Docker讲义教学课件

1、Docker操作与使用,Docker概述,基于LXC技术之上构建的容器引擎 通过内核虚拟化技术（namespaces及cgroups等）来提供容器的资源隔离与安全保障等。 操作系统层的虚拟化实现隔离 Docker从1.13.x版本开始，版本分为企业版EE和社区版CE，版本号也改为按照时间线来发布(比如17.03就是2017年3月);社区版分为stable(季度发布)和edge(月份发布),Docker和KVM虚拟机的异同,Docker的性能表现,Docker的核心概念,Image,container,registry,Docker的安装及部署,1、前提条件：docker的安装要求64位系统且内

2、核版本大于3.10。 2、配置docker yum repo tee /etc/yum.repos.d/docker.repo -EOF dockerrepo name=Docker Repository baseurl=/repo/main/centos/7/ enabled=1 gpgcheck=1 gpgkey=/gpg EOF 3、安装docker软件包：yum install y docker-engine 4、启动docker后台进程：service docker sta

3、rt 5、测试安装是否正常：docker version 6设置为自启动：chkconfig docker on,修改Docker数据默认存储位置,1.查看Docker运行状态 2.停止Docker服务 3.修改 cd /var/lib cp -rf docker docker.bak mv -f docker / ln -s /docker docker 4.启动 5.再次查看运行状态,镜像管理,使用帮助 常用操作 pull、images、 tag、push、history、rmi 1.13后的新命令prune(也可以用在其它的子命令之下) docker image prune -force

4、 -all,容器管理,使用帮助 常用操作 attach、create、diff、exec、inspect kill、logs、ps(container ls)、pause、unpause port、prune、rename、restart、rm run、start、stats、stop、top,镜像定制,从容器中获取新镜像（commit） docker commit container_name new_image_name 利用dockerfile来创建镜像 创建dockerfile文件 执行build 创建镜像 查看镜像列表，并创建容器,Dockerfile语法,每一条指令都创建镜像的一层

5、 为注释 From指定基础镜像 维护者信息：MAINTAINER run指令，要完成的操作 ADD和COPY向镜像里添加文件 EXPOSE：容器中暴露的端口，用空格隔开 ENV:指定一个环境变量 WORKDIR：切换接下来所有指令的工作目录 CMD和ENTRYPOINT：用于指定在容器启动时执行的命令,Dockerfile sample,# The dockerfile has Change add sshd services on Centos7.0;centos7:latest image FROM centos:latest MAINTAINER lin_litao, #Install

6、sshd net-tools RUN yum install openssh-server net-tools -y RUN mkdir /var/run/sshd #Set password for root RUN echo root:iloveworld | chpasswd RUN sed -i s/PermitRootLogin prohibit-password/PermitRootLogin yes/ /etc/ssh/sshd_config #Set history record ENV HISTTIMEFORMAT %F %T “ #Fix sshd service:Read

7、 from socket failed: Connection reset by peer? RUN ssh-keygen -A #Change timezone CST RUN cp /usr/share/zoneinfo/Asia/Shanghai /etc/localtime #Open 22 port EXPOSE 22 #Auto running sshd service CMD /usr/sbin/sshd,-D,前端分发器解决方案,自定义私库 docker hub 其它大公司的支持,数据、文件共享,导入导出镜像（save和load） 导入导出容器（export和import） c

8、reate和run的-v参数 create和run的volumes-from 参数 Data volumes containers docker volume命令 文件复制（docker cp）,网络共享,docker network命令 使用-P参数 使用-p参数 使用link参数实现容器互联,私库创建(*),利用registry成生容器 docker run -d -p 5000:5000 -restart=always -name registry -v /opt/fordocker/data:/var/lib/registry registry:2 打开访问端口 设置非安全的方式访问：

9、 docker -insecure-registry 16:5000 设置启动选项的方式 vim /usr/lib/systemd/system/docker.service,docker安全加固(*),加固主机系统（GRSEC and PaX ） 使用强制访问控制（使用docker时结合AppArmor/SELinux/TOMOYO） 使用iptables来限制网络 不要使用root用户运行应用程序 docker run时不要使用-privileged选项 使用cap-drop和cap-add选项 关注docker的漏洞信息、及时更新修复漏洞的安全补丁,性能优化和监控,优化dockerfile 优化容器性能 优化容器大小 使用ELK收集日志 使用collectd监控Docker容器的性能 使用标准的Linux诊断工具来诊断和排除容器的故障,网络系统管理,docker0网桥 自定义网络 第三方网络管理工具（flannel）,集群管理（Swarm）,docker swarm相关命令 init 、join、join-token、