Docker 介绍
参考:为什么须要 Docker?
Docker 是一个开源的利用容器引擎,基于 Go 语言并听从 Apache2.0 协定开源。
次要利用场景如下:
- 环境隔离
容器间环境互相独立,互不影响。相似于虚拟机,但相比于更轻量。Docker 各个容器共享一个操作系统内核,而每一个虚拟机都有一套残缺的操作系统。
- 整体部署
能够将一整套环境构建为镜像,进行整体部署,防止线上线下开发环境带来的各种问题,同时也极大地提高了部署效率,不再须要反复配置开发环境。
Docker 架构
Docker 的三个重要概念:
- 镜像(Image)
相当于一个操作系统模板,比方官网镜像 mysql 就蕴含了一套残缺的操作系统。
- 容器(Container)
容器是镜像运行的实体,好比于 Java 中对象是类的实例。容器能够被创立、启动、暂停和进行等。
- 仓库(Repository)
保留镜像的仓库,好比于 Maven 仓库用来保留依赖的 Jar 包。
Docker 应用客户端 - 服务器 (C/S) 架构模式,应用近程 API 来治理和创立 Docker 容器。
- Docker_Client
通过命令行与 Docker daemon(守护过程)通信。
- Docker_Host
用于执行 Docker daemon 的主机。
- Registry
Docker 仓库,一个 Registry 能够蕴含多个 Repository 仓库。
Docker 装置
CentOS
卸载旧版本(如果存在)
yum remove docker docker-common docker-selinux docker-engine
装置依赖软件包
yum install -y yum-utils device-mapper-persistent-data lvm2
设置 yum 源
yum-config-manager --add-repo http://mirrors.aliyun.com/docker-ce/linux/centos/docker-ce.repo
装置 Docker
yum install -y docker-ce docker-ce-cli containerd.io
可能因为版本起因提醒 requires containerd.io >= 1.2.2-3,先手动装置新版 containerd.io:
wget https://download.docker.com/linux/centos/7/x86_64/edge/Packages/containerd.io-1.2.6-3.3.el7.x86_64.rpm
yum -y install containerd.io-1.2.6-3.3.el7.x86_64.rpm
而后从新执行 Docker 装置命令即可。
启动并退出开机启动
systemctl start docker && systemctl enable docker
验证
docker version
镜像减速
运行 bash 命令;
curl -sSL https://get.daocloud.io/daotools/set_mirror.sh | sh -s http://f1361db2.m.daocloud.io
而后重启 docker 服务;
systemctl daemon-reload && systemctl restart docker
近程拜访
批改 docker 服务脚本:
vi /lib/systemd/system/docker.service
在 ExecStart=/usr/bin/dockerd
这一行的前面增加:
-H tcp://0.0.0.0:2375
而后重启 docker 服务:
systemctl daemon-reload && systemctl restart docker
验证操作后果:
curl http://localhost:2375/version
近程拜访(TLS)
上述凋谢近程拜访存在极大的安全隐患,没有认证受权,可采纳 TLS 认证欠缺;
# 创立 Docker TLS 证书
#!/bin/bash
#相干配置信息
SERVER="106.13.180.17"
PASSWORD="123456"
COUNTRY="CN"
STATE="湖北省"
CITY="武汉市"
ORGANIZATION="公司名称"
ORGANIZATIONAL_UNIT="Dev"
EMAIL="13437104137@qq.com"
### 开始生成文件 ###
echo "开始生成文件"
#切换到生产密钥的目录
cd /etc/docker
#生成 ca 私钥(应用 aes256 加密)
openssl genrsa -aes256 -passout pass:$PASSWORD -out ca-key.pem 2048
#生成 ca 证书,填写配置信息
openssl req -new -x509 -passin "pass:$PASSWORD" -days 3650 -key ca-key.pem -sha256 -out ca.pem -subj "/C=$COUNTRY/ST=$STATE/L=$CITY/O=$ORGANIZATION/OU=$ORGANIZATIONAL_UNIT/CN=$SERVER/emailAddress=$EMAIL"
echo "subjectAltName = IP:$SERVER" >> extfile.cnf
echo "extendedKeyUsage = serverAuth" >> extfile.cnf
#生成 server 证书私钥文件
openssl genrsa -out server-key.pem 2048
#生成 server 证书申请文件
openssl req -subj "/CN=$SERVER" -new -key server-key.pem -out server.csr
#应用 CA 证书及 CA 密钥以及下面的 server 证书申请文件进行签发,生成 server 自签证书
openssl x509 -req -days 3650 -in server.csr -CA ca.pem -CAkey ca-key.pem -passin "pass:$PASSWORD" -CAcreateserial -out server-cert.pem -extfile extfile.cnf
#生成 client 证书 RSA 私钥文件
openssl genrsa -out key.pem 2048
#生成 client 证书申请文件
openssl req -subj '/CN=client' -new -key key.pem -out client.csr
echo "extendedKeyUsage=clientAuth" > extfile.cnf
#生成 client 自签证书(依据下面的 client 私钥文件、client 证书申请文件生成)openssl x509 -req -days 3650 -in client.csr -CA ca.pem -CAkey ca-key.pem -passin "pass:$PASSWORD" -CAcreateserial -out cert.pem -extfile extfile.cnf
#更改密钥权限
chmod 0400 ca-key.pem key.pem server-key.pem
#更改密钥权限
chmod 0444 ca.pem server-cert.pem cert.pem
#删除无用文件
rm client.csr server.csr
echo "生成文件实现"
### 生成完结 ###
同时批改 docker 服务脚本:
vi /lib/systemd/system/docker.service
批改 ExecStart=/usr/bin/dockerd
这一行为:
ExecStart=/usr/bin/dockerd -H fd:// --containerd=/run/containerd/containerd.sock \
--tlsverify \
--tlscacert=/etc/docker/ca.pem \
--tlscert=/etc/docker/server-cert.pem \
--tlskey=/etc/docker/server-key.pem \
-H tcp://0.0.0.0:2376
重启 docker;
systemctl daemon-reload && systemctl restart docker
连贯验证;
docker --tlsverify --tlscacert=/etc/docker/ca.pem --tlscert=/etc/docker/cert.pem --tlskey=/etc/docker/key.pem -H tcp://106.13.180.17:2376 version
留神服务 IP 填写本人对应的主机 IP。
Hello World
docker run hello-world
运行 hello-world 镜像,先在本地主机查找,不存在则从镜像仓库中拉取。
[root@localhost ~]# docker run hello-world
Unable to find image 'hello-world:latest' locally
latest: Pulling from library/hello-world
1b930d010525: Pull complete
Digest: sha256:9572f7cdcee8591948c2963463447a53466950b3fc15a247fcad1917ca215a2f
Status: Downloaded newer image for hello-world:latest
Hello from Docker!
This message shows that your installation appears to be working correctly.
To generate this message, Docker took the following steps:
1. The Docker client contacted the Docker daemon.
2. The Docker daemon pulled the "hello-world" image from the Docker Hub.
(amd64)
3. The Docker daemon created a new container from that image which runs the
executable that produces the output you are currently reading.
4. The Docker daemon streamed that output to the Docker client, which sent it
to your terminal.
To try something more ambitious, you can run an Ubuntu container with:
$ docker run -it ubuntu bash
Share images, automate workflows, and more with a free Docker ID:
https://hub.docker.com/
For more examples and ideas, visit:
https://docs.docker.com/get-started/
常用命令
参考:Docker 命令大全
docker run ubuntu:15.10 /bin/echo "Hello world"
运行一个 ubuntu 容器,版本号为 15.10,并执行 /bin/echo “hello world”。
docker exec -it centos /bin/bash
进入一个 name 为 centos 的容器,并且跳转到该容器 bash 终端。
可选项
- -i
交互式操作,通常和 -t 组合应用;
- -t
在新容器内指定一个伪终端;
- -d
后盾运行;
- -e
设置环境变量;
- -p
端口映射,
主机端口: 容器端口
;
容器
- ps
获取容器列表;
- run
指定镜像运行一个容器;
- start/stop/restart
启动、进行或重启一个容器;
- rm
删除容器;
- exec
在容器内执行命令;
- logs
获取容器内的日志;
镜像
- images
获取本地镜像列表;
- rmi
删除本地镜像;
局部 \<none\>:\<none\> 的镜像没有任何援用,能够通过 docker rmi $(docker images -f “dangling=true” -q) 革除。
实际
工夫同步
通常宿主机和 docker 容器机器工夫不统一,可采取内部挂载解决;
-v /etc/localtime:/etc/localtime:ro
MySQL 装置
装置
创立一个 mysql 容器,映射本机端口 3306 至容器,并初始化明码为 123456;
docker run -d --name mysql -p 3306:3306 -e MYSQL_ROOT_PASSWORD=123456 mysql
数据长久化
每次从新创立 mysql 容器相干数据会被初始化,能够通过 -v 指定挂载门路;
docker run -d --name mysql -p 3306:3306 -e MYSQL_ROOT_PASSWORD=123456 -v /docker/mysql/data:/var/lib/mysql mysql
增加近程用户
进入 mysql 容器 bash 终端交互;
docker exec -it mysql /bin/bash
连贯 mysql 服务;
mysql -uroot -p123456
执行上面 SQL;
create user 'caojiantao'@'%' identified with mysql_native_password by '123456';
grant all privileges on *.* to 'caojiantao'@'%' with grant option;
flush privileges;
SpringBoot 部署(Idea)
Docker 连贯
如果 docker 近程连贯采纳 TLS 连贯,那么首先将服务器的 ca.pem
、cert.pem
和key.pem
三个文件下载到本地 D:\docker
目录,而后如图设置 docker 连贯;
Dockerfile
新建 Dockerfile 文件,用来构建镜像,放在我的项目的根目录;
FROM java:8
ADD "/target/docker-0.0.1-SNAPSHOT.jar" "app.jar"
EXPOSE 8080
ENTRYPOINT ["java", "-jar", "app.jar"]
镜像部署
减少镜像部署配置,留神最底部 Maven 命令,clean package -DskipTests,用来生成构建镜像须要的 jar 包;
内部挂载
通常须要挂载“我的项目配置”、“动态资源”和“服务日志”几个目录,通过 idea 也能很不便的操作,通过上图中的 Bind mounts
设置;