3.1-Docker用法

Author: haoransun
Wechat: SHR—97

1 开启docker服务

启动并加入开机启动

sudo systemctl start docker
sudo systemctl enable docker

验证安装是否成功
docker version

有 client 和 server两部分即表示安装成功。

2 获取镜像命令 docker pull

docker pull [选项] [Docker Registry地址]<仓库名>:<标签>

具体的选项可以通过 docker pull --help 命令看到，而镜像名称的格式：

• Docker Registry地址：地址的格式一般是 <域名/IP>[:端口号]。默认地址是 Docker Hub

• 仓库名：如之前所说，这里的仓库名是两段式名称，既 <用户名>/<软件名>。对于 Docker Hub，如果不给出用户名，则默认为 library，也就是官方镜像.一定要配置镜像加速器,不然下载速度很慢。
  比如：

  docker pull ubuntu:14.04

  2.1 pull下来的 镜像 存储在哪里呢？

1 进入 docker目录

cd /var/lib/docker/
ls
builder  buildkit  containers  image  network  overlay2  plugins  runtimes  swarm  tmp  trust  volumes

2 进入containers,每一个序列号，都是一个镜像，如下：

cd containers/

61458898f83eeb13b56d4f13bb744ba9b8e543f91dbb450a5196226284deba8a
a0356a312020a4941b257ada41d72efb041f7034a70a987ec3d0f44e9cc19402
b81decb15c1f1f821d1c56bdadc15b62506b6cc102a6f083ec7a9b5f89c2685b
ea1236fd8c7f4ce919c0f56b87b642487ecd2bbec243d416dd1e34b313b27b92

3 进入其中一个镜像，发现目录结构如下，这就是这个镜像的内容了，如下

[root@haoransun 61458898f83eeb13b56d4f13bb744ba9b8e543f91dbb450a5196226284deba8a]# ls
61458898f83eeb13b56d4f13bb744ba9b8e543f91dbb450a5196226284deba8a-json.log  hostconfig.json  mounts
checkpoints                                                                hostname         resolv.conf
config.v2.json                                                             hosts            resolv.conf.hash

4 在containers同级目录，有个叫image的文件夹，进入如下：

cd images/aufs

ls
distribution imagedb layerdb repositories.json

里面有个repositories.json的文件，详细记录了镜像的一些信息

如果image没有aufs目录的，可能是这样的

cd image/overlay2/

ls
distribution  imagedb  layerdb  repositories.json

里面有个repositories.json的文件，详细记录了镜像的一些信息

3 查看已下载的镜像 docker images

[root@haoransun docker]# docker images
REPOSITORY          TAG                 IMAGE ID            CREATED             SIZE
hello-world         latest              fce289e99eb9        5 months ago        1.84kB

列表 包含了仓库名、标签、镜像ID、创建时间、所占空间。

4 运行

有了镜像后，我们就可以以这个镜像为基础启动一个容器来运行。以上面的 ubuntu:14.04 为例，如果我们打算启动里面的 bash 并且进行交互式操作的话，可以执行下面的命令。

root@haoransun docker]# docker images
REPOSITORY          TAG                 IMAGE ID            CREATED             SIZE
ubuntu              14.04               2c5e00d77a67        3 weeks ago         188MB
hello-world         latest              fce289e99eb9        5 months ago        1.84kB
[root@haoransun docker]# docker run -it --rm ubuntu:14.04 bash
root@9de828f70b6d:/# cat /etc/os-release 
NAME="Ubuntu"
VERSION="14.04.6 LTS, Trusty Tahr"
ID=ubuntu
ID_LIKE=debian
PRETTY_NAME="Ubuntu 14.04.6 LTS"
VERSION_ID="14.04"
HOME_URL="http://www.ubuntu.com/"
SUPPORT_URL="http://help.ubuntu.com/"
BUG_REPORT_URL="http://bugs.launchpad.net/ubuntu/"
root@9de828f70b6d:/# exit
exit

docker run 就是运行容器的命令

• -it：这是两个参数，一个是-i：交互式操作，一个是 -t 终端。我们这里打算进入 bash 执行一些命令并查看返回结果，因此我们需要交互式终端。

• --rm：这个参数是说容器退出后随之将其删除。默认情况下，为了排障需求，退出的容器并不会立即删除，除非手动 docker rm。我们这里只是随便执行个命令，看看结果，不需要排障和保留结果，因此使用 --rm 可以避免浪费空间。

• ubuntu:14.04：这是指用ubuntu:14.04 镜像为基础来启动容器。

• bash：放在镜像名后的是命令，这里我们希望有个交互式 Shell，因此用的是 bash。

进入容器后，我们可以在 Shell 下操作，执行任何所需的命令。这里，我们执行了 cat /etc/os-release，这是 Linux 常用的查看当前系统版本的命令，从返回的结果可以看到容器内是 Ubuntu 14.04.5 LTS 系统。

最后我们通过 exit 退出了这个容器。

5 定制镜像

以定制一个 Web 服务器为例子，来讲解镜像是如何构建的。

docker run --name webserver -d -p 80:80 nginx

这条命令会用 nginx 镜像启动一个容器，命名为 webserver，并且映射了 80 端口，这样我们可以用浏览器去访问这个 nginx 服务器。

如果是在 Linux 本机运行的 Docker，或者如果使用的是 Docker for Mac、Docker for Windows，那么可以直接访问：http://localhost 如果使用的是 Docker Toolbox，或者是在虚拟机、云服务器上安装的 Docker，则需要将 localhost 换为虚拟机地址或者实际云服务器地址,还要配置安全组放通对应的端口。

直接用浏览器访问的话，我们会看到默认的 Nginx 欢迎页面。

现在，改动这个欢迎页面，改成Hello, Docker!，我们可以使用 docker exec 命令进入容器，修改其内容。

[root@haoransun /]# docker exec -it webserver bash
root@6415ebcbd369:/# echo '<h1>Hello,Docker!</h1>' > /usr/share/nginx/html/index.html 
root@6415ebcbd369:/# exit
exit

我们以交互式终端方式进入 webserver 容器，并执行了 bash 命令，也就是获得一个可操作的 Shell。

然后，我们用 <h1>Hello, Docker!</h1> 覆盖了 /usr/share/nginx/html/index.html 的内容。

现在我们再刷新浏览器的话，会发现内容被改变了。

我们修改了容器的文件，也就是改动了容器的存储层。我们可以通过 docker diff 命令看到具体的改动。

docker diff webserver

6 保存镜像

现在已经定制好了,那我们如何把它保存下来形成镜像?

要知道，当我们运行一个容器的时候（如果不使用卷的话），我们做的任何文件修改都会被记录于容器存储层里。而Docker 提供了一个 docker commit 命令，可以将容器的存储层保存下来成为镜像。换句话说，就是在原有镜像的基础上，再叠加上容器的存储层，并构成新的镜像。以后我们运行这个新镜像的时候，就会拥有原有容器最后的文件变化。

docker commit 的语法格式为：

docker commit [选项] <容器ID或容器名> [<仓库名>[:<标签>]]

下面的命令将容器保存为镜像：

[root@haoransun /]# docker commit --author 'haoransun<xxxx@qq.com>' --message '修改Nginx欢迎页面' webserver nginx:v2
sha256:cef47606fca7dd6a5ee72986d18641ac754973120312a7015bb228dee64cc02a

其中 --author 是指定修改的作者，而 --message 则是记录本次修改的内容。

可以用 docker images 命令看到这个新定制的镜像：

我们还可以用 docker history 具体查看镜像内的历史记录，如果比较 nginx:latest 的历史记录，我们会发现新增了我们刚刚提交的这一层。

新的镜像定制好后，我们可以来运行这个镜像。

docker run --name web2 -d -p 81:80 nginx:v2

这里我们命名为新的服务为 web2，并且映射到 81 端口。如果是 Docker for Mac/Windows 或 Linux 桌面的话，我们就可以直接访问 http://localhost:81 看到结果，其内容应该和之前修改后的 webserver 一样。否则访问 虚拟机的地址如：192.168.121.100:81。

完成了第一次定制镜像，使用的是 docker commit 命令，手动操作给旧的镜像添加了新的一层，形成新的镜像，对镜像多层存储应该有了更直观的感觉。

7 慎用 docker commit

使用 docker commit 命令虽然可以比较直观的帮助理解镜像分层存储的概念，但是实际环境中并不会这样使用。

首先，如果仔细观察之前的 docker diff webserver 的结果，你会发现除了真正想要修改的 /usr/share/nginx/html/index.html 文件外，由于命令的执行，还有很多文件被改动或添加了。这还仅仅是最简单的操作，如果是安装软件包、编译构建，那会有大量的无关内容被添加进来，如果不小心没有清理，将会导致镜像极为臃肿。

此外，使用 docker commit 意味着所有对镜像的操作都是黑箱操作，生成的镜像也被称为黑箱镜像，换句话说，就是除了制作镜像的人知道执行过什么命令、怎么生成的镜像，别人根本无从得知。而且，即使是这个制作镜像的人，过一段时间后也无法记清具体在操作的。虽然 docker diff 或许可以告诉得到一些线索，但是远远不到可以确保生成一致镜像的地步。这种黑箱镜像的维护工作是非常痛苦的。

而且，回顾之前提及的镜像所使用的分层存储的概念，除当前层外，之前的每一层都是不会发生改变的，换句话说，任何修改的结果仅仅是在当前层进行标记、添加、修改，而不会改动上一层。如果使用 docker commit 制作镜像，以及后期修改的话，每一次修改都会让镜像更加臃肿一次，所删除的上一层的东西并不会丢失，会一直如影随形的跟着这个镜像，即使根本无法访问到。这会让镜像更加臃肿。

docker commit 命令除了学习之外，还有一些特殊的应用场合，比如被入侵后保存现场等。但是，不要使用 docker commit 定制镜像，定制行为应该使用 Dockerfile 来完成。