0x00 前言
Docker作为现在常用的服务部署方式,日常工作中免不了要做些build、push之类的操作。为了避免每次都要查文档,这里将一些常用的命令和技巧做一些总结。
以下以Ubuntu 16.04 x64系统作为演示环境。
0x01 环境准备
安装docker
$ apt install docker
$ docker --version
Docker version 18.06.1-ce, build e68fc7a
重启docker服务
$ systemctl daemon-reload
$ systemctl restart docker
设置docker代理
此代理主要用于docker访问镜像仓库
创建配置文件:/etc/systemd/system/docker.service.d/http-proxy.conf,写入以下内容:
[Service]
Environment="HTTP_PROXY=http://web-proxy.com:8080" "HTTPS_PROXY=http://web-proxy.com:8080" "NO_PROXY=internal.com"
重启docker服务,配置生效
0x02 编写Dockerfile
要编译docker镜像,需要先编写Dockerfile文件。以下是一个Dockerfile的例子:
FROM python:2.7
# 基于python2.7镜像
RUN apt update && apt install python-pip -y \
&& rm -rf /var/lib/apt/lists/* \
&& pip install uwsgi \
&& pip install tornado \
&& mkdir /data
# 编译时执行的命令,需要尽量写成一条命令
WORKDIR /data
# 设置工作目录
COPY adb /usr/bin/
# 拷贝文件
COPY api/ /data/api/
# 拷贝目录
VOLUME ["/data1","/data2"]
# 挂载目录
ENV TZ="Asia/Shanghai"
# 设置时区
EXPOSE 80/tcp 8080/tcp
# 暴露服务端口
ENTRYPOINT sh /data/start.sh
# 指定入口命令,如果这个命令退出,docker容器也会一起退出
可以看出,格式还是相对比较简单的,照着例子,基本都能写出来。
ADD与COPY指令的区别
两者都可以用于向镜像中添加文件/目录,主要区别是:COPY只能添加本地文件/目录,ADD可以添加url指向的文件;并且,ADD如果指定的源地址是一个本地的tar文件,还会自动解压到目标目录中。
ENTRYPOINT和CMD指令的区别
两者都可以设置docker run的入口命令行,如果指定了多个,只有最后一个生效,两者主要区别是:如果Dockerfile中同时存在ENTRYPOINT和CMD,只有ENTRYPOINT会执行;ENTRYPOINT配置的命令行允许被--entrypoint参数覆盖,而CMD配置的命令行允许被启动参数覆盖。
因此,优先级顺序是:
–entrypoint > ENTRYPOINT > 启动参数 > CMD
HEALTHCHECK
这是docker 1.12新增的指令,可以用于检查容器的健康状态。
HEALTHCHECK --interval=10s --timeout=5s --retries=3 \
CMD curl -fs http://localhost/ || exit 1
上面的指令是用来检测web服务是否正常方法,如果重试5次都失败后,容器状态会变成unhealthy,可以使用docker inspect命令查看容器状态。
ONBUILD
这条指令允许在使用当前镜像作为基础镜像去构建的时候触发,也就是说,在构建当前镜像时并不会触发这条指令。
ONBUILD COPY ./package.json /app
ONBUILD RUN [ "npm", "install" ]
0x03 编译镜像
$ docker build -t demo .
表示使用当前目录的Dockerfile构建镜像demo。
指定代理
如果要指定编译时的HTTP代理,可以使用--build-arg参数:
$ docker build -t demo . --build-arg http_proxy=http://web-proxy.com:8080
指定dns服务器
如果要指定编译时的dns服务器,可以修改docker的配置文件:/etc/docker/daemon.json,增加以下配置,并重启docker服务。
"dns": ["10.0.0.1"]
设置默认镜像源
在配置文件:/etc/docker/daemon.json中增加以下配置项,并重启docker服务。
"registry-mirrors": ["https://mirror.ccs.tencentyun.com"]
上面的镜像源是在腾讯云内部使用的镜像源地址。
指定Dockerfile路径
如果Dockerfile文件不在当前目录下,可以在docker build命令中使用-f /path/to/Dockerfile参数来制定Dockerfile文件的路径。
查看镜像的层信息
$ docker history demo
IMAGE CREATED CREATED BY SIZE COMMENT
9088b64a2ef3 15 seconds ago /bin/sh -c #(nop) ENTRYPOINT ["/bin/sh" "-c… 0B
6949219d8872 16 seconds ago /bin/sh -c #(nop) EXPOSE 80/tcp 8080/tcp 0B
80ff6b9185da 16 seconds ago /bin/sh -c #(nop) ENV TZ=Asia/Shanghai 0B
d069fdc8190a 58 seconds ago /bin/sh -c #(nop) COPY file:f005afea09a30b4d… 10B
a09c0e999ca0 About a minute ago /bin/sh -c #(nop) WORKDIR /data 0B
28ed536148c6 About a minute ago |0 /bin/sh -c apt update && apt install pyth… 35.4MB
d8690ef56706 2 years ago /bin/sh -c #(nop) CMD ["python2"] 0B
<missing> 2 years ago /bin/sh -c pip install --no-cache-dir virtua… 6.37MB
<missing> 2 years ago /bin/sh -c set -ex; wget -O get-pip.py 'ht… 5.26MB
<missing> 2 years ago /bin/sh -c #(nop) ENV PYTHON_PIP_VERSION=9.… 0B
<missing> 2 years ago /bin/sh -c set -ex && buildDeps=' dpkg-de… 45.6MB
<missing> 2 years ago /bin/sh -c #(nop) ENV PYTHON_VERSION=2.7.14 0B
<missing> 2 years ago /bin/sh -c #(nop) ENV GPG_KEY=C01E1CAD5EA2C… 0B
<missing> 2 years ago /bin/sh -c apt-get update && apt-get install… 8.67MB
<missing> 2 years ago /bin/sh -c #(nop) ENV LANG=C.UTF-8 0B
<missing> 2 years ago /bin/sh -c #(nop) ENV PATH=/usr/local/bin:/… 0B
<missing> 2 years ago /bin/sh -c set -ex; apt-get update; apt-ge… 324MB
<missing> 2 years ago /bin/sh -c apt-get update && apt-get install… 123MB
<missing> 2 years ago /bin/sh -c set -ex; if ! command -v gpg > /… 0B
<missing> 2 years ago /bin/sh -c apt-get update && apt-get install… 44.6MB
<missing> 2 years ago /bin/sh -c #(nop) CMD ["bash"] 0B
<missing> 2 years ago /bin/sh -c #(nop) ADD file:f1509ab9c2cd38107… 123MB
使用--no-trunc参数可以显示完整信息
0x04 运行容器
$ docker run -it demo bash
使用-d参数可以在后台启动容器。
指定运行时的dns服务器
$ docker run -i --dns=10.0.0.1 demo
指定运行时的环境变量
$ docker run -i --env http_proxy=http://web-proxy.com:8080 demo
挂载主机目录
$ docker run -i -v /home/ubuntu/data:/data demo
这样可以把主机上的/home/ubuntu/data目录挂载到容器里的/data下。
映射端口
默认情况下无法从外部访问容器内的服务,但是可以通过在启动容器时加上-p port1:port2参数,将容器内的端口port2映射到本机的port1端口。
覆盖ENTRYPOINT
使用--entrypoint参数可以覆盖Dockerfile中配置的ENTRYPOINT命令行,但是需要注意的是:如果需要传参的话需要写成--entrypoint mongod mongo:latest --replSet rs0这样的形式,也就是命令和参数是分开的。
进入容器shell
$ docker ps
CONTAINER ID IMAGE COMMAND CREATED STATUS PORTS NAMES
e6ae7638a58d demo "/bin/sh -c '/data/start.sh'" 8 seconds ago Up 7 seconds 80/tcp, 8080/tcp loving_neumann
$ docker exec -i -t e6ae7638a58d sh
# id
uid=0(root) gid=0(root) groups=0(root)
如果默认进去的不是root权限,可以增加-u root参数。
清理磁盘空间
$ docker system prune -a -f
0x05 登录docker仓库
登录官方仓库
$ docker login
Login with your Docker ID to push and pull images from Docker Hub. If you don't have a Docker ID, head over to https://hub.docker.com to create one.
Username: drunkdream
Password:
WARNING! Your password will be stored unencrypted in /root/.docker/config.json.
Configure a credential helper to remove this warning. See
https://docs.docker.com/engine/reference/commandline/login/#credentials-store
Login Succeeded
登录非官方仓库
$ docker login hub.tencentyun.com
Username: drunkdream
Password:
WARNING! Your password will be stored unencrypted in /root/.docker/config.json.
Configure a credential helper to remove this warning. See
https://docs.docker.com/engine/reference/commandline/login/#credentials-store
Login Succeeded
如果仓库使用的不是HTTPS的443端口,需要在主机名后面加上:port。
如果提示以下错误:
Error response from daemon: Get https://hub.private.com:8080/v2/: http: server gave HTTP response to HTTPS client
说明Server不支持HTTPS协议,需要在配置文件:/etc/docker/daemon.json中增加以下配置:
"insecure-registries": ["hub.private.com:8080"]
重启docker服务,再登录就可以了
登录协议
抓包可得以下结果:
GET /v2/ HTTP/1.1
Host: hub.private.com:8080
User-Agent: docker/18.06.1-ce go/go1.10.4 git-commit/e68fc7a kernel/4.10.0-28-generic os/linux arch/amd64 UpstreamClient(Docker-Client/18.06.1-ce \(linux\))
Authorization: Basic YWRtaW46YWRtaW4=
Accept-Encoding: gzip
Connection: close
HTTP/1.1 200 OK
Content-Length: 2
Content-Type: application/json; charset=utf-8
Date: Mon, 25 Feb 2019 04:09:50 GMT
Docker-Distribution-Api-Version: registry/2.0
X-Content-Type-Options: nosniff
Connection: close
{}
说明: docker是使用了HTTP协议的Authorization头进行了身份认证,很容易获取明文密码。因此,为了安全,一定要使用HTTPS协议。
0x06 push新镜像到仓库
查询镜像
$ docker search python
NAME DESCRIPTION STARS OFFICIAL AUTOMATED
python Python is an interpreted, interactive, objec… 5022 [OK]
django Django is a free web application framework, … 941 [OK]
pypy PyPy is a fast, compliant alternative implem… 234 [OK]
kaggle/python Docker image for Python scripts run on Kaggle 138 [OK]
arm32v7/python Python is an interpreted, interactive, objec… 48
joyzoursky/python-chromedriver Python with Chromedriver, for running automa… 43 [OK]
nikolaik/python-nodejs Python with Node.js 40 [OK]
centos/python-35-centos7 Platform for building and running Python 3.5… 38
circleci/python Python is an interpreted, interactive, objec… 37
centos/python-36-centos7 Platform for building and running Python 3.6… 28
hylang Hy is a Lisp dialect that translates express… 27 [OK]
arm64v8/python Python is an interpreted, interactive, objec… 21
centos/python-27-centos7 Platform for building and running Python 2.7… 17
publicisworldwide/python-conda Basic Python environments with Conda. 6 [OK]
bitnami/python Bitnami Python Docker Image 6 [OK]
dockershelf/python Repository for docker images of Python. Test… 5 [OK]
i386/python Python is an interpreted, interactive, objec… 3
centos/python-34-centos7 Platform for building and running Python 3.4… 2
komand/python-plugin DEPRECATED: Komand Python SDK 2 [OK]
ppc64le/python Python is an interpreted, interactive, objec… 2
amd64/python Python is an interpreted, interactive, objec… 1
ccitest/python CircleCI test images for Python 0 [OK]
s390x/python Python is an interpreted, interactive, objec… 0
openshift/python-33-centos7 DEPRECATED: A Centos7 based Python v3.3 imag… 0
saagie/python Repo for python jobs 0
如果想获取python镜像的tag列表,可以使用以下命令:
$ wget -q https://registry.hub.docker.com/v1/repositories/python/tags -O - | sed -e 's/[][]//g' -e 's/"//g' -e 's/ //g' | tr '}' '\n' | awk -F: '{print $3}'
拉取镜像到本地
$ docker pull python
Using default tag: latest
latest: Pulling from library/python
741437d97401: Pull complete
34d8874714d7: Pull complete
0a108aa26679: Pull complete
7f0334c36886: Pull complete
65c95cb8b3be: Pull complete
9107d7193263: Pull complete
dd6f212ec984: Pull complete
43288b101abf: Pull complete
89dd65885f16: Pull complete
Digest: sha256:a570ef00b7348c85b546c0e67955fa3be233c27bc2379d0f87fc8e4ff25aa006
Status: Downloaded newer image for python:latest
打标签
$ docker tag python:latest hub.tencentyun.com/drunkdream/python:latest
如果要push到非官方仓库,需要在打tag时加上仓库的地址。
push镜像到仓库
$ docker push hub.tencentyun.com/drunkdream/python:latest
The push refers to repository [hub.tencentyun.com/drunkdream/python:latest]
b2f7bd391363: Pushed
08a5b66845ac: Pushed
88a85bcf8170: Pushed
65860ac81ef4: Pushed
a22a5ac18042: Pushed
6257fa9f9597: Pushed
578414b395b9: Pushed
abc3250a6c7f: Pushed
13d5529fd232: Pushed
latest: digest: sha256:35a3001b1defafa4611f764a9c6d07c2146aefc17be2c24ee0200fd37b19b1c7 size: 2218
0x07 镜像导出与导入
镜像导出
$ docker save -o demo.tar demo:latest
镜像导入
$ docker load -i demo.tar
0x08 Compose
Compose项目是Docker官方的开源项目,实现了对Docker容器集群的快速编排。从功能上看,跟OpenStack中的Heat十分类似。
其代码在https://github.com/docker/compose上开源。
安装
$ pip install docker-compose
编写docker-compose.yml
这个文件描述了容器之间的关系。
version: '3'
services:
webapp:
build: .
# Dockerfile所在目录
dockerfile: Dockerfile
# Dockerfile 文件名
command: echo "hello world"
# 覆盖容器启动后的默认命令
depends_on:
- db
- redis
# 服务依赖
dns:
- 8.8.8.8
- 114.114.114.114
# 配置DNS
env_file: .env
# 指定环境变量文件
environment:
- DEBUG=1
# 设置环境变量
expose:
- "8080"
# 暴露端口,只在服务间被访问
extra_hosts:
- "www.drunkdream.com:1.1.1.1"
# 添加额外hosts
healthcheck:
test: ["CMD", "curl", "-f", "http://localhost"]
interval: 10s
timeout: 5s
retries: 3
# 健康检查
image: ubuntu
# 指定镜像
ports:
- "80"
- "8080:80"
- "127.0.0.1:8001:8001"
# 映射端口,格式为:HOST:CONTAINER
volumes:
- "/localhost/postgres.sock:/var/run/postgres/postgres.sock"
- "/localhost/data:/var/lib/postgresql/data"
# 磁盘映射
networks:
- front-tier
- back-tier
# 配置网络
networks:
front-tier:
driver: bridge
back-tier:
driver: bridge
常用命令
$ docker-compose up
启动所有服务,使用-d参数可以在后台启动服务,-f参数可以指定docker-compose.yml。
$ docker-compose down
停止和删除容器、网络
$ docker-compose logs
查看日志
$ docker-compose build
构建所有容器