一 docker 简介：

1 介绍：

docker是开源项目，诞生于2013年。主要利用Linux内核namespace 实现沙盒隔离，用cgroup实现资源限制

docker项目的目标是实现轻量级的操作系统虚拟化解决方案，docker的基础是Linux容器（LXC）等技术。在LXC的基础上docker进行了进一步的封装，让用户不去关系容器的管理，使得操作更为方便，用户操作docker的容器就像操作一个快速的虚拟机一样简单。容器是在操作系统层面上实现虚拟化，直接复用本地主机的操作系统，而传统的方式则是在硬件层面上实现的

2 Docker 的优势

1 docker容器可以实现秒级的启动

2 docker容器对系统资源的利用率很高。一台主机上可以运行数千个docker容器3 容器除了运行其中应用外，基本不消耗额外的系统资源，使得应用的性能很高，同时系统的开销尽量小，传统虚拟机方式运行10个不同的应用就要起10个虚拟机，而docker只需要启动10个隔离的应用即可

docker是以docker容器为资源分割和调度的基本单位，封装整个软件运行时环境、为开发者和系统管理员设计的、用于构建、发布和运行分布式应用的平台。它是一个跨平台、可一直并简单的容器解决方案。docker的代码托管在GitHub上，基于go语言开发并遵循Apache2.0协议。docker可在容器内部快速自动化地部署应用，并通过操作系统内核技术为容器提供资源隔离与安全保障。

镜像：就像是一个只读模板，镜像可以用来创建docker容器，docker提供了一个很简单的机制来创建或者更新现有的镜像，用户甚至可以直接从其他人哪里下载一个已经做好的镜像来直接使用。容器：docker 利用容器来运行应用，容器是从镜像创建的运行实例，他可以被启动，开始，停止，删除，每个容器都是互相隔离的，保证安全的平台，可以吧容器看作是一个简易版的Linux环境和运行在其中的应用程序注：镜像是只读的，容器在启动的时候创建一层可写层作为最上层。仓库： 实际中存放镜像文件的场所，仓库和仓库注册服务器（registry）仓库注册服务器上往往存放着多个仓库，每个仓库有包含了多个镜像，每个镜像都有不同的标签（tag）仓库分为公开仓库（public）和私有仓库（private）两种形式最大的公开仓库是docker hub， 国内的公开仓库包括 docker pool 等，用户可以在本地网路内创建一个私有仓库 当用户创建了自己的镜像之后就可以使用push命令将它上传到公有或私有仓库，这样下次再另外一个机器上使用这个镜像的时候，只需要从仓库上pull下来就可以了注： docker 仓库的概念跟Git 类似，注册服务器可以理解为GitHub这样的托管服务。OCI（open container initiative）容器云：容器云以容器为资源分割和调度的基本单位，封装整个软件运行时环境，为开发者和系统管理员提供用于构建、发布和运行分布式应用的平台。

二 ：docker 安装及基本配置

1 安装

软件下载：

链接： 密码：72dr

1 安装

2 启动并查看

3 网卡上多了一个docker0

2 镜像相关操作

基本操作：

1 [root@server5 ~]# docker run -it --name vm1 rhel7:latest bash 创建容器2 [root@server5 ~]# docker ps -a # 查看容器状态3 [root@server5 ~]# docker attach vm1 # 链接容器4 [root@server5 ~]# docker top vm1 # 查看容器进程5 [root@server5 ~]# docker logs vm1 # 查看容器状态6 [root@server5 ~]# docker inspect vm1 # 查看容器详细信息7 [root@server5 ~]# docker stats vm1 # 查看容器资源使用率8 [root@server5 ~]# docker diff vm1 # 查看容器修改9 [root@server5 ~]# docker stop vm1 # 停止容器10 [root@server5 ~]# docker start vm1 # 启动容器11 [root@server5 ~]# docker restart vm1 # 重启容器12 [root@server5 ~]# docker pause vm1 # 暂停容器13 [root@server5 ~]# docker unpause vm1 # 恢复容器14 [root@server5 ~]# docker export vm1 > vm1.tar #导出容器15 [root@server5 ~]# docker import vm1.tar images # 导入镜像名为imagesha256:7ef5c57d2379ecd2f6a0de1ba813d0afb4fb86fd99b01c313c622cee5bb3ae58[root@server5 ~]# docker imagesREPOSITORY TAG IMAGE ID CREATED SIZEimages latest 7ef5c57d2379 5 seconds ago 140MB16 [root@server5 ~]# docker kill vm1 # 强制干掉容器17 [root@server5 ~]# docker rm vm1 # 删除容器18 [root@server5 ~]# docker search httpd # 查询镜像19 [root@server5 ~]# docker pull httpd # 拉取镜像20 [root@server5 ~]# docker push httpd # 推送镜像、21 [root@server5 ~]# docker rmi images:latest # 删除镜像

1 导入镜像：

2 查看镜像封装记录

由此可以看出其封装了bash ，但rhel7没有封装bash,

3 查看已导入的镜像

REPOSITORY：表示镜像的仓库源TAG：镜像的标签IMAGE ID：镜像IDCREATED：镜像创建时间SIZE：镜像大小

4 镜像的拉取：

3 容器启动与查看删除相关

1 安装查看网络相关软件：

2 查看网络信息

3 启动一个镜像，

run 运行

-it 交互模式显示-d 打入后台启动--name 指定其容器的名称为vm1，一般的，如果不指定，主机随意分配，最后面给的是镜像的名称，及用于启动的镜像

4 docker ps 用于查看正在运行的容器

5 查看容器的基本信息，

查看网卡信息再启动一台查看网卡信息

6 查看所有容器的ID，并删除所有容器

7 进入交互模式后退出：ctrl+pq

8 再次进入使用 docker attach 容器名

4 容器的输出

1 容器输出为镜像

2 容器输出为tar包

5 容器内部与宿主机交互

1 复制宿主机数据到容器

2 查看容器内部信息

3 容器数据卷管理

挂载到宿主机的目录。即可生效。

也可以挂载多个：-v 可以指定多个冒号前面是宿主机目录（本地目录），冒号后面是容器中的挂载目录ro 表示只读

原本的文件不管是容器还是宿主机都会创建

6 docker 的网络模式：

1 bridge

容器的默认模式。其容器之间可以通信，使用容器内部分配IP地址。

默认情况下，守护进程会创建一对对等接口，将其中一个接口设置为容器的eth0接口，另一个接口放置在宿主机的命名空间中，从而将宿主机上的所有容器都连接到这个内部网络上。同时，守护进程还会从网桥的私有地址空间中分配一个IP地址和子网给该容器。其所使用的IP地址和端口都是容器内部提供可以使用-p 或-P 指定-p 分配指定的端口映射-P 随机分配端口映射

2 host 模式，

通过--network 进行指定

其占用宿主机IP和端口，但与外界通信较简单

3 container

与容器公用一个IP和端口

4 none 自行分配IP地址

创建一个none 模式的容器。并查看其网络IP地址：创建IP地址创建网口地址链接对启动网口将一个网口加入容器端查看该容器的pid 用于找到其网络 链接其网卡信息到指定目录链接另一张网卡与该容器配置容器中网卡IP地址配置容器中网卡名称启动网卡配置网卡网关

7 docker 安全

1 --privileged=true

2 --cap-add

--privileged=true 的权限很大，接近于宿主机的权限，为了防止权限滥用，需要增加限制，只提供给容器必须的权限。

8 容器的再封装

1 httpd容器的封装

1 运行容器并配置yum源，用于httpd 的安装

2 提交内容，并封装为基础镜像3 创建dockerfile 用于构造容器参数说明：1 FROM ： 指定基础镜像2 MAINTAINER 作者信息3 ENV HOSTNAME 设置环境变量4 EXPOSE 暴露端口5 RUN 镜像操作命令6 CMD 镜像启动命令，默认只能启动一条7 USER 指定容器运行的用户8 WORKDIR 指定后续命令的执行目录9 COPY 复制本地文件夹到镜像中10 ADD 用于添加本地的tar 压缩包到容器指定目录，压缩包被自动解压为目录11 ENTRYPOINT 容器启动后执行的命令，让容器执行表现的向一个可执行程序一样，与CMD的区别是不可以被docker run 覆盖，会把docker run后面的参数当做传递给ENTRYPOINT 指令的参数，dockerfile 中只能制定一个ENTRYPOINT ，如果指定很多，以最后一个为准、12 VOLUME 挂载数据卷，将数据存储到宿主机可以访问的数据卷中4 执行 bulid，用于安装httpd服务5 运行容器并验证

2 安装ssh

三 私有镜像仓库搭建

1 私有仓库无认证创建：

1 拉取私有仓库镜像

2 查看镜像

3 启动镜像仓库容器并修改镜像标签并上传镜像

4 删除镜像

5 拉取镜像

2 配置私有镜像仓库加密

1 生成密钥

2 清空原有镜像仓库内容

3 创建专用的目录用于存放密钥

4 删除原有的容器并清理

5 启动新容器并查看其状态

6 将密钥转移到指定路径

7查看并打包镜像上传

8 删除原有镜像

9 下载上传的镜像并重命名

10 将密钥文件复制到从节点

11 从节点建立相关目录用于存放密钥

12 配置域名解析，保证主节点的域名在从节点可以通信正常

13 查看容器镜像中的内容

14 将密钥复制到指定的目录以方便使用

15 再次访问

16 做下载操作

3 创建私有镜像仓库加密并有用户名密码

1 关闭镜像并清空原有操作

2 创建认证目录并生成用户名和密码

3 启动镜像并登陆

4 上传镜像

5 删除之前镜像

6 拉取镜像

7 客户端删除原有镜像登陆并拉取镜像

四 cgroup用法

1 控制用户内存

2 控制CPU优先级

1 查看CPU个数

2 关闭其他的CPU3 查看CPU是否关闭4 修改CPU优先级5 重启服务6 进行测试7 查看CPU变化，8 关闭进程

3 限制磁盘读取速度

4 冻结进程

五 docker 高级应用：

1 docker-compose 应用：

docker compose 将管理的容器分为三层：工程（project），服务（service）以及容器（contaienr）。compose是用来创建和运行对多容器应用的工具，使用compose首先需要编写compose文件来描述多个容器服务以及之间的关联，然后通过命令根据配置启动所有容器。

1 下载软件docker-compose并复制到环境变量所在目录授予执行权限

2 查看镜像，其必须有nginx和haproxy的镜像以及rhel7，因为apache 的镜像是通过封装得到的，因此不用有apache的镜像

3 封装有yum 源的镜像

4 进行封装，此处的名称必须是rhel7:v1，因为下文要用到此镜像作为基础

5 配置目录及yml 文件

--link 参数可以在不映射端口的前提下为两个容器键建立安全连接，--link参数可以连接一个或多个容器到将要创建的容器。image： 指定为镜像名称或镜像ID，如果镜像本地不存在，compose 会尝试拉取这个镜像build 指定dickerfile 所在文件夹的路径，composehui9利用他自动构建这个镜像，然后使用这个镜像。command 覆盖容器启动后默认执行的命令external_links 链接到docker-compse.yml 外部的容器，甚至并非compose管理的容器，ports 暴露的端口信息expose 暴露的端口，但不映射到宿主机，只被链接的服务访问，仅可以指定内部端口参数。volumes 卷挂载路径设置，可以设置宿主机路径或者访问模式volumes_from 从另一个服务或容器挂载他的所有卷environment 设置环境变量，env_file 从文件中获取环境变量，可以为单独的文件路径或列表extends 基于已有的服务进行扩展net 设置网路模式pid 跟主机系统共享进程命名空间。dns 配置DNS服务器cap_add/drop 添加或放弃容器的linux 能力dns_search 配置dns搜索域，可以是一个值，也可以是一个列表

6 配置haproxy所需软件及配置文件

7 配置apache所需软件

8 查看镜像，必须有v1

9 启动安装程序服务

10 启动

11 查看服务

12 测试服务。其实现了负载均衡调度

2 docker swarm

swarm 是docker 公司在2014年12 月初发布的一套工具，用来管理docker集群，它将docker宿主机变成一个单一的，虚拟的主机，swarm使用标准的docker API接口作为其前端访问入口，各种形式的docker client都可以和swarm 通信，

swarm deamon 只是一个调度器(scheduler)加路由器(router)，swarm自己不运行容器，它只接受docker客户端发送过来的请求，调度适合的节点来运行容器，这意味着，即使由于某种原因swarm 挂掉了，集群中的节点也会照常运行，当swarm 重新恢复运行之后，他会收集重建集群信息。最上层的对外接口包括：docker API 用于管理镜像的声明周期swarm CLI 用于集群管理leadership 提供集群的HA，防止单点故障discovery service 是warm 的发现服务，他会在每个node 中注册一个angent 将各个节点的IP端口上报，manager会从发现服务读取各个节点信息

schedule 调度模块，用于容器调度时选择最优节点。

filter（过滤），当创建或运行容器时，它会告诉调度器哪些节点是可用的（符合要求的）。filter可以分为两类，节点过滤和基于容器配置的过滤。节点过滤：constraints，约束过滤器，可以根据当前操作系统类型、内核版本、存储类型等条件进行过滤，当然也可以自定义约束，在启动daemon的时候，通过label来指定当前主机所具有的特点。基于容器配置过滤：affnity ： 亲和性过滤器，支持容器亲和性和容器镜像亲和性，比如想将DB容器和web容器放在一起，就可以通过这个过滤器来实现dependcy：依赖过滤器，如果过容器再创建的时候使用了--volume-from/--link/--net 某个容器，则创建的容器会和依赖的容器在同一个节点上ports filter: 会根据端口的使用情况过滤strategy：根据策略选择最优节点binpack： 在同等条件下，选择资源使用最多的节点，通过这一个策略，可以将容器聚集起来spread： 在同等条件下，选择资源最少的节点，通过这一个策略，可以将容器均分在每一个节点上random：随机选择一个节点swarm create 命令用于创建一个集群标志，用于swarm管理docker集群时，docker node 的节点发现功能。发起该命令后，swarm会前往docker hub上内建的发现服务中获取一个全球唯一的token，用以唯一表示swarm管理的docker 集群。

swarm manager

swarm manage 是最重要的命令，一旦swarm manage命令在swarm节点长被触发，则说明用户需要swarm开始管理docker集群，从运行流程角度来讲，swarm经历的阶段主要有两点：1 启动swarm包含三个步骤1 发现docker集群中的各个节点，收集节点状态，角色信息，并监事节点状态的变化发现是swarm中用于维护docker集群状态的机制，既然涉及到discovery ，那在这之前必须现有注册（register），swarm中有专门负责发现的模块。关于注册部分，不同的发现机制，对应不同的注册方式目前有5 中不同的发现机制：node discovery 、file discovery、 consul discovery、etcd discovery、zookeeper discovery 2 初始化内部调度（scheduler）模块swarm 通过发现机制发现所有注册docker node，并收集到所有docker node 的状态信息以及具体信息，此后，一旦swarm接收到具体的docker管理请求，swarm需要对请求进行处理，并通过所有docker node的状态以及具体信息来筛选（filter）决策到底哪些docker node 满足要求，并通过一定的策略将请求转发到一个具体的docker node上3 创建并启动API监听服务模块swarm创建并初始化API监听服务模块。从功能的角度来讲，可以将该模块抽象为swarm server ，需要说明的是：虽然swarm server完全兼容docker 的API，但是有不少docker 的命令目前是不支持的，毕竟管理docker集群与管理单独的docker 会有一些区别。当docker server 被初始化并完成监听之后，用户即可以通过docker client向swarm发送docker集群的管理请求。2 接收并处理docker集群管理请求swarm的swarm manage 接口并处理docker集群的管理请求，即使swarm内部多个模块协同合作的接口，请求入口为swarmserver，处理引擎为scheduler，节点信息依靠discovery

swarm join

用于将会docker node添加到swarm 管理的docker集群中，swarmjoin的命令执行位于docker node ，因此在docker node上执行该命令，首先需要在docker node上安装swarm，由于高swarm只会执行swarm join命令，可以将其当成docker node上用于注册的agent 模块

docker node上 swarm join执行之后，标志docker node向swarm 注册，请求加入swarm管理的docker 集群中。swarm通过注册信息，发现dicker node，并获取docker node 的状态以及具体信息，以便处理docker 请求时作为调度依据。

swarm list

swarm中的swarm list 命令用以列举docker集群中docker node。docker node 的信息均来源swarm节点上注册的docker node。而一个都从客人 node 在swarm 节点上注册，仅仅是注册了docker node 的IP 地址以及docker 监听的端口号。使用docker list 命令时，需要指定discovery 的类型，类型包括：token、etcd、file、zk 以及<\ip>。

1 删除其他节点

2 主节点初始化

3 从节点添加

4 查看节点

5 创建服务并运行在各个节点上

1 查看镜像，所有节点都必须有相同的镜像

2 创建：

3 查看4 扩容5 缩容6 查看

3 docker 添加监控：

1 镜像导入

2 镜像查看

3 镜像启动

4 镜像验证

5 扩容节点服务

6 查看，其端口是8181

7 关闭从节点，看起是否能够倒到主节点上

8 查看监控

4 灰度更新

用于生产环境和开发环境之间的切换：

1 准备镜像文件

2 进行更新

3 进行查看

5 负载均衡验证

使用python相关语法验证负载均衡

1 解压镜像

2 创建验证文件

3 启动镜像并将配置文件导入镜像中

4 提交并封装成新的镜像

5 关闭之前启动镜像

6 将其封装成tar包传递到其他节点

7 从节点解压并查看

8 清空之前服务，以防占用接口导致无法正常启动

9 启动服务

10 验证负载均衡

6 集群服务的挂载

1 配置挂载点

2 启动服务之前查看端口是否可用

3 启动服务

4 验证

5 更新挂载项

1 建立挂载目录并进行挂载：

验证