1.1 什么是 Linux 容器
Linux容器是与系统其他部分隔离开的一系列进程,从另一个镜像运行,并由该镜像提供支持进程所需的全部文件。
与此同时,您的企业还拥有标准化的测试和生产环境,且具有自身的配置和一系列支持文件。
您希望尽可能多在本地模拟这些环境,而不产生重新创建服务器环境的开销。
因此,您要如何确保应用能够在这些环境中运行和通过质量检测,并且在部署过程中不出现令人头疼的问题,也无需重新编写代码和进行故障修复?答案就是使用容器。
容器可以确保您的应用拥有必需的配置和文件,使得这些应用能够在从开发到测试、再到生产的整个流程中顺利运行,而不出现任何不良问题。这样可以避免危机,做到皆大欢喜。
虽然这只是简化的示例,但在需要很高的可移植性、可配置性和隔离的情况下,我们可以利用 Linux 容器通过很多方式解决难题。
无论基础架构是在企业内部还是在云端,或者混合使用两者,容器都能满足您的需求。
1.2 容器不就是虚拟化吗
是,但也不竟然。我们用一种简单方式来思考一下:
虚拟化使得许多操作系统可同时在单个系统上运行。
容器则可共享同一个操作系统内核,将应用进程与系统其他部分隔离开。
这意味着什么?首先,让多个操作系统在单个虚拟机监控程序上运行以实现虚拟化,并不能达成和使用容器同等的轻量级效果。
事实上,在仅拥有容量有限的有限资源时,您需要能够可以进行密集部署的轻量级应用。
Linux 容器可从单个操作系统运行,在所有容器中共享该操作系统,因此应用和服务能够保持轻量级,并行快速运行。
我们现在称为容器技术的概念最初出现在 2000 年,当时称为 FreeBSD jail,这种技术可将 FreeBSD 系统分区为多个子系统(也称为 Jail)。
Jail 是作为安全环境而开发的,系统管理员可与企业内部或外部的多个用户共享这些 Jail。
Jail 的目的是让进程在经过修改的 chroot 环境中创建,而不会脱离和影响整个系统 — 在 chroot 环境中,对文件系统、网络和用户的访问都实现了虚拟化。
尽管 Jail 在实施方面存在局限性,但最终人们找到了脱离这种隔离环境的方法。
但这个概念非常有吸引力。
2001 年,通过 Jacques Gélinas 的 VServer 项目,隔离环境的实施进入了 Linux 领域。
正如 Gélinas 所说,这项工作的目的是“在高度独立且安全的单一环境中运行多个通用 Linux 服务器 [sic]。”
在完成了这项针对 Linux 中多个受控制用户空间的基础性工作后,Linux 容器开始逐渐成形并最终发展成了现在的模样。
“Docker” 一词指代多种事物,包括开源社区项目、开源项目使用的工具、主导支持此类项目的公司 Docker Inc. 以及该公司官方支持的工具。技术产品和公司使用同一名称,的确让人有点困惑。
我们来简单说明一下:
1、 IT 软件中所说的 “Docker” ,是指容器化技术,用于支持创建和使用 Linux 容器。
2、 开源 Docker 社区致力于改进这类技术,并免费提供给所有用户,使之获益。
3、Docker Inc. 公司凭借 Docker 社区产品起家,它主要负责提升社区版本的安全性,并将改进后的版本与更广泛的技术社区分享。此外,它还专门对这些技术产品进行完善和安全固化,以服务于企业客户。
借助 Docker ,您可将容器当做重量轻、模块化的虚拟机使用。同时,您还将获得高度的灵活性,从而实现对容器的高效创建、部署及复制,并能将其从一个环境顺利迁移至另一个环境。
2.1 Docker 如何工作?
Docker 技术使用 Linux 内核和内核功能(例如 Cgroups 和 namespaces)来分隔进程,以便各进程相互独立运行。
这种独立性正是采用容器的目的所在;它可以独立运行多种进程、多个应用程序,更加充分地发挥基础设施的作用,同时保持各个独立系统的安全性。
容器工具(包括 Docker)可提供基于镜像的部署模式。这使得它能够轻松跨多种环境,与其依赖程序共享应用或服务组。Docker 还可在这一容器环境中自动部署应用程序(或者合并多种流程,以构建单个应用程序)。
此外,由于这些工具基于 Linux 容器构建,使得 Docker 既易于使用,又别具一格 —— 它可为用户提供前所未有的高度应用程访问权限、快速部署以及版本控制和分发能力
2.2 Docker 技术是否与传统的 Linux 容器相同?
否。Docker 技术最初是基于 LXC 技术构建(大多数人都会将这一技术与“传统的” Linux 容器联系在一起),但后来它逐渐摆脱了对这种技术的依赖。
就轻量级 虚拟化 这一功能来看,LXC 非常有用,但它无法提供出色的开发人员或用户体验。除了运行容器之外,Docker 技术还具备其他多项功能,包括简化用于构建容器、传输镜像以及控制镜像版本的流程。
2.3 docker的目标
docker的主要目标是"Build,Ship and Run any App,Angwhere",构建,运输,处处运行
构建:做一个docker镜像
运输:docker pull
运行:启动一个容器
每一个容器,他都有自己的文件系统rootfs.
环境说明
在两个节点上都进行操作
修改在docker01配置:
在docker02测试
3.1 Docker基础命令操作
查看docker相关信息
配置docker镜像加速
3.2 启动第一个容器
参数说明
4.1 搜索官方仓库镜像
列表说明
4.2 获取镜像
根据镜像名称拉取镜像
查看当前主机镜像列表
拉第三方镜像方法
4.3 导出镜像
4.4 删除镜像
4.5 导入镜像
4.6 查看镜像的详细信息
5.1 容器的起/停
最简单的运行一个容器
创建容器,两步走(不常用)
快速启动容器方法
容器内的第一个进程必须一直处于运行的状态,否则这个容器,就会处于退出状态!
查看正在运行的容器
查看你容器详细信息/ip
查看你所有容器(包括未运行的)
停止容器
5.2 进入容器方法
启动时进去方法
退出/离开容器
启动后进入容器的方法
启动一个docker
attach进入容器,使用pts/0 ,会让所用通过此方法进入用户看到同样的操作。
自命名启动一个容器 --name
exec 进入容器方法(推荐使用)
5.3 删除所有容器
5.4 启动时进行端口映射
-p参数端口映射
6.1 挂载时创建卷
挂载卷
容器内站点目录: /usr/share/nginx/html
在宿主机写入数据,查看
设置共享卷,使用同一个卷启动一个新的容器
查看卷列表
6.2 创建卷后挂载
创建一个卷
指定卷名
查看卷路径
使用卷创建
设置卷
查看使用的端口
6.3 手动将容器保存为镜像
本次是基于docker官方centos 6.8 镜像创建
官方镜像列表:
https://hub.docker.com/explore/
启动一个centos6.8的镜像
启动完成后镜像ssh连接测试
将容器提交为镜像
使用新的镜像启动容器
在容器安装httpd服务
编写启动脚本脚本
再次提交为新的镜像
启动镜像,做好端口映射。并在浏览器中测试访问
官方构建dockerffile文件参考
https://github.com/CentOS/CentOS-Dockerfiles
7.1 Dockerfile指令集
dockerfile主要组成部分:
1、基础镜像信息 FROM centos:6.8;
2、制作镜像操作指令RUN yum insatll openssh-server -y;
3、容器启动时执行指令 CMD ["/bin/bash"];
dockerfile常用指令:
1、FROM 这个镜像的妈妈是谁?(指定基础镜像)
2、MAINTAINER 告诉别人,谁负责养它?(指定维护者信息,可以没有)
3、RUN 你想让它干啥(在命令前面加上RUN即可)
4、ADD 给它点创业资金(COPY文件,会自动解压)
5、WORKDIR 我是cd,今天刚化了妆(设置当前工作目录)
6、VOLUME 给它一个存放行李的地方(设置卷,挂载主机目录)
7、EXPOSE 它要打开的门是啥(指定对外的端口)
8、CMD 奔跑吧,兄弟!(指定容器启动后的要干的事情)
dockerfile其他指令:
COPY 复制文件
ENV 环境变量
ENTRYPOINT 容器启动后执行的命令
7.2 创建一个Dockerfile
创建第一个Dockerfile文件
构建docker镜像
使用自构建的镜像启动
7.3 使用Dcokerfile安装kodexplorer
Dockerfile文件内容
更多的Dockerfile可以参考官方方法。
Docker 支持通过扩展现有镜像,创建新的镜像。实际上,Docker Hub 中 99% 的镜像都是通过在 base 镜像中安装和配置需要的软件构建出来的。
8.1 Docker 镜像为什么分层
镜像分层最大的一个好处就是共享资源。
比如说有多个镜像都从相同的 base 镜像构建而来,那么 Docker Host 只需在磁盘上保存一份 base 镜像;同时内存中也只需加载一份 base 镜像,就可以为所有容器服务了。而且镜像的每一层都可以被共享。
如果多个容器共享一份基础镜像,当某个容器修改了基础镜像的内容,比如 /etc 下的文件,这时其他容器的 /etc 是不会被修改的,修改只会被限制在单个容器内。这就是容器 Copy-on-Write 特性。
8.2 可写的容器层
当容器启动时,一个新的可写层被加载到镜像的顶部。这一层通常被称作“容器层”,“容器层”之下的都叫“镜像层”。
8.3 容器层的细节说明
镜像层数量可能会很多,所有镜像层会联合在一起组成一个统一的文件系统。如果不同层中有一个相同路径的文件,比如 /a,上层的 /a 会覆盖下层的 /a,也就是说用户只能访问到上层中的文件 /a。在容器层中,用户看到的是一个叠加之后的文件系统。
这样就解释了我们前面提出的问题:容器层记录对镜像的修改,所有镜像层都是只读的,不会被容器修改,所以镜像可以被多个容器共享。
9.1 容器间的互联
在运行zabbix之前务必要了解容器间互联的方法
命令执行过程
9.2 启动zabbix容器
1、启动一个mysql的容器
2、启动java-gateway容器监控java服务
3、启动zabbix-mysql容器使用link连接mysql与java-gateway。
4、启动zabbix web显示,使用link连接zabbix-mysql与mysql。
9.3 关于zabbix API
1、获取token方法
10.1 创建一个普通仓库
1、创建仓库
2、修改配置文件,使之支持http
重启docker让修改生效
3、修改镜像标签
4、将新打标签的镜像上传镜像到仓库
10.2 带basic认证的仓库
1、安装加密工具
2、设置认证密码
3、启动容器,在启动时传入认证参数
4、使用验证用户测试
至此,一个简单的docker镜像仓库搭建完成。
11.1 安装docker-compose
安装docker-compose
国内开启pip 下载加速:
11.2 编排启动镜像
1、创建文件目录
2、编写编排文件
3、启动
4、浏览器上访问http://10.0.0.100:8000
进行wordpress的安装即可
11.3 haproxy代理后端docker容器
1、修改编排脚本
2、同时启动两台wordpress
3、安装haproxy
4、修改haproxy配置文件
5、启动haproxy
2、查看帮助
3、下线后端节点
4、上线后端节点
5、编写php测试页,放到/data/web_data下,在浏览器中访问可以查看当前的节点
12.1 在启动是指定自动重启
12.2 修改docker默认配置文件
docker server配置文件 /etc/docker/daemon.json 参考
重启生效,只对在此之后启动的容器生效
13.2 不为容器配置网络功能
此模式下创建容器是不会为容器配置任何网络参数的,如:容器网卡、IP、通信路由等,全部需要自己去配置。
13.3 与其他容器共享网络配置(Container)
此模式和host模式很类似,只是此模式创建容器共享的是其他容器的IP和端口而不是物理机,此模式容器自身是不会配置网络和端口,创建此模式容器进去后,你会发现里边的IP是你所指定的那个容器IP并且端口也是共享的,而且其它还是互相隔离的,如进程等。
13.4 使用宿主机网络
此模式创建的容器没有自己独立的网络命名空间,是和物理机共享一个Network Namespace,并且共享物理机的所有端口与IP,并且这个模式认为是不安全的。
13.5 查看网络列表
13.6 用PIPEWORK为docker容器配置独立IP
宿主环境:centos7.2
1、安装pipework
2、配置桥接网卡
安装桥接工具
修改网卡配置,实现桥接
3、运行一个容器镜像测试:
在其他主机上测试端口及连通性
4、再运行一个容器,设置网路类型为none:
进行访问测试
5、重启容器后需要再次指定:
Dcoker跨主机通信之overlay可以参考:
cnblogs.com/CloudMan6/p/7270551.html
13.7 Docker跨主机通信之macvlan
创建网络
设置网卡为混杂模式
创建使用macvlan网络容器
容器管理
1、安装docker、docker-compose
下载 harbor
2、修改主机及web界面密码
3、执行安装脚本
5、推送镜像
- 不要以拆分方式进行应用程序发布
- 不要创建大型镜像
- 不要在单个容器中运行多个进程
- 不要再镜像内保存凭证,不要依赖IP地址
- 以非root用户运行进程
- 不要使用“最新”标签
- 不要利用运行中的容器创建镜像
- 不要使用单层镜像
- 不要将数据存放在容器内
14.2 关于Docker容器的监控
容器的基本信息:
包括容器的数量、ID、名称、镜像、启动命令、端口等信息;
容器的运行状态:
统计各状态的容器的数量,包括运行中、暂停、停止及异常退出;