Docker镜像制作与仓库搭建

容器/镜像打包

镜像打包

1、镜像打包：
docker save ‐o /root/tomcat7.tar mytomcat

2、将打包的镜像上传到其他服务器
scp tomcat7.tar 其他服务器ip:/root

3、导入镜像
docker load ‐i /root/tomcat7.tar

容器打包

1、容器打包
docker export ‐o /root/t1.tar t1

2、导入容器
docker import t1.tar mytomcat:latest

镜像制作

docker commit
提交一个正在运行的容器为一个新的镜像

• 制作步骤（制作一个tomcat镜像）

  1、拉取一个基础镜像（其始就是OS）
  docker pull centos
  
  2、创建一个交互式容器
  docker run ‐it ‐‐name=mycentos centos:latest
  
  3、软件上传：将宿主机Tomact、jdk上传到容器中
  docker cp apache‐tomcat‐7.0.47.tar.gz mycentos:/root/
  docker cp jdk‐8u161‐linux‐x64.tar.gz mycentos:/root/
  
  4、在容器中安装jdk  （yum install java‐1.7.0‐openjdk）
  tar ‐zxvf jdk‐8u161‐linux‐x64.tar.gz ‐C /usr/local/
  编辑/etc/profile文件，添加如下内容：
  JAVA_HOME=/usr/local/jdk1.8.0_161
  export PATH=$JAVA_HOME/bin:$PATH
  
  5、在容器中安装tomcat
  tar ‐zxvf apache‐tomcat‐7.0.47.tar.gz ‐C /usr/local/
  编辑tomcat/bin/setclsspath.sh文件，添加如下内容：
  export JAVA_HOME=/usr/local/jdk1.8.0_161
  export JRE_HOME=/usr/local/jdk1.8.0_161/jre
  
  6、将正在运行的容器提交为一个新的镜像
  docker commit mycentos mytomcat
  

• 端口映射

  docker run ‐itd ‐‐name=t1 ‐p 8888:8080 mytomcat /bin/bash
  docker exec t1 /usr/local/apache‐tomcat‐7.0.47/bin/startup.sh
  

• 通过宿主机访问：http://ip:port

docker builder
Dockerfile使用基本的基于DSL语法的指令来构建一个Docker镜像，之后使用docker
builder命令基于该Dockerfile中的指令构建一个新的镜像。

• DSL语法：

  • FROM（指定基础image）
    构建指令，必须指定且需要在Dockerfile其他指令的前面。第一条指令必须是FROM指令。并且，如果在同一个Dockerfile中创建多个镜像时，可以使用多个 FROM 指令。
    该指令有两种格式：

    • 指定基础image为该image的最后修改的版本FROM <image>
    • 指定基础image为该image的一个tag版本FROM <image>:<tag>

  • MAINTAINER（用来指定镜像创建者信息）
    构建指令，用于将image的制作者相关的信息写入到image中。当我们对该image执行docker inspect命令时，输出中有相应的字段记录该信息。

    • 格式：MAINTAINER <name>

  • RUN（安装软件用）
    构建指令，RUN可以运行任何被基础image支持的命令。
    该指令有两种格式：

    • RUN <command>
    • RUN ["executable", "param1", "param2" ... ]

  • CMD（设置container启动时执行的操作）
    设置指令，用于container启动时指定的操作。该操作可以是执行自定义脚本，也可以是执
    行系统命令。该指令只能在文件中存在一次，如果有多个，则只执行最后一条。
    该指令有三种格式：

    • CMD ["executable","param1","param2"]
    • CMD command param1 param2
    • 当Dockerfile指定了ENTRYPOINT，那么使用下面的格式：CMD ["param1","param2"]
      • 其中：ENTRYPOINT指定的是一个可执行的脚本或者程序的路径，该指定的脚本或者程序将会以param1和param2作为参数执行。所以如果CMD指令使用上面的形式，那么Dockerfile中必须要有配套的ENTRYPOINT。

  • ENTRYPOINT（设置container启动时执行的操作）
    设置指令，指定容器启动时执行的命令，可以多次设置，但是只有最后一个有效。
    两种格式:

    • ENTRYPOINT ["executable", "param1", "param2"]
    • ENTRYPOINT command param1 param2

    该指令的使用分为两种情况

    • 独自使用：当独自使用时，如果还使用了CMD命令且CMD是一个完整的可执行的命令，那么CMD指令和ENTRYPOINT会互相覆盖，只有最后一个CMD或者ENTRYPOINT有效。
    • 和CMD指令配合使用：
      • CMD指令将不会被执行，只有ENTRYPOINT指令被执行
      • 和CMD指令配合使用来指定ENTRYPOINT的默认参数，这时CMD指令不是一个完整的可执行命令，仅仅是参数部分

      FROM ubuntu
      CMD ["‐l"]
      ENTRYPOINT ["/usr/bin/ls"]
      

  • USER（设置container容器的用户）
    设置指令，设置启动容器的用户，默认是root用户。

    #指定memcached的运行用户
    ENTRYPOINT ["memcached"]
    USER daemon
    
    或者
    ENTRYPOINT ["memcached", "‐u", "daemon"]
    

  • EXPOSE（指定容器需要映射到宿主机器的端口）
    设置指令，该指令会将容器中的端口映射成宿主机器中的某个端口。每次运行容器的时候容器的IP地址不能指定而是在桥接网卡的地址范围内随机生成的。宿主机器的IP地址是固定的，我们可以将容器的端口的映射到宿主机器上的一个端口，免去每次访问容器中的某个服务时都要查看容器的IP的地址。

    • 首先在Dockerfile使用EXPOSE设置需要映射的容器端口
    • 然后在运行容器的时候指定‐p选项加上EXPOSE设置的端口，这样EXPOSE设置的端口号会被随机映射成宿主机器中的一个端口号。

    格式:

    • EXPOSE <port> [<port>...]

    #映射一个端口
    EXPOSE port1
    #相应的运行容器使用的命令
    docker run ‐p port1 image 
    
    #映射多个端口
    EXPOSE port1 port2 port3
    #相应的运行容器使用的命令
    docker run ‐p port1 ‐p port2 ‐p port3 image
    #还可以指定需要映射到宿主机器上的某个端口号
    docker run ‐p host_port1:port1 ‐p host_port2:port2 ‐p host_port3:port3 image
    

  • ENV（用于设置环境变量）
    主要用于设置容器运行时的环境变量,设置了后，后续的RUN命令都可以使用，container启动后，可以通过docker inspect查看这个环境变量，也可以通过在docker run ‐‐env key=value时设置或修改环境变量。
    格式:

    • ENV <key> <value>

    假如你安装了JAVA程序，需要设置JAVA_HOME，那么可以在Dockerfile中这样写：

    ENV JAVA_HOME /path/to/java/dirent
    

  • ADD（从src复制文件到container的dest路径）
    主要用于将宿主机中的文件添加到镜像中构建指令，所有拷贝到container中的文件和文件夹权限为0755，uid和gid为0；

    • 如果是一个目录，那么会将该目录下的所有文件添加到container中，不包括目录；
    • 如果文件是可识别的压缩格式，则docker会帮忙解压缩（注意压缩格式）；
      • 如果<src>是文件且<dest>中不使用斜杠结束，则会将<dest>视为文件，<src>的内容会写入；
      • 如果<src>是文件且<dest>中使用斜杠结束，则会<src>文件拷贝到<dest>目录下。

    格式:

    • ADD <src> <dest>
      • <src>是相对被构建的源目录的相对路径，可以是文件或目录的路径，也可以是一个远程的文件url、 <dest>是container中的绝对路径
      • 如果<src>是文件且<dest>中不使用斜杠结束，则会将<dest>视为文件，<src>的内容会写入；
      • 如果<src>是文件且<dest>中使用斜杠结束，则会<src>文件拷贝到<dest>目录下。

  • VOLUME（指定挂载点)）
    使容器中的一个目录具有持久化存储数据的功能，该目录可以被容器本身使用，也可以共享给其他容器使用。容器使用的是AUFS，这种文件系统不能持久化数据，当容器关闭后，所有的更改都会丢失。当容器中的应用有持久化数据的需求时可以在Dockerfile中使用该指令。
    格式:

    • VOLUME ["<mountpoint>"]

    FROM base
    VOLUME ["/tmp/data"]
    

    • 使用上面容器共享的/tmp/data目录，那么可以运行下面的命令启动一个容器：

    #其中：container1为第一个容器的ID，image2为第二个容器运行image的名字。
    docker run ‐t ‐i ‐rm ‐volumes‐from container1 image2 bash
    

  • WORKDIR（切换目录）
    设置指令，可以多次切换(相当于cd命令)，对RUN,CMD,ENTRYPOINT生效。
    格式:

    • WORKDIR /path/to/workdir

    #在/p1/p2下执行vim a.txt
    WORKDIR /p1 WORKDIR p2 RUN vim a.txt
    

  • ONBUILD（在子镜像中执行）
    ONBUILD 指定的命令在构建镜像时并不执行，而是在它的子镜像中执行。
    格式：

    • ONBUILD <Dockerfile关键字>

• 通过dockerfile构建镜像步骤：

  • 创建一个目录
  • 在目录下创建Dockerfile文件以及其他文件
  • 通过docker build构建镜像
  • 通过构建的镜像启动容器

• 案例

  • Dockerfile

  #pull down centos image
  FROM docker.io/centos
  MAINTAINER ruanwen [email protected]
  
  #install nginx
  RUN yum install ‐y pcre pcre‐devel openssl openssl‐devel gcc gcc+ wget vim net‐tools
  RUN useradd www ‐M ‐s /sbin/nologin
  RUN cd /usr/local/src && wget http://nginx.org/download/nginx‐1.8.0.tar.gz && tar ‐zxvf nginx‐1.8.0.tar.gz
  RUN cd /usr/local/src/nginx‐1.8.0 && ./configure ‐‐prefix=/usr/local/nginx ‐‐user=www ‐‐group=www ‐‐with‐http_stub_status_module ‐‐with‐http_ssl_module && make && make install'
  
  ENTRYPOINT /usr/local/nginx/sbin/nginx && tail ‐f /usr/local/nginx/logs/access.log
  

  • 构建镜像：

  docker build -f Dockerfile ‐t rw_nginx ‐‐rm=true .
  

  • ‐t 表示选择指定生成镜像的用户名，仓库名和tag
  • ‐‐rm=true 表示指定在生成镜像过程中删除中间产生的临时容器。
  • 注意：上面构建命令中最后的’ . '符号不要漏了，表示使用当前目录下的Dockerfile构建镜像

docker仓库

docker hub

• 打开https://hub.docker.com/
• 注册账号：略
• 创建仓库（Create Repository）：略
• 设置镜像标签
  • docker tag local‐image:tagname new‐repo:tagname（设置tag）
  • eg:docker tag hello‐world:latest 108001509033/test‐hello‐world:v1
• 登录docker hub
  docker login(回车，输入账号以及密码)
• 推送镜像
  • docker push new‐repo:tagname
  • eg：docker push 108001509033/test‐hello‐world:v1

阿里云

• 创建阿里云账号
• 创建命名空间
• 创建镜像仓库
• 操作指南
  • $ sudo docker login ‐‐username=[账号名称] registry.cn‐hangzhou.aliyuncs.com
  • $ sudo docker tag [ImageId] registry.cn‐hangzhou.aliyuncs.com/360buy/portal:[镜像版本号]
  • $ sudo docker push registry.cn‐hangzhou.aliyuncs.com/360buy/portal:[镜像版本号]

搭建私有仓库

• 构建私有仓库

1、启动Docker Registry，使用Docker官方提供的Registry镜像就可以搭建本地私有镜像
仓库，具体指令如下。
$ docker run ‐d \
  ‐p 5000:5000 \
  ‐‐restart=always \
  ‐‐name registry \
  ‐v /mnt/registry:/var/lib/registry \
  registry:2
指令参数说明：
	‐d：表示在后台运行该容器；
	‐p 5000:5000：表示将私有镜像仓库容器内部默认暴露的5000端口映射到宿主机的5000端口
	‐‐restart=always：表示容器启动后自动启动本地私有镜像仓库
	‐‐name registry：表示为生成的容器命名为registry
	‐v /mnt/registry:/var/lib/registry：表示将容器内的默认存储位置/var/lib/registry中的数据挂载到宿主机的/mnt/registry目录下，这样当容器销毁后，在容器中/var/lib/registry目录下的数据会自动备份到宿主机指定目录
说明：
	Docker Registry目前有v1和v2两个版本，v2版本并不是v1版本的简单升级，而是在很多功能上都有了改进和优化。
	v1版本使用的是Python开发的，而v2版本是用go语言开发的；
	v1版本本地镜像仓库容器中数据默认挂载是/tmp/registry，而v2版本的本地镜像仓库容器中数据默认挂载点是/var/lib/registry


2、重命名镜像，之前推送镜像时，都是默认推送到远程镜像仓库，而本次是将指定镜像推送
到本地私有镜像仓库。由于推送到本地私有镜像仓库的镜像名必须符合“仓库IP:端口
号/repository”的形式，因此需要按照要求修改镜像名称，具体操作指令如下。
$ docker tag hello‐world:latest localhost:5000/myhellodocker


3、推送镜像，本地私有镜像仓库搭建并启动完成，同时要推送的镜像也已经准备就绪后，就
可以将指定镜像推送到本地私有镜像仓库了，具体操作指令如下
$ docker push localhost:5000/myhellodocker


4、查看本地仓库镜像
http://localhost:5000/v2/myhellodocker/tags/list  （注意：使用该地址时注意镜像名称）
由于做了目录挂载，因此可以在本地的该目录下查看：
/mnt/registry/docker/registry/v2/repositories

• 配置私有仓库认证

 一、配置私有仓库认证
1、查看Docker Registry私有仓库搭建所在服务器地址：ifconfig
例如：服务器地址为：192.168.200.141


2、生成自签名证书（在home目录下执行上述指令后）
要确保Docker Registry本地镜像仓库的安全性，还需要一个安全认证证书，来保证其他
Docker机器不能随意访问该机器上的Docker Registry本地镜像仓库，所以需要在搭建
Docker Registry本地镜像仓库的Docker主机上先生成自签名证书（如果已购买证书就无需
生成），具体操作指令如下。
$ mkdir registry && cd registry && mkdir certs && cd certs
$ openssl req ‐x509 ‐days 3650 ‐subj '/CN=192.168.200.162:5000/' \
    ‐nodes ‐newkey rsa:2048 ‐keyout domain.key ‐out domain.crt
指令参数说明：
	‐x509：x509是一个自签发证书的格式
	‐days 3650：表示证书有效期
	192.168.197.141:5000：表示具体部署Docker Registry本地镜像仓库的地址和端口
	rsa:2048：是证书算法长度
	domain.key和domain.crt：就是生成的证书文件

3、生成用户名和密码
在Docker Registry本地镜像仓库所在的Docker主机上生成自签名证书后，为了确保
Docker机器与该Docker Registry本地镜像仓库的交互，还需要生成一个连接认证的用户名
和密码，使其他Docker用户只有通过用户名和密码登录后才允许连接到Docker Registry本
地镜像仓库
$ cd .. && mkdir auth
$ docker run ‐‐entrypoint htpasswd registry:2 ‐Bbn ruanwen 123456 >
auth/htpasswd


4、启动Docker Registry本地镜像仓库服务（将之前创建的容器删除）
$ docker run ‐d \
  ‐p 5000:5000 \
  ‐‐restart=always \
  ‐‐name registry \
  ‐v /mnt/registry:/var/lib/registry \
  ‐v `pwd`/auth:/auth \
  ‐e "REGISTRY_AUTH=htpasswd" \
  ‐e "REGISTRY_AUTH_HTPASSWD_REALM=Registry Realm" \
  ‐e REGISTRY_AUTH_HTPASSWD_PATH=/auth/htpasswd \
  ‐v `pwd`/certs:/certs \
  ‐e REGISTRY_HTTP_TLS_CERTIFICATE=/certs/domain.crt \
  ‐e REGISTRY_HTTP_TLS_KEY=/certs/domain.key \
  registry:2


5、配置Docker Registry访问接口
完成Docker Registry本地镜像仓库服务启动后，还需要在搭建了Docker Registry本地镜
像仓库所在的Docker主机上配置供其他Docker机器访问的接口，具体指令如下：
$ sudo mkdir ‐p /etc/docker/certs.d/192.168.200.162:5000
$ sudo cp certs/domain.crt /etc/docker/certs.d/192.168.200.162:5000


6、Docker Registry私有仓库使用登记
在Docker机器终端使用sudo vim /etc/docker/daemon.json命令编辑daemon.json文
件，在该文件中添加如下内容
{"insecure‐registries":["192.168.200.162:5000"]}


7、重启并加载docker配置文件
$ sudo /etc/init.d/docker restart

• 验证测试

1、装备镜像
$ docker tag hello‐world:latest 192.168.200.162:5000/myhelloworld


2、推送镜像
$ docker push 192.168.200.141:5000/myhelloworld
送过程中出现错误，信息提示为：no basic auth credentials（即没有通过身份验
证），所以无法进行推送，这也就说明身份验证的配置有效。要想成功推送，需要先登录成
功后再推送


3、登录Docker Registry镜像仓库
$ docker login 192.168.200.162:5000


4、再次推送
$ docker push 192.168.200.139:5000/myhelloworld


5、结果验证
由于做了目录挂载，因此可以在本地的该目录下查看：
/mnt/registry/docker/registry/v2/repositories