Docker

• • • • 1，docker映象製作
      • 2，docker倉庫搭建

1，docker映象製作

docker官方和個人釋出的映象由於版本等各種原因，漏洞較多，已統計Docker Hub超過30%的官方映象包含高位漏洞。此外，由於網路等原因也會造成docker pull 下載映象的速度很慢。基於這種情況，我們可以手動定製docker系統映象。構建映象的方式有兩種：

• 使用docker commit命令
• 使用docker build和Dockerfile檔案

方式一：docker commit

步驟1：拉取一個基礎映象（其實就是OS）

docker pull centos
 

• 1

步驟2：建立一個互動式容器

docker run -it --name mycentos centos /bin/bash

• 1

這裡的 ll 命令找不到，可能是因為版本問題，這個不影響，想要使用參考解決 ll 命令無法使用

步驟3：將需要的資源上傳到宿主機上

注意！！！：本例是製作一個tomcat映象，所以需要這些資源

步驟4：將宿主機上的資源拷貝到容器

docker cp apache-tomcat-7.0.64.tar.gz mycentos:/root

docker cp jdk-8u181-linux-x64.tar.gz mycentos:/root

• 1
• 2
• 3

步驟5：在容器安裝jdk，解壓並配置

# 解壓jdk到/usr/local/目錄下
tar -zxvf jdk-8u181-linux-x64.tar.gz -C /usr/local/

# 開啟profile檔案，配置環境
vi /etc/profile

• 1
• 2
• 3
• 4
• 5

這裡就跟Linux安裝jdk一樣的，配置好之後重新整理一下，就可以了

步驟6：在容器安裝tomcat，解壓並配置

# 解壓tomcat到/usr/local/目錄下
tar -zxvf apache-tomcat-7.0.64.tar.gz -C /usr/local/

# 編輯tomcat的setclsspath.sh檔案
vi /usr/local/apache-tomcat-7.0.64/bin/setclasspath.sh
 

• 1
• 2
• 3
• 4
• 5

步驟7：將執行的mycentos容器提交為一個新的映象，新的映象名稱為mytomcat

docker commit mycentos mytomcat

• 1

到這裡，我們的映象就已經制作好了

• 埠對映

基於mytomcat映象建立一個容器

docker run -itd --name t1 -p 8888:8080 mytomcat /bin/bash

#進入容器,並去執行startup.sh檔案
docker exec t1 /usr/local/apache-tomcat-7.0.64/bin/startup.sh

• 1
• 2
• 3
• 4

訪問看到如下效果就說明成功了

• 容器/映象打包

#1，映象打包
docker save -o /root/tomcat7.tar mytomcat

#2，將打包的映象上傳到其他伺服器
scp tomcat7.tar 其他伺服器ip:.root


#1，容器打包
docker export -o /root/t1.tar t1
#2，匯入容器
docker import t1.tar mytomcat:latest

• 1
• 2
• 3
• 4
• 5
• 6
• 7
• 8
• 9
• 10
• 11

打包完成了，該匯入了

docker load -i /root/tomcat7.tar

• 1

至此算是完成了

方式二：docker builder

Dockerfile使用基本的基於DSL語法的指令來構建一個Docker映象，之後使用docker builder命令基於該Dockerfile中的指令構建一個新的映象

• DSL語法
  

DSL語法：
1）FROM（指定基礎image）
構建指令，必須指定且需要在Dockerfile其他指令的前面。後續的指令都依賴於該指令指定的image。FROM指令指定的基礎image可以是官方遠端倉庫中的，也可以位於本地倉庫。
FROM命令告訴docker我們構建的映象是以哪個(發行版)映象為基礎的。第一條指令必須是FROM指令。並且，如果在同一個Dockerfile中建立多個映象時，可以使用多個 FROM 指令。

該指令有兩種格式：
FROM <image> 
指定基礎image為該image的最後修改的版本。或者：

FROM <image>:<tag> 
指定基礎image為該image的一個tag版本。

RUN後面接要執行的命令，比如，我們想在映象中安裝vim，只需在Dockfile中寫入 RUN yum install -y vim

2）MAINTAINER（用來指定映象建立者資訊）
構建指令，用於將image的製作者相關的資訊寫入到image中。當我們對該image執行docker inspect命令時，輸出中有相應的欄位記錄該資訊。

格式：
MAINTAINER <name>

3）RUN（安裝軟體用）
構建指令，RUN可以執行任何被基礎image支援的命令。如基礎image選擇了ubuntu，那麼軟體管理部分只能使用ubuntu的命令。

該指令有兩種格式：
RUN <command>  

4）CMD（設定container啟動時執行的操作）
設定指令，用於container啟動時指定的操作。該操作可以是執行自定義指令碼，也可以是執行系統命令。該指令只能在檔案中存在一次，如果有多個，則只執行最後一條。

該指令有三種格式：
CMD ["executable","param1","param2"]
CMD command param1 param2

當Dockerfile指定了ENTRYPOINT，那麼使用下面的格式：
CMD ["param1","param2"]

其中：
ENTRYPOINT指定的是一個可執行的指令碼或者程式的路徑，該指定的指令碼或者程式將會以param1和param2作為引數執行。
所以如果CMD指令使用上面的形式，那麼Dockerfile中必須要有配套的ENTRYPOINT。

5）ENTRYPOINT （設定container啟動時執行的操作）
設定指令：指定容器啟動時執行的命令，可以多次設定，但是隻有最後一個有效。

兩種格式：
ENTRYPOINT ["executable", "param1", "param2"]
ENTRYPOINT command param1 param2

該指令的使用分為兩種情況，一種是獨自使用，另一種和CMD指令配合使用。
當獨自使用時，如果你還使用了CMD命令且CMD是一個完整的可執行的命令，那麼CMD指令和ENTRYPOINT會互相覆蓋，只有最後一個CMD或者ENTRYPOINT有效。

# CMD指令將不會被執行，只有ENTRYPOINT指令被執行
CMD echo “Hello, World!” 
ENTRYPOINT ls -l 

另一種語法和CMD指令配合使用來指定ENTRYPOINT的預設引數，這時CMD指令不是一個完整的可執行命令，僅僅是引數部分；
ENTRYPOINT指令只能使用JSON方式指定執行命令，而不能指定引數。

FROM ubuntu 
CMD ["-l"] 
ENTRYPOINT ["/usr/bin/ls"] 

6）USER（設定container容器的使用者）
設定指令，設定啟動容器的使用者，預設是root使用者。

# 指定memcached的執行使用者 
ENTRYPOINT ["memcached"] 
USER daemon 
或者
ENTRYPOINT ["memcached", "-u", "daemon"]

7）EXPOSE（指定容器需要對映到宿主機器的埠）
設定指令，該指令會將容器中的埠對映成宿主機器中的某個埠。當你需要訪問容器的時候，可以不是用容器的IP地址，而是使用宿主機器的IP地址和對映後的埠。
要完成整個操作需要兩個步驟，首先在Dockerfile使用EXPOSE設定需要對映的容器埠，然後再執行容器的時候指定-p選項加上EXPOSE設定的埠，這樣EXPOSE設定的埠號會被隨機對映成宿主機器中的一個埠號。
也可以指定需要對映到宿主機器的那個埠，這時要確保宿主機器上的埠號沒有被使用。EXPOSE指令可以一次設定多個埠，相應的執行容器的時候，可以配套的多次使用-p選項
EXPOSE <port> [<port>...]

# 對映一個埠 
EXPOSE port1 

# 相應的執行容器使用的命令 
docker run -p port1 image 

# 對映多個埠 
EXPOSE port1 port2 port3 
# 相應的執行容器使用的命令 
docker run -p port1 -p port2 -p port3 image 
# 還可以指定需要對映到宿主機器上的某個埠號 
docker run -p host_port1:port1 -p host_port2:port2 -p host_port3:port3 image

埠對映是docker比較重要的一個功能，原因在於我們每次執行容器的時候容器的IP地址不能指定而是在橋接網絡卡的地址範圍內隨機生成的。
宿主機器的IP地址是固定的，我們可以講容器的埠的對映到宿主機器上的一個埠，免去每次訪問容器中的某個服務時都要檢視容器的IP的地址。
對於一個執行的容器，可以使用docker port加上容器中需要對映的埠和容器的ID來看該埠號在宿主機器上的對映埠。

8）ENV（用於設定環境變數）
主要用於設定容器執行時的環境變數

格式:
ENV <key> <value> 

設定了後，後續的RUN命令都可以使用，container啟動後，可以通過docker inspect檢視這個環境變數，也可以通過在docker run --env key=value時設定或修改環境變數。

假如你安裝了JAVA程式，需要設定JAVA_HOME，那麼可以在Dockerfile中這樣寫：
ENV JAVA_HOME /path/to/java/dirent

9）ADD（從src複製檔案到container的dest路徑）
主要用於將宿主機中的檔案新增到映象中
構建指令，所有拷貝到container中的檔案和資料夾許可權為0755，uid和gid為0：如果是一個目錄，那麼會將該目錄下的所有檔案新增到container中，不包括目錄：
如果檔案是可識別的壓縮格式，則docker會幫忙解壓縮（注意壓縮格式）：如果<src>是檔案且<dest>中不使用斜槓結束，則會將<dest>視為檔案，<src>的內容會寫入<dest>:
如果<src>是檔案且<dest>中使用斜槓結束，則會<src>檔案拷貝到<dest>目錄下。

格式:
ADD <src> <dest> 

<src> 是相對被構建的源目錄的相對路徑，可以是檔案或目錄的路徑，也可以是一個遠端的檔案url;
<dest> 是container中的絕對路徑

10）VOLUME（指定掛載點）
設定指定，使容器中的一個目錄具有持久化儲存資料的功能，該目錄可以被容器本身使用，也可以共享給其他容器使用。我們知道容器使用的是AUFS，
這種檔案系統不能持久化資料，當容器關閉後，所有的更改都會丟失。當容器中的應用有持久化資料的需求時可以在Dockerfile中使用該指令

格式:
VOLUME ["<mountpoint>"]
VOLUME ["/tmp/data"]

執行通過該Dockerfile生成image的容器，/tmp/data目錄中的資料在容器關閉後，裡面的資料還存在。例如另一個容器也有持久化資料的需求，且想使用上面容器共享的/tmp/data目錄，那麼可以執行下面的命令啟動一個容器：
docker run -t -i -rm -volumes-from container1 image2 bash

其中：container1為第一個容器的ID，image2為第二個容器執行image的名字。

11）WORKDIR（切換目錄）
設定指令，可以多次切換(相當於cd命令)，對RUN,CMD,ENTRYPOINT生效。

格式:
WORKDIR /path/to/workdir 

# 在/p1/p2下執行vim a.txt 
WORKDIR /p1 WORKDIR p2 RUN vim a.txt 

12）ONBUILD（在子映象中執行）

格式：
ONBUILD <Dockerfile關鍵字> 

ONBUILD 指定的命令在構建映象時並不執行，而是在它的子映象中執行

• 1
• 2
• 3
• 4
• 5
• 6
• 7
• 8
• 9
• 10
• 11
• 12
• 13
• 14
• 15
• 16
• 17
• 18
• 19
• 20
• 21
• 22
• 23
• 24
• 25
• 26
• 27
• 28
• 29
• 30
• 31
• 32
• 33
• 34
• 35
• 36
• 37
• 38
• 39
• 40
• 41
• 42
• 43
• 44
• 45
• 46
• 47
• 48
• 49
• 50
• 51
• 52
• 53
• 54
• 55
• 56
• 57
• 58
• 59
• 60
• 61
• 62
• 63
• 64
• 65
• 66
• 67
• 68
• 69
• 70
• 71
• 72
• 73
• 74
• 75
• 76
• 77
• 78
• 79
• 80
• 81
• 82
• 83
• 84
• 85
• 86
• 87
• 88
• 89
• 90
• 91
• 92
• 93
• 94
• 95
• 96
• 97
• 98
• 99
• 100
• 101
• 102
• 103
• 104
• 105
• 106
• 107
• 108
• 109
• 110
• 111
• 112
• 113
• 114
• 115
• 116
• 117
• 118
• 119
• 120
• 121
• 122
• 123
• 124
• 125
• 126
• 127
• 128
• 129
• 130
• 131
• 132
• 133
• 134
• 135
• 136
• 137
• 138
• 139
• 140
• 141
• 142
• 143
• 144

dockerfile構建映象：

步驟1：建立一個目錄

mkdir rw-test

• 1

步驟2：編輯Dockerfile檔案，注意D要大寫

vim Dockerfile

• 1

編輯內容如下：

#pull down centos image
FROM docker.io/centos
MAINTAINER ruanwen [email protected]
#install nginx
RUN yum install -y pcre pcre-devel openssl openssl-devel gcc gcc+ wget vim net-tools
RUN useradd www -M -s /sbin/nologin
RUN cd /usr/local/src && wget http://nginx.org/download/nginx-1.8.0.tar.gz && tar -zxvf nginx-1.8.0.tar.gz
RUN cd /usr/local/src/nginx-1.8.0 && ./configure --prefix=/usr/local/nginx --user=www --group=www --with-http_stub_status_module --with-http_ssl_module && make && make install

ENTRYPOINT /usr/local/nginx/sbin/nginx && tail -f /usr/local/nginx/logs/access.log

• 1
• 2
• 3
• 4
• 5
• 6
• 7
• 8
• 9
• 10

步驟3：在rw-test目錄下構建映象：

docker build -t rw_nginx --rm=true .

-t	表示選擇指定生成映象的使用者名稱，倉庫名和tag
--rm=true	表示指定在生成映象過程中刪除中間產生的臨時容器
注意：上面構建命令中最後的.符合不要漏了，表示使用當前目錄下的Dockerfile構建映象

• 1
• 2
• 3
• 4
• 5

會依次執行Dockerfile檔案的每一個步驟

步驟4：測試

docker run -ti -d --name test_nginx -p 8899:80 rw_nginx /bin/bash
docker exec test_nginx /bin/bash
#
通過瀏覽器訪問：http://ip:8899

• 1
• 2
• 3
• 4

2，docker倉庫搭建

Docker倉庫（Repository）類似與程式碼倉庫，是Docker集中存放映象檔案的地方。

• docker hub

1，開啟https://hub.docker.com/
2，註冊賬號，略
3，建立倉庫（Create Repository）：略
4，設定映象標籤
docker tag local-image:tagname new-repo:tagname
示例：docker tag hello-word:latest myqxin/test-hello-world:v1
5，登入docker hub
docker login（回車，輸入賬號和密碼）
6，推送映象
docker push new-repo:tagname
示例：docker push myqxin/test-hello-world:v1

我這裡把test-hello-world弄成了test-hell-world，你們注意一下

• 阿里雲

略：參考官方文件

步驟：
1，建立阿里雲賬號
2，建立命令空間
3，建立映象倉庫
4，操作指南
$ sudo docker login --username=[賬號名稱] registry.cn-hangzhou.aliyuncs.com
$ sudo docker tag [ImageId] registry.cn-hangzhou.aliyuncs.com/360buy/portal:[映象版本號]
$ sudo docker push registry.cn-hangzhou.aliyuncs.com/360buy/portal:[映象版本號]

• 搭建私有倉庫

1，啟動docker Registry，使用Docker官方提供的Registry映象就可以搭建本地私有映象倉庫，具體指令如下。

docker run -d \
-p 5000:5000 \
--restart=always \
--name registry \
-v /mnt/registry:/var/lib/registry \
registry:2

• 1
• 2
• 3
• 4
• 5
• 6

指令引數說明：
-d：表示在後臺執行該容器
-p 5000:5000：表示將私有映象倉庫容器內部預設暴露的5000埠對映到宿主機的5000埠
–restart=always：表示容器啟動後自動啟動本地私有映象倉庫
–name registry：表示為生成的容器命名為registry
-v /mnt/registry:/var/lib/registry：表示將容器內的預設儲存位置/var/lib/registry中的資料掛載到宿主機的/mnt/registry目錄下，這樣當容器銷燬後，在容器中/var/lib/registry目錄下的資料會自動備份到宿主機指定目錄
提示：
Docker Registry目前有v1和v2兩個版本，v2版本並不是v1版本的簡單升級，而是在很多功能上都有了改進和優化。v1版本使用的是Python開發的，而v2版本是用go語言開發的，v1版本本地映象倉庫容器中資料預設掛載點是/tmp/registry，而v2版本的本地映象倉庫容器中資料預設掛載點是/var/lib/registry

重新命名映象：之前推送映象時，都是預設推送到遠端映象倉庫，而本次是將指定映象推送到本地私有映象倉庫。由於推送到本地私有映象倉庫的映象名稱必須符合“倉庫IP：埠號/repository”的形式，因此需要按照要求修改映象名稱，具體操作指令如下。

docker tag hello-world:latest localhost:5000/myhellodocker

• 1

推送映象：本地私有映象倉庫搭建並啟動完成，同時要推送的映象也已經準備就緒後，就可以將指定映象推送到本地私有映象倉庫了，具體操作指令如下

docker push localhost:5000/myhellodocker

• 1

檢視本地倉庫映象
http://localhost:5000/v2/myhellodocker/tags/list （注意：使用該地址時注意映象名稱）
由於做了目錄掛載，因此可以在本地的該目錄下檢視：
/mnt/registry/docker/registry/v2/repositories
推送，不需要輸入賬號密碼（不安全）

• 配置私有倉庫認證

1，檢視Docker Registry私有倉庫搭建所在伺服器地址：ipconfig
例如：伺服器地址為：192.168.204.130
2，生成自簽名證書（在home目錄下執行上述指令後）
要確保Docker Registry本地映象倉庫的安全性，還需要一個安全認證證書，來保證其他Docker機器不能隨意訪問該機器上的Docker Registry本地映象倉庫，所以需要在搭建Docker Registry本地映象倉庫的Docker主機上先生成自簽名證書（如果已購買證書就無需生成），具體操作指令如下：

mkdir registry && cd registry && mkdir certs && cd certs

openssl req -x509 -days 3650 -subj '/CN=192.168.204.130:5000/' \    
 -nodes -newkey rsa:2048 -keyout domain.key -out domain.crt

• 1
• 2
• 3
• 4

指令引數說明：
-x509：x509是一個自簽發證書的格式
rsa：2048，是證書演算法長度
domain.key和domain.crt：就是生成的證書檔案
3，生成使用者名稱和密碼
在Docker Registry本地映象倉庫所在的Docker主機上生成自簽名證書後，為了確保Docker機器與該Docker Registry本地映象倉庫的互動，還需要生成一個連線認證的使用者名稱和密碼，使其他Docker使用者只有通過使用者名稱和密碼登入後才允許連線到Docker Registry本地映象倉庫

cd .. && mkdir auth

docker run --entrypoint htpasswd registry:2 -Bbn ruanwen 123456 > auth/htpasswd

• 1
• 2
• 3

4、啟動Docker Registry本地映象倉庫服務（將之前建立的容器刪除）

docker run -d \ 
 -p 5000:5000 \  
 --restart=always \  
 --name registry \  
 -v /mnt/registry:/var/lib/registry \  
 -v `pwd`/auth:/auth \  -e "REGISTRY_AUTH=htpasswd" \  
 -e "REGISTRY_AUTH_HTPASSWD_REALM=Registry Realm" \  
 -e REGISTRY_AUTH_HTPASSWD_PATH=/auth/htpasswd \ 
 -v `pwd`/certs:/certs \  
 -e REGISTRY_HTTP_TLS_CERTIFICATE=/certs/domain.crt \  
 -e REGISTRY_HTTP_TLS_KEY=/certs/domain.key \ 
  registry:2

• 1
• 2
• 3
• 4
• 5
• 6
• 7
• 8
• 9
• 10
• 11
• 12

5、配置Docker Registry訪問接
完成Docker Registry本地映象倉庫服務啟動後，還需要在搭建了Docker Registry本地映象倉庫所在的Docker主機上配置供其他Docker機器訪問的介面，具體指令如下：

sudo mkdir -p /etc/docker/certs.d/192.168.204.130:5000
sudo cp certs/domain.crt /etc/docker/certs.d/192.168.204.130:5000

• 1
• 2

6、Docker Registry私有倉庫使用登記
在Docker機器終端使用sudo vim /etc/docker/daemon.json命令編輯daemon.json檔案，在該檔案中新增如下內容
{“insecure-registries”:[“192.168.200.162:5000”]}
7、重啟並載入docker配置檔案
sudo /etc/init.d/docker restart
二、驗證測試1、裝備映象
docker tag hello-world:latest 192.168.200.162:5000/myhelloworld
2、推送映象
docker push 192.168.200.141:5000/myhelloworld
送過程中出現錯誤，資訊提示為：no basic auth credentials（即沒有通過身份驗證），所以無法進行推送，這也就說明身份驗證的配置有效。要想成功推送，需要先登入成功後再推送
3、登入Docker Registry映象倉庫
docker login 192.168.200.162:5000
4、再次推送
docker push 192.168.200.139:5000/myhelloworld
5、結果驗證