其他分享
首页 > 其他分享> > 重新认识docker

重新认识docker

作者:互联网

Linux Namespace 的隔离能力、Linux Cgroups 的限制能力,以及基于 rootfs 的文件系统

Docker 部署一个用 Python 编写的 Web 应用

python脚本
from flask import Flask
import socket
import os

app = Flask(__name__)

@app.route('/')
def hello():
   html = "<h3>Hello {name}!</h3>" \
          "<b>Hostname:</b> {hostname}<br/>"          
   return html.format(name=os.getenv("NAME", "world"), hostname=socket.gethostname())
   
if __name__ == "__main__":
   app.run(host='0.0.0.0', port=80)
应用依赖requirements.txt
Flask
dockerfile

# 使用官方提供的Python开发镜像作为基础镜像
FROM python:2.7-slim

# 将工作目录切换为/app
WORKDIR /app

# 将当前目录下的所有内容复制到/app下
ADD . /app

# 使用pip命令安装这个应用所需要的依赖
RUN pip install --trusted-host pypi.python.org -r requirements.txt

# 允许外界访问容器的80端口
EXPOSE 80

# 设置环境变量
ENV NAME World

# 设置容器进程为:python app.py,即:这个Python应用的启动命令
CMD ["python", "app.py"]
dockerfile所在目录结构
$ ls
Dockerfile app.py   requirements.txt
制作镜像

在当前目录执行

docker build -t helloworld .

-t 的作用是给这个镜像加一个 Tag,即:起一个好听的名字。docker build 会自动加载当前目录下的 Dockerfile 文件,然后按照顺序,执行文件中的原语。而这个过程,实际上可以等同于 Docker 使用基础镜像启动了一个容器,然后在容器中依次执行 Dockerfile 中的原语。

Dockerfile 中的每个原语执行后,都会生成一个对应的镜像层。即使原语本身并没有明显地修改文件的操作(比如,ENV 原语),它对应的层也会存在。只不过在外界看来,这个层是空的。

docker build 操作完成后,可以通过docker images 查看结果

[14:18:08 root@lyp-node test_dockerfile]#docker image ls
REPOSITORY                                                                   TAG                 IMAGE ID           CREATED             SIZE
helloworld                                                                   latest             56224a273882        8 minutes ago       158MB

启动容器

docker run -p 4000:80 helloworld

启动容器时候,镜像名helloworld后面什么都不用写, 因为在dockerfile中已经指定的cmd,否则需要把进程的启动命令写在后面

docker run -p 4000:80 helloworld python app.py

容器启动之后, 可以用docker ps 命名查看

[14:25:03 root@lyp-node ~]#docker ps
CONTAINER ID       IMAGE                                                           COMMAND                 CREATED             STATUS             PORTS                 NAMES
e278dd665db5       helloworld                                                      "python app.py"          17 seconds ago     Up 16 seconds       0.0.0.0:4000->80/tcp   quizzical_tu

通过-p 4000:80 告诉docker ,请把容器内的80端口映射在宿主机的4000端口上。

这样做 , 只要访问宿主机的4000端口,就可以看到容器里应用返回的结果:

[14:27:29 root@lyp-node ~]#curl http://localhost:4000
<h3>Hello World!</h3><b>Hostname:</b> e278dd665db5<br/>

 

 

否则只能通过docker inspect命令或查看容器的ip地址,然后访问“http://<容器ip地址>:80” 才能看到容器内应用的返回。

如果现在想要把这个容器的镜像上传到 DockerHub 上分享给更多的人,需要怎么做呢?

本地登录仓库,例如登录harbor

docker login -u xxxxx -p  xxxxx  https://harbor.xxxxx.cn/   #harbor
docker login -u xxxxx -p xxxxx #dockerhub

然后需要docker tag命令给容器起一个完整的名字

docker tag helloworld harbor.xxxx.cn/test:helloworld:v1                #harbor
docker push harbor.xxxx.cn/test/helloworld:v1 #推动到harbor仓库

docker tag helloworld xxxxxx/helloworld:v1   #docker hub
docker push xxxxxx/helloworld:v1                                     #推送到docke hub仓库

这里使用的是三方仓库harbor所以目录收集为harbor.xxxxx.cn ,test为项目名称 ,helloworld为镜像的名称 v1为版本

docker hub 仓库 项目为一个镜像

这样我们就把这个镜像上传到了远程仓库了。

此外, 我们还可以使用docker commit指令, 把一个正在运行的容器,提交为一个镜像, 一般需要这样操作的原因:这个容器运行起来后, 我们有在里面做了一些操作, 并且要把操作结果保存到镜像里, 例:

[15:31:29 root@lyp-node ~]#docker exec -it e278dd665db5 /bin/sh
#在容器内创建一个新文件
touch test.txt
exit

将这个新建的文件提交到镜像中保存
docker commit e278dd665db5 xxxxx/helloworld:v2

问题:docker exec是怎么做到进入容器的?

实际上, inux Namespace 创建的隔离空间虽然看不见摸不着,但一个进程的 Namespace 信息在宿主机上是确确实实存在的,并且是以一个文件的方式存在。

比如通过下列命令可以看到正在运行的docker容器的进程号 pid

docker inspect --format '{{ .State.Pid }}'  e278dd665db5
101486

 

 

这时 通过查看宿主机的proc文件, 看到这个101486进程的所有Namespace对应的文件:

[16:01:22 root@lyp-node ~]#ls -l /proc/101486/ns
total 0
lrwxrwxrwx 1 root root 0 Jan 27 16:01 ipc -> ipc:[4026532123]
lrwxrwxrwx 1 root root 0 Jan 27 16:01 mnt -> mnt:[4026532121]
lrwxrwxrwx 1 root root 0 Jan 27 15:47 net -> net:[4026532126]
lrwxrwxrwx 1 root root 0 Jan 27 15:47 pid -> pid:[4026532124]
lrwxrwxrwx 1 root root 0 Jan 27 16:01 user -> user:[4026531837]
lrwxrwxrwx 1 root root 0 Jan 27 16:01 uts -> uts:[4026532122]

可以看到,一个进程的每种 Linux Namespace,都在它对应的 /proc/[进程号]/ns 下有一个对应的虚拟文件,并且链接到一个真实的 Namespace 文件上。

docker exec的原理就是找到proc的namespace信息,并加入进程

有了这样一个可以“hold 住”所有 Linux Namespace 的文件,我们就可以对 Namespace 做一些很有意义事情了,比如:加入到一个已经存在的 Namespace 当中。

这也就意味着:一个进程,可以选择加入到某个进程已有的 Namespace 当中,从而达到“进入”这个进程所在容器的目的,这正是 docker exec 的实现原理。

docker exec的原理:使用系统调用setns(),让新启动的进程与容器共享多种namespace

Docker 还专门提供了一个参数,可以让你启动一个容器并“加入”到另一个容器的 Network Namespace 里,这个参数就是 -net,比如:

docker run -it --net container:4ddf4638572d busybox ifconfig

而如果指定–net=host,就意味着这个容器不会为进程启用 Network Namespace。这就意味着,这个容器拆除了 Network Namespace 的“隔离墙”,所以,它会和宿主机上的其他普通进程一样,直接共享宿主机的网络栈。这就为容器直接操作和使用宿主机网络提供了一个渠道。

docker commit

实际上就是在容器运行起来后,把最上层的“可读写层”,加上原先容器镜像的只读层,打包组成了一个新的镜像。当然,下面这些只读层在宿主机上是共享的,不会占用额外的空间。

而由于使用了联合文件系统,你在容器里对镜像 rootfs 所做的任何修改,都会被操作系统先复制到这个可读写层,然后再修改。这就是所谓的:Copy-on-Write

容器层(可读可写)对镜像层(只读)的修改是通过Copy-on-Write技术实现的:先在有操作权限的容器层进行复制,然后修改,这样就覆盖了原来镜像层的内容,从而实现了改动rootfs的目的。

而正如前所说,Init 层的存在,就是为了避免你执行 docker commit 时,把 Docker 自己对 /etc/hosts 等文件做的修改,也一起提交掉。

 

 

标签:重新认识,容器,app,helloworld,镜像,docker,root
来源: https://www.cnblogs.com/yapong/p/15851201.html