Docker

初始Docker

微服务虽然具备各种各样的优势，但服务的拆分通用给部署带来了很大的麻烦。一些大型项目组件较多，运行环境也较为复杂，部署时会碰到一些问题：

• 依赖关系复杂，容易出现兼容性问题

• 开发、测试、生产环境有差异

所以在以前开发部署时的效率非常的低。

---

Docker是一个快速交付应用、运行应用的技术，具备下列优势：

• 可以将程序及其依赖、运行环境一起打包为一个镜像，可以迁移到任意Linux操作系统
• 运行时利用沙箱机制形成隔离容器，各个应用互不干扰
• 启动、移除都可以通过一行命令完成，方便快捷

那么Docker是如何解决依赖兼容问题的呢？

1. Docker会将应用的Libs(函数库)、Deps(依赖)、配置与应用一起打包，形成可移植的镜像。
2. 并且会将每个应用放到一个隔离的容器(沙箱机制)去运行，避免相互干扰。

但是不同环境的操作系统也会不同，Docker又是如何解决的呢？

想要得到这个问题的答案，就得先了解一下操作系统的结构(这里以Ubuntu为例)。

结构包括：

• 计算机硬件：例如CPU、内存、磁盘等
• 系统内核：所有Linux发行版的内核都是Linux，例如CentOS、Ubuntu、Fedora等。内核可以与计算机硬件交互，对外提供内核指令，用于操作计算机硬件。
• 系统应用：操作系统本身提供的应用、函数库。这些函数库是对内核指令的封装，使用更加方便。

计算机交互的流程：内核与硬件交互，提供操作硬件的指令。系统应用封装内核指令为函数，用于程序员调用。用户程序基于系统函数库实现功能。

CentOS与Ubuntu都是基于Linux内核，无非是系统应用不同，提供的函数库有差异：

此时，如果将一个Ubuntu版本的MySQL应用安装到CentOS系统，MySQL在调用Ubuntu函数库时，会发现找不到或者不匹配，就会报错了：

而Docker将用户程序与所需要调用的系统(比如Ubuntu)函数库一起打包，当Docker运行到不同操作系统时，直接基于打包的函数库，借助于操作系统的Linux内核来运行。

Docker与虚拟机的区别

Docker可以让一个应用在任何操作系统中非常方便的运行。而以前我们接触的虚拟机，也能在一个操作系统中，运行另外一个操作系统，保护系统中的任何应用。

两者有什么差异呢？

虚拟机（virtual machine）是在操作系统中模拟硬件设备，然后运行另一个操作系统，比如在 Windows 系统里面运行 Ubuntu 系统，这样就可以运行任意的Ubuntu应用了。

Docker仅仅是封装函数库，并没有模拟完整的操作系统，如图：

二者的差异：

• Docker是一个系统进程；虚拟机是在操作系统中的操作系统

• Docker体积小、启动速度快、性能好；虚拟机体积大、启动速度慢、性能一般

对比来看：

Docker架构

镜像与容器

镜像（Image）：Docker将应用程序及其所需的依赖、函数库、环境、配置等文件打包在一起，称为镜像。

容器（Container）：镜像中的应用程序运行后形成的进程就是容器，只是Docker会给容器进程做隔离，对外不可见。

一切应用最终都是代码组成，都是硬盘中的一个个的字节形成的文件。只有运行时，才会加载到内存，形成进程。

镜像把一个应用在硬盘上的文件、及其运行环境、部分系统函数库文件一起打包形成的文件包。这个文件包是只读的。

容器将这些文件中编写的程序、函数加载到内存中允许，形成进程，只不过要隔离起来。因此一个镜像可以启动多次，形成多个容器进程。

DockerHub

开源应用程序非常多，打包这些应用往往是重复的劳动。为了避免这些重复劳动，人们就会将自己打包的应用镜像，例如Redis、MySQL镜像放到网络上，共享使用，就像GitHub的代码共享一样。

• DockerHub：DockerHub是一个官方的Docker镜像的托管平台。这样的平台称为Docker Registry。

• 国内也有类似于DockerHub 的公开服务，比如 网易云镜像服务、阿里云镜像库等。

可以将自己的镜像共享到DockerHub，也可以从DockerHub拉取镜像：

Docker架构

要使用Docker来操作镜像、容器，就必须要安装Docker。

Docker是一个CS架构的程序，由两部分组成：

• 服务端(server)：Docker守护进程，负责处理Docker指令，管理镜像、容器等

• 客户端(client)：通过命令或RestAPI向Docker服务端发送指令。可以在本地或远程向服务端发送指令。

安装Docker

Docker 分为 CE 和 EE 两大版本。CE 即社区版（免费，支持周期 7 个月），EE 即企业版，强调安全，付费使用，支持周期 24 个月。

Docker CE 分为 stable test 和 nightly 三个更新频道。

官方网站上有各种环境下的 安装指南，这里主要是 Docker CE 在 CentOS上的安装。

Docker CE 支持 64 位版本 CentOS 7，并且要求内核版本不低于 3.10， CentOS 7 满足最低内核的要求，所以我们在CentOS 7安装Docker。

卸载(可选)

如果之前安装过旧版本的Docker，可以使用下面命令卸载，没有则直接跳过此步

yum remove docker \
                  docker-client \
                  docker-client-latest \
                  docker-common \
                  docker-latest \
                  docker-latest-logrotate \
                  docker-logrotate \
                  docker-selinux \
                  docker-engine-selinux \
                  docker-engine \
                  docker-ce
1
2
3
4
5
6
7
8
9
10
11

安装Docker

此步需要虚拟机联网，并下载好yum工具

yum install -y yum-utils \
           device-mapper-persistent-data \
           lvm2 --skip-broken
1
2
3

更新本地镜像源

# 设置docker镜像源
yum-config-manager \
    --add-repo \
    https://mirrors.aliyun.com/docker-ce/linux/centos/docker-ce.repo
    
sed -i 's/download.docker.com/mirrors.aliyun.com\/docker-ce/g' /etc/yum.repos.d/docker-ce.repo

yum makecache fast
1
2
3
4
5
6
7
8

输入命令

yum install -y docker-ce
1

稍等一会，Docker将安装成功。

启动Docker

Docker应用需要用到各种端口，逐一去修改防火墙设置。会非常麻烦，因此这里直接关闭防火墙！

# 关闭
systemctl stop firewalld
# 禁止开机启动防火墙
systemctl disable firewalld
1
2
3
4

命令启动Docker

systemctl start docker  # 启动docker服务

systemctl stop docker  # 停止docker服务

systemctl restart docker  # 重启docker服务
1
2
3
4
5

输入命令，查看Docker版本

docker -v
1

如果显示版本，则证明Docker安装成功

或者使用下面命令查看Docker的状态

systemctl status docker
1

如果active为running，则Docker启动成功。

配置镜像加速

docker官方镜像仓库网速较差，需要设置国内镜像服务：

# 第一步：创建docker文件夹
sudo mkdir -p /etc/docker

# 第二步：创建daemon.json文件，并将内容写入
sudo tee /etc/docker/daemon.json <<-'EOF'
{2
  "registry-mirrors": ["https://5i3atdnf.mirror.aliyuncs.com"]
}
EOF

# 第三步：重新加载配置文件
sudo systemctl daemon-reload

# 第四步：重启Docker
sudo systemctl restart docker
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15

这里参考阿里云的镜像加速文档：https://cr.console.aliyun.com/cn-hangzhou/instances/mirrors

---

Docker基本操作

首先了解一下镜像名称组成：

• 镜名称一般分两部分组成：[repository]:[tag]。
• 在没有指定tag时，默认是latest，代表最新版本的镜像

镜像命令

常见的镜像操作命令如图：

当然，一个优秀的程序员并不在于他能够记住多少命令，而是学会在需要某种命令时去主动查看官方提供的帮助文档。例如，在Linux控制台中输入docker --help就能够查看到Docker中所有的命令。或者输入docker xxx --help就能够获取xxx命令的作用及其参数列表。

基本命令：

# 保存镜像
docker save -o [保存的目标文件名称] [镜像名称]

# 删除镜像
docker rmi [镜像名称]

# 加载镜像
docker load -i [保存的目标文件名称]
1
2
3
4
5
6
7
8

查看、拉取镜像

提供一下DockerHub的网址：https://hub.docker.com/

去镜像仓库搜索nginx镜像

查看到命令：docker pull nginx

将其输入在Linux控制台中

通过docker images 查看拉取到的镜像

容器操作

容器相关命令

其中，还有docker rm 删除指定容器，该命令是直接将该容器的所有文件彻底清除。

容器保护三个状态：

• 运行：进程正常运行
• 暂停：进程暂停，CPU不再运行，并不释放内存
• 停止：进程终止，回收进程占用的内存、CPU等资源

常用命令

创建并运行容器的命令

# 命令格式
docker run --name containerName -p 80:80 -d [镜像名称]
1
2

命令解读：

• docker run ：创建并运行一个容器
• –name : 给容器起一个名字，比如叫做mn
• -p ：将宿主机端口与容器端口映射，冒号左侧是宿主机端口，右侧是容器端口
• -d：后台运行容器

这里的-p参数，是将容器端口映射到宿主机端口。

默认情况下，容器是隔离环境，如果直接访问宿主机的80端口，肯定访问不到容器中的镜像文件。

现在，将容器的80与宿主机的80关联起来，当访问宿主机的80端口时，就会被映射到容器的80，这样就能访问到镜像文件了。

查看容器状态

docker ps
1

查看容器日志命令

docker logs [-f] containerName
1

添加-f参数可以持续查看日志。containerName为创建容器是取的容器名。

进入容器

docker exec -it containerName bash
1

命令解读：

• docker exec ：进入容器内部，执行一个命令

• -it : 给当前进入的容器创建一个标准输入、输出终端，允许我们与容器交互

• containerName：要进入的容器的名称

• bash：进入容器后执行的命令，bash是一个linux终端交互命令

容器内部会模拟一个独立的Linux文件系统，看起来如同一个Linux服务器一样。但是容器是阉割版的Linux，为了节省空间，只安装了一些所需要的配置。

退出容器

exit
1

数据卷(容器数据管理)

当需要修改容器中的文件时，需要进入容器内部。并且因为没有编辑器，修改文件也很麻烦。

这就是因为容器与数据（容器内文件）耦合带来的后果。

要解决这个问题，必须将数据与容器解耦，这就要用到数据卷了。

含义

**数据卷（volume）**是一个虚拟目录，指向宿主机文件系统中的某个目录。

一旦完成数据卷挂载，对容器的一切操作都会作用在数据卷对应的宿主机目录了。

这样，当操作宿主机的/var/lib/docker/volumes/html目录，就等于操作容器内的/usr/share/nginx/html目录了。

操作命令

数据卷操作的基本语法如下：

docker volume [COMMAND]
1

docker volume命令是数据卷操作，根据命令后跟随的command来确定下一步的操作：

• **create **创建一个volume
• **inspect **显示一个或多个volume的信息
• **ls **列出所有的volume
• **prune **删除未使用的volume
• **rm **删除一个或多个指定的volume

挂载数据卷

在创建容器时，可以通过 -v 参数来挂载一个数据卷到某个容器内目录，命令格式如下：

docker run \
  --name mn \
  -v html:/root/html \
  -p 8080:80
  -d containerName \
1
2
3
4
5

这里的-v就是挂载数据卷的命令：

-v html:/root/htm ：把html数据卷挂载到容器内的/root/html这个目录中

docker run的命令中通过 -v 参数挂载文件或目录到容器中：

• -v volume名称:容器内目录
• -v 宿主机文件:容器内文件
• -v 宿主机目录:容器内目录

数据卷挂载与目录直接挂载的

• 数据卷挂载耦合度低，由docker来管理目录，但是目录较深，不好找。
• 目录挂载耦合度高，需要我们自己管理目录，不过目录容易寻找查看。

---

DockerFile自定义镜像

镜像结构

镜像是将应用程序及其需要的系统函数库、环境、配置、依赖打包而成。

镜像是分层结构，每一层称为一个Layer

• BaseImage层：包含基本的系统函数库、环境变量、文件系统

• Entrypoint：入口，是镜像中应用启动的命令

• 其它：在BaseImage基础上添加依赖、安装程序、完成整个应用的安装和配置

以MySQL为例，查看镜像的组成结构：

简单来说，镜像就是在系统函数库、运行环境基础上，添加应用程序文件、配置文件、依赖文件等组合，然后编写好启动脚本打包在一起形成的文件。

语法

构建自定义的镜像时，并不需要一个个文件去拷贝，打包。

只需要告诉Docker镜像的组成，需要哪些BaseImage、需要拷贝什么文件、需要安装什么依赖、启动脚本是什么，将来Docker会帮助构建镜像。

描述上述信息的文件就是Dockerfile文件。

Dockerfile就是一个文本文件，其中包含一个个的指令(Instruction)，用指令来说明要执行什么操作来构建镜像。每一个指令都会形成一层Layer。

可以查询官网文档获取更多语法详情： https://docs.docker.com/engine/reference/builder

案例：基于Ubuntu构建Java项目

# 指定基础镜像
FROM ubuntu:16.04
# 配置环境变量，JDK的安装目录
ENV JAVA_DIR=/usr/local

# 拷贝jdk和java项目的包
COPY ./jdk8.tar.gz $JAVA_DIR/
COPY ./docker-demo.jar /tmp/app.jar

# 安装JDK
RUN cd $JAVA_DIR \
 && tar -xf ./jdk8.tar.gz \
 && mv ./jdk1.8.0_144 ./java8

# 配置环境变量
ENV JAVA_HOME=$JAVA_DIR/java8
ENV PATH=$PATH:$JAVA_HOME/bin

# 暴露端口
EXPOSE 8080
# 入口，java项目的启动命令
ENTRYPOINT java -jar /tmp/app.jar
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22

将准备好的Java项目与jdk，以及Dockerfile文件放在Linux虚拟机的同一个目录下，然后执行命令

docker build -t javaweb:1.0 .
1

这里的‘.’指的是从当前目录构建。构建完成之后使用docker run命令创建并运行容器。

虽然可以基于Ubuntu基础镜像，添加任意自己需要的安装包，构建镜像，但是却比较麻烦。所以大多数情况下，我们都可以在一些安装了部分软件的基础镜像上做改造。

例如，构建java项目的镜像，可以在已经准备了JDK的基础镜像基础上构建(如：java:8-alpine镜像)。

此时编写的Dockerfile文件只需如下代码即可

FROM java:8-alpine
COPY ./app.jar /tmp/app.jar
EXPOSE 8090
ENTRYPOINT java -jar /tmp/app.jar
1
2
3
4

无需自己安装jdk和配置环境变量，只需要将Java程序与端口配置上即可。

总结：

1. Dockerfile的本质是一个文件，通过指令描述镜像的构建过程

2. Dockerfile的第一行必须是FROM，从一个基础镜像来构建

3. 基础镜像可以是基本操作系统，如Ubuntu。也可以是其他人制作好的镜像，例如：java:8-alpine

---

DockerCompose

Docker Compose可以基于Compose文件帮我们快速的部署分布式应用，而无需手动一个个创建和运行容器。

Compose文件是一个文本文件，通过指令定义集群中的每个容器如何运行。格式如下：

version: "3.8"
 services:
  mysql:
    image: mysql:5.7.25
    environment:
     MYSQL_ROOT_PASSWORD: 123 
    volumes:
     - "/tmp/mysql/data:/var/lib/mysql"
     - "/tmp/mysql/conf/hmy.cnf:/etc/mysql/conf.d/hmy.cnf"
  web:
    build: .
    ports:
     - "8080:8080"

1
2
3
4
5
6
7
8
9
10
11
12
13
14

上面的Compose文件就描述一个项目，其中包含两个容器：

• mysql：一个基于mysql:5.7.25镜像构建的容器，并且挂载了两个目录
• web：一个基于docker build临时构建的镜像容器，映射端口时8080

DockerCompose的详细语法参考官网：https://docs.docker.com/compose/compose-file/

其实DockerCompose文件可以看做是将多个docker run命令写到一个文件，只是语法稍有差异。

安装DockerCompose

Linux下需要通过命令下载：

# 安装
curl -L https://github.com/docker/compose/releases/download/1.23.1/docker-compose-`uname -s`-`uname -m` > /usr/local/bin/docker-compose
1
2

修改文件权限：

# 修改权限
chmod +x /usr/local/bin/docker-compose
1
2

Base自动补全命令

# 修改自己的hosts文件
echo "199.232.68.133 raw.githubusercontent.com" >> /etc/hosts

# 补全命令
curl -L https://raw.githubusercontent.com/docker/compose/1.29.1/contrib/completion/bash/docker-compose > /etc/bash_completion.d/docker-compose
1
2
3
4
5

到此，DockerCompose安装成功。

部署微服务集群

将打包好的微服务项目和DockerFile文件放入一个部署目录中，将其上传至Linux虚拟机中，并进入到DockerFile文件的目录中，执行下面的命令

docker-compose up -d
1

其中需要注意的是，如果使用了Nacos，会出现一个小问题，就是先部署其他项目，最后部署的Nacos，这会导致其他项目的配置文件报错，无法正常启动，此时只需要使用docker-compose restart [项目名]重启一下其他项目即可。

镜像仓库

搭建镜像仓库可以基于Docker官方提供的DockerRegistry来实现。

官网地址：https://hub.docker.com/_/registry

简化版镜像仓库

Docker官方的Docker Registry是一个基础版本的Docker镜像仓库，具备仓库管理的完整功能，但是没有图形化界面。

搭建方式比较简单，命令如下：

docker run -d \
    --restart=always \
    --name registry	\
    -p 5000:5000 \
    -v registry-data:/var/lib/registry \
    registry
1
2
3
4
5
6

命令中挂载了一个数据卷registry-data到容器内的/var/lib/registry 目录，这是私有镜像库存放数据的目录。

访问http://YourIp:5000/v2/_catalog 可以查看当前私有镜像服务中包含的镜像

带有图形化界面版本

docker信任地址

私服采用的是http协议，默认不被Docker信任，所以首先需要做一个配置：

# 打开要修改的文件
vi /etc/docker/daemon.json
# 添加内容：(修改为虚拟机的ip地址)
"insecure-registries":["http://192.168.xxx.xxx:8080"]
# 重加载
systemctl daemon-reload
# 重启docker
systemctl restart docker
1
2
3
4
5
6
7
8

使用DockerCompose部署带有图象界面的DockerRegistry，命令如下：

version: '3.0'
services:
  registry:
    image: registry
    volumes:
      - ./registry-data:/var/lib/registry
  ui:
    image: joxit/docker-registry-ui:static
    ports:
      - 8080:80
    environment:
      - REGISTRY_TITLE=私有仓库
      - REGISTRY_URL=http://registry:5000
    depends_on:
      - registry
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15

推送、拉取镜像

推送镜像到私有镜像服务必须先tag，步骤如下：

① 重新tag本地镜像，名称前缀为私有仓库的地址：192.168.xxx.xxx:8080/

docker tag nginx:latest 192.168.xxx.xxx:8080/nginx:1.0 
1

② 推送镜像

docker push 192.168.xxx.xxx:8080/nginx:1.0
1

③ 拉取镜像

docker pull 192.168.xxx.xxx:8080/nginx:1.0 
1