【入门级】docker

开头处生动的描述一下”码头工人”吧：小鲸鱼（登记处Registry：比如docker hub官方）背着好多集装箱（仓库repository：存放各种各样的镜像，一般存放的是一类镜像，这一类镜像中通过tag 版本进行区分），可以游向各个地方（指无需配置环境便可直接运行）。

【入门级】docker

一、docker概念简述
二、docker拉取
- 1.国内镜像加速
- 2.docker pull with proxy
三、docker基本命令
- 1.帮助命令
- 2.镜像命令
- 3.容器命令
- 4.移动命令
- 5.其余命令
四、容器数据卷
- 1. 容器-v挂载
- 2.构建镜像时挂载
- 3.数据卷容器
五、DockerFile
六、Docker网络

一、docker概念简述

所有应用，可以打包成docker镜像（包含某个软件运行所需的所有内容：代码、库、环境变量、配置文件等），无需重新配置环境，可以直接跑起来！简单了解以下几个名词：
在这里插入图片描述

镜像（images）:可以理解成C++里的类/模板，通过镜像实例化对象.
容器（container）:镜像实例化的对象就是容器，每个容器都类似一个VM虚拟机（区别是容器不用单独构建操作系统内核，所有的容器共用宿主机的内核，启动更快），各个容器之间存储隔离，不同容器可以进行交互.
仓库（repository）：存放镜像的地方（官方docker hub，以及一些国内的镜像仓库）.

Ubuntu下docker的安装可以采用鱼香ros一键安装：wget http://fishros.com/install -O fishros && . fishros（安装的是引擎版，不是桌面版）
安装完成后启动docker：systemctl start docker
查看docker版本：docker version
run hello-world检测docker：docker run hello-world（自动pull hello-world的镜像，拉取时关闭防火墙）
docker的默认工作路径在/var/lib/docker下，可以使用sudo -i提高权限，cd查看，Ctrl+D退出高级权限.
docker遵循client-server模式，可以输入docker info查看
其余详情请移步到 docker官方用户手册

二、docker拉取

1.国内镜像加速

在终端进行下述配置：

sudo mkdir -p /etc/docker
sudo tee /etc/docker/daemon.json <<EOF
{
    "registry-mirrors": [
        "https://hub.uuuadc.top",
        "https://docker.anyhub.us.kg",
        "https://dockerhub.jobcher.com",
        "https://dockerhub.icu",
        "https://docker.ckyl.me",
        "https://docker.awsl9527.cn"
    ]
}
EOF
sudo systemctl daemon-reload
sudo systemctl restart docker

以docker.awsl9527.cn为例拉取：

docker pull docker.awsl9527.cn/library/alpine:latest // 拉取 library 镜像
docker pull docker.awsl9527.cn/coredns/coredns:latest // 拉取 coredns 镜像

（说明：library是一个特殊的命名空间，它代表的是官方镜像。如果是某个用户的镜像就把library替换为镜像的用户名）

重命名镜像名称：

docker image tag docker.awsl9527.cn/library/alpine:latest library/alpine:latest
docker image tag docker.awsl9527.cn/coredns/coredns:latest coredns/coredns:latest

删除“中间站”镜像：

docker rmi docker.awsl9527.cn/library/alpine:latest
docker rmi docker.awsl9527.cn/coredns/coredns:latest

欲知其余镜像加速器的配置方法，可以跳转DockerHub国内镜像源列表

2.docker pull with proxy

若想使用clash（确保已经配置好clash）直接从docker hub官网拉取镜像，可以配置proxy，具体步骤如下：

mkdir /etc/systemd/system/docker.service.d
vim /etc/systemd/system/docker.service.d/http-proxy.conf
在 http-proxy.conf 中添加下述内容：

[Service]
Environment="HTTP_PROXY=http://proxy.example.com:80/"
Environment="HTTPS_PROXY=http://proxy.example.com:80/"

（在终端使用命令env | grep -i proxy，查看HTTP_PROXY和HTTPS_PROXY的值进行替换）

刷新一下：sudo systemctl daemon-reload
查看配置是否被加载完成

$ sudo systemctl show --property Environment docker
Environment=HTTP_PROXY=http://proxy.example.com:80/
Environment=HTTPS_PROXY=http://proxy.example.com:80/

重启docker：sudo systemctl restart docker

(注：配置好代理后pull时需要关掉防火墙)

三、docker基本命令

1.帮助命令

docker 命令 --help

官方命令Reference

2.镜像命令

sudo docker images  //查看所有已下载的docker镜像
docker images -q  //只显示镜像id

docker search osrf/ros  //搜索镜像（也可以在docker hub上直接搜索）
docker search osrf/ros --filter=STARS=73   //过滤：只搜索stars大于73的镜像

sudo docker pull osrf/ros:humble-desktop-full  //拉取ros-humble的docker镜像 分层下载(如果不写tag，默认latest) 

sudo docker rmi 镜像ID/镜像name  //删除镜像
docker rmi -f $(docker images -aq)  //删除所有镜像（f->force  a->all  q->id）

（注：容器ID≠镜像ID）

3.容器命令

sudo docker ps  //查看正在运行的docker容器
sudo docker ps -a  //列出所有运行/停止的容器
sudo docker ps -aq  //仅列出所有运行/停止的容器的id
sudo docker ps -n=?  //显示最近创建的容器（尚存在的）

sudo docker run -it hello-world:latest  //运行容器（-it:交互式运行；i:从容器中获取一个标准输入stdIn创建可交互连接；t:在容器内分配一个伪终端；hello-world:repository；latest:tag）
sudo docker run -it -d osrf/ros:humble-desktop-full-jammy  //在后台运行一个容器(输出1c7a8a5b58116e6b5f7d88aa1608748a1b36ab582822c760556d5e6b7850f5ee，前12位为容器ID)（容器发现没有前台进程，自杀->exit）
sudo docker run -it --rm osrf/ros:humble-desktop-full-jammy //仅用于测试，关闭容器后自动删除
sudo docker run -it -d --name xiaoxin osrf/ros:humble-desktop-full-jammy  //创建容器时自己给容器rename

sudo docker start 容器name/ID  //重新打开已经创建好但退出的容器
docker restart 容器name/ID  //重启容器
sudo docker attach 1c7a8a5b5811  //连接进入ID为1c7a8a5b5811的容器（Ctrl+D后exited）
docker exec -it  frosty_mahavira /bin/bash  //连接进入name为frosty_mahavira的容器（开启一个新终端 Ctrl+D后up）

CTRL+P+Q  //让容器呆在后台（不停止）
当前终端：CTRL+D或exit  //停止并退出容器
新开终端：sudo docker stop 容器name/ID  //温柔退出容器
sudo docker kill 容器name/ID  //强制关闭docker容器

sudo docker rm 容器ID/容器name  //删除容器(不能删除正在运行的容器，如果强制删除rm -f)
docker rm -f $(docker ps -aq)  //删除所有的up/exit容器(若去掉-f，只能删掉停止的容器)
docker ps -aq | xargs docker rm  //删除所有的容器（xargs处理管道多行变单行，换行和空白将被空格取代）
sudo docker container prune  //把所有停止的容器一键删除
sudo docker system prune -a  //(慎用)删掉所有未运行的容器、所有镜像、构建的缓存、所有网络

4.移动命令

docker save -o lawskiybin.tar lawskiy/roaf3d_bin:v3.0  //把镜像打包成tar
docker load -i lawskiybin.tar  //从tar文件导出镜像

sudo docker commit 容器ID 容器name/镜像name  //创建一个当前运行容器的 Docker 镜像
docker commit -m="提交的描述信息" -a="作者" 容器ID 目标镜像名:tag

docker cp 容器id:容器内路径 目的主机路径  //从容器内拷贝文件（夹）到主机上
docker cp /home/zixie/ws frosty_mahavira:/home  //从主机拷贝文件（夹）到容器内

5.其余命令

# 查找日志
docker logs -tf  --tail 10 容器name/ID  //输出最近的10条日志（t-时间戳 f-实时显示 tail-后跟最近日志获取数量）
docker logs -tf 容器names/ID  //输出所有日志

# 查看容器中进程信息
docker top 容器name/ID   
//各个输出所表含义：
//UID-进程的用户ID   
//PID-进程ID    
//PPID-父进程ID                
//C-CPU使用率                   
//STIME-进程启动时间               
//TTY-进程所在的终端                 
//TIME-进程累计CPU时间                
//CMD-启动进程的命令

#查看容器的源数据
docker inspect 容器name/ID

#查看docker磁盘使用情况
docker system df

在这里插入图片描述

四、容器数据卷

容器内部数据和主机数据的互相挂载，确保容器的”持久化“以及”同步化“。通过挂载数据卷，容器之间也可以共享数据.

docker inspect 容器name：查看挂载详情：Mounts挂载-v；Source主机目录；Destination容器内目录.
docker volume ls：查看所有容器数据卷.
docker volume inspect 卷名：查看容器在主机的挂载目录Mountpoint.
docker volume rm 数据卷名：删除容器数据卷（在/var/lib/docker/volumes执行rm -rf 主机目录有时删不掉）.

1. 容器-v挂载

docker run -it -v 主机目录：容器内目录 镜像name:tag

匿名挂载：docker run --rm -it -v /home/test osrf/ros:humble-desktop-full（只写了容器内目录：/home/test；主机目录默认为：/var/lib/docker/volumes/数据卷名/_data）
具名挂载：docker run --rm -it -v juming:/home/test osrf/ros:humble-desktop-full（juming前没加/，不是主机目录，而是数据卷的名字，主机目录默认为：/var/lib/docker/volumes/数据卷名/_data）
指定路径挂载：docker run --rm -it -v /home/zixie:/home/test osrf/ros:humble-desktop-full（指定路径挂载是一种把主机目录绝对化的匿名挂载）

//改变读写权限（针对于容器而言）
docker run -it -v 主机目录：容器内目录：ro/rw 镜像name:tag
//ro:readonly 只能在宿主机进行操作，容器内只读
//rw:readwrite

2.构建镜像时挂载

vim Dockerfile新建Dockerfile文件，输入：

FROM osrf/ros:humble-desktop-full

VOLUME ["volume1","volume2"]

CMD echo "---end---"

CMD /bin/bash

终端输入docker build -f ./Dockerfile -t hzx/ros:1.0 .构建镜像（不要少写了 “.”）
新建容器docker run --rm -it hzx/ros:1.0，完成后ls可以看到挂载的数据卷volume1&volume2.

3.数据卷容器

docker run --rm -it --name docker01 hzx/ros:1.0  //hzx/ros:1.0镜像在构建时自带数据卷
docker run --rm -it --name docker02 --volumes-from docker01 hzx/ros:1.0  //实现容器间挂载数据卷

(关于挂载原理不是很清楚：本人先删除docker，虚拟机中的文件不会丢失；删除虚拟机中的volume数据卷，docker中的文件丢失)

五、DockerFile

构建docker镜像的文件（手工构建image）——命令脚本
通过docker history 镜像名可以大致窥见构建镜像的Dockerfile.

关键字（指令）可以大/小写字母（推荐大写）.
从上到下顺序执行.
使用#注释
每一个指令都会创建一个镜像层，并提交.

（bootfs是Docker镜像的基础文件系统，由多个只读层（read-only layer）组成，这些层叠加形成了完整的文件系统，这个文件系统是唯一一个在容器运行时保持不变的层，所有的修改都是在其他层上完成）

指令	说明
FROM	指定基础镜像：FROM ubuntu:18.04(FROM scratch 白手起家）
RUN	在构建镜像过程中执行的操作：RUN apt-get update && apt-get install -y vim
COPY	拷贝本机文件到镜像内
ADD	类似于COPY，支持URL和自动解压缩
WORKDIR	进入容器后所在的工作目录
EXPOSE	暴露端口
CMD	指定容器启动时默认执行的命令，只有最后一个生效，运行容器时若添加CMD后的相关指令会被替代：CMD [“python ”, “app.py”]
ENTRYPOINT	指定容器启动时默认执行的命令，只有最后一个生效，运行容器时可以在原先Dockerfile ENTRYPOINT的基础上追加命令
LABEL	键值对形式，可以生成镜像的作者名称（取代MAINTAINER）：LABEL maintainer=‘zixie’
ENV	设置环境变量，运行容器时有效
ARG	设置环境变量，构建镜像时有效
VOLUME	挂载数据卷：VOLUME [“volume1”, “volume2”]
USER	docker默认运行权限是root，USER用于设置运行容器时的用户
ONBUILD	该指令后面的指令在当前镜像被构建时，并不会被执行；只有以当前镜像为基础镜像去构建下一级镜像时，才会被执行

（每个指令的些微介绍请移步Docker Dockerfile指令大全）

发布自己的镜像到 docker hub 官网:

首先在个人docker hub账户dockerhub_username(命名空间)下Create repository 创建仓库repository_name，这样做是为了确定要上传网站的位置为dockerhub_username/repository_name
给自己的镜像打标签 docker tag [镜像id] [网站上的位置]:[自定义Tag名字]：docker tag <local_image_id> dockerhub_username/repository_name:tag
终端输入docker login -u username ，然后输入密码——>Login Succeeded
push到官方docker push dockerhub_username/repository_name:tag
docker logout退出

docker流程小结：
(Dockerfile & Images & Containers & Docker registry & backup.tar)
在这里插入图片描述

六、Docker网络

首先，简要插播一下计算机网络的内容：

集线器hub（物理层）：连接多个PC端。不做任何处理，通过48位的MAC地址无脑将电信号广播至所有出口，浪费网络资源又不安全。

交换机（数据链路层）：内部维护一张 MAC 地址表（起初MAC地址表的形成要依靠广播），只把数据包发给目标 MAC 地址（物理层面上，一般不可修改）指向的那台电脑，形成以太网。由于交换机端口数量有限，当PC端逐渐变多时难以支撑，此时可以考虑把交换机A（连接ABCD）与交换机B（连接EFGH）相连，但两个交换机得分别记录 A ~ H 所有机器的映射记录，日积月累，交换机也不堪重负。

路由器（网络层）：路由器的每一个端口，都有独立的 MAC 地址，现在交换机的 MAC 地址表中，只需要多出一条 MAC 地址 ABAB 与其端口的映射关系，利用32位IP地址（软件层面上，可以修改），就可以成功把数据包转交给路由器了。

All in all：电脑视角：首先我要知道我的 IP 以及对方的 IP；通过子网掩码判断我们是否在同一个子网；在同一个子网就通过 arp 缓存表（通过 arp 协议广播逐渐完善）获取对方 mac 地址直接扔出去；不在同一个子网就通过 arp 缓存表获取默认网关的 mac 地址直接扔出去。交换机视角：我收到的数据包必须有目标 MAC 地址；通过 MAC 地址表（通过以太网各节点广播逐渐完善）查映射关系；查到了就按照映射关系从我的指定端口发出去；查不到就所有端口都发出去。路由器视角：我收到的数据包必须有目标 IP 地址；通过路由表（各种路由算法 + 人工配置逐步完善）查映射关系；查到了就按照映射关系从我的指定端口发出去；查不到则返回一个路由不可达的数据包。
网络层（IP协议）本身没有传输包的功能，包的实际传输是委托给数据链路层（以太网中的交换机）来实现的。
以上总结参考自wx公众号，欲深入了解请跳转

查看docker网络模式docker network ls，会出现bridge、host、none三种网络模式，创建容器时默认为bridge，可以使用docker network inspect bridge/host/none来查看三种网络的详细信息。

默认bridge：采用veth（virtual ethernet虚拟以太网）技术，以docker0做bridge默认网络模式的网关，每创建一个容器就会产生（一对）veth-pair接口&与docker0在同一网段的一个IP地址.

容器IP是私有地址，外部互联网想要访问容器，需要-p暴露端口.

假设采用默认bridge网络模式创建了两个容器aa(172.17.0.2)和bb(172.17.0.3)，进入容器aa，ping 172.17.0.3可以ping通，但在默认bridge模式下无法进行DNS域名解析，即ping bb会ping不通。采用–link进行容器互联 docker run -it --name bb --link aa 镜像name:tag，可以实现bb ping aa的单方向DNS域名解析.
自定义bridge：docker network create -d bridge my_bridge_net创建自定义bridge网络模式，可以使用docker network ls 查看新建的bridge，同样它也有一个类似docker0的桥。docker run -it --network my_bridge_net 镜像name:tag使用自定义bridge创建容器，可以进行DNS域名解析。要想删除此网络，终端输入docker network rm my_bridge_net(无法删除原始的3种网络).
host：该模式下容器相当于宿主机的一个应用，无需端口映射互联网也能访问容器（非要映射会遭到拒绝discard).
none：以该模式创建的容器只有lo本地回环一种网络，不能联网，被隔离.