Docker 操作流程

一、下载安装

1、检查服务器是否存在docker

yum list installed | grep docker

 

2、安装

这里要提一下，centos 7系统的CentOS-Extras库中已带Docker，因此先后安装：

（1）yum install -y yum-utils device-mapper-persistent-data lvm2

（2）yum-config-manager \

--add-repo \

https://download.docker.com/linux/centos/docker-ce.repo

（2）yum makecache fast

（3）yum install -y docker-ce

 

3、查看docker版本

docker version # docker安装后使用
docker info  # docker启动后使用

例如：使用命令docker version ，回显信息如下：

 

 到这里docker的安装就成功了。

 

4、接下来启动docker

systemctl daemon-reload  # 重新加载服务配置文件
systemctl enable docker  # 开机自动启动docker
systemctl start docker # 启动docker
systemctl status docker # 查看docker状态

 

二、Docker 部署 tomcat 以及应用

1、查看本地服务镜像资源

比如：我要查找tomcat的镜像资源，命令如下：

docker search tomcat

回显信息：

 

 

2、拉取镜像到本地

docker pull tomcat

这里由于镜像源以及网络问题，可能会有点慢。。。。

 

3、镜像拉取成功后，使用如下命令查看

docker images

回显信息如下：

 

 

4、使用 docker run 命令运行 tomcat容器

docker run -di --name=tomcat_t -p 8080:8080 tomcat:latest

这里给出了参数说明：

-a, --attach=[] 登录容器（必须是以docker run -d启动的容器）
-w, --workdir="" 指定容器的工作目录
-c, --cpu-shares=0 设置容器CPU权重，在CPU共享场景使用
-e, --env=[] 指定环境变量，容器中可以使用该环境变量
-m, --memory="" 指定容器的内存上限
-P, --publish-all=false 指定容器暴露的端口
-p, --publish=[] 指定容器暴露的端口 ；比如：-p 8080:8080　　指定容器和主机的映射端口 前者是外围访问端口：后者是容器内部端口

-h, --hostname="" 指定容器的主机名
-v, --volume=[] 给容器挂载存储卷，挂载到容器的某个目录
--volumes-from=[] 给容器挂载其他容器上的卷，挂载到容器的某个目录
--cap-add=[] 添加权限，权限清单详见：http://linux.die.net/man/7/capabilities
--cap-drop=[] 删除权限，权限清单详见：http://linux.die.net/man/7/capabilities
--cidfile="" 运行容器后，在指定文件中写入容器PID值，一种典型的监控系统用法
--cpuset="" 设置容器可以使用哪些CPU，此参数可以用来容器独占CPU
--device=[] 添加主机设备给容器，相当于设备直通
--dns=[] 指定容器的dns服务器
--dns-search=[] 指定容器的dns搜索域名，写入到容器的/etc/resolv.conf文件
--entrypoint="" 覆盖image的入口点
--env-file=[] 指定环境变量文件，文件格式为每行一个环境变量
--expose=[] 指定容器暴露的端口，即修改镜像的暴露端口
--link=[] 指定容器间的关联，使用其他容器的IP、env等信息
--lxc-conf=[] 指定容器的配置文件，只有在指定--exec-driver=lxc时使用
--name="" 指定自定义容器名字，后续可以通过名字进行容器管理，links特性需要使用名字
--net="bridge" 容器网络设置:
bridge 使用docker daemon指定的网桥
host //容器使用主机的网络
container:NAME_or_ID >//使用其他容器的网路，共享IP和PORT等网络资源
none 容器使用自己的网络（类似--net=bridge),但是不进行配置

--privileged=false 指定容器是否为特权容器，特权容器拥有所有的capabilities
--restart="no" 指定容器停止后的重启策略:
no：容器退出时不重启
on-failure：容器故障退出（返回值非零）时重启
always：容器退出时总是重启
--rm=false 指定容器停止后自动删除容器(不支持以docker run -d启动的容器)
--sig-proxy=true 设置由代理接受并处理信号，但是SIGCHLD、SIGSTOP和SIGKILL不能被代理

 

5、使用浏览器访问 tomcat 服务

（1）根据服务器系统镜像版本的不同，给出两种开放防火墙端口的方法

　　第一种：firewall　　

 

# systemctl start firewalld        # 启动,
# systemctl enable firewalld        # 开机启动
# systemctl stop firewalld          # 关闭
# systemctl disable firewalld      # 取消开机启动



CentOS7使用firewall而不是iptables。所以解决这类问题可以通过添加firewall的端口，使其对我们需要用的端口开放。

（1）查看防火墙状态。得到结果是running或者not running

　　firewall-cmd --state

（2）在running 状态下，向firewall 添加需要开放的端口
　　firewall-cmd --permanent --zone=public --add-port=8080/tcp //永久的添加该端口。去掉--permanent则表示临时。

（3）加载配置，使得修改有效。

　　firewall-cmd --reload 

（4）查看开启的端口，出现8080/tcp这开启正确

　　firewall-cmd --permanent --zone=public --list-ports 

 

　　第二种：iptables

 

（1）查看iptables列表

　　iptables -nL

（2）不允许10.8.0.0/16网络对80/tcp端口进行访问

　　iptables -A INPUT -s 10.8.0.0/16 -d 172.16.55.7 -p tcp --dport 80 -j DROP


（3）service iptables restart  # 重启

（4）service iptables stop  # 停止


（5）下面我只打开22端口，看我是如何操作的，就是下面2个语句，然后保存：

　　iptables -A INPUT -p tcp --dport 22 -j ACCEPT
　　iptables -A OUTPUT -p tcp --sport 22 -j ACCEPT

　　service iptables save  # 保存

（6）禁止 192.168.1.2 访问

　　iptables -A INPUT -p tcp -s 192.168.1.2 -j DROP

（7）通过 iptables -L -n --line-number 可以显示规则和相对应的编号
　　iptables -L -n --line-number

 

（2）因为我是用的阿里云服务器，这里需要在控制台ECS的安全组开放端口

只要设置了入口方向，外部即可访问

 

 

（3）在浏览器输入服务器外网IP+指定端口，访问即可进入到 tomcat 的欢迎页面

 

 

6、如果我要从宿主机拷文件到容器里面，该怎么操作：

　　

docker cp /root/soft/docker/war/index.html tomcat_t:/usr/local/tomcat/webapps/ROOT   # docker cp 要拷贝的文件路径 容器名：要拷贝到容器里面对应的路径

文件源路径：/root/soft/docker/war/index.html

容器名称：tomcat_t

容器对应路径：/usr/local/tomcat/webapps/ROOT

 

7、那么从容器里面拷文件到宿主机呢？

docker cp tomcat_t:/usr/local/tomcat/webapps/ROOT/js/index.html /root/soft/docker/war  # docker cp 容器名：要拷贝的文件在容器里面的路径 要拷贝到宿主机的相应路径 

文件指定路径（宿主机）：/root/soft/docker/war/index.html

容器名称：tomcat_t

容器文件源路径：/usr/local/tomcat/webapps/ROOT

 

8、查看容器内的进程

docker top tomcat_t  # tomcat_t：容器名称

回显信息：

 

 

9、查看日志

docker logs tomcat_t

10、在正在运行的容器增加进程

docker exec tomcat_t -i -t /bin/bash

 

11、在容器中启动一个长久运行的进程，不断向stdin输出 hello。模拟一个后台运行的服务

 

docker run -d tomcat:latest /bin/bash -c “while true;do echo hello ;sleep 1;done”

docker命令参数：
-d :后台运行容器，并且返回容器ID
-c :后面跟着待完成的命令

 

三、进入容器内操作

1、容器创建与进入容器里面同步操作，命令如下：

docker run -it --name tomcat_t -p 8080:8080 tomcat:latest /bin/bash

 

2、容器创建之后，进入容器，命令如下：

docker exec -it tomcat_t bash  # docker exec -it 容器名称/容器Id bash

 

3、更换了tomcat 的war包，需要进去容器并启动，操作步骤如下：

（1）进入 tomcat_t 容器

docker exec -it tomcat_t bash

（2）获取源文件路径（宿主机）、容器名称、拷贝到容器的目标路径，使用命令如下：

比如，我在宿主机路径/root/soft/docker/war/ 创建 index.html 文件

内容如下：

hello world!

然后保存！

 

然后 index.html 拷贝到容器里面的  /usr/local/tomcat/webapps/ROOT 目录下面

docker cp /root/soft/docker/war/index.html tomcat_t:/usr/local/tomcat/webapps/ROOT

（3）在容器里面启动项目

进入容器里面的/usr/local/tomcat/bin目录下，执行命令：

./catalina.sh run

 

 （4）这时候再用浏览器访问

 

 

 

 

四、运行容器的方式

1、直接运行

docker run -p 8081:8080 docker.io/tomcat

这种方式，容器重启后，项目就不在了！！

2、以挂载的方式运行

docker run -d -v /usr/docker_file/NginxDemo.war:/usr/local/tomcat/webapps/NginxDemo.war -p 8080:8080 docker.io/tomcat

 

前两种建议在测试环境使用，毕竟要在经常修改代码。

3、使用 Dockerfile 

这里要提一下，copy最好将主机的文件放在dockerfile的同级目录下面，放在其他地方可能会找不到的。

注意：copy 的第二个参数是docker的目标路径，如果/结尾就是当作目录，如果不是一这个结尾默认当作文件处理

（1）编写 Dockerfile

#使用的基础镜像
FROM centos
#创建目录
RUN mkdir -p /docker_home/local
#把当前目录下的jdk文件夹添加到镜像
ADD tomcat9 /docker_home/local/tomcat9
ADD jdk18 /docker_home/local/jdk18
ENV JAVA_HOME /docker_home/local/jdk18/
ENV CATALINA_HOME /docker_home/local/tomcat9
ENV PATH $PATH:$JAVA_HOME/bin:$CATALINA_HOME/bin
#暴露8080端口
EXPOSE 8082
#启动时运行tomcat
CMD ["/docker_home/local/tomcat9/bin/catalina.sh","run"]

 

（2）生成镜像

docker build -t centos -f Dockerfile ./
# -t:给新构建的镜像取名，定义版本号（标签）
# -f:指定Dockerfile 文件；比如：docker build -t centos -f /root/soft/docker/phon/Dockerfile .
# -q:安静模式，成功后只输出镜像 ID
# -m:设置内存最大值

（3）启动新镜像、

docker run -d -p 8082:8082 --name=tomcat9 centos

 

五、在容器里面安装工具

1、在容器里面安装工具

需要进入容器：docker exec -it tomcat_t bash
#容器内执行如下命令
# 同步 /etc/apt/sources.list 和 /etc/apt/sources.list.d 中列出的源的索引，获取到最新的软件包。
apt-get update
# 安装 vim命令
apt install vim
apt install net-tools       # ifconfig 
apt install iputils-ping     # ping
# 其他指令类似
apt install yum
apt isntall vi
apt install wget

 

2、使用Dockerfile 安装

#使用的基础镜像
FROM tomcat:8.5
#下载工具依赖
RUN apt-get update
RUN apt-get install net-tools
RUN apt-get install vim -y
#启动时运行tomcat
CMD ["catalina.sh", "run"]
#设置启动命令
#ENTRYPOINT ["/usr/local/tomcat/bin/catalina.sh","run"]

 

 

六、Dockerfile文件 格式以及参数说明：

1、FROM

功能为指定基础镜像，并且必须是第一条指令。
如果不以任何镜像为基础，那么写法为：FROM scratch。
同时意味着接下来所写的指令将作为镜像的第一层开始

语法：

FROM <image>
FROM <image>:<tag>
FROM <image>:<digest> 
三种写法，其中<tag>和<digest> 是可选项，如果没有选择，那么默认值为latest

2、RUN

 功能为运行指定的命令

RUN命令有两种格式

1. RUN <command>
2. RUN ["executable", "param1", "param2"]
第一种后边直接跟shell命令

在linux操作系统上默认 /bin/sh -c
在windows操作系统上默认 cmd /S /C
第二种是类似于函数调用。

可将executable理解成为可执行文件，后面就是两个参数。

两种写法比对：
RUN /bin/bash -c 'source $HOME/.bashrc; echo $HOME
RUN ["/bin/bash", "-c", "echo hello"]
注意：多行命令不要写多个RUN，原因是Dockerfile中每一个指令都会建立一层.

 多少个RUN就构建了多少层镜像，会造成镜像的臃肿、多层，不仅仅增加了构件部署的时间，还容易出错。

RUN书写时的换行符是\

3、CMD

功能为容器启动时要运行的命令

语法有三种写法

1. CMD ["executable","param1","param2"]
2. CMD ["param1","param2"]
3. CMD command param1 param2
第三种比较好理解了，就时shell这种执行方式和写法

第一种和第二种其实都是可执行文件加上参数的形式

 

举例说明两种写法：

CMD [ "sh", "-c", "echo $HOME" 
CMD [ "echo", "$HOME" ]
补充细节：这里边包括参数的一定要用双引号，就是",不能是单引号。千万不能写成单引号。

原因是参数传递后，docker解析的是一个JSON array

4、RUN & CMD

不要把RUN和CMD搞混了。

RUN是构件容器时就运行的命令以及提交运行结果

CMD是容器启动时执行的命令，在构件时并不运行，构件时紧紧指定了这个命令到底是个什么样子

5、LABEL

功能是为镜像指定标签

 

语法：

LABEL <key>=<value> <key>=<value> <key>=<value> ...
 一个Dockerfile种可以有多个LABEL，如下：

LABEL "com.example.vendor"="ACME Incorporated"
LABEL com.example.label-with-value="foo"
LABEL version="1.0"
LABEL description="This text illustrates \
that label-values can span multiple lines."
 但是并不建议这样写，最好就写成一行，如太长需要换行的话则使用\符号

如下：

LABEL multi.label1="value1" \
multi.label2="value2" \
other="value3"
 

说明：LABEL会继承基础镜像种的LABEL，如遇到key相同，则值覆盖

6、MAINTAINER

指定作者

语法：

MAINTAINER <name>

7、EXPOSE

功能为暴漏容器运行时的监听端口给外部

但是EXPOSE并不会使容器访问主机的端口

如果想使得容器与主机的端口有映射关系，必须在容器启动的时候加上 -P参数

8、ENV

功能为设置环境变量

语法有两种

1. ENV <key> <value>
2. ENV <key>=<value> ...
两者的区别就是第一种是一次设置一个，第二种是一次设置多个

9、ADD

一个复制命令，把文件复制到镜像中。
如果把虚拟机与容器想象成两台linux服务器的话，那么这个命令就类似于scp，只是scp需要加用户名和密码的权限验证，而ADD不用。

语法如下：

1. ADD <src>... <dest>
2. ADD ["<src>",... "<dest>"]

<dest>路径的填写可以是容器内的绝对路径，也可以是相对于工作目录的相对路径

<src>可以是一个本地文件或者是一个本地压缩文件，还可以是一个url

如果把<src>写成一个url，那么ADD就类似于wget命令

如以下写法都是可以的：

ADD test relativeDir/ 
ADD test /relativeDir
ADD http://example.com/foobar /
尽量不要把<scr>写成一个文件夹，如果<src>是一个文件夹了，复制整个目录的内容,包括文件系统元数据

10、COPY

看这个名字就知道，又是一个复制命令

语法如下：

1. COPY <src>... <dest>
2. COPY ["<src>",... "<dest>"]
与ADD的区别

COPY的<src>只能是本地文件，其他用法一致

11、ENTRYPOINT

功能是启动时的默认命令

语法如下：

1. ENTRYPOINT ["executable", "param1", "param2"]
2. ENTRYPOINT command param1 param2
 

如果从上到下看到这里的话，那么你应该对这两种语法很熟悉啦。

第二种就是写shell

第一种就是可执行文件加参数


与CMD比较说明（这俩命令太像了，而且还可以配合使用）：

1. 相同点：

只能写一条，如果写了多条，那么只有最后一条生效

容器启动时才运行，运行时机相同


2. 不同点：

 ENTRYPOINT不会被运行的command覆盖，而CMD则会被覆盖

 如果我们在Dockerfile种同时写了ENTRYPOINT和CMD，并且CMD指令不是一个完整的可执行命令，那么CMD指定的内容将会作为ENTRYPOINT的参数

如下：

FROM ubuntu
ENTRYPOINT ["top", "-b"]
CMD ["-c"]
如果我们在Dockerfile种同时写了ENTRYPOINT和CMD，并且CMD是一个完整的指令，那么它们两个会互相覆盖，谁在最后谁生效

如下：

FROM ubuntu
ENTRYPOINT ["top", "-b"]
CMD ls -al
那么将执行ls -al ,top -b不会执行。

 

12、VOLUME

可实现挂载功能，可以将内地文件夹或者其他容器种得文件夹挂在到这个容器种


语法为：

VOLUME ["/data"]
    

说明：

   ["/data"]可以是一个JsonArray ，也可以是多个值。所以如下几种写法都是正确的

VOLUME ["/var/log/"]
VOLUME /var/log
VOLUME /var/log /var/db
一般的使用场景为需要持久化存储数据时

容器使用的是AUFS，这种文件系统不能持久化数据，当容器关闭后，所有的更改都会丢失。

所以当数据需要持久化时用这个命令。

13、USER

设置启动容器的用户，可以是用户名或UID，所以，只有下面的两种写法是正确的

USER daemo
USER UID
注意：如果设置了容器以daemon用户去运行，那么RUN, CMD 和 ENTRYPOINT 都会以这个用户去运行

14、WORKDIR

语法：

WORKDIR /path/to/workdir
 

设置工作目录，对RUN,CMD,ENTRYPOINT,COPY,ADD生效。如果不存在则会创建，也可以设置多次。


如：

WORKDIR /a
WORKDIR b
WORKDIR c
RUN pwd
pwd执行的结果是/a/b/c


WORKDIR也可以解析环境变量

如：

ENV DIRPATH /path
WORKDIR $DIRPATH/$DIRNAME
RUN pwd
pwd的执行结果是/path/$DIRNAME

15、ARG

语法：

ARG <name>[=<default value>]
设置变量命令，ARG命令定义了一个变量，在docker build创建镜像的时候，使用 --build-arg <varname>=<value>来指定参数

如果用户在build镜像时指定了一个参数没有定义在Dockerfile种，那么将有一个Warning

提示如下：

[Warning] One or more build-args [foo] were not consumed.
    

我们可以定义一个或多个参数，如下：

FROM busybox
ARG user1
ARG buildno
...
也可以给参数一个默认值：

FROM busybox
ARG user1=someuser
ARG buildno=1
...
如果我们给了ARG定义的参数默认值，那么当build镜像时没有指定参数值，将会使用这个默认值

16、ONBUILD

语法：

ONBUILD [INSTRUCTION]
这个命令只对当前镜像的子镜像生效。

比如当前镜像为A，在Dockerfile种添加：

ONBUILD RUN ls -al
这个 ls -al 命令不会在A镜像构建或启动的时候执行


此时有一个镜像B是基于A镜像构建的，那么这个ls -al 命令会在B镜像构建的时候被执行。

17、STOPSIGNAL

语法：

STOPSIGNAL signal
STOPSIGNAL命令是的作用是当容器推出时给系统发送什么样的指令

18、HEALTHCHECK

容器健康状况检查命令

语法有两种：

1. HEALTHCHECK [OPTIONS] CMD command
2. HEALTHCHECK NONE
第一个的功能是在容器内部运行一个命令来检查容器的健康状况

第二个的功能是在基础镜像中取消健康检查命令

 

[OPTIONS]的选项支持以下三中选项：

    --interval=DURATION 两次检查默认的时间间隔为30秒

    --timeout=DURATION 健康检查命令运行超时时长，默认30秒

    --retries=N 当连续失败指定次数后，则容器被认为是不健康的，状态为unhealthy，默认次数是3
  

注意：

HEALTHCHECK命令只能出现一次，如果出现了多次，只有最后一个生效。


CMD后边的命令的返回值决定了本次健康检查是否成功，具体的返回值如下：

0: success - 表示容器是健康的

1: unhealthy - 表示容器已经不能工作了

2: reserved - 保留值


例子：

HEALTHCHECK --interval=5m --timeout=3s \
CMD curl -f http://localhost/ || exit 1
  

健康检查命令是：curl -f http://localhost/ || exit 1

两次检查的间隔时间是5秒

命令超时时间为3秒