Docker核心概念和常用命令

什么场景适合使用Docker
-1 VM构建于Hypervisor上，并内置一套完整的操作系统，磁盘耗用和调度耗用较大，主要用于隔离不同的用户，安全级别较高；Docker构建于Docker Daemon上，直接共享host上的kernel service，并不需要内置操作系统，因此更节省磁盘空间和启动性能损耗，主要用于隔离不同的应用（前端服务器，后端服务器，数据库，缓存服务器等），属于host上不同的process；

-2 docker image是一个包含app运行所有需要文件的只读可执行包，包含：app source code, runtime lib, env vars, config file，而这些文件通过dockerfile进行指定，dockerfile同时会指定镜像操作指令，容器启动指令；通过docker启动image的时候会分配一系列的资源，添加一个可编辑层记录状态，从而成为docker container；

-3 docker可以将不同环境的dependency差异降低到最低；Docker可以实现秒级启动，可根据业务流量及时进行水平扩容和缩容；

实现docker的核心技术
-1 namespace：原本是Linux用于分离进程树、网络接口、存储挂载点、进程间共享资源的命名空间，这样进程 、网络和文件系统可以做到相互独立存在，运行互不影响； 不同命名空间下的进程只能看到自己的系统视图

docker通过namespace实现了container的网络隔离，同时通过bridge docker0实现host内container间的相互通信，然后依赖Linux iptables实现client对host:port的访问转发到内部具体的container-ip:port；

对于k8s而言，一个pod内部可能运行多个docker，并且多个docker需要共享同一个namespace，因此创建了一个base docker用于在同一个pod内的多个docker之间共享namespace，该base docker的生命周期与pod一致；

-2 control groups：通过namespace，docker可以实现volume和network的相互隔离；但是CPU，memory，networking i/o，disk i/o等物理资源并不受namespace的影响，而Linux CGroup则用于实现同一个host上物理资源的隔离管理，为一组进程分配资源，实现resource limiting, control, accouting, prioritization等功能；

-3 union file system：AUFS的技术可以让多个只读文件目录union成一个新的目录，并且可以对这个新的目录进行读写操作，也是docker的基础实现依赖；同时，多层镜像结构可在多个镜像之间共享，提升使用效率；因此docker容器相当于docker镜像加上可写层，可写层上记录docker 容器的运行和配置状态；

下一代容器技术podman，通过fork/exec创建container，也就是父子进程关系，而docker是client / server模式；

安装docker
MacOS上使用homebrew安装docker（CentOS上使用yum / apt-get）
% brew cask install docker

基于dockerfile文件创建image
自定义镜像一般会有几个步骤，CMD之前的每一条指令都会创建一个temp image，也就是AUFS的设计逻辑，从而减小总体的体积占用：
-1 通过FROM指定基础依赖镜像；
-2 通过WORKDIR创建container环境的文件目录；
-3 通过COPY将host上的文件复制到container环境，.dockerignore可指定exception；
-4 通过CMD或者ENTRYPOINT在container环境执行命令，启动service；
-5 通过EXPOSE指定container port，该port需要与host port绑定才可访问；

# 指定构建custom image所使用的base image；
# 必须是dockerfile的第一条命令；
# base image可以是本地仓库也可以是线上仓库；
# tag或者digest如果不写，则使用latest版本；
FROM <image>:<tag|digest>

# 设置构建信息
MAINTAINER ychen yu.chen@example.com

# 在host当前目录下创建临时文件，
# 并在container中映射为指定的/var/www/html目录；
VOLUME .:/var/www/html

# 设置环境变量
ENV DEBUG=ON 

# 在custom image生成过程中执行特定命令，生成temp image，可以有多个；
# temp image会被缓存以便下次构建使用，--no-cache可以禁用；
RUN apt-get update
RUN apt-get install -y nginx

# 添加打包好的目标可执行文件
ADD <target_jar>

# 指定container启动后缺省执行的命令，如java -jar target_jar
ENTRYPOINT <command>
# 指定custom image运行启动时执行命令所需要的参数，只能有一个；
# image构建完成后执行，不会生成新的temp image；
CMD <command>

# 设置custom image的运行时监听端口
EXPOSE <port>

一般有两种容器主进程启动方式
-1 基于shell
ENTRYPOINT node app.js
-2 基于exec
ENTRYPOINT [“node”, “app.js”]
基于shell的启动方式，容器是先启动/bin/sh的shell进程，再fork启动目标node进程；基于exec的启动方式，容器是直接fork启动目标node进程，因此推荐使用后者；

-1 获取docker基本信息
% docker info
% docker version

-2 image操作命令
列出本地所有的image列表
% docker image ls

从远程仓库拉取指定的image：(通过docker registry可以创建私有仓库)
% docker image pull {image-name}

基于当前目录的dockerfile文件创建指定名字和版本的image：
% docker image build -t {image-name}:{version} .

% docker image rm {image-name}

-3 container操作命令
列出本地所有的container列表：
% docker container ls -a

从本地或远程仓库查找image，指定proxy端口，创建 / 启动 / 运行一个container：
% docker container run -p {host-port}:{container-port} {image-name}

% docker container rm {container-id}
% docker container kill {container-id}
% docker container start {container-id}
% docker container stop {container-id}
% docker container logs {container-id}

将指定container上的文件拷贝到本地：
% docker container cp {container-id}:{file-path} .

进入指定的container，并执行指定的命令：
% docker container exec -it {container-id} {cmd}

查看docker资源占用情况
$ docker stats --no-stream
$ docker top $(docker ps -ql) -o pid,stat,ppid

查看docker跟CPU和内存资源相关的启动参数
$ docker run --help | egrep ‘cpu|memory’

限制已经运行的docker的cpu占用率为50%
$ docker update --cpus "0.5" $(docker ps -ql)