Docker的镜像和容器

要432w

Docker image详细介绍

在之前的介绍中，我们知道docker images 是docker的三大组件之一。

docker把下载的 images 存储到docker主机上，如果一个 image 不在主机上，docker会从一个镜像仓库下载，默认的仓库是  DOCKER HUB  公共仓库。

接下来将介绍更多关于docker images 的内容，包括：

使用和管理本地主机上的 images

创建一个基础的 images

上传 images 到docker hub （公共 images 仓库）

列出本地主机上已经存在的 images

1）使用docker images  显示本机上的 images

在列出信息中，

REPOSITORY:来自于哪个仓库，比如 docker.io/centos

TAG的标记，比如  latest

IMAGE ID:镜像它的 ID 号

CREATED:创建时间

SIZE:镜像的 SIZE

一个仓库可能有一个 images 的都个发行版，比如ubuntu，他们有 10.04 12.04 12.10 13.04 14.04,每个发行版的标记都不同，可以使用 tag 命令来指定 images

注：如果你不指定具体的发行版，比如仅使用ubuntu，那么docker会使用最新的发行版ubuntu:latest

提示：建议最好指定发行版，只有这样你才可以保证你真正使用的 image 是那个

2）获取 images

我们如何获取新的 images 呢？当我们启动容器使用的 image 不再本地主机上时，docker会自动下载他们。这很耗时，我们可以使用docker pull 命令来预先下载我们需要的image 。下面的例子下载一个centos 镜像。

这样当我们使用这个 image 来启动容器的时候，它就可以马上启动了。

3）查找 images

docker的一个特点是很多人因为各种不同的用途创建了各种不同的 images 。它们都被上传到了docker hub 共有仓库上，我们可以在docker hub 的网站上来查找它们。使用dockersearch 命令。比如，当我们需要 ruby 和sinatra作为 web 应用程序的开发时，我们使用docker search  来搜索合适的image ，使用关键字sinatra

我们看到返回了很多包含sinatra的 images 。其中包括 image 名字、描述、星级（表示该 image 的受欢迎程度）、是否官方创建、是否自动创建。官方的 images 是stackbrew项目组创建和维护的，automated 资源允许你验证 image 的来源和内容。

到目前为止，我们看到了 2种 images  资源。比如ubuntu，被称为基础或则根镜像。这些基础镜像是docker公司创建、验证、支持、提供。他们往往使用一个单词作为他们的名字。还有一种类型，比如我们选择的training/sinatra镜像。它是由docker的用户创建并维护的，你可以通过指定 image 名字的前缀来指定他们，比如 training 。

3）下载 images

现在我们指定了一个 image ， training/sinatra，我们可以使用docker pull 命令来下载它

查看镜像文件docker images

查看完整信息

当镜像下载成功后，你可以看到 12 位的 hash 值像 05188b417f30，这是下载完整的镜像的精简 ID，这些短的镜像 ID 是完整镜像 ID 的前 12 个字符--可以使用dockerinspect 或者docker images  --no-trunc来获得完整的镜像 ID

或

4）创建我们自己的 images

别人的镜像虽然好，但不一定适合我们。我们可以对他们做一些改变，有 2 个方法：

1.第一个方法：使用docker commit  来扩展一个 image

先使用 image 启动容器，更新后提交结果到新的 image 。

注意：记住容器的 ID  ，稍后我们还会用到

在容器中添加mariadb-server应用。

当结束后，我们使用 exit 来退出，现在我们的容器已经被我们改变了

使用dockercommint命令来提交相应的副本。

其中， -m  来指定提交的说明信息，跟我们使用的版本控制工具一样； -a  可以指定更新的用户信息；之后是用来创建镜像的容器的 ID；最后指定目标镜像的仓库名和tag 信息。创建成功后会返回这个镜像的 ID信息。

使用docker images  来查看新创建的镜像。

之后，可以使用新的镜像来启动容器

2.第二个办法：从dockerfile来创建 image

使用docker commit  来扩展一个 image 比较简单，但它不容易在一个团队中分享它。我们使用docker build  来创建一个新的 image 。为此，我们需要创建一个dockerfile，包含一些如何创建我们的image的指令。现在，我们来创建一个目录和一个dockerfile

内容如下：

Dockerfile基本的语法是

使用#来注释

FROM指令告诉 Docker 使用哪个镜像作为基础（docker使用哪个 image 源）

MAINTAINER是维护者的信息

RUN开头的指令会在创建中运行，比如安装一个软件包，在这里使用 yum来安装了一些软件

编写完成Dockerfile后可以使用docker build  来生成镜像。

其中  -t  标记来添加 tag，指定新的镜像的用户信息。“.”是Dockerfile所在的路径（当前目录），也可以替换为一个具体的Dockerfile的路径。

可以看到 build 进程在执行操作。它要做的第一件事情就是上传这个Dockerfile内容，因为所有的操作都要依据Dockerfile来进行。然后，Dockfile中的指令被一条一条的执行。每一步都创建了一个新的容器，在容器中执行指令并提交修改（就跟之前介绍过的dockercommit  一样）。当所有的指令都执行完毕之后，返回了最终的镜像 id。所有的中间步骤所产生的容器都被删除和清理了。

*注意一个镜像不能超过 127 层

查看生成的镜像

从我们新建的 images 开启容器

还可以用docker tag  命令来修改镜像的标签。

3.从本地文件系统导入

要从本地文件系统导入一个镜像，可以使用openvz（容器虚拟化的先锋技术）的模板来创建：openvz的模板下载地址为http://openvz.org/Download/template/precreated。

先下载了一个centos-6-x86_64.tar.gz的镜像，之后使用以下命令导入：

5）上传镜像

用户可以通过docker push  命令，把自己创建的镜像上传到仓库中来共享。例如，用户在 Docker Hub 上，完成注册后，可以推送自己的镜像到仓库中。

这里有两种访问可以创建和注册一个 Docker Hub 账户：

1.通过网站，（https://hub.docker.com）

2.通过命令行

你可以通过使用命令行输入 docker login 命令来创建一个 Docker Hub 账号

#docker login

邮箱确认

一旦你填写完毕表格，请查看你的电子邮件，通过点击欢迎信息中的链接来激活您的账户。

基本思路：

首先注册docker的账户，然后使用docker login登录。
使用docker push可以将自己的镜像上传上去了

如果有其他的仓库,例如:

# docker push docker.sina.com.cn:5000/commit

6）用dcokerrmi移除本地 images

dockerrmi镜像名或镜像id

注意：在删除 images 之前要先用dockerrm删掉依赖于这个 images 的容器

7）存出和载入镜像

当需要把一台机器上的镜像迁移到另一台机器的时候，需要存出镜像与载入镜像。

存出镜像

如果要导出镜像到本地文件，可以使用docker save  命令。

载入镜像

可以使用docker load  从导出的本地文件中再导入到本地镜像库，例如

或

这将导入镜像以及其相关的元数据信息（包括标签等）

Docker 容器

容器是 Docker 又一核心概念,简单的说，容器是独立运行的一个或一组应用，以及它们的运行态环境。对应的，虚拟机可以理解为模拟运行的一整套操作系统（提供了运行态环境和其他系统环境）和跑在上面的应用。

本章将具体介绍如何来管理一个容器，包括创建、启动和停止等。

启动容器有两种方式，一种是基于镜像新建一个容器并启动，另外一个是将在终止状态（stopped）的容器重新启动。

新建并启动

所需要的命令主要为docker run

下面的命令则启动一个 bash 终端，允许用户进行交互。

-t 选项让 Docker 分配一个伪终端（pseudo-tty）并绑定到容器的标准输入上， -i则让容器的标准输入保持打开(即交互式)，可以使用—name给容器起个形象的名称。

在交互模式下，用户可以通过所创建的终端来输入命令，例如

容器的核心为所执行的应用程序，所需要的资源都是应用程序运行所必需的。除此之外，并没有其它的资源。可以在伪终端中利用ps或  top  来查看进程信息。

可见，容器中仅运行了指定的 bash 应用。这种特点使得 Docker 对资源的利用率极高，是货真价实的轻量级虚拟化。

如果这个时候我们正常退出，logout 或者 exit 或者Ctrl+d或者Ctrl+c，dockerps–a 查看容器处于 Exit 状态如果需要正常退出可以使用 CTRL –p + CTRL -q ----就像先按CTRL -p 然后 CTRL –q 退出伪终端

下面的命令输出一个“Hello World”，之后终止容器。

这跟在本地直接执行  /bin/echo 'hello world'  几乎感觉不出任何区别。

当利用docker run  来创建容器时，Docker 在后台运行的标准操作包括：

1.检查本地是否存在指定的镜像，不存在就从公有仓库下载

2.利用镜像创建并启动一个容器

3.分配一个文件系统，并在只读的镜像层外面挂载一层可读写层

4.从宿主主机配置的网桥接口中桥接一个虚拟接口到容器中去

5.从地址池配置一个ip地址给容器

6.执行用户指定的应用程序

7.执行完毕后容器被终止

查看容器dockerps

查看容器dockerps

可以利用docker start  命令，直接将一个已经终止的容器启动运行。

# docker start [contraiID]

容器处于 Exited 状态，可以直接启动

终止容器

# docker stop [容器 ID]

# docker kill [容器 ID]

可以使用docker stop  来终止一个运行中的容器。此外，当Docker容器中指定的应用终结时，容器也自动终止。例如对于前面所讲中启动了一个终端的容器，用户通过 exit  命令或Ctrl+d来退出终端时，所创建的容器立刻终止

终止状态的容器可以用dockerps -a  命令看到。例如

状态由 Up -> Exit

处于终止状态的容器，可以通过docker start  命令来重新启动。

重启容器

docker restart  命令会将一个运行态的容器终止，然后再重新启动它。

# docker restart [容器 ID]

守护态运行

更多的时候，需要让 Docker 容器在后台以守护态（Daemonized）形式运行。此时，可以通过添加  -d  参数来实现。例如下面的命令会在后台运行容器。

或

容器启动后会返回一个唯一的 id，也可以通过dockerps命令来查看容器信息。

1．docker run -d 运行提个新的容器，我们通过-d 命令让他作为一个后台运行

2．centos:centos6 是一个我们想要在内部运行命令的镜像

3．/bin/sh -c 是我们想要在容器内部运行的命令

4．while true; do echo hello weibo; sleep 1; done 这是一个简单的脚本，我们仅仅只是每秒打印一次 hello word 一直到我们结束它

用docker  inspect查看容器的信息

命令格式：docker  inspect  容器ID或容器名

用docker  inspect查看容器的ip地址

用docker  inspect查看容器执行的程序

进入容器

在使用 -d 参数时，容器启动后会进入后台。某些时候需要进入容器进行操作，有很多种方法，包括使用docker attach 命令或nsenter命令。

使用docker attach进入容器

docker attach  是Docker自带的命令。下面示例如何使用该命令。

1．docker attach 允许我们进入后台进程.

2．--sig-proxy=false 不使用容器转发信号，允许我们使用 ctrl -c 来退出，执行dockerps查看在后台运行

但是使用  attach  命令有时候并不方便。当多个窗口同时 attach 到同一个容器的时候，所有窗口都会同步显示。当某个窗口因命令阻塞时,其他窗口也无法执行操作了。

也可以执行docker exec进入运行的容器

docker  exec  -it  容器ID/名称 /bin/bash

以上命令返回一个命令界面，exec代表直接在容器中运行命令

使用nsenter进入容器

使用nsenter进入容器

安装

nsenter工具在util-linux包2.23版本后包含。如果系统中util-linux包没有该命令，可以按照下面的方法从源码安装

#wgethttps://www.kernel.org/pub/linux/utils/util-linux/v2.24/util-linux-2.24.tar.gz

#tar util-linux-2.24.tar.gz

#cd util-linux-2.24

# ./configure --without-ncurses&& make nsenter

#cpnsenter /usr/local/bin

nsenter可以访问另一个进程的名字空间。nsenter要正常工作需要有 root 权限

庆幸的是centos7使用的是util-linux-2.23，所以就直接使用系统提供的util-linux包了。

为了连接到容器，你还需要找到容器的第一个进程的PID，可以通过下面的命令获取。

PID=$(docker inspect --format "{{ .State.Pid }}" <container>)

通过这个PID，就可以连接到这个容器：

nsenter --target $PID --mount --uts --ipc --net --pid

下面给出一个完整的例子。

附：更简单的，建议大家下载 .bashrc_docker，并将内容放到 .bashrc中。

#wget  ~ https://github.com/yeasy/docker_ ... ocal/.bashrc_docker

#echo "[ -f ~/.bashrc_docker ] &&. ~/.bashrc_docker" >> ~/.bashrc

#source ~/.bashrc

这个文件中定义了很多方便使用 Docker 的命令，例如docker-pid可以获取某个容器的PID；而docker-enter  可以进入容器或直接在容器内执行命令。

echo $(docker-pid<container>)

docker-enter <container> ls

容器导入和导出

导出容器

docker export [容器 id] > [导出文件]

如果要导出本地某个容器，可以使用docker export  命令。

这样将导出容器快照到本地文件

导入容器

可以使用docker import  从容器快照文件中再导入为镜像

# cat centos6.tar | docker import – centos6:test

#docker images

此外，也可以通过指定 URL 或者某个目录来导入，例如

#docker import http://example.com/exampleimage.tgzexample/imagerepo

*注：用户既可以使用docker load 来导入镜像存储文件到本地镜像库，也可以使用docker import 来导入一个容器快照到本地镜像库。这两者的区别在于容器快照文件将丢弃所有的历史记录和元数据信息（即仅保存容器当时的快照状态），而镜像存储文件将保存完整记录，体积也要大。此外，从容器快照文件导入时可以重新指定标签等元数据信息。

删除容器

可以使用dockerrm来删除一个处于终止状态的容器。

如果要删除一个运行中的容器，可以添加  -f  参数。Docker 会发送SIGKILL信号给容器。

# dockerrm [容器 id/容器 name]

批量删除多个容器

#dockerrm $(dockerps–a –q)