据包发给目标 MAC 地址(物理层面上,一般不可修改)指向的那台电脑,形成以太网。由于交换机端口数量有限,当PC端逐渐变多时难以支撑,此时可以考虑把交换机A(连接ABCD)与交换机B(连接EFGH)相连,但两个交换机得分别记录 A ~ H 所有机器的映射记录,日积月累,交换机也不堪重负。
- 路由器(网络层):路由器的每一个端口,都有独立的 MAC 地址,现在交换机的 MAC 地址表中,只需要多出一条 MAC 地址 ABAB 与其端口的映射关系,利用32位IP地址(软件层面上,可以修改),就可以成功把数据包转交给路由器了。
- All in all:电脑视角:首先我要知道我的 IP 以及对方的 IP;通过子网掩码判断我们是否在同一个子网;在同一个子网就通过 arp 缓存表(通过 arp 协议广播逐渐完善)获取对方 mac 地址直接扔出去;不在同一个子网就通过 arp 缓存表获取默认网关的 mac 地址直接扔出去。交换机视角:我收到的数据包必须有目标 MAC 地址;通过 MAC 地址表(通过以太网各节点广播逐渐完善)查映射关系;查到了就按照映射关系从我的指定端口发出去;查不到就所有端口都发出去。路由器视角:我收到的数据包必须有目标 IP 地址;通过路由表(各种路由算法 + 人工配置逐步完善)查映射关系;查到了就按照映射关系从我的指定端口发出去;查不到则返回一个路由不可达的数据包。
- 网络层(IP协议)本身没有传输包的功能,包的实际传输是委托给数据链路层(以太网中的交换机)来实现的。以上总结参考自wx公众号,欲深入了解请跳转
查看docker网络模式
docker network ls
,会出现
bridge
、
host
、
none
三种网络模式,创建容器时默认为bridge,可以使用
docker network inspect bridge/host/none
来查看三种网络的详细信息。
- 默认bridge:采用veth(virtual ethernet虚拟以太网)技术,以docker0做bridge默认网络模式的网关,每创建一个容器就会产生(一对)veth-pair接口&与docker0在同一网段的一个IP地址. 容器IP是私有地址,外部互联网想要访问容器,需要-p暴露端口. 假设采用默认bridge网络模式创建了两个容器aa(172.17.0.2)和bb(172.17.0.3),进入容器aa,
ping 172.17.0.3
可以ping通,但在默认bridge模式下无法进行DNS域名解析,即ping bb
会ping不通。采用–link进行容器互联docker run -it --name bb --link aa 镜像name:tag
,可以实现bb ping aa的单方向DNS域名解析. - 自定义bridge:
docker network create -d bridge my_bridge_net
创建自定义bridge网络模式,可以使用docker network ls
查看新建的bridge,同样它也有一个类似docker0的桥。docker run -it --network my_bridge_net 镜像name:tag
使用自定义bridge创建容器,可以进行DNS域名解析。要想删除此网络,终端输入docker network rm my_bridge_net
(无法删除原始的3种网络). - host:该模式下容器相当于宿主机的一个应用,无需端口映射互联网也能访问容器(非要映射会遭到拒绝discard).
- none:以该模式创建的容器只有lo本地回环一种网络,不能联网,被隔离.
docker进阶:
- Docker Compose :一个在单个服务器或主机上创建多个容器的工具
- Docker Swarm :可以在多个服务器或主机上创建容器集群服务
(未完待续)
版权归原作者 肝帝永垂不朽 所有, 如有侵权,请联系我们删除。