Docker
- 1: Docker Build
- 2: Docker Container
- 3: Docker Image
- 4: Docker Install
- 5: Docker Network
- 6: Docker Ps
- 7: Nsenter
1 - Docker Build
build
docker build [OPTIONS] PATH | URL | -
# use Dockerfile in current path to build a image
docker build -t [repository]/[username]/[remote_image_name]:[tag] ./
# or
docker build -t [local_image_name] ./
docker image tag [local_image_name] [repository]/[username]/[remote_image_name]:[tag]
# finally
docker push [repository]/[username]/[remote_image_name]:[tag]
- -f, –file : Name of the Dockerfile
- –force-rm : Always remove intermediate containers
- –no-cache : Do not use cache when building the image
- –pull : Always attempt to pull a newer version of the image
- –quiet, -q : Only print image ID on success
- –tag, -t: Name and optionally a tag in the ’name:tag’ format
- –network: Set the networking mode for the RUN instructions during build (default “default”)
Dockerfile
ENV FOO=BAR
# cid=$(docker run -e FOO=BAR <image>)
# docker commit $cid
.dockerignore
.git
README.md
2 - Docker Container
run
# 创建一个守护态的Docker容器
docker run -itd ubuntu:14.04 /bin/bash
# docker ps
# 进入容器
docker attach <container_id>
# 当多个窗口同时使用该命令进入该容器时,所有的窗口都会同步显示
# enter a Docker container.
docker exec -it CONTAINER_NAME /bin/bash
# 创建一个新的容器并运行一个命令
docker run [OPTIONS] IMAGE [COMMAND] [ARG...]
OPTIONS说明:
- -a stdin: 指定标准输入输出内容类型,可选 STDIN/STDOUT/STDERR 三项;
- -d: 后台运行容器,并返回容器ID;
- -i: 以交互模式运行容器,通常与 -t 同时使用;
- -p: 端口映射,格式为:宿主端口:容器端口
- -v: 主机的目录映射到容器
- -t: 为容器重新分配一个伪输入终端,通常与 -i 同时使用;
- –name=“cname”: 为容器指定一个名称;
- –dns 8.8.8.8: 指定容器使用的DNS服务器,默认和宿主一致;
- –dns-search example.com: 指定容器DNS搜索域名,默认和宿主一致;
- -h “hostname”: 指定容器的hostname;
- -e property=value: 设置环境变量;
- –env-file=[]: 从指定文件读入环境变量;
- –cpuset=“0-2” or –cpuset=“0,1,2”: 绑定容器到指定CPU运行;
- **-m :**设置容器使用内存最大值;
- –net=“bridge”: 指定容器的网络连接类型,支持 bridge/host/none/container: 四种类型;
- –link=[]: 添加链接到另一个容器;
- –expose=[]: 开放一个端口或一组端口;
docker start # 启动一个或多少已经被停止的容器
docker stop # 停止一个运行中的容器
docker restart # 重启容器
docker pause # 暂停容器中所有的进程。
docker unpause # 恢复容器中所有的进程。
attach
# 确保CTRL-D或C TRL-C不会关闭容器
docker attach --sig-proxy=false
rm
OPTIONS说明:
- **-f :**通过SIGKILL信号强制删除一个运行中的容器
- **-l :**移除容器间的网络连接,而非容器本身
- -v :-v 删除与容器关联的卷
create
# 创建一个新的容器但不启动它
docker create [OPTIONS] IMAGE [COMMAND] [ARG...]
exec
# 在运行的容器中执行命令
docker exec [OPTIONS] CONTAINER COMMAND [ARG...]
# tty size
docker exec -it -e LINES=$(tput lines) -e COLUMNS=$(tput cols) <cid> bash
OPTIONS说明:
- **-d :**分离模式: 在后台运行
- **-i :**即使没有附加也保持STDIN 打开
- **-t :**分配一个伪终端
kill
# Kill one or more running containers
# <signal>
# KILL
docker kill -s <signal>
cp
docker cp [OPTIONS] CONTAINER:SRC_PATH DEST_PATH|-
docker cp [OPTIONS] SRC_PATH|- CONTAINER:DEST_PATH
3 - Docker Image
search
# --limit int Max number of search results (default 25)
# --no-trunc Don't truncate output
docker search <something>
pull
docker pull debian
# daemon mode
container_id=`docker run -itd debian /bin/bash `
docker exec -it $container_id /bin/bash
docker attach $container_id
push
docker commit <container_id> <image_name>
docker tag <image_name> <username>/<imagename>:<tagname>
docker login -u <username> -p <password>
docker push <username>/<imagename>:<tagname>
docker logout
tag
docker tag SOURCE_IMAGE[:TAG] TARGET_IMAGE[:TAG]
commit
# Create a new image from a container's changes
docker commit <container_id> <image_name>
# -a, --author string Author
# -m, --message string Commit message
cid=$(docker run -e FOO=BAR <image>)
docker commit $cid
images
# -a, --all Show all images (default hides intermediate images)
# --digests Show digests
# --no-trunc Don't truncate output
# -q, --quiet Only show numeric IDs
docker images
rmi
# -f, --force
docker rmi [OPTIONS] IMAGE [IMAGE...]
history
# Show the history of an image
# --no-trunc Don't truncate output
docker history [OPTIONS] IMAGE
save
# Save one or more images to a tar archive
docker save -o <tar_file_name> <image>
load
# Load an image from a tar archive or STDIN。
docker load -i <tar_file_name>
dockertags.sh
#!/bin/bash
if [ $# -lt 1 ]
then
cat << HELP
dockertags -- list all tags for a Docker image on a remote registry.
EXAMPLE:
- list all tags for ubuntu:
dockertags ubuntu
- list all php tags containing apache:
dockertags php apache
HELP
fi
image="$1"
tags=`wget -q https://registry.hub.docker.com/v1/repositories/${image}/tags -O - | sed -e 's/[][]//g' -e 's/"//g' -e 's/ //g' | tr '}' '\n' | awk -F: '{print $3}'`
if [ -n "$2" ]
then
tags=` echo "${tags}" | grep "$2" `
fi
echo "${tags}"
4 - Docker Install
docker
docker-ce
# https://docs.docker.com/engine/install/debian/
sudo apt-get install \
apt-transport-https \
ca-certificates \
curl \
gnupg \
lsb-release -y
curl -fsSL https://download.docker.com/linux/debian/gpg | sudo gpg --dearmor -o /usr/share/keyrings/docker-archive-keyring.gpg
echo \
"deb [arch=amd64 signed-by=/usr/share/keyrings/docker-archive-keyring.gpg] https://download.docker.com/linux/debian \
$(lsb_release -cs) stable" | sudo tee /etc/apt/sources.list.d/docker.list > /dev/null
sudo apt-get update
sudo apt-get install docker-ce docker-ce-cli containerd.io
sudo systemctl status docker
sudo usermod -aG docker $USER
debian/ubuntu
sudo apt-get install docker.io
# order to perform docker without sudo prefix
sudo usermod -aG docker $USER
sudo systemctl start docker
sudo docker run --rm hello-world
sudo apt-get autoremove --purge docker-io
rm -rf /var/lib/docker
centos/fedora
sudo dnf install docker
# 启动 Docker 服务
# sudo service docker start
sudo systemctl start docker
docker run --rm hello-world
docker version
docker info
# 为避免输入sudo,可以把用户加入 Docker 用户组
sudo groupadd docker
sudo usermod -aG docker $USER
5 - Docker Network
--link
# source container
docker run --name mysql -e MYSQL_ROOT_PASSWORD=server -d mysql
# received container
# 在nginx的容器中,使用db或者aliasmysql作为连接地址来连接MySQL服务
docker run --name nginx --link mysql:aliasmysql -d nginx
docker将source container中定义的环境变量全部导入到received container中,在received container中可以通过环境变量来获取连接信息
通过给/etc/hosts中加入名称和IP的解析关系来实现
network
docker容器的网络有五种模式:
1)bridge模式,–net=bridge(默认) 这是dokcer网络的默认设置,为容器创建独立的网络命名空间,容器具有独立的网卡等所有单独的网络栈,是最常用的使用方式。 在docker run启动容器的时候,如果不加–net参数,就默认采用这种网络模式。安装完docker,系统会自动添加一个供docker使用的网桥docker0,我们创建一个新的容器时, 容器通过DHCP获取一个与docker0同网段的IP地址,并默认连接到docker0网桥,以此实现容器与宿主机的网络互通。
2)host模式,–net=host 这个模式下创建出来的容器,直接使用容器宿主机的网络命名空间。 将不拥有自己独立的Network Namespace,即没有独立的网络环境。它使用宿主机的ip和端口。
3)none模式,–net=none 为容器创建独立网络命名空间,但不为它做任何网络配置,容器中只有lo,用户可以在此基础上,对容器网络做任意定制。 这个模式下,dokcer不为容器进行任何网络配置。需要我们自己为容器添加网卡,配置IP。 因此,若想使用pipework配置docker容器的ip地址,必须要在none模式下才可以。
4)container模式,–net=container:NAME_or_ID 与host模式类似,只是容器将与指定的容器共享网络命名空间。 这个模式就是指定一个已有的容器,共享该容器的IP和端口。除了网络方面两个容器共享,其他的如文件系统,进程等还是隔离开的。容器可以相以localhost访问,构成一个统一的整体。
5)用户自定义:docker 1.9版本以后新增的特性,允许容器使用第三方的网络实现或者创建单独的bridge网络,提供网络隔离能力
在用户定义网络模式下,开发者可以使用任何docker支持的第三方网络driver来定制容器的网络。并且,docker 1.9以上的版本默认自带了bridge和overlay两种类型的自定义网络driver。可以用于集成calico、weave、openvswitch等第三方厂商的网络实现。
除了docker自带的bridge driver,其他的几种driver都可以实现容器的跨主机通信。而基于bdrige driver的网络,docker会自动为其创建iptables规则,保证与其他网络之间、与docker0之间的网络隔离。
WARNING: IPv4 forwarding is disabled. Networking will not work.
echo "net.ipv4.ip_forward=1" >>/usr/lib/sysctl.d/00-system.conf
systemctl restart network && systemctl restart docker
volume
backup
docker volume create data
docker run -v data:/path/to/data --name data_container \
-d -it --rm \
busybox /bin/sh
docker run --rm --volumes-from data_container -v $(pwd):/backup busybox tar cvf /backup/data_backup.tar path/to/data
restore
docker run -v data:/path/to/data --name data_container2 \
-d -it --rm \
busybox /bin/bash
docker run --rm --volumes-from data_container2 \
-v $(pwd):/backup busybox \
bash -c "cd /path/to/data && tar xvf /backup/data_backup.tar --strip 1"
6 - Docker Ps
ps
docker ps -a
# Show the latest created container, Only display numeric IDs
docker ps -lq
docker ps --format 'table {{.Names}}\t{{.Image}}'
vim ~/.docker/config.json.
{
"psFormat": "table {{.Names}}\\t{{.Image}}\\t{{.RunningFor}} ago\\t{{.Status}}\\t{{.Command}}",
"imagesFormat": "table {{.Repository}}\\t{{.Tag}}\\t{{.ID}}\\t{{.Size}}"
}
OPTIONS说明:
- **-a :**显示所有的容器,包括未运行的。
- **-f :**根据条件过滤显示的内容。
- **–format :**指定返回值的模板文件。
- **-l :**显示最近创建的容器。
- **-n :**列出最近创建的n个容器。
- **–no-trunc :**不截断输出。
- **-q :**静默模式,只显示容器编号。
- **-s :**显示总的文件大小。
inspect
# 显示容器的第一个进程的PID
docker inspect -f {{.State.Pid}} <container_id>
docker inspect --format='{{.RootFS.Layers}}' <image_id>
docker inspect --format='{{.NetworkSettings.IPAddress }}' <container_id>
获取容器/镜像的元数据
OPTIONS说明:
- **-f :**指定返回值的模板文件。
- **-s :**显示总的文件大小。
- **–type :**为指定类型返回JSON。
diff
docker diff <container_id>
top
查看容器中运行的进程信息
docker top [OPTIONS] CONTAINER [ps OPTIONS]
# 查看所有运行容器的进程信息
for i in `docker ps |grep Up|awk '{print $1}'`;do echo \ &&docker top $i; done
logs
获取容器的日志
docker logs [OPTIONS] CONTAINER
tail -f /var/lib/docker/containers/<cid>/<cid>-json.log
# 用 fluentd 收集容器日志
docker run -d \
--log-driver=fluentd \
--log-opt fluentd-address=${fluentd_address} \
--log-opt tag="docker.{{.Name}}" \
nginx
OPTIONS说明:
- -f : 跟踪日志输出
- **–since :**显示某个开始时间的所有日志
- -t : 显示时间戳
- **–tail :**仅列出最新N条容器日志
Docker 引擎日志
Ubuntu(14.04) /var/log/upstart/docker.log Ubuntu(16.04) journalctl -u docker.service CentOS 7/RHEL 7/Fedora journalctl -u docker.service CoreOS journalctl -u docker.service OpenSuSE journalctl -u docker.service OSX ~/Library/Containers/com.docker.docker/Data/com.docker.driver.amd64-linux/log/docker.log Debian GNU/Linux 7 /var/log/daemon.log Debian GNU/Linux 8 journalctl -u docker.service Boot2Docker /var/log/docker.log
events
从服务器获取实时事件
docker events [OPTIONS]
OPTIONS说明:
- **-f :**根据条件过滤事件;
- **–since :**从指定的时间戳后显示所有事件; –since=“2016-07-01”
- **–until :**流水时间显示到指定的时间为止;
export
将文件系统作为一个tar归档文件导出到STDOUT。
docker export [OPTIONS] CONTAINER
OPTIONS说明:
- **-o :**将输入内容写到文件。
wait
阻塞运行直到容器停止,然后打印出它的退出代码。
docker wait CONTAINER [CONTAINER...]
port
列出指定的容器的端口映射,或者查找将PRIVATE_PORT NAT到面向公众的端口
docker port CONTAINER [PRIVATE_PORT[/PROTO]]
$
# Delete all containers
docker rm $(docker ps -a -q)
# Delete all images
docker rmi $(docker images -q)
/var/lib/docker
- /var/lib/docker/devicemapper/devicemapper/data #用来存储相关的存储池数据
- /var/lib/docker/devicemapper/devicemapper/metadata #用来存储相关的元数据。
- /var/lib/docker/devicemapper/metadata/ #用来存储 device_id. 大小. 以及传输_id. 初始化信息
- /var/lib/docker/devicemapper/mnt #用来存储挂载信息
- /var/lib/docker/container/ #用来存储容器信息
- /var/lib/docker/graph/ #用来存储镜像中间件及本身详细信息和大小 . 以及依赖信息
- /var/lib/docker/repositores-devicemapper #用来存储镜像基本信息
- /var/lib/docker/tmp #docker临时目录
- /var/lib/docker/trust #docker信任目录
- /var/lib/docker/volumes #docker卷目录
7 - Nsenter
nsenter
wget https://www.kernel.org/pub/linux/utils/util-linux/v2.32/util-linux-2.32.tar.gz
tar -zxf util-linux-2.32.tar.gz && cd util-linux-2.32
./configure
make
# make && make install,可能影响操作系统底层工具
cp nsenter /usr/local/bin/
docker-enter
#!/bin/sh
if [ -e $(dirname "$0")/nsenter ]; then
# with boot2docker, nsenter is not in the PATH but it is in the same folder
NSENTER=$(dirname "$0")/nsenter
else
NSENTER=nsenter
fi
if [ -z "$1" ]; then
echo "Usage: $(basename "$0") CONTAINER [COMMAND [ARG]...]"
echo ""
echo "Enters the Docker CONTAINER and executes the specified COMMAND."
echo "If COMMAND is not specified, runs an interactive shell in CONTAINER."
else
PID=$(docker inspect --format "{{.State.Pid}}" "$1")
if [ -z "$PID" ]; then
exit 1
fi
shift
OPTS="--target $PID --mount --uts --ipc --net --pid --"
if [ -z "$1" ]; then
# No command given.
# Use su to clear all host environment variables except for TERM,
# initialize the environment variables HOME, SHELL, USER, LOGNAME, PATH,
# and start a login shell.
"$NSENTER" $OPTS su - root
else
# Use env to clear all host environment variables.
"$NSENTER" $OPTS env --ignore-environment -- "$@"
fi
fi