标签：docker

费了好大力气从Docker官网下载了Docker Community Editor的安装镜像，Docker.dmg, 总共将近500MB，双击进行安装：

命令行里使用docker version查看版本：

然后使用命令行docker run hello-world，遇到错误信息：Error response from daemon: unauthorized: incorrect username or password:

解决方案

使用命令docker login首先进行登录：

然后hello world的Docker 容器就能正常工作了：

前言

本文为学习整理和参考文章，不具有教程的功能。其次，后面将会陆续更新各种应用的容器化部署的实践，如MySQL容器化，Jenkins容器化，以供读者参考。

镜像获取

docker pull [options] [Docker Registry地址]<仓库名>:<标签>

-a, --all-tags: 下载该镜像的所有版本

Docker Registry地址默认为Docker Hub，一般格式为IP：端口号
仓库名为两段式 <用户名>:<软件名> 默认用户名为library
标签不填则默认为latest

列出镜像

docker images [options] [Repository[:tag]]
默认情况会展示所有最终镜像，如果加上了镜像名，则会展示该镜像的所有信息
-a, --all: 展示所有镜像，包括中间层
-f, --filter filter: 根据某种条件对镜像进行筛选
--format string: 使用go的模板语法
-q， --quiet: 只返回镜像的ID

docker images -f since=mongo:3.2  #查看mongo3.2版本之后建立的镜像，如果是要在之前，则使用before
docker images --format "{{.ID}}:{{.Repository}}" #输出结构为ID：Repository

虚悬镜像

虚悬镜像是指既没有仓库名，也没有标签的镜像。这种镜像的产生常常由于当前的仓库名和标签被更新版本占用，导致当前境像失效。

docker images -f danling=true #列出所有虚悬镜像
docker rmi $(docker images -q -f dangling=true) #利用复合指令删除虚悬镜像

commit镜像

commit会将容器的存储层保存下来成为新的镜像

docker commit [options] <容器ID或容器名> [<仓库名>[:<标签>]]
-a, --author string: 容器所有者
-c, --change list: 在容器上执行Dockerfile指令
-m, --message string: 提交信息
-p, --pause: 提交过程中停止容器的运行，默认为true

docker history IMAGE #显示镜像的历史记录
docker diff CONTAINER #查看容器的改动

尽量不要使用commit指令构建镜像

Dockerfile

构建镜像

利用Dockerfile构建镜像。

docker build [options] PATH | URL | -
-f, --file string: Dockerfile的路径
--rm: 成功构建后删除中间镜像
-t, --tag: 以name:tag的形式为镜像命名
docker build -t nginx:v3 . #执行当前目录下的Dockerfile并构建镜像，新的镜像名为nginx:v3
docker build https://......   #直接从github构建，会自动clone这个项目，切换到指定分支（默认为master），并进入指定目录进行构建

最后的路径是指镜像构建的上下文，docker在build的时候会把该上下文中的而所有内容全部打包上传给docker引擎。当在Dockerfile中需要引用相对路径时，就是以该上下文作为当前指令执行的目录。可以编写.dockerignore文件来剔除无需打包的文件。
在默认情况下，如果不指定Dockerfile的位置，就会从构建的上下文寻找Dockerfile来执行

FROM

指定基础镜像，Dockerfile的第一行必须制定基础镜像

RUN

执行命令。RUN指令会新建一层并在其上执行指令，指令完成之后再commit该镜像。所以RUN指令中的内容应当尽可能合并，并且记得清除冗余的内容如缓存等。

RUN <指令>
RUN ["可执行文件", "参数1", "参数2"]
RUN mkdir newDir 
   && touch newFile

COPY

将构建上下文中源路径中的内容复制到目标路径之下。可以使用通配符。如果目标目录不存在，容器会帮助创建。复制过程不改变文件属性。

COPY 源路径 目标路径
COPY ["源路径",...,"目标路径"]

COPY hom* /mydir/

CMD

默认的容器的主进程的启动命令，在运行时可以指定新的命令来替代镜像设置中的默认命令。比如ubuntu的默认指令是/bin/bash。如果使用第一种形式，则会以sh -c的形式执行，这样就能够得到环境变量。容器中的应用都应该前台执行。

CMD <命令>
CMD ["可执行文件", "参数一", "参数二", ...]
CMD ["参数一", "参数二"...]

CMD ["nginx", "-g", "daemon off;"]
docker run -it ubuntu #直接进入bash，因为默认指令为/bin/bash
docker run -it ubuntu /etc/os-release #默认指令变成/etc/os-release

ENTRYPOINT

指定容器启动程序及参数，当指定了ENTRYPOINT之后，CMD的含义就变成了ENTRYPOINT的参数。从而实现我们在build镜像时可以根据配置修改启动指令的参数。在docker run运行时可以用–entrypoint覆盖

ENTRYPOINT "CMD"
ENTRYPOINT ["可执行文件", "参数一", "参数二"...]

ENV

设置环境变量

ENV KEY VALUE
ENV KEY1=VALUE2 KEY2=VALUE2

ARG

同ENV，设置环境变量并为其提供默认值，不同的是在容器运行时，这些值将不存在。在运行时可以用–build-arg <参数名>:<值>覆盖

ARG <参数名>[=默认值]

VOLUMN

指定匿名卷，防止用户忘记挂载,运行时用-v HOST_DIR/CONTAINER_DIR进行覆盖

VOLUMN PATH

EXPOSE

声明运行时容器提供的服务端口，运行时应用并不会因为这个声明而打开这个端口。docker run -P时会对声明的端口随机映射

EXPOSE　端口一 端口二

WORKDIR

指定容器之后各层的工作目录。因为本层的cd并不会顺带到下一层。

WORKDIR PATH

USER

改变之后层执行RUN，ENTRYPOINT等指令的身份

RUN groupadd -r redis && useradd -r -g redis redis
USER redis
RUN ["redis-server"]

ONBUILD

ONBUILD 其它指令

用于构建基础镜像，被引用是才会真正执行。可以提取出重复的部分，方便维护

删除

docker rmi [options] <image1> [<image2>....] #删除镜像
docker rm [options] <container1> [<container2>...] #删除容器

进入容器

docker attach CONTAINER_NAME

查看数据卷信息

docker inspect CONTAINER_NAME

匿名的数据卷默认位于/var/lib/docker/volumes之下

查看容器

docker logs [-f] container

查看端口映射配置

docker port container container_port

容器链接

--link container_name:alias

原文地址: http://zhenhua-lee.github.io/container/docker.html

Docker是一个虚拟环境容器，可以将应用代码、环境配置、系统环境等一并打包在一起，生成一个镜像，然后就可以发布到任意平台上。

与VM的区别

VM在物理机的操作系统上建立了一个中间软件层 hypervisor，利用物理机资源，虚拟出多个硬件资源，这些新的虚拟硬件环境、安装的操作系统、相应软件便构成了一台虚拟机

而 Docker 对硬件资源，在不同docker container上做了隔离，使得每个docker container拥有不同的环境，同时可以共享硬件资源

日常使用的基本概念

核心功能简答介绍:

• Docker是C/S模式
• images：docker镜像，是Docker run的原材料
• container: Docker运行的内容，是独立存在的
• data volumes: 通过数据挂载的方式，实现数据共享
• network：用户容器与外部、容器之间的通信，常用的方法有端口映射、link等

使用流程

基本操作

• docker version: 查看基本版本信息，包括client、server

关于镜像的基本操作

• docker search: 默认在 https://hub.docker.com 中查询镜像，当然可以修改registry
• docker pull: 镜像拉取 docker pull imageName:version
• docker push: 镜像提交
• docker images: 查看本地镜像
• docker rmi: 删除本地镜像
• docker build：利用 Dockerfile 制作镜像，例如 docker build -t newImageName -f dockerFile [contextPath]
• docker commit: 基于运行的 container 制作镜像

关于容器的基本操作

• docker run
  • 镜像的运行
  • d: 在后台运行
  • v: 用户数据挂载
  • p: 端口映射，实现外部与容器之间的通信
  • rm: 容器推出时，直接删除容器
  • i: 交互式的方式
  • t: 在容器中启动一个终端
• docker ps
  • 查询当前存在的容器
  • a: 列出所有容器
  • q: 仅出 container id

• dock exec: 在容器中执行命名，例如可以使用 docker exec -it containerId /bin/bash 进入到容器内部

• docker stop: 停止容器的运行
• docker restart: 重新启动容器的运行
• docker rm: 容器删除

DockerFile

# 指定基础镜像
FROM NODE:10.12

## 从本地 copy 文件到镜像中
COPY ./ /data/my-node/

## 切换 container 的工作目录
WORKDIR /data/my/node

## 执行命令
RUN npm install

## 容器的启动命名
ENTRYPOINT ["node", "./index.js"]

计算机如果不能够联网，其价值就要大打折扣。类似的，一个Docker容器也需要通过网络访问其他资源，或者被其他资源访问。这就涉及到Docker容器实例的网络，也与Docker宿主机的网络息息相关。

总的来说，Docker的网络是一个通过网络驱动器（driver）实现的Docker子系统。不同的网络驱动器，能够创建具有不同网络特性的Docker容器实例。

目前（Docker v18.03），Docker内置提供如下的网络驱动器：

1. bridge

Docker容器实例默认即使用该网络驱动器，-d=bridge明确使用该网络驱动器。

该网络驱动器适用于独立的容器实例之间通信，但是这些容器实例必须位于同一个宿主机。在bridge网络中，各个独立的容器实例都是连接到一个bridge，并通过bridge通信。

在Docker环境中，默认即已经创建了一个名为bridge的网络。后续启动的容器实例，如果没有指明网络驱动器，则默认加入到该网络。也可以专门创建一个定制的bridge网络，创建的bridge网络会覆盖默认的bridge网络。定制的bridge网络，最大的好处是默认即支持服务的自动发现。

在bridge网络中，每次启动一个容器实例，都会按照顺序获取网络IP。所以重启容器实例后，可能会发现容器的IP变化了。

bridge网络默认不支持IPv6。

2. host

-d=host明确使用该网络驱动器。

该网络驱动器适用于Linux宿主机上的独立的容器实例。容器实例与容器宿主机之间没有网络隔离，容器实例直接使用宿主机的网络。
host网络默认不支持IPv6。

3. overlay

-d=overlay明确使用该网络驱动器。

该网络驱动器适用于Docker宿主机集群中的各个独立的容器实例之间通信。为集群中的Docker容器实例提供跨多个Docker引擎的网络连接。

4. macvlan

-d=macvlan明确使用该网络驱动器。
该网络驱动器适用于与需要有MAC地址的容器实例。
在某些历史遗留应用中，只能通过MAC通信，与之通信的容器实例也必须拥有MAC地址。这时容器实例就如同真实的物理设备一样。

5. none

-d=none禁用容器实例中的网络功能。通常，这表明要使用其他的第三方网络驱动器。

关于其他第三方网络驱动器，请参考https://store.docker.com/search?category=network&q=&type=plugin

参考链接：

https://docs.docker.com/network/

这次我们创建一个Hello world的web服务器。

一

mkdir -p identidock/app   #首先创建一个新的multiidentidock来存放我们的项目，在这个目录下面，创建一个app目录来存放Python代码。
touch app/identidock.py  #在app目录下创建identidock.py

# 编辑identidock.py的内容
from flask import Flask
app = Flask(__name__)  #初始化Flask和设置应用对象
@app.route('/')     #创建一个与URL关联的路由，当这个URL被请求，它会调用hello_world函数。
def hello_world():
        return "Hello Docker!n"
if __name__ == '__main__':
        app.run(debug=True,host='0.0.0.0')  #初始化Python web服务器，使用0.0.0.0作为主机参数绑定了所有的网络接口

#现在我们需要一个存放Python代码的容器然后运行它。在identidock目录下面创建一个Dockerfile文件，并且编辑如下内容
FROM python:3.4
RUN pip install Flask==0.10.1
WORKDIR /app
COPY app /app
CMD ["python" "identidock.py"]

现在我们可以构建我们的简单镜像了

docker build -t identidock .
……
docker run -d -p 5000:5000 identidock

• -d 代表在后台运行容器
• -p 代表我们想转发主机的5000端口到容器的5000端口

curl localhost:5000    #进行测试
Hello World!

但是有一些问题存在:每次代码的改变，我们都需要重新构建镜像然后重启这个容器。

对此，有一个简单的解决方案，我们可以绑定主机的源代码文件夹到内部容器文件夹中。

二

docker stop $(docker ps -ql)  #停止最近创建的容器
docker rm $(docker ps -lq)    #删除最近创建的容器
docker run -d -p 5000:5000 -v $(pwd)/app:/app identidock
-v $(pwd)/app:/app 参数绑定app目录到容器的/app。 它会覆盖容器内/app的内容，同时对于容器内部也是可写的(你也可以挂载为只读模式)-v 参数必须是绝对路径。

curl localhost:5000  #测试
Hello world!

现在我们可以在主机上编辑文件看看

sed -i 's/World/Docker/' app/identidock.py  #使用sed快速替换World为Docker，你也可以使用正常的文本编辑器。
curl localhost:5000
Hello Docker!

现在除了容器内容封装的一些依赖关系，我们就拥有了一个相对正常的开发环境了。然而这里还有一个问题，那就是我们不能在生产环境使用这个容器，因为它正在运行的是默认的Flask webserver，它只适用于开发者，在生产环境中则效率低下并且不安全。一个好的解决方法就是采纳Docker减少开发环境和生产环境的区别，现在让我们在看一下怎么处理吧。

三

uWSGI是一个为生产环境准备的应用服务器，它也可以位于类似于Nginx的web server后面。使用uWSGI代替Flask webserver会提供我们一个灵活的容器，方便我们进行设置。我们可以转换这个容器到使用uwSGI容器只需要修改Dockerfile中的两行。

FROM python:3.4
RUN pip install Flask==0.10.1 uWSGI==2.0.8 
WORKDIR /app
COPY app /app
CMD ["uwsgi", "--http", "0.0.0.0:9090", "--wsgi-file", "/app/identidock.py", 
     "--callable", "app", "--stats", "0.0.0.0:9191"]

docker build -t identidock  #构建这个镜像，然后运行它我们可以看到其中的不同
……
docker run -d -p 9090:9090 -p 9191:9191 identidock
curl localhost:9090
Hello Docker!

你可以使用docker logs来看一下日志uWSGI的日志信息。当然我们也可以在http://localhost:9191中看到一些uWSGI暴露的状态信息。

但是实际上，上面会提示一个安全问题，我们使用root来运行服务了。我们可以在Dockerfile中很容易的修复这个问题,同时我们在声明一下容器监听的端口。

四

FROM python:3.4
RUN groupadd -r uwsgi && useradd -r -g uwsgi uwsgi
RUN pip install Flask==0.10.1 uWSGI==2.0.8
WORKDIR /app
COPY app /app
COPY cmd.sh /
EXPOSE 9090 9191
USER uwsgi
CMD ["uwsgi","--http","0.0.0.0:9090","--wsgi-file","/app/identidock.py", 
"--callable","app","--stats","0.0.0.0:9191"]

docker build -t identidock . #重建这个镜像
...
docker run identidock whoami 
uwsgi

#你最好在你的所有的Dockerfile中设置用户，或者在ENTRYPOINT或CMD脚本中改变用户。

现在在容器呢把的命令不是以root来运行了，让我们运行一下这个容器试试。。

docker run -d -P --name port-test identidock
#-P 让Docker自动的映射一个大数字的本地主机端口到容器内部。

我们可以看下那个端口被映射了

docker port port-test 
9090/tcp -> 0.0.0.0:32769 
9191/tcp -> 0.0.0.0:32768

curl localhost:32769 #现在做个测试
Hello Docker!

现在还存在一个问题，那就是我们缺失了开发工具，例如调试输出和实时的代码重载。理想情况下，我们想要使用这个镜像既可以作为开发环境又可以作为生产环境。我们可以使用环境变量和一个简单的脚本来实现这个需求。

五

在和Dockerfile相同的目录下创建cmd.sh，然后编辑如下内容

#!/bin/bash set -e
if [ "$ENV" = 'DEV' ]; then
  echo "Running Development Server"
  exec python "identidock.py" 
else
  echo "Running Production Server"
  exec uwsgi --http 0.0.0.0:9090 --wsgi-file /app/identidock.py 
             --callable app --stats 0.0.0.0:9191 
fi

chmod +x cmd.sh

#编辑Dockerfile
FROM python:3.4
RUN groupadd -r uwsgi && useradd -r -g uwsgi uwsgi
RUN pip install Flask==0.10.1 uWSGI==2.0.8
WORKDIR /app
COPY app /app
COPY cmd.sh /
EXPOSE 9090 9191
USER uwsgi
CMD ["/cmd.sh"]

docker stop $(docker ps -q)
docker rmr $(docker ps -aq)
docker build -t identidock .  #重建镜像
docker run -e "ENV=DEV" -p 5000:5000 identidock
Running in development environment.
 * Running on http://0.0.0.0:5000/ (Press CTRL+C to quit)
 * Restarting with stat
 * Debugger is active!
 * Debugger pin code: 290-812-275

docker run -p 5000:5000 -v $(pwd)/app:/app -e "ENV=DEV" identidock #这时我们可以实时修改代码了

然后再不加ENV=DEV的情况下运行就是成产环境了。

小结：
上面依次展示了一些Docker生产中可能会存在的问题。并且提供了最后的解决方案。