安装docker

环境要求:

centos 8

linux内核3.1以上

// 查看linux内核版本
uname -r

// 低于3.1,升级(注:生产环境谨慎操作,该更新会同时升级内核)
yum update



部署docker容器虚拟化平台并配置docker镜像加速地址

安装docker环境依赖


yum install -y yum-utils device-mapper-persistent-data lvm2

配置国内docker-ce的yum源(阿里云)


yum-config-manager --add-repo http://mirrors.aliyun.com/docker-ce/linux/centos/docker-ce.repo

安装docker-ce


// 查看仓库中的所有docker版本,可以自定义选择版本安装。
yum list docker-ce --showduplicates | sort -r


// 开始,以下两个方式,幸福二选一
方式1.默认稳定版
// 2021.07.13 更新,直接使用以下命令安装,该操作会默认安装最新稳定版docker,由于repo中默认只开启stable仓库
yum install docker-ce

方式2.选择版本安装
// 选择版本安装
yum install -y docker-ce-19.03.13
// 结束


// 旧版(请勿执行,未确认是否可继续使用)
yum install docker-ce docker-ce-cli containerd.io -y

注:docker-ce-cli 作用是docker命令行工具包

containerd.io 作用是容器接口相关包

yum info 软件包名字,可以查看一个包的具体作用

docker启动并设置开机启动


systemctl start docker && systemctl enable docker

查看proc下网络参数,路由转发功能是否有效


cat /proc/sys/net/ipv4/ip_forward

启动docker后会自动修改,返回值为1

配置阿里云docker镜像加速器,提升pull的速度


登录容器hub服务,https://cr.console.aliyun.com控制台,使用支付宝账号,第一次登录时,需要设置一个独立密码,左侧的加速器帮助页会显示为你独立分配的加速地址

修改方法1:

修改文件配置,添加镜像地址

vim /etc/docker/daemon.json

{

   "registry-mirrors":["https://e9yjns4.mirror.aliyuncs.com","https://第二个镜像地址(未验证是否可用)"]

}

查看当前docker有多少服务启动

docker info | more

查看镜像包

docker images

修改方法2:

修改docker服务启动脚本

vim /usr/lib/systemd/system/docker.service

修改:ExecStart=/usr/bin/dockerd -H fd:// --containerd=/run/containerd/containerd.sock

添加镜像地址:ExecStart=/usr/bin/dockerd -H fd:// --registry-mirror=https://阿里云ID.mirror.aliyuncs.com --containerd=/run/containerd/containerd.sock

国内镜像地址配置及阿里云官网申请:

修改systemd服务脚本后执行daemon-reload重新加载,修改服务配置文件不需要执行

systemctl daemon-reload

重启docker

systemctl restart docker

tips:shell终端操作


cd 到目录下,输入rz命令回车,上传文件

关闭防火墙


// 关闭防火墙
systemctl stop firewalld && systemctl disable firewalld

// 重启docker
systemctl restart docker

关闭防火墙,需要把docker服务重启一下,否则docker的ip包转发功能无法使用,即使防火墙关闭,docker会调用内核模块netfilter增加规则

iptables只是操作netfilter工具

docker平台基本使用方法

运行docker容器实例


例1:

运行一个container并加载镜像centos,运行起来这个实例后,在实例中执行/bin/bash命令

docker常用参数

run 运行

-i 以交互模式运行容器,通常与-t同时使用

-t 为容器重新分配一个伪输入终端,通常与-i同时使用

docker run -it centos:latest /bin/bash

centos:latest:镜像名及镜像tag

/bin/bash:运行镜像里的bash,可直接写bash

例2:

在container中运行一个长久运行的进程,不断向stdin输出hello world,模拟一个后台运行的服务

docker常用参数

-d 后台运行容器,并返回容器ID

-c 后面跟待完成的命令

docker run -d centos:latest /bin/sh -c 'while true;do echo hello world;sleep 1;done'

/bin/sh -c :执行命令

从一个容器中取日志,查看输出的内容,可用于后期检查docker实例在标准输出中弹出的错误信息或正常信息

docker logs 容器实例的name/ID

命令:

查看运行中的容器

docker ps

查看所有容器(运行中及沉睡/退出的)

docker ps -a

查看日志输出

docker logs 实例ID

杀死docker实例

docker kill 实例ID

启动、停止、重启container容器实例


启动:run 创建并运行docker实例

关闭防火墙

iptables -F

重启docker

systemctl restart docker

载入镜像

docker load -i

查看镜像

docker images

运行实例,物理机的80端口:映射容器实例的80端口,容器端口映射到物理机的端口

docker run -d -p 80:80 centos:httpd-v2

查看物理机上开启的80代理端口

netstat -antup | grep 80

docker容器命名和资源配额控制


docker容器命名和重命名

容器命名语法:

docker run -itd --name 容器实例名 容器镜像名 要执行的命令

容器重命名语法:

docker rename 旧容器名 新容器名

例1:运行一个名字为docker1的容器

docker run -itd --name docker1 centos:latest /bin/bash

查看命名

docker ps

例2:将docker1容器重命名

docker rename docker1 docker2
docker ps

创建docker容器实例时指定容器的主机名


docker run -it --name 容器名 -h 指定主机名 镜像 /bin/bash

例1:

docker run -it --name docker3 -h onebig.cn centos bash

注:centos镜像代表centos:latest,没有指定tag标签,默认为latest,且没有加-d,不是后台运行

查看主机名

hostname

退出

exit

让docker容器开机自动启动

docker run --restart=always -itd --name 容器名 镜像 /bin/bash

参数:–restart=always 在容器退出时总是重启容器

测试:

运行容器

docker run --restart=always -itd --name test1 centos bash

重启docker:

systemctl restart docker

查看运行中的容器

docker ps

docker容器的重启策略


参数:–restart=

no:默认策略,在容器退出时不重启容器

on-failure:在容器非正常退出时重启容器,最多重启3次

always:在容器退出时一直重启容器

unless-stopped:在容器退出时总是重启容器,但是不考虑在docker守护进程启动时就已经停止了容器

修改容器重启策略

docker update --restart=always 容器ID或名字

docker容器资源配额控制之cpu


docker通过cgroup来控制容器使用的资源配额,包括cpu、内存、硬盘,基本覆盖了常见的资源配额和使用量控制

cgroup概述:

cgroup是control groups的缩写,是linux内核提供的一种可以限制、记录、隔离进程组所使用的物理资源(如 cpu、memory、磁盘io等)的机制,被LXC、docker等很多项目用于实现进程资源控制,cgroup将任意进程进行分组化管理的linux内核功能,cgroup本身是提供将进程进行分组化管理的功能和接口的基础结构,io或内存的分配控制等具体的资源管理功能是通过这个功能来实现的

为什么要进行硬件配额

当多个容器运行时,防止某个容器把所有的硬件都占用了(比如一台被黑的容器,有可能把所有的资源都占用)

指定docker容器可以使用的cpu份额


例1:给容器实例分配512权重的cpu使用份额

查看cpu参数帮助

docker run --help | grep cpu-shares

cpu配额参数:-c,–cpu-shares init

cpu shares(relative weight) 在创建容器时指定容器所使用的cpu份额值,cpu-shares的值不能保证可以获得1个vcpu或者多少GHz的cpu资源,仅仅只是一个弹性的加权值

默认每个docker容器的cpu份额值都是1024,在同一个cpu核心上,同时运行多个容器时,容器的cpu加权的效果才能体现出来

两个容器A/B的cpu份额分别为1000和500,结果会怎样?

情况1:A和B正常运行,在cpu进行时间片分配的时候,容器A比容器B多一倍的机会获得cpu的时间片

情况2:分配的结果取决于当时其他容器的运行状态,比如容A的进程一直是空闲的,那么容器B是可以获取比容器A更多的cpu时间片的,比如主机上只运行了一个容器,即使它的cpu份额只有50,它也可以独占整个主机的cpu资源

cgroups只在多个容器同时争抢同一个cpu资源时,cpu配额才会生效,因此无法单纯根据某个容器的cpu份额来确定有多少个cpu资源分配给它,资源分配结果取决于同时运行的其他容器的cpu分配和容器中进程运行情况

例1:给容器分配512权重的cpu使用份额

参数:–cpu-shares 512

docker run -it -c 512 centos /bin/bash

查看结果

cat /sys/fs/cgroup/cpu/cpu.shares

注:启动多个容器,测试是否只能使用512份额的cpu资源,单独一个容器,看不出来使用的cpu的比例,因没有docker实例同此docker实例竞争

cpu core核心控制


参数:–cpuset 可以绑定cpu

对多核cpu的服务器,docker还可以控制容器运行限定使用哪些cpu内核和内存节点,即使用–cpuset-cpus和–cpuset-mems参数,对具有NUMA拓扑(具有多cpu、多内存节点)的服务器尤其有用,可以对需要高性能计算的容器进行性能最优的配置,如果服务器只有一个内存节点,则–cpuset-mems的配置基本上不会有明显效果

扩展:

服务器架构一般分为SMP、NUMA、MPP体系架构

从系统架构来看,目前的商用服务器大体可以分为三类:

1、即对称多处理器结构(SMP:Symmetric Multi-Processor)例:x86服务器,双路服务器,主板上有两个物理cpu

2、非一致存储访问结构(MUMA:Non-Uniform Memory Access)例:IBM 小型机 pSeries690

3、海量并行处理结构(MPP:Massive ParallelProcessing)例:大型机

扩展技术taskset命令


taskset设定cpu亲和力,taskset能将一个或多个进程绑定到一个或多个处理器上运行

参数:

-c,–cpu-list 以列表格式显示和指定cpu

-p,–pid 在已经存在的pid上操作

例1:设置只在cpuID是1和2的cpu上运行sshd进程程序,第一个cpu的ID是0

查看sshd进程id

// 查看sshd进程号
ps -axu | grep sshd
// 设置sshdcpu亲和力,只在1和2cpu上运行
taskset -cp 1,2 1089

查看pid为1的cpu亲和力

taskset -cp 1

查看ID为1的进程在哪个cpu上运行,查看进程树

pstree -p | more

当cpu数量很多时,确实需要绑定进程到cpu上,可以减少cpu上下文切换的开销,节约时间

例:物理机一共有16个核心,创建的容器只能用0、1、2三个核心

docker run -it --name cpu1 --cpuset-cpus 0-2 centos bash
cat /sys/fs/cgroup/cpuset/cpuset.cpus #查看当前docker配置cpu可用核心

cpu配额控制参数的混合使用


当上面这些参数中时,cpu-shares控制只发生在容器竞争同一个cpu的时间片时有效

如果通过cpuset-cpus指定容器A使用cpu 0,容器B只使用cpu 1,在主机上只有这两个容器使用对应内核的情况,它们各自占用全部的内核资源,cpu-shares没有明显效果

效果展示

容器A和容器B配置上cpuset-cpus值并都绑定到同一个cpu上,然后同时抢占cpu资源,就可以看出效果了

例1:测试cpu-shares和cpuset-cpus混合使用运行效果,就需要一个压力测试工具stress来让容器实例把cpu跑满

如何把cpu跑满?如何把4核心的cpu中第一和第三个核心跑满?可以运行stress,然后使用taskset绑定一个cpu

扩展:stress命令

概述:linux系统压力测试软件stress,stress可以测试linux系统cpu、menory、io、disk的负载

下载页

http://people.seas.harvard.edu/~apw/stress/ --404

https://fossies.org/linux/privat/stress-1.0.4.tar.gz

注:也可以使用epel源中的stress-xxx.rpm

yum install epel-release

yum install stress -y

stress参数解释

-? 显示帮助信息

-v 显示版本号

-q 不显示运行信息

-n 显示已完成的指令情况

-t --timeout N 指定运行N妙后停止

    --backoff	N	等待N秒后开始运行

-c 产生n个进程,每个进程都反复不停的计算随机数的平方根,测试cpu

-i 产生n个进程,每个进程反复调用sync(),sync()用于将内存上的内容写到硬盘上,测试硬盘

-m --vm n 产生n个进程,每个进程不断调用内存分配malloc()和内存释放free()函数,测试内存

    --vm-bytes	B	指定malloc时内存的字节数(默认256MB)
    --vm-hang	N	指定在free栈的秒数

-d --hadd n 产生n个执行write和unlink函数的进程

    --hadd-bytes	B	指定写的字节数
    --hadd-noclean	不unlink

注:时间单位可以为秒s,分m,时h,天d,年y,文件大小单位可以为K,M,G

例:产生2个cpu进程,2个io进程,20秒后停止运行

stress -c 2 -i 2 --verbose --timeout 20s

#如果执行时间为分钟,修改20s为1m

查看当前cpu运行状态

top      回车后按1

例:测试cpuset-cpus和cpu-shares混合使用运行效果,就需要一个压力测试工具stress来让容器实例把cpu跑满,当跑满后,会不会去其他cpu上运行,如果没有在其他cpu上运行,说明cgroup资源限制成功

例:创建2个容器实例,docker10和docker20,让docker10和docker20只运行在cpu0和cpu1上,最终测试一下docker10和docker20使用cpu的百分比,实验拓扑图如下:

在这里插入图片描述

docker run -itd --name docker10 --cpuset-cpus 0,1 --cpu-shares 512 centos /bin/bash
docker run -itd --name docker20 --spuset-cpus 0,1 --cpus-shares 1024 centos /bin/bash

测试1:进入docker10,使用stress测试进程是不是只在cpu0,1上运行?

docker10安装stress

docker exec -it docker10 bash
yum install -y epel-release
yum install stress -y

docker20安装stress,新开终端页面

docker exec -it docker20 bash
yum install -y epel-release
yum install stress -y

在docker10终端里运行

stress -c 2 -v -t 10m	#运行2个进程,把2个cpu占满

在物理机另外一个终端上运行top命令,按1快捷键,查看每个cpu使用情况,0,1cpu跑满100%为正常

测试2:进入docker20,使用stress测试进程是不是只在cpu0,1上运行,且docker20上运行的stress使用cpu百分比是docker10的2倍?

stress -c 2 -v -t 10m

注:两个容器只在cpu0,1上运行,说明cpu绑定限制成功,而docker20是docker10使用cpu的2倍,说明–cpu-shares限制资源成功

docker容器实例运行结束后自动释放资源

docker run --help | grep rm

– rm 参数:当容器命令运行结束后,自动删除容器,自动释放资源

应用场景:在某些环境下,可能需要大量的新建docker实例,然后仅仅运行几秒钟或几分钟,然后就彻底删除,如运行单元测试或测试弹性云计算

例:阿里云要模拟双11的压力,需要快速创建1万docker实例,每个docker容器实例中都运行ab命令,拼命访问tmall.com首页,运行1个小时后自动删除

docker run -it -rm --name mk centos sleep 5

物理机上查看

docker ps -a | grep mk

等5s后再查看

docker ps -a | grep mk	#自动删除了

docker容器资源配额控制之内存

docker提供参数-m,–memory=‘’,限制容器的内存使用量

例:允许容器使用的内存上限为128M

docker run -it -m 128m centos

cat /sys/fs/cgroup/memory.limit_in_bytes

注:也可以使用stress进行测试

例:创建一个docker,只使用2个cpu核心,只能使用128M内存

docker run -it --cpuset-cpus 0,1 -m 128m centos

docker数据映射

docker run -itd -v /src:/dst centos bash

-v 用来指定挂载目录,冒号:前面的/src为物理机本地目录,:后面的/dst为容器的目录

例:把物理机上的/var/www/html映射到docker实例的/var/www/html

优势:这样当docker坏了,数据还在物理机上,再使用apache镜像启动一个docker实例就可以了,数据不丢失

物理机目录:/var/www/html

mkdir /var/www/html
docker run -it --name web1 -v /var/www/html/:/var/www/html centos bash
echo aaa > /var/www/html/index.html

物理机查看:

ls /var/www/html	#index.html
Logo

权威|前沿|技术|干货|国内首个API全生命周期开发者社区

更多推荐