Docker基础

如果之前没有接触过docker，建议把 https://docsdockercom/get-started/ 中的part1-part10看完并实现一遍再来看本篇文章。

制作一个docker 镜像，其内置了Node v1222、 npm源管理器nrm、单页面脚手架wlg-cli、多页面脚手架mp-cli-lc、browser-sync插件及curl、vim和git等，无需在主机中安装且这样统一了前端开发环境。

1、编写Dockerfile文件

2、构建镜像文件 docker image build -t front-end-env （这里取镜像名称为front-end-env）

3、使用命令行登录docker docker login -u 你的docker用户名

4、打标签 docker tag front-end-env 你的docker用户名/front-end-env

5、 上传至仓库 docker push 你的docker用户名/front-end-env

1、使用如下指令进入docker容器内部

docker container run -p 3000:3000 -it 你的用户名/front-end-env /bin/bash

（-p 3000:3000将容器内的3000端口暴露给主机3000端口,下图中我没有加这个）

2、验证docker容器内部的nrm是否安装成功

上图，可以看到我们成功的将主机的当前目录及文件挂载绑定到docker容器内了，进入到docker容器内后我们创建一个文件夹，在主机也会同步的创建了相同的文件夹，因为此时他们是同步的。ps:如果使用vscode，可以试试Remote-Containers 插件，可以更简单。（本人没有亲测过）

题外话：

1、借助虚拟机和Vagrant也可以实现类似统一环境功能。

2、使用Docker Compose可以简化上述操作

推荐资料：

1、 https://wurangnet/webpack_hmr/

2、 https://juejincn/post/6932808129189150734

3、 https://wwwcnblogscom/pomelott/p/13325328html

4、docker中的expose https://blogcsdnnet/weixin_43944305/article/details/103116557

Docker私有仓库Registry的搭建验证

1 关于Registry

官方的Docker hub是一个用于管理公共镜像的好地方，我们可以在上面找到我们想要的镜像，也可以把我们自己的镜像推送上去。但是，有时候，我们的使用场景需要我们拥有一个私有的镜像仓库用于管理我们自己的镜像。这个可以通过开源软件Registry来达成目的。

Registry在github上有两份代码：老代码库和新代码库。老代码是采用python编写的，存在pull和push的性能问题，出到091版本之后就标志为deprecated，不再继续开发。从20版本开始就到在新代码库进行开发，新代码库是采用go语言编写，修改了镜像id的生成算法、registry上镜像的保存结构，大大优化了pull和push镜像的效率。

官方在Docker hub上提供了registry的镜像（详情），我们可以直接使用该registry镜像来构建一个容器，搭建我们自己的私有仓库服务。Tag为latest的registry镜像是091版本的，我们直接采用211版本。

2 Registry的部署

运行下面命令获取registry镜像，

$ sudo docker pull registry:211

然后启动一个容器，

$ sudo docker run -d -v /opt/registry:/var/lib/registry -p 5000:5000 --restart=always --name registry registry:211

Registry服务默认会将上传的镜像保存在容器的/var/lib/registry，我们将主机的/opt/registry目录挂载到该目录，即可实现将镜像保存到主机的/opt/registry目录了。

运行docker ps看一下容器情况，

lienhua34@lienhua34-Compaq-Presario-CQ35-Notebook-PC ~ $ sudo docker ps

CONTAINER ID IMAGE COMMAND CREATED STATUS PORTS NAMES

f3766397a458 registry:211 "/bin/registry /etc/d" 46 seconds ago Up 45 seconds 0000:5000->5000/tcp registry

说明我们已经启动了registry服务，打开浏览器输入http://127001:5000/v2，出现下面情况说明registry运行正常，

3 验证

现在我们通过将镜像push到registry来验证一下。

我的机器上有个hello-world的镜像，我们要通过docker tag将该镜像标志为要推送到私有仓库，

$ sudo docker tag hello-world 127001:5000/hello-world

然后查看以下本地的镜像，

lienhua34@lienhua34-Compaq-Presario-CQ35-Notebook-PC ~ $ sudo docker images

REPOSITORY TAG IMAGE ID CREATED VIRTUAL SIZE

registry 211 b91f745cd233 5 days ago 2201 MB

ubuntu 1404 a5a467fddcb8 6 days ago 1879 MB

hello-world latest 975b84d108f1 2 weeks ago 960 B

127001:5000/hello-world latest 975b84d108f1 2 weeks ago 960 B

接下来，我们运行docker push将hello-world镜像push到我们的私有仓库中，

lienhua34@lienhua34-Compaq-Presario-CQ35-Notebook-PC ~ $ sudo docker push 127001:5000/hello-world

The push refers to a repository [127001:5000/hello-world] (len: 1)

975b84d108f1: Image successfully pushed

3f12c794407e: Image successfully pushed

latest: digest: sha256:1c7adb1ac65df0bebb40cd4a84533f787148b102684b74cb27a1982967008e4b size: 2744

现在我们可以查看我们本地/opt/registry目录下已经有了刚推送上来的hello-world。我们也在浏览器中输入http://127001:5000/v2/_catalog，如下图所示，

现在我们可以先将我们本地的127001:5000/hello-world和hello-world先删除掉，

$ sudo docker rmi hello-world

$ sudo docker rmi 127001:5000/hello-world

然后使用docker pull从我们的私有仓库中获取hello-world镜像，

lienhua34@lienhua34-Compaq-Presario-CQ35-Notebook-PC ~ $ sudo docker pull 127001:5000/hello-world

Using default tag: latest

latest: Pulling from hello-world

b901d36b6f2f: Pull complete

0a6ba66e537a: Pull complete

Digest: sha256:1c7adb1ac65df0bebb40cd4a84533f787148b102684b74cb27a1982967008e4b

Status: Downloaded newer image for 127001:5000/hello-world:latest

lienhua34@lienhua34-Compaq-Presario-CQ35-Notebook-PC ~ $ sudo docker images

REPOSITORY TAG IMAGE ID CREATED VIRTUAL SIZE

registry 211 b91f745cd233 5 days ago 2201 MB

ubuntu 1404 a5a467fddcb8 6 days ago 1879 MB

127001:5000/hello-world latest 0a6ba66e537a 2 weeks ago 960 B

4 可能问题

可能会出现无法push镜像到私有仓库的问题。这是因为我们启动的registry服务不是安全可信赖的。这是我们需要修改docker的配置文件/etc/default/docker，添加下面的内容，

DOCKER_OPTS="--insecure-registry xxxxxxxxxxxx:5000"

然后重启docker后台进程，

$ sudo service docker restart

这是再push即可。

Docker 是一个开源的应用容器引擎，基于Go 语言 并遵从 Apache20 协议开源。

Docker 可以让开发者打包他们的应用以及依赖包到一个轻量级、可移植的容器中，然后发布到任何流行的 Linux 机器上，也可以实现虚拟化。

容器是完全使用沙箱机制，相互之间不会有任何接口（类似 iPhone 的 app）,更重要的是容器性能开销极低。

Docker最早是在Ubuntu 1204上开发实现的；

Red Hat则从RHEL65开始对Docker进行支持。

而后Windows和Mac上也相应有了Docker版本支持。

在Docker容器技术出现之前，Linux上是已经有一个docker的工具的，但此docker非彼Docker。

这个docker是一个窗口停靠栏程序，就像苹果的Mac系统中的dock那个程序一样的一个工具。

为了区分开来，我们以Docker和docker来进行区分。

Docker：指容器技术。

docker：指窗口停靠栏程序。

Docker技术出来后，因为Linux系统上已经有了docker这个工具，所以Docker软件名也不能跟人家重名啊，要不然没办法安装。

由于那个时候Docker的官网是dockerio，所以就在软件名称上加了io的后缀，在Ubuntu中就是dockerio，在CentOS中就是docker-io。

但是虽然软件名跟docker程序不一样了，但软件安装后的操作命令还是一样的，都是docker的这个命令，所以要安装Docker软件，要先看看有没有安装了那个停靠栏程序docker，有的话要先卸载才行，要不然执行的命令是不对的。

这个时期要安装Docker，就要用docker加io后缀的方式来安装。

Docker容器使用dockerio和docker-io为软件名，主要是前期的一段时间。

后来随着Docker的发展，软件包名改成了docker-engine,不同系统中名称达到了统一。

再后来，随着Docker技术的火爆，在征得docker停靠栏程序作者同意下，原先的停靠栏程序docker名称改掉了，改成了wmdocker，Docker容器技术的软件包名才正式成了docker这个名称，Docker软件包的名称又得到了一次完全的统一。

到Docker1131版本之前，Docker软件包的名称有两次变化，从docker-io(dockerio)到docker-engine,再到docker。

Docker发展到1131版本号后，Docker公司把Docker分成了社区版(免费)Docker CE和商业版(付费)Docker EE两种形式，并且版本号命名方式也改了，以前是那种常用的版本号命令方式，比如01、02、10之类的，现在分社区和商业版后，版本号是“年月”的形式命名的，比如2019年10月发布的，版本号就是1910。

所以在Docker1131之后，直接是Docker-ce 17030版本了，也就是2017年03月发布的。

现在要安装最新版的Docker软件包，就是使用docker-ce这个名称了，如果是商业版的就是docker-ee了。

目前docker的默认存储引擎为overlay2，不同的存储引擎需要相应的文件系统支持，如需要磁盘分区的时候传递d-type稳健分层功能，即需要传递内核参数并开启格式化磁盘的时候指定的功能。

存储引擎的选择文档

AUFS

AUFSAnotherUnionFileSystem是一种UnionFS。V2版本后更名为 advanced multi‐layered unification fileystem，即高级多层统一文件系统。所谓UnionFS就是把不同物理位置的目录合并mount到同一个目录中。简单来说就是支持将不同目录挂载到同一个虚拟文件系统下的文件系统。这种系统可以一层一层的叠加修改文件。无论底下有多少层都是只读，只有最上层的文件系统是可读写。当需要修改一个文件时，AUFS创建该文件的一个副本。使用CoWCopy-on-Write将文件从只读层复制到可写层进行修改，结果也保留在可写层、在Docker中。底下的制度层就是image，可写层就是Container。

Overlay

一种Union FS文件系统，Linux内核318后支持

Overlay2

overlay的升级版，到目前为止，所有Linux发行版推荐使用的存储类型

devicemapper

是CentOS和RHEL的推荐存储驱动程序，但是依赖于direct-lvm，存在空间受限的问题，虽然可以通过后期配置解决；因为之前的内核版本不支持overlay2（集中在Centos/RHEL72之前版本）；但当前较新版本Centos和RHEL现已经支持overlay2。

https://wwwcnblogscom/youruncloud/p/5736718html

zfs/btrfs(Oracle-2007)

目前没有广泛应用；这些文件系统允许使用高级选项，例如创建“快照”，但需要更多的维护和设置。并且每一个都依赖于正确配置的后备文件系统。

vfs

用于测试环境，适用于无法适用Cow文件系统的情况。此存储驱动程序的性能很差，通常不建议在生产中使用。

1）overlay存储驱动程序已在Docker Engine-Enterprise 1809中弃用，并将在以后的版本中删除。建议将overlay存储驱动程序的用户迁移到overlay2。

2）devicemapper存储驱动程序已在Docker Engine 1809中弃用，并将在以后的版本中删除。建议将devicemapper存储驱动程序的用户迁移到overlay2。

建议使用overlay2存储驱动程序。首次安装Docker时，默认情况下使用overlay2。早期版本，默认情况下会使用aufs。如果要在新版本中使用aufs，则需要对其配置，并且可能需要安装其他软件包，例如linux-image-extra。

对于Docker，支持文件系统是所在的文件系统 /var/lib/docker/。一些存储驱动程序仅适用于特定的后备文件系统。

配置 Docker 存储驱动非常简单，只需要修改配置文件即可。

Docker 之所以功能这么强大，其实就是充分利用了Linux Kernel的特性：NameSpace、CGroups、UnionFileSystem。通过这些特性实现了资源隔离、限制与分层等。本文这次就来揭晓Docker中的容器是如何做到网络互通的。

两台机器如果要实现通信，其实就是通过底层的网卡进行数据传输，每个网卡都有一个唯一的MAC地址，网卡又会绑定一个ip地址，只要两台机器的网络可以互通，那么这两台机器就可以进行通信。

想要实现通信，就得有两个同一网段的网卡，两个网卡必须是可以 ping 通的。

Docker在安装成功后，会在宿主机创建一个docker0网卡，这个网卡就是负责容器与宿主机之间通信的桥梁。

通过Docker创建一个容器之后，会在宿主机再创建一个网卡，也就是上面的 veth3543ea3@if7 ，容器内也会创建一个网卡。

一般成对的网卡，网卡组件名称后面的数字是连续的，比如宿主机的 @if7 和容器内的 @if8 ，正是这成对的网卡，才实现了容器与宿主机之间的通信。这其实是利用 Linux Kernel 的特性 NameSpace 实现的网卡隔离，不同NameSpace下的网卡是独立的，就像Java程序中的 package 一样。

从上面的例子中看到容器与宿主机之间的通信好像并不是通过docker0网卡实现的

其实这只是单容器的状态，可能看不出docker0的作用。用图来表示一下单容器的网卡通信情况。

通过docker生成的 eth0 和 veth 两个网卡实现同一网段内的通信，而这个网卡又是桥接在docker0网卡上的。

再看下有多个容器的情况。

两个容器之间可以互相通信的原因就是因为docker0的存在，因为它们的网卡都是桥接在docker0上，所以也就有了和另一个容器通信的桥。

我们来验证一下是不是这样！

这种网络连接方法我们称为Bridge，这也是docker中默认的网络模式。可以通过命令查看docker中的网络模式：

通过 docker network ls 命令查看到，docker提供了3种网络模式，brige模式我们已经知道了，那 host 和 none 又是什么意思呢？不妨来验证一下：

这种模式只会创建一个本地的环路网卡，无法与其他容器或宿主机进行通信。

在创建自己的network之前先来解释一下为什么要创建新的network。

我们用一个例子来演示一下不同容器之间的通信。

容器之间通过 ip 是可以正常访问的，但是有没有这种情况：如果一个容器出问题了，我们重启之后它的ip变了，那是不是其他用到这个容器的项目配置是不是都得改。

有没有可能直接通过容器名称来访问呢？来验证一下：

发现并不能 ping 通，但是可以使用别的手段来达到这个目的。

通过上面这种方式就可以做到以容器名来 ping 通其他容器，其实它就跟windows系统中在 hosts 文件里加了个映射是一样的。

可以看到创建自定义的 network 自动帮我们实现了这个功能，而且使用自定义的 network 也方便管理，不同业务类型的容器可以指定不同的 network。

不同的 network ip网段也不一样，这样也可以增加单机中可以创建的容器的数量。

在创建一个容器的时候，一般都需要讲容器需要暴露的端口映射到物理主机的相同端口或其他端口，因为在外网环境下是不方便直接连接到容器的，所以需要通过映射端口的方式，让外网访问宿主机的映射端口来访问容器。

如果想建立多个容器，势必需要端口映射，以满足不同容器使用相同端口的情况。

以上这些内容都是在单容器进行操作，容器之间通信也只是通过 docker0 实现的桥接模式。

如果要实现多机之间的docker通信，其实还是通过网卡，只不过需要其他的技术来实现了。

本章节就不在演示，到后面的章节再来分析！