¶一、简介
Docker是一个开源的应用容器引擎,它是由 Go 语言 开发实现的轻量级容器技术,它是基于 Linux 内核的 cgroup,namespace,以及 AUFS 类的 Union FS 等技术,对进程进行封装隔离,属于 操作系统层面的虚拟化技术。由于隔离的进程独立于宿主和其它隔离的进程,因此也称其为容器。
¶二、概念
¶1. 概要理解
Docker支持安装各种软件并做好配置后编译成镜像,最终可以直接运行镜像产生一个或多个运行于宿主机内核上的容器。为了形象的理解容器,可以简单的理解它为运行在操作系统上的独立沙箱系统,这些沙箱系统内部的文件系统和Linux的非常相似,事实上确是如此,因为Docker就是融合了Linux内核而实现的虚拟化技术,由于具有沙箱的特性,所以各个容器之间是隔离运行的、独立的、互不影响的,程序员甚至不用担心容器内部损坏或者崩溃导致宿主机出错,因为只要删除掉这些有问题的容器,而再运行相关的镜像又会得到全新的容器了,只要不进行数据挂载,整个过程甚至干净不留残余。
¶2. 核心内容
docker主机(Host):或者称为docker宿主机,即安装了Docker程序的机器。
docker客户端(Client):连接docker主机进行操作的程序。
docker镜像(Images):是一个特殊的文件系统,除了提供容器运行时所需的程序、库、资源、配置等文件外,还包含了一些为运行时准备的一些配置参数(如匿名卷、环境变量、用户等)。镜像不包含任何动态数据,其内容在构建之后也不会被改变。
docker容器(Container):运行镜像后产生的实例称为容器,实质是运行于独立的 命名空间的进程。
docker仓库(Registry):集中存储、分发镜像的仓库服务系统,作用是允许用户上传、下载并管理镜像,包括公有仓库和私有仓库。
¶3. 对比传统虚拟机
| 特性 | 虚拟机的架构 | 容器的架构 |
|---|---|---|
| 启动 | 分钟级 | 秒级 |
| 性能 | 弱于原生 | 接近原生 |
| 硬盘使用 | 一般为GB | 一般为MB |
| 系统支持量 | 一般几十个 | 单机上千个容器 |
虚拟机的架构: 每个虚拟机都包括应用程序、必要的二进制文件和库以及一个完整的客户操作系统(Guest OS),尽管它们被分离,它们共享并利用主机的硬件资源,将近需要十几个 GB 的大小。
容器的架构: 容器包括应用程序及其所有的依赖,但与其他容器共享内核。它们以独立的用户空间进程形式运行在宿主机操作系统上。他们也不依赖于任何特定的基础设施,Docker 容器可以运行在任何计算机上,任何基础设施和任何云上。
¶4. 优势
(1)快速的启动时间
由于Docker容器直接运行于宿主内核,无需启动完整的操作系统即可运行,因此可以做到秒级、甚至毫秒级的启动时间,这大大的节约了开发、测试、部署的时间。
(2)一致的运行环境
开发过程中一个常见的问题是环境一致性问题。由于不同物理机的开发环境不一致,经常出现安装了相同的软件但却有不同的运行效果现象,甚至有的环境下还会出现bug。而 Docker 的镜像提供了除内核外完整的运行时环境,确保了应用运行环境一致性,以至于不会再出现 “这段代码在我机器上没问题啊” 这类的问题。
(3)持续交付和部署
Docker可以一次创建或配置镜像,而可以在任意地方正常运行。即"一处构建,到处运行"。
(4)更方便的迁移
Docker 可以在很多平台上运行,无论是物理机、虚拟机、公有云、私有云,甚至是笔记本,其运行结果是一致的。因此用户可以很轻易的将在一个平台上运行的应用,迁移到另一个平台上,而不用担心运行环境的变化导致应用无法正常运行的情况。
(5)更轻量的维护和扩展
Docker 使用的分层存储以及镜像的技术,使得应用重复部分的复用更为容易,也使得应用的维护更新更加简单,基于基础镜像进一步扩展镜像也变得非常简单。此外,Docker 团队同各个开源项目团队一起维护了一大批高质量的 官方镜像,既可以直接在生产环境使用,又可以作为基础进一步定制,大大的降低了应用服务的镜像制作成本。
¶5. 分层存储
因为镜像包含操作系统完整的 root 文件系统,其体积往往是庞大的,因此在 Docker 设计时,就充分利用 Union FS 的技术,将其设计为分层存储的架构。所以严格来说,镜像并非是像一个 ISO 那样的打包文件,镜像只是一个虚拟的概念,其实际体现并非由一个文件组成,而是由一组文件系统组成,或者说,由多层文件系统联合组成。
镜像构建时,会一层层构建,前一层是后一层的基础。每一层构建完就不会再发生改变,后一层上的任何改变只发生在自己这一层。比如,删除前一层文件的操作,实际不是真的删除前一层的文件,而是仅在当前层标记为该文件已删除。在最终容器运行的时候,虽然不会看到这个文件,但是实际上该文件会一直跟随镜像。因此,在构建镜像的时候,需要额外小心,每一层尽量只包含该层需要添加的东西,任何额外的东西应该在该层构建结束前清理掉。
分层存储的特征还使得镜像的复用、定制变的更为容易。甚至可以用之前构建好的镜像作为基础层,然后进一步添加新的层,以定制自己所需的内容,构建新的镜像。
¶6. 容器存储层
镜像使用的是分层存储,容器也是如此。每一个容器运行时,是以镜像为基础层,在其上创建一个当前容器的存储层,我们可以称这个为容器运行时读写而准备的存储层为 容器存储层。
¶7. 数据卷
数据卷 是一个可供一个或多个容器使用的特殊目录,当容器内部的目录(文件)映射到宿主机的某目录(文件)时,那么就称这个宿主机的目录(文件)为数据卷。它绕过 UFS,可以提供很多有用的特性,如下:
数据卷可以在容器之间共享和重用- 对
数据卷的修改会立马生效 - 对
数据卷的更新,不会影响镜像 数据卷默认会一直存在,即使容器被删除
注意:
数据卷的使用,类似于 Linux 下对目录或文件进行 mount,镜像中的被指定为挂载点的目录中的文件会隐藏掉,能显示看的是挂载的数据卷。
按照 Docker 最佳实践的要求,容器不应该向其存储层内写入任何数据,容器存储层要保持无状态化。所有的文件写入操作,都应该使用数据卷(Volume)、或者绑定宿主目录,在这些位置的读写会跳过容器存储层,直接对宿主(或网络存储)发生读写,其性能和稳定性更高。
数据卷的生存周期独立于容器,容器消亡,数据卷不会消亡。因此,使用数据卷后,容器删除或者重新运行之后,数据却不会丢失。
¶三、安装Docker
Docker 分为 CE 和 EE 两大版本。CE 即社区版,EE 即企业版,强调安全,付费使用。
¶1. 安装旧版本
centos7默认yum源头安装的Docker版本就是旧版本,旧版本的Docker称为 docker 或 docker-engine ,由于不在维护,故建议跳过直接安装新版本。
1 | #检查内核版本,必须是3.10及以上 |
¶2. 安装新版本
1 | #卸载旧版本,如果已安装这些程序,请卸载它们以及相关的依赖项 |
更多内容:
查看所有仓库中所有docker版本:
yum list docker-ce --showduplicates | sort -r安装指定版本:比如
sudo yum install docker-ce-17.12.0.ce
新版docker安装好后命令自动补全会有些缺失,所以可以选择安装命令补全依赖工具。
1 | #docker自动补齐需要依赖工具bash-complete,安装好后会得到文件为 /usr/share/bash-completion/bash_completion |
¶3. 内网环境集群安装
¶(1)yum离线安装
如果内网中有一台服务器能够访问外网,可使用一下方式安装:
1 | #在内网中可访问外网的服务器中下载清华的镜像源文件(要求这台服务器依软件赖环境纯净,最好没有安装过任何软件。目的是这台服务器的所有软件依赖一定要在其他内网服务器中都存在。) |
¶(2)完全离线安装
如果内网中所有服务器都不能访问外网,可使用一下方式安装:
下载安装包
在客户机中访问docker官网下载安装包:
安装包各版本下载地址:https://download.docker.com/linux/static/stable/x86_64/
这里下载的版本是:https://download.docker.com/linux/static/stable/x86_64/docker-19.03.5.tgz
安装运行
下载好安装包后通过ftp等客户端工具上传安装包到目标服务器,然后通过ssh客户端工具登录到该目标服务器执行如下命令:
1 | #解压安装压缩包 |
配置开机启动
1 | #关闭selinux策略 |
配置docker.socket
1 | $ vi /etc/systemd/system/docker.socket |
1 | [Unit] |
配置docker.service
1 | $ vi /etc/systemd/system/docker.service |
1 | [Unit] |
启动服务
1 | $ systemctl daemon-reload |
¶4. 修改 Docker 的默认存储路径
Docker 默认安装的情况下,会使用 /var/lib/docker/ 目录作为存储目录,用以存放拉取的镜像和创建的容器等。不过由于此目录一般都位于系统盘,遇到系统盘比较小,而镜像和容器多了后就容易尴尬,这里说明一下如何修改 Docker 的存储目录。
1 | #可通过如下命令查看Docker的默认存储路径 |
假设/data1目录挂载点的磁盘空间比较大,需要将Docker的存储路径改为改目录,则可通过如下操作修改:
1 | $ vi /etc/docker/daemon.json |
1 | { |
1 | #然后重启 docker 服务 |
¶5. docker服务操作
1 | #启动 |
¶6. 卸载 docker
1 | #删除安装包 |
¶四、镜像加速
鉴于国内网络问题,Docker默认是从官方Docker Hub拉取 Docker 镜像十分缓慢,我们可以需要配置加速器来解决。
测速:https://github.com/docker-practice/docker-registry-cn-mirror-test/actions
编辑 /etc/docker/daemon.json(Linux) 或者 %programdata%\docker\config\daemon.json(Windows) 来配置 Daemon(如果文件不存在请新建该文件)。
1 | $ vim /etc/docker/daemon.json |
添加以下内容:
1 | { |
可以配置多个加速镜像。由于镜像服务可能出现宕机,建议同时配置多个加速镜像。
1 | #重新加载配制 |
如果方便建议使用aliyun的镜像
地址:https://cr.console.aliyun.com/cn-shenzhen/instances/mirrors
¶五、镜像操作
1 | #检索 (去https://hub.docker.com上查看镜像的详细信息。eg:docker search redis) |
镜像导出并导入案例:
1 | #例如,以下导出方式将会让docker load导入时的镜像没有名字(即<none>) |
¶六、容器操作
¶1. 操作命令
1 | #运行并创建一个容器 |
小案例:
1 | $ docker pull hello-world |
容器导出和导入案例:
1 | #创建容器 |
¶2. 时间同步问题
1 | ##为了保证容器和宿主机之间的时间同步 |
¶七、数据管理
由于docker容器和宿主机系统是隔离的,这会带来下面几个问题:
- 不能在宿主机上很方便地访问容器中的文件
- 无法在多个容器之间共享数据
- 当容器删除时,容器中产生的数据将丢失
为了能够保存(持久化)数据以及共享容器间的数据,docker 引入了数据卷(volume) 机制。数据卷是存在于一个或多个容器中的特定文件或文件夹,它可以绕过默认的联合文件系统,以正常的文件或者目录的形式存在于宿主机上。生存周期独立于容器的生存周期的,所以删除容器后数据卷并不会丢失。
容器中主要有两种管理数据方式:数据卷(Data Volumes),数据卷容器(Data Volume Containers)。
¶1. 数据卷
数据卷是一个可供容器使用的特殊目录,它绕过文件系统,可以提供很多有用的特性:
(1)数据卷 可以在容器之间共享和重用
(2)对 数据卷 的修改会立马生效
(3)对 数据卷 的更新,不会影响镜像
(4)数据卷 默认会一直存在,即使容器被删除
数据卷的使用类似 linux 下对目录或文件进行 mount 操作,目前Docker提供了三种不同的方式将数据卷从宿主机挂载到容器中:
- 数据卷挂载:volume mount
- 绑定挂载:bind mount
- tmpfs mount
其中volume、bind mount比较常用,tmpfs mount基本不会用.
¶1.1 数据卷挂载
数据卷挂载即创建卷后挂载,数据卷挂载需要提前创建volume数据卷,然后再提供给容器绑定,新建的数据卷位于宿主机的/var/lib/docker/volumes目录里。这种挂载方式就是不需要手动指定宿主机目录并且能够通过docker volume命令来维护数据卷。
1 | #创建数据卷 |
示例:
1 | docker volume create my-vol |
¶1.2 绑定挂载
绑定挂载即挂载时创建卷,使用绑定挂载的方式,用户可以自定义数据卷所在宿主机位置,对于用户来说这种方式有更好的自定义性,但是却不能使用docker volume命令来维护数据卷。
1 | #使用source表示自定义数据卷路径,source必须是绝对路径,且路径必须已经存在,否则报错 |
示例:
1 | mkdir -p /opt/nginx |
¶2. 数据卷容器
数据卷不仅可以设置在宿主机,同样也可以设置在其他容器中。这样即使容器挂掉或者被删除,也不会影响数据卷容器里已经同步的数据,同样的数据卷容器挂掉或者被删除也不会影响容器的数据。
1 | #创建数据卷容器 |
示例:
1 | docker run -d --name nginx-backup -v /opt/data:/opt/data nginx:1.22.0-alpine |
¶八、docker网络
Docker默认提供了3种网络模式,生成容器时不指定网络模式下默认使用bridge桥接模式。
¶1. host模式
容器不会创建自己的网卡,配置 IP 等,而是使用宿主机的 IP 和端口
1 | docker run -d --name 容器名称 --net=host 镜像名称 |
¶2. container模式
容器不会创建自己的网卡,配置 IP 等,而是和一个指定的容器共享 IP和端口
1 | docker run -d --name 容器名称 --net=container:容器名称或容器id 镜像名称 |
¶3. none模式
关闭网络功能,不进行任何网络设置
1 | docker run -d --name 容器名称 --net=none 镜像名称 |
¶4. bridge模式(默认模式)
为每一个容器分配、设置 IP 等,并将容器连接到 docker0 虚拟网桥上,这是 docker run 创建容器时使用的默认模式。
当Docker进程启动时,会在主机上创建一个名为docker0的虚拟网桥(网卡/路由器),此主机上启动的Docker容器都会连接到这个虚拟网桥上。虚拟网桥的工作方式和物理交换机类似,这样主机上的所有容器就通过交换机连在了一个二层网络中。
宿主机和Docker容器之间是可以进行网络连接的,同样的,Docker容器和容器之间只要是在一个虚拟网桥下,那么也可以直接进行网络连接。
1 | #通过--net=bridge显示指定,默认就是bridge,也可以不设置 |
¶5. 自定义网络
1 | ##自定义创建名称为mynet的网络 |
- 默认docker0是无法Ping通容器名,而自定义网络可以Ping通容器名。
- 在多个微服务部署到docker时,通过自定义网络方便统一的网络配置。
¶6. 多个容器之间通过容器名称互相访问
docker run 创建容器时默认使用的是 docker0 网络,容器可以通过另一个容器的 ip 来访问其他容器主机,但是没法通过容器 id 或者主机名来访问,因为容器的 hosts 文件中默认只有容器自己的 ip-主机名映射,而没有其他容器的。为了能够通过容器名称来访问其他容器,可以在容器的 hosts 文件中配置其他容器的 ip-主机名映射,这个过程可以使用 docker exec 命令进入容器内手动修改 hosts 文件实现,但这种方式会有点麻烦。还有另一解决方式是在 docker run 创建容器的时候通过指定 --link 参数来配置其他容器的ip-主机名映射。如下:
1 | #创建centos02容器,并在其内部hosts中加入centos01容器的ip-主机名映射。 |
docker run创建容器时会自动把分配到的的 ip 和 hostname(即主机名,默认为容器id)写入到容器的hosts文件中。其中 主机名可以在docker run时指定--hostname来修改。
如上配置后就能让 centos02 能够访问到 centos01,但是 centos01 却不能访问 centos02,这是因为 centos01 的hosts 文件中没有加入 centos02 的 ip - hostname映射,除非使用 docker exec 命令进入 centos01 容器内修改其 hosts 文件,可见使用--link 参数配置的方式操作也很麻烦。
为了更加简便地实现 docker 中多个容器之间的互相访问,有一种更好的解决方案,那就是使用“docker自定义网络”,docker 自定义网络可以理解为“网卡”,docker 允许用户将多个容器配置到同一个自定义网络中,容器之间通过容器名称互相访问的时候,docker 将会根据自定义网络中的容器配置信息解析容器名称得到对应的 ip ,进而实现访问。
可以通过 docker inspect 自定义网络名称 命令来查看自定义网络中的容器配置信息,如下:
1 | docker network ls |
将多个容器配置到同一个自定义网络中的操作如下:
1 | #创建一个名称为mynet的自定义网络 |
¶7. 查看容器ip
两种方式:
1、由于docker run创建容器时就会给容器分配ip等信息了,所以可以直接使用docker inspect命令来过滤数据获取。
2、通过docker exec命令进入容器内部在使用如ifconfig等方式查看
1 | ##通过docker inspect查看容器ip |
参考:https://blog.csdn.net/CSDN1csdn1/article/details/123961079
¶8. docker与防火墙
¶8.1 docker网络中防火墙的配置
¶1)bridge 网络模式的防火墙配置
Docker 默认使用的是 bridge 网络模式,在创建容器时会自动为容器配置 iptables 规则以进行网络安全控制。具体来说,Docker 会在主机上创建一个名为 docker0 的虚拟网桥,并将容器连接到该网桥中。同时,它还会为每个容器分配一个随机的 IP 地址,并通过 NAT 的方式将容器和宿主机的 IP 地址进行映射。
说明:
bridge 网络模式下,启动或停止 docker 容器时,docker 都会在
iptables防火墙配置中自动创建或删除和容器相关的规则策略,而不需要人为手动进行配置。由于 docker 使用的是
iptables命令维护防火墙配置,所以用户只能通过iptables命令来查看 docker 相关的防火墙规则策略,而使用firewall、ufw等上层防火墙工具则无法查看。
¶2)host 网络模式的防火墙配置
当 Docker 使用 host 网络模式时,Docker 容器将直接使用宿主机的网络环境,包括 IP 和端口。此时 Docker 不会再为容器自动进行 iptables 配置,而是直接使用宿主机的防火墙规则。
¶8.2 限制外网访问 docker 容器
限制外网访问 docker 容器是常见运维需求,例如:
- (1)多个 docker 微服务容器之间可以在内网中互相访问,但不允许外网直接访问。
- (2) docker 中的 HTTP 服务容器未进行 SSL 加密而直接提供外网访问是非常不安全的,一般做法是先配置 docker 容器禁止外网访问而只允许内网访问,再使用 nginx 通过反向代理转发外网的 HTTPS 请求给 docker 容器中的 HTTP 服务。
要实现这类运维需求,有很多解决方式,常见的方式如下:
¶1)限制外网访问 docker 容器
方式1:使用默认的 bridge 网络模式创建 docker 容器并指定端口映射时限制访问 ip。操作如下:
1 | docker run -d --name 容器名称 -p 127.0.0.1:宿主机端口:容器端口 镜像名称 |
注意:docker会自动维护防火墙配置,通常不设置 ip 则容器对应的宿主机端口默认对所有 IP 访问不限制。
这种方式运行容器,容器程序的监听端口会占用宿主机的端口。
方式2:使用 host 网络模式创建 docker 容器,让容器监听端口直接使用宿主机端口。操作如下:
1 | docker run -d --name 容器名称 --net=host 镜像名称 |
注意:使用 host 网络模式创建 docker 容器时, docker 不会进行 iptables 自动配置,而是直接使用宿主机的防火墙规则。
这种方式运行容器,容器程序的监听端口会占用宿主机的端口。
方式3:使用默认的 bridge 网络模式创建 docker 容器但不进行端口映射,这种情况宿主机或其他容器可通过容器的 ip 进行访问
1 | #未设置固定IP运行容器,则docker会根据默认的bridge网络ip网段分配一个随机ip |
这种方式运行容器,容器程序的监听端口不会占用宿主机的端口。
¶2)通过nginx反向代理到docker的HTTP服务容器
(1)配置 nginx SSL证书和反向代理,如下:
配置nginx SSL证书并监听一个对外网访问的端口,并反向代理到docker容器的监听端口(设端口为:8080)
1 | server { |
- 假设
docker run运行 http 容器时限制 ip 映射端口为-p 127.0.0.1:宿主机端口:容器端口,那么可以代理到http://127.0.0.1:8080。- 而如果不进行端口映射,则可以通过命令
docker inspect 容器名称或ID | grep IPAddress查看容器的 ip ,然后反向代理到对应的地址,如:http://172.17.0.100:8080
(2)配置防火墙放行nginx对外网暴露的端口
1 | ##宿主机配置防火墙 |
¶九、构建自定义镜像
¶方式1:上传程序到vps后构建
需求:构建一个能在tomcat容器里运行的war包程序镜像,并通过镜像创建一个实例容器。
由于依赖于tomcat容器,故需要先拉去tomcat镜像到本地。tomcat镜像主页:https://c.163yun.com/hub#/library/repository/info?repoId=3105
¶(1)拉取tomcat镜像到宿主机
1 | $ docker pull hub.c.163.com/library/tomcat:latest |
¶(2)上传war包
创建一个webdemo项目,并在这个webdemo项目的资源路径里添加一个index.jsp页面。
1 | <html> |
然后打包得到webdemo.war文件。并上传这个webdemo.war文件到vps的/root/project目录
¶(3)编写Dockerfile文件
1 | #在/root/project下编写一个Dockerfile文件 |
1 | #继承于某个镜像 |
¶(4)构建生成镜像
1 | #在Dockerfile文件所在的目录,即/root/project里执行如下命令 |
¶(5)查看本地镜像仓库是否构建成功
1 | $ docker images |
1 | REPOSITORY TAG IMAGE ID CREATED SIZE |
¶(6)通过构建的镜像实例化一个容器并运行
1 | $ docker run -d -p 8080:8080 webdemo:latest |
¶(7)访问测试
访问index.jsp:http://192.168.222.131:8080/webdemo/index.jsp
¶(8)其他
在用-d指定为后台启动的情况下,可以使用以下命令查看容器实时的日志情况:
1 | $ docker logs -f 容器名称或者容器id |
¶方式2:通过idea插件连接vps构建
¶(1)配置docker允许外网访问
在vps中配置docker允许外网访问
1 | $ vim /usr/lib/systemd/system/docker.service |
在ExecStart属性原来值的最后追加
1 | -H tcp://0.0.0.0:2375 -H unix:///var/run/docker.sock |
新版Docker CE配置如下
1 | .... |
旧版Docker配置如下:
1 | [Service] |
¶(2)重新加载配置并重启Docker
1 | $ systemctl daemon-reload |
¶(3)启动防火墙并开放2375端口
开放了防火墙2375端口用于远程连接
1 | $ service firewalld start |
- 不需要另外开放容器映射到宿主机的端口。
- 经操作发现,如果使用vmware的linux作为vps,不能直接关闭防火墙,开放相应的端口即可。
¶(4)创建一个springboot项目
pom.xml
1 |
|
DemoApplication.java
1 | package com.example.demo; |
application.yml
1 | server: |
Dockerfile
1 | FROM openjdk:8u212-jre |
¶(5)编译项目生成jar包
¶(6)配置远程docker插件连接
默认新版的idea自带有这个插件,如果没有直接到插件中心安装即可。
¶(7)然后配置DockerFile
¶(8)运行docker插件
运行插件部署镜像到vps,并通过镜像创建一个实例容器
¶(9)访问测试
最后访问: http://192.168.222.132:8080/hello
¶十、docker compose
¶1. 简介
Compose项目是 Docker 官方的开源项目,负责实现对 Docker 容器集群的快速编排。
地址:https://github.com/docker/compose
使用一个 Dockerfile 模板文件,可以让用户很方便的定义一个单独的应用容器。然而,在日常工作中,经常会碰到需要多个容器相互配合来完成某项任务的情况。Compose 允许用户通过一个单独的 docker-compose.yml 模板文件来定义一组相关联的应用容器为一个项目。
¶2. 安装
在 Linux 上的也安装十分简单,从 官方 GitHub Release 处直接下载编译好的二进制文件即可。
例如,在 Linux 64 位系统上直接下载对应的二进制包。
1 | $ sudo curl -L https://github.com/docker/compose/releases/download/1.24.1/docker-compose-`uname -s`-`uname -m` > /usr/local/bin/docker-compose |
因为 Docker Compose 存放在 GitHub,可能网络不太稳定。可以想办法下载后再上传到服务器,操作如下:
下载地址:https://github.com/docker/compose/releases/download/1.24.1/docker-compose-Linux-x86_64
¶3. 卸载
如果是二进制包方式安装的,删除二进制文件即可。
1 | $ sudo rm /usr/local/bin/docker-compose |
¶4. 编排文件
在任意目录创建compose编排配置文件:docker-compose.yml
1 | ## docker-compose.yml文件的版本 |
下面是compose编排配置文件中使用到的mysql配置文件:my.cnf
1 | [mysql] |
¶5. 操作命令
在docker-compose.yml所在的目录执行如下命令
1 | #尝试自动完成包括构建镜像,(重新)创建服务,启动服务,并关联服务相关容器的一系列操作。相关的服务都将会被自动启动,除非已经处于运行状态。 |
¶十一、Docker Swarm
Docker Swarm 是 Docker 的集群管理工具,或者说是资源管理工具。swarm 集群由管理节点(manager)和工作节点(work node)构成。
swarm mananger:负责整个集群的管理工作包括集群配置、服务管理等所有跟集群有关的工作。
work node:即图中的 available node,主要负责运行相应的服务来执行任务(task)。
注意:跟集群管理有关的任何操作,都是在管理节点上操作的。
准备6台linux服务器
manager-1:192.168.99.101
manager-2:192.168.99.102
manager-3:192.168.99.103
worker-1:192.168.99.201
worker-2:192.168.99.202
worker-3:192.168.99.203
¶1. 关闭所有服务器的防火墙
1 | $ service firewalld stop |
¶2. 初始化 swarm 集群
进行初始化的这台机器,就是集群的管理节点。
1 | $ docker swarm init --advertise-addr 192.168.68.101 |
eg:
1 | [root@localhost ~]# docker swarm init --advertise-addr 192.168.68.101 |
¶3. 添加worker节点
在manager节点下生成worker令牌,以让其他worker服务器加入
1 | $ docker swarm join-token worker |
eg:
1 | [root@localhost ~]# docker swarm join-token worker |
然后在三台worker节点运行:
1 | $ docker swarm join \ |
¶4. 添加manager节点
在manager节点下生成manager令牌,以让其他manager服务器加入
1 | $ docker swarm join-token manager |
eg:
1 | [root@localhost ~]# docker swarm join-token manager |
然后在三台manager节点运行如下命令:
1 | $ docker swarm join \ |
¶5. 查看所有管理的节点
manager-1运行命令查看所有管理的节点
1 | $ docker node ls |
eg:
1 | [root@localhost ~]# docker node ls |
¶6. 创建集群服务
1 | $ docker service create -p 80:80 --name my-nginx nginx |
这时候将会在任意节点中选择一台通过docker创建nginx服务。我们可以在集群下任意一台服务器(manager或者worker节点)访问nginx服务都能访问到,因为swarm创建的服务使用的是swarm集群网络。
¶7. 查看服务集群情况
1 | $ docker service ls |
eg:
1 | [root@localhost ~]# docker service ls |
REPLICAS:副本数量
¶8. 集群服务扩容
对my-nginx服务扩容为5个
第一种方式:
1 | $ docker service update --replicas 5 my-nginx |
eg:
1 | [root@localhost ~]# docker service update --replicas 5 my-nginx |
第二种方式:
1 | $ docker service scale my-nginx=5 |
1 | [root@localhost ~]# docker service scale my-nginx=5 |
update更多的应用场景在于image的升级导致的运行中的服务需要更新等等
¶9. 删除集群服务
1 | $ docker service rm my-nginx |
这时候所有副本都会被删除
¶10. 修改服务
比如修改nginx服务镜像版本为1.9.5
1 | $ docker service update --image nginx:1.9.5 my-nginx |
1 | [root@localhost ~]# docker service ps my-nginx |
¶11. 服务回滚
1 | $ docker service update --rollback |
¶十二、常用docker镜像安装综合案例
步骤:软件镜像(安装程序)—> 运行镜像 —> 产生一个容器(正在运行的软件)。
¶1. 安装nginx
1 | #拉取(下载)镜像 |
¶2. 安装tomcat
1 | #1、搜索镜像 |
更多命令参看https://docs.docker.com/engine/reference/commandline/docker/可以参考每一个镜像的文档
¶3. 安装mysql
(1)获取镜像
1 | docker pull mysql |
(2)启动镜像
1 | #简单方式 |
几个其他的高级操作
1 | $ docker run --name mysql03 -v /opt/mysql:/etc/mysql/conf.d -e MYSQL_ROOT_PASSWORD=my-secret-pw -d mysql:tag |
¶mysql完整案例
1 | $ docker pull mysql:5.7 |
1 | ## my.cnf |
1 | #运行mysql实例 |
¶4. 安装rabbitmq
(1)获取镜像
1 | #该版本包含了web控制页面 |
(2)运行镜像
1 | #方式一:默认用户名和密码都是guest |
(3)访问rabbitmq管理页面页面 http://ip:15672
¶5. 安装redis
创建redis配置文件
1 | $ mkdir /opt/redis/conf/ /opt/redis/data/ -p |
1 | #节点端口 |
该原始文件可从官网下载
bind 127.0.0.1 #注释掉这部分,这是限制redis只能本地访问
protected-mode no #默认yes,开启保护模式,限制为本地访问
daemonize no#默认no,改为yes意为以守护进程方式启动,可后台运行,除非kill进程,改为yes会使配置文件方式启动redis失败
databases 16 #数据库个数(可选),我修改了这个只是查看是否生效。。
dir ./ #输入本地redis数据库存放文件夹(可选)
appendonly yes #redis持久化(可选)
requirepass 密码 #配置redis访问密码
运行redis镜像
1 | docker run -p 6379:6379 --name redis -v /opt/redis/conf/redis.conf:/etc/redis/redis.conf -v /opt/redis/data:/data -d redis:6.2.7 redis-server /etc/redis/redis.conf --appendonly yes |
配置防火墙
1 | $ firewall-cmd --permanent --add-port=6379/tcp |
¶6. 安装zookeeper
1 | #-Xmx指定应用程能够使用的最大内存数 |
¶7. 安装kafka
提前安装并启动zookeeper
1 | # KAFKA_BROKER_ID:kafka集群节点id(唯一) |
¶8. 安装ubuntu
1 | #-i 表示 interactive 可交互的,变即可以从标准输入与容器交互。-t 表示给容器分配一个虚拟终端。-d 这个参数表示的是在后台运行,即 –deamon。-v 挂载容器目录到宿主机指定目录 |
¶9. 安装centos
1 | docker pull centos:centos7 |
centos容器启用sshd服务
1 | #创建具有更高root权限的centos7容器,比如使用sshd服务等 |
¶十三、问题排错
(1)Error response from daemon: oci runtime error: container_linux.go:247: start....,原因是系统和docker版本不兼容。解决:执行yum update
(2)rying to pull repository docker.io/library/mysql ... Get https://registry-1.。解决:执行以下命令:
1 | $ yum install bind-utils #安装dig工具 |
(3)[root@izuf6dskn3b7v2sly08bqtz ~]# docker pull mysql Using default tag: latest Trying to pull repository docker.io/library/mysql ... Get https://registry-1.docker.io/v2/: x509: certificate is valid for *.theranest.com, theranest.com, not registry-1.docker.io
解决:镜像加速解决
(3)执行docker-compose up -d后出现错误:ERROR: Failed to Setup IP tables: Unable to enable SKIP DNAT rule: (iptables failed: iptables --wait -t nat -I DOCKER -i br-950144d461c2 -j RETURN: iptables: No chain/target/match by that name. (exit status 1))
重启docker试试
1 | $ systemctl stop docker |
