一、 官方镜像仓库介绍
镜像仓库分类
公有仓库
私有仓库
官方镜像仓库属于公有仓库
网址: hub.docker.com 网站名称:dockerhub
注册邮箱
创建仓库
创建自己的仓库
登录仓库
web界面登录
linux命令行登录
直接docker login 输入用户名和密码
这个自己创建的存储库一般只有pull时才会登录
1.1 公有仓库容器镜像上传和下载
push上传
把本地的centos容器镜像打一个tag标签到自己的dockerhub存储库
然后会产生一个一模一样的镜像
登录dockerhub,然后docker push 上传到自己的存储库 v1是自定义的tag
nginx应用镜像的 上传
最好在自己dockerhub里面重新创建一个repository
上传之前必须先给要上传的镜像打tag标签并指定自己的仓库位置
docker tag centos-nginx:tag 用户名/仓库:tag
pull下载
下载之前必须先退出登录dockerhub (hub.docker.com)
docker pull 用户名称/仓库:tag
二、镜像加速器
镜像加速器主要目的在于加快用户下载容器镜像速度
因为dockerhub存储库在国外,下载很慢
2.1 docker 中国镜像加速器
官网:
1.Docker中国区官方镜像
https://registry.docker-cn.com
2.网易
http://hub-mirror.c.163.com
3.中国科技大学
https://docker.mirrors.ustc.edu.cn
永久配置方法
第一步 修改/usr/lib/systemd/system/docker.service
第二步 编辑/etc/docker/daemon.json
{
"registry-mirrors": ["https://registry.docker-cn.com"]
可以加其他镜像源也行
}
第三步 重启docker daemon
systemctl daemon-reload systemctl restart docker
pull下载镜像会快一点
2.2 阿里云镜像加速器
点击工作台之后直接搜索容器镜像服务,选择镜像工具里面的镜像加速器
直接复制粘贴到daemon.json使用就行 多个镜像源可以用逗号隔开
最后restart docker 就行
三、docker本地容器镜像仓库
作用
在局域网内使用,避免无法连接外网
方便与其它系统进行集成,例如自动安装,自动上传
上传下载大镜像时
3.1 使用registry容器镜像实现本地非安全镜像仓库
第一步:下载registry注册表 容器镜像
第二步:创建目录用于挂载registry镜像启动的容器,便于容器镜像数据持久化
mkdir /opt/dockerregistry 用于挂载registry镜像启动的容器
第三步:启动容器获取镜像仓库
-d 后台启动 --restart 容器重启策略,docker主机关机之后开机就会自动重启容器 always 是重启策略的值 -v 添加volume卷也就是把目录当成挂载卷了 :后面就是挂载的容器镜像位置
第四步:验证是否可用
在daemon.json里面加上"insecure-registries": ["http://192.168.122.33:5000"],
逗号是隔开键值对
私有仓库添加完成之后restart docker
之前是上传镜像需要给自己的公有仓库打tag标签,私有仓库也需要打tag标签才能上传
之前挂载目录是没有文件的,因为打了tag标记之后上传了centos镜像才有数据
另外一台主机可以ping -c 次数 docker服务器ip
在其他主机中下载使用私有仓库中的镜像很快
下载容器镜像一秒钟就好
3.2 使用Harbor实现本地通过web进行管理的非安全仓库
vmware公司开源 良好的中文界面 web管理界面 使用广泛
3.2.1 工具准备
使用docker-compose工具进行启动
准备安装docker-compose有工具-pip
pip类似于yum,用于批量安装python模块及解决python模块依赖
pip工具准备
先安装epel源
yum -y install epel-release
yum -y install python2-pip
pip list 和yum list 一样可查看软件的version
最后的说明是pip最新版是19.1可以考虑upgrade升级
docker-compose工具准备
requests模板可以ignore忽略安装
如果是centos7可以不用忽略直接pip install docker-compose
gihub上的操作文档readme.md +号代表版本必须大于
点击release 可以查看版本主线 推荐使用offline离线下载
下载之后的压缩包可以上传到docker服务器并解压
tar xf harbor.....
然后在cd到harbor目录,vim harbor.cfg
配置只需要修改一下hostname=docker主机ip
默认harbor密码是Harbor12345
启动harbor
运行prepare脚本
./install.sh 运行安装脚本
如果想停止harbor可以
docker-compose stop
开启harbor可以使用
docker-compose up -d
都是通过docker-compose.yml文件启动harbor的
web访问harbor直接访问docker主机ip之后输入默认密码就行
3.2.2 上传镜像到harbor镜像私有仓库
第一步:在daemon.json中添加此仓库地址
之后restart docker
会发现health状态都是starting正在启动,需要等一会儿
第二步:给需要上传的镜像打标记
根据harbor镜像仓库的提示打标记
打tag标记 资源镜像 标记用户/library/镜像名称
第三步:上传镜像到harbor镜像私有仓库
上传和dockerhub仓库一样,需要先登录才能上传
在其他主机访问私有harbor镜像
访问镜像都必须修改daemon.json文件指定不安全的注册表和容器镜像源的ip
pull容器镜像到本地
速度比加速器快很多
四、docker网络
4.1 本地网络
本地网络类型
bridge NAT模式,可使容器连接外网
host 与主机共享网络,可使容器连接外网
none 容器仅有lo网卡,无法连接外网
联盟网络 容器间共享同一个网络命名空间,实现容器间数据传输(例如数据库服务器和nginx服务器间的数据通信传输)
bridge 桥接
docker 查看网络 ls
使用--network选项选择容器网络
每一台docker host上的docker0所在网段完全一样。
host
所有的容器与docker host在同一网络中,可以让容器访问,甚至可以让外网主机访问容器中的服务
任何主机都可以随时访问docker host的ip 就能访问容器的运行的服务
4.2 跨主机容器间网络
容器的主机相当于局域网,所以不能跨主机去访问容器
其实就和vpn一样,用户要访问局域网,可以通过在客户端安装vpn之后覆盖网络直接连接局域网的vpn实现访问
etcd其实就路由表数据库
Flannel工作原理
是Overlay网络,即覆盖型网络
通过etcd保存子网信息及网络分配信息
给每台Docker Host分配置一个网段通过UDP传输数据包
部署flannel
环境说明
node1
安装软件etcd flannel docker
node2
安装软件flannel docker
主机配置
1、设置主机名
systemctl set-hostname node1
2、配置/etc/hosts
3、安全配置
4、安装软件
node1
安装软件etcd flannel docker
node2
安装软件flannel docker
5、配置etcd数据库
主要就是添加2379和4001监听客户端地址和通知客户端地址
设置开机自启enable并启动etcd数据库
查看端口号和etcd进程
测试etcd是否可以存取数据及cluster的healthy
配置flanner
vim /etc/sysconfig/flanneld
etcd:2379
atomic.io/network
在etcd数据库添加一个网段
etcdctl mk 配置的ip可以随意
启动flannel服务
ip a s 查看ip会发现多了一个flannel0
配置flannel和docker
第一步:查看subnet子网信息
MTU不能超过1500,flannel是覆盖型网络
第二步:配置docker daemon
修改docker的/etc/docker/daemon.json
重启docker之后会发现flannel0和docker0在同一网段
启动容器验证网络
node2 的docker host也是 这样配置的
flannel自动覆盖之前的docker0 并给多台docker 主机中的容器分配ip
测试分别在node1、node2创建容器,观察容器IP地址情况
可以ping 容器的ip a s
注意:flannel0的ip、docker0的ip 、容器的ip都是独立的
唯一的关系是flannel0的ip和docker0的ip是同一网段
正常情况是node1和node2的容器ip和docker0网桥ip都可以 ping 通
node1 中的容器 ip 172.20.22.2 docker0网桥ip 172.20.22.1
node2 中的容器 ip 172.20.13.2 docker0网桥ip 172.20.13.1
docker exec 容器id ping -c 3 node2 node1ping不通node2的容器ip
docker exec 容器id ping -c 3 node1 node1ping通自己的docker0网桥
node1 ping node2的13.1网桥也能通
可以docker ps 查看容器id 之后再ping
如果发现容器之间无法ping通就修改iptables策略
虽然firewalld防火墙关闭了,但是iptables还在
iptables策略配置
- 转发策略开启:iptables -P FORWARD ACCEPT
- 查看nat路由配置:iptables -t nat -L
iptables -F
指令是用来清除所有规则的,线上环境慎用!!!。使用的时候需要注意一下,如果策略模式不是 ACCEPT 的话,盲目使用可能会导致网络立马中断或者其他不可预估的错误。
每台主机都必须配置 开启转发策略 把nat路由配置规则DROP修改成ACCEPT