docker离线环境下的安装及相关操作踩坑
docker离线安装、镜像导出、Selinux、firewalld和iptables、服务器可以访问docker远程不行、修改docker网关
此文档是我在离线环境下使用docker遇到的相关问题,如果有不对的地方,欢迎指正
一. docker的离线安装
1. 下载文件
下载地址: download.docker.com
我下载的版本是 docker-19.03.9.tgz
2. 解压
tar -zxvf docker-19.03.9.tgz
3. 将docker下所有文件移动到/usr/bin目录下
cp docker/* /usr/bin
4. 将docker注册为服务
编辑文件
vim /etc/systemd/system/docker.service
将下面内容写入文件当中
[Unit]
Description=Docker Application Container Engine
Documentation=https://docs.docker.com
After=network-online.target firewalld.service
Wants=network-online.target
[Service]
Type=notify
ExecStart=/usr/bin/dockerd
ExecReload=/bin/kill -s HUP $MAINPID
LimitNOFILE=infinity
LimitNPROC=infinity
TimeoutStartSec=0
Delegate=yes
KillMode=process
Restart=on-failure
StartLimitBurst=3
StartLimitInterval=60s
[Install]
WantedBy=multi-user.target
5. 添加启动权限
chmod +x /etc/systemd/system/docker.service
6. 创建docker配置文件
mkdir -p /etc/docker
touch /etc/docker/daemon.json
7. 启动docker
systemctl start docker
8. docker相关命令
systemctl start docker # 启动docker
systemctl stop docker # 停止docker
systemctl restart docker # 重启docker
systemctl status docker # 查看docker运行状态
systemctl enable docker # 允许开机启动
# 下面是容器相关操作
docker start [容器ID/NAME] # 启动某个容器
docker restart [容器ID/NAME] # 重启某个容器
docker stop [容器ID/NAME] # 停止某个容器
docker logs [容器ID/NAME] # 查看某个容器的日志
docker exec -it [容器ID/NAME] /bin/bash # 进入到某个容器内部
docker rm [容器ID/NAME] # 删除某个容器
docker run [参数] [镜像名] # 创建容器并运行
9. docker一键安装脚本
#!/bin/bash
# 提前准备docker安装文件
tar -zxvf docker-19.03.9.tgz
cp docker/* /usr/bin
touch /etc/systemd/system/docker.service
cat << EOF > /etc/systemd/system/docker.service
[Unit]
Description=Docker Application Container Engine
Documentation=https://docs.docker.com
After=network-online.target firewalld.service
Wants=network-online.target
[Service]
Type=notify
# 开启docker api,如果不需要,则删掉后面的-H部分
ExecStart=/usr/bin/dockerd -H tcp://0.0.0.0:2375 -H unix://var/run/docker.sock
ExecReload=/bin/kill -s HUP $MAINPID
LimitNOFILE=infinity
LimitNPROC=infinity
TimeoutStartSec=0
Delegate=yes
KillMode=process
Restart=on-failure
StartLimitBurst=3
StartLimitInterval=60s
[Install]
WantedBy=multi-user.target
EOF
chmod +x /etc/systemd/system/docker.service
mkdir -p /etc/docker
touch /etc/docker/daemon.json
echo "{}" > /etc/docker/daemon.json
# 关闭Selinux
# 需要重启
sed -i "s/SELINUX=enforcing/SELINUX=disabled/g" /etc/selinux/config
# 临时关闭,不用重启
setenforce 0
# 安装docker-compose
# 附上docker-compose的下载地址 https://github.com/docker/compose/releases
cp docker-compose-linux-x86_64 /usr/local/bin/docker-compose
chmod +x /usr/local/bin/docker-compose
ln -s /usr/local/bin/docker-compose /usr/local/bin/dc
二. docker导出镜像
1. 下载镜像
此操作需要在可以连接docker-hub的服务器上面进行
我这里使用mysql:5.7进行举例
docker search mysql # 搜索是否有mysql镜像
docker pull mysql:5.7 # 拉取mysql 5.7镜像
2. 导出镜像
docker save -o mysql5.7.tar mysql:5.7
参数解释:
-o:导出为文件,后面为文件名
最后的mysql:5.7为要导出的镜像名:版本
执行完上面操作之后,会在当前文件夹下面生成名为 mysql5.7.tar 的文件
三. docker导入镜像
1. 准备离线镜像
2. 导入镜像
docker load -i mysql5.7.tar
参数解释:
-i:从文件当中导入镜像,后面为镜像名
四. 启动镜像报错
原始报错如下
docker: Error response from daemon: OCI runtime create failed: container_linux.go:349: starting container process caused "process_linux.go:449: container init caused \"write /proc/self/attr/keycreate: permission denied\"": unknown.
解决办法:关闭Selinux
Selinux是“安全增强型 Linux(Security-Enhanced Linux)”,简称 SELinux,它是 Linux 的一个安全子系统,主要作用就是最大限度地减小系统中服务进程可访问的资源(根据的是最小权限原则)。避免权限过大的角色给系统带来灾难性的结果
永久关闭
编辑配置文件
vim /etc/selinux/config
将其中的SELINUX=enforcing改为SELINUX=disabled
重启服务器 reboot
临时关闭
执行命令
setenforce 0
如果reboot的时候,出现fail to load selinux policy,参考解决办法
Selinux是什么,有啥用,如何关闭和开启
我重启的时候并没有遇到,就不在文档当中添加这部分内容
五. 解决firewall开启的情况下,docker-proxy端口外网可访问
1. 原因
docker默认是使用iptables防火墙做安全管理
具体的原因我也不太清楚,没有查到相关的资料
有知道的大佬可以在文章底下评论或者私信我一下,万分感谢
2. 解决方案
禁用docker当中的iptables
针对所有的容器都生效
修改 /etc/docker/daemon.json
{
"iptables": false
}
重启docker
systemctl restart docker
针对某一个容器生效
在创建容器的时候,增加参数
-iptables=false
针对之后创建的所有容器都生效
修改文件 /etc/default/docker
# 这里相当于在每一个容器创建时,添加-iptables=false参数
DOCKER_OPTS="-iptables=false"
六. 服务器上面可以访问到docker容器,远程无法访问
可能出现的场景
在docker启动的情况下,修改了服务器的网络配置,没有重启docker
解决方案
重启docker服务
systemctl restart docker
七. 修改docker默认网关
docker默认网管为172.17.0.1,占用服务器的172.17.0.0网段,如果刚好和服务器所处的网路环境冲突,可以修改docker的默认网关
- 修改docker配置文件/etc/docker/daemon.json,添加配置bip,指定docker的网关
vim /etc/docker/daemon.json
{
"bip": "192.168.254.1/24"
}
- 重启docker服务
systemctl restart docker
八. 开启docker api
docker api用于使用resful风格的http接口来管理docker,可以使用其他程序控制
- 修改docker.service文件
vim /etc/systemd/system/docker.service
# 修改 ExecStart=/usr/bin/dockerd 为
ExecStart=/usr/bin/dockerd -H tcp://0.0.0.0:2375 -H unix://var/run/docker.sock
- 重启docker
systemctl daemon-reload
systemctl restart docker
- 验证
curl localhost:2375/version
如果出现docker版本信息,则成功
如果在其他服务器不可访问,请检查系统防火墙
九. 修改docker的数据目录
docker的数据目录默认存放在/var/lib/docker下,如果此目录空间大小不足,需要修改为其他目录,则根据下面的操作来
假设新目录为/data/docker-root
- 修改/etc/docker/daemon.json
# 添加字段
"data-root": "/data/docker-root"
- 将之前目录当中的数据移动到新目录
mv /var/lib/docker/* /data/docker-root
- 重启docker
systemctl restart docker
十. ubuntu系统下,配置docker相关命令tab补齐容器名称
在~/.bashrc文件中,添加下面的内容
# Docker Tab 补全
_docker_ps() {
local containers
containers=$(docker ps -q)
COMPREPLY=( $(compgen -W "$containers" -- "${COMP_WORDS[COMP_CWORD]}") )
}
complete -o nospace -F _docker_ps docker
此代码块的主要功能是定义一个 _docker_ps 函数,获取当前运行的容器 ID,然后使用 compgen 生成补全选项。随后,通过 complete 命令将该函数与 docker 命令进行相关联。
接着,执行
source ~/.bashrc
重载.bashrc文件
接着,就可以在docker命令之后,丝滑的tab补全容器名称了
十一. docker安装buildx
要求docker版本在19.03以上
wget https://github.com/docker/buildx/releases/download/v0.14.0/buildx-v0.14.0.linux-amd64
chmod a+x buildx-v0.14.0.linux-amd64
mkdir -p /usr/libexec/docker/cli-plugins
mv buildx-v0.14.0.linux-amd64 /usr/libexec/docker/cli-plugins/docker-buildx
最后,使用
docker buildx version
查看是否成功
十二. x86平台打包arm平台镜像
要求docker已经安装buildx
已经启用实验室功能daemon.json文件中:“experimental”: true
确定使用的原始镜像,兼容arm平台,可以到docker-hub上面查看,例如下图为docker-hub中,miniforge3的镜像tab列表,支持arm64架构
如果无法科学上网,可以搜索docker-hub镜像网站来进行查询下载镜像
# 创建buildx示例并使用
docker buildx create --name image_buildx_noproxy --use
# 使用buildx构建镜像
# --platform 指定构建镜像架构
# --load 构建完成后,将镜像加载到本地 Docker 引擎的镜像仓库中(即 docker images 可查看到该镜像)。
# 注意:--load 目前仅支持单平台构建(如果同时指定多个 --platform,则需要用 --push 推送到远程仓库,而不是 --load)。
docker buildx build --platform linux/arm64 -t image_name:image_tab . --load
后续遇到docker相关问题,我会继续补充…
权威|前沿|技术|干货|国内首个API全生命周期开发者社区
更多推荐
1
0- 0
已为社区贡献1条内容
所有评论(0)