Docker版本选择:Docker之前没有区分版本,但是2017年推出(将docker更名为)新的项目Moby,github地址:https://github.com/moby/moby,Moby项目属于Docker项目的全新上游,Docker将是一个隶属于的Moby的子产品,而且之后的版本之后开始区别为CE版本(社区版本)和EE(企业收费版),CE社区版本和EE企业版本都是每个季度发布一个新版本,但是EE版本提供后期安全维护1年,而CE版本是4个月 Docker安装下载rpm包安装:
Centos yum源安装:
Ubuntu安装
解决方法: Docker命令
docker search nginx 5. 下载nginx的镜像 docker pull nginx 6. 查看已经下载的镜像列表,TAG版本号默认都是latest docker images 7、进入容器后,安装基础命令: 启动容器# 启动一个在后台运行的 docker 容器
docker run -it -d --name 'test-nginx' nginx
# -p指定端口映射,
-p 80:80
# 指定 ip 地址和传输协议 udp 或者 tcp:
-p 192.168.7.108:80:80/tcp
# 也可以在创建时手动指定容器的 dns
--dns 223.6.6.6
# 指定名称
--name "centos3"
docker exec -it b7a13ace208d bash
docker inspect -f "{{.State.Pid}}" 02a1907e7c89 19080 nsenter -t 19080 -m -u -i -n -p 3. 脚本方式进入容器 更多命令以名义名:nginx为例子
docker rmi nginx
2. 手动导出docker镜像
docker加快加速配置:国内下载国外的某些有时候会很慢,因此可以更改docker配置文件添加一个加速器,可以通过加速器达到加速下载替代的目的。 获取加速地址:浏览器打开http://cr.console.aliyun.com,编码或登录阿里云账号,单击垂直的嵌套加速器,将会得到一个专属的加速地址,而且下面有使用配置说明:
1. 可以通过修改daemon配置文件/etc/docker/daemon.json来使用加速器 sudo systemctl daemon-reload sudo systemctl restart docker 使用docker info 查看
Docker命令与镜像管理:Docker 镜像含有启动容器所需要的文件系统及所需要的内容, 因此镜像主要用于创建并启动 docker 容器。 Docker 镜像含里面是一层层文件系统,叫做 Union FS(联合文件系统) ,联合文件系统,可以将几层目录挂载到一起,形成一个虚拟文件系统,虚拟文件系统的目录结构就像普通 linux 的目录结构一样, docker 通过这些文件再加上宿主机的内核提供了一个 linux 的虚拟环境,每一层文件系统我们叫做一层 layer,联合文件系统可以对每一层文件系统设置三种权限,只读( readonly)、读写( readwrite)和写出( whiteout-able),但是 docker 镜像中每一层文件系统都是只读的,构建镜像的时候,从一个最基本的操作系统开始,每个构建的操作都相当于做一层的修改,增加了一层文件系统,一层层往上叠加,上层的修改会覆盖底层该位置的可见性,这也很容易理解,就像上层把底层遮住了一样,当使用镜像的时候,我们只会看到一个完全的整体,不知道里面有几层也不需要知道里面有几层,结构如下: 一个典型的 Linux 文件系统由 bootfs 和 rootfs 两部分组成, bootfs(boot filesystem) 主要包含 bootloader 和 kernel, bootloader 主要用于引导加载 kernel, 当 kernel 被加载到内存中后 bootfs 会被 umount 掉, rootfs (root file system) 包含的就是典型 Linux 系统中的/dev, /proc, /bin, /etc 等标准目录和文件, 下图就是 docker image 中最基础的两层结构,不同的 linux 发行版(如 ubuntu和 CentOS ) 在 rootfs 这一层会有所区别。但是对于 docker 镜像通常都比较小, 官方提供的 centos 基础镜像在 200MB 左右,一些其他版本的镜像甚至只有几 MB, docker 镜像直接调用宿主机的内核,镜像中只提供 rootfs,也就是只需要包括最基本的命令、工具和程序库就可以了, 比如 alpine 镜像,在 5M 左右。 下图就是有两个不同的镜像在一个宿主机内核上实现不同的 rootfs。
容器、 镜像父镜像: docker常用命令示例
docker命令:
子命令帮助run在新容器中运行命令
方式 1:本地端口 81 映射到容器 80 端口:
ps列出正在运行的容器
rm移除一个或多个容器
logs获取容器的日志
load从tar存档或STDIN加载镜像
port列出容器的端口映射或特定映射
stop停止一个或多个正在运行的容器
kill杀死一个或多个正在运行的容器
start启动一个或多个停止的容器
attach此方式进入容器的操作都是同步显示的且 exit 后容器将被关闭
exec执行单次命令与进入容器,不是很推荐此方式, 虽然 exit 退出容器还在运行
例:
inspect返回Docker对象的底层信息
commit从容器的更改中创建一个新镜像
docker commit -m "nginx image" f5f8c13d0f9f jack/centos-nginx:v1
Docker 镜像与制作Docker 镜像有没有内核? 为什么没有内核? 手动制作nginx镜像Docker 制作类似于虚拟机的镜像制作,即按照公司的实际业务务求将需要安装的软件、相关配置等基础环境配置完成,然后将其做成镜像,最后再批量从镜像批量生产实例,这样可以极大的简化相同环境的部署工作, Docker 的镜像制作分为手动制作和自动制作(基于 DockerFile), 企业通常都是基于 Dockerfile 制作精细, 其中手动制作镜像步骤具体如下: 下载镜像并初始化系统:
5. 提交为镜像:在宿主机基于容器 ID 提交为镜像 docker commit -a "xu" -m "nginx_yum_v1" --change="EXPOSE 80 4433" 75f52cfb13d2 centos-nginx:v1
7. 从自己镜像启动容器,因为本机用的是云主机,没有备案和域名,所以使用4433端口映射 8. 访问测试 容器端口映射成功
Dockerfile介绍DockerFile 可以说是一种可以被 Docker 程序解释的脚本, DockerFile 是由一条条的命令组成的,每条命令对应 linux 下面的一条命令, Docker 程序将这些DockerFile 指令再翻译成真正的 linux 命令,其有自己的书写方式和支持的命令, Docker 程序读取 DockerFile 并根据指令生成 Docker 镜像,相比手动制作镜像的方式, DockerFile 更能直观的展示镜像是怎么产生的,有了 DockerFile,当后期有额外的需求时,只要在之前的 DockerFile 添加或者修改响应的命令即可重新生成新的 Docke 镜像,避免了重复手动制作镜像的麻烦。 FROM 指定基础镜像定制镜像,需要先有一个基础镜像,在这个基础镜像上进行定制。FROM 就是指定基础镜像,必需放在有效指令的第一行 怎么选择合适的镜像呢?官方有nginx、redis、mysql、httpd、tomcat等服务类的镜像,也有操作系统类,如:centos、ubuntu、debian等。 例: MAINTAINER 指定维护者信息格式 RUN 执行命令
格式
CMD 启动容器时执行的命令
支持三种格式 如果用户启动容器时候指定了运行的命令,则会覆盖掉 CMD 指定的命令。 EXPOSE 分配端口号
格式 ENV 环境变量
格式 ADD 复制/解压
格式 COPY 复制
格式 当使用本地目录为源目录时,推荐使用 ENTRYPOINT 容器启动后执行的命令
两种格式: 每个 Dockerfile 中只能有一个 ENTRYPOINT,当指定多个时,只有最后一个起效 VOLUME 挂载点
格式 USER 指定用户名
格式 例如: 要临时获取管理员权限可以使用 gosu,而不推荐 sudo。 WORKDIR 工作目录
格式 ONBUILD
格式 使用 构建镜像格式
DockerFile 制作yum版 nginx 镜像:
构建
6. 查看镜像
# curl 127.0.0.1:8355
DockerFile 制作编译版 nginx 镜像: 下载镜像并初始化系统:
编写 Dockerfile:
准备源码包与配置文件:
4. 开始构建:可以清晰看到各个步骤执行的具体操作
构建成功了 5. 查看是否生成本地镜像,如果构建时出错可能会导致生成名字为none的镜像,使用命令删除即可
6. 从镜像启动容器 docker run -d -p 80:80 --name mak1e-nginx peterhx/nginx-make-1.16.1:v1 /usr/sbin/nginx
制作 tomcat 镜像:基于官方提供的 centos 7.6. 基础镜像构建 JDK 和 tomcat 镜像,先构建 JDK 镜像,然后再基于 JDK 镜像构建 tomcat 镜像。 1、先构建 JDK 镜像
# JDK Base Images
FROM centos:latest
ADD jdk-8u212-linux-x64.tar.gz /usr/local/src/
RUN ln -sv /usr/local/src/jdk1.8.0_212 /usr/local/jdk
ADD profile /etc/profile
ENV JAVA_HOME /usr/local/jdk
ENV JRE_HOME $JAVA_HOME/jre
ENV CLASSPATH $JAVA_HOME/lib/:$JRE_HOME/lib/
ENV PATH $PATH:$JAVA_HOME/bin
RUN rm -rf /etc/localtime && ln -snf /usr/share/zoneinfo/Asia/Shanghai/etc/localtime && echo "Asia/Shanghai" > /etc/timezone
profile文件内容,(最下边声明的环境变量,其他的一样) # cat profile 执行构建 cat build-command.sh
#!/bin/bash
docker build -t centos-jdk1.8:v1 .
5. 启动容器 docker run -it centos-jdk1.8:v1 bash
进入容器后,要能查看到Java的环境(如果查不出来等于白做,检查是哪个环节出错)
2、从 JDK 镜像构建 tomcat-8 镜像
# cat build-command.sh #!/bin/bash docker build -t tomcat85:v1 .
vim run_tomcat.sh
cat build-command.sh #!/bin/bash docker build -t tomcat85-app1:v1 .
制作 haproxy 镜像:
6. 准备构建脚本: 7. 从镜像启动容器: docker run -it -d -p 80:80 -p 9999:9999 haproxy:v1
8. web 访问验证
9. 访问tomcat业务app1
本地镜像上传至官方 docker 仓库:
[root@Server1 ~]# cat /root/.docker/config.json { "auths": { "https://index./v1/": { "auth": "cGV0ZXJoeDo5NjExMjFoeC4=" }, "registry.cn-beijing.aliyuncs.com": { "auth": "NTgzMzQzNjM2QHFxLmNvbTo5NjExMjFoeA==" } }, "HttpHeaders": { "User-Agent": "Docker-Client/19.03.8 (linux)" } }
docker tag a187dde48cd2 peterhx/alpine-test:alpine123
docker push peterhx/alpine-test:alpine123
7. 到 docker 官网验证
8. 更换到其他 docker 服务器下载镜像
docker 仓库之分布式 HarborHarbor 是一个用于存储和分发 Docker 镜像的企业级 Registry 服务器,由vmware 开源,其通过添加一些企业必需的功能特性,例如安全、标识和管理等,扩展了开源 Docker Distribution。作为一个企业级私有 Registry 服务器,Harbor 提供了更好的性能和安全。提升用户使用 Registry 构建和运行环境传输镜像的效率。 Harbor 支持安装在多个 Registry 节点的镜像资源复制,镜像全部保存在私有 Registry 中, 确保数据和知识产权在公司内部网络中管控, 另外,Harbor 也提供了高级的安全特性,诸如用户管理,访问控制和活动审计等。
Harbor 功能官方介绍:基于角色的访问控制:用户与 Docker 镜像仓库通过“项目”进行组织管理,一个用户可以对多个镜像仓库在同一命名空间(project)里有不同的权限。镜像复制:镜像可以在多个 Registry 实例中复制(同步)。尤其适合于负载均衡,高可用,混合云和多云的场景。图形化用户界面:用户可以通过浏览器来浏览,检索当前 Docker 镜像仓库,管理项目和命名空间。 AD/LDAP: Harbor 可以集成企业内部已有的 AD/LDAP,用于鉴权认证管理。 审计管理:所有针对镜像仓库的操作都可以被记录追溯,用于审计管理。国际化:已拥有英文、中文、德文、日文和俄文的本地化版本。更多的语言将会添加进来。RESTful API - RESTful API :提供给管理员对于 Harbor 更多的操控, 使得与其它管理软件集成变得更容易。 部署简单:提供在线和离线两种安装工具, 也可以安装到 vSphere 平台(OVA 方式)虚拟设备。 安装 Harbor:
本次使用 harbor 版本 1.2.2 离线安装包,具体名称为 下载 Harbor 安装包:方式1:下载离线安装包:https://github.com/goharbor/harbor/releases 方式2:下载在线安装包 配置安装 Harbor:在另一台云主机的机器(内网IP为:192.168.0.59)上安装harbor仓库
安装docker-compose时报错,缺少依赖及python的开发环境,yum install -y gcc python-devel 即可
docker-compose.yml 文件,用于配置数据目录等配置信息 5. 运行当前目录下的脚本开始安装 ./install.sh 安装完成,可以通过设定的连接通过浏览器进行访问(默认使用的是80,加密端口是443,此主机没有备案所以下面还需要修改一下端口)
后期修改配置:如果 harbor 运行一段时间之后需要更改配置,则步骤如下:这里顺便修改一下harbor仓库的访问的默认端口 2. 编辑 harbor.cfg 进行相关配置:(修改之前一定要记得先copy一份) ① 这里修改了两个端口 80改为888,443改为了4433
② 修改完之后还要修改一个文件 # pwd
/usr/local/harbor/common/templates/registry
[root@Server2 registry]# ls
config.yml config.yml.bak root.crt
[root@Server2 registry]# vim config.yml
url后加上修改后的默认端口,保存退出 ③ 修改docker的启动文件 #vim /usr/lib/systemd/system/docker.service 修改如下一行 ExecStart=/usr/bin/dockerd --insecure-registry=x.x.x.x:888
修改后重新加载并重启服务 systemctl daemon-reload && systemctl restart docker.service 3. prepare 登录测试一下,登录成功
常见的2个报错信息解答: (1)Error response from daemon: Get https://192.168.0.59/v1/users/: dial tcp 192.168.0.59:443: getsockopt: connection refused (2)Error response from daemon: Get https://192.168.0.59:888/v1/users/: http: server gave HTTP response to HTTPS client 报这2个错误的都是如下2个原因: 1、是端口错了! 2、未在docker启动文件中添加--insecure-registry信任关系! 大多数这个错误是第2个原因,因为你没有添加信任关系的话,docker默认使用的是https协议,所以端口不对(443),会报连接拒绝这个错误; 或者提示你 "服务器给HTTPS端的是HTTP响应" 这个错误,因为你没添加端口信任,服务器认为这是默认的https访问,返回的却是http数据!
解决方法: 正确的添加信任关系包括端口号: --insecure-registry=192.168.0.59:888 一定要把主机与端口同时添加进去! 继续
2. 查看本地端口
3. web 浏览器访问 Harbor 管理界面
如果可以正常登录就说明之前的配置没毛病,下面就可上传镜像了
配置 docker 使用 harbor 仓库上传下载镜像:
在
docker login 192.168.0.59:888
如果这里突然遇到密码错误(确认不是忘记了密码),可以试试重启docker-compose
首先要新建一个项目,进入项目里,右侧推送镜像,按照指定格式进行修改才能上传到此项目中来
docker tag alpine:latest X.X.X.X:888/alpine/alpine-test2:v4
从 harbor 下载镜像并启动容器:
3. 查看下载命令:
7. 成功启动,并可以正常使用
实现 harbor 高可用:Harbor 支持基于策略的 Docker 镜像复制功能, 这类似于 MySQL 的主从同步, 其可以实现不同的数据中心、 不同的运行环境之间同步镜像, 并提供友好的管理界面,大大简化了实际运维中的镜像管理工作,已经有用很多互联网公司使用harbor 搭建内网 docker 仓库的案例,并且还有实现了双向复制的案列,本文将实现单向复制的部署:
复制的原理是从源harbor上推到目标harbor,所以下面的配置是要在之前创建的harbor上配置。
测试从 harbor 镜像下载和容器启动:
在
Docker 数据管理如果运行中的容器修如果生成了新的数据或者修改了现有的一个已经存在的文件内容,那么新产生的数据将会被复制到读写层进行持久化保存,这个读写层也就是容器的工作目录,此即“写时复制(COW) copy on write”机制 数据类型:Docker 的镜像是分层设计的,底层是只读的,通过镜像启动的容器添加了一层可读写的文件系统,用户写入的数据都保存在这一层当中,如果要将写入的数据永久生效,需要将其提交为一个镜像然后通过这个镜像在启动实例,然后就会给这个启动的实例添加一层可读写的文件系统,目前 Docker 的数据类型分为两种, 一是数据卷, 二是数据容器,数据卷类似于挂载的一块磁盘,数据容器是将数据保存在一个容器上
什么是数据卷(data volume):数据卷实际上就是宿主机上的目录或者是文件,可以被直接 mount 到容器当中使用。 实际生成环境中,需要针对不同类型的服务、 不同类型的数据存储要求做相应的规划, 最终保证服务的可扩展性、 稳定性以及数据的安全性。 如下图: 左侧是无状态的 http 请求服务, 右侧为有状态。 创建 APP 目录并生成 web 页面:此 app 以数据卷的方式,提供给容器使用, 比如容器可以直接宿主机本地的 web_app,而需要将代码提前添加到容器中,此方式适用于小型 web 站点。 在宿主机或容器修改数据
mkdir /data/app
echo "docker volume Pages1" > /data/app/index.html
启动容器并验证数据:启动两个容器, web1 容器和 web2 容器, 分别测试能否在容器内访问到宿主机的添加的数据。 2、web 界面访问(这里使用命令行测试)
3、删除容器 删除容器的时候指定参数-v, 可以删除/var/lib/docker/containers/的容器数据目录,但是不会删除数据卷的内容 数据卷的特点及使用:
如何一次挂载多个目录
数据卷容器:数据卷容器功能是可以让数据在多个 docker 容器之间共享,即可以让 B 容器访问 A 容器的内容,而容器 C 也可以访问 A 容器的内容,\ 即先要创建一个后台运行的容器作为 Server,用于卷提供, 这个卷可以为其他容器提供数据存储服务,其他使用此卷的容器作为 client 端: 启动一个卷容器 Server:先启动一个容器, 并挂载宿主机的数据目录:
三个容器访问到的数据是一样的
5. 验证宿主机数据
停止了卷服务的容器,还可以从这个卷服务容器启动新的容器
重新创建容器卷 Server创建出 volume server 之后, 就可以创建基于 volume server 的新容器。 在当前环境下, 即使把提供卷的容器 Server 删除, 已经运行的容器 Client 依然可以使用挂载的卷, 因为容器是通过挂载访问数据的, 但是无法创建新的卷容器客户端, 但是再把卷容器 Server 创建后即可正常创建卷容器 Client, 此方式可以用于线上共享数据目录等环境, 因为即使数据卷容器被删除了,其他已经运行的容器依然可以挂载使用 数据卷容器可以作为共享的方式为其他容器提供文件共享,类似于 NFS 共享,可以在生产中启动一个实例挂载本地的目录,然后其他的容器分别挂载此容器的目录,即可保证各容器之间的数据一致性。
十五:主要介绍docker网络相关知识,docker服务安装完成之后,至少在每个主机机会生成一个名称为docker0的网卡
docker结合负载实现网站高可用:整体规划图:
1.安装并配置keepalived
启动
配置 启动 2.安装并配置haproxy
3. docker服务器启动nginx容器并验证
验证网络访问
验证网络访问
容器之间的互联通过容器名称互联:即在同一个主机上的容器之间可以通过自定义的容器名称相互访问,某个业务前端静态页面是使用nginx,动态页面使用的是tomcat,由于容器在启动的时候其内部IP地址是DHCP随机分配的,所以如果通过内部访问的话,自定义名称是相对比较固定的,因此比较适用于此场景。
[root@Server1 ~]# docker exec -it app1 bash root@260fea18537b:/# cat /etc/hosts 127.0.0.1 localhost ::1 localhost ip6-localhost ip6-loopback fe00::0 ip6-localnet ff00::0 ip6-mcastprefix ff02::1 ip6-allnodes ff02::2 ip6-allrouters 172.17.0.2 260fea18537b
可能需要先安装ping工具 apt-get update && apt install -y iputils-ping
通过自定义容器别名互联:上一步骤中,自定义的容器名称可能后期会发生变化,那么一旦名称发生变化,程序之间也要随之发生变化,此类程序通过容器名称进行服务调用,但是容器名称发生变化之后再使用之前的名称肯定是无法成功调用,每次都进行更改的话又比较麻烦,因此可以使用自定义别名的方式解决,即容器名称可以随意更容易,只要不更改别名即可,具体如下:
查看当前docke的网卡信息:
(1)主机模式:使用参数–net = host指定。 访问容器的时候直接使用主机机IP +容器端口即可,不过容器的其他资源他们必须文件系统,系统进程等还是和主机保持隔离。模式的网络性能最高,但是各个容器之间的端口不能相同,适用于运行容器端口比较固定的业务。
2. 启动一个新容器,并指定网络模式为主机 3. 访问
主机模式不支持端口映射,当指定端口映射的时候会提示如下警告信息:
(2)None模式:使用参数–net = none指定 命令使用方式: (3)容器模式:使用参数–net = container:name或ID 使用此模式创建的容器需要指定和一个已经存在的容器共享一个网络,而不是和容纳机共享网,新创建的容器不会创建自己的网卡也不会配置自己的IP,或者和一个已经存在的被指定的容器IP和端口范围, 因此该容器的端口不能和被指定的端口冲突,除了网络之外的文件系统,进展信息等仍保持相互隔离,两个容器的进展可以通过lo网卡及容器IP进行通信。
(4)bridge模式: docker的交替模式即不指定任何模式就是bridge模式,也是使用比较多的模式,此模式创建的容器会为每一个容器分配自己的网络IP等信息,且多个容器连接到一个虚拟网桥与外界通信 查看bridge模式的信息 docker network inspect bridge
docker跨主机互联之简单实现:跨主机互联是说A主机的容器可以访问B主机上的容器,但是可以保证各主机之间的网络是可以相互通信的,然后各容器才可以通过主机访问到对方的容器,实现原理是在主机做一个网络路由就可以实现A主机的容器访问B主机的容器的目的, 复杂的网络或者大型的网络可以使用google开源的k8s进行互联。 修改各主机机网段: Docker的替代网段是172.17.0.x / 24,而且每个主机机都是一样的,因此路由选择的路由就是各个主机的网络不能一致,具体如下: 服务器A:192.168.0.36
在
如果你的系统是Centos,需要打开ipforward
docker run -it -p 87:80 nginx bash [root@781e7f053c20 /]# ifconfig eth0
route add -net 10.10.0.0/24 gw 192.168.0.59
iptables -A FORWARD -s 192.168.0.0/24 -j ACCEPT
在
route add -net 10.10.0.0/24 gw 192.168.0.36
iptables -A FORWARD -s 192.168.0.0/24 -j ACCEPT
容器间互相ping测试 在另一台容器里反ping试一下
如果可以ping通就表示没有问题,两个不同宿主机上的容器可以互相通信了
创建自定义网络:可以基于docker命令创建自定义网络,自定义网络可以自定义IP地域和网关等信息。 帮助
docker network list
[root@Server1 ~]# docker run -itd --net=my-net centos-nginx:v1 bash
[root@Server1 ~]# docker exec -it 25d2c84d58bd bash
[root@25d2c84d58bd /]# yum install -y net-tools &> /dev/null
[root@25d2c84d58bd /]# ifconfig eth0
# vim iptables.sh 把DOCKER-ISOLATION-STAGE-2除了
iptables-restore < iptables.sh
4. 验证通信 先看一下其他网段的容器ip地址
ping测试一下 经过以上的配置,目前就已经实现了不通网络间的通信
十六、Docker资源限制
默认情况下, 容器没有资源限制, 可以使用主机内核调度程序允许的尽可能多的给定资源, Docker 提供了控制容器可以限制容器使用多少内存或 CPU 的方法,设置 docker run 命令的运行时配置标志。 如下所示: 对于 Linux 主机, 如果没有足够的内容来执行其他重要的系统任务, 将会抛出OOM (Out of Memory Exception,内存溢出、 内存泄漏、 内存异常), 随后系统会开始杀死进程以释放内存, 凡是运行在宿主机的进程都有可能被 kill, 包括 Dockerd和其它的应用程序, 如果重要的系统进程被 Kill,会导致和该进程相关的服务全部宕机。 产生 OOM 异常时, Dockerd 尝试通过调整 Docker 守护程序上的 OOM 优先级来减轻这些风险,以便它比系统上的其他进程更不可能被杀死,但是容器的 OOM优先级未调整, 这使得单个容器被杀死的可能性比 Docker 守护程序或其他系统进程被杀死的可能性更大,不推荐通过在守护程序或容器上手动设置--oomscore-adj 为极端负数,或通过在容器上设置--oom-kill-disable 来绕过这些安全措施。 OOM 优先级机制:linux 会为每个进程算一个分数,最终他会将分数最高的进程 kill。
容器的内存限制:Docker 可以强制执行硬性内存限制,即只允许容器使用给定的内存大小。 --oom-score-adj: 宿主机 kernel 对进程使用的内存进行评分, 评分最高的将被宿主机内核 kill 掉, 可以指定一个容器的评分制但是不推荐手动指定。 内存限制参数:-m, --memory:容器可以使用的最大内存量,如果设置此选项,则允许的最内存值为 4m (4 兆字节)。 swap 限制:--memory-swap:只有在设置了 --memory 后才会有意义。使用 Swap,可以让容器将超出限制部分的内存置换到磁盘上, WARNING:经常将内存交换到磁盘的应用程序会降低性能。
动态修改容器内存,先计算出所需要的内存的字节数:如268435456(256M),只能调大不能调小
内存限制验证:假如一个容器未做内存使用限制, 则该容器可以利用到系统内存最大空间, 默认创建的容器没有做内存资源限制。 查看帮助 或者这样也行 内存大小硬限制查看docker状态
内存大小软限制:
关闭 OOM 机制交换分区限制宿主机 cgroup 验证: 容器的 CPU 限制一个宿主机,有几十个核心的 CPU, 但是宿主机上可以同时运行成百上千个不同的进程用以处理不同的任务, 多进程共用一个 CPU 的核心依赖计数就是为可压缩资源, 即一个核心的 CPU 可以通过调度而运行多个进程, 但是同一个单位时间内只能有一个进程在 CPU 上运行, 那么这么多的进程怎么在 CPU 上执行和调度的呢? 实时优先级: 0 - 99 非实时优先级(nice): -20 - 19, 对应 100 - 139 的进程优先级 Linux kernel 进程的调度基于 CFS(Completely Fair Scheduler), 完全公平调度 CPU 密集型的场景:优先级越低越好, 计算密集型任务的特点是要进行大量的计算,消耗 CPU 资源,比如计算圆周率、 数据处理、 对视频进行高清解码等等,全靠 CPU 的运算能力。 IO 密集型的场景:优先级值高点, 涉及到网络、磁盘 IO 的任务都是 IO 密集型任务,这类任务的特点是 CPU 消耗很少,任务的大部分时间都在等待 IO 操作完成(因为 IO 的速度远远低于 CPU 和内存的速度),比如 Web 应用, 高并发,数据量大的动态网站来说,数据库应该为 IO 密集型。 磁盘的调度算法 默认情况下,每个容器对主机 CPU 周期的访问权限是不受限制的, 但是我们可以设置各种约束来限制给定容器访问主机的 CPU 周期,大多数用户使用的是默认的 CFS 调度方式, 在 Docker 1.13 及更高版本中, 还可以配置实时优先级。 参数:--cpus :指定容器可以使用多少可用 CPU 资源, 例如,如果主机有两个 CPU,并且设置了--cpus =“1.5”,那么该容器将保证最多可以访问 1.5 个的 CPU(如果是 4 核 CPU, 那么还可以是 4 核心上每核用一点,但是总计是 1.5 核心的CPU), 这相当于设置--cpu-period =“100000”和--cpu-quota =“150000” 分配给容器的 CPU 超出了宿主机 CPU 总数。
测试 CPU 限制
在宿主机使用 dokcer top 命令查看容器运行状态 容器运行状态: 在宿主机查看 CPU 限制参数:
宿主机 cgroup 验证
宿主机 CPU 利用率
容器运行状态
验证容器运行状态 宿主机 cgroup 验证
验证修改后的容器运行状态 docker stats 十七单机编排之Docker撰写:当在主机启动主机的容器时候,如果都是手动操作会觉得比较麻烦而且容器出错,这个时候推荐使用docker单机编排工具docker-compose,docker-compose是docker容器的一种单机编排服务,docker- compose是一个管理多个容器的工具,可以解决容器之间的依赖关系,就像启动一个nginx前端服务的时候会调用后端的tomcat,那就得先启动tomcat,但是启动tomcat容器还需要依赖数据库,则那就还得先启动数据库,docker-compose就可以解决这样的嵌套依赖关系,其完全可以替代docker run对容器进行创建,启动和停止。 docker-compose项目是Docker官方的开源项目,负责实现对Docker容器放置的快速编排,docker-compose将所管理的容器分为三层,分别是工程(项目),服务以及容器
基础环境准备:
配置安装港口:
中心:
制作nginx镜像
制作JDK环境
从JDK整合重构tomcat
构建tomcat-app业务运营:
制作haproxy补充:
从docker compose启动临时容器换成server2继续:
Centos:
在
启动多个容器docker pull 192.168.99.21/tomcat/mytomcat-app:v1
实现Nginx反向代理Tomcat创建nginx配置文件
创建haproxy配置文件
准备tomcat配置文件
创建docker-compose.yml最终文件目录测试访问http://192.168.99.22/tomcat-app/showhost.jsp
以上就是Docke容器大部分的使用情景及功能实现 |
|
|
