Docker 容器介绍

操作 Docker 容器

容器是 Docker 又一核心概念。

简单的说,容器是独立运行的一个或一组应用,以及它们的运行态环境。对应的,虚拟机可以理解为模拟运行的一整套操作系统(提供了运行态环境和其他系统环境)和跑在上面的应用。

本章将具体介绍如何来管理一个容器,包括创建、启动和停止等。

启动容器

启动容器有两种方式,一种是基于镜像新建一个容器并启动,另外一个是将在终止状态(exited)的容器重新启动。

因为 Docker 的容器实在太轻量级了,很多时候用户都是随时删除和新创建容器。

新建并启动

所需要的命令主要为 docker run

例如,下面的命令输出一个 “Hello World”,之后终止容器。

$ docker run ubuntu:18.04 /bin/echo 'Hello world'
Hello world

这跟在本地直接执行 /bin/echo 'hello world' 几乎感觉不出任何区别。

下面的命令则启动一个 bash 终端,允许用户进行交互。

$ docker run -t -i ubuntu:18.04 /bin/bash
root@af8bae53bdd3:/#

其中,-t 选项让Docker分配一个伪终端(pseudo-tty)并绑定到容器的标准输入上, -i 则让容器的标准输入保持打开。

在交互模式下,用户可以通过所创建的终端来输入命令,例如

root@af8bae53bdd3:/# pwd
/
root@af8bae53bdd3:/# ls
bin boot dev etc home lib lib64 media mnt opt proc root run sbin srv sys tmp usr var

Docker 提供了丰富的参数选项来启动容器,以下是 docker run 命令的一些主要参数及其功能:

  1. -d, --detach:以后台模式运行容器。这意味着容器将在后台启动,不会阻塞终端。

  2. -p, --publish:将容器的端口映射到主机的端口。例如,-p 8080:80 -p 12922:22 将容器的 80 端口映射到主机的 8080 端口。

  3. --name:为容器指定一个名称。这可以帮助识别和管理容器。

  4. -v, --volume:将主机的目录或文件挂载到容器中。例如,-v /host/path:/container/path -v /host/path1:/container/path1 将主机上的 /host/path 目录挂载到容器内的 /container/path

  5. -e, --env:设置容器的环境变量。例如,-e MY_VAR=myvalue 可以在容器内部定义环境变量 MY_VAR

  6. --network:为容器指定网络模式。可以选择 bridge(默认)、hostnone 或者自定义网络。

  7. --restart:指定容器退出后的重启策略,如 alwayson-failure 等。

  8. --privileged:授予容器完全的系统特权,相当于在 root 用户权限下运行。

  9. -t, --tty:分配一个伪 tty 终端。

  10. -i, --interactive:保持 stdin 打开,即使没有附加的客户端。

  11. --cpus:限制容器可以使用的 CPU 数量。

  12. --memory:限制容器可以使用的内存。

  13. -h, --hostname:指定容器的主机名。

  14. --entrypoint:覆盖容器默认的 ENTRYPOINT。

  15. --user:指定容器运行的用户。

  16. --label:添加元数据到容器。

  17. --cap-add--cap-drop:添加或移除容器的 capabilities。

  18. --security-opt:添加安全选项。

  19. --ulimit:设置 ulimits。

  20. --read-only:使容器的根文件系统只读。

  21. --pid:指定 PID 名称空间。

使用 docker run 命令时,参数顺序很重要,通常格式是:

docker run [OPTIONS] IMAGE [COMMAND] [ARG...]

这里 [OPTIONS] 是上述提到的参数,IMAGE 是要运行的 Docker 镜像名称,[COMMAND][ARG...] 分别是容器启动后要执行的命令和命令的参数。

当利用 docker run 来创建容器时,Docker 在后台运行的标准操作包括:

  • 检查本地是否存在指定的镜像,不存在就从 registry 下载
  • 利用镜像创建并启动一个容器
  • 分配一个文件系统,并在只读的镜像层外面挂载一层可读写层
  • 从宿主主机配置的网桥接口中桥接一个虚拟接口到容器中去
  • 从地址池配置一个 ip 地址给容器
  • 执行用户指定的应用程序
  • 执行完毕后容器被终止

启动已终止容器

可以利用 docker container start 命令,直接将一个已经终止(exited)的容器启动运行。

容器的核心为所执行的应用程序,所需要的资源都是应用程序运行所必需的。除此之外,并没有其它的资源。可以在伪终端中利用 pstop 来查看进程信息。

root@ba267838cc1b:/# ps
  PID TTY          TIME CMD
    1 ?        00:00:00 bash
   11 ?        00:00:00 ps

可见,容器中仅运行了指定的 bash 应用。这种特点使得 Docker 对资源的利用率极高,是货真价实的轻量级虚拟化。

后台运行

更多的时候,需要让 Docker 在后台运行而不是直接把执行命令的结果输出在当前宿主机下。此时,可以通过添加 -d 参数来实现。

下面举两个例子来说明一下。

如果不使用 -d 参数运行容器。

$ docker run ubuntu:18.04 /bin/sh -c "while true; do echo hello world; sleep 1; done"
hello world
hello world
hello world
hello world

容器会把输出的结果 (STDOUT) 打印到宿主机上面

如果使用了 -d 参数运行容器。

$ docker run -d ubuntu:18.04 /bin/sh -c "while true; do echo hello world; sleep 1; done"
77b2dc01fe0f3f1265df143181e7b9af5e05279a884f4776ee75350ea9d8017a

此时容器会在后台运行并不会把输出的结果 (STDOUT) 打印到宿主机上面(输出结果可以用 docker logs 查看)。

注: 容器是否会长久运行,是和 docker run 指定的命令有关,和 -d 参数无关。

使用 -d 参数启动后会返回一个唯一的 id,也可以通过 docker container ls 命令来查看容器信息。

$ docker container ls
CONTAINER ID  IMAGE         COMMAND               CREATED        STATUS       PORTS NAMES
77b2dc01fe0f  ubuntu:18.04  /bin/sh -c 'while tr  2 minutes ago  Up 1 minute        agitated_wright

要获取容器的输出信息,可以通过 docker container logs 命令。

$ docker container logs [container ID or NAMES]
hello world
hello world
hello world
. . .

终止容器

可以使用 docker container stop 来终止一个运行中的容器。

此外,当 Docker 容器中指定的应用终结时,容器也自动终止。

例如对于上一章节中只启动了一个终端的容器,用户通过 exit 命令或 Ctrl+d 来退出终端时,所创建的容器立刻终止。

终止状态的容器可以用 docker container ls -a 命令看到。例如

$ docker container ls -a
CONTAINER ID        IMAGE                    COMMAND                CREATED             STATUS                          PORTS               NAMES
ba267838cc1b        ubuntu:18.04             "/bin/bash"            30 minutes ago      Exited (0) About a minute ago                       trusting_newton

处于终止状态的容器,可以通过 docker container start 命令来重新启动。

此外,docker container restart 命令会将一个运行态的容器终止,然后再重新启动它。

进入容器

在使用 -d 参数时,容器启动后会进入后台。

某些时候需要进入容器进行操作,包括使用 docker attach 命令或 docker exec 命令,推荐大家使用 docker exec 命令,原因会在下面说明。

attach 命令

下面示例如何使用 docker attach 命令。

$ docker run -dit ubuntu
243c32535da7d142fb0e6df616a3c3ada0b8ab417937c853a9e1c251f499f550

$ docker container ls
CONTAINER ID        IMAGE               COMMAND             CREATED             STATUS              PORTS               NAMES
243c32535da7        ubuntu:latest       "/bin/bash"         18 seconds ago      Up 17 seconds                           nostalgic_hypatia

$ docker attach 243c
root@243c32535da7:/#

注意: 如果从这个 stdin 中 exit,会导致容器的停止。

exec 命令

-i -t 参数

docker exec 后边可以跟多个参数,这里主要说明 -i -t 参数。

只用 -i 参数时,由于没有分配伪终端,界面没有我们熟悉的 Linux 命令提示符,但命令执行结果仍然可以返回。

-i -t 参数一起使用时,则可以看到我们熟悉的 Linux 命令提示符。

$ docker run -dit ubuntu
69d137adef7a8a689cbcb059e94da5489d3cddd240ff675c640c8d96e84fe1f6

$ docker container ls
CONTAINER ID        IMAGE               COMMAND             CREATED             STATUS              PORTS               NAMES
69d137adef7a        ubuntu:latest       "/bin/bash"         18 seconds ago      Up 17 seconds                           zealous_swirles

$ docker exec -i 69d1 bash
ls
bin
boot
dev
...

$ docker exec -it 69d1 bash
root@69d137adef7a:/#

如果从这个 stdin 中 exit,不会导致容器的停止。这就是为什么推荐大家使用 docker exec 的原因。

更多参数说明请使用 docker exec --help 查看。

修改容器名称

在 Docker 中,你可以使用 docker rename 命令来修改一个容器的名称。这个命令非常直接,接受两个参数:第一个参数是当前容器的名称或 ID,第二个参数是新的容器名称。

基本语法如下:

docker rename CONTAINER NEW_NAME

其中:

  • CONTAINER 可以是容器的完整 ID 或者是前几位 ID 或者是容器的当前名称。
  • NEW_NAME 是你希望给容器的新名称。

记得在重命名后检查容器是否正确地使用了新名称,可以通过 docker ps 命令来查看当前运行的容器列表,确认容器名称的变更。

需要注意的是,重命名容器并不会影响到容器内部的应用或服务,也不会改变容器的网络配置、卷或任何其他的容器属性,只是改变了容器的外部标识。

将容器制作成镜像

将一个正在运行的 Docker 容器制作成一个新的 Docker 镜像,可以通过以下两种常用方法来实现:

方法一:使用 docker commit 命令

docker commit 命令可以将一个容器的当前状态提交为一个新的镜像。基本语法如下:

docker commit [OPTIONS] CONTAINER [REPOSITORY[:TAG]]
  • CONTAINER 是你要制作镜像的容器的 ID 或名称。
  • REPOSITORY[:TAG] 是新镜像的仓库名称和标签,如果不指定标签,默认为 latest

例如,假设你有一个运行中的容器 my_container,你想将它制作成一个名为 my_image 的新镜像,你可以执行:

docker commit my_container my_image:latest

方法二:使用 Dockerfile

虽然 docker commit 可以快速生成镜像,但它并不包含构建过程的可重复性。为了更好地管理和分发镜像,推荐使用 Dockerfile。Dockerfile 是一个文本文件,其中包含了一系列指令,用于描述如何构建一个镜像。通过在容器的基础上构建 Dockerfile,你可以明确地记录下镜像是如何构建的,这有助于团队协作和镜像的版本控制。

步骤示例:

  1. 创建一个 Dockerfile 文件。
  2. 在 Dockerfile 中使用 FROM 指令指定基础镜像为你的容器所基于的镜像。
  3. 使用 COPYADD 指令将容器中需要的文件复制到新的镜像中。
  4. 使用 RUN 指令执行任何必要的命令,如安装软件包。
  5. 使用 CMDENTRYPOINT 指令设置容器启动时的默认命令。

例如,如果你的容器基于 ubuntu 镜像,你可以在 Dockerfile 中写入:

FROM ubuntu:latest
COPY . /app
WORKDIR /app
RUN apt-get update && apt-get install -y nginx
EXPOSE 80
CMD ["nginx", "-g", "daemon off;"]

然后,使用 docker build 命令构建镜像:

docker build -t my_image:latest .

这两种方法都可以将容器转化为镜像,但使用 Dockerfile 更加灵活和可维护,特别是在持续集成/持续部署(CI/CD)流程中。

导出和导入容器

导出容器

如果要导出本地某个容器,可以使用 docker export 命令。

$ docker container ls -a
CONTAINER ID        IMAGE               COMMAND             CREATED             STATUS                    PORTS               NAMES
7691a814370e        ubuntu:18.04        "/bin/bash"         36 hours ago        Exited (0) 21 hours ago                       test
$ docker export 7691a814370e > ubuntu.tar

这样将导出容器快照到本地文件。

导入容器快照

可以使用 docker import 从容器快照文件中再导入为镜像,例如

$ cat ubuntu.tar | docker import - test/ubuntu:v1.0
$ docker image ls
REPOSITORY          TAG                 IMAGE ID            CREATED              VIRTUAL SIZE
test/ubuntu         v1.0                9d37a6082e97        About a minute ago   171.3 MB

此外,也可以通过指定 URL 或者某个目录来导入,例如

$ docker import http://example.com/exampleimage.tgz example/imagerepo

注:用户既可以使用 docker load 来导入镜像存储文件到本地镜像库,也可以使用 docker import 来导入一个容器快照到本地镜像库。这两者的区别在于容器快照文件将丢弃所有的历史记录和元数据信息(即仅保存容器当时的快照状态),而镜像存储文件将保存完整记录,体积也要大。此外,从容器快照文件导入时可以重新指定标签等元数据信息。

删除容器

可以使用 docker container rm 来删除一个处于终止状态的容器。例如

$ docker container rm trusting_newton
trusting_newton

如果要删除一个运行中的容器,可以添加 -f 参数。Docker 会发送 SIGKILL 信号给容器。

清理所有处于终止状态的容器

docker container ls -a 命令可以查看所有已经创建的包括终止状态的容器,如果数量太多要一个个删除可能会很麻烦,用下面的命令可以清理掉所有处于终止状态的容器。

$ docker container prune

引用链接

[1] registry: ../repository/README.md