iuu's Blog

众所周知的原因，Docker最近需要使用代理。
Docker的代理配置，略显复杂，因为有三种场景。 但基本原理都是一致的，都是利用Linux的http_proxy等环境变量。

Dockerd 代理

在执行docker pull时，是由守护进程dockerd来执行。 因此，代理需要配在dockerd的环境中。 而这个环境，则是受systemd所管控，因此实际是systemd的配置。
修改docker 的docker.service文件
Service节点下新增代理环境变量配置
我的文件位置是:/lib/systemd/system/docker.service

[Service]
Environment="HTTP_PROXY=http://127.0.0.1:1080"
Environment="HTTPS_PROXY=http://127.0.0.1:1080"

dockerd代理的修改比较特殊，它实际上是改systemd的配置，因此需要重载systemd并重启dockerd才能生效。

systemctl daemon-reload
systemctl restart docker.service

Container 代理

在容器运行阶段，如果需要代理上网，则需要配置~/.docker/config.json。 以下配置，只在Docker 17.07及以上版本生效。

{
 "proxies":
 {
   "default":
   {
     "httpProxy": "http://proxy.example.com:8080",
     "httpsProxy": "http://proxy.example.com:8080",
     "noProxy": "localhost,127.0.0.1,.example.com"
   }
 }
}

这个是用户级的配置，除了proxies，docker login等相关信息也会在其中。 而且还可以配置信息展示的格式、插件参数等。
此外，容器的网络代理，也可以直接在其运行时通过-e注入http_proxy等环境变量。 这两种方法分别适合不同场景。 config.json非常方便，默认在所有配置修改后启动的容器生效，适合个人开发环境。 在CI/CD的自动构建环境、或者实际上线运行的环境中，这种方法就不太合适，用-e注入这种显式配置会更好，减轻对构建、部署环境的依赖。 当然，在这些环境中，最好用良好的设计避免配置代理上网。

docker build代理

虽然docker build的本质，也是启动一个容器，但是环境会略有不同，用户级配置无效。 在构建时，需要注入http_proxy等参数。

docker build . \
    --build-arg "HTTP_PROXY=http://proxy.example.com:8080/" \
    --build-arg "HTTPS_PROXY=http://proxy.example.com:8080/" \
    --build-arg "NO_PROXY=localhost,127.0.0.1,.example.com" \
    -t your/image:tag

注意：无论是docker run还是docker build，默认是网络隔绝的。 如果代理使用的是 localhost:3128 这类，则会无效。 这类仅限本地的代理，必须加上--network host才能正常使用。 而一般则需要配置代理的外部IP，而且代理本身要开启gateway模式。

代理配置完成后，reboot重启当然可以生效，但不重启也行。

docker build代理是在执行前设置的，所以修改后，下次执行立即生效。
Container代理的修改也是立即生效的，但是只针对以后启动的Container，对已经启动的Container无效。

首先，创建 Portainer Server 用于存储其数据库的卷：

docker volume create portainer_data

然后，下载并安装 Portainer Server 容器：

docker pull portainer/portainer-ce

启动容器

docker run -d \
-p 8000:8000 \
-p 9000:9000 \
-p 9443:9443 \
--name portainer \
--restart=always \
-v /var/run/docker.sock:/var/run/docker.sock \ # Dockeer的套接字映射
-v portainer_data:/data \ # 存贮卷映射
portainer/portainer-ce:latest

容器启动后浏览器访问 http://IP:9000 即可

• 用户是使用Docker Client与 Docker Daemon建立通信，并发送请求给后者
• Docker Daemon作为Docker架构中主体部分，首先提供Docker Server的功能使其可以接受Docker Client的请求
• Docker Engine执行Docker内部的一系列工作，每一项工作都是以Job的形式存在
• Job的运行过程中，当需要容器镜像时则从Docker Registry中下载镜像，并通过镜像管理驱动Graph driver将下载镜像以Graph的形式存储
• 当需要为Docker创建网络环境时，通过网络管理驱动Network driver 创建并配置Docker容器网络环境
• 当需要限制Docker容器运行资源或执行用户指令等操作时，则通过Exec driver来完成
• Libcontainer是一项独立的容器管理包，Network driver以及Exec driver都是通过Libcontainer来实现具体对容器进行的操作

操作系统本身网络

• 桥接模式 - 直接连接物理网络
• NAT模式 - 用于共享主机的IP地址
• 仅主机模式 - 与主机共享的专用网络
• 用户自定义模式 - 特定的虚拟网络

docker 不启动 默认网络情况

docker 启动后 网络情况
docker 启动后会产生一个名为docker0的虚拟网桥

ifconfig
docker0: flags=4099<UP,BROADCAST,MULTICAST>  mtu 1500
        inet 172.17.0.1  netmask 255.255.0.0  broadcast 172.17.255.255
        inet6 fe80::42:e9ff:fee5:668a  prefixlen 64  scopeid 0x20<link>
        ether 02:42:e9:e5:66:8a  txqueuelen 0  (Ethernet)
        RX packets 0  bytes 0 (0.0 B)
        RX errors 0  dropped 0  overruns 0  frame 0
        TX packets 3  bytes 266 (266.0 B)
        TX errors 0  dropped 0 overruns 0  carrier 0  collisions 0

Docker 网络的常用命令

默认创建3大网络模式
bridge 网桥模式
host  主机网络
none 无网络
还有两种：
容器模式
自定义模式
共计5种

docker network ls
NETWORK ID     NAME      DRIVER    SCOPE
f14cce59440e   bridge    bridge    local
b171456906be   host      host      local
73342418fb83   none      null      local

查看命令帮助
docker network --help 
创建网络
docker network create a_network
删除网络 
docker network rm a_network
查看网络数据源
docker network inspect bridge

Docker 网络能干啥

容器间的互联和通信以及端口映射
容器IP变动的时候可以通过服务名直接网络通信而不收到影响

Docker 网络模式

默认三大网络模式 共计5种
bridge 网桥模式
host 主机网络
none 无网络
容器模式
自定义模式

bridge

为每个容器分配、设置IP等，并将容器连接到一个docker0的虚拟网桥，默认为该模式
bridge模式：使用--network bridge 指定，默认使用docker0

host

容器将不会虚拟出自己的网卡，配置自己的IP等，而是使用宿主机的IP和端口
host模式：使用--network host 指定

none

容器有独立的Network namespace，但并没有对其进行任何网络设置，如分配veth pair和网桥连接，IP等
none模式：使用--network none指定

container

新创建的容器不会创建自己的网卡和配置自己的IP，而是和一个指定的容器共享IP、端口范围等。
container模式：使用--network container:NAME或者容器ID指定

自定义模式

虚悬镜像就是仓库名、标签都是的镜像，俗称dangling image
查看系统的虚悬镜像

docker image ls -f dangling=true

虚悬镜像已经失去存在价值，可以删除

docker image prune

DockerFile

DockerFile是用来构建Docker镜像的文本文件，是由一条条构建镜像所需要的指令和参数构成的脚本。

https://docs.docker.com/reference/dockerfile/

构建三步骤

• 1、编写Dockerfile文件
• 2、docker build 命令构建镜像
• 3、docker run 依照新生成的镜像运行容器实例

Dockerfile基础知识

• 1、每条保留字指令都必须为大写字母 且后边要跟随至少一个参数
• 2、指令从上到下顺序执行
• 3、#表示注视
• 4、每条指令都会创建一个新的镜像层并对镜像进行提交

Docker执行Dockerfile的大致流程

• 1、docker从基础镜像运行一个容器
• 2、执行一条指令 并对容器作出修改
• 3、执行类似docker commit的操作提交一个新的镜像层
• 4、docker再基于刚提交的镜像运行一个新容器
• 5、执行dockerfile中的下一条指令 一直到所有指令都执行完成

从应用软件的角度来看Dockerfile Docker镜像与Docker容器分别代表软件的三个不同阶段，Dockerfile是软件的原材料，Docker镜像是软件的交付品，Docker容器则可以认为是软件镜像的运行状态，即是依照镜像运行的容器实例。

Dockerfile面向开发，Docker镜像成为交付标准，Docker容器则涉及部署与运维，三者缺一不可。

1、Dockerfile定义了程序需要的一切东西。包括执行代码或文件，环境变量、依赖包、运行时环境、动态链接库、操作系统的发行版、服务进程和内核进程（当应用进程需要和系统服务和内核进程打交道，这时需要考虑如何设计namespace的权限控制）等等
2、Docker镜像 在用Dockerfile定义过一个文件后，docker build 时会产生一个Docker镜像，当运行Docker镜像时会真正开始提供服务
3、Docker容器 容器是直接提供服务的。

Dockerfile常用保留字指令

FROM 继承的基础父镜像

RUN 容器构建时需要运行的命令
    两种格式 
      一种是shell格式 
      RUN 命令
      一种是exec格式
      RUN ['./test.php',"参数1","参数2"]
    RUN是在docker build 时运行

EXPOSE 当前容器对外暴露出的端口

WORKDIR 指定在创建容器后，终端默认登陆进来的工作目录，一个落脚点

USER 指定该镜像以什么样的用户去执行，如果都不指定，默认root用户

ENV 用来在构建镜像过程中设置环境变量，这个环境变量可以在后续的任何RUN指令中使用，也可以在其他指令中直接使用这些环境变量

VOLUME 容器数据卷，用于数据保存和持久化工作

ADD 将宿主机目录下的文件拷贝进镜像且会自动处理URL和解压tar压缩包

COPY 类似ADD 拷贝文件和目录到镜像中
     将从构建上下文目录中<源路径>的文件/目录复制到新的一层镜像内的<目标路径>位置
     COPY src dest
     COPY ['src','dest']
     目标路径是容器内的指定路径 该路径不哦那个事先建好

CMD 指定容器启动后要干的事情
    Dockerfile中可以有多个CMD指令，但只有最后一个生效，CMD会被docker run之后的参数替换
    他跟RUN命令的区别
    CMD是在docker run时运行
    RUN是在docker build时运行

ENTRYPOINT 也是用来指定一个容器启动时要运行的命令
    类似于CMD指令，但是ENTRYPOINT不会被docker run后边的命令覆盖，而且这些命令行参数会被当作参数发送给ENTRYPOINT指令指定的程序
    注意 ENTRYPOINT可以和CMD一起用，一般是变参才会使用CMD 这里的CMD是等于在给 ENTRYPOINT传递参数。当指定了 ENTRYPOINT 后 CMD的含义就发生了变化，不再是直接运行命令，而是将CMD的内容作为参数传递给ENTRYPOINT指令，他们两个组合会变成 <ENTRYPOINT><CMD>
    优点
    案例：
    定义nginx:test镜像
    FROM nginx

    ENTRYPOINT ["nginx","-c"] # 定参
    CMD ["/etc/nginx/nginx.conf"] # 变参

docker run nginx:test	docker run nginx:test -c /new.conf
nginx -c /etc/nginx/nginx.conf	nginx -c /new.conf

构建

docker build -t 新镜像名字:TAG .