docker day04

Dockerfile:
    - FORM:
        1.指定基础镜像，可以起别名，也可以指定多个FROM指令，用于多阶段构建;
        2.加载触发器，加载ONBUILD指令;
        3.不指定基础镜像，声明当前镜像不依赖任何镜像，官方保留字: scratch
        
    - RUN:
        1.在容器中运行命令，同一个Dockerfile中可以有多个RUN指令并不会被覆盖;
        
    - COPY:
        1.将宿主机的相对路径文件拷贝到容器中;
        2.用于多阶段构建，使用--from参数指定源阶段(编号，别名等);
        3.可以指定文件的属主和属组;
        
    - ADD:
        1.用于拷贝相对路径文件到容器中;
        2.如果源文件是tar包，会自动解压该文件;
        
    - CMD:
        1.指定容器启动的默认COMMAND;
        2.还可以和ENTRYPOINT搭配使用，作为ENTRYPOINT的参数传递;
        3.若用户启动容器时，指定的COMMAND则会覆盖CMD的指令;
        4.如果用户没有指定COMMAND且镜像也没有定义CMD则使用基础镜像的CMD指令;
        
    - ENTRYPOINT:
        1.指定容器启动的默认COMMAND
        2.还可以和CMD搭配使用，CMD将作为ENTRYPOINT的参数传递;

    - EXPOSE:
        1.暴露容器端口，多用于随机端口暴露，可以提醒用户该容器里面有哪些端口服务;
        2.端口是可以暴露多个的，比如说ftp:20,21，dns:53/udp,53/tcp，ES:9200,9300
        
    - VOLUME:
        1.对容器的路径做持久化存储，容器启动时，会创建匿名存储卷（随机存储卷）;
        
    - WORKDIR:
        1.指定工作目录，当用户连接容器时默认的所在目录。
        
    - LABEL:
        打标签 
        
    - MAINTAINER:
        声明作者信息。
        
    - ENV:
        传递环境变量。
        
    - USER:
        指定服务的运行用户。
        
    - ONBUILD:
        指定基础镜像触发器。
        
    - HEALTHCHECK:
        健康检查。

Q1: "VOLUME"能否指定一个有名称的存储卷?
    暂时不支持自定义存储卷的名称.
    
    请问若官方支持自定义名称有什么缺陷? 
        这意味基于该镜像启动的容器，都使用同一个自定义名称的存储卷。请问你这样做的目的是啥？
        
Q2: 向容器传递参数有多少种方法，请尽可能多的说?
    1.Dockerfile ---> ENV
    2.COMMAND ---> ARGS
    3.-e,--env 
    4.ENTRYPOINT + CMD
    5.基础镜像---> 父镜像自带的变量
    
Q3:请问容器的内核和宿主机的内核有啥关系？换句话说，将centos环境的镜像迁移到Ubuntu环境的镜像，分别启动容器，看到的内核版本是否相同?
    不同，因为容器使用和宿主机相同的内核。
    
Q4: 虚拟机和容器有啥区别?请简要说明？
    虚拟机:
        1.虚拟的内核，效率低
        2.完全虚拟化，隔离性强
        3.占用资源多
        4.维护起来比较麻烦，启动速度慢，存在开机自启动流程;
        5.移植性差，对操作系统和软件版本依赖较高;
        6.虚拟机的镜像大，GB+
        7.不依赖于内核，可以虚拟任何操作系统;
        
    容器:
        1.使用宿主机的内容，效率高
        2.进程虚拟化，隔离性弱
        3.占用资源小
        4.维护起来简单，启动速度快，不存在开机自启动流程;
        5.移植性强，对操作系统和软件版本依赖较低;
        6.容器较小，KB+
        7.依赖LINUX内核，只能虚拟Linux发行版本的系统;
        
Q5:为什么容器只能虚拟Linux发行版本的系统，容器能否实现资源隔离和资源限制？底层使用了什么技术？
    容器使用到了LINUX的chroot，namespace，cgroup，overlay2;

dockerfile优化:
    编译镜像的速度:
        - ".dockerignore"文件忽略不必要文件;
        - "替换软件源仓库"从而提高下载的速度; 
        - 尽量合并指令，减少编译过程中，中间容器，镜像的产生;
        - 将不经常修改的Dockerfile指令靠前写，这样做的目的是充分利用缓存;
    
    镜像体积大小:
        - 删除缓存
        - 使用多阶段构建，只拷贝有用的软件
        - 卸载无用的软件包，比如编译安装后的编译器，下载的软件包等都可以被卸载哟;
        - 使用较小的基础镜像
            centos: 495MB
            ubuntu: 360MB
            alpine: 190MB

2007年前后，Linux内核支持Cgroup和NameSpace技术，这两种技术在增加对Linux的整体控制的同时，也成为了保持环境隔离的重要框架。

Linux Namespace是Linux系统提供的一种资源隔离机制，可实现系统资源隔离的列表如下:
    IPC:
        用于隔离进程间通信。
    MNT:
        用于隔离文件系统和提供硬盘挂载点。
    NET:
        用于隔离网络。
    PID:
        用于隔离进程ID。
    User:
        用于隔离用户和用户组。
    UTS:
        用于隔离HostName和DomianName。

NET网络名称空间测试案例:
    (1)创建一个名称为"oldboyedu-linux"的网络名称空间
ip netns add oldboyedu-linux
ll /var/run/netns/oldboyedu-linux 
ip netns exec oldboyedu-linux ip a

    (2)启动"oldboyedu-linux"的网络名称空间的网卡
ip netns exec oldboyedu-linux ping 127.0.0.1  # 未启动网卡，无法ping通自己。
ip netns exec oldboyedu-linux ifconfig lo up
ip netns exec oldboyedu-linux ping 127.0.0.1
    
    (3)宿主机创建网络设备对
ip link add veth100 type veth peer name veth200
ip a   # 会多出来2块网卡，即veth100,veth200。

    (4)将"veth200"设备关联到咱们自定义的"oldboyedu-linux"网络名称空间
ip link set veth200 netns oldboyedu-linux
ip a  # 你会发现宿主机的veth200不见啦!

    (5)将"veth200"设备配置IP地址
ip netns exec oldboyedu-linux ip a
ip netns exec oldboyedu-linux ifconfig veth200 172.31.100.200/24 up
ip netns exec oldboyedu-linux ip a

    (6)宿主机veth100也配置IP地址
ifconfig veth100 172.31.100.100/24 up
ifconfig veth100
ping 172.31.100.200

    (7)oldboyedu-linux"的网络名称空间ping宿主机的IP地址
ip netns exec oldboyedu-linux ping 172.31.100.100
ip netns exec oldboyedu-linux ping 10.0.0.102  # 未添加网关，无法跨网段ping通
ip netns exec oldboyedu-linux route add default gw 172.31.100.100  # 配置默认网关
ip netns exec oldboyedu-linux ping 10.0.0.102  # Duang～可以ping通啦!
ip netns exec oldboyedu-linux ping baidu.com  # 无法访问外网，这是正常的！此处建议pingIP地址，域名解析需要DNS。
tcpdump -i veth100 -nn icmp  # 宿主机可以抓取到数据报文。
ip netns exec oldboyedu-linux iptables -vnL -t nat  # 如果想要连接外网，可以尝试手动配置NAT。

    (8)测试完成后，删除名称空间
ll /var/run/netns/   # 可以先查看挂载点文件是否存在
ip netns del oldboyedu-linux  # 删除名称空间
ll /var/run/netns/
ip link del veth100    # 删除宿主机的虚拟网卡

Linux CGroup全称Linux Control Group， 是Linux内核的一个功能，用来限制，控制与分离一个进程组群的资源（如CPU、内存、磁盘输入输出等）。

这个项目最早是由Google的工程师在2006年发起（主要是Paul Menage和Rohit Seth），最早的名称为进程容器（process containers）。

在2007年时，因为在Linux内核中，容器（container）这个名词太过广泛，为避免混乱，被重命名为cgroup，并且被合并到2.6.24版的内核中去。然后，其它开始了他的发展。

如上图所示，在Linux系统中能够控制的资源列表如下:
    cpu:
        主要限制进程的cpu使用率。
    cpuacct:
        可以统计cgroups中的进程的cpu使用报告。
    cpuset:
        可以为cgroups中的进程分配单独的cpu节点或者内存节点。
    memory:
        可以限制进程的memory使用量。
    blkio:
        可以限制进程的块设备io。
    devices:
        可以控制进程能够访问某些设备。
    net_cls:
        可以标记cgroups中进程的网络数据包，然后可以使用tc模块（traffic control）对数据包进行控制。
    net_prio:
        这个子系统用来设计网络流量的优先级
    freezer:
        可以挂起或者恢复cgroups中的进程。
    ns:
        可以使不同cgroups下面的进程使用不同的namespace
    hugetlb:
        这个子系统主要针对于HugeTLB系统进行限制，这是一个大页文件系统。
        

CPU资源限制案例:
    (1)如上图所示，可以查看Cgroup类型
mount -t cgroup

    (2)进入到CPU的挂载路径，并创建自定义的资源限制组。
cd /sys/fs/cgroup/cpu && mkdir oldboyedu-linux && ls oldboyedu-linux 

    (3)使用stress压力测试
yum -y install epel-release
yum -y install stress
stress -c 4 -v -t 20m  # 压力测试20分钟，启动4个worker进程的CPU压测。如下图所示，4个cpu瞬间打满100%。

    (4)限制CPU的使用率在30%
cd /sys/fs/cgroup/cpu/oldboyedu-linux && echo 30000 > cpu.cfs_quota_us

    (5)将任务的ID加入自定义限制组。
# ps -ef | grep stress | grep -v grep
root      9862  4432  0 11:57 pts/1    00:00:00 stress -c 4 -v -t 10m
root      9863  9862 99 11:57 pts/1    00:06:29 stress -c 4 -v -t 10m
root      9864  9862 99 11:57 pts/1    00:06:29 stress -c 4 -v -t 10m
root      9865  9862 99 11:57 pts/1    00:06:29 stress -c 4 -v -t 10m
root      9866  9862 99 11:57 pts/1    00:06:29 stress -c 4 -v -t 10m

# cd /sys/fs/cgroup/cpu/oldboyedu-linux  # 进入到咱们自定义的限制组，分别加入限制的进程ID
echo 9862 >> tasks    # 建议加入后，立刻查看top的信息，最好执行一个看一个效果。
echo 9863 >> tasks   
echo 9864 >> tasks   
echo 9865 >> tasks   
echo 9866 >> tasks   

bridge:
    默认类型，桥接到宿主机docker0的网络，有点类似于VM虚拟机的NAT网络模型。
    案例:
        docker run --rm -it --network bridge --name oldboyedu-linux alpine
         
host:
    host类型，共享宿主机的网络空间，网络性能是最高的。
    案例:
        docker run --rm -it --network host --name oldboyedu-linux alpine

none:
    只有本地回环网卡，没有其他网络，即该容器不能上网。
    案例:
        docker run --rm -it --network none --name oldboyedu-linux alpine
        
container:
    共享其他容器的网络，这个网络在K8S中Pod是频繁使用的。
    案例:
        docker run --rm -it --network container:web01 --name oldboyedu-linux alpine

custom network:
    自定义网络，我们可以使用"docker network create"创建自定义网络。
    

docker network ls
    列出当前主机的网络列表。
    
docker network create -d bridge --subnet 192.168.100.0/24 --gateway 192.168.100.254 --ip-range 192.168.100.100/28 oldboyedu-linux
    创建自定义网络，常用的选项如下:
        -d 
            指定网络驱动，默认是bridge，也支持"ipvlan","macvlan","overlay"。
        --subnet 
            指定子网地址。
        --gateway
            指定网关地址。
        --ip-range
            指定容器的分配到子网地址。

docker network inspect oldboyedu-linux
    查看网络的详细信息，当然也支持Go模板语法，如下所示:
        docker network inspect -f '{{range .IPAM.Config}}{{.Gateway}}{{end}}' oldboyedu-linux
        docker network inspect -f '{{range .IPAM.Config}}{{.Subnet}}{{end}}' oldboyedu-linux
        docker network inspect -f '{{range .IPAM.Config}}{{.IPRange}}{{end}}' oldboyedu-linux    
    
docker network rm oldboyedu-linux
    删除指定的网络。
    
docker network connect bridge web
    将brige网络连接到web容器中。
    
docker network disconnect bridge web    
    将brige网络连接从web容器中断开。
    
docker network prune -f
    移除所有未使用的网络。

docker container run -id  --network oldboyedu-linux --name web alpine
    启动容器时使用咱们自定义的网络。
    
    
    
    
(1)创建网络名称空间
docker network create --subnet 172.20.0.0/16 --ip-range 172.20.240.0/20 zabbix-net

(2)启动mysql服务
docker run --name mysql-server -t \
             -e MYSQL_DATABASE="zabbix" \
             -e MYSQL_USER="zabbix" \
             -e MYSQL_PASSWORD="zabbix_pwd" \
             -e MYSQL_ROOT_PASSWORD="root_pwd" \
             --network=zabbix-net \
             --restart unless-stopped \
             -d mysql:8.0 \
             --character-set-server=utf8 --collation-server=utf8_bin \
             --default-authentication-plugin=mysql_native_password
             
             
(3)启动java gateway服务
docker run --name zabbix-java-gateway -t \
             --network=zabbix-net \
             --restart unless-stopped \
             -d zabbix/zabbix-java-gateway:alpine-5.4-latest
             
             
(4)启动zabbix server服务
docker run --name zabbix-server-mysql -t \
      -e DB_SERVER_HOST="mysql-server" \
      -e MYSQL_DATABASE="zabbix" \
      -e MYSQL_USER="zabbix" \
      -e MYSQL_PASSWORD="zabbix_pwd" \
      -e MYSQL_ROOT_PASSWORD="root_pwd" \
      -e ZBX_JAVAGATEWAY="zabbix-java-gateway" \
      --network=zabbix-net \
      -p 10051:10051 \
      --restart unless-stopped \
      -d zabbix/zabbix-server-mysql:alpine-5.4-latest
      
      
(5)启动zabbix web服务
docker run --name zabbix-web-nginx-mysql -t \
             -e ZBX_SERVER_HOST="zabbix-server-mysql" \
             -e DB_SERVER_HOST="mysql-server" \
             -e MYSQL_DATABASE="zabbix" \
             -e MYSQL_USER="zabbix" \
             -e MYSQL_PASSWORD="zabbix_pwd" \
             -e MYSQL_ROOT_PASSWORD="root_pwd" \
             --network=zabbix-net \
             -p 80:8080 \
             --restart unless-stopped \
             -d zabbix/zabbix-web-nginx-mysql:alpine-5.4-latest
             
             
温馨提示:
    zabbix默认的用户名为'Admin'，密码为'zabbix'。    
    
    
参考链接:
    https://www.zabbix.com/documentation/5.4/en/manual/installation/containers
    
    
    
    
    

# 1.创建网络
docker network create --subnet 172.20.0.0/16 --ip-range 172.20.240.0/20 zabbix-net

# 2.启动MySQL数据库
docker run --name mysql-server -t \
      -e MYSQL_DATABASE="zabbix" \
      -e MYSQL_USER="zabbix" \
      -e MYSQL_PASSWORD="zabbix_pwd" \
      -e MYSQL_ROOT_PASSWORD="root_pwd" \
      --network=zabbix-net \
      --restart unless-stopped \
      -d mysql:8.0 \
      --character-set-server=utf8 --collation-server=utf8_bin \
      --default-authentication-plugin=mysql_native_password
      
# 3.启动Java-gateway
docker run --name zabbix-java-gateway -t \
      --network=zabbix-net \
      --restart unless-stopped \
      -d zabbix/zabbix-java-gateway:alpine-6.2-latest
      
# 4.启动zabbix-server
docker run --name zabbix-server-mysql -t \
      -e DB_SERVER_HOST="mysql-server" \
      -e MYSQL_DATABASE="zabbix" \
      -e MYSQL_USER="zabbix" \
      -e MYSQL_PASSWORD="zabbix_pwd" \
      -e MYSQL_ROOT_PASSWORD="root_pwd" \
      -e ZBX_JAVAGATEWAY="zabbix-java-gateway" \
      --network=zabbix-net \
      -p 10051:10051 \
      --restart unless-stopped \
      -d zabbix/zabbix-server-mysql:alpine-6.2-latest
      
# 5.启动zabbix-web
docker run --name zabbix-web-nginx-mysql -t \
      -e ZBX_SERVER_HOST="zabbix-server-mysql" \
      -e DB_SERVER_HOST="mysql-server" \
      -e MYSQL_DATABASE="zabbix" \
      -e MYSQL_USER="zabbix" \
      -e MYSQL_PASSWORD="zabbix_pwd" \
      -e MYSQL_ROOT_PASSWORD="root_pwd" \
      --network=zabbix-net \
      -p 80:8080 \
      --restart unless-stopped \
      -d zabbix/zabbix-web-nginx-mysql:alpine-6.2-latest