本系列文章將介紹Docker的有關(guān)知識：

（1）Docker 安裝及基本用法

（2）Docker 鏡像

（3）Docker 容器的隔離性 - 使用 Linux namespace 隔離容器的運行環(huán)境

（4）Docker 容器的隔離性 - 使用 cgroups 限制容器使用的資源

（5）Docker 網(wǎng)絡

對于每個軟件，除了它自身的代碼以外，它的運行還需要有一個運行環(huán)境和依賴。不管這個軟件是象往常一樣運行在物理機或者虛機之中，還是運行在現(xiàn)在的容器之中，這些都是不變的。在傳統(tǒng)環(huán)境中，軟件在運行之前也需要經(jīng)過 代碼開發(fā)->運行環(huán)境準備 -> 安裝軟件 -> 運行軟件 等環(huán)節(jié)，在容器環(huán)境中，中間的兩個環(huán)節(jié)被鏡像制作過程替代了。也就是說，鏡像的制作也包括運行環(huán)境準備和安裝軟件等兩個主要環(huán)節(jié)，以及一些其他環(huán)節(jié)。因此，Docker 容器鏡像其實并沒有什么新的理論，只是這過程有了新的方式而已。

  鏡像(image)是動態(tài)的容器的靜態(tài)表示（specification），包括容器所要運行的應用代碼以及運行時的配置。Docker 鏡像包括一個或者多個只讀層（ read-only layers ），因此，鏡像一旦被創(chuàng)建就再也不能被修改了。一個運行著的Docker 容器是一個鏡像的實例（ instantiation ）。從同一個鏡像中運行的容器包含有相同的應用代碼和運行時依賴。但是不像鏡像是靜態(tài)的，每個運行著的容器都有一個可寫層（ writable layer ，也成為容器層 container layer），它位于底下的若干只讀層之上。運行時的所有變化，包括對數(shù)據(jù)和文件的寫和更新，都會保存在這個層中。因此，從同一個鏡像運行的多個容器包含了不同的容器層。

 Docker 有兩種方式來創(chuàng)建一個容器鏡像：

• 創(chuàng)建一個容器，運行若干命令，再使用 docker commit 來生成一個新的鏡像。不建議使用這種方案。
• 創(chuàng)建一個 Dockerfile 然后再使用 docker build 來創(chuàng)建一個鏡像。大多人會使用 Dockerfile 來創(chuàng)建鏡像。

1. docker build 生成鏡像

1.1 生成過程實例

 在使用 Dockerfile 創(chuàng)建容器之前，需要先準備一個 Dockerfile 文件，然后運行 docker build 命令來創(chuàng)建鏡像。我們通過下面的例子來看看Docker 創(chuàng)建容器的過程。

 FROM ubuntu:14.04

MAINTAINER sammy "sammy@sammy.com"

RUN apt-get update

RUN apt-get -y install ntp

EXPOSE 5555

CMD ["/usr/sbin/ntpd"]

這是一個非常簡單的Dockerfile，它的目的是基于 Ubuntu 14.04 基礎(chǔ)鏡像安裝 ntp 從而生成一個新的鏡像。看看其過程：

root@devstack:/home/sammy/ntponubuntu# docker build -t sammy_ntp2 .
Sending build context to Docker daemon 2.048 kB
Step 1 : FROM ubuntu:14.04
 ---> 4a725d3b3b1c
Step 2 : MAINTAINER sammy "sammy@sammy.com"
 ---> Using cache
 ---> c4299e3f774c
Step 3 : RUN apt-get update
 ---> Using cache
 ---> 694a19d54103
Step 4 : RUN apt-get -y install ntp
 ---> Running in 9bd153c65a76
Reading package lists...
...
Fetched 561 kB in 10s (51.1 kB/s)
Selecting previously unselected package libedit2:amd64.
(Reading database ... 11558 files and directories currently installed.)
...
Processing triggers for libc-bin (2.19-0ubuntu6.9) ...
Processing triggers for ureadahead (0.100.0-16) ...
 ---> 9cc05cf6f48d
Removing intermediate container 9bd153c65a76
Step 5 : EXPOSE 5555
 ---> Running in eb4633151d98
 ---> f5c96137bec9
Removing intermediate container eb4633151d98
Step 6 : CMD /usr/sbin/ntpd
 ---> Running in e81b1eae3678
 ---> af678df648bc
Removing intermediate container e81b1eae3678
Successfully built af678df648bc

Dockerfile 中的每個步驟都會對應每一個 docker build 輸出中的 step。

Step 1：FROM ubuntu:14.04

獲取基礎(chǔ)鏡像 ubuntu：14.04. Docker 首先會在本地查找，如果找到了，則直接利用；否則從 Docker registry 中下載。在第一次使用這個基礎(chǔ)鏡像的時候，Docker 會從 Docker Hub 中下載這個鏡像，并保存在本地：

Step 1 : FROM ubuntu:14.04
14.04: Pulling from library/ubuntu
862a3e9af0ae: Pull complete
6498e51874bf: Pull complete
159ebdd1959b: Pull complete
0fdbedd3771a: Pull complete
7a1f7116d1e3: Pull complete
Digest: sha256:5b5d48912298181c3c80086e7d3982029b288678fccabf2265899199c24d7f89
Status: Downloaded newer image for ubuntu:14.04
 ---> 4a725d3b3b1c

以后再使用的時候就直接使用這個鏡像而不再需要下載了。

Step 2：MAINTAINER sammy "sammy@sammy.com"

本例中依然是從 Cache 中環(huán)境新的鏡像。在第一次的時候，Docker 會創(chuàng)建一個臨時的容器 1be8f33c1846，然后運行 MAINTAINER 命令，再使用 docker commit 生成新的鏡像

Step 2 : MAINTAINER sammy "sammy@sammy.com"
 ---> Running in 1be8f33c1846
 ---> c4299e3f774c

通過這個臨時容器的過程（create -> commit -> destroy），生成了新的鏡像 c4299e3f774c：

2016-09-16T21:58:09.010886393+08:00 container create 1be8f33c18469f089d1eee8c444dad1ff0c7309be82767092082311379245358 (image=sha256:4a725d3b3b1cc18c8cbd05358ffbbfedfe1eb947f58061e5858f08e2899731ee, name=focused_poitras)
2016-09-16T21:58:09.060071206+08:00 container commit 1be8f33c18469f089d1eee8c444dad1ff0c7309be82767092082311379245358 (comment=, image=sha256:4a725d3b3b1cc18c8cbd05358ffbbfedfe1eb947f58061e5858f08e2899731ee, name=focused_poitras)
2016-09-16T21:58:09.071988068+08:00 container destroy 1be8f33c18469f089d1eee8c444dad1ff0c7309be82767092082311379245358 (image=sha256:4a725d3b3b1cc18c8cbd05358ffbbfedfe1eb947f58061e5858f08e2899731ee, name=focused_poitras)

這個鏡像是基于 ubuntu 14.04 基礎(chǔ)鏡像生成的，layers 沒有變化，只是元數(shù)據(jù) CMD 發(fā)生了改變：

"Cmd": [
        "/bin/sh",
        "-c",
        "#(nop) ",
        "MAINTAINER sammy \"sammy@sammy.com\""
      ]

因此可以認為只是鏡像的元數(shù)據(jù)發(fā)生了改變。生成的新的鏡像作為中間鏡像會被保存在 cache 中。

 Step 3: RUN apt-get update

本例中Docker 仍然從緩存中獲取了鏡像。在第一次的時候，Docker 仍然是通過創(chuàng)建臨時容器在執(zhí)行 docker commit 的方式來創(chuàng)建新的鏡像：
Step 3 : RUN apt-get update

 ---> Running in 8b3b97af3bd7
Ign http://archive.ubuntu.com trusty InRelease
Get:1 http://archive.ubuntu.com trusty-updates InRelease [65.9 kB]
...
Get:22 http://archive.ubuntu.com trusty/universe amd64 Packages [7589 kB]
Fetched 22.2 MB in 16min 21s (22.6 kB/s)
Reading package lists...
 ---> 694a19d54103
Removing intermediate container 8b3b97af3bd7

通過以上步驟，生成了新的中間鏡像 694a19d54103，它也會被保存在緩存中。你可以使用 docker inspect 694a19d54103 命令查看該中間鏡像，但是無法在docker images 列表中找到它，這是因為 docker images 默認隱藏了中間狀態(tài)的鏡像，因此你需要使用 docker images -a 來獲取它：

root@devstack:/home/sammy# docker images -a | grep 694a19d54103
<none>         <none>       694a19d54103    11 hours ago    210.1 MB

該鏡像和原始鏡像相比，多了一個 layer，它保存的是 apt-get update 命令所帶來的變化：

"RootFS": {
      "Type": "layers",
      "Layers": [
        "sha256:102fca64f92471ff7fca48e55807ae2471502822ba620292b0a06ebcab907cf4",
        "sha256:24fe29584c046f2a88f7f566dd0bf7b08a8c0d393dfad8370633b0748bba8cbc",
        "sha256:530d731d21e1b1bbe356d70d3bca4d72d76fed89e90faab271d29bd58c8ccea4",
        "sha256:344f56a35ff9fc747ada7d2b88bd21c49b2ec404872662cbaf0a65201873c0c6",
        "sha256:ffb6ddc7582aa7e2e73f102df3ffcd272e59b7cf3f7abefe08d11a7c85dea53a",
        "sha256:a1afe95c99b39c30b5c1d3e8fda451bd3f066be304616197f1046e64cf6cda93" #這一層是新加的
      ]
    }

Step 4: RUN apt-get -y install ntp

和上面 Step 3 過程一樣，這個步驟也會通過創(chuàng)建臨時容器，執(zhí)行該命令，再使用 docker commit 命令生成一個中間鏡像 9cc05cf6f48d 。和上面步驟生成的鏡像相比，它又多了一層：

root@devstack:/home/sammy# docker images -a | grep 9cc05cf6f48d
<none>         <none>       9cc05cf6f48d    10 hours ago    212.8 MB
root@devstack:/home/sammy# docker inspect --format={{'.RootFS.Layers'}} 9cc05cf6f48d
[sha256:102fca64f92471ff7fca48e55807ae2471502822ba620292b0a06ebcab907cf4 
sha256:24fe29584c046f2a88f7f566dd0bf7b08a8c0d393dfad8370633b0748bba8cbc 
sha256:530d731d21e1b1bbe356d70d3bca4d72d76fed89e90faab271d29bd58c8ccea4 
sha256:344f56a35ff9fc747ada7d2b88bd21c49b2ec404872662cbaf0a65201873c0c6 
sha256:ffb6ddc7582aa7e2e73f102df3ffcd272e59b7cf3f7abefe08d11a7c85dea53a 
sha256:a1afe95c99b39c30b5c1d3e8fda451bd3f066be304616197f1046e64cf6cda93 
sha256:a93086f33a2b7ee18eec2454b468141f95a403f5081284b6f177f83cdb3d54ba]

Step 5: EXPOSE 5555

 這一步和上面的 Step 2 一樣，Docker 生成了一個臨時容器，執(zhí)行 EXPOSE 55 命令，再通過 docker commit 創(chuàng)建了中間鏡像 f5c96137bec9。該鏡像的 layers 沒有變化，但是元數(shù)據(jù)發(fā)生了一些變化，包括：

 "ExposedPorts": {
        "5555/tcp": {}
      }
"Cmd": [
        "/bin/sh",
        "-c",
        "#(nop) ",
        "EXPOSE 5555/tcp"
      ]

Step 6: CMD ["/usr/sbin/ntpd"]

這一步和上面的步驟相同，最終它創(chuàng)建了鏡像 af678df648bc，該鏡像只是修改了 CMD 元數(shù)據(jù)：

 "Cmd": [
        "/bin/sh",
        "-c",
        "#(nop) ",
        "CMD [\"/usr/sbin/ntpd\"]"
      ]

該鏡像也是Docker 根據(jù)本 Dockerfile 生成的最終鏡像。它也出現(xiàn)在了 docker images 結(jié)果中：

root@devstack:/home/sammy# docker images | grep af678df648bc
sammy_ntp2       latest       af678df648bc    11 hours ago    212.8 MB

我們可以使用 docker history 命令查看該鏡像中每一層的信息：

root@devstack:/home/sammy/ntponubuntu# docker history af678df648bc
IMAGE        CREATED       CREATED BY                   SIZE        COMMENT
af678df648bc    16 hours ago    /bin/sh -c #(nop) CMD ["/usr/sbin/ntpd"]    0 B
f5c96137bec9    16 hours ago    /bin/sh -c #(nop) EXPOSE 5555/tcp       0 B
9cc05cf6f48d    16 hours ago    /bin/sh -c apt-get -y install ntp        2.679 MB
694a19d54103    16 hours ago    /bin/sh -c apt-get update            22.17 MB
c4299e3f774c    17 hours ago    /bin/sh -c #(nop) MAINTAINER sammy "sammy@sa  0 B
4a725d3b3b1c    3 weeks ago     /bin/sh -c #(nop) CMD ["/bin/bash"]       0 B
<missing>      3 weeks ago     /bin/sh -c mkdir -p /run/systemd && echo 'doc  7 B
<missing>      3 weeks ago     /bin/sh -c sed -i 's/^#\s*\(deb.*universe\)$/  1.895 kB
<missing>      3 weeks ago     /bin/sh -c rm -rf /var/lib/apt/lists/*     0 B
<missing>      3 weeks ago     /bin/sh -c set -xe  && echo '#!/bin/sh' > /u  194.6 kB
<missing>      3 weeks ago     /bin/sh -c #(nop) ADD file:ada91758a31d8de3c7  187.8 MB

以上過程說明：

• 容器鏡像包括元數(shù)據(jù)和文件系統(tǒng)，其中文件系統(tǒng)是指對基礎(chǔ)鏡像的文件系統(tǒng)的修改，元數(shù)據(jù)不影響文件系統(tǒng)，只是會影響容器的配置
• 每個步驟都會生成一個新的鏡像，新的鏡像與上一次的鏡像相比，要么元數(shù)據(jù)有了變化，要么文件系統(tǒng)有了變化而多加了一層
• Docker 在需要執(zhí)行指令時通過創(chuàng)建臨時鏡像，運行指定的命令，再通過 docker commit 來生成新的鏡像
• Docker 會將中間鏡像都保存在緩存中，這樣將來如果能直接使用的話就不需要再從頭創(chuàng)建了。關(guān)于鏡像緩存，請搜索相關(guān)文檔。

1.2 Docker 鏡像分層,COW 和 鏡像大小（size）

1.2.1 鏡像分層和容器層
 

從上面例子可以看出，一個 Docker 鏡像是基于基礎(chǔ)鏡像的多層疊加，最終構(gòu)成和容器的 rootfs （根文件系統(tǒng)）。當 Docker 創(chuàng)建一個容器時，它會在基礎(chǔ)鏡像的容器層之上添加一層新的薄薄的可寫容器層。接下來，所有對容器的變化，比如寫新的文件，修改已有文件和刪除文件，都只會作用在這個容器層之中。因此，通過不拷貝完整的 rootfs，Docker 減少了容器所占用的空間，以及減少了容器啟動所需時間。

1.2.2 COW 和鏡像大小

  COW，copy-on-write 技術(shù)，一方面帶來了容器啟動的快捷，另一方也造成了容器鏡像大小的增加。每一次 RUN 命令都會在鏡像上增加一層，每一層都會占用磁盤空間。舉個例子，在 Ubuntu 14.04 基礎(chǔ)鏡像中運行 RUN apt-get upgrade 會在保留基礎(chǔ)層的同時再創(chuàng)建一個新層來放所有新的文件，而不是修改老的文件，因此，新的鏡像大小會超過直接在老的文件系統(tǒng)上做更新時的文件大小。因此，為了減少鏡像大小起見，所有文件相關(guān)的操作，比如刪除，釋放和移動等，都需要盡可能地放在一個 RUN 指令中進行。

比如說，通過將上面的示例 Dockerfile 修改為：

 FROM ubuntu:14.04
MAINTAINER sammy "sammy@sammy.com"
RUN apt-get update && apt-get -y install ntp
EXPOSE 5555
CMD ["/usr/sbin/ntpd"]

結(jié)果產(chǎn)生的鏡像，不僅層數(shù)少了一層（7 -> 6），而且大小減少了 0.001M ：），因為這個例子比較特殊，文件都是添加，而沒有更新，因此size 的下降非常小。

1.2.3 使用容器需要避免的一些做法

下面列舉了一些在使用容器時需要避免的做法，包括：

• 不要在容器中保存數(shù)據(jù)（Don't store data in containers）
• 將應用打包到鏡像再部署而不是更新到已有容器（Don't ship your application in two pieces）
• 不要產(chǎn)生過大的鏡像 （Don't create large images）
• 不要使用單層鏡像 （Don't use a single layer image）
• 不要從運行著的容器上產(chǎn)生鏡像 （Don't create images from running containers ）
• 不要只是使用 “l(fā)atest”標簽 （Don't use only the “l(fā)atest” tag）
• 不要在容器內(nèi)運行超過一個的進程 （Don't run more than one process in a single container ）
• 不要在容器內(nèi)保存 credentials，而是要從外面通過環(huán)境變量傳入 （ Don't store credentials in the image. Use environment variables）
• 不要使用 root 用戶跑容器進程（Don't run processes as a root user ）
• 不要依賴于IP地址，而是要從外面通過環(huán)境變量傳入 （Don't rely on IP addresses ）
  

2. Dockerfile 語法

上面的步驟說明了 Docker 可以通過讀取 Dockerfile 的內(nèi)容來生成容器鏡像。Dockerfile 的每一行都是 INSTRUCTION arguments 格式，即 “指令 參數(shù)”。關(guān)于 Dockerfile 的預防，請參考 https://docs.docker.com/engine/reference/builder/。下面只是就一些主要的指令做一些說明。

2.1 幾個主要指令

2.1.1 ADD 和 COPY

Add：將 host 上的文件拷貝到或者將網(wǎng)絡上的文件下載到容器中的指定目錄

# Usage: ADD [source directory or URL] [destination directory]
ADD /my_app_folder /my_app_folder

例子：

FROM ubuntu:14.04
MAINTAINER Sammy Liu <sammy.liu@unknow.com>
ADD temp dockfile
ENTRYPOINT top

ADD 指令會將本地 temp 目錄中的文件拷貝到容器的 dockfile 目錄下面，從而在鏡像中增加一個 layer。在未指定絕對路徑的時候，會放到 WORKDIR 目錄下面。

root@cc2a5605f905:/# ls dockfile/
dockerfile-add dockerfile-cmd dockerfile-env dockerfile-ports dockerfile-user dockerfile-user-h
root@cc2a5605f905:/# pwd
/

那兩者有什么區(qū)別呢？

• ADD 多了2個功能, 下載URL和對支持的壓縮格式的包進行解壓.  其他都一樣。比如 ADD http://foo.com/bar.go /tmp/main.go 會將文件從因特網(wǎng)上方下載下來，ADD /foo.tar.gz /tmp/ 會將壓縮文件解壓再COPY過去
• 如果你不希望壓縮文件拷貝到container后會被解壓的話, 那么使用COPY。
• 如果需要自動下載URL并拷貝到container的話, 請使用ADD

2.1.2 CMD

CMD：在容器被創(chuàng)建后執(zhí)行的命令，和 RUN 不同，它是在構(gòu)造容器時候所執(zhí)行的命令

# Usage 1: CMD application "argument", "argument", ..
CMD "echo" "Hello docker!"

CMD 有三種格式:

• CMD ["executable","param1","param2"] (like an exec, preferred form)
• CMD ["param1","param2"] (作為 ENTRYPOINT 的參數(shù))
• CMD command param1 param2 (作為 shell 運行)
  

一個Dockerfile里只能有一個CMD，如果有多個，只有最后一個生效。

2.1.3 ENTRYPOINT

ENTRYPOINT ：設(shè)置默認應用，會保證每次容器被創(chuàng)建后該應用都會被執(zhí)行。CMD 和 ENTRYPOINT 的關(guān)系會在下面詳細解釋。

2.1.4 ENV：設(shè)置環(huán)境變量，可以使用多次

# Usage: ENV key value
ENV SERVER_WORKS 4

設(shè)置了后，后續(xù)的RUN命令都可以使用，并且會作為容器的環(huán)境變量。舉個例子，下面是 dockfile：

FROM ubuntu:14.04
ENV abc=1
ENV def=2
ENTRYPOINT top

生成鏡像：docker build -t envimg4 -f dockerfile-env . 其元數(shù)據(jù)包括了這兩個環(huán)境變量：

"Env": [
        "PATH=/usr/local/sbin:/usr/local/bin:/usr/sbin:/usr/bin:/sbin:/bin",
        "abc=1",
        "def=2"
      ],

啟動容器：docker run -it --name envc41 envimg4。也能看到：

"Env": [
        "PATH=/usr/local/sbin:/usr/local/bin:/usr/sbin:/usr/bin:/sbin:/bin",
        "abc=1",
        "def=2"
      ]

進入容器：能看到定義的 abc 和 def 變量

root@devstack:/home/sammy/ntponubuntu# docker exec -it envc41 bash
root@ba460e0e9dc4:/# echo $abc
root@ba460e0e9dc4:/# echo $def

2.1.5 EXPOSE ：向容器外暴露一個端口

# Usage: EXPOSE [port]
EXPOSE 8080

2.1.6 FROM：指定進行的基礎(chǔ)鏡像，必須是第一條指令

# Usage: FROM [image name]
FROM ubuntu

2.1.7 MAINTAINER：可以在任意地方使用，設(shè)置鏡像的作者

# Usage: MAINTAINER [name]
MAINTAINER authors_name

2.1.8 RUN：運行命令，結(jié)果會生成鏡像中的一個新層

# Usage: RUN [command]
RUN aptitude install -y ntp

2.1.9 USER：設(shè)置該鏡像的容器的主進程所使用的用戶，以及后續(xù) RUN, CMD 和 ENTRYPOINT 指令運行所使用的用戶

語法：

# Usage: USER [UID]
USER 751 

Dockerfile 中的默認用戶是基礎(chǔ)鏡像中所使用的用戶。比如，你的鏡像是從一個使用非 root 用戶 sammy 的鏡像繼承而來的，那么你的 Dockerfile 中 RUN 指定運行的命令的用戶就會使用 sammy 用戶。

舉例：

（1）創(chuàng)建 dockerfile 文件

root@devstack:/home/sammy/dockerfile# cat dockerfile-user
FROM ubuntu:14.04
USER 1000
ENTRYPOINT top

（2）創(chuàng)建鏡像：docker build -t dockerfile-user-1000 -f dockerfile-user .

（3）啟動容器：docker run -it --name c-user-1000-3 dockerfile-user-1000 top

能看出來當前用戶ID 為 1000：

PID USER   PR NI  VIRT  RES  SHR S %CPU %MEM   TIME+ COMMAND
  1 1000   20  0  4440  648  548 S 0.0 0.0  0:00.00 sh
  5 1000   20  0  19840  1296  984 R 0.0 0.1  0:00.00 top 

（4）基于該鏡像再創(chuàng)造一個鏡像，然后再啟動一個容器，可以發(fā)現(xiàn)容器中進程所使用的用戶ID 同樣為 1000.

2.1.10 VOLUME：允許容器訪問host上某個目錄

# Usage: VOLUME ["/dir_1", "/dir_2" ..]
VOLUME ["/my_files"]

2.1.11 WORKDIR：設(shè)置 CMD 所指定命令的執(zhí)行目錄

# Usage: WORKDIR /path
WORKDIR ~/

2.1.12 HEALTHCHECK： 容器健康檢查

這是 Docker 1.12 版本中新引入的指令，其語法為 HEALTHCHECK [OPTIONS] CMD command。 來看一個例子：

FROM ubuntu:14.04
MAINTAINER Sammy Liu <sammy.liu@unknow.com>
RUN apt-get update
RUN apt-get -y install curl
EXPOSE 8888
CMD while true; do echo 'hello world' | nc -l -p 8888; done
HEALTHCHECK --interval=10s --timeout=2s CMD curl -f http://localhost:8888/ || exit 1

在啟動容器后，其health 狀態(tài)首先是 starting，然后在過了10秒做了第一次健康檢查成功后，變?yōu)?healthy 狀態(tài)。

root@devstack:/home/sammy/dockerfile# docker ps | grep c-health2
4c459eef1894    img-health2     "/bin/sh -c 'while tr"  7 seconds ago    Up 6 seconds (health: starting)  8888/tcp         c-health2
root@devstack:/home/sammy/dockerfile# docker ps | grep c-health2
4c459eef1894    img-health2     "/bin/sh -c 'while tr"  9 seconds ago    Up 8 seconds (health: starting)  8888/tcp         c-health2
root@devstack:/home/sammy/dockerfile# docker ps | grep c-health2
4c459eef1894    img-health2     "/bin/sh -c 'while tr"  11 seconds ago   Up 11 seconds (healthy)   8888/tcp         c-health2

需要注意的是 CMD 是在容器之內(nèi)運行的，因此，你需要確保其命令或者腳本存在于容器之內(nèi)并且可以被運行。

2.2 幾個比較繞的地方

2.2.1 EXPOSE 和 docker run -p -P 之間的關(guān)系

容器的端口必須被發(fā)出（publish）出來后才能被外界使用。Dockerfile 中的 EXPOSE 只是“標記”某個端口會被暴露出來，只有在使用了 docker run -p 或者 -P 后，端口才會被“發(fā)出”出來，此時端口才能被使用。

舉例：

（1）Dockerfile

FROM ubuntu:14.04
MAINTAINER Sammy Liu <sammy.liu@unknow.com>
CMD while true; do echo 'hello world' | nc -l -p 8888; done

（2）創(chuàng)建鏡像：docker build -t no-exposed-ports -f dockerfile-ports .

（3）啟動容器1：docker run -d --name no-exposed-ports1 no-exposed-ports。此容器沒有 exposed 和 published 任何端口。

（4）啟動容器2：docker run -d --name no-exposed-ports2 -p 8888:8888 no-exposed-ports

此時容器的 8888 端口被發(fā)布為主機上的 8888 端口：

"Ports": {
        "8888/tcp": [
          {
            "HostIp": "0.0.0.0",
            "HostPort": "8888"
          }
        ]
      }

該端口會正確返回：

root@devstack:/home/sammy/dockerfile# telnet 0.0.0.0 8888
Trying 0.0.0.0...
Connected to 0.0.0.0.
Escape character is '^]'.
hello world
Connection closed by foreign host.

（5）使用 -P 參數(shù)：docker run -d --name no-exposed-ports3 -P no-exposed-ports

此時沒有任何端口被 published，說明 Docker 在使用了 “-P” 情形下只是自動將 exposed 的端口 published。

（6）使用 -p 加上一個不存在的端口：docker run -d --name no-exposed-ports4 -p 8889:8889 no-exposed-ports

此時，8889 端口會被暴露，但是沒法使用。說明 -p 會將沒有 exposed 的端口自動 exposed 出來。

（7）修改 dockerfile 為：

FROM ubuntu:14.04
MAINTAINER Sammy Liu <sammy.liu@unknow.com>
EXPOSE 8888
CMD while true; do echo 'hello world' | nc -l -p 8888; done

創(chuàng)建鏡像exposed-ports， 再運行 docker run -d --name exposed-ports1 -P exposed-ports 創(chuàng)建一個容器，此時 8888 端口自動被 published 為主機上的 32776 端口：

"Ports": {
        "8888/tcp": [
          {
            "HostIp": "0.0.0.0",
            "HostPort": "32776"
          }
        ]
      }

可見：

• EXPOSE或者--expose只是為其他命令提供所需信息的元數(shù)據(jù)，或者只是告訴容器操作人員有哪些已知選擇。它只是作為記錄機制，也就是告訴用戶哪些端口會提供服務。它保存在容器的元數(shù)據(jù)中。
• 使用 -p 發(fā)布特定端口。如果該端口已經(jīng)被 exposed，則發(fā)布它；如果它還沒有被 exposed，則它會被 exposed 和 published。Docker 不會檢查容器端口的正確性。
• 使用 -P 時 Docker 會自動將所有已經(jīng)被 exposed 的端口發(fā)出出來。

2.2.2 CMD 和 ENTRYPOINT

這兩個指令都指定了運行容器時所運行的命令。以下是它們共存的一些規(guī)則：

• Dockerfile 至少需要指定一個 CMD 或者 ENTRYPOINT 指令
• CMD 可以用來指定 ENTRYPOINT 指令的參數(shù)
  

 舉例：

（1）同時有 CMD 和 ENTRYPOINT

FROM ubuntu:14.04
MAINTAINER Sammy Liu <sammy.liu@unknow.com>
CMD top
ENTRYPOINT ps

此時會運行的指令為 /bin/sh -c ps /bin/sh -c top

但是實際上只是運行了 ps：

root@devstack:/home/sammy/dockerfile# /bin/sh -c ps /bin/sh -c top
 PID TTY     TIME CMD
pts/3  00:00:00 su
pts/3  00:00:00 bash
pts/3  00:00:00 sh
pts/3  00:00:00 ps
root@devstack:/home/sammy/dockerfile# /bin/sh -c ps
 PID TTY     TIME CMD
pts/3  00:00:00 su
pts/3  00:00:00 bash
pts/3  00:00:00 sh
pts/3  00:00:00 ps

（2）CMD 作為 ENTRYPOINT 的參數(shù)

FROM ubuntu:14.04
MAINTAINER Sammy Liu <sammy.liu@unknow.com>
CMD ["-n", "10"]
ENTRYPOINT top

啟動容器后運行的命令為 /bin/sh -c top -n 10.

以上就是本文的全部內(nèi)容，希望對大家的學習有所幫助，也希望大家多多支持腳本之家。

最新評論