开发者社区> thinkyoung> 正文

Docker介绍(一)

简介: 在TES GLOBAL,我们已经爱上Docker并从Docker的0.8版本开始就在生产环境中使用它。我们的很多开发者都参加了在DockerCon欧洲上的培训。下面是我们总结的一些tips,希望可以帮到已经有Docker基础的同学。
+关注继续查看

TES GLOBAL,我们已经爱上Docker并从Docker的0.8版本开始就在生产环境中使用它。我们的很多开发者都参加了在DockerCon欧洲上的培训。下面是我们总结的一些tips,希望可以帮到已经有Docker基础的同学。

1. CLI

1.1 美化docker ps的输出

将Docker ps的输出通过管道到less -S,这样表格式的行就不会被折叠。

  1. docker ps - a | less -S

1.2 刷新日志

docker的日志不会即时刷新,除非你使用了-F选项:

  1. docker logs <containerid>-F

1.3 从docker inspect中获取一个单一的值

docker inspect默认会输出大量的JSON格式的数据。你可以用jq,来得到某一特定键的值。或者你可以使用内置的go模板功能:

最后一个docker容器现在运转正常吗?

  1. docker inspect --format '{{.State.Running}}' $(docker ps -lq)

1.4 使用docker exec而不是sshd 或者 nsenter

如果你查看过Docker的发行版你会你会很清楚这个小技巧。exec在是在1.3版本中添加的新功能,可以让你在容器里面运行一个新的进程。这样你就不必运行sshd或者在主机上安装nscenter。

2. Dockerfiles

2.1 docker build支持git仓库

你不但可以从本地的Dockerfile中创建Docker镜像,你还可以简单的给docker build指定一个仓库的URL,然后docker build会为你做完余下的事情。

2.2 没有软件包列表

默认的镜像(如Ubuntu)是不包含软件包列表的,目的是让镜像体积更小。因此需要在任何的基础的Dockerfile中需要使用apt-get update。

2.3 留意软件包的版本

注意软件包的安装,因为这些命令也是会缓存起来的。意味着如果你清空了缓存,你可能会得到不同的版本;或者如果缓存长期不更新,你可能不会得到最新的安全更新。

2.4 小体积的基础镜像

在Docker Hub上有一个官方的真正零体积的Docker镜像,它的名字叫做scratch。所以如果你有这种需求,可以让你的镜像从零开始。而大多数的情况下,你最好还是从busybox开始,其大小只有2.5M。

2.5 FROM默认会获取最新的

如果在FROM关键字后你没有指定一个版本的tag,那么默认就会获取最新的。请注意这点,并确保尽可能的指定一个特定的版本。

2.6 shell或者是exec模式

在Dockerfile中可以通过两种方式来指定命令(如CMD RUN等)。如果你仅仅写下命令那么Docker会将其包裹在sh -c命令中执行。你也可以写成一个字符串数组的形式。数组的写法不需要依赖容器中的shell,因为其会使用go的exec。Docker的开发者建议使用后一种方式。

2.7 ADD vs COPY

ADD和COPY都能在创建容器的时候添加本地的文件。但是ADD有一些额外的魔力,如添加远程的文件、unzip或者untar一些文件包等。使用ADD之前请了解这种差别。

2.8 WORKDIR和ENV

每个命令都会创建一个新的临时镜像并在新的shell中运行,所以如果你在Dockerfile中不能运行 cd <directory>或者export <var>=<value>。使用WORKDIR在多个命令中设置工作目录并使用ENV来设置环境变量。

2.9 CMD和ENTRYPOINT

CMD是当一个镜像在运行时默认会执行的命令。默认的ENTRYPOINT是/bin/sh -c,然后CMD会以参数的形式被传入。我们可以在Dockerfile中覆盖ENTRYPOINT以让我们的容器像在接受命令行参数(默认的参数在Dockerfile中的CMD指定)。

Dockerfile中

ENTRYPOINT /bin/ls
CMD ["-a"]

我们覆盖了命令行但是netrypoint仍然是ls

docker run training/ls -l

2.10 将ADD置于末尾

如果文件发生改变,ADD会让缓存失效。不要在Dockerfile中添加经常变化的东西,以避免让缓存失效。将你的代码放在最后,将库和依赖放在最前。对于Node.js的应用来说,这意味着将package.json放在前面,运行nmp install然后添加你的代码。

3. Docker的网络

Docker有一个内置的IP池,用来指定容器的ip地址。它对外是不可见的,通过桥接的网口可以访问到。

3.1 查找端口的映射

docker run接收显式的端口映射作为参数,或者你可以通过-P选项来映射所有的端口。第二种做法的好处是能防止冲突。可以通过以下命令查找指定的端口:

  1. docker port containerID portNumber

或者

  1. docker inspect --format '{{.NetworkSettings.Ports}}' 
  2. containerID

3.2 容器的IP地址

每一个容器都拥有自己属于私有网段的IP地址(默认是172.17.0.0/16)。IP可能会在重启的时候发生变化,如果你想知道其地址,可以用:

  1. docker inspect --format '{{.NetworkSettings.IPAddress}}' containerID

Docker会尝试检查冲突,在需要的情况下会使用不同的网段的地址。

3.3 接管主机的网络

docker run --net=host能重用网络。但是请不要这么做。

4. 卷(volume)

一个绕过目录或者单一文件写时复制(copy-on-write)的文件系统,接近零负载(绑定挂载)。

4.1 卷的内容在docker commit的时候不会被保存

在镜像建立后写入你的卷没有太多的意义。

4.2 卷默认是可读可写的

但是有一个:ro的标志。

4.3 卷和容器是分开存在的

卷只要有一个容器使用他们就会存在。可以在容器之间通过--volumes-from选项共享。

4.4 挂载你的docker.sock

你可以仅仅挂载docker.sock就能让你的容器访问到Docker的API。然后你可以在该容器中运行Docker的命令。这样容器甚至还可以杀死自己,在一个容器里面运行一个Docker的守护者进程是没有必要的。

5. 安全

5.1 以root身份运行Docker

Docker API能给root的访问权限,因为你可以将/映射成一个卷,然后读或者写。或者你可以通过--net host接管宿主机的网络。不要暴露Docker API如果你需要请使用TLS。

5.2 Dockerfile中的USER

默认下Docker可以以root的身份运行任何命令,但是你可以使用USER。Docker没有用户的命名空间,因此容器将用户看作是宿主机上的用户。但是仅仅是UID因而你需要在容器里面添加该用户。

5.3 使用TLS操作Docker API

Docker 1.3版本添加了对TLS的支持。他们使用手动的验证机制:客户端和服务端都有一个Key。把Key看做是root用户的密码。从1.3版本开始,Boot2docker默认使用TLS并且会为你生成key。

另外生成Key需要OpenSSL 1.0.1以上版本的支持,然后Docker daemon进程需要加上--tls-verify选项运行,Docker会使用安全的端口(2376)。

CentOS 6/7系列安装Docker http://www.linuxidc.com/Linux/2014-07/104768.htm

Docker的搭建Gitlab CI 全过程详解 http://www.linuxidc.com/Linux/2013-12/93537.htm

Docker安装应用(CentOS 6.5_x64) http://www.linuxidc.com/Linux/2014-07/104595.htm

在 Docker 中使用 MySQL http://www.linuxidc.com/Linux/2014-01/95354.htm

在Ubuntu Trusty 14.04 (LTS) (64-bit)安装Docker http://www.linuxidc.com/Linux/2014-10/108184.htm

Docker安装应用(CentOS 6.5_x64) http://www.linuxidc.com/Linux/2014-07/104595.htm

Ubuntu 14.04安装Docker  http://www.linuxidc.com/linux/2014-08/105656.htm

阿里云CentOS 6.5 模板上安装 Docker http://www.linuxidc.com/Linux/2014-11/109107.htm

Docker 的详细介绍请点这里
Docker 的下载地址请点这里

原文: http://csaba.palfi.me/random-docker-tips/ 
译文: http://dockerone.com/article/59

本文永久更新链接地址http://www.linuxidc.com/Linux/2014-12/110787.htm

版权声明:本文内容由阿里云实名注册用户自发贡献,版权归原作者所有,阿里云开发者社区不拥有其著作权,亦不承担相应法律责任。具体规则请查看《阿里云开发者社区用户服务协议》和《阿里云开发者社区知识产权保护指引》。如果您发现本社区中有涉嫌抄袭的内容,填写侵权投诉表单进行举报,一经查实,本社区将立刻删除涉嫌侵权内容。

相关文章
阿里云服务器如何登录?阿里云服务器的三种登录方法
购买阿里云ECS云服务器后如何登录?场景不同,大概有三种登录方式:
9087 0
Exceptionless 5.0.0本地Docker快速部署介绍
Exceptionless 是一个开源的实时的好用的日志收集框架,它将日志收集变得简单易用并且不需要了解太多的相关技术细节及配置。但是之前的版本将其Web和API绑定在了Windows平台通过IIS运行,对于已经步入云原生时代的我们显得有点格格不入。
1871 0
docker介绍与安装
docker介绍与安装
40 0
DotNet IOC Framework - Microsoft Unity介绍
一. 新建一个ASP.NET MVC4项目 二. 安装Microsoft Unity   1) 管理Nuget程序包     2)安装Unity3程序包     在你的App_Start文件夹里会多出来两个文件   三.
973 0
阿里云服务器怎么设置密码?怎么停机?怎么重启服务器?
如果在创建实例时没有设置密码,或者密码丢失,您可以在控制台上重新设置实例的登录密码。本文仅描述如何在 ECS 管理控制台上修改实例登录密码。
19730 0
+关注
723
文章
0
问答
文章排行榜
最热
最新
相关电子书
更多
OceanBase 入门到实战教程
立即下载
阿里云图数据库GDB,加速开启“图智”未来.ppt
立即下载
实时数仓Hologres技术实战一本通2.0版(下)
立即下载