docker經常使用命令詳解

 docker logs   -t --since="2018-12-26 06:39:22" --until "2018-12-26 06:39:55" c-front

 

本文只記錄docker命令在大部分情境下的使用，若是想了解每個選項的細節，請參考官方文檔，這裏只做爲本身之後的備忘記錄下來。

根據本身的理解，總的來講分爲如下幾種：

• Docker環境信息 — docker [info|version]
• 容器生命週期管理 — docker [create|exec|run|start|stop|restart|kill|rm|pause|unpause]
• 容器操做運維 — docker [ps|inspect|top|attach|wait|export|port|rename|stat]
• 容器rootfs命令 — docker [commit|cp|diff]
• 鏡像倉庫 — docker [login|pull|push|search]
• 本地鏡像管理 — docker [build|images|rmi|tag|save|import|load]
• 容器資源管理 — docker [volume|network]
• 系統日誌信息 — docker [events|history|logs]

從docker命令使用出發，梳理出以下命令結構圖：

-Docker環境信息

--info命令

用於檢測Docker是否正確安裝，通常結合docker version命令使用。

[devadmin@swarm1 ~]$ docker info
Containers: 43
 Running: 9
 Paused: 0
 Stopped: 34
Images: 140
Server Version: 17.09.0-ce
Storage Driver: overlay
 Backing Filesystem: xfs
 Supports d_type: false
Logging Driver: json-file
Cgroup Driver: cgroupfs
...

--version命令

[devadmin@swarm1 ~]$ docker version
Client:
 Version:      17.09.0-ce
 API version:  1.32
 Go version:   go1.8.3
 Git commit:   afdb6d4
 Built:        Tue Sep 26 22:41:23 2017
 OS/Arch:      linux/amd64

Server:
 Version:      17.09.0-ce
 API version:  1.32 (minimum version 1.12)
 Go version:   go1.8.3
 Git commit:   afdb6d4
 Built:        Tue Sep 26 22:42:49 2017
 OS/Arch:      linux/amd64
 Experimental: false
[devadmin@swarm1 ~]$

 容器運維操做

--attach命令

docker attach命令對應開發者頗有用，能夠鏈接到正在運行的容器，觀察容器的運行情況，或與容器的主進程進行交互。

--inspect命令

用於查看鏡像和容器的詳細信息，默認會列出所有信息，能夠經過--format參數來指定輸出的模板格式，以便輸出特定信息。

 查看容器的信息container（ps）

docker ps命令能夠查看容器的CONTAINER ID、NAME、IMAGE NAME、端口開啓及綁定、容器啓動後執行的COMMNAD。最經常使用的功能是經過ps來找到CONTAINER_ID，以便對特定容器進行操做。
docker ps 默認顯示當前正在運行中的container
docker ps -a 查看包括已經中止的全部容器
docker ps -l 顯示最新啓動的一個容器（包括已中止的）

示例

[devadmin@swarm1 ~]$ docker ps -l
CONTAINER ID        IMAGE                                            COMMAND              CREATED             STATUS              PORTS                      NAMES
1cfb8ad8642e        regloc.com/test/settlequery:201711271708   "sh entrypoint.sh"   22 hours ago        Up 22 hours         0.0.0.0:18182->18182/tcp   settlequery.z4taavbos34np74za1bu674az.ncj2uocqbh15ljxhui0yccd9t
[devadmin@swarm1 ~]$ 

 

-- 列出機器上的鏡像（images）

# docker images REPOSITORY TAG IMAGE ID CREATED VIRTUAL SIZE ubuntu 14.10 2185fd50e2ca 13 days ago 236.9 MB … 

其中咱們能夠根據REPOSITORY來判斷這個鏡像是來自哪一個服務器，若是沒有 / 則表示官方鏡像，相似於username/repos_name表示Github的我的公共庫，相似於regsistory.example.com:5000/repos_name則表示的是私服。
IMAGE ID列實際上是縮寫，要顯示完整則帶上--no-trunc選項

2. 在docker index中搜索image（search）

Usage: docker search TERM

# docker search seanlo NAME DESCRIPTION STARS OFFICIAL AUTOMATED seanloook/centos6 sean's docker repos 0 

搜索的範圍是官方鏡像和全部我的公共鏡像。NAME列的 / 後面是倉庫的名字。

3. 從docker registry server 中下拉image或repository（pull）

Usage: docker pull [OPTIONS] NAME[:TAG]

# docker pull centos 

上面的命令須要注意，在docker v1.2版本之前，會下載官方鏡像的centos倉庫裏的全部鏡像，而從v.13開始官方文檔裏的說明變了：will pull the centos:latest image, its intermediate layers and any aliases of the same id，也就是隻會下載tag爲latest的鏡像（以及同一images id的其餘tag）。
也能夠明確指定具體的鏡像：

# docker pull centos:centos6 

固然也能夠從某我的的公共倉庫（包括本身是私人倉庫）拉取，形如docker pull username/repository<:tag_name> ：

# docker pull seanlook/centos:centos6 

若是你沒有網絡，或者從其餘私服獲取鏡像，形如docker pull registry.domain.com:5000/repos:<tag_name>

# docker pull dl.dockerpool.com:5000/mongo:latest 

4. 推送一個image或repository到registry（push）

與上面的pull對應，能夠推送到Docker Hub的Public、Private以及私服，但不能推送到Top Level Repository。

# docker push seanlook/mongo # docker push registry.tp-link.net:5000/mongo:2014-10-27 

registry.tp-link.net也能夠寫成IP，172.29.88.222。
在repository不存在的狀況下，命令行下push上去的會爲咱們建立爲私有庫，然而經過瀏覽器建立的默認爲公共庫。

5. 從image啓動一個container（run）

docker run命令首先會從特定的image創之上create一層可寫的container，而後經過start命令來啓動它。中止的container能夠從新啓動並保留原來的修改。run命令啓動參數有不少，如下是一些常規使用說明，更多部分請參考http://www.cnphp6.com/archives/24899
當利用 docker run 來建立容器時，Docker 在後臺運行的標準操做包括：

• 檢查本地是否存在指定的鏡像，不存在就從公有倉庫下載
• 利用鏡像建立並啓動一個容器
• 分配一個文件系統，並在只讀的鏡像層外面掛載一層可讀寫層
• 從宿主主機配置的網橋接口中橋接一個虛擬接口到容器中去
• 從地址池配置一個 ip 地址給容器
• 執行用戶指定的應用程序
• 執行完畢後容器被終止

Usage: docker run [OPTIONS] IMAGE [COMMAND] [ARG...]

5.1 使用image建立container並執行相應命令，而後中止

# docker run ubuntu echo "hello world" hello word 

這是最簡單的方式，跟在本地直接執行echo 'hello world' 幾乎感受不出任何區別，而實際上它會從本地ubuntu:latest鏡像啓動到一個容器，並執行打印命令後退出（docker ps -l可查看）。須要注意的是，默認有一個--rm=true參數，即完成操做後中止容器並從文件系統移除。由於Docker的容器實在過輕量級了，不少時候用戶都是隨時刪除和新建立容器。
容器啓動後會自動隨機生成一個CONTAINER ID，這個ID在後面commit命令後能夠變爲IMAGE ID

使用image建立container並進入交互模式, login shell是/bin/bash

# docker run -i -t --name mytest centos:centos6 /bin/bash bash-4.1# 

上面的--name參數能夠指定啓動後的容器名字，若是不指定則docker會幫咱們取一個名字。鏡像centos:centos6也能夠用IMAGE ID (68edf809afe7) 代替），而且會啓動一個僞終端，但經過ps或top命令咱們卻只能看到一兩個進程，由於容器的核心是所執行的應用程序，所須要的資源都是應用程序運行所必需的，除此以外，並無其它的資源，可見Docker對資源的利用率極高。此時使用exit或Ctrl+D退出後，這個容器也就消失了（消失後的容器並無徹底刪除？）
（那麼多個TAG不一樣而IMAGE ID相同的的鏡像究竟會運行以哪個TAG啓動呢

5.2 運行出一個container放到後臺運行

# docker run -d ubuntu /bin/sh -c "while true; do echo hello world; sleep 2; done" ae60c4b642058fefcc61ada85a610914bed9f5df0e2aa147100eab85cea785dc 

它將直接把啓動的container掛起放在後臺運行（這才叫saas），而且會輸出一個CONTAINER ID，經過docker ps能夠看到這個容器的信息，可在container外面查看它的輸出docker logs ae60c4b64205，也能夠經過docker attach ae60c4b64205鏈接到這個正在運行的終端，此時在Ctrl+C退出container就消失了，按ctrl-p ctrl-q能夠退出到宿主機，而保持container仍然在運行
另外，若是-d啓動但後面的命令執行完就結束了，如/bin/bash、echo test，則container作完該作的時候依然會終止。並且-d不能與--rm同時使用
能夠經過這種方式來運行memcached、apache等。

5.3 映射host到container的端口和目錄

映射主機到容器的端口是頗有用的，好比在container中運行memcached，端口爲11211，運行容器的host能夠鏈接container的 internel_ip:11211 訪問，若是有從其餘主機訪問memcached需求那就能夠經過-p選項，形如-p <host_port:contain_port>，存在如下幾種寫法：

-p 11211:11211 這個便是默認狀況下，綁定主機全部網卡（0.0.0.0）的11211端口到容器的11211端口上 -p 127.0.0.1:11211:11211 只綁定localhost這個接口的11211端口 -p 127.0.0.1::5000 -p 127.0.0.1:80:8080 

目錄映射實際上是「綁定掛載」host的路徑到container的目錄，這對於內外傳送文件比較方便，在搭建私服那一節，爲了不私服container中止之後保存的images不被刪除，就要把提交的images保存到掛載的主機目錄下。使用比較簡單，-v <host_path:container_path>，綁定多個目錄時再加-v。

-v /tmp/docker:/tmp/docker 

另外在兩個container之間創建聯繫可用--link，詳見高級部分或官方文檔。
下面是一個例子：

# docker run --name nginx_test \ > -v /tmp/docker:/usr/share/nginx/html:ro \ > -p 80:80 -d \ > nginx:1.7.6 

在主機的/tmp/docker下創建index.html，就能夠經過http://localhost:80/或http://host-ip:80訪問了。

6. 將一個container固化爲一個新的image（commit）

當咱們在製做本身的鏡像的時候，會在container中安裝一些工具、修改配置，若是不作commit保存起來，那麼container中止之後再啓動，這些更改就消失了。
docker commit <container> [repo:tag]
後面的repo:tag可選
只能提交正在運行的container，即經過docker ps能夠看見的容器，

查看剛運行過的容器
# docker ps -l CONTAINER ID IMAGE COMMAND CREATED STATUS PORTS NAMES c9fdf26326c9 nginx:1 nginx -g.. 3 hours ago Exited (0).. nginx_test 啓動一個已存在的容器（run是從image新建容器後再啓動），如下也可使用docker start nginx_test代替 [root@hostname docker]# docker start c9fdf26326c9 c9fdf26326c9 docker run -i -t --sig-proxy=false 21ffe545748baf /bin/bash nginx服務沒有啓動 # docker commit -m "some tools installed" fcbd0a5348ca seanlook/ubuntu:14.10_tutorial fe022762070b09866eaab47bc943ccb796e53f3f416abf3f2327481b446a9503 

-a "seanlook7@gmail.com"
請注意，當你反覆去commit一個容器的時候，每次都會獲得一個新的IMAGE ID，假如後面的repository:tag沒有變，經過docker images能夠看到，以前提交的那份鏡像的repository:tag就會變成<none>:<none>，因此儘可能避免反覆提交。
另外，觀察如下幾點:

• commit container只會pause住容器，這是爲了保證容器文件系統的一致性，但不會stop。若是你要對這個容器繼續作其餘修改：
  
  
  • 你能夠從新提交獲得新image2，刪除次新的image1
  • 也能夠關閉容器用新image1啓動，繼續修改，提交image2後刪除image1
  • 固然這樣會很痛苦，因此通常是採用Dockerfile來build獲得最終image，參考[]
• 雖然產生了一個新的image，而且你能夠看到大小有100MB，但從commit過程很快就能夠知道實際上它並無獨立佔用100MB的硬盤空間，而只是在舊鏡像的基礎上修改，它們共享大部分公共的「片」。

下

1. 開啓/中止/重啓container（start/stop/restart）

容器能夠經過run新建一個來運行，也能夠從新start已經中止的container，但start不可以再指定容器啓動時運行的指令，由於docker只能有一個前臺進程。
容器stop（或Ctrl+D）時，會在保存當前容器的狀態以後退出，下次start時保有上次關閉時更改。並且每次進入attach進去的界面是同樣的，與第一次run啓動或commit提交的時刻相同。

CONTAINER_ID=$(docker start <containner_id>) docker stop $CONTAINER_ID docker restart $CONTAINER_ID 

關於這幾個命令能夠經過一個完整的實例使用：docker如何建立一個運行後臺進程的容器並同時提供shell終端。

2. 鏈接到正在運行中的container（attach）

要attach上去的容器必須正在運行，能夠同時鏈接上同一個container來共享屏幕（與screen命令的attach相似）。
官方文檔中說attach後能夠經過CTRL-C來detach，但實際上通過個人測試，若是container當前在運行bash，CTRL-C天然是當前行的輸入，沒有退出；若是container當前正在前臺運行進程，如輸出nginx的access.log日誌，CTRL-C不只會致使退出容器，並且還stop了。這不是咱們想要的，detach的意思按理應該是脫離容器終端，但容器依然運行。好在attach是能夠帶上--sig-proxy=false來確保CTRL-D或CTRL-C不會關閉容器。

# docker attach --sig-proxy=false $CONTAINER_ID 

3. 查看image或container的底層信息（inspect）

inspect的對象能夠是image、運行中的container和中止的container。

查看容器的內部IP
# docker inspect --format='{{.NetworkSettings.IPAddress}}' $CONTAINER_ID 172.17.42.35 

4. 刪除一個或多個container、image（rm、rmi）

你可能在使用過程當中會build或commit許多鏡像，無用的鏡像須要刪除。但刪除這些鏡像是有一些條件的：

• 同一個IMAGE ID可能會有多個TAG（可能還在不一樣的倉庫），首先你要根據這些 image names 來刪除標籤，當刪除最後一個tag的時候就會自動刪除鏡像；
• 承上，若是要刪除的多個IMAGE NAME在同一個REPOSITORY，能夠經過docker rmi <image_id>來同時刪除剩下的TAG；若在不一樣Repo則仍是須要手動逐個刪除TAG；
• 還存在由這個鏡像啓動的container時（即使已經中止），也沒法刪除鏡像；

TO-DO
如何查看鏡像與容器的依存關係

刪除容器
docker rm <container_id/contaner_name>

刪除全部中止的容器
docker rm $(docker ps -a -q)

刪除鏡像
docker rmi <image_id/image_name ...>
下面是一個完整的示例：

# docker images <== ubuntu 13.10 195eb90b5349 4 months ago 184.6 MB ubuntu saucy 195eb90b5349 4 months ago 184.6 MB seanlook/ubuntu rm_test 195eb90b5349 4 months ago 184.6 MB 使用195eb90b5349啓動、中止一個容器後，刪除這個鏡像 # docker rmi 195eb90b5349 Error response from daemon: Conflict, cannot delete image 195eb90b5349 because it is tagged in multiple repositories, use -f to force 2014/11/04 14:19:00 Error: failed to remove one or more images 刪除seanlook倉庫中的tag <== # docker rmi seanlook/ubuntu:rm_test Untagged: seanlook/ubuntu:rm_test 如今刪除鏡像，還會因爲container的存在不能rmi # docker rmi 195eb90b5349 Error response from daemon: Conflict, cannot delete 195eb90b5349 because the container eef3648a6e77 is using it, use -f to force 2014/11/04 14:24:15 Error: failed to remove one or more images 先刪除由這個鏡像啓動的容器 <== # docker rm eef3648a6e77 刪除鏡像 <== # docker rmi 195eb90b5349 Deleted: 195eb90b534950d334188c3627f860fbdf898e224d8a0a11ec54ff453175e081 Deleted: 209ea56fda6dc2fb013e4d1e40cb678b2af91d1b54a71529f7df0bd867adc961 Deleted: 0f4aac48388f5d65a725ccf8e7caada42f136026c566528a5ee9b02467dac90a Deleted: fae16849ebe23b48f2bedcc08aaabd45408c62b531ffd8d3088592043d5e7364 Deleted: f127542f0b6191e99bb015b672f5cf48fa79d974784ac8090b11aeac184eaaff 

注意，上面的刪除過程我所舉的例子比較特殊——鏡像被tag在多個倉庫，也有啓動過的容器。按照<==指示的順序進行便可。

5. docker build 使用此配置生成新的image

build命令能夠從Dockerfile和上下文來建立鏡像：
docker build [OPTIONS] PATH | URL | -
上面的PATH或URL中的文件被稱做上下文，build image的過程會先把這些文件傳送到docker的服務端來進行的。
若是PATH直接就是一個單獨的Dockerfile文件則能夠不須要上下文；若是URL是一個Git倉庫地址，那麼建立image的過程當中會自動git clone一份到本機的臨時目錄，它就成爲了本次build的上下文。不管指定的PATH是什麼，Dockerfile是相當重要的，請參考Dockerfile Reference。
請看下面的例子：

# cat Dockerfile 
FROM seanlook/nginx:bash_vim
EXPOSE 80
ENTRYPOINT /usr/sbin/nginx -c /etc/nginx/nginx.conf && /bin/bash

# docker build -t seanlook/nginx:bash_vim_Df .
Sending build context to Docker daemon 73.45 MB
Sending build context to Docker daemon 
Step 0 : FROM seanlook/nginx:bash_vim
 ---> aa8516fa0bb7 Step 1 : EXPOSE 80 ---> Using cache ---> fece07e2b515 Step 2 : ENTRYPOINT /usr/sbin/nginx -c /etc/nginx/nginx.conf && /bin/bash ---> Running in e08963fd5afb ---> d9bbd13f5066 Removing intermediate container e08963fd5afb Successfully built d9bbd13f5066 

上面的PATH爲.，因此在當前目錄下的全部文件（不包括.dockerignore中的）將會被tar打包並傳送到docker daemon（通常在本機），從輸出咱們能夠到Sending build context...，最後有個Removing intermediate container的過程，能夠經過--rm=false來保留容器。
TO-DO
docker build github.com/creack/docker-firefox失敗。

6. 給鏡像打上標籤（tag）

tag的做用主要有兩點：一是爲鏡像起一個容易理解的名字，二是能夠經過docker tag來從新指定鏡像的倉庫，這樣在push時自動提交到倉庫。

將同一IMAGE_ID的全部tag，合併爲一個新的
# docker tag 195eb90b5349 seanlook/ubuntu:rm_test 新建一個tag，保留舊的那條記錄 # docker tag Registry/Repos:Tag New_Registry/New_Repos:New_Tag 

7. 查看容器的信息container（ps）

docker ps命令能夠查看容器的CONTAINER ID、NAME、IMAGE NAME、端口開啓及綁定、容器啓動後執行的COMMNAD。常常經過ps來找到CONTAINER_ID。
docker ps 默認顯示當前正在運行中的container
docker ps -a 查看包括已經中止的全部容器
docker ps -l 顯示最新啓動的一個容器（包括已中止的）

8. 查看容器中正在運行的進程（top）

容器運行時不必定有/bin/bash終端來交互執行top命令，查看container中正在運行的進程，何況還不必定有top命令，這是docker top <container_id/container_name>就頗有用了。實際上在host上使用ps -ef|grep docker也能夠看到一組相似的進程信息，把container裏的進程當作是host上啓動docker的子進程就對了。

9. 其餘命令

docker還有一些如login、cp、logs、export、import、load、kill等不是很經常使用的命令，比較簡單，請參考官網。

 events、history和logs命令

這3個命令用於查看Docker的系統日誌信息。events命令會打印出實時的系統事件；history命令會打印出指定鏡像的歷史版本信息，即構建該鏡像的每一層鏡像的命令記錄；logs命令會打印出容器中進程的運行日誌。

docker events [options] ：從服務器獲取實時事件。

OPTIONS說明：

• -f ：根據條件過濾事件；

• --since ：從指定的時間戳後顯示全部事件;

• --until ：流水時間顯示到指定的時間爲止；

 

docker history [options] image：查看指定鏡像的建立歷史。

OPTIONS說明：

• -H :以可讀的格式打印鏡像大小和日期，默認爲true；

• --no-trunc :顯示完整的提交記錄；

• -q :僅列出提交記錄ID。

 

docker logs [options] container

Options:
        --details 顯示更多的信息 -f, --follow 跟蹤日誌輸出，最後一行爲當前時間戳的日誌 --since string 顯示自具體某個時間或時間段的日誌 --tail string 從日誌末尾顯示多少行日誌， 默認是all -t, --timestamps 顯示時間戳