2020-12-01 docker使用梳理

今天对docker做一个梳理。关于docker的安装和初步使用,上周已经实践过一次,今天就从安装完成后开始逐步梳理。包括使用前的一些准备工作和单步跟踪一个docker项目的全生命周期,从拉取镜像、运行容器、编辑容器到打包镜像和部署生产。
首先说一下wsl环境下ubuntu操作docker的问题,本来以为有了wsl就方便多了,但微软对wsl1的linxu子系统中做了很多折中,导致docker无法运行容器。查看了类似问题,按照说明将wsl升级到wsl2,但升级后出现子系统都无法启动的问题,可能是家庭版的原因,暂时只能先放一放,等以后有专业版windows再试就容易多了。既然wsl用不了docker,意义也不大了,还是换回虚拟机上的ubuntu。

1. 准备工作

相关指令

  • 将当前用户添加到docker用户组:sudo adduser $USER docker
  • 查看当前用户所属用户组:id $USER
  • 启动|关停|重启docker:sudo service docker start|stop|restart
  • 查看docker服务的状态:sudo service docker status
  • 查看docker状态:docker info

docker安装好后,运行docker需要使用sudo提升权限,如果想让当前用户直接就能使用docker,需要将当前用户添加到docker用户组。可以cat /etc/group | grep docker查看一下,返回docker:x:999:的用户组信息。其中第一个docker是组名,x是密码的掩码,999是这个组创建时给的编号,后面跟的是用户名,因为现在还没有为这个组添加任何用户,所以冒号后面是空的。输入groupmod三连击tab,可以输出系统里的所有组,查看一下当前用户所属的组有哪些,输入id $USER,($USER是环境变量,你可以echo $USER看一下,就是你登录的用户名,你也可以直接输入用户名取代这个环境变量)。id指令输出了所查询用户的所有组名,目前还没加入docker组。输入sudo adduser $USER docker,再用id指令查看一下,当前用户已经加入到docker组了。以后再运行docker指令就无需使用sudo提权。
在进行下一步之前别忘了修改docker的hub源为国内源,具体方法在上周的日志中已经介绍,也可点此处温故。修改源重启docker后,使用docker info查看一下docker当前的状态,最后一段Registry Mirrors中是否列出了刚才修改的hub源?如果这条指令报如下错误“Cannot connect to the Docker daemon at unix:///var/run/docker.sock. Is the docker daemon running?”,这说明docker没有启动,可以使用sudo service docker start试一下,再用sudo service docker status看一下是否启动成功。

2. 拉取镜像

相关指令

  • 查看本地镜像列表:docker image ls
  • 搜索docker hub上的镜像:docker search [--filter "xxx=xx"] XXX
  • 拉取镜像:docker image pull XXX:tag
  • 删除本地镜像:docker rmi XXX:tag|IMAGE_ID

万丈高楼平地起,首先要把地基选好,这个地基就是镜像。在准备工作中,我们已经切换了docker hub为国内源,这个源就是提供地基的镜像仓库,得益于docker社区的人丁兴旺,镜像仓库中已经储备了非常丰富的镜像,能几乎满足各行业的地基需求。我们只需在仓库中搜索自己需要的镜像,再以此为基础做进一步的修改和配置。为何不从头构建自己的镜像呢?原因有二,一是效率不多说,二是镜像仓库中提供的公共源是经过安全验证和精简化的,简而言之就是如果我们自己动手构建出相同目的的镜像,在体积和性能上往往都比不过镜像仓库中经过考验的公共镜像。
根据自己的需求,首先到docker hub上搜索需要的镜像,比如我们要搭建一个nginx反向代理服务,输入docker search nginx指令,搜索公共镜像库,得到一堆返回信息。如果想增加一些过滤信息,可以添加--filter参数,如--filter "is-official=true"则仅仅返回官方版,--filter "stars=500"则返回获星数大于500的镜像。有人要问,如果这个镜像不错,我是不是也可以去点个星?当然可以了,移步docker hub官网,如果要点星,首先得注册一个帐号,然后再在左上角的搜索框中搜索想要的镜像,这个是可视化的搜索方式,可以查看镜像的说明、查看镜像各版本的tag号,可以给心怡的镜像点★。如果仅仅是查看版本和tag,不注册帐号也是可以的。
这里提到了tag,tag是镜像的版本标签,同一个镜像会不停迭代版本,通过tag来标记版本,如果在拉取镜像时不指定tag,则默认拉取tag为latest的版本,通过刚才的官网查询,你也可以选择自己需要的版本,比如stable也是不错的选择。拉取镜像的指令是docker image pull nginx:stable,国内镜像速度还是可以的,很快就拉取完毕,通过docker image ls再查看一下,本地的镜像仓库已经增加了一条nginx镜像。
如果想删除本地的镜像,可以通过docker rmi IMAGE_ID|REPOSITORY:TAG指令。rmi是移除镜像的意思,后面跟的参数可以是镜像的ID号,也可以是镜像的名称:tag,但移除镜像前先要确保基于该镜像的容器已经全部关闭,否则会报错。这里推荐通过镜像名:tag的组合参数方式来移除镜像,一是便于人类操作,二是存在两个镜像ID号重复的情况,比如有两个nginx镜像,一个tag为stable,一个tag为1.19,这两个镜像其实是相同的,具有相同的IMAGE_ID,此时如果通过IMAGE_ID来删除,则会报错。

3. 运行容器

利用本地镜像库中的镜像启动一个容器,docker run --name mynginx -d -p 81:80 nginx:stable,启动成功后会返回一串ID号,这串号码的前12位就是这个容器的ID号。这段命令中,通过--name指定了容器别名,通过-d指明属于后台进程,不会随终端关闭而关闭,-p 81:80指定了将本地81端口映射给容器的80端口,最后指明镜像的名字和tag。可以通过docker ps查看活动的容器,也可以再打开一个终端,输入docker stats,结果将以列表形式不断刷新当前所有活动容器的状态,类似于打开了一个实时监控窗口。
通过docker stop mynginx可以关闭这个容器。通过docker rm mynginx可以删除这个容器,删除之前先要保证容器处于关闭状态。只有与镜像关联的所有容器都被删除后,镜像才能被删除。

4. 编辑容器

获取容器内系统的bash,可通过docker exec -it mynginx bash指令切换为容器内系统的bash。
在宿主机上通过docker cp指令,可以实现宿主机与docker容器的文件互传,在宿主机桌面上打开终端,输入docker cp default.conf mynginx:/etc/nginx/conf.d/default.conf,则实现了用宿主机桌面上的default.conf配置文件覆盖容器中nginx配置文件的目的。当然这个桌面上的配置文件是提前准备好的,比如为了实现浏览器地址栏URL不改变的隐式跳转,可以这样配置nginx:

server{
    listen      80;
    server_name 192.168.31.111;
    location / {
        proxy_pass https://www.baidu.com;
    }
}

其中那串IP地址是我虚拟机上ubuntu的局域网地址,配置文件覆盖后,通过前文介绍的获取容器bash的方法进入容器,执行nginx -s reload重启nginx,到ubuntu或者windows上用浏览器访问192.168.31.111:81,可以看到打开的内容是百度的首页,这就实现了nginx的反向代理服务。为什么这里是81端口?还记得前面run这个容器时所做的端口映射吗。

5. 打包容器

相关指令

  • 导出容器:docker export 容器名 > 本地路径/xxx.tar
  • 对应的导入镜像: docker import 本地路径/xxx.tar 镜像名:tag
  • 将容器保存到镜像库:docker commit -a 作者 -m 描述 镜像名:tag
  • 将镜像保存到本地:docker save 镜像名:tag > 本地路径/xxx.tar
  • 对应的导入镜像:docker load < 本地路径/xxx.tar
  • 查看镜像历史信息:docker history 镜像名:tag
  • 查看镜像层文件:docker inspect 镜像名:tag

打包容器有两种方法,一种是直接直接将容器导出到本地磁盘,一种是将容器提交到本地镜像库,然后再从镜像库中导出镜像到本地磁盘。这两者初看似乎结果一样,都是实现了容器的本地持久化保存,实际还是有区别的。先来练手实践,后面再来分析它们的区别。
先是第一种,直接将容器导出到本地磁盘,docker export 容器名 > /home/xxx.tar,这里就将指定容器的快照持久化保存到本地/home/xxx1.tar文件中。从该文件还原镜像的指令是docker import /home/xxx1.tar 镜像名:tag
第二种将容器持久化到本地镜像库,docker commit -a 作者 -m 描述 镜像名:tag,再将镜像库中的这个镜像导出到本地磁盘,docker save 镜像名:tag > /home/xxx.tar,这样也同样实现了容器转镜像再保存到本地的目的。从该文件还原镜像就不能用import了,import是与export对应的,与save对应的还原镜像指令是docker load < /home/xxx2.tar,load时不用指定镜像名和tag了,应为save保存时已经将原镜像的相关信息保存到xxx2.tar中了。
在导入镜像时可能会碰到错误,请查看一下是不是import和load用错了,不同的导出指令对应不同的导入指令。
这里再来细究一下两种打包容器的方法的区别。首先可以去看看刚才导出的两个压缩文件xxx1.tar和xxx2.tar,它们的文件大小是不一样的,export方式的xxx1.tar体积小于save方式的xxx2.tar,原因是export将当前容器的快照作为一层保存,而通过commit再save的方式保存了镜像的历史层信息。你可以试着将xxx1.tar和xxx2.tar再导入到镜像库,用指令docker history 镜像名:tar来查看下它们各自的历史信息,前者只有一条历史信息,后者保存有从基础镜像逐步构建的历史信息。查看镜像层信息的指令是docker inspect 镜像名:tag,从输出信息中RootFS:Layers属性中可以看到。镜像分层相当于镜像的开发里程碑,当从镜像生成容器后,会增加一层容器层,容器的所有操作都限制在这一层,下面各历史镜像层是不会被改动的,即使删除下层的文件,也只是在容器层增加了一个删除标记,所以越层删除反而会增加镜像的体积,而不会缩小体积。
理解了这两种打包方式的原理,就要审时度势的使用。如果确认当前容器已经最优,用于发布,则可以用export打包,所有层都将压缩到一起,丢失分层信息。如果使用敏捷开发和迭代部署,保留镜像分层信息可用于回滚。
导出、导入也已经实现了,docker的基本使用和部署也就掌握了。

6. 部署生产

docker非常适合于分布式快速部署,与之配合的有Swarm,docker集群管理平台。过去搭建大规模分布式系统,需要考虑很多细节问题,部署复杂,对运维的要求也很高。现在有了docker技术,配合Swarm,可以屏蔽很多分布式系统的底层细节问题,将重点集中到业务逻辑的拆分上,大大降低了运维的难度。这里有一篇文章,并发分布式架构演进之路,是淘宝从小规模发展到如今这样规模的架构演进过程,写得挺好,收藏于此。此生可能无缘部署如此规模的架构了,但其演进路上的某些里程碑是可以借鉴的,且如今有了docker这类容器化技术,比前人们的起点更高了。如何部署,需要的只是想象力和现实的业务需求量。当一切技术问题都不再是问题时,一张纸一支笔就能在架构设计的战场上运筹帷幄。

7. 2021.1.6补充:docker容器开机自启动

在使用docker run从镜像启动容器时,使用--restart参数来设置,--restart具体参数值详细信息:

  • no:
    容器退出时,不重启容器。
  • on-failure:
    只有在非0状态退出时才从新启动容器;在使用on - failure策略时,指定Docker将尝试重新启动容器的最大次数sudo docker run --restart=on-failure:10。默认情况下,Docker将尝试永远重新启动容器。
  • always:
    无论退出状态是如何,都重启容器。

如果创建容器时未指定 --restart=always ,可通过update命令更新容器:
docker update --restart=always 容器名

最后编辑于
©著作权归作者所有,转载或内容合作请联系作者
  • 序言:七十年代末,一起剥皮案震惊了整个滨河市,随后出现的几起案子,更是在滨河造成了极大的恐慌,老刑警刘岩,带你破解...
    沈念sama阅读 203,179评论 5 476
  • 序言:滨河连续发生了三起死亡事件,死亡现场离奇诡异,居然都是意外死亡,警方通过查阅死者的电脑和手机,发现死者居然都...
    沈念sama阅读 85,229评论 2 380
  • 文/潘晓璐 我一进店门,熙熙楼的掌柜王于贵愁眉苦脸地迎上来,“玉大人,你说我怎么就摊上这事。” “怎么了?”我有些...
    开封第一讲书人阅读 150,032评论 0 336
  • 文/不坏的土叔 我叫张陵,是天一观的道长。 经常有香客问我,道长,这世上最难降的妖魔是什么? 我笑而不...
    开封第一讲书人阅读 54,533评论 1 273
  • 正文 为了忘掉前任,我火速办了婚礼,结果婚礼上,老公的妹妹穿的比我还像新娘。我一直安慰自己,他们只是感情好,可当我...
    茶点故事阅读 63,531评论 5 365
  • 文/花漫 我一把揭开白布。 她就那样静静地躺着,像睡着了一般。 火红的嫁衣衬着肌肤如雪。 梳的纹丝不乱的头发上,一...
    开封第一讲书人阅读 48,539评论 1 281
  • 那天,我揣着相机与录音,去河边找鬼。 笑死,一个胖子当着我的面吹牛,可吹牛的内容都是我干的。 我是一名探鬼主播,决...
    沈念sama阅读 37,916评论 3 395
  • 文/苍兰香墨 我猛地睁开眼,长吁一口气:“原来是场噩梦啊……” “哼!你这毒妇竟也来了?” 一声冷哼从身侧响起,我...
    开封第一讲书人阅读 36,574评论 0 256
  • 序言:老挝万荣一对情侣失踪,失踪者是张志新(化名)和其女友刘颖,没想到半个月后,有当地人在树林里发现了一具尸体,经...
    沈念sama阅读 40,813评论 1 296
  • 正文 独居荒郊野岭守林人离奇死亡,尸身上长有42处带血的脓包…… 初始之章·张勋 以下内容为张勋视角 年9月15日...
    茶点故事阅读 35,568评论 2 320
  • 正文 我和宋清朗相恋三年,在试婚纱的时候发现自己被绿了。 大学时的朋友给我发了我未婚夫和他白月光在一起吃饭的照片。...
    茶点故事阅读 37,654评论 1 329
  • 序言:一个原本活蹦乱跳的男人离奇死亡,死状恐怖,灵堂内的尸体忽然破棺而出,到底是诈尸还是另有隐情,我是刑警宁泽,带...
    沈念sama阅读 33,354评论 4 318
  • 正文 年R本政府宣布,位于F岛的核电站,受9级特大地震影响,放射性物质发生泄漏。R本人自食恶果不足惜,却给世界环境...
    茶点故事阅读 38,937评论 3 307
  • 文/蒙蒙 一、第九天 我趴在偏房一处隐蔽的房顶上张望。 院中可真热闹,春花似锦、人声如沸。这庄子的主人今日做“春日...
    开封第一讲书人阅读 29,918评论 0 19
  • 文/苍兰香墨 我抬头看了看天上的太阳。三九已至,却和暖如春,着一层夹袄步出监牢的瞬间,已是汗流浃背。 一阵脚步声响...
    开封第一讲书人阅读 31,152评论 1 259
  • 我被黑心中介骗来泰国打工, 没想到刚下飞机就差点儿被人妖公主榨干…… 1. 我叫王不留,地道东北人。 一个月前我还...
    沈念sama阅读 42,852评论 2 349
  • 正文 我出身青楼,却偏偏与公主长得像,于是被迫代替她去往敌国和亲。 传闻我的和亲对象是个残疾皇子,可洞房花烛夜当晚...
    茶点故事阅读 42,378评论 2 342

推荐阅读更多精彩内容