docker基礎內容講解

時間 2019-11-08

原文原文鏈接

1、初識dockerhtml

1.1 LXC介紹linux

LXC爲LinuX Container的簡寫。Linux Container容器是一種內核虛擬化技術，能夠提供輕量級的虛擬化，以便隔離進程和資源，並且不須要提供指令解釋機制以及全虛擬化的其餘複雜性。至關於C++中的NameSpace。容器有效地將由單個操做系統管理的資源劃分到孤立的組中，以更好地在孤立的組之間平衡有衝突的資源使用需求。與傳統虛擬化技術相比，它的優點在於：nginx

與宿主機使用同一個內核，性能損耗小；git

不須要指令級模擬；github

不須要即時(Just-in-time)編譯；web

容器能夠在CPU核心的本地運行指令，不須要任何專門的解釋機制；docker

避免了準虛擬化和系統調用替換中的複雜性；shell

輕量級隔離，在隔離的同時還提供共享機制，以實現容器與宿主機的資源共享。後端

總結：Linux Container是一種輕量級的虛擬化的手段。centos

1.2 docker簡介

Docker是Docker.lnc公司開源的一個基於LXC技術之上構建的contailer容器引擎，源代碼託管在github上，基於go語言並聽從Apache2.0協議開源。

Docker是經過內核虛擬化技術（namespace及cgroups等）來提供容器的資源隔離與安全保障等，因爲Docker經過操做系統層的虛擬化實現隔離，因此Docker容器在運行時，不須要相似虛擬機VM額外的操做系統開銷，提升資源利用率。

下圖比較了Docker和傳統虛擬化方式的不一樣之處，可見容器是在操做系統層面上實現虛擬化，直接複製本地主機的操做系統，而傳統方式則是在硬件層面實現。

1.3 docker的工做模式

學習Docker的源碼並非一個枯燥的過程，反而能夠從中理解Docker架構的設計原理。

Docker對使用者來說是一個C/S模式的架構，而Docker的後端是一個很是鬆耦合的架構，模塊各司其職，並有機組合，支撐Docker的運行。

用戶是使用Docker Client與Docker Daemon創建通訊，併發送請求給後者。而Docker Daemon做爲Docker架構中的主體部分，首先提供Server的功能使其能夠接受Docker Client的請求；然後Engine執行Docker內部的一系列工做，每一項工做都是以一個Job的形式的存在。

Job的運行過程當中，當須要容器鏡像時，則從Docker Registry中下載鏡像，並經過鏡像管理驅動graphdriver將下載鏡像以Graph的形式存儲；當須要爲Docker建立網絡環境時，經過網絡管理驅動networkdriver建立並配置Docker容器網絡環境；當須要限制Docker容器運行資源或執行用戶指令等操做時，則經過execdriver來完成。而libcontainer是一項獨立的容器管理包，networkdriver以及execdriver都是經過libcontainer來實現具體對容器進行的操做。當執行完運行容器的命令後，一個實際的Docker容器就處於運行狀態，該容器擁有獨立的文件系統，獨立而且安全的運行環境等。

CLI交互模型

Remote API 交互模型

2、Docker的三大核心概念

2.1 鏡像

Docker鏡像（Image）相似於虛擬機的鏡像，能夠將他理解爲一個面向Docker引擎的只讀模板，包含了文件系統。

例如：一個鏡像能夠徹底包含了Ubuntu操做系統環境，能夠把它稱做一個Ubuntu鏡像。鏡像也能夠安裝了Apache應用程序（或其餘軟件），能夠把它稱爲一個Apache鏡像。

鏡像是建立Docker容器的基礎，經過版本管理和增量的文件系統，Docker提供了一套十分簡單的機制來建立和更新現有的鏡像。用戶能夠從網上下載一個已經作好的應用鏡像，並經過命令直接使用。

總之，應用運行是須要環境的，而鏡像就是來提供這種環境。

2.2 容器

Docker容器（Container）相似於一個輕量級的沙箱子（由於Docker是基於Linux內核的虛擬技術，因此消耗資源十分少），Docker利用容器來運行和隔離應用。

容器是從鏡像建立的應用運行實例，能夠將其啓動、開始、中止、刪除，而這些容器都是相互隔離、互不可見的。

能夠把每一個容器看做一個簡易版的Linux系統環境（包括了root用戶權限、進程空間、用戶空間和網絡空間），以及與運行在其中的應用程序打包而成的應用盒子。

鏡像自身是隻讀的。容器從鏡像啓動的時候，Docker會在鏡像的最上層建立一個可寫層，鏡像自己將保持不變。就像用ISO裝系統以後，ISO並無什麼變化同樣。

2.3 倉庫

Docker倉庫（Repository）相似於代碼倉庫，是Docker集中存放鏡像文件的場所。

有時候會看到有資料將Docker倉庫和註冊服務器（Registry）混爲一談，並不嚴格區分。實際上，註冊服務器是存放倉庫的地方，其上每每存放着多個倉庫。每一個倉庫集中存放某一類鏡像，每每包括多個鏡像文件，經過不一樣的標籤（tag）來進行區分。例如存放Ubuntu操做系統鏡像的倉庫，稱爲Ubuntu倉庫，其中可能包括14.04,12.04等不一樣版本的鏡像。

根據存儲的鏡像公開分享與否，Docker倉庫分爲公開倉庫（Public）和私有倉庫（Private）兩種形式。

目前，最大的公開倉庫是Docker Hub，存放了數量龐大的鏡像供用戶下載。國內的公開倉庫包括Docker Pool等，能夠提供穩定的國內訪問。

若是用戶不但願公開分享本身的鏡像文件，Docker也支持用戶在本地網絡內建立一個只能本身訪問的私有倉庫。當用戶建立了本身的鏡像以後就可使用push命令將它上傳到指定的公有或者私有倉庫。這樣用戶下次在另外一臺機器上使用該鏡像時，只需將其從倉庫pull下來就能夠了。

3、對比docker和虛擬化

類別	Docker	OpenStack
部署難度	很是簡單	組件多，部署複雜
啓動速度	秒級	分鐘級
執行性能	和物理系統幾乎一致	VM會佔用一些資源
鏡像體積	鏡像是MB級別	虛擬機鏡像GB級別
管理效率	管理簡單	組件相互依賴，管理複雜
隔離性	隔離性高	完全隔離
可管理性	單進程、不建議啓動SSH	完整的系統管理
網絡鏈接	比較弱	藉助Neutron能夠靈活組建各種網絡架構

4、Docker八種應用場景

1）簡化配置，統一配置，經過鏡像快速啓動(Simplifying)

2）代碼流水線管理，開發環境->測試環境->預生產環境->灰度發佈->正式發佈，docker在這裏實現了快速遷移(Code Oioeline Management)

3）開發效率，對開發人員，有了鏡像，直接啓動容器便可(Developer Productivity)

4）應用隔離，相對於虛擬機的徹底隔離會佔用資源,docker會比較節約資源(App lsolation)

5）服務器整合，一臺服務器跑多個docker容器，提升服務器的利用率(Server Consolidation)

6）調試能力，debug調試(Debugging Capabilties)

7）多租戶，一個租戶多個用戶，相似於阿里公有云的一個project下多個用戶(Multi-tenancy)

8）快速部署，不須要啓動操做系統，實現秒級部署(Rapid Deplovment)

5、安裝docker而且pull鏡像

yum install -y docker

systemctl start docker

systemctl enable docker

下載鏡像（時間較長）：

docker pull centos

docker pull registry

docker pull nginx

也可使用docker導入和導出鏡像：

docker load < /opt/centos.tar.gz

docker save centos > /opt/centos.tar.gz

搜索鏡像：docker search +鏡像名字

查看鏡像：docker images

注：每一個鏡像都有一個惟一的ID

刪除鏡像：docker rmi +鏡像ID，若是鏡像用於建立了容器是不能被刪除的，須要先刪除容器

6、容器

6.1 啓動容器

啓動容器：docker run 啓動一個容器，centos是鏡像的名稱，若是沒有centos這個鏡像會自動pull一個，後面的是command，在這裏命令執行完容器也就退出了

[root@docker ~]# docker run centos echo "hehe"

查看容器，-a能夠查看全部容器，包含退出的和正在運行的：

[root@docker ~]# docker ps -a

CONTAINER ID IMAGE COMMAND CREATED STATUS PORTS NAMES

e7978584b4ac centos "echo hehe" 28 seconds ago Exited (0) 26 seconds ago berserk_panini

啓動一個名字爲mydocker，不退出（指定-it）的容器

[root@docker ~]# docker run --name mydocker -it centos /bin/bash

[root@29ce3ee90173 /]# 此時容器的主機名就是容器的ID

補充：

--name: 給容器定義一個名稱

-i: 則讓容器的標準輸入保持打開。

-t: 讓Docker分配一個僞終端,並綁定到容器的標準輸入上

/bin/bash: 執行一個命令

當利用docker run來建立容器時，Docker在後臺運行的標準操做包括：

1）檢查本地是否存在指定的鏡像，不存在就從公有倉庫下載

2）利用鏡像建立並啓動一個容器

3）分配一個文件系統，並在只讀的鏡像層外面掛載一層可讀寫層

4）從宿主主機配置的網橋接口中橋接一個虛擬接口到容器中去

5）從地址池配置一個ip地址給容器

6）執行用戶指定的應用程序

7）執行完畢後容器被終止

這時執行完exit，容器也就退出了，想要啓動該容器就要start

[root@docker ~]# docker start 29ce3ee90173

29ce3ee90173

[root@docker ~]# docker ps -a

CONTAINER ID IMAGE COMMAND CREATED STATUS PORTS NAMES

29ce3ee90173 centos "/bin/bash" 2 minutes ago Up 58 seconds mydocker

6.2 進入docker容器的幾種方式

1）使用attach進入，使用此方法進入的話，多個窗口進入時，顯示是同步的；並且exit時，該容器也停了

[root@docker ~]# docker attach 29ce3ee90173

2）使用nsenter進入容器，若是沒有此命令，yum安裝util-linux包便可，使用此方法exit，容器就不會停掉了，推薦使用此方法！！！

獲取docker容器進程的pid：

[root@docker ~]# docker inspect --format "{{.State.Pid}}" 29ce3ee90173

36128

進入容器：

[root@docker ~]# nsenter -t 36128 -u -i -n -p

[root@29ce3ee90173 ~]#

3）docker exec

此方法也不推薦使用

6.3 刪除和殺掉正在運行的容器

刪除容器

docker rm +容器ID或者名稱，刪除運行的容器，加上-f參數便可

[root@docker ~]# docker rm c720c8a6a3db

c720c8a6a3db

在容器啓動時，使用--rm參數，在容器退出時會自動刪除，在本身實驗的時候很好用。

[root@docker ~]# docker run --rm centos echo "hello world"

hello world

殺掉正在運行的容器：

[root@docker ~]# docker kill $(docker ps -a -q)

29ce3ee90173

7、Docker的網絡和存儲

7.1 Docker的4種網絡模式

1）host模式

衆所周知，Docker使用了Linux的Namespaces技術來進行資源隔離，如PID Namespace隔離進程，Mount Namespace隔離文件系統，Network Namespace隔離網絡等。一個Network Namespace提供了一份獨立的網絡環境，包括網卡、路由、Iptable規則等都與其餘的Network Namespace隔離。一個Docker容器通常會分配一個獨立的Network Namespace。但若是啓動容器的時候使用host模式，那麼這個容器將不會得到一個獨立的Network Namespace，而是和宿主機共用一個Network Namespace。容器將不會虛擬出本身的網卡，配置本身的IP等，而是使用宿主機的IP和端口。

例如，咱們在192.168.1.200/24的機器上用host模式啓動一個含有web應用的Docker容器，監聽tcp80端口。當咱們在容器中執行任何相似ifconfig命令查看網絡環境時，看到的都是宿主機上的信息。而外界訪問容器中的應用，則直接使用192.168.1.200:80便可，不用任何NAT轉換，就如直接跑在宿主機中同樣。可是，容器的其餘方面，如文件系統、進程列表等仍是和宿主機隔離的。

2）container模式

在理解了host模式後，這個模式也就好理解了。這個模式指定新建立的容器和已經存在的一個容器共享一個Network Namespace，而不是和宿主機共享。新建立的容器不會建立本身的網卡，配置本身的IP，而是和一個指定的容器共享IP、端口範圍等。一樣，兩個容器除了網絡方面，其餘的如文件系統、進程列表等仍是隔離的。兩個容器的進程能夠經過lo網卡設備通訊。

3）none模式

這個模式和前兩個不一樣。在這種模式下，Docker容器擁有本身的Network Namespace，可是，並不爲Docker容器進行任何網絡配置。也就是說，這個Docker容器沒有網卡、IP、路由等信息。須要咱們本身爲Docker容器添加網卡、配置IP等。

4）bridge模式（默認模式）

當Docker server啓動時，會在主機上建立一個名爲docker0的虛擬網橋，此主機上啓動的Docker容器會鏈接到這個虛擬網橋上。虛擬網橋的工做方式和物理交換機相似，這樣主機上的全部容器就經過交換機連在了一個二層網絡中。接下來就要爲容器分配IP了，Docker會從RFC1918所定義的私有IP網段中，選擇一個和宿主機不一樣的IP地址和子網分配給docker0，鏈接到docker0的容器就從這個子網中選擇一個未佔用的IP使用。如通常Docker會使用172.17.0.0/16這個網段，並將172.17.42.1/16分配給docker0網橋（在主機上使用ifconfig命令是能夠看到docker0的，能夠認爲它是網橋的管理接口，在宿主機上做爲一塊虛擬網卡使用）。單機環境下的網絡拓撲以下，主機地址爲192.168.1.200/24。

Docker完成以上網絡配置的過程大體是這樣的：

1）在主機上建立一對虛擬網卡veth pair設備。veth設備老是成對出現的，它們組成了一個數據的通道，數據從一個設備進入，就會從另外一個設備出來。所以，veth設備經常使用來鏈接兩個網絡設備。

2）Docker將veth pair設備的一端放在新建立的容器中，並命名爲eth0。另外一端放在主機中，以veth65f9這樣相似的名字命名，並將這個網絡設備加入到docker0網橋中，能夠經過brctl show命令查看。

[root@docker ~]# brctl show

bridge name bridge id STP enabled interfaces

docker0 8000.0242deee1511 no veth20cb318

virbr0 8000.525400c144f4 yes virbr0-nic

3）從docker0子網中分配一個IP給容器使用，並設置docker0的IP地址爲容器的默認網關。

網絡拓撲介紹完後，接着介紹一下bridge模式下容器是如何通訊的。

7.2 啓動一個nginx容器，默認前臺運行nginx -g daemon off

[root@docker ~]# docker run -d -P nginx

查看建立的容器，把虛擬機的32769端口映射成nginx容器的80端口，32768端口映射成443端口

[root@docker ~]# docker ps -a

CONTAINER ID IMAGE COMMAND CREATED STATUS PORTS NAMES

622269d81b85 nginx "nginx -g 'daemon off" 3 minutes ago Up 3 minutes 0.0.0.0:32769->80/tcp, 0.0.0.0:32768->443/tcp amazing_bell

mydocker

經過瀏覽器訪問32769端口：

查看docker的log，命令爲：docker logs +容器ID

[root@docker ~]# docker logs 29ce3ee90173

啓動容器時指定端口：

[root@docker ~]# docker run -d -p 81:80 nginx

e6cefc4d2937c439c189f85e1ea37b348646a3dfd4bcb20186d613743c5baa41

7.3 docker的存儲

docker存儲的兩種模式

1）數據卷

-v /data 掛載data目錄

-v file 掛載一個文件

-v src:dst 指定一個掛載目錄，開發經常使用，掛載物理機代碼所在目錄，nginx直接使用代碼

建立一個centos容器，掛載/data目錄，掛載的時候能夠指定權限，ro，rw等

[root@docker ~]# docker run -it --name volume-test1 -v /data centos

[root@895a9a4ae975 /]# ls -l /data/

total 0

注：/data對應的物理機的路徑

[root@docker ~]# docker inspect 895a9a4ae975 |grep -A 5 "Mounts"

"Mounts": [

{

"Name": "2db8cff65b4fc3242e62c231b59d6533bd56fdce3b6d9074feb2022824ac650c",

"Source": "/var/lib/docker/volumes/2db8cff65b4fc3242e62c231b59d6533bd56fdce3b6d9074feb2022824ac650c/_data",

"Destination": "/data",

"Driver": "local",

注：上面標藍的地方是物理機所在路徑也就是容器對應的/data路徑

驗證掛載狀況：

[root@docker ~]# cd /var/lib/docker/volumes/2db8cff65b4fc3242e62c231b59d6533bd56fdce3b6d9074feb2022824ac650c/_data

[root@docker _data]# touch peng

[root@docker _data]# ls

peng

[root@895a9a4ae975 /]# ls -l /data/ (在容器內查看)

total 0

-rw-r--r-- 1 root root 0 Apr 25 14:50 peng

啓動一個容器，掛載物理機/opt目錄，掛載的時候能夠指定權限ro，rw等

[root@docker ~]# docker run -it -v /opt:/opt centos

[root@3a3eb71c21f7 /]# cd /opt/

[root@3a3eb71c21f7 opt]# ls

index.html nginx ngix.tar.gz rh

[root@docker ~]# ls /opt/ （物理機執行）

index.html nginx ngix.tar.gz rh

2）數據卷容器

啓動一個容器掛載/data目錄，-d啓動就放在後臺

[root@docker _data]# docker run -d --name myvolume -v /data centos

e54efa889625686f70c9beb341344b2a5a09d8e3408a1848032e033e5cfd3b3e

啓動一個容器，掛載到剛纔的容器的/data目錄

[root@docker ~]# docker run -it --name myvolume-test --volumes-from myvolume centos

[root@4f430d56682c /]#

在物理機中建立個目錄在myvolume-test容器內檢查掛載狀況

[root@docker ~]# docker ps |grep myvolume

4f430d56682c centos "/bin/bash" About a minute ago Up About a minute myvolume-test1

[root@docker ~]# docker inspect 4f430d56682c|grep -A 5 Mounts

"Mounts": [

{

"Name": "2c2abf5f9db57115741bcce627d15d659e7a4ef079b2092bd0c698950b8fc48a",

"Source": "/var/lib/docker/volumes/2c2abf5f9db57115741bcce627d15d659e7a4ef079b2092bd0c698950b8fc48a/_data",

"Destination": "/data",

"Driver": "local",

[root@docker ~]# cd /var/lib/docker/volumes/2c2abf5f9db57115741bcce627d15d659e7a4ef079b2092bd0c698950b8fc48a/_data

[root@docker _data]# mkdir 123

[root@4f430d56682c /]# ls /data/ -l

total 0

drwxr-xr-x 2 root root 6 Dec 26 05:34 123 (在容器內執行)

8、手動構建鏡像

先建立一個centos鏡像並yum一個nginx等待作鏡像

[root@docker ~]# docker run -it --name mynginx centos

[root@378173b83b16 /]#

[root@378173b83b16 /]# rpm -ivh http://mirrors.aliyun.com/epel/epel-release-latest-7.noarch.rpm

[root@378173b83b16 /]# yum install -y nginx

更改nginx的配置文件改成前臺啓動，退出容器：

[root@378173b83b16 ~]# vi /etc/nginx/nginx.conf

daemon off;

[root@378173b83b16 /]# exit

exit

基於剛纔建立的容器建立一個docker鏡像,版本爲V1，peng爲用戶名，鏡像名稱爲mynginx，鏡像來自於id爲378173b83b16的容器：

[root@docker ~]# docker commit -m "my nginx" 378173b83b16 peng/mynginx:v1

7f52f9681827c4a6a354ed0fdcdaed25cdd7a86bc50ae81d4a4ebd6d312ccd73

[root@docker ~]# docker images

REPOSITORY TAG IMAGE ID CREATED VIRTUAL SIZE

peng/mynginx v1 7f52f9681827 27 seconds ago 349.7 MB

docker.io/nginx latest e32087da8ee6 2 weeks ago 182.6 MB

docker.io/centos latest 28e524afdd05 3 weeks ago 196.7 MB

經過上述製做的鏡像，啓動一個容器,要指定用戶名peng和版本，若是不指定版本則默認選擇lastest

[root@docker ~]# docker run -it --name nginxv1 peng/mynginx:v1

[root@64f90e96221b /]#

9、使用Dockerfile 建立容器

9.1 dockerfile的四大部分

基礎鏡像信息

維護者信息

鏡像操做指令

容器啓動時執行指令

9.2 編寫Dockerfile建立容器

[root@docker nginx]# mkdir /opt/dockerfille/nginx -p

[root@docker nginx]# cat index.html

hello,world.

[root@docker nginx]# cat Dockerfile

# This is nginx dockfile

# Verion 1.1.1

# Author peng

FROM centos

MAINTAINER peng@alibaba.com

RUN rpm -ivh http://mirrors.aliyun.com/epel/epel-release-latest-7.noarch.rpm

RUN yum install -y nginx

ADD index.html /usr/share/nginx/html/index.html

RUN echo "daemon off;" >>/etc/nginx/nginx.conf

EXPOSE 80

CMD ["nginx"]

使用docker build執行dockerfile構建鏡像：

[root@docker nginx]# docker build -t peng/mynginx:v2 /opt/dockerfille/nginx/

查看使用dockerfile建立的鏡像，並run一個docker容器

[root@docker nginx]# docker images

REPOSITORY TAG IMAGE ID CREATED VIRTUAL SIZE

peng/mynginx v2 e9b122650b4e 17 seconds ago 366.7 MB

[root@docker nginx]# docker run -d --name nginxv2 -p 800:80 peng/mynginx:v2

0e199dccb749d348225125ff35f0342099bbb248478e1d537719e28c1c4bd46f

瀏覽器直接查看http://192.168.1.200:800：

10、Docker的Registry私有倉庫構建

run一個registry。

[root@docker ~]# docker run -d -p 5000:5000 registry

bf2156a9b00e9f2e49ebbd7b79a26ec196886b4f9cd573b6385786cd1207dd77

[root@docker ~]# curl 192.168.1.200:5000/v1/search

{"num_results": 0, "query": "", "results": []}

給registry打一個新的tag：

[root@docker ~]# docker tag peng/mynginx:v2 192.168.1.200:5000/peng/mynginx:lastest

配置nginx，使用用戶認證https的方式將鏡像push到倉庫中，必須使用https！！

增長一個nginx-registry的配置文件：

[root@docker conf.d]# pwd

/etc/nginx/conf.d

[root@docker conf.d]# cat docker-registry.conf

upstream docker-registry {

server 127.0.0.1:5000;

}

server {

listen 443;

server_name registry.peng.com;

ssl on;

ssl_certificate /etc/ssl/nginx.crt;

ssl_certificate_key /etc/ssl/nginx.key;

proxy_set_header Host $http_host;

proxy_set_header X-Real-IP $remote_addr;

client_max_body_size 0;

chunked_transfer_encoding on;

location / {

auth_basic "Docker";

auth_basic_user_file /etc/nginx/conf.d/docker-registry.htpasswd;

proxy_pass http://docker-registry;

}

location /_ping {

auth_basic off;

proxy_pass http://docker-registry;

}

location /v1/_ping {

auth_basic off;

proxy_pass http://docker-registry;

}

生成一個根證書,生產環境最好是買一個證書：

[root@docker CA]# cd /etc/pki/CA/

[root@docker CA]# touch ./{serial,index.txt}

[root@docker CA]# echo 00 >serial

[root@docker CA]# openssl genrsa -out private/cakey.pem 2048

Generating RSA private key, 2048 bit long modulus

..........................................................................................+++

..........................+++

e is 65537 (0x10001)

[root@docker CA]# openssl req -new -x509 -key private/cakey.pem -days 3650 -out cacert.pem

You are about to be asked to enter information that will be incorporated

into your certificate request.

What you are about to enter is what is called a Distinguished Name or a DN.

There are quite a few fields but you can leave some blank

For some fields there will be a default value,

If you enter '.', the field will be left blank.

-----

Country Name (2 letter code) [XX]:CN

State or Province Name (full name) []:beijing

Locality Name (eg, city) [Default City]:beijing

Organization Name (eg, company) [Default Company Ltd]:peng

Organizational Unit Name (eg, section) []:peng

Common Name (eg, your name or your server's hostname) []:peng-blog.com

Email Address []:admin@peng-blog.com

生成nginx的key和證書：

[root@docker CA]# cd /etc/ssl

[root@docker ssl]# openssl genrsa -out nginx.key 2048

Generating RSA private key, 2048 bit long modulus

.....+++

...........................+++

e is 65537 (0x10001)

[root@docker ssl]# openssl req -new -key nginx.key -out nginx.csr

You are about to be asked to enter information that will be incorporated

into your certificate request.

What you are about to enter is what is called a Distinguished Name or a DN.

There are quite a few fields but you can leave some blank

For some fields there will be a default value,

If you enter '.', the field will be left blank.

-----

Country Name (2 letter code) [XX]:CN

State or Province Name (full name) []:beijing

Locality Name (eg, city) [Default City]:beijing

Organization Name (eg, company) [Default Company Ltd]:peng

Organizational Unit Name (eg, section) []:peng

Common Name (eg, your name or your server's hostname) []:peng-blog.com

Email Address []:admin@peng-blog.com

Please enter the following 'extra' attributes

to be sent with your certificate request

A challenge password []:123456

An optional company name []:peng

簽發證書：

[root@docker ssl]# openssl ca -in nginx.csr -days 3650 -out nginx.crt

讓系統接收簽發的證書：

[root@docker ssl]# cat /etc/pki/CA/cacert.pem >> /etc/pki/tls/certs/ca-bundle.crt

建立密碼：

[root@docker ssl]# htpasswd -c /etc/nginx/conf.d/docker-registry.htpasswd peng

New password:

Re-type new password:

Adding password for user peng

啓動nginx：

[root@docker ssl]# systemctl start nginx

[root@docker nginx]# netstat -lntup|grep 443

tcp 0 0 0.0.0.0:443 0.0.0.0:* LISTEN 54093/nginx: master

登陸認證並push上打tag的lastest的鏡像

[root@docker nginx]#docker login -u peng -p 123456 -e admin@peng-blog.com peng-blog.com

[root@docker nginx]#docker push registry.peng.com/peng/mynginx:lastest

瀏覽器登陸:https://192.168.1.200:443會要求用戶輸入用戶名和密碼。服務器提示docker。

11、Namespace資源隔離

Namespace	系統調用參數	隔離內容
UTS	CLONE_NEWUTS	主機名與域名
IPC	CLONE_NEWIPC	信號量、消息隊列和共享內存
PID	CLONE_NEWPID	進程編號
Network	CLONE_NEWNET	網絡設備、網格棧、端口等等
Mount	CLONE_NEWNS	掛載點（文件系統）
User	CLONE_NEWUSER	用戶和用戶組

1）pid namespace

不一樣用戶的進程就是經過pid namespace隔離開的，且不一樣 namespace 中能夠有相同pid。全部的LXC進程在docker中的父進程爲docker進程，每一個lxc進程具備不一樣的namespace。同時因爲容許嵌套，所以能夠很方便的實現 Docker in Docker。

2）net namespace

有了 pid namespace，每一個namespace中的pid可以相互隔離，可是網絡端口仍是共享host的端口。網絡隔離是經過net namespace實現的，每一個net namespace有獨立的 network devices，IP addresses,，IP routing tables，/proc/net 目錄。這樣每一個container的網絡就能隔離開來。docker默認採用veth的方式將container中的虛擬網卡同host上的一個docker bridge: docker0鏈接在一塊兒。

3）ipc namespace

container中進程交互仍是採用linux常見的進程間交互方法(interprocess communication – IPC)，包括常見的信號量、消息隊列和共享內存。然而同 VM 不一樣的是，container 的進程間交互實際上仍是host上具備相同pid namespace中的進程間交互，所以須要在IPC資源申請時加入namespace信息 -- 每一個IPC資源有一個惟一的 32 位 ID。

4）mnt namespace

相似chroot，將一個進程放到一個特定的目錄執行。mnt namespace容許不一樣namespace的進程看到的文件結構不一樣，這樣每一個 namespace 中的進程所看到的文件目錄就被隔離開了。同chroot不一樣，每一個namespace中的container在/proc/mounts的信息只包含所在namespace的mount point。

5）uts namespace

UTS(「UNIX Time-sharing System」) namespace容許每一個container擁有獨立的hostname和domain name, 使其在網絡上能夠被視做一個獨立的節點而非Host上的一個進程。

6）user namespace

每一個container能夠有不一樣的 user 和 group id，也就是說能夠在container內部用container內部的用戶執行程序而非Host上的用戶。

12、docker拓展

12.1 可配額/可度量 – Control Groups (cgroups)

cgroups 實現了對資源的配額和度量。

cgroups 的使用很是簡單，提供相似文件的接口，在 /cgroup目錄下新建一個文件夾便可新建一個group，在此文件夾中新建task文件，並將pid寫入該文件，便可實現對該進程的資源控制。

groups能夠限制blkio、cpu、cpuacct、cpuset、devices、freezer、memory、net_cls、ns九大子系統的資源，如下是每一個子系統的詳細說明（可使用docker run -help查看）：

blkio 這個子系統設置限制每一個塊設備的輸入輸出控制。例如:磁盤，光盤以及usb等等。

cpu 這個子系統使用調度程序爲cgroup任務提供cpu的訪問。

cpuacct 產生cgroup任務的cpu資源報告。

cpuset 若是是多核心的cpu，這個子系統會爲cgroup任務分配單獨的cpu和內存。

devices 容許或拒絕cgroup任務對設備的訪問。

freezer 暫停和恢復cgroup任務。

memory 設置每一個cgroup的內存限制以及產生內存資源報告。

net_cls 標記每一個網絡包以供cgroup方便使用。

ns 名稱空間子系統。

附錄：

Docker基礎命令

[root@docker ~]# docker –help

Usage:
docker [OPTIONS] COMMAND [arg…]

docker daemon [ –help | … ]

docker [ –help | -v | –version ]

A
self-sufficient runtime for containers.

Options:

–config=~/.docker Location of client config files #客戶端配置文件的位置

-D, –debug=false Enable debug mode #啓用Debug調試模式

-H, –host=[] Daemon socket(s) to connect to #守護進程的套接字（Socket）鏈接

-h, –help=false Print usage #打印使用

-l, –log-level=info Set the logging level #設置日誌級別

–tls=false Use TLS; implied by–tlsverify

–tlscacert=~/.docker/ca.pem Trust certs signed only by this CA #信任證書籤名CA

–tlscert=~/.docker/cert.pem Path to TLS certificate file #TLS證書文件路徑

–tlskey=~/.docker/key.pem Path to TLS key file #TLS密鑰文件路徑

–tlsverify=false Use TLS and verify the remote #使用TLS驗證遠程

-v, –version=false Print version information and quit #打印版本信息並退出

Commands:

attach Attach to a running container #當前shell下attach鏈接指定運行鏡像

build Build an image from a Dockerfile #經過Dockerfile定製鏡像

commit Create a new image from a container’s changes #提交當前容器爲新的鏡像

cp Copy files/folders from a container to a HOSTDIR or to STDOUT #從容器中拷貝指定文件或者目錄到宿主機中

create Create a new container #建立一個新的容器，同run 但不啓動容器

diff Inspect changes on a container’s filesystem #查看docker容器變化

events Get real time events from the server #從docker服務獲取容器實時事件

exec Run a command in a running container #在已存在的容器上運行命令

export Export a container’s filesystem as a tar archive #導出容器的內容流做爲一個tar歸檔文件(對應import)

history Show the history of an image #展現一個鏡像造成歷史

images List images #列出系統當前鏡像

import Import the contents from a tarball to create a filesystem image #從tar包中的內容建立一個新的文件系統映像(對應export)

info Display system-wide information #顯示系統相關信息

inspect Return low-level information on a container or image #查看容器詳細信息

kill Kill a running container #kill指定docker容器

load Load an image from a tar archive or STDIN #從一個tar包中加載一個鏡像(對應save)

logout Log out from a Docker registry #從當前Docker registry退出

logs Fetch the logs of a container #輸出當前容器日誌信息

pause Pause all processes within a container #暫停容器

port List port mappings or a specific mapping for the CONTAINER #查看映射端口對應的容器內部源端口

ps List containers #列出容器列表

pull Pull an image or a repository from a registry #從docker鏡像源服務器拉取指定鏡像或者庫鏡像

push Push an image or a repository to a registry #推送指定鏡像或者庫鏡像至docker源服務器

rename Rename a container #重命名容器

restart Restart a running container #重啓運行的容器

rm Remove one or more containers #移除一個或者多個容器

rmi Remove one or more images #移除一個或多個鏡像(無容器使用該鏡像才能夠刪除，不然須要刪除相關容器才能夠繼續或者-f強制刪除)

run Run a command in a new container #建立一個新的容器並運行一個命令

save Save an image(s) to a tar archive #保存一個鏡像爲一個tar包(對應load)

search Search the Docker Hub for images #在docker hub中搜索鏡像

start Start one or more stopped containers #啓動容器

stats Display a live stream of container(s) resource usage statistics #統計容器使用資源

stop Stop a running container #中止容器

tag Tag an image into a repository #給源中鏡像打標籤

top Display the running processes of a container #查看容器中運行的進程信息

unpause Unpause all processes within a container #取消暫停容器

version Show the Docker version information #查看容器版本號

wait Block until a container stops, then print its exit code #截取容器中止時的退出狀態值

Run ‘docker COMMAND –help’ for more information on a command. #運行docker命令在幫助能夠獲取更多信息

相關標籤/搜索

每日一句

每一个你不满意的现在，都有一个你没有努力的曾经。