镜像是Docker的三大核心概念之一。
Docker运行容器前需要本地存在对应的镜像,如果镜像不存在本地,Docker会尝试先从默认镜像仓库下载,用户也可以通过配置,使用自定义的镜像仓库。
镜像是Docker运行容器的前提。
通常情况下我们可以通过使用docker pull命令从网上下载镜像。该命令的格式为docker pull NAME[:TAG]。对于Docker镜像来说,如果不指定TAG,则会默认选择latest标签,即下载仓库中最新版本的镜像。
即从默认的注册服务器中的ubuntu仓库来下载标记为latest的镜像。
下载镜像到本地后,即可随时使用该镜像了,例如利用该镜像创建一个容器,在其中运行bash应用。
使用docker images命令可以列出本地主机上已有的镜像。
例如,下面的命令列出了本地从官方下载的ubuntu镜像:
在列出的信息中,可以看到几个字段信息:
来自于哪个仓库,比如ubuntu仓库
镜像的标签信息,比如latest
其中镜像的ID信息十分重要,它唯一标识了镜像。
为了方便在后续工作中使用这个镜像,还可以使用docker tag命令为本地镜像添加新的标签。例如添加一个新的ubuntu:latest镜像标签如下:
另外,不同标签额镜像的ID是完全一致的,说明它们实际上指向了同一个镜像文件,只是别名不同而已。标签在这里起到了引用或快捷方式的作用。
使用docker inspect命令可以获取该镜像的详细信息。
inspect命令返回的是一个JSON格式的消息,如果我们只要其中一项内容时,可以使用-f参数来指定,例如,获取镜像的Architecture信息:
在指定镜像ID的时候,通常使用该ID的前若干个字符组成的可区分字符串来替代完整的ID。
使用docker search命令可以搜索远程仓库中共享的镜像,默认搜索Docker Hub官方仓库中的镜像。用法为docker search TERM,支持的参数包括:
例如,搜索带mysql关键字的镜像如下所示:
可以看到返回了很多包含关键字的镜像,其中包括镜像名字,描述,星级(表示该镜像的受欢迎的程度)、是否官方创建,是否自动创建等。
默认的输出结果将按照星级评价进行排序。
官方的镜像说明是官方组创建和维护的,automated资源则允许用户验证镜像的来源和内容。
(1)使用镜像的标签删除镜像
这里可能会有人担心本地的ubuntu:latest镜像是否会受到此命令的影响。无需担心,当同一个镜像拥有多个标签的时候,docker rmi命令只是删除了该镜像多个标签中的指定标签而已,并不影响镜像文件。
因此上述操作相当于只是删除了镜像b的一个标签而已。
为保险起见,再次查看本地的镜像,发现ubuntu:latest镜像仍然存在:
但当镜像只剩下一个标签的时候就要小心了,此时再使用docker rmi命令会彻底删除该镜像。
(2)使用镜像ID删除镜像
当使用docker rmi命令后面跟上镜像的ID时,会尝试删除所有指向该镜像的标签,然后删除该镜像文件本身。
注意,当有该镜像创建的容器存在时,镜像文件默认是无法被删除的,例如:
使用docker ps -a命令可以看到本机上存在的所有容器
试图删除该镜像,Docker会提示有容器正在运行,无法删除:
如果要强行删除镜像,可以使用-f参数:
不过不推荐使用-f参数来强制删除一个存在容器依赖的镜像,因为这样往往会造成一些遗留的问题。
再次使用docker images查看本地的镜像列表,会发现一个标签为的临时镜像,原来被强制删除的镜像换了新的ID继续存在系统中。
因此,正确的做法是,先删除依赖该镜像的所有容器,再来删除镜像。
这样就可以搜索出在Docker Hub上所有带centos的公共的可用镜像
(2)下载centos镜像(拉取镜像)
Docker允许启动一个伪tty终端,使用交互运行的方式启动一个容器,所用到的参数为:-t -i
centos为基础镜像,首先Docker会检查本地是否有centos镜像,如果没有就会连接官方维护的Docker Hub Regustry查看,一旦有就会下载该镜像并将其保存在本地宿主机中。
容器命名(名称必须唯一)
用上述方法启动容器,Docker会为我们创建的每一个容器自动生成一个随机的名字,如果想自己命名,可以用--name标志来实现。
输入exit就可以返回到centos宿主机的命令行提示符了,一旦退出容器,/bin/bash命令也就结束了,容器也随之停止了运行。
连接一个正在运行的container实例(即实例必须为start状态,可以多个窗口同时attach 一个container实例)容器的主机名就是该容器的ID
# 添加测试用户admin,密码admin,并且将此用户添加到sudoers里
# 下面这两句比较特殊,在centos6上必须要有,否则创建出来的容器sshd不能登录
# 启动sshd服务并且暴露22端口
Dockerfile文件有自己的语法和命令,具体可以参考Docker的官方文档。
容器内部像linux一样操作,然后提交容器成镜像
4.根据此镜像启动一个容器
7.通过宿主机端口扫描查看sshd端口状态
8.宿主机生成公钥并且导入到容器中
9.编辑ssh服务启动脚本并赋予执行权限
11.运行镜像,设置端口映射
以centos为基础,目的使用ssh服务远程连接docker容器
环境:宿主机centos7,直接搜索docker的centos镜像,下载最新版本
此时的镜像里除了基础的centos系统外,没有其他服务及工具
6、进入到容器中,升级并安装ssh组件
8、在宿主机中生成密钥对,把生成的公钥文件内容复制到容器的/root/.ssh/authorized_keys里
ssh-keygen -t rsa直接回车即可,查看公钥内容,并复制到容器中
9、设置容器root密码
10、启动sshd服务并退出容器
如果sshd服务启动时报错
12、运行该镜像并启动sshd服务
说明: 10022是宿主机的和容器的通讯端口,外面窗口(局域网)通过访问地址
1、制做JAVA运行环境镜像
我的基础镜像是基于官网centos 7.2版本制作,没有可以提前下载好
从镜像启动一个tomcat容器,把测试程序部署到/www/app1/webapps下从浏览器访问
# 移除之前容器运行留下的日志文件,保留当前容器生成的日志
# 清理数据库,删除test库和无密码用户
# 设置root用户只能从本地登陆
# 用户指定数据库用户名,不提供默认为mysql,并随机生成密码
# 指定其它必要环境变量
# 输出所有信息到终端
#将数据库启动到后台运行并记录PID
#不在终止这个脚本直到数据库进程mysqld_safe正常退出
#从镜像生成一个mariadb容器
=> 使用已经存在数据目录文件.
继续等待数据库启动完成...
删除test库和无密码用户...
设置root用户只能从本地登陆完成!
出于安全考虑,应该修改上述密码,root可以在本地无密码登陆建议设置密码
如果我们从CentOS6过渡到CentOS7系统来的话,会发现原来的iptables被firewalld取代,而且相应的命令格式也稍微有些变化。今天老左有在设置添加放行端口的时候的出现”FirewallD is not running”的错误提示,应该是没有开启firewalld导致的。
本文操作基于CentOS7,其它Linux发行版本可能存在差异,分基于yum的在线安装和基于二进制包的离线安装(实际还有基于rpm包的离线安装),离线安装可以更多地了解Docker及相关体系。
和其它服务一样启动即可,停止和重启方法也相同。
如果Docker服务没有起来,执行“docker images”将报如下错误:
默认拉取到的是latest镜射(image)。
如果执行命令“docker
images”看不到拉取的image,则可重拉取后再看看。如果从非Docker官方()拉取image,则需要指定仓库地址:
如果没有latest版镜像,则可指定版本:
拉取下来的images存放在哪?请参见《》一节的内容。官方的“hello-world”镜像长这样子:
以镜像“hello-world”为例,它的路径为:
先向容器进程发送信号SIGTERM,10秒后再发送SIGKILL。
直接向容器进程发信号SIGKILL。
Manager”的缩写,在Windows上可用7-zip等软件直接打开见其卢山真面目。以下是RPM命令的常见应用:
RPM没有解决包依赖问题,所以使用它安装时,可能会遇到很多依赖包版本不匹配或者依赖的包不存在问题。就Docker而言,使用RPM包安装,可能并不简单,如果不能yum安装,则更建议直接二进制安装。
以下是yum命令的常见应用:
列举出所有仓库,含禁用的 |
添加和启用一个新的仓库,执行时会在目录/etc/yum.repos.d下生成一个repo文件。 |
设置服务随系统自动启动 |
取消服务随系统自动启动 |
systemctl类似于Windows平台的服务管理器,工作原理是通过与服务systemd交互完成各项工作,比如重启crond进程。
可用brctl命令管理网桥,为包中的一员。
查看所有接口,包括已禁用的 |
还可使用命令ip创建和设置网桥:
使用命令modinfo查看模块信息
使用命令lsmod查看已加载模块列表:
使用命令rmmod卸载模块:
使用命令insmod加载模块,要求指定模块文件名的全路径或相对路径:
如果模块格式不匹配,将报如下所示错:
firewalld没有起来,启动它(disabled表示不随系统自动启动):
错误信息显示没有名为firewall的Python模块(修复这个后,仍然可能缺失其它模块,需逐一排查,查看文件/usr/sbin/firewalld可了解到所依赖的其它模块),简单点可直接从其它机器复制一份过来。先找到firewall在其它机器上的位置:
注意,不同机器Python包的位置可能不同,可查看sys.path值来确认包存放在哪些目录下。
遇到这个错误时,可能需要重新配置和编译内核。执行命令“modinfo
如果没有条件编译内核,则可从其它地方将相关的模块文件复制过来,复制过来后注意需执行一次depmod命令。相关路径:“/lib/modules/`uname
如果模块存在,则显示如下(内核模块文件名以“.ko”为后缀,ko为“Kernel
Object”的缩写,depends显示依赖的其它模块):
其它模块可同样方法查看:
这个错误是因为没有网桥(可执行命令“ip a”或“netstat
-ie”等检查),导致docker无法启动。执行以下命令创建和启动网桥:
创建网桥也可使用专门的工具。
在执行yum命令时,如果报如下错误:
命令yum实为Python脚本,这个错误表示找不到名为yum的Python模块。检查Python的模块搜索路径:
如果模块yum可用,可通过如下方法找到它所有路径:
这个错误是因为RPM数据库损坏了,执行以下操作的修复:
内核模块“iptable_nat”又依赖nf_nat和ip_tables等内核模块,成功加载后问题将解决。