说明：我无法使文档变得有趣，所以我只能尽力让它变得简洁和清晰，虽然你看着内容还是很多，但是只要你一步步的做下去，肯定会对docker有更深的了解。这篇文档主要是说明docker的使用，没有实际例子，下篇文档会以实例为主。

注：部分图片来自于网络，感谢分享的人。

志不坚者智不达！！！

1.docker介绍

1.1 虚拟机与容器的对比

上图所示，容器技术相较于VM少了客户机系统这一层；底层用到了linux的LXC的容器技术，所以docker目前只能运行于linux的64位系统之上（能运行32位系统也是做过处理的，降低效率），官方提供了运行于windows上的工具，但是这个工具其实是集成一个微型的virtubox虚拟机，说白了还是得需要linux系统。

1.2  docker组件

Docker之所以火的很快，原因之一就是它的仓库。

仓库类似于github，很多现成的镜像供各位下载，直接用docker pull redis-server(这个名字是瞎起的)就可以拉下来一个redis服务器的镜像，放到自己的docker里就能用了，不用自己解决依赖、安装redis。好多开源工具都有docker镜像，这就使得用户只需要下载使用就行，完全省去了处理软件依赖、缺少库文件、安装部署等环节。

1.3  docker与OpenStack对比

总的来说docker不如openstack强大，但是docker灵活、简单、占资源更少。

Docker适合微服务，一般一个docker容器只跑一个进程，连ssh服务都不要开启；像数据库这种大且重要的服务最好别用docker来跑，快慢放一边，万一有个bug就麻烦了。

用docker来搭建测试环境、开发环境等都可以提高效率，还占用很少物理资源；docker其实就是轻量的虚拟机，虚拟机能干的都交给docker也行，但是要结合业务场景来看。

拿咱们公司的订单服务来说，业务高峰时订单服务变慢，那可以起20个docker都跑订单服务，但假如起20个虚拟机来跑的话，抛开启动速度不说，启动瞬间可能出现IO风暴，导致磁盘IO特别高，直接影响服务质量。

2. Docker安装和镜像、容器

首先要说明的是，据传言ubuntu运行docker更快，我没有细研究过，在ubuntu和centos上也都试过docker，没感觉有什么区别（可能是测试的比较浅）。看过一些资料，没觉得docker在ubuntu上有什么优越的，那就更熟悉哪个用哪个吧，所以下面主要以centos为宿主系统进行测试。

2.1 docker安装

2.1.1 centos系统上docker安装

在centos下，如果有epel源直接yum install docker-io就完成安装了。

/etc/init.d/docker start启动docker。

2.1.2 ubuntu系统上docker安装

sudo apt-get remove debian-keyringdebian-archive-keyring

sudo apt-get clean

sudo apt-get update && sudo apt-get-y install debian-keyring debian-archive-keyring

wget -qO- https://get.Docker.com/ | sh

注：如果ubuntu启用了ufw，要配置使其能转发请求，并允许2375端口访问外网。

2.2镜像管理

前文说过，docker之所以这么火，就是因为它有一个类似于github的dockerhub，上面存放着很多现成的镜像，有官方的和非官方的等等。

dockersearch centos查询centos镜像，

与github类似，直接pull就可以把镜像拉下来，

dockerpull centos

可能要多pull几次才能成功。

下载的centos镜像才170多M，所以很多你认为该有的命令它是没有的，有个心理准备。

docker images：查看本地有什么镜像，比如有centos，有ubuntu，有redis，有elk。

docker ps –a: 命令能查看所有运行的、停止的镜像的命令状态，包含容器名称、镜像名、操作命令等。

docker ps –l： 查看最后一个容器的信息。

镜像就类似于VCenter里的镜像，容器就类似于一个真实的VMware WorkStation，容器就是通过镜像来创建的。

2.3 启动前台镜像

run的作用：它首先检测有没有对应的镜像名，如果没有就自动pull，如果有就利用这个镜像来启动一个容器；

-i：进入镜像；

-t：启动一个tty终端；

/bin/bash:启动docker容器执行/bin/bash这个进程。

输入上图命令就会进入一个运行着/bin/bash进程的docker容器，进入后ps aux一下，发现只有一个/bin/bash进程，如下，

在当前容器里执行exit就退出了/bin/bash进程，同时这个docker容器也就停止了。

重新启动一个已经停止的容器：docker startcontainer-id。

注：每一个docker容器并不是只能运行一个进程，但最好配置为只运行一个进程，不然还不如用虚拟机呢；既然容器只运行一个进程，那当这个进程结束后，docker容器也就停止了。

“—name name1”：指定容器名称为name1；

“-h hostname1”：指定容器主机名为hostname1。

2.4 启动后台镜像

启动一个后台运行的docker容器（这个进程必须支持后台运行）：

如图所示，提示本地没有nginx的docker镜像，所以它先下载nginx镜像然后再运行，然后会在后台启动一个nginx进程，必须把nginx配置为前台模式（daemon off;），不然这个容器启动一下nginx就马上退出了，前文讲过进程结束容器也就退出了。

正在运行的容器是不能直接用rm删除的，会提示加-f强制删除或者根据容器id来删。

正确的做法是先停止容器，docker stop container-id，然后再rm删除。目前（2016-09-22）是没法根据什么状态、什么参数来批量删除容器，只能一个个的停止、删除，但是可以通过下述命令变相做到全部删除，

docker rm `docker ps –a -q`

-a:列出所有容器。

-q:只返回容器ID。

2.5容器管理

2.6 进入后台容器

可以用docker attach container-id来进入一个后台容器，但是可能会进不去，直接卡住，不得不用ctrl+c来退出，但是ctrl+c后也就结束了这个容器了；

网上查着说，进入后台容器后，可以用ctrl+P+Q来退出，但是我试了试退不出来。。。

用nsenter命令来进入后台容器更合适一点，nsenter是linux自带的命令，可以进入一个命名空间的功能，命令如下：

使用nsenter进入容器后，直接用exit命令退出容器。

为了之后的操作方便，可以将上面的两条命令放到脚本里，一执行脚本就进入镜像了。

[[email protected] docker-scripts]# cat/root/docker-scripts/mynginx.sh

#!/bin/bash

CNAME=$1

CPID=$(docker inspect --format"{{.State.Pid}}" $CNAME)

nsenter --target $CPID --mount --uts --ipc--net --pid

查看到mynginx里的nginx的root目录在“root   /usr/share/nginx/html;”。

注：可靠资料说nsenter一般适用于docker1.2或者更早的版本，但是我在最新的版本（1.10）用着挺好，所以我一直用着这个；docker exec命令是在docker 1.3中引入的，推荐使用这个。

3.Docker进入容器和网络访问

指定映射最常用的是第一种，直接指定宿主端口:容器端口；

第二种，假如宿主有多个ip的话，让容器的端口绑定到宿主的固定一个ip的端口上；

第三种，只绑定宿主ip，端口随机取；

第四种，它的意思是一条docker run命令可以同时用多次”-p”参数，指定多个端口映射关系，比如，docker run –d –p 99:80 –p 33:443 –name mynginx33 nginx

启动容器时用-P（大写）参数，表示让容器随机对应一个宿主机的端口，如上，容器的80端口对应宿主的32768端口，容器的443对应宿主的32769端口。

比如我的宿主ip是192.168.0.55，这时候在宿主机的浏览器输入192.168.0.55:32768就可以访问到docker容器里的nginx应用了。

端口随机映射的好处是：端口不会冲突。难点是，生产中还得用脚本或者其他方式获取到这个随机的端口，由于它是变化的，所以脚本必须得适应这种变化性。

用小p来手动指定端口映射，如上所示，将容器的80端口映射到宿主的91端口上，而443没有指定映射关系，所以443不可访问。

4. Docker数据管理

4.1 挂载数据卷

下面开始练习。

4.1.1 将容器目录挂载到宿主的随机目录

dockerrun -it --name volume-test1 -h centos-01 -v /data centos  ；创建一个名字是volume-test1，以centos系统为基础镜像的容器，它的主机名是centos-01，把这个容器的/data目录挂载到宿主机上。

重新开一个SecureCRT session，然后输入docker inspect -f{{.Volumes}} volume-test1，就会看到下面的：

map[/data:/var/lib/docker/volumes/a6d633be7da3ca959a45328f9d95f9b7db7c1f7ff9012a51ed85a0bdb7f98b94/_data]

它相当于是一个字典，把容器的/data映射到宿主的/var/lib/docker/volumes/a6d633be7da3ca959a45328f9d95f9b7db7c1f7ff9012a51ed85a0bdb7f98b94/_data。

在容器的/data目录下新建一个文件，可以在/var/lib/docker/volumes/a6d633be7da3ca959a45328f9d95f9b7db7c1f7ff9012a51ed85a0bdb7f98b94/_data里看到；

同样，在宿主的

/var/lib/docker/volumes/a6d633be7da3ca959a45328f9d95f9b7db7c1f7ff9012a51ed85a0bdb7f98b94/_data里创建一个文件，也能在容器的/data目录下看到。

这个跟VMware的共享目录一模一样，一对儿目录映射关系。

4.1.2 指定容器挂载到宿主的固定目录

dockerrun -it --name volume-test2 -h centos-02 -v /opt/centos-2:/data centos

dockerrun -it --name volume-test2 -h centos-02 -v /opt/centos-2:/data:ro centos ，这里的ro是让容器只读不可写。

上面用-v参数来建立容器和宿主的磁盘映射关系，其实是违背了docker的“一处部署，到处运行”的原则，上面的方法在Dockerfile(后文会讲到)里是不支持的。

但是这样指定磁盘映射也有好处，比如收集docker容器里的进程日志，假如在容器里再开一个logstash就不符合docker运行单进程的原则，变得臃肿，所以在所有docker容器里建一个log目录，然后都统一映射到宿主的/opt/docker-log里，然后在宿主起一个logstash进程，通过/opt/docker-log这个目录就能收集到所有docker进程的日志了。

4.2 数据卷容器

数据卷容器的作用实现了各容器之间的数据共享，容器不论起停都不影响数据共享，如下，

新建的容器volume-test4共享了容器volume-test1的数据卷，所以新创建的volume-test4容器就有/data这个目录，并且这个目录下有刚才创建的文件。

5. 手动构建Docker镜像

构建镜像的话，现以官方的centos docker镜像为基础镜像来创建容器，进入容器后一顿yum或者一顿make，这样镜像就完成了一半了，再提交就行了。

下面实例构建一个nginx的容器。

①  docker pull centos

②  docker run –it –namenginx-man-construct centos

③  在centos容器里，安装编译安装nginx所需的依赖包，

[[email protected] /]# yum -y install wget gcc gcc-c++openssl-devel make

④  进入/usr/local/src，下载pcre，解压pcre（不用安装，一会安装nginx时指定pcre的解压目录即可）

⑤  建立nginx的运行用户，useradd -s /sbin/nologin -M www；

⑥  下载nginx的tar包，wget http://nginx.org/download/nginx-1.10.1.tar.gz，解压进入nginx目录，./configure--prefix=/usr/local/nginx-1.10 --user=www --group=www --with-http_ssl_module--with-http_stub_status_module --with-pcre=/usr/local/src/pcre-8.39 &&make && make install。

⑦  设置nginx开机自启动，将/usr/local/nginx/sbin/nginx加到/etc/rc.local里（这是一个坑，后面会讲到），但是这样加在平常的系统（物理机或虚拟机）里是可以自启动的，但是在容器里不行，前面说过，必须让进程运行在前台，不然容器仅仅执行一个…./nginx的启动命令就以为结束任务了，然后就退出容器了，所以要让nginx在前台运行，修改nginx.conf，在顶部加一条“daemon off;”即可。

⑧  yum clean all。然后退出容器，exit

⑨  提交镜像，

做完上面的步骤就创建并提交完docker镜像了，下面我们执行镜像，

docker run -d -p 92:80zhangshanci/my-nginx:v1 ，执行了这条命令，用docker ps –l查看容器状态是退出的，这是怎么回事呢？不是说设置了开机自启并且daemon off就可以了嘛，其实是把“/usr/local/nginx/sbin/nginx”加到/etc/rc.local后也不会自启动nginx，需要手动启动。我们进入镜像删除/etc/rc.local的“/usr/local/nginx/sbin/nginx”，docker run –it zhangshanci/my-nginx:v1；然后退出镜像，重新commit一次，dockercommit -m ‘create www user‘ 6df7168a3eda zhangshanci/my-nginx:v3，然后docker run–d –p 92:80 zhangshanci/my-nginx:v3 /usr/local/nginx-1.10/sbin/nginx，再docker ps –l就发现容器没有退出。

注1：修改镜像后要重新commit；构建镜像也可以添加自启动命令或者参数，后面的构建Dockerfile会讲到。

6. 由Dockerfile构建 Docker镜像

由Dockerfile自动构建镜像，其实就是把手动构建的命令逐行写入一个“脚本”里，只不过这个脚本有自己的语法。

现把上面手动创建nginx镜像的结果写成dockerfile形式，你会发现超级简单。

这里是创建Dockerfile时会用到的语法，下面进行实际创建。

①  mkdir -p /opt/docker-file/nginx&& cd /opt/docker-file/nginx

②  vim Dockerfile   （开头字母必须大写），内容见下：

# This is my first Dockerfile

# version 1.0

# Author: shanci zhang

#Base images

FROM centos

#MAINTAINER

MAINTAINER zhangci

#ADD使用这个命令拷贝文件或目录（压缩包会自动解压）；必须把文件拷贝到Dockerfile同目录下

ADD pcre-8.39.tar.gz /usr/local/src

ADD nginx-1.10.1.tar.gz /usr/local/src

#RUN

RUN yum install -y wget gcc gcc-c++ makeopenssl-devel

RUN useradd -s /sbin/nologin -M www

#WORKDIR 相当于cd，切换到目录

WORKDIR /usr/local/src/nginx-1.10.1

RUN ./configure--prefix=/usr/local/nginx-1.10 --user=www --group=www --with-http_ssl_module--with-http_stb_module --with-pcre=/usr/local/pcre-8.39http_stb_module--with-pcre=/usr/local/pcre-8.39 && make && make install

RUN echo "daemon off;" >>/usr/local/nginx-1.10/conf/nginx.conf

ENV PATH /usr/local/nginx-1.10/sbin:$PATH

#对外开放80端口

EXPOSE 80

#容器启动时自动执行“nginx”命令

CMD ["nginx"]

③  pcre-8.39.tar.gz和nginx-1.10.1.tar.gz拷贝到与Dockerfile的同级目录下。

④  构建镜像，docker build -t nginx-dockerfile:v1 /opt/docker-file/nginx/ （-t后面跟的是镜像名字，最后的路径是Dockerfile的路径）

⑤  无需commit就能查到这个镜像了。

7.  Docker核心原理-资源隔离和限制

目前通过加参数可以做到cpu和内存的资源限制，但centos6还无法限制磁盘，centos7可以限制磁盘配额。

7.1 压测实验cpu和内存的限制

通过压力测试来实验限制cpu资源；在linux下使用压测工具:stress。

有epel源（epel6可以，epel7好像不行stress）的情况下，yum install -y stress即可完成安装。需要在容器里安装压测工具，目的是压测容器而不是压测宿主机。

我们先写一个Dockerfile来创建一个镜像:

vim /opt/docker-file/stress-container/Dockerfile

FROM centos

ADD epel-6.repo /etc/yum.repos.d/

RUN yum -y install stress && yumclean all

ENTRYPOINT ["stress"]

注：ENTRYPOINT ["stress"]这一行表示启动容器后，容器立刻执行stress命令并接收参数；在有这个参数的情况下，docker run -it --rm stress1 --cpu 4 这条进入容器的命令相当于docker run -it --rm stress1  stress --cpu 4，加上一个ENTRYPOINT就省去了每次启动容器都加这个命令了。

把epel-6.repo下载到/opt/docker-file/stress-container目录下，然后，docker build-t stress /opt/docker-file/stress-container。

docker run –help可以查看dockerrun可以添加的参数，

7.2 cpu限制配额

-c参数：指定该容器占用宿主机cpu的权重，也可以叫配额，默认是有1024个配额，也就是满配额。

比如宿主机只有一个容器，同时该容器的配额是1024，那么启动这个容器时就可以占用宿主机的100%的cpu；宿主机同样只有一个容器，该容器的配额是512（-c 512），那么启动这个容器最多只能占用宿主机的50%的cpu。

比如有两个容器，他俩的cpu配额都是1024，那么启动这两个容器时就会各占50%的cpu。

比如有两个容器，A容器的cpu配额是1024，B容器的cpu配额是512，那么启动这两个容器时A容器占用66%的cpu，B容器占用33%的cpu。

实际测验：

docker run -it --rm stress1 --cpu 1，这样就启动了一个装有stress压测工具的容器。

--rm是说容器结束后自动删除容器，--cpu 1是说占用一个cpu核心来执行stress的压测实验。

运行上面的命令后，在宿主机用top查看cpu情况，发现宿主机的cpu被这个容器占用了25%，因为我的宿主机是4核的。

结束上面的容器，然后docker run -it --rm stress1 --cpu 4，运行这个命令后，发现宿主机出来了四个stress进程，每个都占用25%，一共占用了100%的宿主机cpu。

注1：这里的宿主机是相对于docker来说的宿主机，这个宿主机也可能是物理机或者虚拟机。

注2：安装stress压测工具的目的是让容器把它所能利用的cpu资源跑满，看看能占宿主机的百分之多少；stress这个工具会一直做运算，直到cpu跑满。

也可以通过—cpuset-cpus指定使用哪个cpu来运行容器,docker run –it –cpuset-cpus=0 stress，用第一个cpu来运行容器stress。

7.3 内存限制配额

上面用-c和—cpuset-cpus来指定cpu配额和使用哪个cpu，下面来限制内存使用。

docker run -it -m 128m --rm stress1 --cpu 8 --io 4 --vm 2--vm-bytes 500M --timeout 10s ，“-m 128m”设置stress1这个容器最大可使用宿主机128M内存，压测工具stress指定的500M的内存测试，所以随着压力增大，容器使用宿主机的内存一旦超过了128M就会触发异常并退出。

8. Docker核心原理-网络和Registry

Docker容器默认使用桥接模式。

8.1 桥接模式

目前起着四个容器，对应四个桥接网络，如下图，

启动docker后会创建一个虚拟网桥（用brctl show命令查看），每启动一个容器都会创建一个桥接接口，

宿主机和容器之间通过iptables实现端口的转换、容器上网，如下，

8.2 HOST模式

每个docker容器可以选择不同的网络模式。

host模式是容器不使用network啊、namespace什么的，直接和宿主机使用同一个网络堆栈，

这样的话容器起一个80端口，宿主机就起一个80端口，容器起一个655端口，宿主机就起一个655端口，缺点的话容器与宿主机的ip范围、端口范围等统统一样；优点就是方便，假如容器的端口与宿主机没冲突，那就可以用。

9. 配置私有仓库push 和 pull

9.1 下载并运行仓库

docker pull registry

docker run –d –p 5005:5000 registry。registry的默认运行端口是5000，如果本机5000端口被占用了，可以指定一个别的端口。

9.2 找一个已有镜像打tag

docker tag zhangshanci/my-nginx:v3192.168.0.55:5005/test/nginx:v1 ，

“zhangshanci/my-nginx:v3”是镜像的名称，“192.168.0.55:5005/test/nginx:v1”是要存到仓库里的名称。

9.3 push镜像

高版本的docker在push时要求有ssl数字证书，官网有三种解决办法：

①  购买一个ssl证书，在所有docker容器前端配置一个nginx做反向代理；

②  将下图红圈里的参数加到/etc/sysconfig/docker的启动参数里；

③  自己制作一个证书，不过还是得加参数，不如方法二方便还。

修改/etc/sysconfig/docker文件，添加启动参数：

注：这个参数也必须添加到要pull的机器上。

9.4 改完/etc/sysconfig/docker后重启docker、启动registry

重新push镜像：

这样push上去后，别的机器可以再pull拉下来，但是必须指定仓库的名称，如果不指定仓库名称，默认是从docker hub上pull镜像。

9.5 其他机器上pull刚才的镜像

在192.168.0.30上，这是centos7略有不同。

安装：yum install docker-io（有epel源前提下）

启动：systemctl start docker

9.5.1 修改/etc/sysconfig/docker，添加一个启动参数

9.5.2 pull镜像

这是一个装有nginx的镜像，以它为镜像启动一个容器，

docker run -it -p :80 30ff66a25ec4/usr/local/nginx-1.10/sbin/nginx

这样iptables –t nat –L -n就能看到本地有一个端口与容器的80端口对应，打开浏览器，输入ip:port就可以访问到容器里的nginx了。

结语：看文档本来就是一个不生动、很无聊的事，所以能坚持练习到这里，说明你很厉害哈哈。

志不坚者智不达！！！