核心概念
- 镜像:一个只读的模板,类似虚拟机的镜像。
- 容器:可以理解为镜像的一个运行实例。运行时类似于沙箱,多个容器互相独立。
- 仓库:存放镜像文件的地方。
镜像
命令表格
| 命令 | 解释 | 选项 |
|---|---|---|
| docker pull NAME[:TAG|@DIGEST] | 拉取镜像 | |
| docker push NAME[:TAG] | 推送镜像 | |
| docker images [REPOSITORY[:TAG]] | 镜像列表 | |
| docker rmi IMAGE [IMAGE...] | 删除镜像,如果有容器正在使用镜像,无法删除。 | -f:强制删除。 |
| docker tag SOURCE_IMAGE[:TAG] TARGET_IMAGE[:TAG] | 打标签,类似于多了一引用。source与target的image id是相同的。 | |
| docker inspect NAME|ID [NAME|ID...] | 查看镜像/容器信息 | |
| docker image prune | 删除未使用镜像镜像。 | -a:删除所有未使用的镜像 |
创建镜像
- 基于已有容器创建:docker commit
- 基于本地模板导入:docker import(与export命令一起在容器部分介绍)
- 基于Dockerfile创建:docker build(内容较多,后面单独拿出来)
docker commit
基于其他镜像修改、安装一些程序后,commit提交生成新的镜像。
准备一个ubuntu镜像
-> [feifei@ffmac.local] [~] docker pull ubuntu
-> [feifei@ffmac.local] [~] docker images
REPOSITORY TAG IMAGE ID CREATED SIZE
ubuntu latest 1d622ef86b13 2 weeks ago 73.9MB
-> [feifei@ffmac.local] [~] docker ps -a
CONTAINER ID IMAGE COMMAND CREATED STATUS PORTS NAMES
运行镜像添加一个文件
-> [feifei@ffmac.local] [~] docker run -it ubuntu /bin/bash
root@af9221c0bb6e:/# touch a.txt
root@af9221c0bb6e:/# exit
exit
查看容器列表,查看修改内容,生成新的镜像myubuntu
-> [feifei@ffmac.local] [~] docker ps -a
CONTAINER ID IMAGE COMMAND CREATED STATUS PORTS NAMES
af9221c0bb6e ubuntu "/bin/bash" 22 seconds ago Exited (0) 6 seconds ago fervent_wiles
-> [feifei@ffmac.local] [~] docker diff af9221c0bb6e
A /a.txt
C /root
A /root/.bash_history
-> [feifei@ffmac.local] [~] docker commit af9221c0bb6e myubuntu
sha256:9a8c0fa00cdadc308be6cf9e846602dd17a058699f2ba9a0bd52ad2a346265f4
-> [feifei@ffmac.local] [~] docker images
REPOSITORY TAG IMAGE ID CREATED SIZE
myubuntu latest 9a8c0fa00cda 7 seconds ago 73.9MB
ubuntu latest 1d622ef86b13 2 weeks ago 73.9MB
docker save/load
docker save IMAGE [IMAGE...]
save的存出目标是镜像。通常用法 docker save -o myimport2.tar myimport 或者 docker save myimport > myimport2.tar
-> [feifei@ffmac.local] [~] docker save -o myimport2.tar myimport
-> [feifei@ffmac.local] [~] ls
import.txt myimport.tar myimport2.tar
删除myimport镜像后载入
-> [feifei@ffmac.local] [~] docker load -i myimport2.tar
90441ead6bbb: Loading layer [==================================================>] 1.536kB/1.536kB
Loaded image: myimport:latest
载入后的镜像与删除之前的image id相同,这也是与import的区别所在。
容器
命令表格
| 命令 | 解释 | 备注 |
|---|---|---|
| docker create IMAGE [COMMAND] [ARG...] | 从镜像创建一个容器,刚创建完的容器状态是Created | 参数极多,help。 |
| docker start CONTAINER [CONTAINER...] | 开始一个或多个容器 | -i:让容器的标准输入保持打开 |
| docker container prune | 移除所有已停止的容器,包括Created和Exited状态的。 | |
| docker stop CONTAINER [CONTAINER...] | 终止容器运行 | -t:默认为10,表示等待最长多长时间后会被kill |
| docker kill CONTAINER [CONTAINER...] | 向容器发送信号 | -s:默认是KILL |
| docker attach CONTAINER | 多个窗口同时attach到一个容器时,所有窗口会同步显示。当某个窗口阻塞时,其他窗口也无法操作。 | |
| docker exec CONTAINER COMMAND [ARG...] | 每个窗口都是独立的 | 通常用法:docker exec -it c1 /bin/bash |
| docker rm CONTAINER [CONTAINER...] | 只能删除终止和退出的容器,-f 强制删除运行中的容器。Docker会先发送SIGKILL信号给容器,终止其中应用,然后删除容器。 | -f:强制删除运行中的容器 |
| docker inspect NAME|ID [NAME|ID...] | 此指令可以查看镜像信息,也可以查看容器信息 | |
| docker cp CONTAINER:SRC_PATH DEST_PATH|- docker cp SRC_PATH|- CONTAINER:DEST_PATH |
在宿主机与容器之间拷贝文件 | docker cp c1:/a.txt ./ 从c1容器拷贝/a.txt到宿主机当前目录 |
| docker port CONTAINER [PRIVATE_PORT[/PROTO]] | 查看容器端口映射情况 |
docker run
docker run [OPTIONS] IMAGE [COMMAND] [ARG...]
此命令根据镜像创建一个容器,并运行。如果镜像在本地不存在,会尝试从仓库拉取。
| 选项 | 解释 |
|---|---|
| -t | 让Docker分配一个伪终端并绑定到容器的标准输入上 |
| -i | 让容器的标准输入保持打开 |
| -d | 以守护进程方式运行 |
| --rm | 再起结束后自动删除 |
-> [feifei@ffmac.local] [~] docker run ubuntu echo 'Hello World'
Hello World
-> [feifei@ffmac.local] [~] docker run -it ubuntu /bin/bash
root@8324e8546f47:/#
docker wait
docker wait CONTAINER [CONTAINER...]
阻塞直到一个或多个容器停止运行,然后打印他们的exit codes
开启两个窗口分别运行一个容器,然后开启第三个窗口运行
// 窗口1运行容器c1
docker run -it --name c1 ubuntu /bin/bash
// 窗口2运行容器c2
docker run -it --name c2 ubuntu /bin/bash
// 窗口3运行docker wait
docker wait c1 c2
// 窗口1执行 exit 1,窗口3无反应;再在窗口2执行 exit 2,窗口3输出两行分别是1、2。
docker logs
获取一个容器的日志
-f:持续输出;-t:输出时间戳;--details:额外的详细信息
// 窗口1
-> [feifei@ffmac.local] [~] docker run -it --name c1 ubuntu /bin/bash
root@046d5a62374e:/# pwd
/
root@046d5a62374e:/# touch a.txt
root@046d5a62374e:/# exit 123
exit
// 窗口2
-> [feifei@ffmac.local] [~] docker logs -tf c1
2020-05-13T16:55:10.398202931Z root@046d5a62374e:/# pwd
2020-05-13T16:55:10.398297213Z /
2020-05-13T16:55:38.712593120Z root@046d5a62374e:/# touch a.txt
2020-05-13T16:55:55.908622227Z root@046d5a62374e:/# exit 123
2020-05-13T16:55:55.909431626Z exit
docker pause/unpause
暂停容器:docker pause CONTAINER [CONTAINER...]
取消暂停:docker unpause CONTAINER [CONTAINER...]
// 窗口1
-> [feifei@ffmac.local] [~] docker run -it --rm --name c1 ubuntu /bin/bash
root@505f1b39efa0:/#
// 窗口2
-> [feifei@ffmac.local] [~] docker ps -a
CONTAINER ID IMAGE COMMAND CREATED STATUS PORTS NAMES
505f1b39efa0 ubuntu "/bin/bash" 11 seconds ago Up 11 seconds c1
-> [feifei@ffmac.local] [~] docker pause c1
c1
-> [feifei@ffmac.local] [~] docker ps -a
CONTAINER ID IMAGE COMMAND CREATED STATUS PORTS NAMES
505f1b39efa0 ubuntu "/bin/bash" 26 seconds ago Up 26 seconds (Paused) c1
-> [feifei@ffmac.local] [~] docker unpause c1
c1
-> [feifei@ffmac.local] [~] docker ps -a
CONTAINER ID IMAGE COMMAND CREATED STATUS PORTS NAMES
505f1b39efa0 ubuntu "/bin/bash" 39 seconds ago Up 39 seconds c1
docker import/export
import根据一个tar文件创建一个镜像,但这个tar文件并不一定要是export导出的,也可以自己生成。
docker import
docker import file|URL|- [REPOSITORY[:TAG]]
对于同一个tar文件,多次使用docker import生成的镜像,其image id是不一样的。
-> [feifei@ffmac.local] [~] touch import.txt
-> [feifei@ffmac.local] [~] tar -cvf myimport.tar import.txt
a import.txt
-> [feifei@ffmac.local] [~] docker import myimport.tar myimport
sha256:3572df2ff16b9508c780770c28eef250589d5c0bf4d77e1dfeb84d406e5b34d2
-> [feifei@ffmac.local] [~] docker images
REPOSITORY TAG IMAGE ID CREATED SIZE
myimport latest 3572df2ff16b 5 seconds ago 0B
ubuntu latest 1d622ef86b13 2 weeks ago 73.9MB
docker export
docker export CONTAINER,
export的导出目标是容器,而不是镜像。通常使用:docker export -o c11.tar c1 或者 docker export c1 > c11.tar
-> [feifei@ffmac.local] [~] docker ps -a
CONTAINER ID IMAGE COMMAND CREATED STATUS PORTS NAMES
68e152e8e6ee ubuntu "/bin/bash" 31 minutes ago Up 31 minutes c1
-> [feifei@ffmac.local] [~] docker export -o c11.tar c1
-> [feifei@ffmac.local] [~] docker export c1 > c12.tar
-> [feifei@ffmac.local] [~] ls
c11.tar c12.tar
export与save的区别
操作目标不同:export是容器,save是镜像。
导出文件内容不同:export导出的是当时的文件快照,save导出的是带有历史记录和元数据的完整镜像。
import与load的区别
import导入多次同一个tar文件会得到多个image id不同的镜像,而load只会得到一个。
docker top
docker top CONTAINER [ps OPTIONS]
查看运行中的容器内的进程信息
-> [feifei@ffmac.local] [~] docker top c1
PID USER TIME COMMAND
2504 root 0:00 /bin/bash
docker stats
docker stats [CONTAINER...]
查看统计信息,包括CPU、内存、存储、网络等
CONTAINER ID NAME CPU % MEM USAGE / LIMIT MEM % NET I/O BLOCK I/O PIDS
0e5fa15b44a9 c1 0.00% 884KiB / 1.945GiB 0.04% 1.05kB / 0B 0B / 0B 1
docker diff
docker diff CONTAINER
查看容器内文件系统的变更
- A(Add):添加;
- C(Change):更改;
- D(Delete):删除
-> [feifei@ffmac.local] [~] docker diff c1
A /a.txt
C /.dockerenv
D /tmp
docker update
docker update CONTAINER [CONTAINER...]
更改容器运行时的一些配置,主要是资源限制份额,比如cpu、内存。具体参数help。
数据管理
本章讨论如何对容器内的数据持久化;如何在容器间共享数据。
数据卷
数据卷是一个可供容器使用的特殊目录,它将宿主机目录直接映射到容器。类似Linux mount。它有以下特性:
- 数据卷可以在容器间共享和重用
- 对数据卷的修改立刻生效
- 数据卷一直存在,直到没有容器使用,可以安全卸载
创建数据卷
docker volume create [VOLUME]
其他docker volume子命令有:ls、rm、prune、inspect。
// 创建名为test的数据卷
-> [feifei@ffmac.local] [~] docker volume create test
test
// 不指定名称会分配一个
-> [feifei@ffmac.local] [~] docker volume create
b03ca993f283336bbc227e2a58e3683e175316222321074ec4b24f556fe3bdd2
// 查看结果
-> [feifei@ffmac.local] [~] docker volume ls
DRIVER VOLUME NAME
local b03ca993f283336bbc227e2a58e3683e175316222321074ec4b24f556fe3bdd2
local test
绑定数据卷
使用docker run时,可以使用--mount选项使用数据卷,其支持三种类型:
- volume:普通数据卷,映射到宿主机的/var/lib/docker/volumes
- bind:绑定数据卷,映射到宿主机指定路径下
- tmpfs:临时数据卷,只存在于内存中
type=bind
将宿主机hostdir映射到vtest容器的/root/cntrdir。下面两条等价。
docker run --rm --name vtest --mount type=bind,src=`pwd`/hostdir,dst=/root/cntrdir -it ubuntu
docker run --rm --name vtest -v `pwd`/hostdir:/root/cntrdir -it ubuntu
docker挂载数据卷的默认权限是读写(rw)。可以指定只读(ro),容器内就无法对数据卷进行修改了,但宿主机不受影响。
docker run --rm --name vtest -v `pwd`/hostdir:/root/cntrdir:ro -it ubuntu
type=volume
如果src指定的卷不存在,则自动创建。如果不指定src,则创建一个名字随机的卷,且其生命周期与容器相同,容器被销毁时,卷也被销毁。
将普通数据卷v1挂载到容器vtest的/root/cntrv1
docker run --rm --name vtest --mount type=volume,src=v1,dst=/root/cntrv1 -it ubuntu
docker run --rm --name vtest -v v1:/root/cntrv1 -it ubuntu
mac上查看数据卷内容
docker在Mac上是运行在LinuxKit VM中的,需要用screen命令进入查看。
// 先创建一个数据卷
-> [feifei@ffmac.local] [~] docker volume create v1
// screen
-> [feifei@ffmac.local] [~] screen ~/Library/Containers/com.docker.docker/Data/vms/0/tty
// 进入虚拟机
docker-desktop:~# cd /var/lib/docker/volumes/
docker-desktop:/var/lib/docker/volumes# ls
metadata.db v1
看到数据卷目录找到了!
数据卷容器
创建及使用
数据卷容器的目的是专门给其他容器提供数据卷挂载。
--volumes-from并不要求参数指定的数据卷容器处于运行状态。
创建两个数据卷容器 db1 db2 db3,其中db1与db3映射在容器内的内容相同
-> [feifei@ffmac.local] [~] docker run --name db1 -v /root/db1 -itd ubuntu
-> [feifei@ffmac.local] [~] docker run --name db2 -v /root/db2 -itd ubuntu
-> [feifei@ffmac.local] [~] docker run --name db3 -v /root/db1 -itd ubuntu
使用--volumes-from 来挂载容器中的数据卷,可以多次使用此选项
-> [feifei@ffmac.local] [~] docker run --name cntr1 --volumes-from db1 --volumes-from db2 -it ubuntu
root@63c9ba535eec:/# ls /root/
db1 db2
可以从其他已挂载了数据卷容器的容器挂载数据卷。有点类似于继承。
-> [feifei@ffmac.local] [~] docker run --name cntr2 --volumes-from cntr1 -it ubuntu
root@640c49fee4ad:/# ls /root/
db1 db2
如果挂载不同的数据卷容器,但是映射路径相同,则实际上是使用后面的数据卷容器。
-> [feifei@ffmac.local] [~] docker run --name cntr3 --volumes-from db1 --volumes-from db3 -it ubuntu
root@7aba448230b8:/# ls /root/
db1
如果删除了挂载的容器(db1,db2,cntr1),数据卷不会被自动删除。如果要删除,需要在删除最后一个挂在这它的容器是执行 docker rm -v。
备份
备份数据卷容器db1内的数据卷内容到本地当前目录。
docker run --volumes-from db1 -v `pwd`:/bak --name cntrbak ubuntu tar -cvf /bak/db1.tar /root/db1
使用--volumes-from db1 挂载一个容器数据卷;使用-v `pwd`:/bak映射宿主机当前目录到容器cntrbak的 /bak 目录;然后tar打包db1到 /bak/db1.tar。