Docker 是什么，能做什么？

• Docker 有点像传统的虚拟机，最大的区别是不需要虚拟出一个内核，直接基于宿主内核。

• 使用 Docker 的目的是让程序有一个一致的运行环境，方便迁移、部署。官网表示解决的最大痛点是「这段代码在我机器上没问题啊」这个问题。

三个基本概念，镜像、容器与仓库是什么？

• 镜像：Image，就是很多层==只读==的 layers，后面会写到 Dockerfile，Dockerfile 的一个命令就是一层，所有这些层合起来编程一个 unioned file system。当然，镜像作为这些只读的 layers 合成的文件系统也是只读的。
• 容器：Container，容器和镜像的区别就是在镜像的外面多了一层可读写的 layer。但容器未必是要在运行状态的。

基本命令有哪些？

• create、start、stop 和 run：

  • docker run 其实等于 docker create + docker start。

  • docker create 是在 image 上加一层可读写的 layer，变成一个 container。

  • docker start 则是把这个 container 变成 running container。

  • docker stop 把 running container 停下来变成 container。

  • 常见用法：开一个交互窗口：

    docker run --rm -it -p 5000:80 -v /host:/local #image_id /bin/bash

    • --rm ：退出之后自动删除这个 container。
    • -it ：把 container 连接到 terminal。
    • -p 5000:80：把 container 的 80 端口 map 到 host 的 5000 端口。
    • -v /host:/local：把 host 的路径/host map 到 container 的 /local。
    • /bin/bash ：开启 container 之后运行这个命令。

• exec：

  • 和 run 有点像，但 exec 是针对 running container 的，是在 running container里再跑一个进程。

  • 常见用法：再开一个交互窗口：

    docker exec -it #container_id /bin/bash

• ps 和 images：

  • ps 列出所有 running containers，加上参数 -a，能列出所有 containers.
  • images 列出所有 images，加上参数 -a，列出所有可读层。

• stop 和 kill：

  • 区别在于对进程是发出了 SIGTERM 还是 SIGKILL。前者可以被 block，后者强制。

• rm 和 rmi：

  • 前者移除容器的可读写层，只能针对非运行状态的容器。
  • 后者可以移除镜像的只读层，但只能移除最顶层镜像，用 -f 可以移除中间层。

• commit：

  • 把一个可读写层变成一个只读层，也就是把一个 container 变成 image。

• build：

  • 输入一个镜像和 dockerfile，输出一个镜像
  • build 的本质其实是 FORM image -> docker run -> RUN command-> docker commit.

• inspect：

  • 查看一个镜像或容器的元数据。

• save 和 export：

  • save 只对镜像有效，生成的 tar 文件有所有镜像的层。
  • export 则会生成合并完后的一层镜像，会移除元数据和不必要的层。

• history：

  • 显示一个镜像的 build 历史。

• tag：

  • 给一个 image 打上 tag：docker tag ba90d13a384b updated_ubuntu:20170803

Dockerfile 的一些知识

• FORM：

  • 指定基础镜像，FORM 必须是 Dockerfile 的第一行。有个特殊的空白 FORM 叫 scratch，这个 form 是空白的，也就是不以任何系统为基础，直接将可执行文件复制进镜像。

• RUN，CMD，ENTRYPOINT：

  • RUN <命令>：<命令>有两种格式，一种是直接写 shell 命令CMD echo $HOME，另一种是 exec 格式RUN ["sh", "-c", "echo $HOME"]。每一个 RUN 行为都会 commit，也就是创建一层新的镜像。但是 Union FS 是有最大层数限制的，目前是不超过 127 层，因此，尽量把所有的 RUN 放到一条命令里面，用 && 把命令串起来。记得每次 RUN 最后要加 apt-get purge -y --auto-remove 清除不必要的中间文件。
  • CMD <命令>：跟 RUN 一样，有两种格式，都是跑一个命令，区别是 RUN 之后的结果是镜像，CMD 是开启容器之后的启动命令，也就是 CMD 执行完之后并不会做 commit。CMD 就一条，就算写了多条，前面的 CMD 都会被忽略，而且在 docker run 的启动命令后加上命令，Dockerfile 里的这一句会被忽略。
  • ENTRYPOINT<命令>：跟 CMD 一样，也是开启容器之后的启动命令，区别是 ENTRYPOINT 的命令可以在启动 docker 的时候补加命令行参数，相当于把整个镜像当做一个命令行工具来使用。

• COPY，ADD：

  • COPY ./source /target：source 要相对路径，并且必须是./ 而不能是../ 或绝对路径/，COPY 不是真的 copy 文件，而是相当于把这个文件挂载到 docker 里，让 docker 能读取这些文件。ADD 除了 COPY 本身的命令之外，还有解压缩和下载 URL 调整权限的功能，功能比较复杂，但 Docker 官方的最佳实践提示:用 COPY 尽量不用 ADD.

• ENV，ARG：

  • ENV <key> = <val>：设置环境变量，在其他命令当中可以使用。
  • ARG<key>[=<deafult val>]：设置环境变量名，可以在 docker run 命令中通过 --build-arg 来传进去。

• EXPOSE：

  • 运行容器时，暴露出来的端口，但其实 EXPOSE 只是一个容器端口的声明，真正映射出去的，是在运行 docker 的时候 -p <宿主端口>:<容器端口> 开的。

• WORKDIR：

  • 改变工作目录，因为在 Dockerfile 里面写下面这样的命令是没法在/app 下面找到 world.txt 的。

    RUN cd /app
    RUN echo "hello" > world.txt
    

  • 因为每个 RUN 都会构造一层镜像，第一个 RUN 只发生在内存中，对文件系统不做任何修改，第二个 RUN 也就跟第一个 RUN 没有关系了。所以要用WORKDIR 才能真的切换路径。

• VOLUME：

  • volume 可以将容器以及容器产生的数据分离开来，即使当 rm 了 container 之后，volume 也会保留下来。
  • volume 定义的路径是在 docker container 里的路径，而不是 host 宿主的路径，如果要指定 map 到宿主路径，需要在docker run 的时候用-v /host:/local 来指定。不然 volume 定义的路径会生成一个随机的 host 宿主地址去存储。实际 mount 的地址可以通过docker container inspect --format {{.Mounts}} 07c3fe7802df 命令来获得。修改对应 mount 在 host 地址内的文件夹，能直接影响 container 里面访问的文件夹内容。
  • 但在 mac 里，因为 docker 本身就是放在 VM 里面的，因此，这个路径是 docker 本身 VM 内的地址。可以先开一个 screen：screen ~/Library/Containers/com.docker.docker/Data/com.docker.driver.amd64-linux/tty 在里面可以访问 inspect 到的地址。​

从 Docker 内连接 Host 网络

• 这部分的需求在于，比如我在 Docker 外起了一个服务，我需要从一个 app 的 Docker 内部去访问这个服务 。而因为 Docker 内部是一个虚拟环境，直接访问 localhost 肯定是没法转到宿主的，所以一个方法是知道宿主的 IP，然后通过 IP 去访问。

• 为了最简化，直接在 Host 用 python 起一个最简单的 server.

  >$python -m SimpleHTTPServer 8000

• 先试试本地能不能访问，确保 Host 可以访问：

  >$curl 127.0.0.1:8000
  <!DOCTYPE html PUBLIC "-//W3C//DTD HTML 3.2 Final//EN"><html>
  <title>Directory listing for /</title>
  <body>
  <h2>Directory listing for /</h2>
  <hr>
  ...
  

• 然后打开一个 docker：

  >$docker run --rm -it --net=host ubuntu:latest /bin/bash
  

• 理论上用了--net=host 之后就可以用 localhost 访问 Host 主机了，然而：

  >$curl 127.0.0.1:8000
  curl: (7) Failed to connect to 127.0.0.1 port 8000: Connection refused
  

• 查了半天，终于发现问题原因是，我的操作系统是 OSX，docker 本身就在沙盒里。所以要用迂回的方法再获得 host ip.

• 获得 host ip：

  >$ip route|awk '/default/ {print $3}'
  192.168.65.1
  

• 访问 host 服务：

  >$curl 192.168.65.1:8000
  <!DOCTYPE html PUBLIC "-//W3C//DTD HTML 3.2 Final//EN"><html>
  <title>Directory listing for /</title>
  <body>
  <h2>Directory listing for /</h2>
  <hr>
  ...
  

• 事实上，这个时候就算不用--net=host 一样可以通过 192.168.65.1:8000 访问到host 主机了。不过用ip route|awk '/default/ {print $3}' 这个命令获得不到这个 IP。

• 使用--net=host 会导致 port mapping 失效，因此如果需要从 host 用 localhost 访问 docker 内部暴露的端口，一方面要在 Dockerfile 里加入 Expose，另一方面不能使用--net=host，所以在需要 container 和 host 双向沟通的地方，还是使用局域网 ip 吧。

参考

1. Docker Docs
2. Docker Cheat Sheet
3. 10张图带你深入理解Docker容器和镜像
4. 探索本地Docker桥接网络
5. Should docker run –net=host work
6. Docker for mac document