docker学习笔记3，从入门到精通

docker容器互联

docker run创建Docker容器时，可以用--net选项指定容器的网络模式，Docker有以下4种网络模式：

bridge模式：使--net =bridge指定，默认设置；

host模式：使--net =host指定；

none模式：使--net =none指定；

container模式：使用--net =container:NAME orID指定。

docker 容器的网络基础

1、docker0：

安装docker的时候，会生成一个docker0的虚拟网桥

2、Linux虚拟网桥的特点：

可以设置ip地址

相当于拥有一个隐藏的虚拟网卡

docker0: <NO-CARRIER,BROADCAST,MULTICAST,UP> mtu 1500 qdisc noqueue state DOWN group default 
    link/ether 02:42:43:89:d8:00 brd ff:ff:ff:ff:ff:ff
    inet 172.17.0.1/16 brd 172.17.255.255 scope global docker0
       valid_lft forever preferred_lft forever

每运行一个docker容器都会生成一个veth设备对，这个veth一个接口在容器里，一个接口在物理机上。

3、安装网桥管理工具：

yum install bridge-utils -y

brctl show 可以查看到有一个docker0的网桥设备，下面有很多接口，每个接口都表示一个启动的docker容器，因为我在docker上启动了很多容器，所以interfaces较多，如下所示：

docker 容器的互联

下面用到的镜像的dockerfile文件如下：

cd dockerfile/inter-image

FROM centos
MAINTAINER xiaoqi
RUN sed -i 's/mirrorlist/#mirrorlist/g' /etc/yum.repos.d/CentOS-*
RUN sed -i 's|#baseurl=http://mirror.centos.org|baseurl=http://vault.centos.org|g' /etc/yum.repos.d/CentOS-*
RUN yum install wget -y
RUN yum install nginx -y
RUN sed -i "7s/^/#/g" /etc/nginx/nginx.conf
EXPOSE 80
CMD /bin/bash

root@timer:~/inter-image# docker build -t="inter-image" .

允许所有容器间互联（也就是访问）

第一种方法：

例：

（1）基于上面的inter-image镜像启动第一个容器test1

docker run --name test1 -itd inter-image
进入到容器里面启动nginx：
/usr/sbin/ngnx

（2）基于上面的inter-image镜像启动第二个容器test2

docker run --name test2 -itd inter-image

（3）进入到test1容器和test2容器，可以看两个容器的ip，分别是

172.17.0.4和172.17.0.5

docker exec -it test2 /bin/bash

ping 172.17.0.4 可以看见能ping通test1容器的ip

test1 机器上

curl http://172.17.0.5 

可以访问到test1容器的内容

上述方法假如test1容器重启，那么在启动就会重新分配ip地址，所以为了使ip地址变了也可以访问可以采用下面的方法

docker link设置网络别名

第二种方法：

可以给容器起一个代号，这样可以直接以代号访问，避免了容器重启ip变化带来的问题

--link

docker run --link=[CONTAINER_NAME]:[ALIAS] [IMAGE][COMMAND]

例：

1.启动一个test3容器

docker run --name test3 -itd inter-image /bin/bash

2.启动一个test5容器，--link做链接，那么当我们重新启动test3容器时，就算ip变了，也没关系，我们可以在test5上ping别名webtest

docker run --name test5 -itd --link=test3:webtest inter-image /bin/bash

3.test3和test5的ip分别是172.17.0.6和172.17.0.7

4.重启test3容器

docker restart test3

发现ip变成了172.17.0.8

5.进入到test5容器

docker exec -it test5 /bin/bash

ping test3容器的ip别名webtest可以ping通，尽管test3容器的ip变了也可以通

docker容器的网络模式

docker run创建docker容器时，可以用--net选项指定容器的网络模式，Docker有以下4种网络模式：

bridge模式：使--net =bridge指定，默认设置；

host模式：使--net =host指定；

none模式：使--net =none指定；

container模式：使用--net =container:NAME orID指定。

1 none模式

Docker网络none模式是指创建的容器没有网络地址，只有lo网卡

root@timer:~# docker run -itd  --name none --net=none --privileged=true centos
41a520864ae7311da45bec03058ffd32d7291dd262f2c3def961bca2106abcbc
root@timer:~# docker exec -it none /bin/bash
[root@41a520864ae7 /]# 

ip addr

#只有本地lo地址

root@timer:~# docker exec -it none /bin/bash
[root@41a520864ae7 /]# ip addr
1: lo: <LOOPBACK,UP,LOWER_UP> mtu 65536 qdisc noqueue state UNKNOWN group default qlen 1000
    link/loopback 00:00:00:00:00:00 brd 00:00:00:00:00:00
    inet 127.0.0.1/8 scope host lo
       valid_lft forever preferred_lft forever
2: tunl0@NONE: <NOARP> mtu 1480 qdisc noop state DOWN group default qlen 1000
    link/ipip 0.0.0.0 brd 0.0.0.0
3: sit0@NONE: <NOARP> mtu 1480 qdisc noop state DOWN group default qlen 1000
    link/sit 0.0.0.0 brd 0.0.0.0

2 container模式

Docker网络container模式是指，创建新容器的时候，通过--net container参数，指定其和已经存在的某个容器共享一个 Network Namespace。如下图所示，右方黄色新创建的container，其网卡共享左边容器。因此就不会拥有自己独立的 IP，而是共享左边容器的 IP 172.17.0.2,端口范围等网络资源，两个容器的进程通过 lo 网卡设备通信。

#和已经存在的none容器共享网络

root@timer:~# docker run --name container2 --net=container:none  -it --privileged=true centos
[root@41a520864ae7 /]# 

[root@41a520864ae7 /]# ip addr
1: lo: <LOOPBACK,UP,LOWER_UP> mtu 65536 qdisc noqueue state UNKNOWN group default qlen 1000
    link/loopback 00:00:00:00:00:00 brd 00:00:00:00:00:00
    inet 127.0.0.1/8 scope host lo
       valid_lft forever preferred_lft forever
2: tunl0@NONE: <NOARP> mtu 1480 qdisc noop state DOWN group default qlen 1000
    link/ipip 0.0.0.0 brd 0.0.0.0
3: sit0@NONE: <NOARP> mtu 1480 qdisc noop state DOWN group default qlen 1000
    link/sit 0.0.0.0 brd 0.0.0.0

3 bridge模式

默认选择bridge的情况下，容器启动后会通过DHCP获取一个地址

#创建桥接网络

root@timer:~# docker run --name host -it --net=host --privileged=true centos  bash
root@timer:~# ip addr
1: lo: <LOOPBACK,UP,LOWER_UP> mtu 65536 qdisc noqueue state UNKNOWN group default qlen 1000
    link/loopback 00:00:00:00:00:00 brd 00:00:00:00:00:00
    inet 127.0.0.1/8 scope host lo
       valid_lft forever preferred_lft forever
    inet6 ::1/128 scope host 
       valid_lft forever preferred_lft forever7: docker0: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc noqueue state UP group default 
    link/ether 02:42:43:89:d8:00 brd ff:ff:ff:ff:ff:ff
    inet 172.17.0.1/16 brd 172.17.255.255 scope global docker0
       valid_lft forever preferred_lft forever
    inet6 fe80::42:43ff:fe89:d800/64 scope link 
       valid_lft forever preferred_lft forever

4 host模式

Docker网络host模式是指共享宿主机的网络

#共享宿主机网络

root@timer:~# docker run --name host1 -it --net=host --privileged=true centos  bash
[root@timer /]# 

docker资源配额

docker容器控制cpu

Docker通过cgroup来控制容器使用的资源限制，可以对docker限制的资源包括CPU、内存、磁盘

1.1  指定docker容器可以使用的cpu份额

#查看配置份额的帮助命令：

root@timer:~# docker run --help | grep cpu-shares
  -c, --cpu-shares int                 CPU shares (relative weight)

CPU shares (relative weight) 在创建容器时指定容器所使用的CPU份额值。cpu-shares的值不能保证可以获得1个cpu或者多少GHz的CPU资源，仅仅只是一个弹性的加权值。

默认每个docker容器的cpu份额值都是1024。在同一个CPU核心上，同时运行多个容器时，容器的cpu加权的效果才能体现出来。

例： 两个容器A、B的cpu份额分别为1000和500，结果会怎么样？    

情况1：A和B正常运行，占用同一个CPU，在cpu进行时间片分配的时候，容器A比容器B多一倍的机会获得CPU的时间片。

情况2：分配的结果取决于当时其他容器的运行状态。比如容器A的进程一直是空闲的，那么容器B是可以获取比容器A更多的CPU时间片的； 比如主机上只运行了一个容器，即使它的cpu份额只有50，它也可以独占整个主机的cpu资源。

cgroups只在多个容器同时争抢同一个cpu资源时，cpu配额才会生效。因此，无法单纯根据某个容器的cpu份额来确定有多少cpu资源分配给它，资源分配结果取决于同时运行的其他容器的cpu分配和容器中进程运行情况。

例1：给容器实例分配512权重的cpu使用份额

参数：  --cpu-shares 512

root@timer:~# docker run -it --cpu-shares 512 centos  /bin/bash
[root@eff5c135ead0 /]# cat /sys/fs/cgroup/cpu/cpu.shares
512

注：稍后，我们启动多个容器，测试一下是不是只能使用512份额的cpu资源。单独一个容器，看不出来使用的cpu的比例。 因没有docker实例同此docker实例竞争。

总结：

通过-c设置的 cpu share 并不是 CPU 资源的绝对数量，而是一个相对的权重值。某个容器最终能分配到的 CPU 资源取决于它的 cpu share 占所有容器 cpu share 总和的比例。通过 cpu share 可以设置容器使用 CPU 的优先级。

比如在 host 中启动了两个容器：

docker run --name "container_A" -c 1024 ubuntu

docker run --name "container_B" -c 512 ubuntu

container_A 的 cpu share 1024，是 container_B 的两倍。当两个容器都需要 CPU 资源时，container_A 可以得到的 CPU 是 container_B 的两倍。

需要注意的是，这种按权重分配 CPU只会发生在 CPU资源紧张的情况下。如果 container_A 处于空闲状态，为了充分利用 CPU资源，container_B 也可以分配到全部可用的 CPU。

1.2  CPU core核心控制

参数：--cpuset可以绑定CPU

对多核CPU的服务器，docker还可以控制容器运行限定使用哪些cpu内核和内存节点，即使用--cpuset-cpus和--cpuset-mems参数。对具有NUMA拓扑（具有多CPU、多内存节点）的服务器尤其有用，可以对需要高性能计算的容器进行性能最优的配置。如果服务器只有一个内存节点，则--cpuset-mems的配置基本上不会有明显效果。

扩展：

服务器架构一般分： SMP、NUMA、MPP体系结构介绍

从系统架构来看，目前的商用服务器大体可以分为三类：

1. 即对称多处理器结构(SMP ： Symmetric Multi-Processor) 例： x86 服务器，双路服务器。主板上有两个物理cpu

2. 非一致存储访问结构 (NUMA ： Non-Uniform Memory Access) 例：  IBM 小型机 pSeries 690

3. 海量并行处理结构 (MPP ： Massive ParallelProcessing) 。  例： 大型机  Z14

1.3  CPU配额控制参数的混合使用

在上面这些参数中，cpu-shares控制只发生在容器竞争同一个cpu的时间片时有效。

如果通过cpuset-cpus指定容器A使用cpu 0，容器B只是用cpu1，在主机上只有这两个容器使用对应内核的情况，它们各自占用全部的内核资源，cpu-shares没有明显效果。

如何才能有效果？

容器A和容器B配置上cpuset-cpus值并都绑定到同一个cpu上，然后同时抢占cpu资源，就可以看出效果了。

例1：测试cpu-shares和cpuset-cpus混合使用运行效果，就需要一个压缩力测试工具stress来让容器实例把cpu跑满。

如何把cpu跑满？

如何把4核心的cpu中第一和第三核心跑满？可以运行stress，然后使用taskset绑定一下cpu。

先扩展：stress命令

概述：linux系统压力测试软件Stress 。

root@timer:~# apt install stress

stress参数解释

-?        显示帮助信息

-v        显示版本号

-q       不显示运行信息

-n       显示已完成的指令情况

-t        --timeout  N  指定运行N秒后停止        

          --backoff   N   等待N微妙后开始运行

-c       产生n个进程 ：每个进程都反复不停的计算随机数的平方根，测试cpu

-i        产生n个进程 ：每个进程反复调用sync()，sync()用于将内存上的内容写到硬盘上，测试磁盘io

-m     --vm n 产生n个进程,每个进程不断调用内存分配malloc（）和内存释放free（）函数 ，测试内存

         --vm-bytes B  指定malloc时内存的字节数 （默认256MB）

        --vm-hang N   指定在free栈的秒数  

-d    --hadd n  产生n个执行write和unlink函数的进程

        -hadd-bytes B  指定写的字节数

        --hadd-noclean  不unlink        

注：时间单位可以为秒s，分m，小时h，天d，年y，文件大小单位可以为K，M，G

例1：产生2个cpu进程，2个io进程，20秒后停止运行

root@timer:~# stress -c 2 -i 2 --verbose --timeout 20s

#如果执行时间为分钟，改20s 为1m

查看：

top

例2：测试cpuset-cpus和cpu-shares混合使用运行效果，就需要一个压缩力测试工具stress来让容器实例把cpu跑满。 当跑满后，会不会去其他cpu上运行。 如果没有在其他cpu上运行，说明cgroup资源限制成功。

例3：创建两个容器实例:docker10 和docker20。 让docker10和docker20只运行在cpu0和cpu1上，最终测试一下docker10和docker20使用cpu的百分比。实验拓扑图如下：

运行两个容器实例

root@timer:~# docker run -itd --name docker10 --cpuset-cpus 0,1 --cpu-shares 512 centos  /bin/bash 
d0ebc2bd8473686ce9537467c6c2f92cf1f05b10f9ab734720563283778987a9
root@timer:~# 

#指定docker10只能在cpu0和cpu1上运行，而且docker10的使用cpu的份额512

#参数-itd就是又能打开一个伪终端，又可以在后台运行着docker实例

root@timer:~# docker run -itd --name docker20 --cpuset-cpus 0,1 --cpu-shares 1024 centos  /bin/bash
4a57011b63afb031fa4e03e0b80615c1cdc2240ddbc70324745beefa608a3079
root@timer:~# 

#指定docker20只能在cpu0和cpu1上运行，而且docker20的使用cpu的份额1024，比dcker10多一倍

测试1： 进入docker10，使用stress测试进程是不是只在cpu0,1上运行：

[root@timer ~]# docker exec -it  docker10  /bin/bash
[root@d0ebc2bd8473 /]# yum install -y epel-release #安装epel扩展源
[root@d0ebc2bd8473 /]# yum install stress -y   #安装stress命令
[root@d0ebc2bd8473 /]# stress -c 2 -v   -t  10m #运行2个进程，把两个cpu占满

在物理机另外一个虚拟终端上运行top命令，按1快捷键，查看每个cpu使用情况：

可看到正常。只在cpu0,1上运行

测试2： 然后进入docker20，使用stress测试进程是不是只在cpu0,1上运行，且docker20上运行的stress使用cpu百分比是docker10的2倍

[root@timer ~]# docker exec -it  docker20  /bin/bash
[root@4a57011b63af /]# yum install -y epel-release  #安装epel扩展源
[root@4a57011b63af /]# yum install stress -y
[root@4a57011b63af /]# stress  -c 2 -v -t 10m

在另外一个虚拟终端上运行top命令，按1快捷键，查看每个cpu使用情况：

注：两个容器只在cpu0,1上运行，说明cpu绑定限制成功。而docker20是docker10使用cpu的2倍。说明--cpu-shares限制资源成功。

2  docker容器控制内存

Docker提供参数-m, --memory=""限制容器的内存使用量。

例1：允许容器使用的内存上限为128M：

root@timer:~# docker run -it  -m 128m centos
[root@25449665cc0d /]#
查看：
[root@25449665cc0d /]# cat /sys/fs/cgroup/memory/memory.limit_in_bytes
134217728

注：也可以使用tress进行测试，到现在，我可以限制docker实例使用cpu的核心数和权重，可以限制内存大小。

例2：创建一个docker，只使用2个cpu核心，只能使用128M内存

root@timer:~# docker run -it --cpuset-cpus 0,1 -m 128m centos
[root@e022ac105168 /]#

3  docker容器控制IO

root@timer:~# docker run --help | grep write-b
      --device-write-bps list          Limit write rate (bytes per second) to a device (default [])

#限制此设备上的写速度（bytes per second），单位可以是kb、mb或者gb。

--device-read-bps value   #限制此设备上的读速度（bytes per second），单位可以是kb、mb或者gb。

情景：防止某个 Docker 容器吃光你的磁盘 I / O 资源例1：限制容器实例对硬盘的最高写入速度设定为 2MB/s。

--device参数：将主机设备添加到容器

root@timer:~# mkdir -p /var/www/html/
root@timer:~# docker run -it  -v /var/www/html/:/var/www/html --device /dev/sda:/dev/sda --device-write-bps /dev/sda:2mb centos  /bin/bash
 
[root@95b5f989ad2b /]# time dd if=/dev/sda of=/var/www/html/test.out bs=2M count=50 oflag=direct,nonblock

注：dd 参数：

direct：读写数据采用直接IO方式，不走缓存。直接从内存写硬盘上。

nonblock：读写数据采用非阻塞IO方式，优先写dd命令的数据50+0 records in

50+0 records out

104857600 bytes (105 MB, 100 MiB) copied, 0.163123 s, 643 MB/s

real    0m0.169s

user    0m0.000s

sys    0m0.042s

注： 发现1秒写2M。 限制成功。

docker容器运行结束自动释放资源

root@timer:~# docker run --help | grep rm

     --platform string                Set platform if server is multi-platform capable

     --rm                             Automatically remove the container when it exits

 -u, --user string                    Username or UID (format: [:])

作用：当容器命令运行结束后，自动删除容器，自动释放资源  

例：

root@timer:~# docker run -it --rm --name xiaoqi centos  sleep 6
#物理上查看：
root@timer:~# docker ps -a | grep xiaoqi
#等几秒再看，自动删除了
root@timer:~# docker ps |grep xiaoqi
root@timer:~#