什么是docker
Docker是使用go語言基於LINUX內核的cgroup,namespace以及AUFS 類的 Union FS 等技術,對進程進行封裝隔離的一種操作系統層面的虛擬化技術,由於隔離的進程獨立於宿主和其它的隔離的進程,因此也稱其為容器。
Docker和傳統虛擬化技術的對比
為什么要使用 Docker
更高效的利用系統資源
由於Docker工作在進程級別,不需要進行硬件虛擬以及運行完整操作系統等額外開銷,所以Docker對系統資源的利用率更高。相比虛擬機技術,一個相同配置的主機,往往可以運行更多數量的應用。
更快速的啟動時間
傳統的虛擬機技術啟動應用服務往往需要數分鍾,而 Docker容器應用,由於直接運行於宿主內核,無需啟動完整的操作系統,因此可以做到秒級、甚至毫秒級的啟動時間。大大的節約了開發、測試、部署的時間。
一致的運行環境
由於開發環境、測試環境、生產環境不一致,導致有些 bug 並未在開發過程中被發現。Docker 的鏡像提供了除內核外完整的運行時環境,確保了應用運行環境一致性,從而不會再出現 “這段代碼在我機器上沒問題啊” 這類問題。
持續交付和部署
一次創建,多次運行。通過定制應用鏡像來實現持續集成、持續交付、部署。開發人員可以通過 Dockerfile 來進行鏡像構建,並結合持續集成(Continuous Integration)系統進行集成測試,而運維人員則可以直接在生產環境中快速部署該鏡像,甚至結合 持續部署(Continuous Delivery/Deployment) 系統進行自動部署。而且使用 Dockerfile 使鏡像構建透明化,不僅僅開發團隊可以理解應用運行環境,也方便運維團隊理解應用運行所需條件,幫助更好的生產環境中部署該鏡像。
更輕松的遷移
Docker 確保了執行環境的一致性,無論是物理機、虛擬機、公有雲、私有雲,甚至是筆記本,其運行結果是一致的。因此可以很輕易遷移到任意上,而不用擔心運行環境的變化導致應用無法正常運行的情況。
更輕松的維護和擴展
Docker 使用的分層存儲以及鏡像的技術,Docker 團隊同各個開源項目團隊一起維護了一大批高質量的官方鏡像,既可以直接在生產環境使用,又可以作為基礎進一步定制。
對比傳統虛擬機總結
| 特性 | 容器 | 虛擬機 |
|---|---|---|
| 啟動 | 秒級 | 分鍾級 |
| 硬盤使用 | 一般為 MB | 一般為 GB |
| 性能 | 接近原生 | 弱於 |
| 系統支持量 | 單機支持上千個容器 | 一般幾十個 |
Docker的基本概念
Docker 鏡像
我們都知道,操作系統分為內核和用戶空間。對於 Linux 而言,內核啟動后,會掛載根文件系統為其提供用戶空間支持。而 Docker 鏡像(Image),就相當於是一個根文件系統。
Docker 鏡像是一個特殊的文件系統,除了提供容器運行時所需的程序、庫、資源、配置等文件外,還包含了一些為運行時准備的一些配置參數(如匿名卷、環境變量、用戶等)。鏡像不包含任何動態數據,其內容在構建之后也不會被改變。
分層存儲
因為鏡像包含操作系統完整的根文件系統,其體積往往是龐大的,因此在 Docker 設計時,就充分利用 Union FS 的技術,將其設計為分層存儲的架構。所以嚴格來說,鏡像並非是像一個 ISO 那樣的打包文件,鏡像只是一個虛擬的概念,其實際體現並非由一個文件組成,而是由一組文件系統組成,或者說,由多層文件系統聯合組成。
鏡像構建時,會一層層構建,前一層是后一層的基礎。每一層構建完就不會再發生改變,后一層上的任何改變只發生在自己這一層。比如,刪除前一層文件的操作,實際不是真的刪除前一層的文件,而是僅在當前層標記為該文件已刪除。在最終容器運行的時候,雖然不會看到這個文件,但是實際上該文件會一直跟隨鏡像。因此,在構建鏡像的時候,需要額外小心,每一層盡量只包含該層需要添加的東西,任何額外的東西應該在該層構建結束前清理掉。
分層存儲的特征還使得鏡像的復用、定制變的更為容易。甚至可以用之前構建好的鏡像作為基礎層,然后進一步添加新的層,以定制自己所需的內容,構建新的鏡像。
Docker 容器
鏡像(Image)和容器(Container)的關系,就像是面向對象程序設計中的類和實例一樣,鏡像是靜態的定義,容器是鏡像運行時的實體。容器可以被創建、啟動、停止、刪除、暫停等。
容器的實質是進程,但與直接在宿主執行的進程不同,容器進程運行於屬於自己的獨立的命名空間。因此容器可以擁有自己的根文件系統、自己的網絡配置、自己的進程空間,甚至自己的用戶 ID 空間。容器內的進程是運行在一個隔離的環境里,使用起來,就好像是在一個獨立於宿主的系統下操作一樣。這種特性使得容器封裝的應用比直接在宿主運行更加安全。
前面講過鏡像使用的是分層存儲,容器也是如此。每一個容器運行時,是以鏡像為基礎層,在其上創建一個當前容器的存儲層,我們可以稱這個為容器運行時讀寫而准備的存儲層為容器存儲層。
容器存儲層的生存周期和容器一樣,容器消亡時,容器存儲層也隨之消亡。因此,任何保存於容器存儲層的信息都會隨容器刪除而丟失。
按照 Docker 最佳實踐的要求,容器不應該向其存儲層內寫入任何數據,容器存儲層要保持無狀態化。所有的文件寫入操作,都應該使用 數據卷(Volume)、或者綁定宿主目錄,在這些位置的讀寫會跳過容器存儲層,直接對宿主(或網絡存儲)發生讀寫,其性能和穩定性更高。
數據卷的生存周期獨立於容器,容器消亡,數據卷不會消亡。因此,使用數據卷后,容器可以隨意刪除、重新運行,數據卻不會丟失。
Docker Registry
Docker Registry 提供了鏡像的集中的存儲、分發功能。一個 Docker Registry 中可以包含多個倉庫(Repository);每個倉庫可以包含多個標簽(Tag);通過 <倉庫名>:<標簽> 的格式來指定具體是這個軟件哪個版本的鏡像。Docker Registry 分為公有服務和私有服務,我們可以搭建一個基於本地的registry
Docker 實踐
安裝docker
添加內核參數
tee -a /etc/sysctl.conf << EOF
net.bridge.bridge-nf-call-ip6tables = 1
net.bridge.bridge-nf-call-iptables = 1
EOF
sysctl -p
添加 yum 源,使用最新版的 docker
tee /etc/yum.repos.d/docker.repo <<-'EOF'
[dockerrepo]
name=Docker Repository
baseurl=https://mirrors.tuna.tsinghua.edu.cn/docker/yum/repo/centos7/
enabled=1
gpgcheck=1
gpgkey=https://mirrors.tuna.tsinghua.edu.cn/docker/yum/gpg
EOF
安裝 docker-engine
yum -y install docker-engine
啟動docker
systemctl enable docker
systemctl start docker
配置鏡像加速
由於國內訪問docker原站點非常困難,國內的雲服務提供商提供了加速功能。我們使用阿里雲進行docker加速
地址: https://dev.aliyun.com/search.html
添加你的專屬地址
sed -i "s|ExecStart=/usr/bin/dockerd|ExecStart=/usr/bin/dockerd --registry-mirror=https://fz5yth0r.mirror.aliyuncs.com|g" /usr/lib/systemd/system/docker.service
systemctl daemon-reload
systemctl restart docker
查看是否加速
docker info
docker info的Registry Mirrors:里面是否有內容
ps aux|grep dockerd
查看是否有--registry-mirror=
使用鏡像
獲取鏡像
命令格式為:
docker pull [OPTIONS] NAME[:TAG|@DIGEST]
獲取centos鏡像
docker pull centos
列出鏡像
[root@node1 docker]# docker images
#倉庫名 #標簽 #鏡像ID #創建時間 #大小
REPOSITORY TAG IMAGE ID CREATED SIZE
centos latest 98d35105a391 7 days ago 192 MB
為了加速鏡像構建、重復利用資源,Docker 會利用 中間層鏡像。所以在使用一段時間后,可能會看到一些依賴的中間層鏡像。使用-a參數來顯示中間層鏡像。
[root@node1 docker]# docker images -a
按照指定格式輸出
docker images --format "table {{.ID}}\t{{.Repository}}\t{{.Tag}}"
Docker commit
使用nginx 鏡像啟動一個容器,命名為 webserver,並且把容器的80端口映射在宿主機的80端口。
docker run --name webserver -d -p 80:80 nginx
使用瀏覽器訪問宿主機的80端口,訪問到容器的web服務
我們更改訪問頁面,使用exec命令進入容器,並執行bash命令,更改nginx的歡迎頁面內容
docker exec -it webserver bash
echo '<h1>Hello, Docker!</h1>' > /usr/share/nginx/html/index.html
exit
我們修改了容器的存儲層,使用docker diff 查看文件的改動
[root@node1 docker]# docker diff webserver
C /usr
C /usr/share
C /usr/share/nginx
C /usr/share/nginx/html
C /usr/share/nginx/html/index.html
C /run
A /run/nginx.pid
C /var
C /var/cache
C /var/cache/nginx
A /var/cache/nginx/uwsgi_temp
A /var/cache/nginx/client_temp
A /var/cache/nginx/fastcgi_temp
A /var/cache/nginx/proxy_temp
A /var/cache/nginx/scgi_temp
C /root
A /root/.bash_history
定制好頁面之后,保存為鏡像,當我們運行一個容器的時候(如果不使用卷的話),我們做的任何文件修改都會被記錄於容器存儲層里。而 Docker 提供了一個 docker commit 命令,可以將容器的存儲層保存下來成為鏡像。換句話說,就是在原有鏡像的基礎上,再疊加上容器的存儲層,並構成新的鏡像。
docker commit \
--author "xiaohou <xxx@163.com>" \
--message "修改了默認網頁" \
webserver \
nginx:v2
使用docker image查看新的鏡像
[root@node1 docker]# docker images nginx
REPOSITORY TAG IMAGE ID CREATED SIZE
nginx v2 2be7bf1f91da About a minute ago 182 MB
nginx latest 6b914bbcb89e 3 weeks ago 182 MB
還可以用 docker history 具體查看鏡像內的歷史記錄,如果比較 nginx:latest 的歷史記錄
[root@node1 docker]# docker history nginx:v2
IMAGE CREATED CREATED BY SIZE COMMENT
2be7bf1f91da 2 minutes ago nginx -g daemon off; 97 B 修改了默認網頁
6b914bbcb89e 3 weeks ago /bin/sh -c #(nop) CMD ["nginx" "-g" "daem... 0 B
<missing> 3 weeks ago /bin/sh -c #(nop) EXPOSE 443/tcp 80/tcp 0 B
<missing> 3 weeks ago /bin/sh -c ln -sf /dev/stdout /var/log/ngi... 0 B
<missing> 3 weeks ago /bin/sh -c apt-key adv --keyserver hkp://p... 58.8 MB
<missing> 3 weeks ago /bin/sh -c #(nop) ENV NGINX_VERSION=1.11.... 0 B
<missing> 3 weeks ago /bin/sh -c #(nop) MAINTAINER NGINX Docker... 0 B
<missing> 3 weeks ago /bin/sh -c #(nop) CMD ["/bin/bash"] 0 B
<missing> 3 weeks ago /bin/sh -c #(nop) ADD file:41ac8d85ee35954... 123 MB
新的鏡像定制好后,我們可以來運行這個鏡像,訪問宿主機的81端口
docker run --name web2 -d -p 81:80 nginx:v2
慎用 docker commit
觀察之前的 docker diff webserver 的結果,你會發現除了真正想要修改的 /usr/share/nginx/html/index.html 文件外,還有很多文件被改動或添加了。如果是安裝軟件包、編譯構建,那會有大量的無關內容被添加進來,將會導致鏡像極為臃腫。
使用 docker commit 意味着除了制作鏡像的人知道執行過什么命令、怎么生成的鏡像,別人根本無從得知。而且,即使是這個制作鏡像的人,過一段時間后也無法記清具體在操作的。
如果使用 docker commit 制作鏡像,由於只在當前層操作,后期修改的話,每一次修改都會讓鏡像更加臃腫一次,所刪除的上一層的東西並不會丟失,會一直如影隨形的跟着這個鏡像,即使根本無法訪問到™。這會讓鏡像更加臃腫。
docker commit 命令除了學習之外,還有一些特殊的應用場合,比如被入侵后保存現場等。但是,不要使用 docker commit 定制鏡像,定制行為應該使用 Dockerfile 來完成。
Dockerfile
Dockerfile是一個文本文件,用來來構建、定制鏡像。之前使用 docker commit 提及的無法重復的問題、鏡像構建透明性的問題、體積的問題就都會解決。
使用docker file 定制nginx鏡像
mkdir ~/mynginx
cd ~/mynginx
vim Dockerfile
FROM nginx
RUN echo '<h1>Hello, Docker!</h1>' > /usr/share/nginx/html/index.html
FROM:
指定一個基礎鏡像,可以直接拿來使用的服務類的鏡像,如ubuntu、debian、centos、fedora、alpine、nginx、redis、mongo、mysql、httpd、php、tomcat 等。
指定一個空白鏡像
FROM scratch
RUN ...
RUN:
RUN 指令是用來執行命令行命令。其格式有兩種。
- SHELL格式:
RUN echo '<h1>Hello, Docker!</h1>' > /usr/share/nginx/html/index.html
- exec 格式:
RUN ["可執行文件", "參數1", "參數2"]
在使用shell模式編寫時,不建議每個命令都寫一層RUN,每一個 RUN 的行為,就和剛才我們手工建立鏡像的過程一樣:新建立一層,在其上執行這些命令,執行結束后,commit 這一層的修改,構成新的鏡像。Union FS 是有最大層數限制的,比如 AUFS,曾經是最大不得超過 42 層,現在是不得超過 127 層。
正確dockerfile寫法
FROM debian:jessie
RUN buildDeps='gcc libc6-dev make' \
&& apt-get update \
&& apt-get install -y $buildDeps \
&& wget -O redis.tar.gz "http://download.redis.io/releases/redis-3.2.5.tar.gz" \
&& mkdir -p /usr/src/redis \
&& tar -xzf redis.tar.gz -C /usr/src/redis --strip-components=1 \
&& make -C /usr/src/redis \
&& make -C /usr/src/redis install \
&& rm -rf /var/lib/apt/lists/* \
&& rm redis.tar.gz \
&& rm -r /usr/src/redis \
&& apt-get purge -y --auto-remove $buildDeps
不建議的寫法:
FROM debian:jessie
RUN apt-get update
RUN apt-get install -y gcc libc6-dev make
RUN wget -O redis.tar.gz "http://download.redis.io/releases/redis-3.2.5.tar.gz"
RUN mkdir -p /usr/src/redis
RUN tar -xzf redis.tar.gz -C /usr/src/redis --strip-components=1
RUN make -C /usr/src/redis
RUN make -C /usr/src/redis install
構建鏡像
cd ~/mynginx/
# -t:指定標簽
docker build -t nginx:v3 .
鏡像構建上下文(Context)
在 docker build 命令最后有一個 . 。. 表示當前目錄,而 Dockerfile 就在當前目錄,因此不少初學者以為這個路徑是在指定 Dockerfile 所在路徑,這么理解其實是不准確的。如果對應上面的命令格式,你可能會發現,這是在指定上下文路徑。那么什么是上下文呢?
首先我們要理解 docker build 的工作原理。Docker 在運行時分為 Docker 引擎(也就是服務端守護進程)和客戶端工具。Docker 的引擎提供了一組 REST API,被稱為 Docker Remote API,而如 docker 命令這樣的客戶端工具,則是通過這組 API 與 Docker 引擎交互,從而完成各種功能。因此,雖然表面上我們好像是在本機執行各種 docker 功能,但實際上,一切都是使用的遠程調用形式在服務端(Docker 引擎)完成。也因為這種 C/S 設計,讓我們操作遠程服務器的 Docker 引擎變得輕而易舉。
當我們進行鏡像構建的時候,並非所有定制都會通過 RUN 指令完成,經常會需要將一些本地文件復制進鏡像,比如通過 COPY 指令、ADD 指令等。而 docker build 命令構建鏡像,其實並非在本地構建,而是在服務端,也就是 Docker 引擎中構建的。那么在這種客戶端/服務端的架構中,如何才能讓服務端獲得本地文件呢?
這就引入了上下文的概念。當構建的時候,用戶會指定構建鏡像上下文的路徑,docker build 命令得知這個路徑后,會將路徑下的所有內容打包,然后上傳給 Docker 引擎。這樣 Docker 引擎收到這個上下文包后,展開就會獲得構建鏡像所需的一切文件。
如果在 Dockerfile 中這么寫:
COPY ./package.json /app/
這並不是要復制執行 docker build 命令所在的目錄下的 package.json,也不是復制 Dockerfile 所在目錄下的 package.json,而是復制 上下文(context) 目錄下的 package.json。
因此,COPY 這類指令中的源文件的路徑都是相對路徑。這也是初學者經常會問的為什么 COPY ../package.json /app 或者 COPY /opt/xxxx /app 無法工作的原因,因為這些路徑已經超出了上下文的范圍,Docker 引擎無法獲得這些位置的文件。如果真的需要那些文件,應該將它們復制到上下文目錄中去。
如果觀察 docker build 輸出,我們其實已經看到了這個發送上下文的過程:
[root@node1 mynginx]# docker build -t nginx:v3 .
Sending build context to Docker daemon 2.048 kB
Step 1/2 : FROM nginx
---> 6b914bbcb89e
Step 2/2 : RUN echo '<h1>Hello, Docker!</h1>' > /usr/share/nginx/html/index.html
---> Running in e3405aef8ac5
---> 11c14b5ee07d
Removing intermediate container e3405aef8ac5
Successfully built 11c14b5ee07d
理解構建上下文對於鏡像構建是很重要的,避免犯一些不應該的錯誤。比如有些初學者在發現 COPY /opt/xxxx /app 不工作后,於是干脆將 Dockerfile 放到了硬盤根目錄去構建,結果發現 docker build 執行后,在發送一個幾十 GB 的東西,極為緩慢而且很容易構建失敗。那是因為這種做法是在讓 docker build 打包整個硬盤,這顯然是使用錯誤。
一般來說,應該會將 Dockerfile 置於一個空目錄下,或者項目根目錄下。如果該目錄下沒有所需文件,那么應該把所需文件復制一份過來。如果目錄下有些東西確實不希望構建時傳給 Docker 引擎,那么可以用 .gitignore 一樣的語法寫一個 .dockerignore,該文件是用於剔除不需要作為上下文傳遞給 Docker 引擎的。
那么為什么會有人誤以為 . 是指定 Dockerfile 所在目錄呢?這是因為在默認情況下,如果不額外指定 Dockerfile 的話,會將上下文目錄下的名為 Dockerfile 的文件作為 Dockerfile。
這只是默認行為,實際上 Dockerfile 的文件名並不要求必須為 Dockerfile,而且並不要求必須位於上下文目錄中,比如可以用 -f ../Dockerfile.php 參數指定某個文件作為 Dockerfile。
當然,一般大家習慣性的會使用默認的文件名 Dockerfile,以及會將其置於鏡像構建上下文目錄中。
Dockerfile 指令
COPY:
格式:
- SHELL格式:
COPY <源路徑>... <目標路徑>
- exec 格式:
COPY ["<源路徑1>",... "<目標路徑>"]
"源路徑"可以是多個,也可以是通配符,其通配符規則要滿足 Go 的 filepath.Match 規則,如:
COPY hom* /mydir/
COPY hom?.txt /mydir/
"目標路徑"可以是容器內的絕對路徑,也可以是相對於工作目錄的相對路徑(工作目錄可以用 WORKDIR 指令來指定)。目標路徑不需要事先創建,如果目錄不存在會在復制文件前先行創建缺失目錄。
使用 COPY 指令,源文件的各種元數據都會保留。比如讀、寫、執行權限、文件變更時間等。這個特性對於鏡像定制很有用。特別是構建相關文件都在使用 Git 進行管理的時候。
ADD
"源路徑"可以是一個 URL,這種情況下,Docker 引擎會試圖去下載這個鏈接的文件放到"目標路徑"。下載后的文件權限自動設置為600。
如果這並不是想要的權限,那么還需要增加額外的一層 RUN 進行權限調整。
如果"源路徑"為一個 tar.gzip,tar.bzip2,tar.xz的文件,ADD 指令將會自動解壓縮這個壓縮文件到"目標路徑"去。
FROM scratch
ADD ubuntu-xenial-core-cloudimg-amd64-root.tar.gz /
在 Docker 官方的最佳實踐文檔中要求,盡可能的使用 COPY,因為 COPY 的語義很明確,就是復制文件而已,而 ADD 則包含了更復雜的功能,其行為也不一定很清晰。最適合使用 ADD 的場合,就是所提及的需要自動解壓縮的場合。
CMD
CMD 指令的格式和 RUN 相似,也是兩種格式:
- shell 格式:
CMD <命令>
- exec 格式:
CMD ["可執行文件", "參數1", "參數2"...]
- 參數列表格式:
CMD ["參數1", "參數2"...]。
在指定了 ENTRYPOINT 指令后,用 CMD 指定具體的參數。
之前介紹容器的時候曾經說過,Docker 不是虛擬機,容器就是進程。既然是進程,那么在啟動容器的時候,需要指定所運行的程序及參數。CMD 指令就是用於指定默認的容器主進程的啟動命令的。
在運行時可以指定新的命令來替代鏡像設置中的這個默認命令,鏡像默認的 CMD 是 /bin/bash ,如果我們直接 docker run -it centos 的話,會直接進入 bash。我們也可以在運行時指定運行別的命令,如 docker run -it ubuntu cat /etc/os-release。這就是用 cat /etc/os-release命令替換了默認的 /bin/bash 命令了,輸出了系統版本信息。
在指令格式上,一般推薦使用 exec 格式,這類格式在解析時會被解析為 JSON 數組,因此一定要使用雙引號 ",而不要使用單引號。
如果使用 shell 格式的話,實際的命令會被包裝為sh -c 的參數的形式進行執行。比如:
CMD echo $HOME
在實際執行中,會將其變更為:
CMD [ "sh", "-c", "echo $HOME" ]
這就是為什么我們可以使用環境變量的原因,因為這些環境變量會被 shell 進行解析處理。
Docker 不是虛擬機,容器中的應用都應該以前台執行,而不是像虛擬機、物理機里面那樣,用 upstart/systemd 去啟動后台服務,容器內沒有后台服務的概念。
一些初學者將 CMD 寫為:
CMD service nginx start
然后發現容器執行后就立即退出了。甚至在容器內去使用 systemctl 命令結果卻發現根本執行不了。這就是因為沒有搞明白前台、后台的概念,沒有區分容器和虛擬機的差異,依舊在以傳統虛擬機的角度去理解容器。
對於容器而言,其啟動程序就是容器應用進程,容器就是為了主進程而存在的,主進程退出,容器就失去了存在的意義,從而退出,其它輔助進程不是它需要關心的東西。
而使用service nginx start命令,則是希望 upstart 來以后台守護進程形式啟動 nginx 服務。而剛才說了 CMD service nginx start 會被理解為 CMD [ "sh", "-c", "service nginx start"],因此主進程實際上是 sh。那么當 service nginx start 命令結束后,sh 也就結束了,sh 作為主進程退出了,自然就會令容器退出。
正確的做法是直接執行 nginx 可執行文件,並且要求以前台形式運行。比如:
CMD ["nginx", "-g", "daemon off;"]
ENTRYPOINT
ENTRYPOINT 的目的和 CMD 一樣,都是在指定容器啟動程序及參數。ENTRYPOINT 在運行時也可以替代,不過比 CMD 要略顯繁瑣,需要通過 docker run 的參數 --entrypoint 來指定。
當指定了 ENTRYPOINT 后,CMD 的含義就發生了改變,不再是直接的運行其命令,而是將 CMD 的內容作為參數傳給 ENTRYPOINT 指令,換句話說實際執行時,將變為:
<ENTRYPOINT> "<CMD>"
場景一:讓鏡像變成像命令一樣使用
假設我們需要一個得知自己當前公網 IP 的鏡像,那么可以先用 CMD 來實現:
mkdir ~/myip/
cd ~/myip/
tee Dockerfile <<'EOF'
FROM centos
RUN yum -y install wget \
&& wget -O /etc/yum.repos.d/CentOS-Base.repo http://mirrors.aliyun.com/repo/Centos-7.repo \
&&wget -O /etc/yum.repos.d/epel.repo http://mirrors.aliyun.com/repo/epel-7.repo \
&&yum -y install curl
CMD [ "curl", "-s", "http://ip.cn" ]
EOF
docker build -t myip .
啟動一個容器測試
[root@node1 myip]# docker run myip
當前 IP:123.117.85.77 來自:北京市 聯通
這么看起來好像可以直接把鏡像當做命令使用了,如果我們希望加參數呢?從上面的 CMD 中可以看到實質的命令是 curl,那么如果我們希望顯示 HTTP 頭信息,就需要加上 -i 參數。那么我們可以直接加 -i 參數給 docker run myip 么?
[root@node1 myip]# docker rum myip -i
unknown shorthand flag: 'i' in -i
See 'docker --help'.
...
跟在鏡像名后面的是 command,運行時會替換 CMD 的默認值。因此這里的 -i 替換了原來的 CMD,而不是添加在原來的 curl -s http://ip.cn 后面。而 -i 根本不是命令,所以自然找不到。
如果我們希望加入 -i 這參數,我們就必須重新完整的輸入這個命令:
[root@node1 myip]# docker run myip curl -s http://ip.cn -i
HTTP/1.1 200 OK
Server: nginx/1.10.0 (Ubuntu)
Date: Fri, 24 Mar 2017 02:21:43 GMT
Content-Type: text/html; charset=UTF-8
Transfer-Encoding: chunked
Connection: keep-alive
當前 IP:123.117.85.77 來自:北京市
而使用 ENTRYPOINT 就可以給 docker 傳參,修改docker鏡像
cd ~/myip/
tee Dockerfile <<'EOF'
FROM centos
RUN yum -y install wget \
&& wget -O /etc/yum.repos.d/CentOS-Base.repo http://mirrors.aliyun.com/repo/Centos-7.repo \
&&wget -O /etc/yum.repos.d/epel.repo http://mirrors.aliyun.com/repo/epel-7.repo \
&&yum -y install curl
ENTRYPOINT [ "curl", "-s", "http://ip.cn" ]
EOF
docker build -t myip .
再次運行
[root@node1 myip]# docker run myip
當前 IP:123.117.85.77 來自:北京市
[root@node1 myip]# docker run myip -i
HTTP/1.1 200 OK
Server: nginx/1.10.0 (Ubuntu)
Date: Fri, 24 Mar 2017 02:24:42 GMT
Content-Type: text/html; charset=UTF-8
Transfer-Encoding: chunked
Connection: keep-alive
當前 IP:123.117.85.77 來自:北京市
場景二:應用運行前的准備工作
redis的官方dockerfile https://github.com/docker-library/redis/blob/master/3.2/alpine/Dockerfile
FROM alpine:3.5
...
RUN addgroup -S redis && adduser -S -G redis redis
...
ENTRYPOINT ["docker-entrypoint.sh"]
EXPOSE 6379
CMD [ "redis-server" ]
可以看到其中為了 redis 服務創建了 redis 用戶,並在最后指定了 ENTRYPOINT 為 docker-entrypoint.sh 腳本。
#!/bin/sh
...
# allow the container to be started with `--user`
if [ "$1" = 'redis-server' -a "$(id -u)" = '0' ]; then
chown -R redis .
exec su-exec redis "$0" "$@"
fi
exec "$@"
該腳本的內容就是根據 CMD 的內容來判斷,如果是 redis-server 的話,則切換到 redis 用戶身份啟動服務器,否則依舊使用 root 身份執行。比如:
$ docker run -it redis id
uid=0(root) gid=0(root) groups=0(root)
ENV 設置環境變量
格式有兩種:
ENV <key> <value>ENV <key1>=<value1> <key2>=<value2>...
這個指令很簡單,就是設置環境變量而已,無論是后面的其它指令,如 RUN,還是運行時的應用,都可以直接使用這里定義的環境變量。
ENV VERSION=1.0 DEBUG=on \
NAME="Happy Feet"
這個例子中演示了如何換行,以及對含有空格的值用雙引號括起來的辦法,這和 Shell 下的行為是一致的。
定義了環境變量,那么在后續的指令中,就可以使用這個環境變量。比如在官方 node 鏡像 Dockerfile中,就有類似這樣的代碼:
ENV NODE_VERSION 7.2.0
RUN curl -SLO "https://nodejs.org/dist/v$NODE_VERSION/node-v$NODE_VERSION-linux-x64.tar.xz" \
&& curl -SLO "https://nodejs.org/dist/v$NODE_VERSION/SHASUMS256.txt.asc" \
&& gpg --batch --decrypt --output SHASUMS256.txt SHASUMS256.txt.asc \
&& grep " node-v$NODE_VERSION-linux-x64.tar.xz\$" SHASUMS256.txt | sha256sum -c - \
&& tar -xJf "node-v$NODE_VERSION-linux-x64.tar.xz" -C /usr/local --strip-components=1 \
&& rm "node-v$NODE_VERSION-linux-x64.tar.xz" SHASUMS256.txt.asc SHASUMS256.txt \
&& ln -s /usr/local/bin/node /usr/local/bin/nodejs
在這里先定義了環境變量 NODE_VERSION,其后的 RUN 這層里,多次使用 $NODE_VERSION 來進行操作定制。可以看到,將來升級鏡像構建版本的時候,只需要更新 7.2.0 即可,Dockerfile 構建維護變得更輕松了。
下列指令可以支持環境變量展開: ADD、COPY、ENV、EXPOSE、LABEL、USER、WORKDIR、VOLUME、STOPSIGNAL、ONBUILD。
可以從這個指令列表里感覺到,環境變量可以使用的地方很多,很強大。通過環境變量,我們可以讓一份 Dockerfile 制作更多的鏡像,只需使用不同的環境變量即可。
ARG 構建參數
- 格式:
ARG <參數名>[=<默認值>]
構建參數和 ENV 的效果一樣,都是設置環境變量。所不同的是,ARG 所設置的構建環境的環境變量,在將來容器運行時是不會存在這些環境變量的。不建議 ARG 保存密碼之類的信息,因為 docker history 還是可以看到所有值的。
VOLUME 定義匿名卷
- 格式:
VOLUME ["<路徑1>", "<路徑2>"...]
VOLUME <路徑>
之前我們說過,容器運行時應該盡量保持容器存儲層不發生寫操作,對於數據庫類需要保存動態數據的應用,其數據庫文件應該保存於卷(volume)中,后面的章節我們會進一步介紹 Docker 卷的概念。為了防止運行時用戶忘記將動態文件所保存目錄掛載為卷,在 Dockerfile 中,我們可以事先指定某些目錄掛載為匿名卷,這樣在運行時如果用戶不指定掛載,其應用也可以正常運行,不會向容器存儲層寫入大量數據。
VOLUME /data
也可以運行時覆蓋這個掛載設置。比如:
docker run -d -v mydata:/data xxxx
在這行命令中,就使用了 mydata 這個命名卷掛載到了 /data 這個位置,替代了 Dockerfile 中定義的匿名卷的掛載配置。
EXPOSE 聲明端口
- 格式:
EXPOSE <端口1> [<端口2>...]
EXPOSE 指令是聲明運行時容器提供服務端口,在運行時並不會因為這個聲明應用就會開啟這個端口的服務。
在 Dockerfile 中寫入這樣的聲明有兩個好處:
-
幫助鏡像使用者理解這個鏡像服務的守護端口,以方便配置映射
-
在運行時使用隨機端口映射時,也就是 docker run -P 時,會自動隨機映射 EXPOSE 的端口。
此外,在早期 Docker 版本中還有一個特殊的用處。以前所有容器都運行於默認橋接網絡中,因此所有容器互相之間都可以直接訪問,這樣存在一定的安全性問題。於是有了一個 Docker 引擎參數 --icc=false,當指定該參數后,容器間將默認無法互訪,除非互相間使用了 --links 參數的容器才可以互通,並且只有鏡像中 EXPOSE 所聲明的端口才可以被訪問。這個 --icc=false 的用法,在引入了 docker network 后已經基本不用了,通過自定義網絡可以很輕松的實現容器間的互聯與隔離。
WORKDIR 指定工作目錄
- 格式:
WORKDIR <工作目錄路徑>
使用 WORKDIR 指令可以來指定工作目錄(或者稱為當前目錄),以后各層的當前目錄就被改為指定的目錄,如該目錄不存在,WORKDIR 會幫你建立目錄。
之前提到一些初學者常犯的錯誤是把 Dockerfile 等同於 Shell 腳本來書寫,這種錯誤的理解還可能會導致出現下面這樣的錯誤:
RUN cd /app
RUN echo "hello" > world.txt
如果將這個 Dockerfile 進行構建鏡像運行后,會發現找不到 /app/world.txt 文件,或者其內容不是hello。原因其實很簡單,在 Shell 中,連續兩行是同一個進程執行環境,因此前一個命令修改的內存狀態,會直接影響后一個命令;而在 Dockerfile 中,這兩行 RUN 命令的執行環境根本不同,是兩個完全不同的容器。這就是對 Dokerfile 構建分層存儲的概念不了解所導致的錯誤。
之前說過每一個 RUN 都是啟動一個容器、執行命令、然后提交存儲層文件變更。第一層 RUN cd /app 的執行僅僅是當前進程的工作目錄變更,一個內存上的變化而已,其結果不會造成任何文件變更。而到第二層的時候,啟動的是一個全新的容器,跟第一層的容器更完全沒關系,自然不可能繼承前一層構建過程中的內存變化。
因此如果需要改變以后各層的工作目錄的位置,那么應該使用 WORKDIR 指令。
USER 指定當前用戶
- 格式:
USER <用戶名>
USER 指令和 WORKDIR 相似,都是改變環境狀態並影響以后的層。WORKDIR 是改變工作目錄,USER 則是改變之后層的執行 RUN, CMD 以及 ENTRYPOINT 這類命令的身份。
當然,和 WORKDIR 一樣,USER 只是幫助你切換到指定用戶而已,這個用戶必須是事先建立好的,否則無法切換。
RUN groupadd -r redis && useradd -r -g redis redis
USER redis
RUN [ "redis-server" ]
HEALTHCHECK 健康檢查
- 格式:
HEALTHCHECK [選項] CMD <命令>:設置檢查容器健康狀況的命令
HEALTHCHECK NONE:如果基礎鏡像有健康檢查指令,使用這行可以屏蔽掉其健康檢查指令
HEALTHCHECK 指令是告訴 Docker 應該如何進行判斷容器的狀態是否正常,這是 Docker 1.12 引入的新指令。
在沒有 HEALTHCHECK 指令前,Docker 引擎只可以通過容器內主進程是否退出來判斷容器是否狀態異常。很多情況下這沒問題,但是如果程序進入死鎖狀態,或者死循環狀態,應用進程並不退出,但是該容器已經無法提供服務了。在 1.12 以前,Docker 不會檢測到容器的這種狀態,從而不會重新調度,導致可能會有部分容器已經無法提供服務了卻還在接受用戶請求。
而自 1.12 之后,Docker 提供了 HEALTHCHECK 指令,通過該指令指定一行命令,用這行命令來判斷容器主進程的服務狀態是否還正常,從而比較真實的反應容器實際狀態。
當在一個鏡像指定了 HEALTHCHECK 指令后,用其啟動容器,初始狀態會為 starting,在 HEALTHCHECK 指令檢查成功后變為 healthy,如果連續一定次數失敗,則會變為 unhealthy。
HEALTHCHECK 支持下列選項:
--interval=<間隔>:兩次健康檢查的間隔,默認為 30 秒;
--timeout=<時長>:健康檢查命令運行超時時間,如果超過這個時間,本次健康檢查就被視為失敗,默認 30 秒;
--retries=<次數>:當連續失敗指定次數后,則將容器狀態視為 unhealthy,默認 3 次。
和 CMD, ENTRYPOINT 一樣,HEALTHCHECK 只可以出現一次,如果寫了多個,只有最后一個生效。
在 HEALTHCHECK [選項] CMD 后面的命令,格式和 ENTRYPOINT 一樣,分為 shell 格式,和 exec 格式。命令的返回值決定了該次健康檢查的成功與否:0:成功;1:失敗;2:保留,不要使用這個值。
假設我們有個鏡像是個最簡單的 Web 服務,我們希望增加健康檢查來判斷其 Web 服務是否在正常工作,我們可以用 curl 來幫助判斷,其 Dockerfile 的 HEALTHCHECK 可以這么寫:
mkdir ~/nginxcheck
cd ~/nginxcheck
vim Dockerfile
FROM nginx
RUN apt-get update && apt-get install -y curl && rm -rf /var/lib/apt/lists/*
HEALTHCHECK --interval=5s --timeout=3s \
CMD curl -fs http://localhost/ || exit 1
docker build -t myweb:v1 .
這里我們設置了每 5 秒檢查一次(這里為了試驗所以間隔非常短,實際應該相對較長),如果健康檢查命令超過 3 秒沒響應就視為失敗,並且使用 curl -fs http://localhost/ || exit 1 作為健康檢查命令。
啟動測試
docker run -d --name myweb -p 80:82 myweb:v1
查看
[root@node1 nginxcheck]# docker ps -f name=myweb
CONTAINER ID IMAGE COMMAND CREATED STATUS PORTS NAMES
beb18dcc15fe myweb:v1 "nginx -g 'daemon ..." 22 seconds ago Up 21 seconds (healthy) 80/tcp, 443/tcp, 0.0.0.0:80->82/tcp myweb
如果健康檢查連續失敗超過了重試次數,狀態就會變為 (unhealthy)。
健康檢查命令的輸出(包括 stdout 以及 stderr)都會被存儲於健康狀態里,可以用 docker inspect 來查看。
docker inspect --format '{{json .State.Health}}' web | python -m json.tool
ONBUILD 為他人做嫁衣
ONBUILD 是一個特殊的指令,它后面跟的是其它指令,比如 RUN, COPY 等,而這些指令,在當前鏡像構建時並不會被執行。只有當以當前鏡像為基礎鏡像,去構建下一級鏡像的時候才會被執行。
例如:
FROM node:slim
RUN "mkdir /app"
WORKDIR /app
ONBUILD COPY ./package.json /app
ONBUILD RUN [ "npm", "install" ]
ONBUILD COPY . /app/
CMD [ "npm", "start" ]
在構建基礎鏡像的時候,包含ONBUILD這三行並不會被執行,但是當把這個鏡像作為基礎鏡像構建時,這三行就會執行。
#首先構建基礎鏡像
docker build -t my-node .
#在其他項目需要使用這個Dockerfile制作的鏡像作為基礎鏡像時,直接寫Dockerfile,基礎鏡像的三行會在子Dockerfile中執行
FROM my-node
其他制作鏡像方法
除了標准的使用 Dockerfile 生成鏡像的方法外,由於各種特殊需求和歷史原因,還提供了一些其它方法用以生成鏡像。
從 rootfs 壓縮包導入
格式:docker import [選項] <文件>|<URL>|- [<倉庫名>[:<標簽>]]
壓縮包可以是本地文件、遠程 Web 文件,甚至是從標准輸入中得到。壓縮包將會在鏡像 / 目錄展開,並直接作為鏡像第一層提交。
比如我們想要創建一個 OpenVZ 的 Ubuntu 14.04 模板的鏡像:
docker import \
http://download.openvz.org/template/precreated/ubuntu-14.04-x86_64-minimal.tar.gz \
openvz/ubuntu:14.04
這條命令自動下載了 ubuntu-14.04-x86_64-minimal.tar.gz 文件,並且作為根文件系統展開導入,並保存為鏡像 openvz/ubuntu:14.04。
docker save 和 docker load
Docker 還提供了 docker load 和 docker save 命令,用以將鏡像保存為一個 tar 文件,然后傳輸到另一個位置上,再加載進來。這是在沒有 Docker Registry 時的做法,現在已經不推薦,鏡像遷移應該直接使用 Docker Registry,無論是直接使用 Docker Hub 還是使用內網私有 Registry 都可以。
使用 docker save 命令可以將鏡像保存為歸檔文件。
docker pull alpine
docker save alpine |gzip > alpine.tar.gz
然后我們將 alpine-latest.tar.gz 文件復制到了到了另一個機器上,可以用下面這個命令加載鏡像:
docker load -i alpine-latest.tar.gz
使用容器
啟動容器
啟動容器有兩種方式,一種是基於鏡像新建一個容器並啟動,另外一個是將在終止狀態(stopped)的容器重新啟動。
容器的啟動流程
當利用 docker run 來創建容器時,Docker 在后台運行的標准操作包括:
- 檢查本地是否存在指定的鏡像,不存在就從公有倉庫下載
- 利用鏡像創建並啟動一個容器
- 分配一個文件系統,並在只讀的鏡像層外面掛載一層可讀寫層
- 從宿主主機配置的網橋接口中橋接一個虛擬接口到容器中去
- 從地址池配置一個 ip 地址給容器
- 執行用戶指定的應用程序
- 執行完畢后容器被終止
使用docker run啟動
下面的命令輸出一個 “Hello World”,之后終止容器。
docker run centos /bin/echo 'Hello world'
啟動一個前台的bash進程,-t 選項讓Docker分配一個偽終端(pseudo-tty)並綁定到容器的標准輸入上,-i 則讓容器的標准輸入保持打開。
docker run -t -i centos /bin/bash
使用docker start啟動已終止容器
docker start 容器名字或ID
查看容器的資源占用,只有一個bash進程
[root@94b57792acbf /]# ps aux
USER PID %CPU %MEM VSZ RSS TTY STAT START TIME COMMAND
root 1 0.0 0.1 11768 1932 ? Ss 07:19 0:00 /bin/bash
root 56 0.0 0.1 47440 1672 ? R+ 07:27 0:00 ps aux
讓容器以后台進程模式運行
更多的時候,需要讓 Docker在后台運行而不是直接把執行命令的結果輸出在當前宿主機下。此時,可以通過添加 -d 參數來實現。
使用例子來體驗區別:
不使用 -d 參數:
[root@node1 ~]# docker run centos /bin/bash -c "while true; do echo hello world; sleep 1; done"
hello world
hello world
hello world
hello world
所有的輸出都輸出到宿主機。
加-d參數
[root@node1 ~]# docker run -d centos /bin/bash -c "while true; do echo hello world; sleep 1; done"
a8e42575a9ff340c65f0023c77926b0f80051f53ade13c38847f0e8a6319ee63
此時容器會在后台運行並不會把輸出的結果打印到宿主機上,可以使用 docker logs 查看
[root@node1 ~]# docker logs a8e42575a9ff
注: 容器是否會長久運行,是和docker run指定的命令有關,和 -d 參數無關。
終止容器
docker stop {CONTAINER ID| NAMES}
對於上一章節中只啟動了一個bash的容器,用戶通過 exit 命令或 Ctrl+d 來退出終端時,所創建的容器立刻終止。
進入容器
attach 命令
[root@node1 ~]# docker run -dit centos /bin/bash
14c0b4a935f57317f25111aa55beed0f3329afe60871ca06c44a12acc4172140
[root@node1 ~]# docker ps
CONTAINER ID IMAGE COMMAND CREATED STATUS PORTS NAMES
14c0b4a935f5 centos "/bin/bash" 25 seconds ago Up 24 seconds dreamy_wiles
[root@node1 ~]# docker attach dreamy_wiles
但是使用 attach 命令有時候並不方便。當多個窗口同時 attach 到同一個容器的時候,所有窗口都會同步顯示。當某個窗口因命令阻塞時,其他窗口也無法執行操作了,使用attach命令退出使用ctrl+p+q 退出不影響容器運行。
nsenter 命令
安裝命令
yum -y install util-linux
獲取容器PID
PID=$(docker inspect --format "{{ .State.Pid }}" dreamy_wiles)
進入容器
nsenter --target $PID --mount --uts --ipc --net --pid
導入導出容器
導出容器快照
docker export 7691a814370e > centos.tar
導入容器快照
cat centos.tar | sudo docker import - myimages/centos:v1.0
刪除容器
docker rm {CONTAINER ID| NAMES}
Docer 數據管理
Docker 內部管理數據主要有兩種方式:
- 數據卷(Data volumes)
- 數據卷容器(Data volume containers)
數據卷
數據卷是一個可供一個或多個容器使用的特殊目錄,它繞過 UFS,可以提供很多有用的特性:
- 數據卷可以在容器之間共享和重用
- 對數據卷的修改會立馬生效
- 對數據卷的更新,不會影響鏡像
- 數據卷默認會一直存在,即使容器被刪除
注意:數據卷的使用,類似於 Linux 下對目錄或文件進行 mount,鏡像中的被指定為掛載點的目錄中的文件會隱藏掉,能顯示看的是掛載的數據卷。
使用 -v 標記也可以指定掛載一個本地主機的目錄到容器中去。
docker run -dit --name test -v /tmp:/opt:ro centos /bin/bash
數據卷容器
數據卷容器,其實就是一個正常的容器,專門用來提供數據卷供其它容器掛載的。
docker run -dit -v /dbdata --name dbdata centos /bin/bash
[root@node1 ~]# docker attach dbdata
[root@a9642e6adf7b /]# touch /dbdata/{1..10}.txt
在其他容器中使用 --volumes-from 來掛載 dbdata 容器中的數據卷。
docker run -dit --volumes-from dbdata --name db1 centos /bin/bash
docker run -dit --volumes-from dbdata --name db2 centos /bin/bash
驗證
[root@node1 ~]# docker attach db1
[root@87f964ea0f31 /]# ls /dbdata/
1.txt 10.txt 2.txt 3.txt 4.txt 5.txt 6.txt 7.txt 8.txt 9.txt
注意:使用
--volumes-from參數所掛載數據卷的容器自己並不需要保持在運行狀態。
如果刪除了掛載的容器(包括 dbdata、db1 和 db2),數據卷並不會被自動刪除。如果要刪除一個數據卷,必須在刪除最后一個還掛載着它的容器時使用 docker rm -v 命令來指定同時刪除關聯的容器。 這可以讓用戶在容器之間升級和移動數據卷。
利用數據卷容器來備份、恢復、遷移數據卷
可以利用數據卷對其中的數據進行進行備份、恢復和遷移。
備份
首先使用 --volumes-from 標記來創建一個加載 dbdata 容器卷的容器,並從主機掛載/opt/backup到容器的 /backup 目錄。命令如下:
docker run --volumes-from dbdata -v /opt/backup:/backup centos tar cvf /backup/backup.tar /dbdata
恢復
如果要恢復數據到一個容器,首先創建一個帶有空數據卷的容器 dbdata2。
docker run -v /dbdata --name dbdata2 centos /bin/bash
然后創建另一個容器,掛載 dbdata2 容器卷中的數據卷,並使用 untar 解壓備份文件到掛載的容器卷中。
docker run --volumes-from dbdata2 -v /opt/backup:/backup centos tar xvf /backup/backup.tar
為了查看/驗證恢復的數據,可以再啟動一個容器掛載同樣的容器卷來查看
docker run --volumes-from dbdata2 centos /bin/ls /dbdata
Docker registry
Registry 和 Repository 的區別
注冊服務器(Registry),是管理倉庫的具體服務器,每個服務器上可以有多個倉庫(Repository),而每個倉庫(Repository)下面有多個鏡像。
配置registry
registry如果想要別人可以使用,需要https才可以,我們可以利用openssl來搭建私有的CA服務器,用以簽名、頒發證書,管理已簽名證書和已吊銷證書等。
搭建私有CA
初始化CA環境,在/etc/pki/CA/下建立證書索引數據庫文件index.txt和序列號文件serial,並為證書序列號文件提供初始值。
touch /etc/pki/CA/{index.txt,serial}
echo 01 > /etc/pki/CA/serial
生成密鑰並保存到/etc/pki/CA/private/cakey.pem
(umask 077;openssl genrsa -out /etc/pki/CA/private/cakey.pem 2048)
生成根證書
openssl req -new -x509 -key /etc/pki/CA/private/cakey.pem -out /etc/pki/CA/cacert.pem -days 3650
填寫的信息
Country Name (2 letter code) [XX]:CN
State or Province Name (full name) []:Beijing
Locality Name (eg, city) [Default City]:Beijing
Organization Name (eg, company) [Default Company Ltd]:mycompany
Organizational Unit Name (eg, section) []:ops
Common Name (eg, your name or your server's hostname) []:registry.mycompany.com
Email Address []:admin@mycompany.com
使Linux系統信任根證書
cat /etc/pki/CA/cacert.pem >> /etc/pki/tls/certs/ca-bundle.crt
簽發證書
安裝nginx
yum -y install nginx
創建ssl目錄用來存放密鑰文件和證書申請文件
mkdir /etc/nginx/ssl
創建密鑰文件和證書申請文件
(umask 077;openssl genrsa -out /etc/nginx/ssl/docker.key 2048)
openssl req -new -key /etc/nginx/ssl/docker.key -out /etc/nginx/ssl/docker.csr
填寫的申請信息前四項要和私有CA的信息一致
Country Name (2 letter code) [XX]:CN
State or Province Name (full name) []:Beijing
Locality Name (eg, city) [Default City]:Beijing
Organization Name (eg, company) [Default Company Ltd]:mycompany
Organizational Unit Name (eg, section) []:ops
Common Name (eg, your name or your server's hostname) []:registry.mycompany.com
Email Address []:admin@mycompany.com
#直接回車
A challenge password []:
An optional company name []:
簽署,證書
[root@node1 ~]# openssl ca -in /etc/nginx/ssl/docker.csr -out /etc/nginx/ssl/docker.crt -days 3650
Using configuration from /etc/pki/tls/openssl.cnf
Check that the request matches the signature
Signature ok
Certificate Details:
Serial Number: 1 (0x1)
Validity
Not Before: Mar 30 08:12:58 2017 GMT
Not After : Mar 28 08:12:58 2027 GMT
Subject:
countryName = CN
stateOrProvinceName = Beijing
organizationName = mycompany
organizationalUnitName = ops
commonName = registry.mycompany.com
emailAddress = admin@mycompany.com
X509v3 extensions:
X509v3 Basic Constraints:
CA:FALSE
Netscape Comment:
OpenSSL Generated Certificate
X509v3 Subject Key Identifier:
59:27:56:F3:67:46:4B:6D:A5:1B:66:C0:D8:C7:7D:0F:CA:90:C2:ED
X509v3 Authority Key Identifier:
keyid:76:4A:E0:BB:91:F5:0C:B2:67:2E:D1:3C:74:2B:05:F6:2C:A9:9B:7B
Certificate is to be certified until Mar 28 08:12:58 2027 GMT (3650 days)
Sign the certificate? [y/n]:y
1 out of 1 certificate requests certified, commit? [y/n]y
Write out database with 1 new entries
Data Base Updated
檢查index.txt和serial序列號更新
[root@node1 ~]# cat /etc/pki/CA/index.txt
V 270328055023Z 01 unknown /C=CN/ST=Beijing/O=mycompany/OU=ops/CN=registry.mycompany.com/emailAddress=admin@mycompany.com
[root@node1 ~]# cat /etc/pki/CA/serial
02
基於localhost搭建docker-registry
啟動registry
docker run -d -p 5000:5000 --restart=always --name registry -v /opt/registry:/var/lib/registry registry:2
從dockerhub下載centos鏡像,使用docker tag 將 centos 這個鏡像標記為 localhost:5000/centos
docker pull centos && docker tag centos localhost:5000/centos
使用docker push 上傳標記的鏡像
docker push localhost:5000/centos
從私有倉庫下載鏡像
docker pull localhost:5000/centos
配置nginx反向代理docker registry
為nginx添加認證
yum -y install httpd-tools
htpasswd -cb /etc/nginx/conf.d/docker-registry.htpasswd admin admin
添加nginx的server
[root@node1 ~]# cat /etc/nginx/conf.d/docker-registry.conf
upstream docker-registry {
server 127.0.0.1:5000;
}
server {
listen 443;
server_name registry.mycompany.com;
ssl on;
ssl_certificate /etc/nginx/ssl/docker.crt;
ssl_certificate_key /etc/nginx/ssl/docker.key;
client_max_body_size 0;
chunked_transfer_encoding on;
proxy_set_header Host $host;
proxy_set_header X-Real-IP $remote_addr;
proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
location / {
auth_basic "Docker registry";
auth_basic_user_file /etc/nginx/conf.d/docker-registry.htpasswd;
proxy_pass http://docker-registry;
}
location /_ping{
auth_basic off;
proxy_pass http://docker-registry;
}
location /v1/_ping{
auth_basic off;
proxy_pass http://docker-registry;
}
}
重啟nginx
systemctl restart nginx
修改hosts
10.0.7.1 registry.mycompany.com
測試
[root@node1 ~]# docker login registry.mycompany.com
Username: admin
Password:
Login Succeeded
上傳鏡像
docker tag centos registry.mycompany.com/centos
docker push registry.mycompany.com/centos
查看
curl --user admin:admin https://registry.mycompany.com/v2/_catalog
{"repositories":["centos"]}
配置局域網內其他機器認證
修改hosts
vim /etc/hosts
10.0.7.1 registry.mycompany.com
同樣的系統版本,直接覆蓋ca-bundle.crt,
scp -rp /etc/pki/tls/certs/ca-bundle.crt root@10.0.7.2:/etc/pki/tls/certs/ca-bundle.crt
不同版本把CA的密鑰發送到客戶機,並添加到ca-bundle.crt
scp -rp /etc/pki/CA/cacert.pem root@10.0.7.2:/etc/pki/CA/cacert.pem
cat /etc/pki/CA/cacert.pem >> /etc/pki/tls/certs/ca-bundle.crt
重啟docker,如果不重啟會出現docker提示x509證書沒有授權
systemctl daemon-reload
systemctl restart docker
驗證
[root@node1 ~]# curl --user admin:admin https://registry.mycompany.com/v2/_catalog
{"repositories":["centos"]}
[root@node1 ~]# docker login registry.mycompany.com
Username: admin
Password:
Login Succeeded
[root@node1 ~]# docker pull registry.mycompany.com/centos
Using default tag: latest
latest: Pulling from centos
4969bbd91a1e: Pull complete
Digest: sha256:d7f3db1caf4ea76117abce89709ebfc66c9339e13866016b8b2e4eee3ab4bea0
Status: Downloaded newer image for registry.mycompany.com/centos:latest
Docker 網絡
查看容器IP
第一種方法
docker run -d --name nginx nginx
docker inspect --format '{{ .NetworkSettings.IPAddress }}' nginx
第二種方法
docker exec -ti nginx ip add | grep global
第三種方法
docker exec -ti nginx cat /etc/hosts
端口映射
把Docker的內部端口通過端口映射的方法映射到宿主機的某一個端口,當使用 -P 標記時,Docker 會隨機映射一個 49000~49900 的端口到內部容器開放的網絡端口。
docker run -d -P nginx
docker ps
CONTAINER ID IMAGE COMMAND CREATED STATUS PORTS NAMES
3a5ec1bc2837 nginx "nginx -g 'daemon ..." About an hour ago Up About an hour 0.0.0.0:2049->80/tcp, 0.0.0.0:2048->443/tcp adoring_pike
通過docker logs查看應用信息
[root@node1 ~]# docker logs -f adoring_pike
172.17.0.1 - - [30/Mar/2017:15:02:40 +0000] "GET / HTTP/1.1" 200 612 "-" "curl/7.29.0" "-"
10.0.7.1 - - [30/Mar/2017:15:02:47 +0000] "GET / HTTP/1.1" 200 612 "-" "curl/7.29.0" "-"
-p(小寫的)則可以指定要映射的端口,並且,在一個指定端口上只可以綁定一個容器。支持的格式有ip:hostPort:containerPort | ip::containerPort | hostPort:containerPort。
映射到本機所有IP的 80 端口映射到容器的 80 端口
docker run -d -p 80:80 nginx
查看映射的端口
docker port adoring_pike
容器互聯
使用 --link 參數可以讓容器之間安全的進行交互。
下面先創建一個新的數據庫容器。
docker run -d --name db training/postgres
然后創建一個 web 容器,並將它連接到 db 容器
docker run -d -P --name web --link db:db training/webapp python app.py
此時,db 容器和 web 容器建立互聯關系。
--link 參數的格式為 --link name:alias,其中 name 是要鏈接的容器的名稱,alias 是這個連接的別名。
使用 env 命令來查看 web 容器的環境變量
[root@node1 ~]# docker run --rm --name web2 --link db:db training/webapp env
PATH=/usr/local/sbin:/usr/local/bin:/usr/sbin:/usr/bin:/sbin:/bin
HOSTNAME=f2868b0479d8
DB_PORT=tcp://172.17.0.8:5432
DB_PORT_5432_TCP=tcp://172.17.0.8:5432
DB_PORT_5432_TCP_ADDR=172.17.0.8
DB_PORT_5432_TCP_PORT=5432
DB_PORT_5432_TCP_PROTO=tcp
DB_NAME=/web2/db
DB_ENV_PG_VERSION=9.3
HOME=/root
其中 DB_ 開頭的環境變量是供 web 容器連接 db 容器使用,前綴采用大寫的連接別名。
除了環境變量,Docker 還添加 host 信息到父容器的 /etc/hosts 的文件。下面是父容器 web 的 hosts 文件
[root@node1 ~]# docker run -t -i --rm --link db:db training/webapp /bin/bash
root@8299f9685894:/opt/webapp# cat /etc/hosts
127.0.0.1 localhost
::1 localhost ip6-localhost ip6-loopback
fe00::0 ip6-localnet
ff00::0 ip6-mcastprefix
ff02::1 ip6-allnodes
ff02::2 ip6-allrouters
172.17.0.8 db d65ebb9124a4
172.17.0.10 8299f9685894
docker的網絡模式
Docker的網絡模式分為四種
Bridge模式
當Docker進程啟動時,會在主機上創建一個名為docker0的虛擬網橋,此主機上啟動的Docker容器會連接到這個虛擬網橋上。虛擬網橋的工作方式和物理交換機類似,這樣主機上的所有容器就通過交換機連在了一個二層網絡中。
從docker0子網中分配一個IP給容器使用,並設置docker0的IP地址為容器的默認網關。在主機上創建一對虛擬網卡veth pair設備,Docker將veth pair設備的一端放在新創建的容器中,並命名為eth0(容器的網卡),另一端放在主機中,以vethxxx這樣類似的名字命名,並將這個網絡設備加入到docker0網橋中。可以通過brctl show命令查看。
bridge模式是docker的默認網絡模式,不寫--net參數,就是bridge模式。使用docker run -p時,docker實際是在iptables做了DNAT規則,實現端口轉發功能。可以使用iptables -t nat -vnL查看。
bridge模式如下圖所示:
演示:
docker run -tid --net=bridge --name docker_bri1 ubuntu-base:v3
docker run -tid --net=bridge --name docker_bri2 ubuntu-base:v3
brctl show
docker exec -ti docker_bri1 /bin/bash
docker exec -ti docker_bri1 /bin/bash
ifconfig –a
route –n
Host模式
如果啟動容器的時候使用host模式,那么這個容器將不會獲得一個獨立的Network Namespace,而是和宿主機共用一個Network Namespace。容器將不會虛擬出自己的網卡,配置自己的IP等,而是使用宿主機的IP和端口。但是,容器的其他方面,如文件系統、進程列表等還是和宿主機隔離的。
Host模式如下圖所示:
Container模式
這個模式指定新創建的容器和已經存在的一個容器共享一個 Network Namespace,而不是和宿主機共享。新創建的容器不會創建自己的網卡,配置自己的 IP,而是和一個指定的容器共享 IP、端口范圍等。同樣,兩個容器除了網絡方面,其他的如文件系統、進程列表等還是隔離的。兩個容器的進程可以通過 lo 網卡設備通信。
Container模式示意圖:
None模式
使用none模式,Docker容器擁有自己的Network Namespace,但是,並不為Docker容器進行任何網絡配置。也就是說,這個Docker容器沒有網卡、IP、路由等信息。需要我們自己為Docker容器添加網卡、配置IP等。
Docker網絡設置
配置 DNS
在docker run時使用以下參數:
| 參數 | 說明 |
|---|---|
| -h HOSTNAME or --hostname=HOSTNAME | 設定容器的主機名,它會被寫到容器內的 /etc/hostname 和/etc/hosts。但它在容器外部看不到,既不會在 docker ps 中顯示,也不會在其他的容器的/etc/hosts 看到。 |
| --link=CONTAINER_NAME:ALIAS | 選項會在創建容器的時候,添加一個其他容器的主機名到 /etc/hosts 文件中,讓新容器的進程可以使用主機名 ALIAS 就可以連接它。 |
| --dns=IP_ADDRESS | 添加 DNS 服務器到容器的 /etc/resolv.conf 中,讓容器用這個服務器來解析所有不在 /etc/hosts 中的主機名。 |
| --dns-search=DOMAIN | 設定容器的搜索域,當設定搜索域為 .example.com 時,在搜索一個名為 host 的主機時,DNS 不僅搜索host,還會搜索 host.example.com。 注意:如果沒有上述最后 2 個選項,Docker 會默認用主機上的 /etc/resolv.conf 來配置容器。 |
容器訪問控制
容器訪問外部網絡
容器要想訪問外部網絡,需要本地系統的轉發支持。在Linux 系統中,檢查轉發是否打開。
sysctl net.ipv4.ip_forward
net.ipv4.ip_forward = 1
容器之間訪問
容器之間相互訪問,需要兩方面的支持。
- 容器的網絡拓撲是否已經互聯。默認情況下,所有容器都會被連接到
docker0網橋上。 - 本地系統的防火牆軟件 --
iptables是否允許通過。
訪問所有端口
當啟動 Docker 服務時候,默認會添加一條轉發策略到 iptables 的 FORWARD 鏈上。策略為通過(ACCEPT)還是禁止(DROP)取決於配置 --icc=true(缺省值)還是 --icc=false。當然,如果手動指定 --iptables=false 則不會添加 iptables 規則。
可見,默認情況下,不同容器之間是允許網絡互通的。如果為了安全考慮,可以在docker服務修改/usr/lib/systemd/system/docker.service啟動時添加--icc=false。
訪問指定端口
在通過 -icc=false 關閉網絡訪問后,可以通過 --link=CONTAINER_NAME:ALIAS 選項來訪問容器的開放端口。
例如,在啟動 Docker 服務時,可以同時使用 --icc=false --iptables=true 參數來關閉允許相互的網絡訪問,並讓 Docker 可以修改系統中的 iptables 規則。
此時,系統中的 iptables 規則可能是類似
iptables -nL
...
Chain FORWARD (policy ACCEPT)
target prot opt source destination
DROP all -- 0.0.0.0/0 0.0.0.0/0
...
之后,啟動容器(docker run)時使用 --link=CONTAINER_NAME:ALIAS 選項。Docker 會在 iptable中為 兩個容器分別添加一條 ACCEPT 規則,允許相互訪問開放的端口(取決於 Dockerfile 中的 EXPOSE 行)。
當添加了 --link=CONTAINER_NAME:ALIAS 選項后,添加了 iptables 規則。
iptables -nL
...
Chain FORWARD (policy ACCEPT)
target prot opt source destination
ACCEPT tcp -- 172.17.0.2 172.17.0.3 tcp spt:80
ACCEPT tcp -- 172.17.0.3 172.17.0.2 tcp dpt:80
DROP all -- 0.0.0.0/0 0.0.0.0/0
注意:--link=CONTAINER_NAME:ALIAS 中的 CONTAINER_NAME 目前必須是 Docker 分配的名字,或使用 --name 參數指定的名字。主機名則不會被識別。
配置 docker0 網橋
配置docekr服務的啟動參數
--bip=CIDR-- IP 地址加掩碼格式,例如 192.168.1.0/24--mtu=BYTES-- 覆蓋默認的 Docker mtu 配置
sed -ri 's@(ExecStart=.*)@\1 --bip=192.168.1.100/24 --mtu=1500@g' /usr/lib/systemd/system/docker.service
systemctl daemon-reload
systemctl start docker
自定義網橋
除了默認的 docker0 網橋,用戶也可以指定網橋來連接各個容器。
在啟動 Docker 服務的時候,使用 -b BRIDGE或--bridge=BRIDGE 來指定使用的網橋。
如果服務已經運行,那需要先停止服務,並刪除舊的網橋。
systemctl stop docker
ip link set dev docker0 down
brctl delbr docker0
然后創建一個網橋 bridge0。
brctl addbr bridge0
ip addr add 192.168.10.10/24 dev bridge0
ip link set dev bridge0 up
查看確認網橋創建並啟動。
[root@node1 ~]# ip addr show bridge0
4: bridge0: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc noqueue state UNKNOWN
link/ether 66:8c:82:ec:4e:73 brd ff:ff:ff:ff:ff:ff
inet 192.168.10.10/24 scope global bridge0
valid_lft forever preferred_lft forever
配置 Docker 服務,默認橋接到創建的網橋上。
sed -ri 's@(ExecStart=.*)@\1 -b bridge0@g' /usr/lib/systemd/system/docker.service
systemctl daemon-reload
systemctl start docker
啟動 Docker 服務。 新建一個容器,可以看到它已經橋接到了 bridge0 上。
可以繼續用 brctl show 命令查看橋接的信息。另外,在容器中可以使用 ip addr 和 ip route 命令來查看 IP 地址配置和路由信息。
[root@node1 ~]# docker run -dit centos /bin/bash
4d50cfe3a998a8597020a608d4713e3581094c9058425a4bc0652c934614713e
[root@node1 ~]# brctl show
bridge name bridge id STP enabled interfaces
bridge0 8000.b6e3d8e984c5 no vethe468bd3
創建一個點到點連接
默認情況下,Docker 會將所有容器連接到由 docker0 提供的虛擬子網中。
用戶有時候需要兩個容器之間可以直連通信,而不用通過主機網橋進行橋接。
解決辦法很簡單:創建一對 peer 接口,分別放到兩個容器中,配置成點到點鏈路類型即可。
首先啟動 2 個容器:
docker run -dit --rm --net=none --name test1 centos /bin/bash
docker run -dit --rm --net=none --name test2 centos /bin/bash
找到進程號,然后創建網絡命名空間的跟蹤文件。
[root@node1 ~]# docker inspect -f '{{.State.Pid}}' test1
6006
[root@node1 ~]# docker inspect -f '{{.State.Pid}}' test2
6058
mkdir -p /var/run/netns
ln -s /proc/6006/ns/net /var/run/netns/6058
ln -s /proc/6058/ns/net /var/run/netns/6006
創建一對 peer 接口,然后配置路由
ip link add A type veth peer name B
ip link set A netns 6006
ip netns exec 6006 ip addr add 10.1.1.1/32 dev A
ip netns exec 6006 ip link set A up
ip netns exec 6006 ip route add 10.1.1.2/32 dev A
ip link set B netns 6058
ip netns exec 6058 ip addr add 10.1.1.2/32 dev B
ip netns exec 6058 ip link set B up
ip netns exec 6058 ip route add 10.1.1.1/32 dev B
現在這 2 個容器就可以相互 ping 通,並成功建立連接。點到點鏈路不需要子網和子網掩碼。
此外,也可以不指定 --net=none 來創建點到點鏈路。這樣容器還可以通過原先的網絡來通信。
利用類似的辦法,可以創建一個只跟主機通信的容器。但是一般情況下,更推薦使用 --icc=false 來關閉容器之間的通信。
Docker跨主機容器互聯
pipework
編輯自己的ifcfg-enoxxx網卡
vim /etc/sysconfig/network-scripts/ifcfg-eno16777728
TYPE="Ethernet"
DEVICE="eno16777728"
ONBOOT="yes"
BRIDGE=br0
編輯br0
vim /etc/sysconfig/network-scripts/ifcfg-br0
TYPE=Bridge
BOOTPROTO=static
IPADDR=10.0.7.1
NETMASK=255.255.0.0
GATEWAY=10.0.0.2
DNS1=10.0.0.2
NAME=br0
ONBOOT=yes
DEVICE=br0
安裝
git clone https://github.com/jpetazzo/pipework.git
cp pipework/pipework /usr/bin/
啟動docker
pipework br0 $(docker run -d -it --net=none centos /bin/bash) 10.0.7.200/16@10.0.0.2
另一台主機
pipework br0 $(docker run -d -it --net=none centos /bin/bash) 10.0.7.201/16@10.0.0.2
重啟容器后需要再次指定
pipework br0 elegant_jepsen 10.0.0.200/16@10.0.0.2
flannel
在kubernetes中有提到。
使用Supervisor來管理進程
Docker 容器在啟動的時候開啟單個進程,如果需要在一個服務器上開啟多個服務,最簡單的就是把多個啟動命令放到一個啟動腳本里面,啟動的時候直接啟動這個腳本,另外就是安裝進程管理工具。
我們演示一下如何同時使用 ssh 和 apache 服務。
創建dockerfile
[root@node1 ~]# mkdir httpd && cd httpd
[root@node1 httpd]# cat Dockerfile
FROM centos
MAINTAINER admin@test.com
RUN yum -y install epel-release
RUN yum -y install openssh-server openssh openssh-clients httpd supervisor
RUN mkdir -p /var/run/sshd &&\
mkdir -p /var/log/supervisor &&\
#centos鏡像sshd遠程連接直接斷開解決辦法
sed -i 's@session required pam_loginuid.so@#&@g' /etc/pam.d/sshd &&\
/usr/bin/ssh-keygen -t ed25519 -f /etc/ssh/ssh_host_ed25519_key -N '' &&\
/usr/bin/ssh-keygen -f /etc/ssh/ssh_host_rsa_key &&\
/usr/bin/ssh-keygen -t dsa -f /etc/ssh/ssh_host_dsa_key &&\
echo "123456"|passwd root --stdin
COPY supervisord.conf /etc/supervisord.conf
EXPOSE 22 80
CMD ["/usr/bin/supervisord"]
創建supervisor.conf
[root@node1 httpd]# cat supervisord.conf
#配置supervisord,使用 nodaemon 參數來運行
[supervisord]
nodaemon=true
#啟動ssh,
[program:sshd]
command=/usr/sbin/sshd -D
#啟動httpd,
[program:httpd]
command=/usr/sbin/httpd
創建鏡像
docker build -t test/supervisord .
啟動 supervisor 容器
docker run -p 22 -p 80 -t -i test/supervisord
Docker Harbor
Harbor 是一個企業級的 Docker Registry,可以實現 images 的私有存儲和日志統計權限控制等功能,並支持創建多項目(Harbor 提出的概念),基於官方 Registry V2 實現。
安裝docker
tee -a /etc/sysctl.conf << EOF
net.bridge.bridge-nf-call-ip6tables = 1
net.bridge.bridge-nf-call-iptables = 1
EOF
sysctl -p
tee /etc/yum.repos.d/docker.repo <<-'EOF'
[dockerrepo]
name=Docker Repository
baseurl=https://mirrors.tuna.tsinghua.edu.cn/docker/yum/repo/centos7/
enabled=1
gpgcheck=1
gpgkey=https://mirrors.tuna.tsinghua.edu.cn/docker/yum/gpg
EOF
yum -y install docker-engine
systemctl enable docker
systemctl start docker
sed -i "s|ExecStart=/usr/bin/dockerd|ExecStart=/usr/bin/dockerd --registry-mirror=https://fz5yth0r.mirror.aliyuncs.com|g" /usr/lib/systemd/system/docker.service
systemctl daemon-reload
systemctl restart docker
安裝docker-compose
curl -L https://github.com/docker/compose/releases/download/1.7.0/docker-compose-`uname -s`-`uname -m` > /usr/local/bin/docker-compose
chmod +x /usr/local/bin/docker-compose
下載源代碼
wget https://github.com/vmware/harbor/releases/download/v1.1.1-rc1/harbor-online-installer-v1.1.1-rc1.tgz
tar xf harbor-online-installer-v1.1.1-rc1.tgz
配置ssl,參考上面的registry
touch /etc/pki/CA/{index.txt,serial}
echo 01 > /etc/pki/CA/serial
(umask 077;openssl genrsa -out /etc/pki/CA/private/cakey.pem 2048)
openssl req -new -x509 -key /etc/pki/CA/private/cakey.pem -out /etc/pki/CA/cacert.pem -days 3650
#填寫的信息
Country Name (2 letter code) [XX]:CN
State or Province Name (full name) []:Beijing
Locality Name (eg, city) [Default City]:Beijing
Organization Name (eg, company) [Default Company Ltd]:harbor
Organizational Unit Name (eg, section) []:ops
Common Name (eg, your name or your server's hostname) []:harbor.com
Email Address []:admin@harbor.com
cat /etc/pki/CA/cacert.pem >> /etc/pki/tls/certs/ca-bundle.crt
mkdir -p /root/cert
(umask 077;openssl genrsa -out /root/cert/harbor.key 2048)
openssl req -new -key /root/cert/harbor.key -out /root/cert/harbor.csr
#和上面的信息一樣
openssl ca -in /root/cert/harbor.csr -out /root/cert/harbor.crt -days 3650
#docker創建根證書
mkdir -p /etc/docker/certs.d/harbor.com
cp /etc/pki/CA/cacert.pem /etc/docker/certs.d/harbor.com/ca.crt
systemctl daemon-reload
systemctl restart docker
修改配置文件
vim harbor/harbor.cfg
hostname = harbor.com
ui_url_protocol = https
db_password = 123456
ssl_cert = /root/cert/harbor.crt
ssl_cert_key = /root/cert/harbor.key
harbor_admin_password = 123456
安裝
cd harbor
./install.sh
常用操作,在harbor目錄下
#啟動
docker-compose start
#關閉
docker-compose stop
#修改配置文件步驟
docker-compose down -v
vim harbor.cfg
./prepare
docker-compose up -d
docker-compose start
修改hosts
vim /etc/hosts
10.0.7.1 harbor.com
登陸測試
[root@node1 harbor]# docker login harbor.com
Username: admin
Password:
Login Succeeded
其他主機測試
#創建一個文件夾
mkdir -p /etc/docker/certs.d/harbor.com
#把證書復制過去
scp /etc/docker/certs.d/harbor.com/ca.crt 10.0.7.2:/etc/docker/certs.d/harbor.com/ca.crt
systemctl daemon-reload
systemctl restart docker
vim /etc/hosts
10.0.7.1 harbor.com
[root@node2 ~]# docker login harbor.com
Username: admin
Password:
Login Succeeded
windows測試
如果使用http,使用以下配置
vim harbor/harbor.cfg
ui_url_protocol = http
修改docker啟動參數,添加
--insecure-registry
上傳鏡像測試
docker pull centos
docker tag centos harbor.com/library/centos
docker push harbor.com/library/centos
添加系統用戶
為項目添加用戶
- 項目管理員和開發人員可以push 和pull鏡像,
- 訪客只能pull鏡像。
使用test作為開發人員測試
[root@node2 ~]# docker login harbor.com
Username (admin): test
Password:
Login Succeeded
docker pull busybox
docker tag centos harbor.com/library/busybox
docker push harbor.com/library/busybox
看日志為test提交了一個busybox鏡像
