镜像是Docker的三大核心概念之一。

Docker运行容器前需要本地存在对应的镜像，如果镜像不存在本地，Docker会尝试先从默认镜像仓库下载，用户也可以通过配置，使用自定义的镜像仓库。

镜像是Docker运行容器的前提。

通常情况下我们可以通过使用docker pull命令从网上下载镜像。该命令的格式为docker pull NAME[:TAG]。对于Docker镜像来说，如果不指定TAG，则会默认选择latest标签，即下载仓库中最新版本的镜像。

即从默认的注册服务器中的ubuntu仓库来下载标记为latest的镜像。

下载镜像到本地后，即可随时使用该镜像了，例如利用该镜像创建一个容器，在其中运行bash应用。

使用docker images命令可以列出本地主机上已有的镜像。

例如，下面的命令列出了本地从官方下载的ubuntu镜像：

在列出的信息中，可以看到几个字段信息：

来自于哪个仓库，比如ubuntu仓库

镜像的标签信息，比如latest

其中镜像的ID信息十分重要，它唯一标识了镜像。

为了方便在后续工作中使用这个镜像，还可以使用docker tag命令为本地镜像添加新的标签。例如添加一个新的ubuntu:latest镜像标签如下：

另外，不同标签额镜像的ID是完全一致的，说明它们实际上指向了同一个镜像文件，只是别名不同而已。标签在这里起到了引用或快捷方式的作用。

使用docker inspect命令可以获取该镜像的详细信息。

inspect命令返回的是一个JSON格式的消息，如果我们只要其中一项内容时，可以使用-f参数来指定，例如，获取镜像的Architecture信息：

在指定镜像ID的时候，通常使用该ID的前若干个字符组成的可区分字符串来替代完整的ID。

使用docker search命令可以搜索远程仓库中共享的镜像，默认搜索Docker Hub官方仓库中的镜像。用法为docker search TERM，支持的参数包括：

例如，搜索带mysql关键字的镜像如下所示：

可以看到返回了很多包含关键字的镜像，其中包括镜像名字，描述，星级（表示该镜像的受欢迎的程度）、是否官方创建，是否自动创建等。

默认的输出结果将按照星级评价进行排序。

官方的镜像说明是官方组创建和维护的，automated资源则允许用户验证镜像的来源和内容。

（1）使用镜像的标签删除镜像

这里可能会有人担心本地的ubuntu:latest镜像是否会受到此命令的影响。无需担心，当同一个镜像拥有多个标签的时候，docker rmi命令只是删除了该镜像多个标签中的指定标签而已，并不影响镜像文件。

因此上述操作相当于只是删除了镜像b的一个标签而已。

为保险起见，再次查看本地的镜像，发现ubuntu:latest镜像仍然存在：

但当镜像只剩下一个标签的时候就要小心了，此时再使用docker rmi命令会彻底删除该镜像。

（2）使用镜像ID删除镜像

当使用docker rmi命令后面跟上镜像的ID时，会尝试删除所有指向该镜像的标签，然后删除该镜像文件本身。

注意，当有该镜像创建的容器存在时，镜像文件默认是无法被删除的，例如：

使用docker ps -a命令可以看到本机上存在的所有容器

试图删除该镜像，Docker会提示有容器正在运行，无法删除：

如果要强行删除镜像，可以使用-f参数：

不过不推荐使用-f参数来强制删除一个存在容器依赖的镜像，因为这样往往会造成一些遗留的问题。

再次使用docker images查看本地的镜像列表，会发现一个标签为的临时镜像，原来被强制删除的镜像换了新的ID继续存在系统中。

因此，正确的做法是，先删除依赖该镜像的所有容器，再来删除镜像。

这样就可以搜索出在Docker Hub上所有带centos的公共的可用镜像

（2）下载centos镜像（拉取镜像）

Docker允许启动一个伪tty终端，使用交互运行的方式启动一个容器，所用到的参数为：-t -i

centos为基础镜像，首先Docker会检查本地是否有centos镜像，如果没有就会连接官方维护的Docker Hub Regustry查看，一旦有就会下载该镜像并将其保存在本地宿主机中。

容器命名(名称必须唯一)

用上述方法启动容器，Docker会为我们创建的每一个容器自动生成一个随机的名字，如果想自己命名，可以用--name标志来实现。

输入exit就可以返回到centos宿主机的命令行提示符了，一旦退出容器，/bin/bash命令也就结束了，容器也随之停止了运行。

连接一个正在运行的container实例（即实例必须为start状态，可以多个窗口同时attach 一个container实例）容器的主机名就是该容器的ID

# 添加测试用户admin，密码admin，并且将此用户添加到sudoers里

# 下面这两句比较特殊，在centos6上必须要有，否则创建出来的容器sshd不能登录

# 启动sshd服务并且暴露22端口

Dockerfile文件有自己的语法和命令，具体可以参考Docker的官方文档。

容器内部像linux一样操作，然后提交容器成镜像

4.根据此镜像启动一个容器

7.通过宿主机端口扫描查看sshd端口状态

8.宿主机生成公钥并且导入到容器中

9.编辑ssh服务启动脚本并赋予执行权限

11.运行镜像，设置端口映射

以centos为基础，目的使用ssh服务远程连接docker容器

环境：宿主机centos7，直接搜索docker的centos镜像，下载最新版本

此时的镜像里除了基础的centos系统外，没有其他服务及工具

6、进入到容器中，升级并安装ssh组件

8、在宿主机中生成密钥对，把生成的公钥文件内容复制到容器的/root/.ssh/authorized_keys里

ssh-keygen -t rsa直接回车即可，查看公钥内容，并复制到容器中

9、设置容器root密码

10、启动sshd服务并退出容器

如果sshd服务启动时报错

12、运行该镜像并启动sshd服务

说明： 10022是宿主机的和容器的通讯端口，外面窗口（局域网）通过访问地址

1、制做JAVA运行环境镜像

我的基础镜像是基于官网centos 7.2版本制作，没有可以提前下载好

从镜像启动一个tomcat容器，把测试程序部署到/www/app1/webapps下从浏览器访问

# 移除之前容器运行留下的日志文件,保留当前容器生成的日志

# 清理数据库,删除test库和无密码用户

# 设置root用户只能从本地登陆

# 用户指定数据库用户名,不提供默认为mysql,并随机生成密码

# 指定其它必要环境变量 

# 输出所有信息到终端

#将数据库启动到后台运行并记录PID

#不在终止这个脚本直到数据库进程mysqld_safe正常退出

#从镜像生成一个mariadb容器

=> 使用已经存在数据目录文件.

继续等待数据库启动完成...

删除test库和无密码用户...

设置root用户只能从本地登陆完成!

    出于安全考虑,应该修改上述密码,root可以在本地无密码登陆建议设置密码  

如果我们从CentOS6过渡到CentOS7系统来的话，会发现原来的iptables被firewalld取代，而且相应的命令格式也稍微有些变化。今天老左有在设置添加放行端口的时候的出现”FirewallD is not running”的错误提示，应该是没有开启firewalld导致的。

本文操作基于CentOS7，其它Linux发行版本可能存在差异，分基于yum的在线安装和基于二进制包的离线安装（实际还有基于rpm包的离线安装），离线安装可以更多地了解Docker及相关体系。

和其它服务一样启动即可，停止和重启方法也相同。

如果Docker服务没有起来，执行“docker images”将报如下错误：

默认拉取到的是latest镜射（image）。

如果执行命令“docker
images”看不到拉取的image，则可重拉取后再看看。如果从非Docker官方（）拉取image，则需要指定仓库地址：

如果没有latest版镜像，则可指定版本：

拉取下来的images存放在哪？请参见《》一节的内容。官方的“hello-world”镜像长这样子：

以镜像“hello-world”为例，它的路径为：

先向容器进程发送信号SIGTERM，10秒后再发送SIGKILL。

直接向容器进程发信号SIGKILL。

Manager”的缩写，在Windows上可用7-zip等软件直接打开见其卢山真面目。以下是RPM命令的常见应用：

RPM没有解决包依赖问题，所以使用它安装时，可能会遇到很多依赖包版本不匹配或者依赖的包不存在问题。就Docker而言，使用RPM包安装，可能并不简单，如果不能yum安装，则更建议直接二进制安装。

以下是yum命令的常见应用：

systemctl类似于Windows平台的服务管理器，工作原理是通过与服务systemd交互完成各项工作，比如重启crond进程。

可用brctl命令管理网桥，为包中的一员。

还可使用命令ip创建和设置网桥：

使用命令modinfo查看模块信息

使用命令lsmod查看已加载模块列表：

使用命令rmmod卸载模块：

使用命令insmod加载模块，要求指定模块文件名的全路径或相对路径：

如果模块格式不匹配，将报如下所示错：

firewalld没有起来，启动它（disabled表示不随系统自动启动）：

错误信息显示没有名为firewall的Python模块（修复这个后，仍然可能缺失其它模块，需逐一排查，查看文件/usr/sbin/firewalld可了解到所依赖的其它模块），简单点可直接从其它机器复制一份过来。先找到firewall在其它机器上的位置：

注意，不同机器Python包的位置可能不同，可查看sys.path值来确认包存放在哪些目录下。

遇到这个错误时，可能需要重新配置和编译内核。执行命令“modinfo

如果没有条件编译内核，则可从其它地方将相关的模块文件复制过来，复制过来后注意需执行一次depmod命令。相关路径：“/lib/modules/`uname

如果模块存在，则显示如下（内核模块文件名以“.ko”为后缀，ko为“Kernel
Object”的缩写，depends显示依赖的其它模块）：

其它模块可同样方法查看：

这个错误是因为没有网桥（可执行命令“ip a”或“netstat
-ie”等检查），导致docker无法启动。执行以下命令创建和启动网桥：

创建网桥也可使用专门的工具。

在执行yum命令时，如果报如下错误：

命令yum实为Python脚本，这个错误表示找不到名为yum的Python模块。检查Python的模块搜索路径：

如果模块yum可用，可通过如下方法找到它所有路径：

这个错误是因为RPM数据库损坏了，执行以下操作的修复：

内核模块“iptable_nat”又依赖nf_nat和ip_tables等内核模块，成功加载后问题将解决。