本文只记录docker命令在大部分情境下的使用,如果想了解每一个选项的细节,请参考官方文档,这里只作为自己以后的备忘记录下来。
根据自己的理解,总的来说分为以下几种:
容器生命周期管理 — <code>docker [run|start|stop|restart|kill|rm|pause|unpause]</code>
容器操作运维 — <code>docker [ps|inspect|top|attach|events|logs|wait|export|port]</code>
容器rootfs命令 — <code>docker [commit|cp|diff]</code>
镜像仓库 — <code>docker [login|pull|push|search]</code>
本地镜像管理 — <code>docker [images|rmi|tag|build|history|save|import]</code>
其他命令 — <code>docker [info|version]</code>
看一个变迁图
其中我们可以根据repository来判断这个镜像是来自哪个服务器,如果没有 / 则表示官方镜像,类似于<code>username/repos_name</code>表示github的个人公共库,类似于<code>regsistory.example.com:5000/repos_name</code>则表示的是私服。
image id列其实是缩写,要显示完整则带上<code>--no-trunc</code>选项
<code>usage: docker search term</code>
搜索的范围是官方镜像和所有个人公共镜像。name列的 / 后面是仓库的名字。
<code>usage: docker pull [options] name[:tag]</code>
上面的命令需要注意,在docker v1.2版本以前,会下载官方镜像的centos仓库里的所有镜像,而从v.13开始官方文档里的说明变了:will pull the centos:latest image, its intermediate layers and any aliases of the same id,也就是只会下载tag为latest的镜像(以及同一images id的其他tag)。
也可以明确指定具体的镜像:
当然也可以从某个人的公共仓库(包括自己是私人仓库)拉取,形如<code>docker pull username/repository<:tag_name></code> :
如果你没有网络,或者从其他私服获取镜像,形如<code>docker pull registry.domain.com:5000/repos:<tag_name></code>
与上面的pull对应,可以推送到docker hub的public、private以及私服,但不能推送到top level repository。
registry.tp-link.net也可以写成ip,172.29.88.222。
在repository不存在的情况下,命令行下push上去的会为我们创建为私有库,然而通过浏览器创建的默认为公共库。
当利用 docker run 来创建容器时,docker 在后台运行的标准操作包括:
检查本地是否存在指定的镜像,不存在就从公有仓库下载
利用镜像创建并启动一个容器
分配一个文件系统,并在只读的镜像层外面挂载一层可读写层
从宿主主机配置的网桥接口中桥接一个虚拟接口到容器中去
从地址池配置一个 ip 地址给容器
执行用户指定的应用程序
执行完毕后容器被终止
<code>usage: docker run [options] image [command] [arg...]</code>
这是最简单的方式,跟在本地直接执行<code>echo 'hello world'</code> 几乎感觉不出任何区别,而实际上它会从本地ubuntu:latest镜像启动到一个容器,并执行打印命令后退出(<code>docker ps -l</code>可查看)。需要注意的是,默认有一个<code>--rm=true</code>参数,即完成操作后停止容器并从文件系统移除。因为docker的容器实在太轻量级了,很多时候用户都是随时删除和新创建容器。
容器启动后会自动随机生成一个<code>container id</code>,这个id在后面commit命令后可以变为<code>image id</code>
上面的<code>--name</code>参数可以指定启动后的容器名字,如果不指定则docker会帮我们取一个名字。镜像<code>centos:centos6</code>也可以用<code>image id</code> (68edf809afe7) 代替),并且会启动一个伪终端,但通过ps或top命令我们却只能看到一两个进程,因为容器的核心是所执行的应用程序,所需要的资源都是应用程序运行所必需的,除此之外,并没有其它的资源,可见docker对资源的利用率极高。此时使用exit或ctrl+d退出后,这个容器也就消失了(消失后的容器并没有完全删除?)
(那么多个tag不同而image id相同的的镜像究竟会运行以哪一个tag启动呢
它将直接把启动的container挂起放在后台运行(这才叫saas),并且会输出一个<code>container id</code>,通过<code>docker ps</code>可以看到这个容器的信息,可在container外面查看它的输出<code>docker logs ae60c4b64205</code>,也可以通过<code>docker attach ae60c4b64205</code>连接到这个正在运行的终端,此时在<code>ctrl+c</code>退出container就消失了,按ctrl-p ctrl-q可以退出到宿主机,而保持container仍然在运行
另外,如果-d启动但后面的命令执行完就结束了,如<code>/bin/bash</code>、<code>echo test</code>,则container做完该做的时候依然会终止。而且-d不能与--rm同时使用
可以通过这种方式来运行memcached、apache等。
映射主机到容器的端口是很有用的,比如在container中运行memcached,端口为11211,运行容器的host可以连接container的 internel_ip:11211 访问,如果有从其他主机访问memcached需求那就可以通过-p选项,形如<code>-p <host_port:contain_port></code>,存在以下几种写法:
目录映射其实是“绑定挂载”host的路径到container的目录,这对于内外传送文件比较方便,在搭建私服那一节,为了避免私服container停止以后保存的images不被删除,就要把提交的images保存到挂载的主机目录下。使用比较简单,<code>-v <host_path:container_path></code>,绑定多个目录时再加<code>-v</code>。
下面是一个例子:
在主机的/tmp/docker下建立index.html,就可以通过<code>http://localhost:80/</code>或<code>http://host-ip:80</code>访问了。
当我们在制作自己的镜像的时候,会在container中安装一些工具、修改配置,如果不做commit保存起来,那么container停止以后再启动,这些更改就消失了。
<code>docker commit <container> [repo:tag]</code>
后面的repo:tag可选
只能提交正在运行的container,即通过<code>docker ps</code>可以看见的容器,
-a "[email protected]"
请注意,当你反复去commit一个容器的时候,每次都会得到一个新的<code>image id</code>,假如后面的<code>repository:tag</code>没有变,通过<code>docker images</code>可以看到,之前提交的那份镜像的<code>repository:tag</code>就会变成<code><none>:<none></code>,所以尽量避免反复提交。
另外,观察以下几点:
commit container只会pause住容器,这是为了保证容器文件系统的一致性,但不会stop。如果你要对这个容器继续做其他修改:
你可以重新提交得到新image2,删除次新的image1
也可以关闭容器用新image1启动,继续修改,提交image2后删除image1
当然这样会很痛苦,所以一般是采用<code>dockerfile</code>来<code>build</code>得到最终image,参考[]
虽然产生了一个新的image,并且你可以看到大小有100mb,但从commit过程很快就可以知道实际上它并没有独立占用100mb的硬盘空间,而只是在旧镜像的基础上修改,它们共享大部分公共的“片”。