Docker映象製作與倉庫搭建
Docker
1,docker映象製作
docker官方和個人釋出的映象由於版本等各種原因,漏洞較多,已統計Docker Hub超過30%的官方映象包含高位漏洞。此外,由於網路等原因也會造成docker pull 下載映象的速度很慢。基於這種情況,我們可以手動定製docker系統映象。構建映象的方式有兩種:
- 使用docker commit命令
- 使用docker build和Dockerfile檔案
方式一:docker commit
步驟1:拉取一個基礎映象(其實就是OS)
docker pull centos
- 1
步驟2:建立一個互動式容器
docker run -it --name mycentos centos /bin/bash
- 1
這裡的 ll 命令找不到,可能是因為版本問題,這個不影響,想要使用參考解決 ll 命令無法使用
步驟3:將需要的資源上傳到宿主機上
注意!!!:本例是製作一個tomcat映象,所以需要這些資源
步驟4:將宿主機上的資源拷貝到容器
docker cp apache-tomcat-7.0.64.tar.gz mycentos:/root
docker cp jdk-8u181-linux-x64.tar.gz mycentos:/root
- 1
- 2
- 3
步驟5:在容器安裝jdk,解壓並配置
# 解壓jdk到/usr/local/目錄下
tar -zxvf jdk-8u181-linux-x64.tar.gz -C /usr/local/
# 開啟profile檔案,配置環境
vi /etc/profile
- 1
- 2
- 3
- 4
- 5
這裡就跟Linux安裝jdk一樣的,配置好之後重新整理一下,就可以了
步驟6:在容器安裝tomcat,解壓並配置
# 解壓tomcat到/usr/local/目錄下 tar -zxvf apache-tomcat-7.0.64.tar.gz -C /usr/local/ # 編輯tomcat的setclsspath.sh檔案 vi /usr/local/apache-tomcat-7.0.64/bin/setclasspath.sh
- 1
- 2
- 3
- 4
- 5
步驟7:將執行的mycentos容器提交為一個新的映象,新的映象名稱為mytomcat
docker commit mycentos mytomcat
- 1
到這裡,我們的映象就已經制作好了
- 埠對映
基於mytomcat映象建立一個容器
docker run -itd --name t1 -p 8888:8080 mytomcat /bin/bash
#進入容器,並去執行startup.sh檔案
docker exec t1 /usr/local/apache-tomcat-7.0.64/bin/startup.sh
- 1
- 2
- 3
- 4
訪問看到如下效果就說明成功了
- 容器/映象打包
#1,映象打包
docker save -o /root/tomcat7.tar mytomcat
#2,將打包的映象上傳到其他伺服器
scp tomcat7.tar 其他伺服器ip:.root
#1,容器打包
docker export -o /root/t1.tar t1
#2,匯入容器
docker import t1.tar mytomcat:latest
- 1
- 2
- 3
- 4
- 5
- 6
- 7
- 8
- 9
- 10
- 11
打包完成了,該匯入了
docker load -i /root/tomcat7.tar
- 1
至此算是完成了
方式二:docker builder
Dockerfile使用基本的基於DSL語法的指令來構建一個Docker映象,之後使用docker builder命令基於該Dockerfile中的指令構建一個新的映象
- DSL語法
DSL語法:
1)FROM(指定基礎image)
構建指令,必須指定且需要在Dockerfile其他指令的前面。後續的指令都依賴於該指令指定的image。FROM指令指定的基礎image可以是官方遠端倉庫中的,也可以位於本地倉庫。
FROM命令告訴docker我們構建的映象是以哪個(發行版)映象為基礎的。第一條指令必須是FROM指令。並且,如果在同一個Dockerfile中建立多個映象時,可以使用多個 FROM 指令。
該指令有兩種格式:
FROM <image>
指定基礎image為該image的最後修改的版本。或者:
FROM <image>:<tag>
指定基礎image為該image的一個tag版本。
RUN後面接要執行的命令,比如,我們想在映象中安裝vim,只需在Dockfile中寫入 RUN yum install -y vim
2)MAINTAINER(用來指定映象建立者資訊)
構建指令,用於將image的製作者相關的資訊寫入到image中。當我們對該image執行docker inspect命令時,輸出中有相應的欄位記錄該資訊。
格式:
MAINTAINER <name>
3)RUN(安裝軟體用)
構建指令,RUN可以執行任何被基礎image支援的命令。如基礎image選擇了ubuntu,那麼軟體管理部分只能使用ubuntu的命令。
該指令有兩種格式:
RUN <command>
4)CMD(設定container啟動時執行的操作)
設定指令,用於container啟動時指定的操作。該操作可以是執行自定義指令碼,也可以是執行系統命令。該指令只能在檔案中存在一次,如果有多個,則只執行最後一條。
該指令有三種格式:
CMD ["executable","param1","param2"]
CMD command param1 param2
當Dockerfile指定了ENTRYPOINT,那麼使用下面的格式:
CMD ["param1","param2"]
其中:
ENTRYPOINT指定的是一個可執行的指令碼或者程式的路徑,該指定的指令碼或者程式將會以param1和param2作為引數執行。
所以如果CMD指令使用上面的形式,那麼Dockerfile中必須要有配套的ENTRYPOINT。
5)ENTRYPOINT (設定container啟動時執行的操作)
設定指令:指定容器啟動時執行的命令,可以多次設定,但是隻有最後一個有效。
兩種格式:
ENTRYPOINT ["executable", "param1", "param2"]
ENTRYPOINT command param1 param2
該指令的使用分為兩種情況,一種是獨自使用,另一種和CMD指令配合使用。
當獨自使用時,如果你還使用了CMD命令且CMD是一個完整的可執行的命令,那麼CMD指令和ENTRYPOINT會互相覆蓋,只有最後一個CMD或者ENTRYPOINT有效。
# CMD指令將不會被執行,只有ENTRYPOINT指令被執行
CMD echo “Hello, World!”
ENTRYPOINT ls -l
另一種語法和CMD指令配合使用來指定ENTRYPOINT的預設引數,這時CMD指令不是一個完整的可執行命令,僅僅是引數部分;
ENTRYPOINT指令只能使用JSON方式指定執行命令,而不能指定引數。
FROM ubuntu
CMD ["-l"]
ENTRYPOINT ["/usr/bin/ls"]
6)USER(設定container容器的使用者)
設定指令,設定啟動容器的使用者,預設是root使用者。
# 指定memcached的執行使用者
ENTRYPOINT ["memcached"]
USER daemon
或者
ENTRYPOINT ["memcached", "-u", "daemon"]
7)EXPOSE(指定容器需要對映到宿主機器的埠)
設定指令,該指令會將容器中的埠對映成宿主機器中的某個埠。當你需要訪問容器的時候,可以不是用容器的IP地址,而是使用宿主機器的IP地址和對映後的埠。
要完成整個操作需要兩個步驟,首先在Dockerfile使用EXPOSE設定需要對映的容器埠,然後再執行容器的時候指定-p選項加上EXPOSE設定的埠,這樣EXPOSE設定的埠號會被隨機對映成宿主機器中的一個埠號。
也可以指定需要對映到宿主機器的那個埠,這時要確保宿主機器上的埠號沒有被使用。EXPOSE指令可以一次設定多個埠,相應的執行容器的時候,可以配套的多次使用-p選項
EXPOSE <port> [<port>...]
# 對映一個埠
EXPOSE port1
# 相應的執行容器使用的命令
docker run -p port1 image
# 對映多個埠
EXPOSE port1 port2 port3
# 相應的執行容器使用的命令
docker run -p port1 -p port2 -p port3 image
# 還可以指定需要對映到宿主機器上的某個埠號
docker run -p host_port1:port1 -p host_port2:port2 -p host_port3:port3 image
埠對映是docker比較重要的一個功能,原因在於我們每次執行容器的時候容器的IP地址不能指定而是在橋接網絡卡的地址範圍內隨機生成的。
宿主機器的IP地址是固定的,我們可以講容器的埠的對映到宿主機器上的一個埠,免去每次訪問容器中的某個服務時都要檢視容器的IP的地址。
對於一個執行的容器,可以使用docker port加上容器中需要對映的埠和容器的ID來看該埠號在宿主機器上的對映埠。
8)ENV(用於設定環境變數)
主要用於設定容器執行時的環境變數
格式:
ENV <key> <value>
設定了後,後續的RUN命令都可以使用,container啟動後,可以通過docker inspect檢視這個環境變數,也可以通過在docker run --env key=value時設定或修改環境變數。
假如你安裝了JAVA程式,需要設定JAVA_HOME,那麼可以在Dockerfile中這樣寫:
ENV JAVA_HOME /path/to/java/dirent
9)ADD(從src複製檔案到container的dest路徑)
主要用於將宿主機中的檔案新增到映象中
構建指令,所有拷貝到container中的檔案和資料夾許可權為0755,uid和gid為0:如果是一個目錄,那麼會將該目錄下的所有檔案新增到container中,不包括目錄:
如果檔案是可識別的壓縮格式,則docker會幫忙解壓縮(注意壓縮格式):如果<src>是檔案且<dest>中不使用斜槓結束,則會將<dest>視為檔案,<src>的內容會寫入<dest>:
如果<src>是檔案且<dest>中使用斜槓結束,則會<src>檔案拷貝到<dest>目錄下。
格式:
ADD <src> <dest>
<src> 是相對被構建的源目錄的相對路徑,可以是檔案或目錄的路徑,也可以是一個遠端的檔案url;
<dest> 是container中的絕對路徑
10)VOLUME(指定掛載點)
設定指定,使容器中的一個目錄具有持久化儲存資料的功能,該目錄可以被容器本身使用,也可以共享給其他容器使用。我們知道容器使用的是AUFS,
這種檔案系統不能持久化資料,當容器關閉後,所有的更改都會丟失。當容器中的應用有持久化資料的需求時可以在Dockerfile中使用該指令
格式:
VOLUME ["<mountpoint>"]
VOLUME ["/tmp/data"]
執行通過該Dockerfile生成image的容器,/tmp/data目錄中的資料在容器關閉後,裡面的資料還存在。例如另一個容器也有持久化資料的需求,且想使用上面容器共享的/tmp/data目錄,那麼可以執行下面的命令啟動一個容器:
docker run -t -i -rm -volumes-from container1 image2 bash
其中:container1為第一個容器的ID,image2為第二個容器執行image的名字。
11)WORKDIR(切換目錄)
設定指令,可以多次切換(相當於cd命令),對RUN,CMD,ENTRYPOINT生效。
格式:
WORKDIR /path/to/workdir
# 在/p1/p2下執行vim a.txt
WORKDIR /p1 WORKDIR p2 RUN vim a.txt
12)ONBUILD(在子映象中執行)
格式:
ONBUILD <Dockerfile關鍵字>
ONBUILD 指定的命令在構建映象時並不執行,而是在它的子映象中執行
- 1
- 2
- 3
- 4
- 5
- 6
- 7
- 8
- 9
- 10
- 11
- 12
- 13
- 14
- 15
- 16
- 17
- 18
- 19
- 20
- 21
- 22
- 23
- 24
- 25
- 26
- 27
- 28
- 29
- 30
- 31
- 32
- 33
- 34
- 35
- 36
- 37
- 38
- 39
- 40
- 41
- 42
- 43
- 44
- 45
- 46
- 47
- 48
- 49
- 50
- 51
- 52
- 53
- 54
- 55
- 56
- 57
- 58
- 59
- 60
- 61
- 62
- 63
- 64
- 65
- 66
- 67
- 68
- 69
- 70
- 71
- 72
- 73
- 74
- 75
- 76
- 77
- 78
- 79
- 80
- 81
- 82
- 83
- 84
- 85
- 86
- 87
- 88
- 89
- 90
- 91
- 92
- 93
- 94
- 95
- 96
- 97
- 98
- 99
- 100
- 101
- 102
- 103
- 104
- 105
- 106
- 107
- 108
- 109
- 110
- 111
- 112
- 113
- 114
- 115
- 116
- 117
- 118
- 119
- 120
- 121
- 122
- 123
- 124
- 125
- 126
- 127
- 128
- 129
- 130
- 131
- 132
- 133
- 134
- 135
- 136
- 137
- 138
- 139
- 140
- 141
- 142
- 143
- 144
dockerfile構建映象:
步驟1:建立一個目錄
mkdir rw-test
- 1
步驟2:編輯Dockerfile檔案,注意D要大寫
vim Dockerfile
- 1
編輯內容如下:
#pull down centos image
FROM docker.io/centos
MAINTAINER ruanwen [email protected]
#install nginx
RUN yum install -y pcre pcre-devel openssl openssl-devel gcc gcc+ wget vim net-tools
RUN useradd www -M -s /sbin/nologin
RUN cd /usr/local/src && wget http://nginx.org/download/nginx-1.8.0.tar.gz && tar -zxvf nginx-1.8.0.tar.gz
RUN cd /usr/local/src/nginx-1.8.0 && ./configure --prefix=/usr/local/nginx --user=www --group=www --with-http_stub_status_module --with-http_ssl_module && make && make install
ENTRYPOINT /usr/local/nginx/sbin/nginx && tail -f /usr/local/nginx/logs/access.log
- 1
- 2
- 3
- 4
- 5
- 6
- 7
- 8
- 9
- 10
步驟3:在rw-test目錄下構建映象:
docker build -t rw_nginx --rm=true .
-t 表示選擇指定生成映象的使用者名稱,倉庫名和tag
--rm=true 表示指定在生成映象過程中刪除中間產生的臨時容器
注意:上面構建命令中最後的.符合不要漏了,表示使用當前目錄下的Dockerfile構建映象
- 1
- 2
- 3
- 4
- 5
會依次執行Dockerfile檔案的每一個步驟
步驟4:測試
docker run -ti -d --name test_nginx -p 8899:80 rw_nginx /bin/bash
docker exec test_nginx /bin/bash
#
通過瀏覽器訪問:http://ip:8899
- 1
- 2
- 3
- 4
2,docker倉庫搭建
Docker倉庫(Repository)類似與程式碼倉庫,是Docker集中存放映象檔案的地方。
- docker hub
1,開啟https://hub.docker.com/
2,註冊賬號,略
3,建立倉庫(Create Repository):略
4,設定映象標籤
docker tag local-image:tagname new-repo:tagname
示例:docker tag hello-word:latest myqxin/test-hello-world:v1
5,登入docker hub
docker login(回車,輸入賬號和密碼)
6,推送映象
docker push new-repo:tagname
示例:docker push myqxin/test-hello-world:v1
我這裡把test-hello-world弄成了test-hell-world,你們注意一下
- 阿里雲
略:參考官方文件
步驟:
1,建立阿里雲賬號
2,建立命令空間
3,建立映象倉庫
4,操作指南
$ sudo docker login --username=[賬號名稱] registry.cn-hangzhou.aliyuncs.com
$ sudo docker tag [ImageId] registry.cn-hangzhou.aliyuncs.com/360buy/portal:[映象版本號]
$ sudo docker push registry.cn-hangzhou.aliyuncs.com/360buy/portal:[映象版本號]
- 搭建私有倉庫
1,啟動docker Registry,使用Docker官方提供的Registry映象就可以搭建本地私有映象倉庫,具體指令如下。
docker run -d \
-p 5000:5000 \
--restart=always \
--name registry \
-v /mnt/registry:/var/lib/registry \
registry:2
- 1
- 2
- 3
- 4
- 5
- 6
指令引數說明:
-d:表示在後臺執行該容器
-p 5000:5000:表示將私有映象倉庫容器內部預設暴露的5000埠對映到宿主機的5000埠
–restart=always:表示容器啟動後自動啟動本地私有映象倉庫
–name registry:表示為生成的容器命名為registry
-v /mnt/registry:/var/lib/registry:表示將容器內的預設儲存位置/var/lib/registry中的資料掛載到宿主機的/mnt/registry目錄下,這樣當容器銷燬後,在容器中/var/lib/registry目錄下的資料會自動備份到宿主機指定目錄
提示:
Docker Registry目前有v1和v2兩個版本,v2版本並不是v1版本的簡單升級,而是在很多功能上都有了改進和優化。v1版本使用的是Python開發的,而v2版本是用go語言開發的,v1版本本地映象倉庫容器中資料預設掛載點是/tmp/registry,而v2版本的本地映象倉庫容器中資料預設掛載點是/var/lib/registry
重新命名映象:之前推送映象時,都是預設推送到遠端映象倉庫,而本次是將指定映象推送到本地私有映象倉庫。由於推送到本地私有映象倉庫的映象名稱必須符合“倉庫IP:埠號/repository”的形式,因此需要按照要求修改映象名稱,具體操作指令如下。
docker tag hello-world:latest localhost:5000/myhellodocker
- 1
推送映象:本地私有映象倉庫搭建並啟動完成,同時要推送的映象也已經準備就緒後,就可以將指定映象推送到本地私有映象倉庫了,具體操作指令如下
docker push localhost:5000/myhellodocker
- 1
檢視本地倉庫映象
http://localhost:5000/v2/myhellodocker/tags/list (注意:使用該地址時注意映象名稱)
由於做了目錄掛載,因此可以在本地的該目錄下檢視:
/mnt/registry/docker/registry/v2/repositories
推送,不需要輸入賬號密碼(不安全)
- 配置私有倉庫認證
1,檢視Docker Registry私有倉庫搭建所在伺服器地址:ipconfig
例如:伺服器地址為:192.168.204.130
2,生成自簽名證書(在home目錄下執行上述指令後)
要確保Docker Registry本地映象倉庫的安全性,還需要一個安全認證證書,來保證其他Docker機器不能隨意訪問該機器上的Docker Registry本地映象倉庫,所以需要在搭建Docker Registry本地映象倉庫的Docker主機上先生成自簽名證書(如果已購買證書就無需生成),具體操作指令如下:
mkdir registry && cd registry && mkdir certs && cd certs
openssl req -x509 -days 3650 -subj '/CN=192.168.204.130:5000/' \
-nodes -newkey rsa:2048 -keyout domain.key -out domain.crt
- 1
- 2
- 3
- 4
指令引數說明:
-x509:x509是一個自簽發證書的格式
rsa:2048,是證書演算法長度
domain.key和domain.crt:就是生成的證書檔案
3,生成使用者名稱和密碼
在Docker Registry本地映象倉庫所在的Docker主機上生成自簽名證書後,為了確保Docker機器與該Docker Registry本地映象倉庫的互動,還需要生成一個連線認證的使用者名稱和密碼,使其他Docker使用者只有通過使用者名稱和密碼登入後才允許連線到Docker Registry本地映象倉庫
cd .. && mkdir auth
docker run --entrypoint htpasswd registry:2 -Bbn ruanwen 123456 > auth/htpasswd
- 1
- 2
- 3
4、啟動Docker Registry本地映象倉庫服務(將之前建立的容器刪除)
docker run -d \
-p 5000:5000 \
--restart=always \
--name registry \
-v /mnt/registry:/var/lib/registry \
-v `pwd`/auth:/auth \ -e "REGISTRY_AUTH=htpasswd" \
-e "REGISTRY_AUTH_HTPASSWD_REALM=Registry Realm" \
-e REGISTRY_AUTH_HTPASSWD_PATH=/auth/htpasswd \
-v `pwd`/certs:/certs \
-e REGISTRY_HTTP_TLS_CERTIFICATE=/certs/domain.crt \
-e REGISTRY_HTTP_TLS_KEY=/certs/domain.key \
registry:2
- 1
- 2
- 3
- 4
- 5
- 6
- 7
- 8
- 9
- 10
- 11
- 12
5、配置Docker Registry訪問接
完成Docker Registry本地映象倉庫服務啟動後,還需要在搭建了Docker Registry本地映象倉庫所在的Docker主機上配置供其他Docker機器訪問的介面,具體指令如下:
sudo mkdir -p /etc/docker/certs.d/192.168.204.130:5000
sudo cp certs/domain.crt /etc/docker/certs.d/192.168.204.130:5000
- 1
- 2
6、Docker Registry私有倉庫使用登記
在Docker機器終端使用sudo vim /etc/docker/daemon.json命令編輯daemon.json檔案,在該檔案中新增如下內容
{“insecure-registries”:[“192.168.200.162:5000”]}
7、重啟並載入docker配置檔案
sudo /etc/init.d/docker restart
二、驗證測試1、裝備映象
docker tag hello-world:latest 192.168.200.162:5000/myhelloworld
2、推送映象
docker push 192.168.200.141:5000/myhelloworld
送過程中出現錯誤,資訊提示為:no basic auth credentials(即沒有通過身份驗證),所以無法進行推送,這也就說明身份驗證的配置有效。要想成功推送,需要先登入成功後再推送
3、登入Docker Registry映象倉庫
docker login 192.168.200.162:5000
4、再次推送
docker push 192.168.200.139:5000/myhelloworld
5、結果驗證