【云原生生态圈】：Docker核心技术全面总结

本专栏将从基础开始，循序渐进，由浅入深讲解云原生相关知识，希望大家都能够从中有所收获，也请大家多多支持。
专栏地址:云原生专栏
如果文章知识点有错误的地方，请指正！大家一起学习，一起进步。

本文将分别讲解什么是Docker，如何安装Docker，Docker的镜像操作，Docker容器操作，以实战为线索，逐步深入Docker相关知识，打造完整的Docker学习体系，可查阅，可复习，建议收藏。

一 docker的介绍

​ Docker的思想来自于集装箱，集装箱解决了什么问题？在一艘大船上，可以把货物规整的摆放起来。并且各种各样的货物被集装箱标准化了，集装箱和集装箱之间不会互相影响。这样就可以不用单独使用其他的运输工具。大家都用一个标准搬运集装箱了。

我们不禁要问，为什么要用docker？原因有如下几点：

1. 不同的应用程序可能会有不同的应用环境，有些软件安装之后会有端口之间的冲突，这时候，可以使用虚拟机来实现隔离，但是使用虚拟机的成本太高，而且消耗硬件。

2. 不同的软件的环境都不一样，比如：你用的是ubuntu，里面有个数据库，现在要迁移到centos中，但是此时需要从新在centos安装数据库，如果版本不一致，或者不支持，就会出现问题,比较麻烦,有了docker之后就不用这么麻烦了，直接将开发环境搬运到不同的环境即可。

3. 在服务器负载方面，如果你单独开一个虚拟机，那么虚拟机会占用空闲内存的，docker部署的话，这些内存就会利用起来。

docker就是用于部署项目,解决环境问题的软件技术，特别适合微服务与云原生。

1.1 虚拟化

什么是虚拟化

在计算机中，虚拟化（英语：Virtualization）是一种资源管理技术，是将计算机的各种实体资源，如服务器、网络、内存及存储等，予以抽象、转换后呈现出来，打破实体结构间的不可切割的障碍，使用户可以比原本的组态更好的方式来应用这些资源。这些资源的新虚拟部份是不受现有资源的架设方式，地域或物理组态所限制，一般所指的虚拟化资源包括计算能力和资料存储。

在实际的生产环境中，虚拟化技术主要用来解决高性能的物理硬件产能过剩和老的旧的硬件产能过低的重组重用，透明化底层物理硬件，从而最大化的利用物理硬件对资源充分利用。

虚拟化技术种类很多，例如：软件虚拟化、硬件虚拟化、内存虚拟化、网络虚拟化(vip)、桌面虚拟化、服务虚拟化、虚拟机等等。

虚拟化种类

（1）全虚拟化架构

虚拟机的监视器（hypervisor）是类似于用户的应用程序运行在主机的OS之上，如VMware的workstation，这种虚拟化产品提供了虚拟的硬件。

（2）OS层虚拟化架构

​

（3）硬件层虚拟化

​ 硬件层的虚拟化具有高性能和隔离性，因为hypervisor直接在硬件上运行，有利于控制VM的OS访问硬件资源，使用这种解决方案的产品有VMware ESXi 和 Xen server Hypervisor是一种运行在物理服务器和操作系统之间的中间软件层,可允许多个操作系统和应用共享一套基础物理硬件，因此也可以看作是虚拟环境中的“元”操作系统，它可以协调访问服务器上的所有物理设备和虚拟机，也叫虚拟机监视器（Virtual Machine Monitor，VMM）。
​ Hypervisor是所有虚拟化技术的核心。当服务器启动并执行Hypervisor时，它会给每一台虚拟机分配适量的内存、CPU、网络和磁盘，并加载所有虚拟机的客户操作系统。 宿主机Hypervisor是所有虚拟化技术的核心，软硬件架构和管理更高效、更灵活，硬件的效能能够更好地发挥出来。常见的产品有：VMware、KVM、Xen等。

1.2 什么是Docker

容器技术

​ docker用于部署系统解决环境问题的这么一个容器技术。

​ 在计算机的世界中，容器拥有一段漫长且传奇的历史。容器与管理程序虚拟化（hypervisorvirtualization，HV）有所不同，管理程序虚拟化通过中间层将一台或者多台独立的机器虚拟运行与物理硬件之上，而容器则是直接运行在操作系统内核之上的用户空间。因此，容器虚拟化也被称为“操作系统级虚拟化”，容器技术可以让多个独立的用户空间运行在同一台宿主机上。

相对于彻底隔离的管理程序虚拟化，容器被认为是不安全的。而反对这一观点的人则认为，由于虚拟容器所虚拟的是一个完整的操作系统，这无疑增大了攻击范围，而且还要考虑管理程序层潜在的暴露风险。
尽管有着光辉的历史，容器仍未得到广泛的认可。一个很重要的原因就是容器技术的复杂性：容器本身就比较复杂，不易安装，管理和自动化也很困难。而Docker就是为了改变这一切而生的。

容器与虚拟机比较

（1）本质上的区别

（2）使用上的区别

虚拟机已死，容器才是未来。

Docker特点

（1）上手快。
用户只需要几分钟，就可以把自己的程序“Docker化”。Docker依赖于“写时复制”（copy-on-write）模型，使修改应用程序也非常迅速，可以说达到“随心所致，代码即改”的境界。

随后，就可以创建容器来运行应用程序了。大多数Docker容器只需要不到1秒中即可启动。由于去除了管理程序的开销，Docker容器拥有很高的性能，同时同一台宿主机中也可以运行更多的容器，使用户尽可能的充分利用系统资源。

（2）职责的逻辑分类
使用Docker，开发人员只需要关心容器中运行的应用程序，而运维人员只需要关心如何管理容器。Docker设计的目的就是要加强开发人员写代码的开发环境与应用程序要部署的生产环境一致性。从而降低那种“开发时一切正常，肯定是运维的问题（测试环境都是正常的，上线后出了问题就归结为肯定是运维的问题）”
（3）快速高效的开发生命周期
Docker的目标之一就是缩短代码从开发、测试到部署、上线运行的周期，让你的应用程序具备可移植性，易于构建，并易于协作。（通俗一点说，Docker就像一个盒子，里面可以装很多物件，如果需要这些物件的可以直接将该大盒子拿走，而不需要从该盒子中一件件的取。）
（4）鼓励使用面向服务的架构
Docker还鼓励面向服务的体系结构和微服务架构。Docker推荐单个容器只运行一个应用程序或进程，这样就形成了一个分布式的应用程序模型，在这种模型下，应用程序或者服务都可以表示为一系列内部互联的容器，从而使分布式部署应用程序，扩展或调试应用程序都变得非常简单，同时也提高了程序的内省性。（当然，可以在一个容器中运行多个应用程序）

1.3 Docker组件

Docker客户端和服务器

​ Docker是一个客户端-服务器（C/S）架构程序。Docker客户端只需要向Docker服务器或者守护进程发出请求，服务器或者守护进程将完成所有工作并返回结果。Docker提供了一个命令行工具Docker以及一整套RESTful API。你可以在同一台宿主机上运行Docker守护daemon进程和客户端，也可以从本地的Docker客户端连接到运行在另一台宿主机上的远程Docker守护进程。

Docker镜像

​ 镜像是构建Docker的基石。用户基于镜像来运行自己的容器。镜像也是Docker生命周期中的“构建”部分。镜像是基于联合文件系统的一种层式结构，由一系列指令一步一步构建出来。例如：镜像可以是mysql tomcat redis 。
也可以将镜像当作容器的“源代码”。镜像体积很小，非常“便携”，易于分享、存储和更新。

Registry（中央仓库）

Docker用Registry来保存用户构建的镜像。Registry分为公共和私有两种。Docker公司运营公共的Registry叫做Docker Hub。用户可以在Docker Hub注册账号，分享并保存自己的镜像（说明：在Docker Hub下载镜像巨慢，可以自己构建私有的Registry）。

Docker容器

Docker可以帮助你构建和部署容器，你只需要把自己的应用程序或者服务打包放进容器即可。容器是基于镜像启动起来的，容器中可以运行一个或多个进程。我们可以认为，镜像是Docker生命周期中的构建或者打包阶段，而容器则是启动或者执行阶段。 容器基于镜像启动，一旦容器启动完成后，我们就可以登录到容器中安装自己需要的软件或者服务。

所以Docker容器就是：
一个镜像格式；
一些列标准操作；
一个执行环境。
Docker借鉴了标准集装箱的概念。标准集装箱将货物运往世界各地，Docker将这个模型运用到自己的设计中，唯一不同的是：集装箱运输货物，而Docker运输软件。

​ 和集装箱一样，Docker在执行上述操作时，并不关心容器中到底装了什么，它不管是web服务器，还是数据库，或者是应用程序服务器什么的。所有的容器都按照相同的方式将内容“装载”进去。
​ Docker也不关心你要把容器运到何方：我们可以在自己的笔记本中构建容器，上传到Registry，然后下载到一个物理的或者虚拟的服务器来测试，在把容器部署到具体的主机中。像标准集装箱一样，Docker容器方便替换，可以叠加，易于分发，并且尽量通用。
​ 使用Docker，我们可以快速的构建一个应用程序服务器、一个消息总线、一套实用工具、一个持续集成（CI）测试环境或者任意一种应用程序、服务或工具。我们可以在本地构建一个完整的测试环境，也可以为生产或开发快速复制一套复杂的应用程序栈。

理解图

registry:中央注册中心

images:就是下载镜像文件

client:就是操作docker的客户端（命令）

containter:就是docker容器 需要运行在doker服务中

官方图如下:

二 安装docker

本文在centos下进行docker的安装。这里建议安装在CentOS7.x以上的版本，在CentOS6.x的版本中，安装前需要安装其他很多的环境而且Docker很多补丁不支持更新。

其他系统参照如下文档

https://docs.docker.com/engine/install/centos/

2.1 移除以前docker相关包

sudo yum remove docker*

2.2 配置yum源

sudo yum install -y yum-utils
sudo yum-config-manager \   
--add-repo \
http://mirrors.aliyun.com/docker-ce/linux/centos/docker-ce.repo

2.3 安装docker

sudo yum install -y docker-ce docker-ce-cli containerd.io

#以下是在安装k8s的时候使用
yum install -y docker-ce-20.10.7 docker-ce-cli-20.10.7  containerd.io-1.4.6

2.4 启动

systemctl enable docker --now

2.5 配置镜像加速器

这里需要登录阿里云，找到阿里云的容器镜像服务，如下图所示：

点击左侧的镜像加速器，然后可以在右侧查看到镜像加速器的配置信息，如红框所示

具体代码如下

sudo mkdir -p /etc/docker
sudo tee /etc/docker/daemon.json <<-'EOF'
{
  "registry-mirrors": ["https://6c6b34mj.mirror.aliyuncs.com"]
}
EOF
sudo systemctl daemon-reload
sudo systemctl restart docker

三 Docker镜像操作

3.1 什么是Docker镜像

​ Docker镜像是由文件系统叠加而成（是一种文件的存储形式）。最底端是一个文件引导系统，即bootfs，这很像典型的Linux/Unix的引导文件系统。Docker用户几乎永远不会和引导系统有什么交互。实际上，当一个容器启动后，它将会被移动到内存中，而引导文件系统则会被卸载，以留出更多的内存供磁盘镜像使用。Docker容器启动是需要的一些文件，而这些文件就可以称为Docker镜像。

3.2 列出镜像

列出docker下的当前docker服务所在的系统里面所有镜像：docker images

➢ REPOSITORY：镜像所在的仓库名称
➢ TAG：镜像标签
➢ IMAGE ID：镜像ID
➢ CREATED：镜像的创建日期（不是获取该镜像的日期）
➢ SIZE：镜像大小
➢ 这些镜像都是存储在Docker宿主机的/var/lib/docker目录下

为了区分同一个仓库下的不同镜像，Docker提供了一种称为标签（Tag）的功能。每个镜像在列出来时都带有一个标签，例如12.10、12.04等等。每个标签对组成特定镜像的一些镜像层进行标记。这种机制使得同一个仓库中可以存储多个镜像。

3.3 拉取镜像

Docker Hub地址：https://hub.docker.com/

Docker镜像首页，包括官方镜像和其它公开镜像。页面如下

搜索nginx，出现如下页面：

点进去之后可以复制如下位置的命令，进行拉取

拉取镜像

docker pull nginx  #如果不加版本号，默认拉取的是最新版
# 也可以通过镜像名:版本名（标签）下载制定版本
docker pull nginx:1.20.1

docker pull redis  #如果不加版本号，默认拉取的是最新版
docker pull redis:6.2.4

## 下载来的镜像都在本地
docker images  #查看所有镜像

docker rmi 镜像名:版本号/镜像id #删除镜像

3.4 删除镜像

删除镜像方式1：根据仓库的名称（镜像的名称）来删除 还可以使用image_id来进行删除。

1、	docker rmi $IMAGE_ID：删除指定镜像

删除镜像方式2：

2、	docker rmi `docker images -q`：删除所有镜像

四 Docker容器操作

4.1 查看容器

• 查看正在运行容器：

docker ps

• 查看所有的容器（启动过的历史容器）

docker ps –a

• 查看最后一次运行的容器：

docker ps -l

• 查看停止的容器

docker ps -f status=exited

4.2 创建与启动容器

启动镜像的命令格式如下：

docker run [OPTIONS] IMAGE [COMMAND] [ARG...]

创建容器常用的参数说明：

➢ 创建容器命令：docker run

➢ -it：表示容器启动后会进入其命令行，即分配一个伪终端，容器创建完就自动进入该容器，例如有一个centos:7镜像，我们想运行完镜像后就进入centos中，可以用如下方式

docker run -it --name=mycentos centos:7 /bin/bash

运行结果如下

➢ --name :为创建的容器命名。

➢ -v：表示目录映射关系（前者是本地目录，后者是容器中的目录），可以使用多个－v做多个目录或文件映射。注意：最好做目录映射，在本地上做修改，然后共享到容器上。

➢ -d：在run后面加上-d参数,则会创建一个守护式容器在后台运行（这样创建容器后不会自动登录容器，如果只加-i -t两个参数，创建后就会自动进去容器）。

➢ -p：表示端口映射，前者是宿主机端口，后者是容器内的映射端口。可以使用多个-p做多个端口映射

➢ --restart=always: 表示开机自启

例:

# -d：表示后台运行
# --restart=always: 表示开机自启 
# 启动nginx应用容器，并映射88端口，访问88会映射到docker中的80
docker run --name=mynginx   -d  --restart=always -p  88:80   nginx

# 查看正在运行的容器
docker ps
# 查看所有容器，包括运行与没运行的
docker ps -a

# 删除停止的容器
docker rm  容器id/名字
#强制删除正在运行中的容器
docker rm -f mynginx   

#停止容器
docker stop 容器id/名字
#再次启动
docker start 容器id/名字

#更新应用使某个容器开机自启
docker update 容器id/名字 --restart=always

测试docker配置的端口映射

在云服务器开启端口88访问权限

访问http://47.106.176.37:88/

4.3 在后台运行容器

对于一个需要长期运行的容器来说，我们可以创建一个后台运行的容器

命令如下（容器名称不能重复）：

# -d：表示后台运行
# --restart=always: 表示开机自启 
# 启动nginx应用容器，并映射88端口，访问88会映射到docker中的80
docker run --name=mynginx   -d  --restart=always -p  88:80   nginx

4.4 进入容器中的bash指令

进入容器的指令如下:

# 进入容器内部的系统，修改容器内容 （exit退出时，容器不会停止）
docker exec -it 容器id  /bin/bash

如果想修改nginx的index.html页面，可通过如下方式进行操作，首先使用docker exec -it a4c5bda255e7 /bin/bash进入容器内部：

某一个容器的相关详细配置信息可在https://hub.docker.com/_/nginx中找到，页面如下：

进入usr/share/nginx/html/目录，然后修改index.html

4.4 镜像提交的bash指令

# 镜像提交语句的格式如下
docker commit [OPTIONS] CONTAINER [REPOSITORY[:TAG]]

# 将刚刚修改的nginx容器提交
docker commit -a "name"  -m "首页变化" 31687689365b hashnodenginx:v1.0

案例演示如下：

重新启动镜像：

访问http://47.106.176.37:88/

4.5 镜像给他人用

方式一：将自己修改好的镜像提交

# 将镜像保存成压缩包
docker save -o abc.tar guignginx:v1.0

# 别的机器加载这个镜像
docker load -i abc.tar

# 离线安装

方式二：推送远程仓库，以docker hub为例

首先登录dockerhub

选择 Create Repository

# 格式
docker tag local-image:tagname new-repo:tagname
docker push new-repo:tagname

# 步骤
# 1 把旧镜像的名字，改成仓库要求的新版名字
docker tag guignginx:v1.0 hashnoder/hashnodenginx:v1.0

# 2 登录到docker hub
docker login       

# 3 推送
docker push hashnoder/hashnodenginx:v1.0

# 4 别的机器下载
docker pull hashnoder/hashnodenginx:v1.0

docker logout #推送完成镜像后退出

使用案例如下：

push完之后就可以在docker hub中查到我们刚刚上传的镜像

其他人就可以通过docker pull拉取镜像了。

4.6 停止与启动容器

• 停止正在运行的容器：docker stop $CONTAINER_NAME/ID

docker stop mycentos2

• 启动已运行过的容器：docker start $CONTAINER_NAME/ID

docker start mycentos2

4.7目录挂载（映射）

我们可以在创建容器的时候，将宿主机的目录与容器内的目录进行映射，这样我们就可以通过修改宿主机某个目录的文件从而去影响容器里所对应的目录。

创建容器 添加-v参数 后边为   本地目录:容器目录

创建容器 并挂载本地目录到容器中的目录下：

# -v表示目录的挂载，本地/data/html目录指向镜像中的/usr/share/nginx/html目录，ro表示read only（镜像只能读不能修改），与之对应的还有rw(read write)
docker run --name=mynginx -d --restart=always -p 88:80 -v /data/html:/usr/share/nginx/html:ro nginx

如果共享的是多级的目录，可能会出现权限不足的提示。

这是因为CentOS7中的安全模块selinux把权限禁掉了，我们需要添加参数–privileged=true来解决挂载的目录没有权限的问题。

docker run -di --privileged=true -v /root/test:/usr/local/test --name=mycentos4 centos:7

配置之后，本地的/data/html就是镜像的/usr/share/nginx/html,访问的index.html是本地/data/html中的文件。

docker 经常修改nginx配置文件，所以可以做如下配置，将nginx.conf映射到本地：

docker run -d -p 80:80 \
-v /data/html:/usr/share/nginx/html:ro \
-v /data/conf/nginx.conf:/etc/nginx/nginx.conf \
--name mynginx-02 \
nginx

# 为了方便，可以先把容器中的nginx.conf复制出来，5eff66eec7e1是镜像的id
docker cp 5eff66eec7e1:/etc/nginx/nginx.conf  /data/conf/nginx.conf

4.8 文件拷贝

如果我们需要将文件拷贝到容器内可以使用cp命令:

docker cp 需要拷贝的文件或目录 容器名称:容器目录

也可以将文件从容器内拷贝出来

docker cp 容器名称:容器目录 需要拷贝的文件或目录

例：

# 为了方便，可以先把容器中的nginx.conf复制出来，5eff66eec7e1是镜像的id
docker cp 5eff66eec7e1:/etc/nginx/nginx.conf  /data/conf/nginx.conf
# 把外面的内容复制到容器里面，可以用如下指令
docker cp  /data/conf/nginx.conf  5eff66eec7e1:/etc/nginx/nginx.conf

4.9 查看容器IP地址

我们可以通过以下命令查看容器运行的各种数据:

docker inspect mycentos2

也可以直接执行下面的命令直接输出IP地址:

docker inspect --format='{
    
    {.NetworkSettings.IPAddress}}' mycentos2

4.10 删除容器

• 删除指定的容器

# 删除停止的容器
docker rm  容器id/名字
#强制删除正在运行中的容器
docker rm -f mynginx   

• 删除所有的容器：

docker rm `docker ps -a -q`

4.11 查看容器日志

#docker logs 可以查看日志
docker logs 容器名/id   排错

例如访问http://47.106.176.37:88/asdfasdf，出现404错误：

查看日志：