docker_0">docker通用技术介绍
docker_2">1.docker介绍
1.1 基本概念
docker是一个开源的容器化平台,用于快速构建、打包、部署和运行应用程序。它通过容器化技术将应用及其依赖环境(如代码、库、系统工具等)打包成一个标准化、轻量级的独立单元,实现跨环境的一致性运行。
docker与容器:容器是一种轻量级虚拟化技术,docker是创建和管理容器的工具。
docker_10">1.2 docker的优势
1.环境一致性:开发、测试、生产环境使用相同镜像,避免“在我机器上能跑”的问题。
2.快速部署:秒级启动,支持自动化扩缩容(结合K8S)。
3.资源高效:无需模拟完整操作系统,节省计算资源。
4.隔离性:应用运行在独立沙箱,避免依赖冲突。
docker_20">1.3 docker与虚拟机对比
| docker | 虚拟机 | |
|---|---|---|
| 虚拟化层级 | 操作系统级(共享主机内核) | 硬件级(通过Hypervisor辅助) |
| 启动速度 | 秒级 | 分钟级 |
| 资源占用 | 低(MB级内存) | 高(GB级内存) |
| 隔离性 | 进程级隔离(通过namespace和cgroups) | 硬件级隔离(完全独立的操作系统) |
| 安全性 | 共享内核,存在潜在攻击面 | 完全隔离,虚拟机漏洞不影响宿主机 |
| 镜像大小 | 镜像分层复用,MB级 | 包含完整OS,GB级 |
| 应用场景 | 云原生和微服务、快速部署 | 强隔离需求(如安全敏感应用) |
2.安装配置
yum install docker-ce
systemctl enable docker;systemctl start docker#配置docker源
echo "x.x.x.x socp.io" >>/etc/hostscat >>/etc/docker/daemon.json<<EOF
{"live-restore": true,"insecure-registries":["socp.io"], #镜像仓库#"graph": "/mnt/data01/docker", #存储路径"log-driver": "json-file", #默认日志驱动"log-opts": {"max-size": "150m","max-file": "10"}
}
EOFsystemctl restart docker
3.镜像管理
docker镜像是一个分层存储的文件系统,每一层都是只读的,并且可以被多个镜像共享。
docker images
docker pull <image>
docker pull socp.io/grafana/grafana:8.3.11
docker push <image>
docker rmi <image>
1.overlay(或overlay2)是docker默认的联合文件系统(unionFS)驱动,用于管理容器和镜像的分层存储。
它通过将多个只读层(镜像层)和一个可写层(容器层)合并,为容器提供统一的文件系统视图。当启动容器时,docker会基于镜像的只读层创建一个可写层(overlay挂载点),容器内的所有文件修改都发生在这一层。
作用:分层存储、写时复制(copy-on-write)
2.shm(共享内存)
shm是linux的共享内存(shared memory)文件系统(类型为tmpfs),基于内存的临时存储。docker默认挂载一个64MB的/dev/shm共享内存分区,用于进程间通信或某些依赖共享内存的应用。
4.容器管理
docker run -d \
-p 3000:3000 \
--restart=unless-stopped \
socp.io/grafana/grafana:8.3.11docker stop <id>
docker exec -it <id> <cmd>
docker rm <id>
docker_92">5.docker网络
docker提供了多种网络驱动模式,支持灵活的网络配置,满足不同场景的需求。每个容器拥有独立的网络命名空间,隔离网络栈(IP、端口、路由表等)。
实际应用中需结合安全策略(如网络隔离、最小权限)和性能需求(如驱动选择)进行配置。
docker network ls
docker network inspect <id>
5.1 bridge网络(默认)
默认创建一个名为docker0的虚拟网桥,容器通过veth对连接到网桥。容器分配私有IP(172.17.0.0/16),宿主机通过NAT与外部通信。
适用于单机环境下容器间通信,或需要对外暴露服务的应用(如web服务器)。
5.2 host网络
容器直接共享宿主机的网络命名空间,使用宿主机IP和端口。无NAT或虚拟网桥,性能接近原生。
适用于需要极致网络性能的应用。
5.3 overlay网络
用于跨主机的容器通信。基于vxlan等隧道技术,封装容器流量并通过物理网络传输。
常用于微服务集群、K8S等容器编排平台。
5.4 none网络
容器不配置任何网络接口,仅保留lo回环地址。
完全隔离,适用于极端安全场景或自定义网络配置。
docker_127">6.docker数据管理
数据卷(volume)是实现持久化存储的主要方式,它允许容器与宿主机之间共享数据,并确保数据在容器删除后依然保留。默认存储在/var/lib/docker/volumes/
docker volume create <name> #创建数据卷
docker volume ls #列出数据卷
docker volume inspect <name> #查看数据卷信息
docker volume rm <name> #删除数据卷docker volume create grafana-data
docker run -d \
-p 3001:3000 \
--restart=unless-stopped \
-v grafana-data:/var/lib/grafana/ \
socp.io/grafana/grafana:8.3.11
除了数据卷,还可以直接将宿主机的目录挂载到容器(绑定挂载),路径由用户指定
mkdir -p /test/grafana/data
chmod -R 777 /test/grafana/data-v /test/grafana/data:/var/lib/grafana/
7.日志与监控
docker logs <id> -f --tail 50 #查看日志
docker stats #实时资源监控
docker top <id> #查看进程树
docker inspect <id> #查看容器信息docker cp container:/path/in/container /path/on/host #在容器和宿主机之间复制文件docker日志路径:/var/lib/docker/containers/
内部文件路径:/var/lib/docker/overlay2/
启动命令:Entrypointdocker system df -v #查看docker磁盘使用情况
docker system prune #清理未使用的资源
docker system info #查看docker系统信息
docker system events #监控事件日志
常见问题
1.区分容器进程or宿主机进程
#检查父进程链
pstree -aps <pid>#docker进程会在cgroup中标记容器ID或docker相关路径:
cat /proc/<pid>/cgroup培训题目
1.如何查看docker配置文件?
4.给出一个进程号,如何判断该进程是否为容器内部进程?
5.如何清理未使用的docker资源?
6.请安装docker,并配置镜像仓库地址为socp.io,容器日志驱动为json-file,轮转日志文件单个最大10MB,保留5个副本。
7.启动一个名为grafana的容器,要求:后台运行,映射宿主机3000端口到容器3000端口;挂载宿主机目录/test/grafana/data到容器/var/lib/grafana/持久化存储;设置容器为自启。容器正常启动后,导出日志到/root目录下。
