[Docker01] The Docker Road

The Docker Road

Docker是什么？

Docker是docker容器为资源分隔和调度的基本单位，封装整个软件运行时环境，为开发者和系统管理员设计的，用于构建，发布和运行分布式应用的平台。

centos6的docker源

[dockerrepo]
name=Docker Repository
baseurl=https://yum.dockerproject.org/repo/main/centos/6/
enabled=1
gpgcheck=1
gpgkey=https://yum.dockerproject.org/gpg

centos7的docker源

[dockerrepo]
name=Docker Repository
baseurl=https://yum.dockerproject.org/repo/main/centos/7/
enabled=1
gpgcheck=1
gpgkey=https://yum.dockerproject.org/gpg

1、docker的安装

yum install docker.io -y
apt-cache show docker.io
apt-get install docker.io -y

2、认识docker

docker不会与内核直接进行交互，而是通过一个底层的工具libercontainer与内核交互的，libercontainer才是真正意义上的容器引擎，他是通过克隆系统调用system call直接创建容器，通过pivot_root系统调用进入容器，且通过直接操作cgroupfs文件实现对文件的管控，docker本身侧重于处理更上层的业务《自己动手写docker》

概念一、NameSpace资源限制

内核级别六种环境隔离

• PID NameSpace：Linux 2.6.24，PID隔离
• Network NameSpace：Linux 2.6.29，网络设备、网络栈、端口等网络资源隔离
• User NameSpace：Linux 3.8，用户和用户组资源隔离
• IPC NameSpace：Linux 2.6.19，信号量、消息队列和共享内存的隔离
• UTS NameSpace：Linux 2.6.19，主机名和域名的隔离；
• Mount NameSpace：Linux 2.4.19，挂载点（文件系统）隔离；

概念二、API(application pragrem interface)

使用API常用的几个函数

• clone()：在创建新进程的同时创建新的namespace
• setns()：加入一个已经存在的namespace
• unshare()：在原先的进程上进行namespace的隔离

概念三、CGroup资源隔离

Linux Control Group即linux控制组， Linux 2.6.24

内核级别，限制、控制与一个进程组群的资源；

   资源：CPU，内存，IO

功能

• Resource limitation：资源限制；
• prioritization：优先级控制；
• Accounting：审计和统计，主要为计费；
  
  * Control：挂起进程，恢复进程；

CGroups的子系统（subsystem）

• blkio：设定块设备的IO限制；
  
  * cpu：设定CPU的限制；
  
  * cpuacct：报告cgroup中所使用的CPU资源；
  
  * cpuset：为cgroup中的任务分配CPU和内存资源；
  
  * memory：设定内存的使用限制；
  
  * devices：控制cgroup中的任务对设备的访问；
  
  * freezer：挂起或恢复cgroup中的任务；
  
  * net_cls：（classid），使用等级级别标识符来标记网络数据包，以实现基于tc完成对不同的cgroup中产生的流量的控制；
  
  * perf_event：使用后使cgroup中的任务可以进行统一的性能测试；
• hugetlb：对HugeTLB系统进行限制；

CGroups中的术语：

• task（任务）：进程或线程；
• cgroup：一个独立的资源控制单位，可以包含一个或多个子系统；
  
  * subsystem：子系统
  
  * hierarchy：层级

Docker高级部分

Docker 容器概念

AUFS：UnionFS

UnionFS：称之为联合文件系统，之后又称为Another UFS，alternative ufs, Adanced UFS把不同的物理位置的目录合并到同一个目录中。

unionfs有以下特点

• AUFS 是一种联合文件系统，它把若干目录按照顺序和权限 mount 为一个目录并呈现出来
• 默认情况下，只有第一层（第一个目录）是可写的，其余层是只读的。
• 增加文件：默认情况下，新增的文件都会被放在最上面的可写层中
• 删除文件：因为底下各层都是只读的，当需要删除这些层中的文件时，AUFS 使用 whiteout 机制，它的实现是通过在上层的可写的目录下建立对应的whiteout隐藏文件来实现的。
• 修改文件：AUFS 利用其 CoW （copy-on-write）特性来修改只读层中的文件。AUFS 工作在文件层面，因此，只要有对只读层中的文件做修改，不管修改数据的量的多少，在第一次修改时，文件都会被拷贝到可写层然后再被修改。
• 节省空间：AUFS 的 CoW 特性能够允许在多个容器之间共享分层，从而减少物理空间占用。
• 查找文件：AUFS 的查找性能在层数非常多时会出现下降，层数越多，查找性能越低，因此，在制作 Docker 镜像时要注意层数不要太多。
• 性能：AUFS 的 CoW 特性在写入大型文件时第一次会出现延迟

Device mapper

Linux 2.6内核引入的最重要的技术之一，用于在内核中支持逻辑卷管理的通用设备映射机制；

• Mapped Device
• Mapping Table
• Target Device

Docker的架构

Docker：参考链接

docker的发展历史

2013, GO, Apache 2.0, dotCloud--> 出售给cloudControl平台服务提供商

docker架构

docker是一种container，docker daemon是docker的后台主进程，在创建容器的过程中主要通过execdriver和networkdriver两个驱动依赖libcontainer完成请求创建任务，libcontainer通过namespace和cgroup完成对容器的创建任务，容器的images是通过AUFS机制依赖grapgdriver驱动存储数据库中

• graph：负责维护已下载的镜像他们之间彼此的关系，graph通过镜像层面的关系以及每层的元数据来记录镜像之间的信息，因此用户对镜像以及容器的操作都会转换为graph对这些镜像和容器的操作；
• graphdriver：就是用于实现与graph进行交互的接口
• graphdb：记录并管理存储的容器之间的链接关系(图示关系进行链接)

docker客户端模式

• Docker Client: 发起docker相关的请求；
• Docker Server: 容器运行的节点；
• Docker Daemon：Docker daemon是Docker最核心的后台进程，它负责响应来自Docker client的请求，然后将这些请求翻译成系统调用完成容器管理操作。该进程会在后台启动一个API Server,负责接收由Docker client发送的请求；接收到的请求将通过Docker daemon内部的一个路由分发调度，再由具体的函数来执行请求，实际上是驱动整个docker功能的核心

docker核心组件

• docker client：docker的客户端工具，是用户使用docker的主要接口，docker client与docker daemon通信并将结果返回给用户；实际上docker的客户端与docker的服务器端是统一在一个二进制文件中；
• docker deamon：运行于宿主机上，Docker守护进程，用户可通过docker client与其交互；
• image：镜像文件是“只读”的；用来创建container，一个镜像可以运行多个container；镜像文件可以通过Dockerfile文件创建，也可以从docker hub/registry下载；
• docker link
• docker volume
• repository
  
      * 公共仓库：Docker hub/registry
  
      * 私有仓库：docker registry
• docker container：docker的运行实例，容器是一个隔离环境；
• registry：保存docker镜像及镜像层次结构和元数据；
• repository：由具有某个功能的镜像的所有相关版本构成的集合；
• index：管理用户的账号、访问权限、镜像及镜像标签等等相关的；可以想象成registry的索引；
• graph：从registry中下载的Docker镜像需要保存在本地，此功能即由graph完成；
  
  /var/lib/docker/graph,主要是元数据，也有可能是镜像本身；

Docker应用

镜像：包含了启动Docker容器所需要的文件系统层级及其内容；基于UnionFS采用分层结构实现；

• bootfs：此层次基本上很少涉及,其上面的
• rootfs：根文件系统

Docker特性

• 隔离应用；
• 维护镜像；
• 创建易于分发的应用
• 快速扩展

Docker基础命令

子命令分类	子命令
Docker环境信息	info，version
容器生命周期管理	create，exec，kill，pause，restart，rm，run，start，stop，unpause
环境信息相关	info，version
系统维护相关	images,inspect,build,commit,pause/unpause,ps,rm,rmi,run,start/stop/restart,top,kill,...
日志信息相关	events,history,logs
Docker hub服务相关	login,logout
与镜像相关的命令	images,search,pull,push,login,logout,commit,build,rmi(127)
与容器相关的命令	run, kill, stop, start, restart, logs, export, import

容器的启动方法：

• run:通过镜像创建一个新的容器
• start:启动一个处于停止状态的容器

注意：容器的作用是为了跑一个应用，如果应用结束了，容器自然就终止了;

Docker容器

容器创建的步骤：

• 检查本地是否存在指定的镜像，不存在则从registry下载；
• 利用镜像启动容器
• 分配一个文件系统，并且在只读的镜像层之外挂载一个可读写层；
• 从宿主机配置的网桥接口桥接一个虚拟接口给此容器；
• 从地址池中分配一个地址给容器；
• 执行用户指定的应用程序；
• 程序执行完成后，容器即终止；

docker安装相关目录

编号	路径名	意义
1	/var/lib/docker/devicemapper/devicemapper/data	用来存储相关的存储池数据
2	/var/lib/docker/devicemapper/devicemapper/metadata	用来存储相关的元数据
3	/var/lib/docker/devicemapper/metadata/	用来存储 device_id、大小、以及传输_id、初始化信息
4	/var/lib/docker/devicemapper/mnt	用来存储挂载信息
5	/var/lib/docker/container/	用来存储容器信息
6	/var/lib/docker/graph/	用来存储镜像中间件及镜像的元数据信息 、以及依赖信息
7	/var/lib/docker/repositores-devicemapper	用来存储镜像基本信息
8	/var/lib/docker/tmp	docker临时目录
9	/var/lib/docker/trust	docker信任目录
10	/var/lib/docker/volumes	docker卷目录

Docker Hub：

registry

• docker hub
  
  称之为public registry
• private registry:
  
      * 安装docker-registry程序包；yum install docker-registry -y
  
      * 启动服务：systemctl  start  docker-registry.service
  
      * 建议使用nginx反代：使用ssl，基于basic做用户认证；

docker扩展

实现nginx反代

-yum install nginx	安装nginx
-vim /etc/sysconfig/iptables 配置iptables过滤规则
-A INPUT -m state --state NEW -m tcp -p tcp --dport 80 -j ACCEPT
-vim /etc/nginx/conf.d/www.***.com
serevr {
    listen 80;
    server_name www.***.com;
    charset utf8;
    access_log /var/log/nginx/www.***.com.log main;
    location / {
        proxy_pass       http://192.168.1.20:80;
        proxy_set_header Host      $host;
        proxy_set_header X-Real-IP $remote_addr;
        proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
}
}

实现https

-vim /etc/sysconfig/iptables 配置iptables规则
-A INPUT -m state --state NEW -m tcp -p tcp --dport 443 -j ACCEPT
-yum install openssl openssl-devel
-mkdir /usr/local/nginx/conf/ssl 证书存放位置
-cd /usr/local/nginx/conf/ssl
-openssl genrsa -des3 -out server.key 1024 创建服务器私钥(根据提示完成)
-openssl req -new -key serevr.key -out serevr.csr 创建签名请求证书(csr)
依次填入：国家-省份-城市-公司-部门-主机名称-邮箱
#证书请求密钥，CA读取证书的时候需要输入密码
#公司名称，CA读取证书的时候需要输入密码
-openssl rsa -in server.key -out server_nopassword.key #对key进行解密
-openssl x509 -req -days 365 -in server.csr -signkey server_nopassword.key -out server.crt#标记证书使用上述私钥和CSR
nginx使用ssl
-vim /usr/local/nginx/conf/nginx.conf
    listen 80;
    listen 443;
    ssl on;
    ssl_certificate /usr/local/nginx/conf/ssl/server.crt;
    ssl_certificate_key /usr/local/nginx/conf/ssl/server_nopassword.key;
    fastcgi_param HTTPS $https if_not_empty;
-service nginx restart

nginx基于basic认证

server{
    server_name  www.ttlsa.com ttlsa.com;
    index index.html index.php;
    root /data/site/www.ttlsa.com;
    location /
    {
        auth_basic "nginx basic http test for ttlsa.com";
        auth_basic_user_file conf/htpasswd;
       autoindex on;
    }
}
使用htpassswd或者openssl生成密码
# printf "ttlsa:$(openssl passwd -crypt 123456)\n" >>conf/htpasswd
# cat conf/htpasswd
ttlsa:xyJkVhXGAZ8tM
nginx -s reload

docker私有仓库

• 配置文件 /etc/sysconfig/docker

ADD_REGISTRY='--add-registry 172.16.100.68:5000'
INSECURE_REGISTRY='--insecure-registry 172.16.100.68:5000'    #此项显示哪一个地址不使用https协议访问registry

• push镜像
  
      * tag命令：给要push到私有仓库的镜像打标签；

docker tag  IMAGE_ID  REGISRY_HOST:PORT/NAME[:TAG]

* push命令：

docker  push  REGISRY_HOST:PORT/NAME[:TAG]

* pull镜像

docker  pull  REGISRY_HOST:PORT/NAME[:TAG]

有些时候docker-registry不支持使用因此：

yum install docker-distribution
systemctl start docker-distribution.service
ss -tnlp |grep 5000

推送docker镜像到docker hub

export $DOCKER_ID_USER=bluerdocker
docker login
docker help tag
docker tag centos $DOCKER_ID_USER/centos    #此处的centos为你自己所有的images名称
docker push $DOCKER_ID_USER/centos

Docker的数据卷

Data Volume,数据卷是供一个或多个容器使用的文件或目录;

Docker数据卷的多样性

• 可以共享于多个容器之间；
• 对数据卷的修改会立即生效；
• 对数据卷的更新与镜像无关；
• 数据卷会一直存在；

数据卷的使用方式

• -v  /MOUNT_POINT(此目录指的是运行的docker镜像里面的目录)
  
  默认映射的宿主机路径：/var/lib/docker/volumes/

docker run -it --name imagesname -v /data busybox:latest

• -v  /HOST/DIR:/CONTAINER/DIR
  
  /HOST/DIR: 宿主机路径
  
  /CONTAINER/DIR ：容器上的路径

docker run -d -P --name web -v /src/webapp:/webapp training/webapp python app.py
docker inspect web #找到web在宿主机终的位置

注意：如果删除了此容器,重新运行一个容器那么其会在/var/lib/docker/volumes/下自动的创建一个新的路径，如果希望继续使用之前的路径下的文件,在启动的时候要指定上一个容器的挂载路径(可以通过docker inspect CONTAINERID | grep Source获取)；

(3) 在Dockerfile中使用VOLUME指令定义；

容器之间共享卷：

者--volumes-from=[]               从一个镜像中获取挂载卷；

删除卷：

docker  rm  -v  CONTAINER_NAME 删除容器的同时删除其卷；

docker  run  --rm 选项,表示容器关闭会被自动删除，同时删除其卷（此容器为最后一个使用此卷的容器时）；

备份和恢复：

备份：

docker  run  --rm  --volumes-from  vol_container  -v  $(pwd):/backup  busybox:latest  tar  cvf  /backup/data.tar  /data

Docker Network：容器的网络模型：



 封闭式容器(closed container)

1、仅有一个接口：loopback

不参与网络通信，仅适用于无须网络通信的应用场景，例如备份、程序调试等；

--net  none：不使用网络模式

#docker run -it --name test --rm --net none busybox:latest /bin/sh
#ifconfig

2、bridged container:桥接式容器

此类容器都有两个接口：

loopback

以太网接口：桥接至docker daemon设定使用的桥，默认为docker0；

选项:

    --net  bridge 
    -h, --hostname  HOSTNAME
    --dns  DNS_SERVER_IP
docker run -it --rm --name test -h myhost.linuxedu.top --dns 8.8.8.8 busybox:latest /bin/bash
docker run --name web --net bridge busybox:latest httpd -f #使用docker来运行一些守护进程时一定要将其运行在前台
docker run -d --name web --net bridge -p 80:80 busybox:latest htttpd -f #把docker进程运行在后台来运行守护进程,然后通过共享卷把程序运行起来
    --add-host  "HOSTNAME:IP" 
docker run -it --rm --name test -h myhost.linuxedu.top --dns 8.8.8.8 --add-host "docker.com:172.16.100.1" busybox:latest /bin/bash

3、docker0 NAT桥模型上的容器发布给外部网络访问：

-p  仅给出了容器端口，表示将指定的容器端口映射至主机上的某随机端口；

docker run -it --rm -p 80 --net bridge --name web busybox:latest /bin/sh
docker port docker_HOSTNAME    #列出容器映射的端口
​```
-p  <hostPort>:<containerPort> 		将主机的<hostPort>映射为容器的<containerPort>
-p  <hostIP>::<containerPort>   		将主机的<hostIP>上的某随机端口映射为容器的<containerPort>
-p <hostIP>:<hostPort>:<containerPort>  	//限制iP 将主机的<hostIP>上的端口<hostPort>映射为容器的<containerPort>
-P, --publish-all (大写P) 发布所有的端口，跟--expose选项一起指明要暴露出外部的端口；在docker上映射的端口都是随机生成的
docker run -it --rm -P --expose 80 --expose 8080 --expose 443 --net bridge --name web busybox:latest /bin/sh
如果不想启动容器时使用默认的docker0桥接口，需要在运行docker daemon命令时使用-b选项：指明要使用桥；
详细的使用方法：docker help daemon
联盟式容器
启动一个容器时，让其使用某个已经存在的容器的网络名称空间；
--net container:CONTAINER_NAME
docker run --rm --name joined_web --net container:web busybox:latest ifconfig -a
开放式容器
容器使用Host的网络名称空间；(如果物理机可以联机网络，那么该container就可以使用命令安装一些程序包)
--net  host
docker run -it --rm --net host --name web busybox:latest ifconfig -a //显示的将是物理主机上的所有网卡信息;
容器间的依赖关系：
链接机制：linking，选项为：--link
链接的容器可以向被链接的容器传递变量,已初始化被链接的环境;一般借用任务编排工具
docker的一些常见的任务编排工具
编号|提供方|组件
---|---|---
1|docker offical|swarm，machine，compose
2|apache基金会|mesos（底层的任务框架），Marathon
3|Google|K8S
容器的资源限制：
    run命令的选项：(docker help run)
	-m
	--cpuset-cpus 
	--shm-size ...
docker的监控命令：查看端口的映射信息
    ps命令：-a
    images命令：查看当前主机的镜像信息； 
    stats命令：  容器状态统计信息，实时监控容器的运行状态；
    inspect命令:查看镜像或容器的底层详细信息；通常是以Json的格式显示出信息;
	-f, --format  {{.key1.key2....}}
docker inspect -f {{.State.Pid}} CONTAINER_NAME
    top命令:用于查看正在运行的容器中的进程的运行状态；
docker top CONTAINER_NAME
    port命令：查看端口映射；
监控工具：google/cadvisor镜像
    docker search google
    docker.io/google/cadvisor-canary 分析容器内部资源以及性能
    提供一个web页面,展示当前主机上所有容器的资源使用状态
    暴露出一个端口,根据此端口进行访问web页面
	扩展-轻量级部署多主机之间的docker网络模型以及docker之间的依赖关系(参考以下)
		实现容器集群的组件(服务的安装配置及使用)
docker深入研究推荐书籍（由浅入深）
《Docker in Action》
《Using Docker》
《Docker Cookbook》
Dockerfile的学习
docker并不是容器的创建者，而是二次封装了容器，docker通过以下两个组件实现
1、Docker daemon:接收请求
2、Docker Images实现方式
            docker commit	//针对于变化的文件提交
            Dockerfile：文本文件，镜像文件构建脚本；
Dockerfile：由一系列用于根据[基础镜像]构建新的镜像文件的专用指令序列组成；
指令：
选定基础镜像
安装必要的程序
复制配置文件和数据文件
自动运行的服务
暴露的端口
基于dockerfile创建的镜像的命令：docker build；docker build --help
【语法格式】
        指令行、注释行和空白行；
        指令行：由指令及指令参数构成；
                指令：其字符不区分大小写；约定俗成，要使用全大写字符；
        注释行：#开头的行，必须单独位于一行当中；
        空白行：会被忽略；
FROM指令：必须是第一个非注释行，用于指定所用到的基础镜像；
【语法格式】
    FROM  <image>[:<tag>] 或FROM  <image>@<digest>(digest：表示校验码)
例如：
FROM  busybox:latest
FROM centos:6.9
注意：尽量不要在一个dockerfile文件中使用多个FROM指令，避免镜像重名；
MAINTANIER指令：(owner)用于提供信息的指令，用于让作者提供本人的信息；不限制其出现的位置，但建议紧跟在FROM之后；
【语法格式】
MAINTANIER  <author's detail>
例如：
MAINTANIER  Linux Operation and Maintance Institute <email>
COPY指令：用于从docker主机复制文件至正在创建的映像文件中；
【语法格式】
    COPY  <src> ...  <dest>     //注意分隔符是空格
    COPY  ["<src>",...  "<dest>"]  (文件名中有空白字符时使用此种格式),注意分割符是逗号
        <src>：要复制的源文件或目录，支持使用通配符；
        <dest>：目标路径，正在创建的镜像文件的文件系统路径；建议使用绝对路径，否则，则相对于WORKDIR而言；
            注意：所有新复制生成的目录文件的UID和GID均为0；
例如：
COPY  server.xml  /etc/tomcat/server.xml
COPY  *.conf   /etc/httpd/conf.d/
注意：
    <src>必须是build上下文中的路径，因此，不能使用类似“../some_dir/some_file”类的路径；
    <src>如果是目录，递归复制会自动行；如果有多个<src>，包括在<src>上使用了通配符这种情形，此时<dest>必须是目录，而且必须得以/结尾；
    <dest>如果事先不存在，它将被自动创建，包括其父目录；
ADD指令：类似于COPY指令，额外还支持复制TAR文件，以及URL路径；
【语法格式】
    ADD  <src> ...  <dest>
    ADD  ["<src>",...  "<dest>"]
示例：
ADD  haproxy.cfg  /etc/haproxy/haproxy.cfg
ADD  logstash_*.cnf   /etc/logstash/
ADD   http://www.magedu.com/download/nginx/conf/nginx.conf   /etc/nginx/
注意：以URL格式指定的源文件，下载完成后其目标文件的权限为600；属主属组仍然是为0
<src>必须是build上下文中的路径，因此，不能使用类似“../some_dir/some_file”类的路径；
如果<src>是URL，且<dest>不以/结尾，则<src>指定的文件将被下载并直接被创建为<dest>；如果<dest>以/结尾，则URL指定的文件将被下载至<dest>中，并保留原名；
如果<src>是一个host本地的文件系统上的tar格式的文件，它将被展开为一个目录，其行为类似于tar  -x命令；但是，如果通过URL下载到的文件是tar格式的，是不会自动进行展开操作的；
<src>如果是目录，递归复制会自动行；如果有多个<src>，包括在<src>上使用了通配符这种情形，此时<dest>必须是目录，而且必须得以/结尾；
<dest>如果事先不存在，它将被自动创建，包括其父目录；
ENV指令：定义环境变量，此些变量可被当前dockerfile文件中的其它指令所调用，调用格式为$variable_name或${variable_name}；
【语法格式】
    ENV  <key>  <value> //一次定义一个变量
    ENV  <key>=<value> ... //一次可定义多个变量,如果<value>中有空白字符，要使用\字符进行转义或加引号；
例如：
ENV  myName="Obama Clark"   myDog=Hello\ Dog  \ myCat=Garfield
等同于：
ENV myName  Obama Clark
ENV myDog  Hello Dog
ENV myCat  Garfield
ENV定义的环境变量在镜像运行的整个过程中一直存在，因此，可以使用inspect命令查看，甚至也可以在docker run启动此镜像时，使用--env选项来修改指定变量的值；
USER指令：指定运行镜像时，或运行Dockerfile文件中的任何RUN/CMD/ENTRYPOINT指令指定的程序时的用户名或UID；
【语法格式】
    USER  <UID>|<Username> 
注意：<UID>应该使用/etc/passwd文件存在的用户的UID，否则，docker run可能会出错；
WORKDIR指令：用于为Dockerfile中所有的RUN/CMD/ENTRYPOINT/COPY/ADD指令指定工作目录；
【语法格式】
    WORKDIR  <dirpath>
            注意：WORDIR可出现多次，也可使用相对路径，此时表示相对于前一个WORKDIR指令指定的路径；WORKDIR还可以调用由ENV定义的环境变量的值；
例如：
```Shell
ENV STATPATH /usr/bin
WORKDIR  /var/log
WORKDIR  $STATEPATH

VOLUME指令：用于目标镜像文件中创建一个挂载点目录，用于挂载主机上的卷或其它容器的卷；

【语法格式】

    VOLUME  

    VOLUME  ["", ...]

注意：如果mountpoint路径下事先有文件存在，docker run命令会在卷挂载完成后将此前的文件复制到新挂载的卷中；

RUN指令：用于指定docker build过程中要运行的命令，而不是docker run此dockerfile构建成的镜像时运行；

【语法格式】

    RUN   或

    RUN  ["", "", "", ...] //无法通配.?*等建议使用下面一种

    RUN ["/bin/bash", "-c", "", "", "", ...]

例如：

RUN yum install iproute nginx && yum clean all

CMD指令：类似于RUN指令，用于运行程序；但二者运行的时间点不同；CMD在docker run时运行，而非docker build；

    CMD指令的首要目的在于为启动的容器指定默认要运行的程序，程序运行结束，容器也就结束；不过，CMD指令指定的程序可被docker run命令行参数中指定要运行的程序所覆盖。

【语法格式】

    CMD    这种与shell解释器有关，或

    CMD  ["", "", "", ...]  这种与shell解释器无关，或

    CMD [ "", "", ...] 这种为ENTRYPOINT指令提供指定的程序提供默认参数；

注意：如果dockerfile中存在多个CMD指令，仅最后一个生效；

CMD ["/usr/sbin/httpd", "-c","/etc/httpd/conf/httpd.conf"]

ENTRYPOINT指令：类似于CMD指令，但其不会被docker run的命令行参数指定的指令所覆盖，而且这些命令行参数会被当作参数送给ENTRYPOINT指令指定的程序；但是，如果运行docker  run时使用了--entrypoint选项，此选项的参数可当作要运行的程序覆盖ENTRYPOINT指令指定的程序；

语法格式：

    ENTRYPOINT   或

    ENTRYPOINT   ["", "", "", ...]

例如：

CMD ["-c"]

ENTRYPOINT ["top", "-b"]

EXPOSE指令：用于为容器指定要暴露的端口；

语法格式：

    EXPOSE   [/]  [[/]] ...

        为tcp或udp二者之一，默认为tcp；

例如：

EXPOSE  11211/tcp  11211/udp

ONBUILD指令：定义触发器；

当前dockerfile构建出的镜像被用作基础镜像去构建其它镜像时，ONBUILD指令指定的操作才会被执行；

语法格式：

    ONBUILD  

例如：

ONBUILD ADD my.cnf   /etc/mysql/my.cnf

注意：ONBUILD不能自我嵌套，且不会触发FROM和MAINTAINER指令；

示例1：

FROM busybox:latest
MAINTAINER MageEdu <mage@magedu.com>
COPY index.html  /web/html/index.html
EXPOSE 80/tcp
CMD ["httpd","-f","-h","/web/html"]
WORKDIR： /tmp/busybox-web
index.html
busybox-web.df
~]# docker build  -f  /tmp/busybox-web/busybox-web.cf  -t  busybox:web   /tmp/busybox
~]# docker images

练习：

(1)构建一个基于centos的httpd镜像，要求，其主目录路径为/web/htdocs，且主页存在，并以apache用户的身份运行，暴露80端口；

        (2)进一步地，其页面文件为主机上的卷；

(3)进一步地，httpd支持解析php页面；

(4)构建一个基于centos的maridb镜像，让容器间可互相通信；

(5)在httpd上部署wordpress；

容器导入和导出：

docker  export 

docker  import 

镜像的保存及装载：

docker  save  -o  /PATH/TO/SOMEFILE.TAR  NAME[:TAG]
docker  load  -i  /PATH/FROM/SOMEFILE.TAR 

Dockerfile(2)

示例2：httpd

FROM centos:latest
MAINTAINER MageEdu "<mage@magedu.com>"
RUN sed -i -e 's@^mirrorlist.*repo=os.*$@baseurl=http://172.16.0.1/cobbler/ks_mirror/$releasever/@g' -e '/^mirrorlist.*repo=updates/a enabled=0' -e '/^mirrorlist.*repo=extras/a enabled=0' /etc/yum.repos.d/CentOS-Base.repo && \
yum -y install httpd php php-mysql php-mbstring && \
yum clean all && \
echo -e '<?php\n\tphpinfo();\n?>' > /var/www/html/info.php
EXPOSE 80/tcp
CMD ["/usr/sbin/httpd","-f","/etc/httpd/conf/httpd.conf","-DFOREGROUND"]
docker run --rm --name httpd -P httpd:2.4
docker run -d --name httpd -p 80:80 httpd