https://www.docker.com/

https://hub.docker.com/

Build, Ship, and Run Any App, Anywhere

一、Docker介绍

什么是Docker

Docker 是一个开源项目，诞生于 2013 年初，最初是 dotCloud 公司内部的一个业余项目。基于 Google 公司推出的 Go 语言实现。 项目后来加入了 Linux 基金会，遵从了 Apache 2.0 协议，项目代码在 GitHub 上进行维护。

Docker是一套容器级虚拟化技术解决方案，是一套优秀的软件容器平台，是基于 Linux 内核 的cgroup，namespace，以及AUFS类的UnionFS等技术，对进程进行封装隔离，属于操作系统层面的虚拟化技术。 由于隔离的进程独立于宿主和其它的隔离的进程，因此也称其为容器。Docke最初实现是基于内核虚拟化技术（LXC）。

通过Docker Logo理解，docker是鲸鱼，容器是集装箱。

什么是容器

容器使软件应用程序与操作系统脱钩，从而为用户提供了一个干净而最小的Linux环境，同时在一个或多个隔离的“容器”中运行其他所有内容。容器的目的是启动一组有限的应用程序或服务（通常称为微服务），并使它们在独立的沙盒环境中运行。这种隔离可防止在给定容器中运行的进程监视或影响在另一个容器中运行的进程。同样，这些容器化服务不会影响或干扰主机。能够将分散在多个物理服务器上的许多服务整合为一个的想法是数据中心选择采用该技术的众多原因之一。

一句话概括：容器就是将软件打包成标准化单元，以用于开发、交付和部署。

• 容器镜像是轻量的、可执行的独立软件包
• 容器化软件适用于基于Linux和Windows的应用，在任何环境中都能够始终如一地运行
• 容器赋予了软件独立性

什么是虚拟化

在计算机中，虚拟化（Virtualization）是一种资源管理技术，是将计算机的各种实体资源，如服务器、网络、内存及存储等，予以抽象、转换后呈现出来，打破实体结构间的不可切割的障碍，使用户可以比原本的组态更好的方式来应用这些资源。这些资源的新虚拟部份是不受现有资源的架设方式，地域或物理组态所限制。一般所指的虚拟化资源包括计算能力和资料存储。

在实际的生产环境中，虚拟化技术主要用来解决高性能的物理硬件产能过剩和老的旧的硬件产能过低的重组重用，透明化底层物理硬件，从而最大化的利用物理硬件 对资源充分利用

虚拟化技术种类很多，例如：软件虚拟化、硬件虚拟化、内存虚拟化、网络虚拟化(vip)、桌面虚拟化、服务虚拟化、虚拟机等。

什么是UnionFS

UnionFS（联合文件系统，union file system）：UnionFS 是一种分层、轻量级并且高性能的文件系统，它支持对文件系统的修改作为一次提交来一层层的叠加，同时可以将不同目录挂载到同一个虚拟文件系统下(unite several directories into a single virtual filesystem)。UnionFS是 Docker 镜像的基础。镜像可以通过分层来进行继承，基于基础镜像（没有父镜像），可以制作各种具体的应用镜像。

其特性是一次同时加载多个文件系统，但从外面看起来，只能看到一个文件系统，联合加载会把各层文件系统叠加起来，这样最终的文件系统会包含所有底层的文件和目录。

什么是LXC

Linux Container是一种内核虚拟化技术，可以提供轻量级的虚拟化，以便隔离进程和资源。LXC无需创建完整的虚拟机，而是可以通过自己的进程和网络空间来实现虚拟环境。通过使用命名空间来强制执行进程隔离，并利用内核本身的控制组（cgroup）功能，该功能可以限制，说明和隔离一个或多个进程的CPU，内存，磁盘I / O和网络使用情况。将此用户空间框架视为的一种非常高级的形式 chroot。可以理解为：不是模拟一个完整的操作系统而是对进程进行隔离。

LXC使用Namespace(名称空间)来实现进程隔离，同时使用内核自己的cgroup来解决并限制一个或多个进程中的CPU，内存，磁盘I / O和网络使用情况。

传统虚拟机技术 VS 容器虚拟化技术

容器和虚拟机具有相似的资源隔离和分配优势，但功能有所不同。

传统虚拟机技术是虚拟出一套硬件后，在其上运行一个完整操作系统，在该系统上再运行所需应用进程；容器虚拟化技术是虚拟机化操作系统，而不是硬件，容器内的应用进程直接运行于宿主的内核，容器内没有自己的内核，也没有进行硬件虚拟。因此容器要比传统虚拟机更为轻便，更容易移植，效率也更高。

虚拟机 VS Docker容器

Docker的思想和特点

思想

• 集装箱
• 标准化

• 运输方式
• 存储方式
• API接口

• 隔离

特点

• 轻量

在一台机器上运行的多个 Docker 容器可以共享这台机器的操作系统内核；它们能够迅速启动，只需占用很少的计算和内存资源。镜像是通过文件系统层进行构造的，并共享一些公共文件。这样就能尽量降低磁盘用量，并能更快地下载镜像。

• 标准

Docker 容器基于开放式标准，能够在所有主流 Linux 版本、Microsoft Windows 以及包括 VM、裸机服务器和云在内的任何基础设施上运行。

• 安全

Docker 赋予应用的隔离性不仅限于彼此隔离，还独立于底层的基础设施。Docker 默认提供最强的隔离，因此应用出现问题，也只是单个容器的问题，而不会波及到整台机器。

Docker的优势

• 运行环境的一致

Docker 的镜像提供了除内核外完整的运行时环境，确保了应用运行环境一致性。

• 更快速的启动时间

可以做到秒级、甚至毫秒级的启动时间。大大的节约了开发、测试、部署的时间。

• 隔离性

避免公用的服务器，资源会容易受到其他用户的影响。

• 弹性伸缩，快速扩展

善于处理集中爆发的服务器使用压力；

• 迁移方便

可以很轻易的将在一个平台上运行的应用，迁移到另一个平台上，且无需担心运行环境的变化导致应用无法正常运行的情况。

• 持续交付和部署

可以通过定制应用镜像来实现持续集成、持续交付、部署。

二、Docker基础知识

Docker架构图

Docker基本概念

• 镜像（Image）
• 容器（Container）
• 仓库（Repository）
• 数据卷（Volumn）
• 网络（Network)
• Dockerfile
• Docker-componse

镜像（Image）

一个特殊的文件系统

　　操作系统分为内核和用户空间。对于 Linux 而言，内核启动后，会挂载 root 文件系统为其提供用户空间支持。而Docker 镜像（Image），就相当于是一个 root 文件系统。

　　Docker 镜像是一个特殊的文件系统，除了提供容器运行时所需的程序、库、资源、配置等文件外，还包含了一些为运行时准备的一些配置参数（如匿名卷、环境变量、用户等）。 镜像不包含任何动态数据，其内容在构建之后也不会被改变。

　　Docker 设计时，就充分利用 UnionFS的技术，将其设计为 分层存储的架构 。 镜像实际是由多层文件系统联合组成。

　　镜像构建时，会一层层构建，前一层是后一层的基础。每一层构建完就不会再发生改变，后一层上的任何改变只发生在自己这一层。　比如，删除前一层文件的操作，实际不是真的删除前一层的文件，而是仅在当前层标记为该文件已删除。在最终容器运行的时候，虽然不会看到这个文件，但是实际上该文件会一直跟随镜像。因此，在构建镜像的时候，需要额外小心，每一层尽量只包含该层需要添加的东西，任何额外的东西应该在该层构建结束前清理掉。

　　分层存储的特征还使得镜像的复用、定制变的更为容易。甚至可以用之前构建好的镜像作为基础层，然后进一步添加新的层，以定制自己所需的内容，构建新的镜像。

Docker镜像加载原理

Docker的镜像实际上由一层一层的文件系统组成，这种层级的文件系统UnionFS。
bootfs(boot file system)主要包含bootloader和kernel, bootloader主要是引导加载kernel, Linux刚启动时会加载bootfs文件系统，在Docker镜像的最底层是引导文件系统bootfs。这一层与我们典型的Linux/Unix系统是一样的，包含boot加载器和内核。当boot加载完成之后整个内核就都在内存中了，此时内存的使用权已由bootfs转交给内核，此时系统也会卸载bootfs。
rootfs (root file system) ，在bootfs之上。包含的就是典型 Linux 系统中的 /dev, /proc, /bin, /etc 等标准目录和文件。rootfs就是各种不同的操作系统发行版，比如Ubuntu，Centos等等。

Docker镜像层都是只读的，容器层是可写的 。当容器启动时，一个新的可写层被加载到镜像的顶部。这一层通常被称作“容器层”，“容器层”之下的都叫“镜像层”。所有对容器的改动 - 无论添加、删除、还是修改文件都只会发生在容器层中。只有容器层是可写的，容器层下面的所有镜像层都是只读的。

容器（Container)

镜像运行时的实体

　　镜像（Image）和容器（Container）的关系，就像是面向对象程序设计中的 类 和 实例 一样，镜像是静态的定义，容器是镜像运行时的实体。容器可以被创建、启动、停止、删除、暂停等 。

　　容器的实质是进程，但与直接在宿主执行的进程不同，容器进程运行于属于自己的独立的 命名空间（镜像使用的是分层存储，容器也是如此）。

　　容器存储层的生存周期和容器一样，容器消亡时，容器存储层也随之消亡。因此，任何保存于容器存储层的信息都会随容器删除而丢失。

　　按照 Docker 最佳实践的要求，容器不应该向其存储层内写入任何数据 ，容器存储层要保持无状态化。所有的文件写入操作，都应该使用数据卷（Volume）、或者绑定宿主目录，在这些位置的读写会跳过容器存储层，直接对宿主(或网络存储)发生读写，其性能和稳定性更高。数据卷的生存周期独立于容器，容器消亡，数据卷不会消亡。因此， 使用数据卷后，容器可以随意删除、重新 run ，数据却不会丢失。

仓库（Repository）

集中存放镜像文件的地方

　　镜像构建完成后，可以很容易的在当前宿主上运行，但是， 如果需要在其它服务器上使用这个镜像，我们就需要一个集中的存储、分发镜像的服务，Docker Registry就是这样的服务。

　　一个 Docker Registry中可以包含多个仓库（Repository）；每个仓库可以包含多个标签（Tag）；每个标签对应一个镜像。所以说镜像仓库是Docker用来集中存放镜像文件的地方，类似于我们之前常用的代码仓库。

　　通常，一个仓库会包含同一个软件不同版本的镜像，而标签就常用于对应该软件的各个版本 。我们可以通过 <仓库名>:<标签>的格式来指定具体是这个软件哪个版本的镜像。如果不给出标签，将以 latest 作为默认标签.。

Docker Registry 有公开服务和私有概念：

Docker Registry 公开服务 是开放给用户使用、允许用户管理镜像的 Registry 服务。一般这类公开服务允许用户免费上传、下载公开的镜像，并可能提供收费服务供用户管理私有镜像。最常使用的 Registry 公开服务是官方的 Docker Hub ，这也是默认的 Registry，并拥有大量的高质量的官方镜像，网址为：https://hub.docker.com/ 。在国内访问Docker Hub 可能会比较慢，国内也有一些云服务商提供类似于 Docker Hub 的公开服务。比如：阿里云镜像库， 网易云镜像服务、DaoCloud 镜像市场等。

　　除了使用公开服务外，用户还可以在 本地搭建私有 Docker Registry 。Docker 官方提供了 Docker Registry 镜像，可以直接使用做为私有 Registry 服务。开源的 Docker Registry 镜像只提供了 Docker Registry API 的服务端实现，足以支持 docker 命令，不影响使用。但不包含图形界面，以及镜像维护、用户管理、访问控制等高级功能。这个时候，出于企业信息安全、镜像维护、多用户协同的考虑，私有镜像的搭建，会是合适的选择。当然，如果信得过三方托管，比如阿里云镜像仓库-企业版，付费购买服务，托管自定义镜像也是一种不错的选择（个人学习可以使用免费的阿里云镜像仓库-个人版）。

数据卷（Volume）

卷就是目录或文件，存在于一个或多个容器中，由docker挂载到容器，但不属于UnionFS，因此能够绕过UnionFS提供一些用于持续存储或共享数据的特性：卷的设计目的就是数据的持久化，完全独立于容器的生存周期，因此Docker不会在容器删除时删除其挂载的数据卷。

其特点是：

• 数据卷可在容器之间共享或重用数据
• 卷中的更改可以直接实时生效
• 数据卷中的更改不会包含在镜像的更新中
• 数据卷的生命周期一直持续到没有容器使用它为止

综上：简单理解，镜像好比汽车设计图纸，容器是按照汽车设计图纸造的汽车，仓库是放汽车图纸的储物柜（储物柜分为私有和公开），数据卷是外部挂载的移动硬盘，汽车里面产生的数据会实时转存一份到移动硬盘中，汽车销毁，移动硬盘还在，还可以给其他汽车共享使用。

Docker网络（Network）

Docker启动后，会产生一个名为docker0的虚拟网桥，其作用为容器间的互联和通信以及端口映射，容器IP变动的时候可以通过服务名直接网络通信而不受到影响。

Docker的网络模式

bridge模式

Docker 服务默认会创建一个 docker0 网桥（其上有一个 docker0 内部接口），该桥接网络的名称为docker0，它在内核层连通了其他的物理或虚拟网卡，这就将所有容器和本地主机都放到同一个物理网络。Docker 默认指定了 docker0 接口 的 IP 地址和子网掩码，让主机和容器之间可以通过网桥相互通信。

1. Docker使用Linux桥接，在宿主机虚拟一个Docker容器网桥(docker0)，Docker启动一个容器时会根据Docker网桥的网段分配给容器一个IP地址，称为Container-IP，同时Docker网桥是每个容器的默认网关。因为在同一宿主机内的容器都接入同一个网桥，这样容器之间就能够通过容器的Container-IP直接通信。
2. Docker run 的时候，没有指定network的话默认使用的网桥模式就是bridge，使用的就是docker0。在宿主机ifconfig,就可以看到docker0和自己create的network(后面讲)eth0，eth1，eth2……代表网卡一，网卡二，网卡三……，lo代表127.0.0.1，即localhost，inet addr用来表示网卡的IP地址

3. 网桥docker0创建一对对等虚拟设备接口一个叫veth，另一个叫eth0，成对匹配。

• 整个宿主机的网桥模式都是docker0，类似一个交换机有一堆接口，每个接口叫veth，在本地主机和容器内分别创建一个虚拟接口，并让他们彼此联通（这样一对接口叫veth pair）；
• 每个容器实例内部也有一块网卡，每个接口叫eth0；
• docker0上面的每个veth匹配某个容器实例内部的eth0，两两配对，一一匹配。

通过上述，将宿主机上的所有容器都连接到这个内部网络上，两个容器在同一个网络下,会从这个网关下各自拿到分配的ip，此时两个容器的网络是互通的。

host模式

直接使用宿主机的 IP 地址与外界进行通信，不再需要额外进行NAT 转换。

容器将不会获得一个独立的Network Namespace， 而是和宿主机共用一个Network Namespace。容器将不会虚拟出自己的网卡而是使用宿主机的IP和端口。

none模式

在none模式下，并不为Docker容器进行任何网络配置。 即Docker容器没有网卡、IP、路由等信息，只有一个lo（禁用网络功能，只有lo标识127.0.0.1本地回环）需要自己为Docker容器添加网卡、配置IP等。

container模式

新建的容器和已经存在的一个容器共享一个网络ip配置而不是和宿主机共享。新创建的容器不会创建自己的网卡，配置自己的IP，而是和一个指定的容器共享IP、端口范围等。同样，两个容器除了网络方面，其他的如文件系统、进程列表等还是隔离的。

自定义网络模式

推荐使用的网络模式，其优势在于自定义网络本身就维护好了主机名和ip的对应关系（ip和域名都能通）。

Dockerfile

Dockerfile是用来构建Docker镜像的文本文件，是由一条条构建镜像所需的指令和参数构成的脚本。

构建三步骤：

• 编写Dockerfile文件
• docker build命令构建镜像
• docker run依镜像运行容器实例

Docker-compose

Docker-Compose是Docker官方的开源项目， 负责实现对Docker容器集群的快速编排。Compose 是 Docker 公司推出的一个工具软件，称为容器编排，可以管理多个 Docker 容器组成一个应用。首先需要定义一个 YAML 格式的配置文件docker-compose.yml，写好各容器之间的调用关系。然后，只要一个命令，就能同时启动/关闭这些容器。

三、Docker实战

环境要求

这里使用CentOS进行docker安装，CentOS 仅发行版本中的内核支持 Docker。Docker 运行在CentOS 7 (64-bit)及以上，要求系统为64位、Linux系统内核版本为 3.8以上。

查看当前系统相关信息(内核、版本号、硬件架构、主机名称和操作系统类型等)

安装CentOS Docker

sudo yum remove docker \
                  docker-client \
                  docker-client-latest \
                  docker-common \
                  docker-latest \
                  docker-latest-logrotate \
                  docker-logrotate \
                  docker-engine

yum -y install gcc
yum -y install gcc-c++

yum install –y yum-utils

yum-config-manager --add-repo http://mirrors.aliyun.com/docker-ce/linux/centos/docker-ce.repo

yum makecache fast

yum -y install docker-ce docker-ce-cli containerd.io

错误：Delta RPMs disabled because /usr/bin/applydeltarpm not installed.

这个错误提示是由于缺少applydeltarpm程序导致的。applydeltarpm程序可以在Fedora、CentOS、Red Hat等Linux版本中使用，它用于应用Delta RPM。Delta RPM是一种增量更新包，可以节省带宽和时间，因为它只包含与已安装软件包不同的差异。如果Delta RPM未安装，则系统必须下载完整的软件包，这不仅浪费带宽，还会耗费时间。

要解决这个问题，可以安装applydeltarpm程序。在CentOS或Red Hat系统上，可以使用以下命令安装：

sudo yum install deltarpm

systemctl start docker

docker version

卸载 CentOS Docker

systemctl stop docker
yum remove docker-ce docker-ce-cli containerd.io
rm -rf /var/lib/docker
rm -rf /var/lib/containerd

配置镜像加速器

这里使用阿里个人版的镜像加速器

https://promotion.aliyun.com/ntms/act/kubernetes.html

1. 注册/登录

2. 进入控制台

3. 进入容器镜像服务

4. 进入 CentOS镜像加速器

sudo mkdir -p /etc/docker
sudo tee /etc/docker/daemon.json <<-'EOF'
{
  "registry-mirrors": ["https://347pr9l9.mirror.aliyuncs.com"]
}
EOF
sudo systemctl daemon-reload
sudo systemctl restart docker

更换docker默认容器目录

docker容器启动，默认容器目录为：/var/lib/docker/overlay2/xxxx，大部分情况下该目录磁盘空间容量比较小，因此，我们会手动更换大一点的磁盘存储路径

查看目录： docker info |grep "Docker Root Dir"
停止服务： systemctl stop docker

mkdir /large/size/path

sudo cp -r /var/lib/docker/* /large/size/path

sudo vim /etc/docker/daemon.json

添加：
"data-root": "/large/size/path",

参考：
{
  "registry-mirrors": ["https://347pr9l9.mirror.aliyuncs.com"],
  "data-root":"/large/size/path"
}

systemctl daemon-reload
systemctl start docker.service

docker info |grep "Docker Root Dir"

提交新/增强镜像

具体操作命令，见附录

新增/增强一个镜像的操作步骤：

step1： 构建一个新镜像（docker build）或者 搜索一个镜像（docker search），将镜像拉取下来（docker pull）

step2：启动容器实例（docker run）

step3：进入容器进行定制修改（docker exec）

step4：基于当前容器创建一个新镜像（docker commit）

step5：推送新镜像到镜像仓库（docker push）

step6：拉取新镜像（docker pull）

镜像仓库的搭建

三方仓库

以阿里云个人免费版为例

1. 进入容器镜像服务（参考配置镜像加速器），创建个人实例（免费），企业版需要付费使用

2. 进入个人实例，创建自定义命名空间（首次必须）

3. 创建镜像仓库

4. 选择命名空间、自定义仓库名称、填写摘要信息，下一步

5. 选择本地仓库，并创建镜像仓库

6. 根据操作指南，将镜像推送到阿里云仓库

https://blog.csdn.net/securitit/article/details/109668824

私有仓库

docker pull registry # 标签可以不加，当前最新是v2

docker run --name registry --restart=always -d -p 5000:5000 -v /volume/registry:/var/lib/registry -v /volume/registry/config.yml:/etc/docker/registry/config.yml  --privileged=true registry

方式一：映射外部文件修改

version: 0.1
log:
  fields:
    service: registry
storage:
  delete: 
    enabled: true
  cache:
    blobdescriptor: inmemory
  filesystem:
    rootdirectory: /var/lib/registry
http:
  addr: :5000
  headers:
    X-Content-Type-Options: [nosniff]
health:
  storagedriver:
    enabled: true
    interval: 10s
    threshold: 3

方式二：进入到registry容器内修改

1.进入容器

Docker进入registry容器报错 - 笑洋仟 - 博客园

docker exec -it registry /bin/sh

进入不了registry的原因：该镜像是使用alpine制作的，要进入该容器需要输入/bin/s
而不是 /bin/bash

2.修改配置文件

/etc/docker/registry/config.yml

storage:
  delete: 
    enabled: true

3.重启registry

docker restart registry

curl -XGET http://<registry_ip>:5000/v2/_catalog

原因：
docker默认不允许http方式推送镜像，通过配置选项来取消这个限制。修改完后如果不生效,重启docker。

操作步骤：
/etc/docker/daemon.json 添加："insecure-registries": ["仓库所在服务器IP:5000"]

示例(注意逗号)：
[root@icm-server ~]# cat /etc/docker/daemon.json 
{
  "registry-mirrors": ["https://347pr9l9.mirror.aliyuncs.com"],
  "insecure-registries": ["仓库所在服务器IP:5000"]
}

docker push <registry_ip>:5000/myimage:1.2

查看仓库：curl -XGET http://<registry_ip>:5000/v2/_catalog
查看某个镜像的版本：curl -X GET http://<registry_ip>:<registry_port>/v2/<image_name>/tags/list

拉取镜像：docker pull <registry_ip>:5000/myimage:1.2

systemctl daemon-reload
systemctl restart docker

图形界面Registry UI

管理Registry镜像

UI 1：界面好看，没有删除按钮

docker run --name registry-browser -p 8848:8080 --restart=always --link registry -e DOCKER_REGISTRY_URL=http://<registry_ip>:5000/v2 -d klausmeyer/docker-registry-browser

访问：http://<registry_ip>:8848

UI 2

docker run -it -d --name registry-web2 \
	-e REGISTRY_URL=http://<registry_ip>:5000/v2 \
	-e REGISTRY_NAME=registry \
	-p 8849:8080 \
	hyper/docker-registry-web

docker run -d --name registry-web --restart=always -e REGISTRY_URL=http://172.31.132.228:5000/v2  -e REGISTRY_NAME=registry -p 8848:8080 -v /volume/registry/web-config.yml:/etc/config.yml hyper/docker-registry-web

访问：http://<registry_ip>:8849

https://zhuanlan.zhihu.com/p/339181099

应用软件安装

postgres安装

# 创建postgresql数据卷文件夹
mkdir -p /user/local/docker/postgres/data
# 创建postgresql-data、databasefile、log文件夹
cd /user/local/docker/postgres/data; mkdir PGDATA; mkdir databasefile; mkdir log;

docker pull postgres

docker run --name postgres -e POSTGRES_PASSWORD=Fdw@123 -p 5432:5432 -v /user/local/docker/postgres/data/PGDATA:/var/lib/postgresql/data -d postgres

# 查看容器是否运行
docker ps
# 查看容器日志
docker logs -f 容器ID
# 查看容器挂载情况
docker inspect 容器ID

redis安装

普通安装

Redis 部署

集群安装

集群知识

Redis集群前提知识概念，请自行搜索了解

1.分布式存储一致性

2.分布式存储三种方式

• Hash取余法，缺点：节点扩容需要重新洗牌
• Hash环法（一致性Hash算法），缺点：节点数量少（体量小）时，会出现数据倾斜问题
• Hash槽法（推荐使用）

• 扩容时，槽位大小从每个节点中匀一点给新槽，而非重新洗牌
• 缩容时，删除的槽位大小可手动指定分配给某个已存在的槽，或者原路返还

集群部署-Hash槽法

以下采用3主3从，Hash槽法，进行redis集群部署

docker run -d --name redis-node-1 --net host --privileged=true -v /app/docker/data-volume/redis-volume/share/redis-node-1:/data redis  --requirepass yourpassword --cluster-enabled yes --appendonly yes --port 16381
docker run -d --name redis-node-2 --net host --privileged=true -v /app/docker/data-volume/redis-volume/share/redis-node-2:/data redis  --requirepass yourpassword --cluster-enabled yes --appendonly yes --port 16382
docker run -d --name redis-node-3 --net host --privileged=true -v /app/docker/data-volume/redis-volume/share/redis-node-3:/data redis  --requirepass yourpassword --cluster-enabled yes --appendonly yes --port 16383
docker run -d --name redis-node-4 --net host --privileged=true -v /app/docker/data-volume/redis-volume/share/redis-node-4:/data redis  --requirepass yourpassword --cluster-enabled yes --appendonly yes --port 16384
docker run -d --name redis-node-5 --net host --privileged=true -v /app/docker/data-volume/redis-volume/share/redis-node-5:/data redis  --requirepass yourpassword --cluster-enabled yes --appendonly yes --port 16385
docker run -d --name redis-node-6 --net host --privileged=true -v /app/docker/data-volume/redis-volume/share/redis-node-6:/data redis  --requirepass yourpassword --cluster-enabled yes --appendonly yes --port 16386

参数解释

--net host：使用宿主机的IP和端口，默认

--privileged=true：获取宿主机root用户权限

--cluster-enabled yes：开启redis集群

--appendonly yes：开启持久化

--requirepass：设置密码

# 查看容器启动情况
docker ps -a
# 进入redis-node-1
docker exec -it redis-node-1 /bin/bash
# 分配槽位（选择yes：接受系统分配的槽位大小以及主从的分配，NO：自行指定槽位大小）
redis-cli --cluster create 172.31.132.228:16381 172.31.132.228:16382 172.31.132.228:16383 172.31.132.228:16384 172.31.132.228:16385 172.31.132.228:16386 --cluster-replicas 1 -a yourpassword
# 查看集群安装情况
redis-cli -p 16381 -a yourpassword（任意节点端口都可，不推荐密码在命令行中，会有警告信息，推荐使用配置文件）
cluster info
# 查看主从映射情况
cluster nodes

参数解释

--cluster-replicas 1 ：表示为每个master创建一个slave节点

对应的主从关系如下（截止到2023-4-23，主从关系不是一成不变的，主宕机，从上位，原主回归，原主变为从）

redis-cli --cluster check 172.31.132.228:16381

集群扩容

增加一台主（16387）和从（16388）

docker run -d --name redis-node-7 --net host --privileged=true -v /app/docker/data-volume/redis-volume/share/redis-node-1:/data redis --cluster-enabled yes --appendonly yes --port 16387
docker run -d --name redis-node-8 --net host --privileged=true -v /app/docker/data-volume/redis-volume/share/redis-node-1:/data redis --cluster-enabled yes --appendonly yes --port 16388

# 进入7号节点
docker exec -it redis-node-7 /bin/bash
# 16387作为master节点加入集群，16381相当于主节点引路人(其他主节点也行)
redis-cli --cluster add-node 172.31.132.228:16387 172.31.132.228:16381

# 重新分派槽号(会选择 槽大小、分派给谁、从哪里获得槽)
redis-cli --cluster reshard IP地址:端口号

例如：
redis-cli --cluster reshard 192.168.111.147:16381
槽大小(from 1 to 16384)：4096
receiving node ID:16387的id
source node：all (从所有的槽中获取)

TODO

集群缩容

TODO

服务软件安装

Dockerfile编写

以一个Java微服务为例，编写Dockerfile构建镜像脚本

# 基础镜像使用java
FROM java:8
# 作者
MAINTAINER qxwu
# 指定临时文件目录
VOLUME /app/docker/data-volume/jar-volume/icm-teamwor
# 将jar包添加到容器中并更名
ADD bim-xxxx-0.0.1-SNAPSHOT.jar bim-xxxx-0.0.1-SNAPSHOT.jar
# 运行jar包
RUN bash -c 'touch /bim-xxxx-0.0.1-SNAPSHOT.jar'
ENTRYPOINT ["java","-jar","/bim-xxxx-0.0.1-SNAPSHOT.jar","--spring.profiles.active=uat"]
# 暴露端口
EXPOSE 8506

docker-compose编写

curl -L "https://github.com/docker/compose/releases/download/1.29.2/docker-compose-$(uname -s)-$(uname -m)" -o /usr/local/bin/docker-compose

chmod +x /usr/local/bin/docker-compose

docker-compose --version

rm /usr/local/bin/docker-compose

version: "3"

services:
  icm-setup:
    image: 172.31.132.228:5000/icm-xxx:2.0
    container_name: bim-icm-xxx
    ports:
      - "8501:8501"
    environment:
     - "SPRING_PROFILES_ACTIVE=uat"
    volumes:
      - /data/proj/icm_xxx/logs:/logs
    networks:
      - bim_network

服务打包发布

四、Docker监控

轻量级可视化工具-Portainer

Portainer 是一款轻量级的应用，它提供了图形化界面，用于方便地管理Docker环境，包括单机环境和集群环境。

https://www.portainer.io/

docker run -d -p 8000:8000 -p 9000:9000 --name portainer --restart=always -v /var/run/docker.sock:/var/run/docker.sock -v portainer_data:/data portainer/portainer

访问

首次访问（http://ip:9000/）会设置密码，用户名：admin，密码：自己设置

重量级容器监控-CAdvisor+InfluxDB+Granfana

CAdvisor监控收集+InfluxDB存储数据+Granfana展示图表

见文章docker-compose编写部分

version: '3.1'

volumes:
  grafana_data: {}

services:
 influxdb:
  image: tutum/influxdb:0.9
  restart: always
  environment:
    - PRE_CREATE_DB=cadvisor
  ports:
    - "8083:8083"
    - "8086:8086"
  volumes:
    - ./data/influxdb:/data

 cadvisor:
  image: google/cadvisor
  links:
    - influxdb:influxsrv
  command: -storage_driver=influxdb -storage_driver_db=cadvisor -storage_driver_host=influxsrv:8086
  restart: always
  ports:
    - "8084:8080"
  volumes:
    - /:/rootfs:ro
    - /var/run:/var/run:rw
    - /sys:/sys:ro
    - /var/lib/docker/:/var/lib/docker:ro

 grafana:
  user: "104"
  image: grafana/grafana
  user: "104"
  restart: always
  links:
    - influxdb:influxsrv
  ports:
    - "3000:3000"
  volumes:
    - grafana_data:/var/lib/grafana

docker-compose config -q

有问题会报错，没有问题则没有返回

docker-compose up -d

访问

访问cAdvisor收集服务，http://ip:8084/

访问influxdb存储服务，http://ip:8083/

访问grafana展现服务，http://ip:3000（默认帐户密码：admin/admin,首次访问会提示密码修改）

附录 常用命令

帮助命令

帮助命令

docker --help

启动类命令

启动类命令

• 启动docker： systemctl start docker
• 停止docker： systemctl stop docker
• 重启docker： systemctl restart docker
• 查看docker状态： systemctl status docker
• 开机启动： systemctl enable docker
• 查看docker概要信息： docker info

docker网络命令

查看网络模式

docker network ls

查看网络源数据

docker network inspect 网络名称

“Networks”中的数据

删除网络

docker network rm 网络名称

自定义网络

docker network create 自定义名称

镜像命令

构建镜像

docker build -t 新镜像名字:TAG .

查看镜像：docker images [OPTIONS]

例如：docker images -a

参数解释：

• REPOSITORY：表示镜像的仓库源
• TAG：镜像的标签版本号
• IMAGE ID：镜像ID
• CREATED：镜像创建时间
• SIZE：镜像大小

REPOSITORY:TAG 来定义不同的镜像，不写TAG默认为latest

OPTIONS说明：

-a：列出本地所有的镜像（含历史映像层）

-q：只显示镜像ID。

搜索镜像：docker search 镜像名 [OPTIONS]

例如：docker search redis --limit 10

参数解释：

• NAME：镜像名称
• DESCRIPTION：镜像说明
• STARS：点赞数
• OFFICIAL：是否是官方的
• AUTOMATED：是否是自动构建的

OPTIONS说明：

--limit : 只列出N个镜像，默认25个

下载镜像：docker pull 镜像名[:TAG]

例如：docker pull redis:6.0.8

TAG不写，默认为latest

查看镜像/容器/数据卷所占的空间

docker system df

删除镜像

删除单个镜像：docker rmi 镜像ID/镜像名:TAG

删除多个镜像：docker rmi 镜像ID/镜像名:TAG 镜像ID/镜像名:TAG （多个用空格隔开）

删除全部（慎用）：docker rmi -f $(docker images -qa)

OPTIONS说明：

-f : 强制删除

提交新/增强镜像

docker commit 提交容器副本使之成为一个新的镜像

docker commit -m="提交的描述信息" -a="作者" 容器ID 要创建的目标镜像名:[标签名]

OPTIONS说明：

-m：描述信息

-a ：作者名

例如：

docker commit -a zhangsan -m "镜像版本从1.1提升到1.2" 8fdae4edb519 myimage:1.2

查看虚悬镜像

docker image prune

REPOSITORY 和 TAG 为<none>的镜像称为虚悬镜像，已经失去了存在价值的镜像，建议删除

容器命令

启动容器

docker run [OPTIONS] IMAGE [COMMAND] [ARG...]

OPTIONS 说明：

--name=“容器名” ： 为容器指定自定义名称

-d：后台运行容器并返回容器ID，守护式容器

-i：交互式模式运行容器，通常与-t同时使用

-t：为容器重新分配一个伪终端，通常与-i同时使用

-P：大写，随机端口映射

-p：小写，指定端口映射(宿主机端口:容器端口)

-v：挂载数据卷(宿主机目录:容器目录)

例如：-v /aaa:/bbb:rw --privileged=true

• /aaa 为宿主机目录 /bbb为容器内目录
• rw（默认，可不写，read write，读写）ro（read only，只读）

• 限制的是容器内部，即宿主机均可写入，容器内根据配置可读写或只读

• --privileged=true：配合-v使用，挂载容器卷如果出现cannot open directory .: Permission denied，添加该参数扩大容器的权限（使用该参数，容器内的root拥有真正的root权限，否则，容器内的root只是外部的一个普通用户权限）
• --volumes-from 父类，继承其他容器的卷规则

• 例如：容器u1作为父类，容器u2继承u1的卷配置

• u1：docker run -it --privileged=true -v /aaa:/bbb --name u1 myimage:1.0
• u2：docker run -it --privileged=true --volumes-from u1 --name u2 myimage:1.0

--network：指定网络，默认为bridge模式

• --network bridge
• --network host
• --network none
• --nework container:容器ID或NAME

例如：

启动容器：

docker run -d --name icm-knowledgebase --network bim_network -v /data/proj/icm_knowledgebase/logs:/logs -p 8091:8091 bim-icm-knowledgebase:2.0.0

查看容器列表

docker ps [OPTIONS]

OPTIONS 说明：

-a ：列出当前所有正在运行的容器+历史上运行过的

-l：显示最近创建的容器。

-n：显示最近n个创建的容器。

-q：静默模式，只显示容器编号

进入容器

方式一（推荐）：docker exec -it 镜像ID /bin/bash

方式二：docker run -it 镜像ID /bin/bash

镜像ID 可替换为 镜像名称:TAG

OPTIONS 说明：

-i：交互式模式运行容器，通常与-t同时使用

-t：为容器重新分配一个伪终端，通常与-i同时使用

退出容器

exit 或 ctrl+p+q

exit命令在方式二进入容器时，使用exit退出容器，容器会停止

启动已停止的容器

docker start 容器ID或者容器名

重启容器

docker restart 容器ID或者容器名

停止容器

docker stop 容器ID或者容器名

强制停止容器

docker kill 容器ID或者容器名

删除容器

删除已停止的容器：docker kill 容器ID或者容器名

删除所有容器（慎用）:

docker rm -f $(docker ps -a -q) 或 docker ps -a -q | xargs docker rm

OPTIONS 说明：

-f：强制执行

拷贝容器内数据到宿主机

docker cp 容器ID:容器内路径 宿主机路径

导入和导出容器

export导出容器的内容留作为一个tar归档文件：

docker export 容器ID > 文件名.tar

例如：docker export 20a589098ad5 > abc.tar.gz

import从tar包中的内容创建一个新的文件系统再导入为镜像：

cat 文件名.tar | docker import - 镜像用户/镜像名:镜像版本号

例如：cat abc.tar.gz | docker import - zhangsan/redis:6.0.8

查看容器日志

查看最近100条日志：

docker logs --tail 100 容器ID

实时查看日志：

docker logs -follow 容器ID

查看容器卷挂载信息

docker imspect 容器ID

"Mounts"中的信息

docker-compose命令

查看帮助

docker-compose -h

启动服务

docker-compose up

OPTIONS说明：

-d：后台启动

停止并删除容器、网络、卷、镜像

docker-compose down

进入容器实例内部

docker-compose exec yml文件中写的服务id /bin/bash

查看当前编排运行的所有容器

docker-compose ps

查看当前编排过的容器进程

docker-compose top

查看容器输出日志

docker-compose logs yml文件中写的服务id

检查配置

docker-compose config

OPTIONS
-q：有问题才有输出

重启服务

docker-compose restart

启动服务

docker-compose start

停止服务

docker-compose stop

卸载服务

rm /usr/local/bin/docker-compose