Docker笔记
安装
首先检查是否已经安装过Docker:yum list installed | grep docker,如果已经安装过需要删除旧的Docker:yum remove docker-ce,除默认的docker目录,其中包含了之前的镜像和容器文件、配置等:rm -rf /var/lib/docker。
(如果有2017年之前的版本,需要如下删除)
yum remove docker
docker-client
docker-client-latest
docker-common
docker-latest
docker-latest-logrotate
docker-logrotate
docker-selinux
docker-engine-selinux
docker-engine
如果执行yum list时提示“Repodata is over 2 weeks old. Install yum-cron? Or run: yum makecache fast”,则运行yum makecache fast即可(这个命令是指将软件列表缓存到本地)
官方其实有一键安装脚本(但是国内下载有点慢):
安装:
wget -qO- https://get.docker.com/ | sh
启动(CentOS 7):
systemctl start docker
给予用户权限:
sudo usermod -aG docker 用户名
记得重启一下shell。
或者直接从yum安装(centOS默认源很慢,首先需要换一下国内源,见下文添加Docker源):
#必须先更新yum源,否则找不到docker-ce,只能找到docker
yum makecache fast
#查看所有仓库中所有docker版本
yum list docker-ce --showduplicates | sort -r
#直接安装Docker CE (总会安装最新版,可能不符合你的需求)
yum -y install docker-ce
#或选择安装64位的版本:
#yum install docker-ce.x86_64
#或选择特定版本安装,比如这里的版本是19.03.0.ce:
yum -y install docker-ce-19.03.0.ce
添加Docker源
首先安装yum工具包:
yum install -y yum-utils
然后添加阿里的Docker源:
yum-config-manager --add-repo http://mirrors.aliyun.com/docker-ce/linux/centos/docker-ce.repo
然后更新列表:
yum makecache fast
docker启动重启命令:
systemctl status docker
systemctl start docker
systemctl stop docker
systemctl restart docker
systemctl enable docker #开机自启
systemctl disable docker #取消开机自启
Docker介绍
Docker中的几个对象概念:
- 容器(Container)
- 镜像(Image)
- 仓库(Repository)
- 注册中心(Registry)
容器类似Java中的类的示例,镜像类似Java中的类,而仓库则是存放镜像的地方,注册中心有共有仓库和私有仓库。
完整描述一个镜像:注册中心/仓库:标记,比如:rep.itcast.cn/tomcat:9.0.12,如果省略注册中心,默认是docker.io或index.docker.io/v1/。
更换Docker镜像地址
执行docker info | grep Registry可以看到docker默认的仓库地址,这里可以更换中科大的Docker加速镜像:
# 编辑文件(没有就创建一个)
vim /etc/docker/daemon.json
在其中添加(其实这里更推荐阿里的源,要快得多,地址是这里,需要登录阿里账号):
{
"registry-mirrors": ["https://docker.mirrors.ustc.edu.cn"]
}
然后重启Docker:
systemctl daemon-reload && systemctl restart docker
然后docker info可以看到源的镜像地址。
如果执行docker命令时出现如下警告(正常情况下貌似没有)
WARNING: bridge-nf-call-iptables is disabled
WARNING: bridge-nf-call-ip6tables is disabled
可以如下处理:
vim /etc/sysctl.conf
添加:
net.bridge.bridge-nf-call-ip6tables = 1
net.bridge.bridge-nf-call-iptables = 1
然后
sysctl -p
即可
镜像操作
查找镜像
docker search [选项] 搜索内容
选项参数:
| Name, shorthand | Default | Description |
|---|---|---|
--automated |
只展示自动构建 | |
--filter , -f |
根据条件过滤 | |
--format |
格式化输出 | |
--limit |
25 |
最大搜索结果 |
--no-trunc |
不截断输出 | |
--stars , -s |
只展示最少多少星的 |
镜像搜索还可以直接在这个网站Docker hub直接搜索。
拉取镜像
docker pull [选项] NAME[:TAG|@DIGEST]
选项参数:
| Name, shorthand | Default | Description |
|---|---|---|
--all-tags , -a |
下载仓库中所有目标镜像 | |
--disable-content-trust |
true |
跳过镜像验证 |
--platform |
镜像支持多平台时可以设置平台 | |
--quiet , -q |
静默下载(没有下载输出) |
如果使用默认注册中心时可以省略注册中心地址,同时还有:
- centos:7.6.1810----->下载的就是7.6.1810
- centos:7.6 ------->下载7.5.最高版本 的版本
- centos:7 ------->下载7系列最高的版本
- centos:6 ------->下载6系列最高的版本
- centos:latest ------->下载最高的版本,省略版本号时就是latest
- centos ------->下载最高的版本,省略版本号时就是latest
查看镜像
查看本地镜像:
docker search [选项] 镜像名
选项参数:
| Name, shorthand | Default | Description |
|---|---|---|
--automated |
只展示自动构建的镜像 | |
--filter , -f |
过滤 | |
--format |
格式化输出 | |
--limit |
25 |
最大展示数 |
--no-trunc |
不截断输出(ID长的时候会截断) | |
--stars , -s |
展示至少多少start的镜像 |
示例
#列出"centos"仓库中的所有镜像:
docker images centos
#列出标记为7.6.1810的"centos"仓库中的所有镜像:
docker images centos:7.6.1810
#列出镜像信息中有centos的镜像
docker images | grep centos
删除镜像
删除centos的镜像
docker rmi centos
删除所有镜像(慎用)
#docker images -q 展示所有镜像id
#这里的不是单引号,而是反引号
docker rmi `docker images -q`
容器操作
如果说镜像是类,那容器就是类的一个实例。
查看容器
docker ps [选项]
选项参数:
| Name, shorthand | Default | Description |
|---|---|---|
--all , -a |
查看所有容器 (默认只有正在运行的容器) | |
--filter , -f |
过滤 | |
--format |
格式化输出 | |
--last , -n |
-1 |
显示n个上次创建的容器(包括所有状态) |
--latest , -l |
显示最新创建的容器(包括所有状态) | |
--no-trunc |
不截断输出 | |
--quiet , -q |
仅显示数字标识 | |
--size , -s |
显示文件总大小 |
(1)列出所有正在运行的容器:
docker ps
(2)显示所有容器,包括正在运行的和停止的。
docker ps -a
- -a:显示正在运行的和停止的容器。该参数也可以写成
--all或--all=true。
(3)查看停止了的容器列表(一般不用)
docker ps -f status=exited
#或
docker ps -a |grep exited
- -f:过滤结果,该参数也可以写成
--filter。 - status:是
-f参数中的参数,指的是容器的状态,该状态的值有:created,restarting,running,removing,paused,exited,或dead。
创建运行容器
一般使用docker run 镜像名来运行一个容器。该命令参数较多,不再一一列举。
交互式容器
创建一个用于测试的容器,容器创建成功后自动分配伪终端,可进行人机交互。
创建运行一个centos的容器:
docker run -it --name=mycentos centos:7.6.1810 bash
#或
docker run -i -t --name=mycentos centos:7.6.1810 bash
#或
docker run --interactive=true --tty=true --name=mycentos centos:7.6.1810 /bin/bash
- -i:保持标准输入(STDIN)打开,可实现交互式输入输出。该参数也可以写成
--interactive=true。 - -t:分配一个伪终端(pseudo-TTY:伪终端、虚拟控制台),用于交互式的输入输出,必须有
-i参数。该参数也可以写成--tty =true。 - bash:分配伪终端时要在容器上执行的执行,这里使用的linux的bash脚本命令,该命令完整写法为
/bin/bash。
提示:
run和镜像名字之间的选项没有顺序,但命令必须放到镜像名字之后。
优点:
创建完容器后,自动运行容器,并可以直接进入到子容器系统中操作了,主要用于测试使用。
缺点:
当退出子容器后,该容器会自动停止运行。
守护式容器:
创建一个需要长期运行的容器,就可以创建一个守护式容器(后台运行的容器),下面的命令用于在后台创建运行容器并打印容器ID:
docker run -id --name=mycentos2 centos:7.6.1810
-d:在后台运行容器并打印容器ID。该参数也可以写成--detach或--detach=true。
提示:
该容器的运行需要打开标准输入(-i参数),否则无法运行。但对于很多容器来说,无需标准输入,则无需使用-i参数,只需要-d即可。不管是否需要标准输入,加上-i的参数暂无发现有副作用。
登录守护式容器方式:
docker exec -it container_name (或者 container_id) /bin/bash #exit退出时,容器不会停止
比如:
#方式1:使用名字进入
docker exec -it mycentos2 bash
#方式2:使用id进入(ID很长,可以只写前一部分)
docker exec -it 2c32a5cb4a71 bash
优点:
从守护式容器中退出,并不影响容器的运行。
缺点:
必须的手动命令进入到容器。
docker run其实包含创建和运行两步
容器停止与挂起
容器的停止/重启
说明:
停止一个或多个正在运行的容器
docker stop/restart [选项] 容器名 [其他容器名]
选项:
| Name, shorthand | Default | Description |
|---|---|---|
--time , -t |
10 |
几秒之后停止 |
例如:停止正在运行的mycentos2容器:
docker stop mycentos2
容器的启动
说明:
启动一个或多个已经停止了的容器
docker start [选项] 容器名 [其他容器名...]
选项:
| Name, shorthand | Default | Description |
|---|---|---|
--attach , -a |
附加STDOUT/STDERR和转发信号 | |
--checkpoint |
附加STDOUT/STDERR和转发信号 | |
--checkpoint-dir |
使用自定义检查点存储目录 | |
--detach-keys |
覆盖分离容器的键序列 | |
--interactive , -i |
附加容器的STDIN |
例如:启动mycentos2容器
docker start mycentos2
三、容器的挂起与取消
docker pause 容器名 [容器名...]
docker unpause 容器名 [容器名...]
文件拷贝
# 容器中文件表示为 容器名:容器内路径
docker cp 原路径 目标路径
目录的映射挂载
docker run -v `宿主机目录`:`容器目录` [--read-only] image
- -v:将当前工作目录装载到容器中。绑定装载卷的宿主机目录不存在时,Docker会自动在宿主机上为您创建这个目录。
- --read-only:将容器的根文件系统安装为只读。卷的挂载可以与只读标志选项--read-only结合使用,用于控制容器对文件是否能写入。只读标志将容器的根文件系统挂载为只读,禁止向容器指定卷以外的位置写入。容器中只有挂载的目录是可写的,其他的目录无法写入,从而保护容器。
宿主机路径必须是绝对路径。
可能遇到的问题:
如果你共享的是多级的目录,挂载宿主机已存在目录后,在容器内对其进行操作,报“Permission denied”。可能会出现权限不足的提示。
方案一、 指定--privileged参数,以特权方式启动容器 (推荐)
--privileged=true
docker run -id --name=mycentos3 -v /root/myvolume:/myvolume --privileged centos:7.6.1810
#或
docker run -id --name=mycentos3 -v /root/myvolume:/myvolume --privileged=true centos:7.6.1810
方案二、关闭CentOS7中的安全模块selinux(了解)
1)临时关闭:
setenforce 0
2)永久关闭:修改/etc/selinux/config或/etc/sysconfig/selinux文件,将SELINUX的值设置为disabled。
#默认值是enforcing
SELINUX=disabled
#注释掉这行(可选)
#SELINUXTYPE=targeted
保存,退出,重启系统
不想重启,可以使用:setenforce 0 ,使配置立即生效
删除容器
删除一个或多个容器。
docker rm [选项] 容器名 [其他容器名]
选项:
| Name, shorthand | Default | Description |
|---|---|---|
--force , -f |
强制删除正在运行的容器 | |
--link , -l |
删除指定的链接 | |
--volumes , -v |
删除与容器关联的卷 |
【示例】
(1)先停止运行的mycentos3的容器,再删除它。
docker stop mycentos3
docker rm mycentos3
提示:
上述命令默认只能删除停止了的容器。若容器是启动的状态,则可以先停止容器,再删除。
(2)直接强制删除正在运行的mycentos2容器
docker rm -f redis
#或者
docker rm --force redis
(3)强制删除所有的容器
# 注意这里是反引号,不是单引号
docker rm -f `docker ps -qa`
#或
docker rm -f $(docker ps -a -q)
(4)删除容器时,将其关联的卷也删掉
(数据卷的生命周期独立于容器)
-V 命令将删除容器及其关联的任何卷。请注意,如果使用名称指定了卷,则不会删除该卷。
#docker create -v awesome:/foo -v /bar --name hello redis
docker run -id -v /root/myvolume:/myvolume -v mycentosfoo:/foo -v /bar --name=mycentos5 centos:7.6.1810
docker rm -v mycentos5
在此示例中,/foo的卷将保持不变,但/bar的卷将被删除。对于继承了--volumes-from的卷,同样的行为也适用。
容器的开机自启
如果还未创建容器,则可以在run命令中添加--restart=always来使该容器开机自启(推荐);
如果已经创建容器,则可以使用docker update --restart=always 容器名或容器ID来设置容器开机自启。
部署
Redis部署
拉取Redis镜像
docker pull redis
创建Redis容器
docker run -d --name=my_redis -p 6379:6379 redis
-p代表端口映射,宿主机映射端口:容器运行端口
MySQL部署
拉取MySQL镜像
docker pull mysql
创建运行容器,并添加端口映射并修改数据库密码
docker run -di --name=my_mysql -p 3306:3306 -e MYSQL_ROOT_PASSWORD=123456 mysql
-e代表添加环境变量,MYSQL_ROOT_PASSWORD是数据库root用户登录密码
几个Linux的小知识点:
- 查看端口占用:
lsof -i:端口号 - 关闭MySQL服务:
systemctl stop mysql - 查看MySQL版本:
- shell中执行:
mysql -v(匿名有可能不被MySQL允许) - MySQL中执行:
select version();
- shell中执行:
MySQL8的默认的密码加密策略发生了变化,之前的一些客户端的软件会出现无法登录的情况。
方式一:
使用mysql8版本的原生的客户端命令登录进去,使用之前的密码加密策略重新修改密码:
#本地登录(如果仅仅用原生的命令行在本地登录的话,可不用改)
ALTER USER 'root'@'localhost' IDENTIFIED WITH mysql_native_password BY '123456';
#远程登录
ALTER USER 'root'@'%' IDENTIFIED WITH mysql_native_password BY '123456';
方式二(推荐):
创建容器的时候,直接指定MySQL的默认认证插件使用mysql_native_password:
docker run -di --name=my_mysql2 -p 3307:3306 -e MYSQL_ROOT_PASSWORD=123456 mysql:8.0.17 --default-authentication-plugin=mysql_native_password
Tomcat部署
拉取Tomcat镜像:
docker pull tomcat
创建容器
docker run -id --name=my_tomcat -p 9001:8080 -v ~/myvolume:/usr/local/tomcat/webapps tomcat
#或
docker run -id --name=my_tomcat3 -p 9003:8080 -v ~/myvolume:/usr/local/tomcat/webapps --privileged=true tomcat
测试:
部署web应用
- 将程序拷贝到宿主机的~/myvolume下面。比如:再建立目录myapp,里面编辑一个index.html页面作为测试主页
- 在虚拟机的宿主机上的浏览器地址栏中输入:http://192.168.40.141:9001/myapp
备份与迁移
根据容器的更改创建新镜像,即基于原始镜像,将其运行的容器中更改的内容,来生成新的镜像。
docker commit [选项] 容器名
选项:
| Name, shorthand | Default | Description |
|---|---|---|
--author , -a |
作者(mailto:hannibal@a-team.com)”) | |
--change , -c |
将Dockerfile指令应用于创建的映像 | |
--message , -m |
创建信息 | |
--pause , -p |
true |
创建镜像时挂起容器 |
例:将myRedis提交为新的镜像:
docker commit myRedis my_redis:1.0.1
本地就会多一个镜像。
镜像保存
将一个或多个镜像保存到tar存档(默认流到标准输出-STDOUT)
docker save [选项] 镜像名 [其他镜像名...]
| Name, shorthand | Default | Description |
|---|---|---|
--output , -o |
写入文件,而不是STDOUT(标准输出) |
例:
1)创建一个镜像的备份到磁盘文件:
# 后面可以跟多个镜像名来打包成一个文件
docker save -o myredis-1.0.1.save.tar myredis:1.0.1
#或
docker save myredis:1.0.1 > myredis-1.0.1.save.tar
2)镜像打包时使用gzip压缩,可以让备份的文件更小(建议):
docker save myredis:1.0.1 | gzip > myredis-1.0.1.save.tar.gz
3)将某个仓库的所有镜像打包(不常用):
docker save -o xxx.tar 仓库名字
#如
docker save -o redis.tar redis
镜像的加载
从tar归档文件或标准输入(stdin)加载镜像,归档文件即使是使用gzip、bzip2或xz压缩后的,也能自动识别和处理。
docker load [选项]
| Name, shorthand | Default | Description |
|---|---|---|
--input , -i |
从文件读取,而非标准输入 | |
--quiet , -q |
静默读取 |