yeasy
parent
2044998a27
commit
9fa5ff18a7
29
README.md
29
README.md
|
|
@ -1,18 +1,20 @@
|
|||
# Docker —— 从入门到实践
|
||||
0.6.0
|
||||
0.7.0
|
||||
|
||||
[Docker](http://www.docker.com) 是个很有意思的开源项目,它彻底释放了虚拟化的威力,极大降低了云计算资源供应的成本,同时让应用的部署、测试和分发都变得前所未有的高效和轻松!
|
||||
[Docker](http://www.docker.com) 是个很有意思的开源项目,它彻底释放了虚拟化的威力,极大提高了应用的运行效率,降低了云计算资源供应的成本,同时让应用的部署、测试和分发都变得前所未有的高效和轻松!
|
||||
|
||||
无论是应用开发者,运维人员,还是云计算从业人员,都有必要认识和掌握 Docker,以在有限的时间内做更多有意义的事。
|
||||
|
||||
本书既适用于具备基础 Linux 知识的 Docker 初学者,也希望可供理解原理和实现的高级用户参考。同时,书中给出的实践案例,可供在进行实际部署时借鉴。前六章为基础内容,供用户理解 Docker 的基本概念和操作;7 ~ 9 章介绍一些高级操作;第 10 章给出典型的应用场景和实践案例;11 ~ 13 章介绍关于 Docker 实现的相关细节技术。后续章节则分别介绍一些相关的热门开源项目。
|
||||
|
||||
在线阅读:[GitBook](https://www.gitbook.io/book/yeasy/docker_practice) 或 [DockerPool](http://dockerpool.com/static/books/docker_practice/index.html)。
|
||||
在线阅读:[GitBook](https://www.gitbook.io/book/yeasy/docker_practice) 或 [Github](https://github.com/yeasy/docker_practice/blob/master/SUMMARY.md)。
|
||||
|
||||
欢迎关注 DockerPool 社区微博 [@dockerpool](http://weibo.com/u/5345404432),或加入 Docker 技术交流 QQ 群或微信组,分享 Docker 资源,交流 Docker 技术。
|
||||
|
||||
* QQ 群I (已满):341410255
|
||||
* QQ 群II (已满):419042067
|
||||
* QQ 群III(已满):210028779
|
||||
* QQ 群IV (可加):483702734
|
||||
* QQ 群 I (已满):341410255
|
||||
* QQ 群 II (已满):419042067
|
||||
* QQ 群 III(已满):210028779
|
||||
* QQ 群 IV (可加):483702734
|
||||
|
||||
|
||||
|
||||
|
|
@ -24,21 +26,24 @@
|
|||
* [亚马逊图书](http://www.amazon.cn/%E5%9B%BE%E4%B9%A6/dp/B00R5MYI7C/ref=lh_ni_t?ie=UTF8&psc=1&smid=A1AJ19PSB66TGU)
|
||||
|
||||
## 主要版本历史
|
||||
* 0.7.0: 2016-06-12
|
||||
* 根据最新版本进行命令调整
|
||||
* 修正若干文字描述
|
||||
* 0.6.0: 2015-12-24
|
||||
* 补充 Machine 项目
|
||||
* 修正若干 bug
|
||||
* 0.5: 2015-06-29
|
||||
* 0.5.0: 2015-06-29
|
||||
* 添加 Compose 项目
|
||||
* 添加 Machine 项目
|
||||
* 添加 Swarm 项目
|
||||
* 完善 Kubernetes 项目内容
|
||||
* 添加 Mesos 项目内容
|
||||
* 0.4: 2015-05-08
|
||||
* 0.4.0: 2015-05-08
|
||||
* 添加 Etcd 项目
|
||||
* 添加 Fig 项目
|
||||
* 添加 CoreOS 项目
|
||||
* 添加 Kubernetes 项目
|
||||
* 0.3: 2014-11-25
|
||||
* 0.3.0: 2014-11-25
|
||||
* 完成仓库章节;
|
||||
* 重写安全章节;
|
||||
* 修正底层实现章节的架构、名字空间、控制组、文件系统、容器格式等内容;
|
||||
|
|
@ -47,12 +52,12 @@
|
|||
* 重新校订中英文混排格式。
|
||||
* 修订文字表达。
|
||||
* 发布繁体版本分支:zh-Hant。
|
||||
* 0.2: 2014-09-18
|
||||
* 0.2.0: 2014-09-18
|
||||
* 对照官方文档重写介绍、基本概念、安装、镜像、容器、仓库、数据管理、网络等章节;
|
||||
* 添加底层实现章节;
|
||||
* 添加命令查询和资源链接章节;
|
||||
* 其它修正。
|
||||
* 0.1: 2014-09-05
|
||||
* 0.1.0: 2014-09-05
|
||||
* 添加基本内容;
|
||||
* 修正错别字和表达不通顺的地方。
|
||||
|
||||
|
|
|
|||
|
|
@ -1,168 +1,121 @@
|
|||
# Docker命令查询
|
||||
以 Docker 1.11+ 版本为例。
|
||||
|
||||
##基本语法
|
||||
docker [OPTIONS] COMMAND [arg...]
|
||||
一般来说,Docker 命令可以用来管理 daemon,或者通过 CLI 命令管理镜像和容器。可以通过 `man docker` 来查看这些命令。
|
||||
## 基本语法
|
||||
Docker 命令有两大类,客户端命令和服务端命令。前者是主要的操作接口,后者用来启动 Docker daemon。
|
||||
|
||||
* 客户端命令:基本命令格式为 `docker [OPTIONS] COMMAND [arg...]`;
|
||||
* 服务端命令:基本命令格式为 `docker daemon [OPTIONS]`。
|
||||
|
||||
##选项
|
||||
-D=true|false
|
||||
使用 debug 模式。默认为 false。
|
||||
可以通过 `man docker` 来查看这些命令。
|
||||
|
||||
-H, --host=[unix:///var/run/docker.sock]: tcp://[host:port]来绑定或者 unix://[/path/to/socket] 来使用。
|
||||
在 daemon 模式下绑定的 socket,通过一个或多个 tcp://host:port, unix:///path/to/socket, fd://* or fd://socketfd 来指定。
|
||||
## 客户端命令选项
|
||||
|
||||
--api-enable-cors=true|false
|
||||
在远端 API 中启用 CORS 头。缺省为 false。
|
||||
* --config="":指定客户端配置文件,默认为 `/.docker`;
|
||||
* -D=true|false:是否使用 debug 模式。默认不开启;
|
||||
* -H, --host=[]:指定命令对应 Docker daemon 的监听接口,可以为 unix 套接字(unix:///path/to/socket),文件句柄(fd://socketfd)或 tcp 套接字(tcp://[host[:port]]),默认为 unix:///var/run/docker.sock;
|
||||
* -l, --log-level="debug|info|warn|error|fatal":指定日志输出级别;
|
||||
* --tls=true|false:是否对 Docker daemon 启用 TLS 安全机制,默认为否;
|
||||
* --tlscacert= /.docker/ca.pem:TLS CA 签名的可信证书文件路径;
|
||||
* --tlscert= /.docker/cert.pem:TLS 可信证书文件路径;
|
||||
* --tlscert= /.docker/key.pem:TLS 密钥文件路径;
|
||||
* --tlsverify=true|false:启用 TLS 校验,默认为否。
|
||||
|
||||
-b=""
|
||||
将容器挂载到一个已存在的网桥上。指定为 'none' 时则禁用容器的网络。
|
||||
## daemon 命令选项
|
||||
* --api-cors-header="":CORS 头部域,默认不允许 CORS,要允许任意的跨域访问,可以指定为 “*”;
|
||||
* --authorization-plugin="":载入认证的插件;
|
||||
* -b="":将容器挂载到一个已存在的网桥上。指定为 'none' 时则禁用容器的网络,与 --bip 选项互斥;
|
||||
* --bip="":让动态创建的 docker0 网桥采用给定的 CIDR 地址; 与 -b 选项互斥;
|
||||
* --cgroup-parent="":指定 cgroup 的父组,默认 fs cgroup 驱动为 `/docker`,systemd cgroup 驱动为 `system.slice`;
|
||||
* --cluster-store="":构成集群(如 Swarm)时,集群键值数据库服务地址;
|
||||
* --cluster-advertise="":构成集群时,自身的被访问地址,可以为 `host:port` 或 `interface:port`;
|
||||
* --cluster-store-opt="":构成集群时,键值数据库的配置选项;
|
||||
* --config-file="/etc/docker/daemon.json":daemon 配置文件路径;
|
||||
* --containerd="":containerd 文件的路径;
|
||||
* -D, --debug=true|false:是否使用 Debug 模式。缺省为 false;
|
||||
* --default-gateway="":容器的 IPv4 网关地址,必须在网桥的子网段内;
|
||||
* --default-gateway-v6="":容器的 IPv6 网关地址;
|
||||
* --default-ulimit=[]:默认的 ulimit 值;
|
||||
* --disable-legacy-registry=true|false:是否允许访问旧版本的镜像仓库服务器;
|
||||
* --dns="":指定容器使用的 DNS 服务器地址;
|
||||
* --dns-opt="":DNS 选项;
|
||||
* --dns-search=[]:DNS 搜索域;
|
||||
* --exec-opt=[]:运行时的执行选项;
|
||||
* --exec-root="":容器执行状态文件的根路径,默认为 `/var/run/docker`;
|
||||
* --fixed-cidr="":限定分配 IPv4 地址范围;
|
||||
* --fixed-cidr-v6="":限定分配 IPv6 地址范围;
|
||||
* -G, --group="":分配给 unix 套接字的组,默认为 `docker`;
|
||||
* -g, --graph="":Docker 运行时的根路径,默认为 `/var/lib/docker`;
|
||||
* -H, --host=[]:指定命令对应 Docker daemon 的监听接口,可以为 unix 套接字(unix:///path/to/socket),文件句柄(fd://socketfd)或 tcp 套接字(tcp://[host[:port]]),默认为 unix:///var/run/docker.sock;
|
||||
* --icc=true|false:是否启用容器间以及跟 daemon 所在主机的通信。默认为 true。
|
||||
* --insecure-registry=[]:允许访问给定的非安全仓库服务;
|
||||
* --ip="":绑定容器端口时候的默认 IP 地址。缺省为 0.0.0.0;
|
||||
* --ip-forward=true|false:是否检查启动在 Docker 主机上的启用 IP 转发服务,默认开启。注意关闭该选项将不对系统转发能力进行任何检查修改;
|
||||
* --ip-masq=true|false:是否进行地址伪装,用于容器访问外部网络,默认开启;
|
||||
* --iptables=true|false:是否允许 Docker 添加 iptables 规则。缺省为 true;
|
||||
* --ipv6=true|false:是否启用 IPv6 支持,默认关闭;
|
||||
* -l, --log-level="debug|info|warn|error|fatal":指定日志输出级别;
|
||||
* --label="[]":添加指定的键值对标注;
|
||||
* --log-driver="json-file|syslog|journald|gelf|fluentd|awslogs|splunk|etwlogs|gcplogs|none":指定日志后端驱动,默认为 json-file;
|
||||
* --log-opt=[]:日志后端的选项;
|
||||
* --mtu=VALUE:指定容器网络的 mtu;
|
||||
* -p="":指定 daemon 的 PID 文件路径。缺省为 `/var/run/docker.pid`;
|
||||
* --raw-logs:输出原始,未加色彩的日志信息;
|
||||
* --registry-mirror=<scheme>://<host>:指定 `docker pull` 时使用的注册服务器镜像地址;
|
||||
* -s, --storage-driver="":指定使用给定的存储后端;
|
||||
* --selinux-enabled=true|false:是否启用 SELinux 支持。缺省值为 false。SELinux 目前尚不支持 overlay 存储驱动;
|
||||
* --storage-opt=[]:驱动后端选项;
|
||||
* --tls=true|false:是否对 Docker daemon 启用 TLS 安全机制,默认为否;
|
||||
* --tlscacert= /.docker/ca.pem:TLS CA 签名的可信证书文件路径;
|
||||
* --tlscert= /.docker/cert.pem:TLS 可信证书文件路径;
|
||||
* --tlscert= /.docker/key.pem:TLS 密钥文件路径;
|
||||
* --tlsverify=true|false:启用 TLS 校验,默认为否;
|
||||
* --userland-proxy=true|false:是否使用用户态代理来实现容器间和出容器的回环通信,默认为 true;
|
||||
* --userns-remap=default|uid:gid|user:group|user|uid:指定容器的用户命名空间,默认是创建新的 UID 和 GID 映射到容器内进程。
|
||||
|
||||
--bip=""
|
||||
让动态创建的 docker0 采用给定的 CIDR 地址; 与 -b 选项互斥。
|
||||
## 子命令
|
||||
|
||||
-d=true|false
|
||||
使用 daemon 模式。缺省为 false。
|
||||
可以通过 `man docker-COMMAND` 来查看这些命令的具体用法。
|
||||
|
||||
--dns=""
|
||||
让 Docker 使用给定的 DNS 服务器。
|
||||
|
||||
-g=""
|
||||
指定 Docker 运行时的 root 路径。缺省为 /var/lib/docker。
|
||||
|
||||
--icc=true|false
|
||||
启用容器间通信。默认为 true。
|
||||
|
||||
--ip=""
|
||||
绑定端口时候的默认 IP 地址。缺省为 0.0.0.0。
|
||||
|
||||
--iptables=true|false
|
||||
禁止 Docker 添加 iptables 规则。缺省为 true。
|
||||
|
||||
--mtu=VALUE
|
||||
指定容器网络的 mtu。缺省为 1500。
|
||||
|
||||
-p=""
|
||||
指定 daemon 的 PID 文件路径。缺省为 /var/run/docker.pid。
|
||||
|
||||
-s=""
|
||||
强制 Docker 运行时使用给定的存储驱动。
|
||||
|
||||
-v=true|false
|
||||
输出版本信息并退出。缺省值为 false。
|
||||
|
||||
--selinux-enabled=true|false
|
||||
启用 SELinux 支持。缺省值为 false。SELinux 目前不支持 BTRFS 存储驱动。
|
||||
|
||||
|
||||
##命令
|
||||
Docker 的命令可以采用 `docker-CMD` 或者 `docker CMD` 的方式执行。两者一致。
|
||||
|
||||
docker-attach(1)
|
||||
依附到一个正在运行的容器中。
|
||||
|
||||
docker-build(1)
|
||||
从一个 Dockerfile 创建一个镜像
|
||||
|
||||
docker-commit(1)
|
||||
从一个容器的修改中创建一个新的镜像
|
||||
|
||||
docker-cp(1)
|
||||
从容器中复制文件到宿主系统中
|
||||
|
||||
docker-diff(1)
|
||||
检查一个容器文件系统的修改
|
||||
|
||||
docker-events(1)
|
||||
从服务端获取实时的事件
|
||||
|
||||
docker-export(1)
|
||||
导出容器内容为一个 tar 包
|
||||
|
||||
docker-history(1)
|
||||
显示一个镜像的历史
|
||||
|
||||
docker-images(1)
|
||||
列出存在的镜像
|
||||
|
||||
docker-import(1)
|
||||
导入一个文件(典型为 tar 包)路径或目录来创建一个镜像
|
||||
|
||||
docker-info(1)
|
||||
显示一些相关的系统信息
|
||||
|
||||
docker-inspect(1)
|
||||
显示一个容器的底层具体信息。
|
||||
|
||||
docker-kill(1)
|
||||
关闭一个运行中的容器 (包括进程和所有资源)
|
||||
|
||||
docker-load(1)
|
||||
从一个 tar 包中加载一个镜像
|
||||
|
||||
docker-login(1)
|
||||
注册或登录到一个 Docker 的仓库服务器
|
||||
|
||||
docker-logout(1)
|
||||
从 Docker 的仓库服务器登出
|
||||
|
||||
docker-logs(1)
|
||||
获取容器的 log 信息
|
||||
|
||||
docker-pause(1)
|
||||
暂停一个容器中的所有进程
|
||||
|
||||
docker-port(1)
|
||||
查找一个 nat 到一个私有网口的公共口
|
||||
|
||||
docker-ps(1)
|
||||
列出容器
|
||||
|
||||
docker-pull(1)
|
||||
从一个Docker的仓库服务器下拉一个镜像或仓库
|
||||
|
||||
docker-push(1)
|
||||
将一个镜像或者仓库推送到一个 Docker 的注册服务器
|
||||
|
||||
docker-restart(1)
|
||||
重启一个运行中的容器
|
||||
|
||||
docker-rm(1)
|
||||
删除给定的若干个容器
|
||||
|
||||
docker-rmi(1)
|
||||
删除给定的若干个镜像
|
||||
|
||||
docker-run(1)
|
||||
创建一个新容器,并在其中运行给定命令
|
||||
|
||||
docker-save(1)
|
||||
保存一个镜像为 tar 包文件
|
||||
|
||||
docker-search(1)
|
||||
在 Docker index 中搜索一个镜像
|
||||
|
||||
docker-start(1)
|
||||
启动一个容器
|
||||
|
||||
docker-stop(1)
|
||||
终止一个运行中的容器
|
||||
|
||||
docker-tag(1)
|
||||
为一个镜像打标签
|
||||
|
||||
docker-top(1)
|
||||
查看一个容器中的正在运行的进程信息
|
||||
|
||||
docker-unpause(1)
|
||||
将一个容器内所有的进程从暂停状态中恢复
|
||||
|
||||
docker-version(1)
|
||||
输出 Docker 的版本信息
|
||||
|
||||
docker-wait(1)
|
||||
阻塞直到一个容器终止,然后输出它的退出符
|
||||
|
||||
##一张图总结 Docker 的命令
|
||||
* attach:依附到一个正在运行的容器中;
|
||||
* build:从一个 Dockerfile 创建一个镜像;
|
||||
* commit:从一个容器的修改中创建一个新的镜像;
|
||||
* cp:在容器和本地宿主系统之间复制文件中;
|
||||
* create:创建一个新容器,但并不运行它;
|
||||
* diff:检查一个容器文件系统的修改;
|
||||
* events:从服务端获取实时的事件;
|
||||
* exec:在运行的容器内执行命令;
|
||||
* export:导出容器内容为一个 tar 包;
|
||||
* history:显示一个镜像的历史信息;
|
||||
* images:列出存在的镜像;
|
||||
* import:导入一个文件(典型为 tar 包)路径或目录来创建一个本地镜像;
|
||||
* info:显示一些相关的系统信息;
|
||||
* inspect:显示一个容器的底层具体信息;
|
||||
* kill:关闭一个运行中的容器 (包括进程和所有相关资源);
|
||||
* load:从一个 tar 包中加载一个镜像;
|
||||
* login:注册或登录到一个 Docker 的仓库服务器;
|
||||
* logout:从 Docker 的仓库服务器登出;
|
||||
* logs:获取容器的 log 信息;
|
||||
* pause:暂停一个容器中的所有进程;
|
||||
* port:查找一个 nat 到一个私有网口的公共口;
|
||||
* ps:列出容器;
|
||||
* pull:从一个Docker的仓库服务器下拉一个镜像或仓库;
|
||||
* push:将一个镜像或者仓库推送到一个 Docker 的注册服务器;
|
||||
* rename:重命名一个容器;
|
||||
* restart:重启一个运行中的容器;
|
||||
* rm:删除给定的若干个容器;
|
||||
* rmi:删除给定的若干个镜像;
|
||||
* run:创建一个新容器,并在其中运行给定命令;
|
||||
* save:保存一个镜像为 tar 包文件;
|
||||
* search:在 Docker index 中搜索一个镜像;
|
||||
* start:启动一个容器;
|
||||
* stats:输出(一个或多个)容器的资源使用统计信息;
|
||||
* stop:终止一个运行中的容器;
|
||||
* tag:为一个镜像打标签;
|
||||
* top:查看一个容器中的正在运行的进程信息;
|
||||
* unpause:将一个容器内所有的进程从暂停状态中恢复;
|
||||
* version:输出 Docker 的版本信息;
|
||||
* wait:阻塞直到一个容器终止,然后输出它的退出符。
|
||||
|
||||
## 一张图总结 Docker 的命令
|
||||
|
||||
|
|
|
|||
|
|
@ -5,7 +5,8 @@
|
|||
仓库分为公开仓库(Public)和私有仓库(Private)两种形式。
|
||||
|
||||
最大的公开仓库是 [Docker Hub](https://hub.docker.com),存放了数量庞大的镜像供用户下载。
|
||||
国内的公开仓库包括 [Docker Pool](http://www.dockerpool.com) 、[灵雀云](http://hub.alauda.cn/)等,可以提供大陆用户更稳定快速的访问。
|
||||
|
||||
国内的公开仓库包括 [时速云](https://hub.tenxcloud.com/) 、[网易云](https://c.163.com/hub) 等,可以提供大陆用户更稳定快速的访问。
|
||||
|
||||
当然,用户也可以在本地网络内创建一个私有仓库(参考本文“私有仓库”部分)。
|
||||
|
||||
|
|
|
|||
|
|
@ -3,10 +3,11 @@
|
|||
### 系统要求
|
||||
|
||||
Docker 支持以下版本的Ubuntu操作系统:
|
||||
- Ubuntu Xenial 16.04 (LTS)
|
||||
- Ubuntu Wily 15.10
|
||||
- Ubuntu Trusty 14.04 (LTS)
|
||||
- Ubuntu Precise 12.04 (LTS)
|
||||
|
||||
* Ubuntu Xenial 16.04 (LTS)
|
||||
* Ubuntu Wily 15.10
|
||||
* Ubuntu Trusty 14.04 (LTS)
|
||||
* Ubuntu Precise 12.04 (LTS)
|
||||
|
||||
### 预安装
|
||||
Docker 目前只能安装在 64 位平台上,并且要求内核版本不低于 3.10,实际上内核越新越好,过低的内核版本容易造成功能的不稳定。
|
||||
|
|
|
|||
|
|
@ -1,5 +1,6 @@
|
|||
# 安全
|
||||
评估 Docker 的安全性时,主要考虑三个方面:
|
||||
|
||||
* 由内核的名字空间和控制组机制提供的容器内在安全
|
||||
* Docker程序(特别是服务端)本身的抗攻击性
|
||||
* Docker 程序(特别是服务端)本身的抗攻击性
|
||||
* 内核安全性的加强机制对容器安全性的影响
|
||||
|
|
|
|||
Loading…
Reference in New Issue