一、创建Docker容器
1.1 使用现有镜像创建容器
当使用现有镜像创建容器时,通常会涉及以下步骤:
-
获取镜像:首先,需要从Docker Hub或其他镜像仓库获取所需的镜像。可以使用 docker pull
命令来获取镜像,语法如下:docker pull <镜像名称>:<标签>
其中,
<镜像名称>
是要获取的镜像的名称,<标签>
是可选的版本或标识符。 创建容器:一旦获取了所需的镜像,就可以使用 docker run
命令来创建容器。通常,运行容器时可以指定一些选项来定制容器的行为,例如端口映射、数据卷挂载等。基本的语法如下:docker run [选项] <镜像名称>:<标签>
其中,
[选项]
是可选的参数,用于配置容器的运行方式。<镜像名称>:<标签>
指定了要使用的镜像及其版本或标签。示例:以下是一个简单的示例,演示如何使用现有的nginx镜像创建一个运行中的容器,并将容器的80端口映射到主机的8080端口: docker run -d -p 8080:80 nginx
在这个示例中,
-d
参数表示以后台模式运行容器,-p 8080:80
指定将容器的80端口映射到主机的8080端口,nginx
是要使用的镜像名称。查看容器状态:创建容器后,可以使用 docker ps
命令查看当前正在运行的容器列表,以确保容器已成功创建并正在运行。若要查看所有容器,包括已停止的容器,可以添加-a
参数。
这些是使用现有镜像创建容器的基本步骤。根据实际需求,还可以进一步定制容器的配置,如挂载数据卷、设置环境变量等。
1.2 自定义镜像
自定义镜像是通过编写 Dockerfile 并使用 Docker 构建命令来创建的。以下是创建自定义镜像的基本步骤:
-
编写 Dockerfile: Dockerfile 是一个包含了创建镜像的指令的文本文件。在 Dockerfile 中,你可以定义从基础镜像开始所需的操作和配置,例如安装软件包、设置环境变量、添加文件等。下面是一个简单的示例 Dockerfile: # 使用官方的 Node.js 镜像作为基础镜像
FROM node:14
# 设置工作目录
WORKDIR /app
# 将当前目录下的文件复制到工作目录中
COPY . .
# 安装应用程序的依赖
RUN npm install
# 暴露应用程序的端口
EXPOSE 3000
# 定义容器启动时运行的命令
CMD ["node", "app.js"] -
构建镜像: 在编写好 Dockerfile 后,使用 docker build
命令来构建镜像。在命令中,你需要指定 Dockerfile 所在的目录(通常为当前目录)和要为镜像命名的名称以及可选的标签。例如:docker build -t my-custom-image .
在这个示例中,
-t
参数用于指定镜像的名称(my-custom-image
),.
表示 Dockerfile 所在的目录为当前目录。 运行容器: 构建成功后,你就可以使用 docker run
命令来运行新创建的镜像,并创建一个容器实例。例如:docker run -d -p 3000:3000 my-custom-image
这个命令会以后台模式运行容器,并将容器的3000端口映射到主机的3000端口。
通过以上步骤,你就可以创建自定义的 Docker 镜像,并在容器中运行你的应用程序。在实际应用中,你可能需要根据你的应用程序需求对 Dockerfile 进行更多的定制化配置。
二、管理Docker容器
2.1 启动和停止容器
启动和停止容器是使用 Docker 运行容器时常见的操作。下面是如何启动和停止容器的基本步骤:
-
启动容器
docker start <容器ID 或 容器名称>
docker run -d <镜像名称>
这会在后台模式下启动一个新容器。
-
创建并启动新容器:如果要创建并启动一个新的容器,可以使用 docker run
命令。例如: -
启动已有容器:如果已经创建了一个容器但尚未启动,可以使用 docker start
命令启动它。语法如下: -
停止容器
docker stop <容器ID 或 容器名称>
这会向容器发送停止信号,使其停止运行。
docker kill <容器ID 或 容器名称>
-
强制停止容器:在某些情况下,可能需要强制停止容器,即使它不响应正常的停止信号。可以使用 docker kill
命令强制停止容器。例如: -
停止运行中的容器:如果容器正在运行,可以使用 docker stop
命令来停止它。语法如下:
示例
以下是一个示例,演示如何启动和停止容器:
-
启动容器:
docker start my-container
-
停止容器:
docker stop my-container
请确保替换命令中的 <容器ID 或 容器名称>
为实际的容器 ID 或名称。使用这些命令,你可以方便地控制 Docker 容器的启动和停止。
2.2 查看容器状态
要查看容器的状态,你可以使用 docker ps
命令。这个命令用于列出当前正在运行的容器。如果你想查看所有的容器,包括已经停止的容器,你可以使用 docker ps -a
命令。
-
查看运行中的容器使用以下命令可以列出当前正在运行的容器: docker ps
这将显示一个列表,其中包含容器的一些关键信息,如容器ID、镜像名称、创建时间、状态等。
查看所有容器(包括已停止的容器)如果你想查看所有的容器,包括已经停止的容器,你可以使用 -a
参数:docker ps -a
这将显示所有的容器,无论其状态是运行中还是已停止。
示例以下是一个示例输出: CONTAINER ID IMAGE COMMAND CREATED STATUS PORTS NAMES
abcdef123456 nginx:latest "nginx -g 'daemon of…" 5 minutes ago Up 5 minutes 80/tcp my-nginx-container
123456abcdef mysql:latest "docker-entrypoint.s…" 2 hours ago Up 2 hours 3306/tcp my-mysql-container在这个示例中,
docker ps
命令显示了两个容器,一个是运行中的 Nginx 容器,另一个是运行中的 MySQL 容器。容器的状态栏会显示 “Up” 表示容器正在运行。
2.3 进入容器
要进入正在运行的容器并与其交互,可以使用 docker exec
命令。这个命令允许你在容器内执行特定的命令。
-
进入容器交互式 Shell要进入容器的交互式 Shell,可以使用以下命令: docker exec -it <容器ID 或 容器名称> /bin/bash
在这个命令中,
-it
参数用于指定使用交互式终端,并且/bin/bash
是要在容器内执行的 Shell。你也可以使用其他 Shell,如/bin/sh
或/bin/zsh
。 示例例如,要进入名为 my-container
的容器,可以运行以下命令:docker exec -it my-container /bin/bash
这将在容器内启动一个交互式 Bash Shell,并将你放置在容器的文件系统中,允许你执行命令和查看容器内部情况。
注意事项请确保替换命令中的 <容器ID 或 容器名称>
为你想要进入的容器的实际 ID 或名称。另外,要进入的容器必须是运行中的状态。
使用 docker exec
进入容器是一个非常有用的功能,可以让你在容器内部进行调试、查看日志、执行命令等操作。
2.4 删除容器
要删除容器,可以使用 docker rm
命令。以下是删除容器的基本语法:
docker rm <容器ID 或 容器名称>
这个命令会删除指定的容器。你也可以同时删除多个容器,只需在命令中提供多个容器的 ID 或名称。
-
示例例如,要删除名为 my-container
的容器,可以运行以下命令:docker rm my-container
-
删除所有容器如果要删除所有已停止的容器,可以结合使用 docker ps -a
命令和awk
命令。例如,要删除所有已停止的容器,可以运行以下命令:docker rm $(docker ps -a -q)
在这个命令中,
docker ps -a -q
用于列出所有容器的 ID,然后通过$(...)
将这些 ID 传递给docker rm
命令来删除这些容器。 注意事项 在删除容器之前,请确保你不再需要它们。删除容器将导致其内部数据丢失,除非你在创建容器时使用了数据卷进行持久化。 如果要删除正在运行的容器,可以添加 -f
参数来强制删除容器,例如:docker rm -f <容器ID 或 容器名称>
。
三、容器间通信与数据管理
3.1 容器网络
容器网络是 Docker 中一个重要的概念,它允许容器之间进行通信,以及容器与外部世界进行通信。在容器网络中,每个容器都拥有自己的 IP 地址,并可以通过这个 IP 地址与其他容器或主机进行通信。 以下是容器网络的一些关键概念和特点(网络的具体讲解会在后面的章节展现):
-
默认网络模式当你创建一个新的容器时,Docker 会为该容器分配一个默认的网络,通常是桥接网络(bridge network)。在桥接网络中,每个容器都会分配一个唯一的 IP 地址,容器之间可以通过这些 IP 地址进行通信。此外,Docker 还提供了一种称为主机模式(host mode)的网络模式,允许容器与主机共享网络命名空间。 -
用户自定义网络除了默认的网络模式之外,Docker 还允许用户创建自定义网络,以满足特定的网络需求。用户自定义网络可以使一组容器在同一个网络中,这样它们可以通过容器名称进行相互访问,而不必依赖于 IP 地址。此外,用户自定义网络还支持连接到外部网络,允许容器与外部服务进行通信。 -
网络驱动程序Docker 提供了多种网络驱动程序(network driver),用于支持不同类型的网络。除了默认的桥接网络驱动程序之外,还有覆盖网络(overlay network)、macvlan 网络(macvlan network)等。每种网络驱动程序都有自己的特点和适用场景,例如覆盖网络适用于跨主机的容器通信,而 macvlan 网络允许容器直接绑定到物理网络接口。 -
外部连接容器可以通过外部连接(external connectivity)与外部世界进行通信。这意味着容器可以连接到主机网络、外部服务或其他网络,以访问外部资源或提供服务。外部连接通常需要使用端口映射或容器网络的特殊配置来实现。 -
容器之间通信容器之间的通信通常通过容器 IP 地址或容器名称进行。在同一网络中的容器可以直接通过 IP 地址或容器名称进行通信,而不需要额外的配置。如果容器位于不同的网络中,则可能需要通过端口映射或其他网络连接方法进行通信。
容器网络是 Docker 中一个重要的组成部分,它为容器提供了通信和连接外部世界的能力。通过了解容器网络的基本概念和特点,你可以更好地理解和管理容器化应用程序的网络部署。
3.2 共享数据卷
共享数据卷是 Docker 中实现容器间数据共享的一种机制。数据卷是一个特殊的目录,它可以绕过容器的文件系统,并且可以被一个或多个容器共享和访问。共享数据卷使得多个容器可以在同一个数据卷上读写数据,从而实现数据共享和持久化存储。 以下是共享数据卷的主要特点和用法(卷的详细讲解会在后面章节展开):
-
创建数据卷在 Docker 中,可以通过两种方式创建数据卷:
-
使用 docker volume create
命令创建匿名数据卷:docker volume create myvolume
-
在运行容器时指定挂载点来创建具名数据卷: docker run -v myvolume:/path/to/mount ...
-
挂载数据卷到容器要在容器中使用数据卷,需要在运行容器时将数据卷挂载到容器的指定路径上。可以使用
-v
或--mount
参数来指定挂载点。 -
多容器共享数据卷多个容器可以在同一个数据卷上进行读写操作,从而实现数据共享。只需在运行容器时将相同的数据卷挂载到不同的容器中即可。
-
数据卷生命周期管理数据卷可以在容器的生命周期内持久化存储数据,即使容器被删除,数据卷中的数据仍然保留。你可以选择删除数据卷或保留它们以供以后使用。
-
使用案例共享数据卷适用于许多场景,包括:
-
数据库容器:多个数据库容器可以共享同一个数据卷来持久化存储数据。 -
文件共享:多个应用程序容器可以共享同一个数据卷来进行文件共享和同步。 -
日志收集:多个日志容器可以将日志数据写入同一个数据卷,然后由另一个容器将日志数据收集和处理。
共享数据卷是 Docker 中实现容器间数据共享和持久化存储的重要机制。通过共享数据卷,你可以更灵活地设计和管理容器化应用程序,并实现数据的持久化存储和共享。
3.3 网络连接
在 Docker 中,容器之间的网络连接可以通过多种方式实现:
-
默认桥接网络默认情况下,Docker 使用桥接网络(bridge network)来连接容器。在桥接网络中,每个容器都会被分配一个唯一的 IP 地址,并且容器可以通过这些 IP 地址进行通信。通过桥接网络,你可以在同一主机上运行的多个容器之间建立网络连接。 -
用户自定义网络除了默认的桥接网络之外,Docker 还允许用户创建自定义网络,以满足特定的网络需求。用户自定义网络可以使一组容器在同一个网络中,这样它们可以通过容器名称进行相互访问,而不必依赖于 IP 地址。通过用户自定义网络,你可以更灵活地管理容器之间的网络连接,并实现不同容器之间的隔离和通信。 -
外部连接容器可以通过外部连接(external connectivity)与外部世界进行通信。外部连接通常是通过容器的端口映射或特殊网络配置来实现的。通过外部连接,你可以让容器与主机网络、外部服务或其他网络进行通信,以访问外部资源或提供服务。 -
容器间通信在同一网络中的容器可以直接通过 IP 地址或容器名称进行通信。在默认的桥接网络中,每个容器都被分配一个唯一的 IP 地址,因此可以通过 IP 地址进行通信。在用户自定义网络中,容器可以通过容器名称进行相互访问。 -
跨主机通信如果容器部署在不同的主机上,你可以使用 Docker 提供的覆盖网络(overlay network)来实现跨主机通信。覆盖网络允许多个主机上的容器在同一个网络中进行通信,从而实现跨主机的容器间通信。
通过以上方式,你可以在 Docker 中实现灵活的容器间网络连接,并根据需求选择合适的网络配置来实现容器之间的通信和隔离。
四、Docker容器的部署与扩展
4.1 Docker Compose
Docker Compose 是一个用于定义和运行多容器 Docker 应用程序的工具。通过一个简单的 YAML 文件,你可以配置应用程序的服务、网络和卷等,并使用单个命令启动、停止和管理整个应用程序。以下是 Docker Compose 的主要特点和用法:
-
特点:
-
声明式语法:使用 YAML 文件来定义应用程序的服务、网络和卷等,使得配置更加简洁清晰。 -
多容器应用:支持多个容器组成的应用程序,可以定义和管理多个服务之间的依赖关系和连接。 -
容器编排:自动化容器的创建、启动、停止和删除,简化了容器编排和管理的过程。 -
跨平台支持:Docker Compose 可以运行在 Windows、macOS 和 Linux 等不同的操作系统上,并且支持常见的容器编排功能。 -
用法:
-
编写 Docker Compose 文件:创建一个名为 docker-compose.yml
的 YAML 文件,并在文件中定义应用程序的服务、网络、卷等配置信息。 -
定义服务:在 Docker Compose 文件中使用 services
关键字来定义应用程序的各个服务。每个服务都包含了容器的镜像、端口映射、环境变量等配置。 -
构建和启动应用程序:使用 docker-compose up
命令来构建和启动整个应用程序。Docker Compose 会读取docker-compose.yml
文件,并根据文件中的配置来创建和启动容器。 -
管理应用程序:一旦应用程序启动成功,你可以使用 docker-compose
命令来管理应用程序的状态,包括启动、停止、重启和删除等操作。 -
扩展和定制:Docker Compose 允许你通过添加新的服务、修改配置文件等方式来扩展和定制应用程序,以满足特定的需求。 -
示例 Docker Compose 文件:以下是一个简单的 Docker Compose 文件示例:
version: '3'
services:
web:
image: nginx:latest
ports:
- "8080:80"
volumes:
- ./html:/usr/share/nginx/html
networks:
- mynetwork
networks:
mynetwork:
driver: bridge在这个示例中,我们定义了一个名为
web
的服务,它使用了 Nginx 镜像,并将主机的 8080 端口映射到容器的 80 端口。同时,我们还定义了一个数据卷,用于将主机上的html
目录挂载到容器内的/usr/share/nginx/html
目录。最后,我们定义了一个自定义网络mynetwork
,用于连接应用程序的各个服务。
通过 Docker Compose,你可以轻松地管理多容器 Docker 应用程序的部署和运行,简化了容器编排和管理的过程,提高了开发和部署的效率。
4.2 使用Docker Swarm进行集群部署
Docker Swarm 是 Docker 官方提供的容器编排工具,它允许你将多个 Docker 主机组合成一个虚拟的容器集群,以便于部署、管理和扩展容器化应用程序。下是使用 Docker Swarm 进行集群部署的基本步骤:
-
初始化 Swarm首先,在一个 Docker 主机上初始化 Swarm,该主机将作为 Swarm 集群的管理节点。使用 docker swarm init
命令来初始化 Swarm。例如:docker swarm init --advertise-addr <管理节点的IP地址>
在这个命令中,
--advertise-addr
参数用于指定管理节点的 IP 地址。 将其他节点加入 Swarm接下来,将其他 Docker 主机加入到 Swarm 集群中作为工作节点。在每个要加入的节点上运行 docker swarm join
命令,以连接到 Swarm 集群。例如:docker swarm join --token <SWMTKN> <管理节点的IP地址>:<端口>
在这个命令中,
<SWMTKN>
是初始化 Swarm 时生成的 token,<管理节点的IP地址>
是管理节点的 IP 地址,<端口>
是 Swarm 控制平面的端口,默认为 2377。部署服务一旦 Swarm 集群建立完成,你可以使用 docker service
命令来部署服务。服务是容器化应用程序的逻辑单元,它由一个或多个容器组成,并根据指定的副本数量在 Swarm 集群中运行。例如:docker service create --name my-web-app --replicas 3 -p 8080:80 my-web-image
这个命令将创建一个名为
my-web-app
的服务,它由my-web-image
镜像构建,并在集群中运行 3 个副本。扩展服务使用 docker service scale
命令可以扩展或缩减服务的副本数量。例如:docker service scale my-web-app=5
这个命令将增加
my-web-app
服务的副本数量到 5 个。管理服务你可以使用 docker service ls
命令来列出 Swarm 集群中运行的所有服务,使用docker service ps <服务名称>
命令来查看特定服务的任务状态,以及使用docker service rm <服务名称>
命令来删除服务。管理集群可以使用 docker node ls
命令来列出 Swarm 集群中的所有节点,使用docker node inspect <节点名称>
命令来查看特定节点的详细信息,以及使用docker node rm <节点名称>
命令来从集群中删除节点。注意事项 在部署之前,请确保所有节点上都已经安装了 Docker Engine,并且版本兼容。 使用 Docker Swarm 部署集群应用程序时,建议使用 Docker 标签来限制容器部署在特定的节点上,以实现更灵活的资源管理。 使用 Docker Swarm 可以方便地部署和管理容器化应用程序,但在生产环境中仍需考虑到高可用性、安全性和监控等方面的问题。
4.3 Kubernetes与Docker容器的整合
Kubernetes(通常简称为 K8s)是一个开源的容器编排平台,用于自动化容器化应用程序的部署、扩展和管理。虽然 Kubernetes 可以管理任何容器化的应用程序,但它最常用于管理 Docker 容器。下面是 Kubernetes 与 Docker 容器整合的主要方式:
-
使用 Docker 镜像Kubernetes 支持使用 Docker 镜像作为容器化应用程序的基础。Kubernetes 通过 Docker Hub 或其他镜像仓库来获取 Docker 镜像,并将其部署到集群中的节点上。 -
容器运行时Kubernetes 使用容器运行时(Container Runtime)来在节点上运行容器。Docker 是 Kubernetes 支持的容器运行时之一,其他常见的容器运行时还包括 containerd 和 CRI-O。 -
容器对象在 Kubernetes 中,容器被抽象为 Pod 这个概念。一个 Pod 可以包含一个或多个容器,这些容器共享相同的网络命名空间、存储卷和其他资源。每个 Pod 都可以包含一个或多个 Docker 容器。 -
容器编排Kubernetes 提供了强大的容器编排功能,可以根据应用程序的需求自动调度和管理容器。Kubernetes 可以根据资源需求、健康状态、网络连接等因素来调度容器,并在节点之间进行自动负载平衡和故障恢复。 -
Docker CLI 与 KubernetesKubernetes 提供了一个命令行工具 kubectl
,用于与集群进行交互。尽管 Kubernetes 使用 Docker 容器作为运行时,但它不直接依赖于 Docker CLI。相反,Kubernetes 提供了自己的 API 和对象模型,使得用户可以使用kubectl
命令来管理集群中的容器和应用程序。 -
容器存储卷Kubernetes 提供了各种类型的存储卷(Volume)来管理容器的持久化存储需求。这些存储卷可以与 Docker 容器一起使用,以提供持久化存储和数据共享。 -
容器网络Kubernetes 提供了网络插件(CNI 插件)来管理容器间的网络连接。这些插件可以与 Docker 容器一起使用,以提供网络隔离、负载均衡和服务发现等功能。
Kubernetes 与 Docker 容器紧密整合,通过 Kubernetes 可以更轻松地管理和运行 Docker 容器化应用程序,并提供了许多高级功能和工具来简化容器编排、自动化部署和管理容器化应用程序。
五、容器使用规范
容器安全性是容器化应用程序中一个非常重要的方面,因为容器化应用程序往往会涉及到敏感数据和关键业务逻辑。以下是一些提高容器安全性的常见措施和最佳实践:
-
使用官方镜像尽量使用官方的 Docker 镜像或信任的镜像仓库来获取容器镜像。官方镜像通常会定期更新和修复安全漏洞,以确保最新版本的安全性。 -
最小化镜像大小构建容器时,尽量选择最小化的基础镜像,并且仅安装应用程序所需的依赖和组件。减少镜像大小可以降低攻击面并提高安全性。 -
定期更新镜像定期更新容器镜像以应用最新的安全补丁和修复程序。可以使用自动化工具来监控和更新镜像,以减少手动操作和遗漏更新的风险。 -
实施容器镜像签名使用容器镜像签名来验证镜像的来源和完整性。容器镜像签名可以防止镜像被篡改或替换,从而提高容器的安全性。 -
限制容器权限在容器中使用最小特权原则,尽量限制容器的权限和访问范围。例如,使用非特权用户运行容器,并使用 Linux 的命名空间和控制组来隔离容器。 -
实施网络隔离在容器之间实施网络隔离,以防止未经授权的网络访问和攻击。可以使用容器网络插件来实现网络隔离、防火墙规则和流量控制。 -
使用安全配置对容器和容器编排平台进行安全配置,包括启用安全选项、限制资源访问和使用安全策略等。确保容器和容器宿主机的安全配置符合最佳实践和安全标准。 -
监控和审计实施监控和审计机制来检测和响应安全事件和威胁。监控容器活动、日志和指标,并定期审查安全策略和配置,以及及时响应安全事件。 -
安全培训和意识提高团队成员和开发人员的安全意识,加强容器安全培训和教育。确保团队了解容器安全最佳实践,并且知道如何应对安全威胁和事件。 -
持续改进容器安全性是一个持续改进的过程,需要不断审查和改进安全措施。定期进行安全审查、漏洞扫描和渗透测试,以及修复安全漏洞和缺陷。
通过以上措施和最佳实践,可以提高容器化应用程序的安全性,减少安全风险和威胁,并保护敏感数据和关键业务逻辑。
六、总结
本文介绍了 Docker 容器的创建和使用过程。首先,我们了解了使用现有镜像创建容器的步骤,通过 docker run
命令可以轻松地启动容器。其次,我们学习了如何通过自定义镜像来满足特定的应用需求,包括编写 Dockerfile、构建镜像和发布镜像到仓库等步骤。然后,我们探讨了容器的启动、停止、状态查看、进入以及删除等操作,以及如何使用数据卷实现容器间的数据共享。最后,我们简要介绍了容器网络,包括默认网络模式、用户自定义网络和外部连接等内容。 Docker 容器的创建和使用过程相对简单而灵活。通过掌握基本的 Docker 命令和概念,开发人员可以轻松地构建、部署和管理容器化应用程序,实现快速、一致和可重复的开发环境。Docker 的流行和普及使得容器技术成为现代软件开发的重要组成部分,为构建可靠、可扩展和安全的应用提供了强大的基础。
原文始发于微信公众号(喵叔写技术):《Docker极简教程》–Docker容器–Docker容器的创建和使用
版权声明:本文内容由互联网用户自发贡献,该文观点仅代表作者本人。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如发现本站有涉嫌侵权/违法违规的内容, 请发送邮件至 举报,一经查实,本站将立刻删除。
文章由极客之音整理,本文链接:https://www.bmabk.com/index.php/post/206437.html