@dungan 2021-09-30T04:28:41.000000Z 字数 28636 阅读 602

Docker

Docker 基础

一、基础概念

docker 安装教程见这里。

win10 上 docker 安装后启动时可能会报Inter VIRTUALIZATION MUST BE ENABLED的错误，这个错误需要进入 BISO 中设置CPU。

1. 什么是 Docker

Docker 是一个开源的应用容器引擎，可以让开发者打包他们的应用以及依赖包到一个轻量级、可移植的容器中，然后发布到任何流行的 Linux 机器上。

试想一下传统的 LAMP (Linux+Apache+MySQL+PHP）一旦安装后要迁移（例如从亚马逊云迁移到其他云）：

往往需要对每个应用都进行重新部署和调试。这些琐碎而无趣的“体力活”，极大地降低了用户的工作效率。究其根源，是这些应用直接运行在底层操作系统上，无法保证同一份应用在不同的环境中行为一致。

而 Docker 提供了一种更为聪明的方式：

通过容器来打包应用、解藕应用和运行平台。这意味着迁移的时候，只需要在新的服务器上启动需要的容器就可以了，无论新旧服务器是否是同一类型的平台。这无疑将帮助我们节约大量的宝贵时间，并降低部署过程出现问题的风险。

2. 什么是镜像和容器

注册服务器（Registry）是存放仓库的具体的服务器，一个注册服务器(类比github)上可以有多个仓库，而每个仓库里可以有多个镜像。

例如，一个 Nginx 仓库中可以包含非常多不同版本的 Nginx 镜像，就像 git 仓库一样。

容器是基于镜像来创建的，你可以将镜像看做一个app安装包(例如weixin.apk)，而在手机通过安装包生成的应用程序(例如微信) 看做容器。

容器是从镜像创建的应用运行实例，Docker 容器类似于一个轻量级的沙箱， Docker 利用容器来运行和隔离应用。

对于手机上的应用程序，只要编译好安装包后，你可以将它安装到任何手机上(跨平台，可移植)，例如华为手机，小米手机上等等。并且我们手机上的应用程序多种多样，有聊天的，有记笔记的，有购物的(镜像的多样性)，并且他们相互之间不会影响彼此(容器间相互隔离)。

下载app安装的地方在手机上我们叫做应用商店，而在 docker 中我们称之为 镜像仓库，用来保存镜像。

根据所存储的镜像公开分享与否， Docker 仓库可以分为公开仓库（ Public ）和私有仓库（ Private ）两种形式。

概念	说明
Docker 镜像	Docker 镜像是用于创建 Docker 容器的模板，类似app安装包
Docker 容器	容器是独立运行的一个或一组应用，以及它们必需的运行环境是镜像运行时的实体，类似 app
Docker 主机	Docker 的宿主机
Docker 仓库	Docker 仓库用来保存镜像，类似手机应用商店，Docker Hub(https://hub.docker.com) 提供了庞大的镜像集合供使用

3. 镜像加速

国内由于墙的原因可能从 DockerHub 拉取镜像有时失败，推荐将镜像源切换为国内

Docker官方提供的中国镜像库：https://registry.docker-cn.com

七牛云加速器：https://reg-mirror.qiniu.com

修改 /etc/docker/daemon.json 中写入如下内容（如果文件不存在请新建该文件）:

{"registry-mirrors":["https://registry.docker-cn.com"]}

重新启动服务：

sudo systemctl daemon-reload
sudo systemctl restart docker

最后查看下是否切换生效：

$ docker info
Registry Mirrors:
    https://registry.docker-cn.com/

4. Docker 与 VM

传统虚拟机是在硬件层面实现虚拟化，需要有额外的虚拟机管理应用和虚拟机操作系统层。Docker容器是在操作系统层面上实现虚拟化，直接复用本地主机的操作系统，因此更加轻量级。

二、Docker 镜像

1. 获取镜像

docker [image] pull 用来下载镜像。

$ docker pull ubuntu:18.04
18.04: Pulling from library/ubuntu
5bed26d33875: Pull complete
f11b29a9c730: Pull complete
930bda195c84: Pull complete
78bf9a5ad49e: Pull complete
Digest: sha256:bec5a2727be7fff3d308193cfde3491f8fba1a2ba392b7546b43a051853a341d
Status: Downloaded newer image for ubuntu:18.04

一般情况下，拉取镜像时无需指定仓库名，默认会从 Docker Hub 下载镜像，但如果从非官方下载，需要指定仓库名。

$ docker pull hub.c.163.com/public/ubuntu:18.04

镜像下载后，就可以基于镜像启动一个容器了。

$ docker run -it ubuntu:18.04 bash
root@2d5771725cfb:/# echo hello world
hello world
root@2d5771725cfb:/#

2. 列出镜像列表

docker images 可以查看本地已有镜像信息。

$ docker images
REPOSITORY          TAG                 IMAGE ID            CREATED             SIZE
ubuntu              18.04               4e5021d210f6        7 days ago          64.2MB
mysql               latest              2151acc12881        8 months ago        445MB
hello-world         latest              fce289e99eb9        15 months ago       1.84kB
ubuntu              15.10               9b9cb95443b5        3 years ago         137MB

REPOSITORY ：来自于哪个仓库，比如ubuntu 表示ubuntu 系列的基础镜像。

TAG：镜像的标签，同一仓库源可以有多个 TAG，代表这个仓库源的不同个版本。

IMAGE ID：镜像的ID(唯一标识镜像），如果两个镜像的ID相同，说明它们实际上指向了同一个镜像，只是具有不同标签名称而已。

CREATED: 镜像创建时间。

SIZE: 镜像大小。

3. 为镜像设置标签

docker tag 为本地镜像添加一个新的标签。

$ docker tag ubuntu:18.04 tclubuntu:local
$ docker images
REPOSITORY          TAG                 IMAGE ID            CREATED             SIZE
ubuntu              18.04               4e5021d210f6        7 days ago          64.2MB
tclubuntu           local               4e5021d210f6        7 days ago          64.2MB
mysql               latest              2151acc12881        8 months ago        445MB
hello-world         latest              fce289e99eb9        15 months ago       1.84kB
ubuntu              15.10               9b9cb95443b5        3 years ago         137MB

可以看到新添加的 tclubuntu 和 ubuntu IMAGE ID 是一样的。

4. 查找镜像

docker serach 命令用来搜索镜像。

[www-data@test AciBonusLogic]$ docker search nginx
NAME            DESCRIPTION                                     STARS               OFFICIAL        AUTOMATED
nginx           Official build of Nginx.                        12889               [OK]                
bitnami/nginx   Bitnami nginx Docker Image                      80                                  [OK]        ...

NAME：镜像仓库源的名称。

DESCRIPTION：镜像的描述。

OFFICIAL：是否docker官方发布。

5. 查看镜像信息

docker inspect 可以查看镜像的详细信息。

[www-data@test AciBonusLogic]$ docker inspect nginx
[
    {
        "Id": "sha256:4bb46517cac397bdb0bab6eba09b0e1f8e90ddd17cf99662997c3253531136f8",
        "RepoTags": [
            "nginx:latest"
        ],
        "RepoDigests": [
            "nginx@sha256:b0ad43f7ee5edbc0effbc14645ae7055e21bc1973aee5150745632a24a752661"
        ],
        "Parent": "",
        "Comment": "",
...

6. 查看镜像构建历史

docker history 可以用来查看镜像的构建历史。

镜像文件可能由多个层组成，那么怎么知道各个层的内容具体是什么呢？这时候可以使用 history 命令来列出各层的创建信息。

$ docker history busybox
IMAGE               CREATED             CREATED BY                                      SIZE                COMMENT
6d5fcfe5ff17        3 months ago        /bin/sh -c #(nop)  CMD ["sh"]                   0B                  
<missing>           3 months ago        /bin/sh -c #(nop) ADD file:45da761e1c56c548b…   1.22MB

7. 删除和清理镜像

1、使用标签删除镜像

docker rmi image:tag 可以删除镜像。


$ docker images
REPOSITORY          TAG                 IMAGE ID            CREATED             SIZE
tclubuntu           local               4e5021d210f6        7 days ago          64.2MB
ubuntu              18.04               4e5021d210f6        7 days ago          64.2MB
mysql               latest              2151acc12881        8 months ago        445MB
hello-world         latest              fce289e99eb9        15 months ago       1.84kB
ubuntu              15.10               9b9cb95443b5        3 years ago         137MB
$ docker rmi tclubuntu:local
Untagged: tclubuntu:local
$ docker images
REPOSITORY          TAG                 IMAGE ID            CREATED             SIZE
ubuntu              18.04               4e5021d210f6        7 days ago          64.2MB
mysql               latest              2151acc12881        8 months ago        445MB
hello-world         latest              fce289e99eb9        15 months ago       1.84kB
ubuntu              15.10               9b9cb95443b5        3 years ago         137MB

需要注意，当一个镜像如果有多个标签，那么删除的只是标签，如果镜像只有这一个标签，则这个镜像会被删除。

2、使用镜像 ID 来删除镜像

docker rmi image-id 会先尝试删除所有指向该镜像的标签，然后删除该镜像文件本身。

$ docker rmi 9b9cb95443b5
Error response from daemon: conflict: unable to delete 9b9cb95443b5 (must be forced) - image is being used by stopped container c018cee31e26

可以看到报错了，这是因为当有该镜像创建的容器正在运行时，镜像文件默认是无法被删除的.

所以我们必须先删除容器，然后再删除镜像，先查看基于该镜像的容器有哪些。

$ docker ps -a
CONTAINER ID        IMAGE               COMMAND                  CREATED             STATUS                    PORTS               NAMES
2d5771725cfb        ubuntu:18.04        "bash"                   About an hour ago   Up About an hour                              gallant_yonath
e092cbc780dd        mysql               "docker-entrypoint.s…"   7 months ago        Exited (1) 7 months ago                       recursing_kapitsa
c018cee31e26        ubuntu:15.10        "/bin/echo 'Hello wo…"   7 months ago        Exited (0) 7 months ago                       trusting_gauss
b031f69b4ea5        hello-world         "/hello"                 7 months ago        Exited (0) 7 months ago                       eloquent_euclid
951b5743cf9b        hello-world         "/hello"                 7 months ago        Exited (0) 7 months ago                       pensive_curran

然后删除该容器：

$ docker rm c018cee31e26
c018cee31e26

最后再次使用镜像 ID 来删除镜像：

$ docker rmi 9b9cb95443b5
Untagged: ubuntu:15.10
Untagged: ubuntu@sha256:02521a2d079595241c6793b2044f02eecf294034f31d6e235ac4b2b54ffc41f3
Deleted: sha256:9b9cb95443b5f846cd3c8cfa3f64e63b6ba68de2618a08875a119c81a8f96698
Deleted: sha256:b616585738eaf78ff7d86c7526caf7c91a35bc4028ef63204e5bfee82f7494b5
Deleted: sha256:dee1316f97acc7e1a5088b02fbc2b3078e0bfa038dd904b8072e2de5656e7bb8
Deleted: sha256:e7d9ae1a69c53c9fefa1aef34348be5a5dbf2fe79e7dd647b3d4f4e927587ebc
Deleted: sha256:f121afdbbd5dd49d4a88c402b1a1a4dca39c9ae75ed7f80a29ffd9739fc680a7

3、清理镜像
docker image prune

使用Docker一段时间后，系统中可能会遗留一些临时的镜像文件，以及一些没有被使用的镜像，可以通过 docker image prune命令来进行清理.

$ docker image prune
WARNING! This will remove all dangling images.
Are you sure you want to continue? [y/N] yes
Total reclaimed space: 0B

8. 创建镜像

1、基于已有容器
docker commit 可以将我们在某个容器中进行操作后，基于此时的容器创建一个新的镜像。

基于 ubuntu:18.04 启动一个容器。

$ docker run -it ubuntu:18.04 /bin/bash
# 4a5842225d08 是容器的 ID
root@4a5842225d08:/# touch test
root@4a5842225d08:/# exit

然后我们基于刚刚修改的容器(4a5842225d08) 创建一个新的镜像 :

$ docker commit -m "add file" -a "tcl" 4a5842225d08  tcl/ubuntu
sha256:fa3a6546a57ba7def6026360c457fd4599bf2158b40d65683a0ae1c8c7e2eded

-m：提交的描述信息

-a：指定镜像作者

4a5842225d08：容器ID

tcl/ubuntu：指定要创建的目标镜像名

此时看下本地镜像列表，会发现新创建的镜像已经存在了:

$ docker images
REPOSITORY          TAG                 IMAGE ID            CREATED             SIZE
tcl/ubuntu          latest              fa3a6546a57b        3 minutes ago       64.2MB
ubuntu              18.04               4e5021d210f6        7 days ago          64.2MB
mysql               latest              2151acc12881        8 months ago        445MB
hello-world         latest              fce289e99eb9        15 months ago       1.84kB

试着用我们的新镜像 tcl/ubuntu 来启动一个新容器:

$ docker run -t -i tcl/ubuntu /bin/bash
root@3abde2f0dc03:/# ls | grep test
test
root@3abde2f0dc03:/#

2、基于 Dockerfile
docker build -t 镜像名称 . 会构建 Dockerfile 中的命令，来为我们生成一个新的镜像，. 指的是 Dockerfile 存放的文件夹。

我们需要创建一个 Dockerfile 文件，其中包含一组指令来告诉 Docker 如何构建我们的镜像。

Dockerfile 中的每一个指令都会在镜像上创建一个新的层,每一个指令的前缀都必须是大写的。

# FROM 指令指定使用哪个镜像源
FROM    busybox:latest
# RUN 指令告诉docker 在镜像内执行命令，安装了什么
RUN     touch test2
RUN     useradd tcl
EXPOSE  22
EXPOSE  80
CMD     /usr/sbin/sshd -D

现在编译 Dockerfile 来生成镜像：

$ docker build -t tcl/busybox  .
Sending build context to Docker daemon  260.8MB
Step 1/2 : FROM    busybox:latest
 ---> 6d5fcfe5ff17
Step 2/2 : RUN     touch test2
 ---> Using cache
 ---> f4a649b24963
Successfully built f4a649b24963
Successfully tagged tcl/busybox:latest

查看本地镜像列表，发现新创建的镜像已经存在了：

$ docker images | grep tcl
tcl/busybox                                                                         latest              f4a649b24963        4 minutes ago       1.22M

9. 镜像导入/导入

1、导出镜像
docker save -o 将指定镜像保存成 tar 归档文件。

# 导出本地的ubuntu:l8.04 镜像为文件 ubuntu_18_04.tar
$ docker save -o ubuntu_18_04.tar ubuntu:18.04

2、导入镜像
docker load -i 可以将我们刚刚创建的tar文件导入到本地镜像库。

$ docker images
REPOSITORY          TAG                 IMAGE ID            CREATED             SIZE
tcl/ubuntu          latest              fa3a6546a57b        About an hour ago   64.2MB
mysql               latest              2151acc12881        8 months ago        445MB
hello-world         latest              fce289e99eb9        15 months ago       1.84kB
$ docker load -i ubuntu_18_04.tar
Loaded image: ubuntu:18.04
$ docker images
REPOSITORY          TAG                 IMAGE ID            CREATED             SIZE
tcl/ubuntu          latest              fa3a6546a57b        About an hour ago   64.2MB
ubuntu              18.04               4e5021d210f6        7 days ago          64.2MB
mysql               latest              2151acc12881        8 months ago        445MB
hello-world         latest              fce289e99eb9        15 months ago       1.84kB

10. 上传镜像到仓库

docker push image:tag 可以将镜像上传至仓库。

$ docker push tcl/ubuntu:latest

默认上传到 Docker Hub 官方仓库(需要登录)，之后登录信息会记录到本地～/.docker目录下。

三、Docker 容器

1. 创建容器

1、docker create 新建容器

$ docker create -it ubuntu:18.04
f29b0aeac0d7bc6da265b774b33eb732fb3c521227f98df76e272a74c4ebce03
$  docker ps -a
# f29b0aeac0d7 这个容器的状态是 Created
CONTAINER ID        IMAGE               COMMAND         CREATED               STATUS    NAMES
f29b0aeac0d7        ubuntu:18.04        "/bin/bash"      About a minute ago   Created   pedantic_mcclintock
...

可以看到创建的 f29b0aeac0d7 这个容器的状态是 Created，docker create 新建的容器处于停止状态，可以使用 docker start 来启动容器。

注：docker ps 可以查看本地运行的容器，选项 -a 查看包括未运行的所有容器。

2、docker start 启动容器

$ docker start f2
f2
$ docker ps -a
CONTAINER ID        IMAGE               COMMAND         CREATED             STATUS          NAMES
f29b0aeac0d7        ubuntu:18.04        "/bin/bash"     7 minutes ago       Up 4 seconds    pedantic_mcclintock
...

启动后可以看到容器的状态由 Created 变为 up 了。

对于正在运行的容器，我们可以使用 docker restart 命令来重启。

3、docker run 创建并启动容器

docker run 命令等价于先执行 docker create 命令，再执行 docker start 命令。

$ docker run ubuntu /bin/echo "Hello World"
Hello World
# 没有运行中的容器
$ docker ps
CONTAINER ID        IMAGE    COMMAND    CREATED     STATUS      PORTS       NAMES

上面的命令输出 Hello World 之后容器会自动终止，还可以启动一个 bash 终端，允许用户进行交互。

-t：在新容器内指定一个伪终端或终端。

-i：允许你对容器内的标准输入 (STDIN) 进行交互。

$ docker run -i -t ubuntu /bin/bash
root@815899ca5d50:/# echo Hello World
Hello World
root@815899ca5d50:/# exit
exit
# exit 退出容器后,没有运行中的容器了
$ docker ps
CONTAINER ID        IMAGE    COMMAND    CREATED     STATUS      PORTS       NAMES

最后可以通过 exit 命令退出 bash进程之后，容器也会自动终止，如果你不想容器启动后退出，那么可以启动时指定以守护进程的方式运行容器。

4、以守护进程的方式运行容器

-d ：以守护态（ Daemonized ）形式运行，使用该参数启动容器后会进入后台，用户无法看到容器中的信息，也无法进行操作。

$ docker run -d -i -t ubuntu /bin/bash
24d4e15015966b2b95d3537687428a7703efb8596ba185e26623693abf6814df
# 可以看到启动在后台运行了
$ docker ps
CONTAINER ID        IMAGE            COMMAND             CREATED             STATUS           NAMES
24d4e1501596        ubuntu          "/bin/bash"         13 seconds ago      Up 11 seconds     peaceful_joliot
# 进入容器
$ docker attach 24d4e1
root@24d4e1501596:/# pwd
/
root@24d4e1501596:/#

5、docker logs 查询容器运行日志

-f ：类似 tail -f 输出容器内部的标准输出。

下面我们开两个终端。

终端 1 打印并持续监控日志：

# 终端1
$ docker logs -f 24d4e
root@24d4e1501596:/# pwd
/
root@24d4e1501596:/# exit
exit

终端 2 输出一些内容：

# 终端 2
$ docker attach 24d4e
root@24d4e1501596:/# echo 1223
1223
root@24d4e1501596:/#

接着我们观察终端 1 输出了终端 2 的操作日志：

# 终端 1
$ docker logs -f 24d4e
root@24d4e1501596:/# pwd
/
root@24d4e1501596:/# exit
exit
root@24d4e1501596:/# echo 1223
1223

2. 停止容器

1、docker pause 暂停容器

$ docker ps
CONTAINER ID        IMAGE       COMMAND             CREATED        STATUS          NAMES
24d4e1501596        ubuntu      "/bin/bash"         2 hours ago    Up 11 minutes   peaceful_joliot
$ docker pause 24d4e
24d4e
$ docker ps
CONTAINER ID        IMAGE       COMMAND             CREATED         STATUS                  NAMES
24d4e1501596        ubuntu      "/bin/bash"         2 hours ago     Up 12 minutes (Paused)  peaceful_joliot

可以看到暂停容器后，状态由 Up 变为了 Up (Paused) 了。

对处于暂停(pause)状态的容器，可以使用 unpause 来恢复到运行状态。

$ docker unpause 24d4e
24d4e
$ docker ps
CONTAINER ID        IMAGE       COMMAND             CREATED             STATUS           NAMES
24d4e1501596        ubuntu      "/bin/bash"         2 hours ago         Up 16 minutes    peaceful_joliot

2、docker stop 终止容器

$ docker ps
CONTAINER ID        IMAGE       COMMAND             CREATED             STATUS          NAMES
24d4e1501596        ubuntu      "/bin/bash"         2 hours ago         Up 16 minutes   peaceful_joliot
$ docker stop 24d4e
24d4e
$ docker ps -a
CONTAINER ID        IMAGE   COMMAND         CREATED         STATUS                      NAMES
24d4e1501596        ubuntu  "/bin/bash"     2 hours ago     Exited (0) 25 seconds ago   peaceful_joliot

对于终止的容器，可以使用 docker start 再次启动；而运行 docker container prune 命令会自动清除掉所有处于停止状态的容器。

3. 进入运行中的容器

1、docker attach 容器ID

$ docker attach 24d4e
root@24d4e1501596:/#

使用 attach 命令有时候并不方便，当多个窗口同时 attach 到同一个容器的时候，所有窗口都会同步显示；当某个窗口因命令阻塞时，其他窗口也无法执行操作了。

2、docker exec 容器ID

docker exec 是更为推荐的一种进入容器的方式，它会打开一个新的 bash 终端，在不影响容器内其他应用的前提下，用户可以与容器进行交互。

$ docker exec -it 24d /bin/bash
root@24d4e1501596:/#

4. 删除容器

docker rm 容器ID

$ docker ps
CONTAINER ID        IMAGE       COMMAND       CREATED             STATUS               NAMES
62bc0d820770        ubuntu      "/bin/bash"   11 minutes ago      Up 6 minutes         boring_haibt
24d4e1501596        ubuntu      "/bin/bash"   3 hours ago         Up 5 minutes         peaceful_joliot
$ docker rm 62bc
# 报错：无法删除运行中的容器
Error response from daemon: You cannot remove a running container 62bc0d82077055070f4af232e40cb595a289af0035b2623388c60766d998eafe. Stop the container before attempting removal or force remove
$ docker stop 62bc
62bc
$ docker rm 62bc
62bc
$ docker ps
CONTAINER ID        IMAGE       COMMAND     CREATED             STATUS          NAMES
24d4e1501596        ubuntu      "/bin/bash" 3 hours ago         Up 6 minutes    peaceful_joliot

默认情况下，docker rm 命令只能删除已经处于终止或退出状态的容器，并不能删除还处于运行状态的容器。

5. 导入和导出容器

某些时候，需要将容器从一个系统迁移到另外一个系统，此时可以使用 Docker 的导人和导出功能，这也是 Docker 自身提供的一个重要特性。

1、docker export -o 导出文件名容器ID

导出容器是指，导出一个已经创建的容器到一个文件，不管此时这个容器是否处于运行状态。

$ docker export -o ubuntu_run.tar 24d4e
# 也可以通过重定向的方式导出
$ docker export 24d4e > ubuntu_run.tar

2、docker import 导入容器

import 命令本质是导入一个容器快照(tar文件)到本地镜像库。

$ docker import ubuntu_run.tar  ubuntu_bak:v1.0
sha256:bf6fc6001204dee561a2b1aedc4df033a5ea47b765331a0e6388ef407a6afbbe
E:\>docker images
REPOSITORY          TAG                 IMAGE ID            CREATED             SIZE
ubuntu_bak          v1.0                bf6fc6001204        11 seconds ago      64.2MB
tcl/ubuntu          latest              fa3a6546a57b        46 hours ago        64.2MB
ubuntu              18.04               4e5021d210f6        9 days ago          64.2MB
...

docker load 命令也可以用来导入镜像存储文件到本地镜像库，而容器快照与镜像存储文件的区别在于：

容器快照文件将丢弃所有的历史记录和元数据信息（即仅保存容器当时的快照状态），而镜像存储文件将保存完整记录，体积更大；此外，从容器快照文件导人时可以重新指定标签等元数据信息。

6. 查看容器

1、docker container inspect 容器ID 查看容器详情

$ docker container inspect 24d
[
    {
        "Id": "24d4e15015966b2b95d3537687428a7703efb8596ba185e26623693abf6814df",
        "Created": "2020-03-30T03:56:51.7247327Z",
        "Path": "/bin/bash",
        "Args": [],
        "State": {
            "Status": "running",
            "Running": true,
            "Paused": false,
            "Restarting": false,
            "OOMKilled": false,
            "Dead": false,
...

2、docker top 容器ID 查看容器内的进程

类似于 Linux 系统中的 top 命令，会打印出容器内的进程信息，包括 PID 用户、时间、命令等。

$ docker top 24d
PID                 USER                TIME                COMMAND
5259                root                0:00                /bin/bash

3、docker stats 容器ID 查看统计信息

docker stats 命令会显示 CPU 、内存、存储、网络等使用情况的统计信息。

$ docker container stats 24d

7. 其他容器命令

1、docker cp 宿主机文件容器ID:容器文件 在容器和主机之间复制文件

复制宿主机文件到容器：

$ docker cp ubuntu_run.tar 24d:/tmp/
$ docker attach 24d
root@24d4e1501596:/# ll /tmp/
total 65032
drwxrwxrwt 1 root root     4096 Mar 30 08:53 ./
drwxr-xr-x 1 root root     4096 Mar 30 03:56 ../
-rw-r--r-- 1 root root        0 Mar 30 08:53 test.txt
-rwxr-xr-x 1 root root 66583040 Mar 30 08:19 ubuntu_run.tar*

复制容器文件到宿主机：

$ docker cp 24d:/tmp/test.txt .
$
$ ls | grep test.txt 
test.txt

2、docker diff 容器ID 看容器内文件系统的变更

$ docker diff 24d
C /tmp
A /tmp/ubuntu_run.tar
A /tmp/test.txt
C /root
A /root/.bash_history

3、docker port 容器ID 查看端口映射

$ docker container port test
9000/tcp - > o.o o 0:9000

4、docker update 更新配置
update 命令可以更新容器的一些运行时配置，主要是一些资源限制份额。

# 限制总配额为 1 秒，容器 test 所占用时间为 10%
$ docker update --cpu-quota 1000000 test
test
$ docker update --cpu-period 100000 test
test

四、Docker 仓库

1. 下载第三方镜像

docker 默认从 Docker Hub 中获取镜像，但如果你想从一些第三方下载镜像，则需要完整的写上镜像地址。
类似下载 git仓库 一样，如果需要下载第三方进行，完整的 docker 镜像地址格式应是下面这种。

<host>/<namespace>/<repository>:<tag>

例如下载 git 仓库：

git clone https://github.com/Node1650665999/DesignPatterns-php.git

所以当你需要从第三方下载镜像时，正确的方式应是这样：

# docker
docker pull index tenxcloud.com/docker_library/node:latest

2. 私有仓库搭建

1、使用 registry 镜像创建私有仓库

docker run -d -p 5001:5000 -v /data:/var/lib/registry registry:2

在本地启动一个私有仓库服务，监听端口为5001；默认情况下,仓库会被创建在容器的/var/lib/registry 目录下。可以通过 -v 参数来将镜像文件存放在本地的指定路径，这里将上传的镜像放到 /data 目录下。

仓库创建后我们去 /data 目录下查看，发现生成了docker目录：

$ ll /data
总用量 28
...
drwxr-xr-x  3 root  root  4096 4月   4 16:29 docker/
...

2、上传镜像到私有仓库

提交到私有仓库的镜像，必须要按如下格式进行创建：

docker tag IMAGE:[TAG] [私有仓库HOST/][USERNAME/]NAME[:TAG]

私有仓库HOST：指的是刚刚启动的地址，也是就　0.0.0.0:5001。

USERNAME：指的是你提交上去的镜像所在空间,对于我们刚映射的仓库目录，你镜像的在本地存储路径就是 /data/docker/registry/v2/repositories/USERNAME。

NAME:TAG : 指的是提交上去的镜像在私有仓库的名称及标签。

现在创建镜像：

docker tag ubuntu:latest 127.0.0.1:5001/tcl/myubuntu:v1

然后提交到私有仓库：

$ docker push 127.0.0.1:5001/tcl/myubuntu:v1 
The push refers to repository [127.0.0.1:5001/tcl/myubuntu]
16542a8fc3be: Layer already exists 
6597da2e2e52: Layer already exists 
977183d4e999: Layer already exists 
c8be1b8f4d60: Layer already exists 
v1: digest: sha256:e5dd9dbb37df5b731a6688fa49f4003359f6f126958c9c928f937bec69836320 size: 1152

然后我们从私有仓库尝试下载该镜像：

$ docker rmi 127.0.0.1:5001/tcl/myubuntu:v1 
...
$ docker pull 127.0.0.1:5001/tcl/myubuntu:v1
v1: Pulling from tcl/myubuntu
Digest: sha256:e5dd9dbb37df5b731a6688fa49f4003359f6f126958c9c928f937bec69836320
Status: Downloaded newer image for 127.0.0.1:5001/tcl/myubuntu:v1
127.0.0.1:5001/tcl/myubuntu:v1
$ docker images | grep myubuntu
127.0.0.1:5001/tcl/myubuntu   v1                  4e5021d210f6        2 weeks ago         64.2MB

最后我们运行下下载下来的这个镜像，发现是可用的：

tcl@tcl:~$ docker run -it 127.0.0.1:5001/tcl/myubuntu:v1 /bin/bash
root@e265e18c0e63:/#

五、Docker 数据管理

通常情况下运行环境和数据是进行分开管理的，以便数据迁移和持久化，或者是在多个容器之间进行数据共享,这必然涉及容器的数据管理操作。

docker 中的数据管理主要有如下两种方式：

数据卷 ( Data Volumes ) : 容器内数据直接映射到本地主机环境。

数据卷容器( Data Volume Containers ) : 使用特定容器维护数据卷。

1. 数据卷

数据卷 是一个可供容器使用的特殊目录,它将主机操作系统目录直接映射进容器,类似于 Linux 中的 mount 行为。

在使用 docker run 命令的时候,可以使用 -mount 选项来使用数据卷.

-mount 选项支持三种类型的数据卷 :

volume : 普通数据卷,映射到主机 /var/lib/docker/volumes 路径下.

bind : 绑定数据卷,映射到主机指定路径下.

mpfs :临时数据卷,只存在于内存中.

//绑定本地目录　/webapp　到容器目录　/opt/python 
docker run webapp -d -P --name web -mount type=bind,source=/webapp,destination=/opt/python app.py

bind 类型等同于使用 -v 来映射主机目录：

docker run -d -P --name web - v /webapp:/opt/webapp training/webapp python app.py

Docker 挂载数据卷的默认权限是读写(rw),用户也可以通过 ro 指定为只读 :

$ docker　run -d -P --name web -v /webapp:/opt/webapp:ro training/webapp python app.py

为了避免出现不必要的错误，如果要挂载文件，推荐是方式是挂载文件所在的目录到容器而非文件本身。但如果非要挂载单一文件需注意：host 中的源文件必须要存在，不然会当作一个新目录挂载给容器。

2. 数据卷容器

数据卷容器用来在多个容器间共享数据，数据卷容器也是一个容器,但是它的目的是专门提供数据卷给其他容器挂载。

创建一个数据卷容器 data-center 并在其中创建一个数据卷 /dbdata。

$ docker run -it -v /dbdata --name data-center ubuntu
root@05b69d2ca62e:/# ls | grep dbdata
dbdata
root@05b69d2ca62e:/#

然后在其他容器中通过　--volumes-from 来挂载 data-center 容器中的数据卷。

// 容器 db1 和 db2 都挂载 data-center 容器的数据卷 /dbdata
docker run -it --volumes-from data-center --name db1 ubuntu
docker run -it --volumes-from data-center --name db2 ubuntu

注意：使用 --volumes-from 被挂载的数据卷容器自身并不需要保持在运行状态。

此时, 容器 dbl 和 db2 都挂载同一个数据卷到相同的 /dbdata 目录,三个容器任何一方在该目录下的写人,其他容器都可以看到。

例如在 data-center 容器中我们创建一个文件：

root@05b69d2ca62e:/# touch /dbdata/test
root@05b69d2ca62e:/#    
root@05b69d2ca62e:/# ll /dbdata/
-rw-r--r-- 1 root root    0 Apr  4 13:38 test

然后在 db1 容器中查看：

$ docker exec -it db1 /bin/bash
root@ef97998ef46e:/# ll | grep dbdata 
drwxr-xr-x   2 root root 4096 Apr  4 13:38 dbdata/
root@ef97998ef46e:/#

还可以多次使用 --volumes-from　参数来从多个容器挂载多个数据卷,还可以从其他已经挂载了容器卷的容器来挂载数据卷 :　

docker run -d --name db3 --volumes-from dbl ubuntu

如果要删除一个数据卷,必须在删除最后一个还挂载着它的容器时显式使用 docker rm　-v 命令来指定同时删除关联的容器。

3. 利用数据卷容器来迁移数据

1、备份

$ docker run --volumes-from data-center -v $(pwd):/backup --name worker ubuntu tar cvf /backup/backup.tar /dbdata
tar: Removing leading `/' from member names
/dbdata/
/dbdata/test
$　ls | grep backup
backup.tar

这个命令说明如下:

首先利用 ubuntu 镜像创建了一个容器 worker 。
使用 --volumes-from dbdata 参数来让 worker 容器挂载 data-center 容器的数据卷(即 dbdata 数据卷);
使用 -v $(pwd):/backup 来挂载本地的当前目录到 worker 容器的 /backup 目录;
然后worker 容器启动后,使用 tar cvf /backup/backup.tar /dbdata 命令将 /dbdata 下内容备份为容器内的 /backup/backup.tar ,即宿主主机当前目录下的 backup.tar。

2、恢复

首先创建一个带有数据卷的容器 data-center:

$ docker run -v /dbdata --name data-center ubuntu /bin/bash

然后创建另一个新的容器,挂载 data-center 的容器,然后解压备份文件，这样数据就会恢复到所挂载的容器卷中:

$　docker run --volumes-from data-center -v $(pwd):/backup busybox tar xvf /backup/backup.tar

六、端口映射与容器互联

1. 端口映射

端口映射指的是映射容器内应用的服务端口到本地宿主机，这样通过宿主机就能访问容器内部。

可以通过-P或-p参数来指定端口映射。当使用 -P(大写的)标记时, Docker 会随机映射一个 49000-49900 的端口到内部容器开放的网络端口。

$ docker run -d -P nginx
$ docker ps
CONTAINER ID    IMAGE   COMMAND 　CREATED 　STATUS  　PORTS   NAMES
ee861ee59e78    nginx   "nginx -g 'daemon of…"   5 minutes ago       Up 5 minutes  0.0.0.0:1024->80/tcp   zen_meitner

可以看到本机 1024 端口被映射到了容器 80 端口。

如果你不想自动分配端口,那么可以使用-p(小写)来手动进行端口映射，支持的格式有：

HostIP:HostPort:ContainerPort: 意为绑定指定地址指定端口到容器端口。

HostIP::ContainerPort：意为绑定某个地址任意端口到容器端口。

HostPort:ContainerPort: 意为绑定本地所有地址的端口到容器端口。

docker run -d -p 127.0.0.1:5000:5000 training/webapp python app.py
docker run -d -p 127.0.0.1::5000 training/webapp python app.py
docker run -d -p 5000:5000 -p 3000:80 training/webapp python app.py

容器的端口绑定情况可以使用　docker port 查看：

$ docker port zen_meitner
80/tcp -> 0.0.0.0:1024

2. 容器互联

容器的互联(link)是一种让多个容器中的应用进行快速交互的方式。它会在源和接收容器之间创建连接关系,接收容器可以通过容器名快速访问到源容器,而不用指定具体的IP地址。

使用 --link 参数可以实现容器间的互联。

先创建一个数据库容器,我们使用 --name 参数对容器进行命名：

$ docker run -d --name db training/postgres

然后创建一个web容器,并将它连接到 db 容器：

$ docker run -d -P --name web --link db:db training/webapp python app.py

--link参数的格式为： --link name:alias, 其中 name 是要链接的容器的名称,alias是别名。

至此，db容器和web容器建立互联关系,使用 docker ps 查看如下：

$ docker ps
CONTAINER ID   IMAGE    COMMAND  CREATED    STATUS   PORTS   NAMES
1044806a4cf2 training/webapp  "/bin/bash"   2 minutes ago  Up 2 minutes        5000/tcp  web
d8cb8ac7b916 training/postgres "su postgres -c '/us…"   12 hours ago        Up 12 hours  5432/tcp   db

我们查看下　web 容器的 hosts 文件，发现其配置了 db　容器的连接信息：

root@1044806a4cf2:/opt/webapp# cat /etc/host
host.conf  hostname   hosts      
root@1044806a4cf2:/opt/webapp# cat /etc/hosts 
127.0.0.1   localhost
172.17.0.3  db d8cb8ac7b916
172.17.0.4  1044806a4cf2

web 容器用自己的 id 作为默认主机名, 而　db　容器我们则可以通过容器名或id来连接，我们试着 ping 一下　db 容器。

root@1044806a4cf2:/opt/webapp# ping d8cb8ac7b916
PING db (172.17.0.3) 56(84) bytes of data.
64 bytes from db (172.17.0.3): icmp_seq=1 ttl=64 time=0.229 ms
64 bytes from db (172.17.0.3): icmp_seq=2 ttl=64 time=0.131 ms
64 bytes from db (172.17.0.3): icmp_seq=3 ttl=64 time=0.148 ms
64 bytes from db (172.17.0.3): icmp_seq=4 ttl=64 time=0.161 ms
...

所以容器互联的好处在于在两个互联的容器之间创建了一个虚拟通道，而且不用映射它们的端口到宿主机上，在启动　db　容器的时候并没有使用-p和-P标记, 从而避免了暴露数据库服务端口到外部网络上。

七、Dockerfile

Dockerfile是一个包含用于组合镜像的命令的文本文档。可以使用在命令行中调用任何命令。 Docker通过读取Dockerfile中的指令自动生成映像。

docker build -f /path/to/a/Dockerfile

1. Dockerfile 基本结构

Dockerfile 主体内容分为四部分：

基础镜像信息

维护者信息

镜像操作指令

容器启动时执行指令

#=================基础镜像信息==========================
FROM ubuntu:xeniel
#=================维护者信息=============================
LABEL maintainer docker user<docker user@email.com>
#==================镜像操作指令==========================
RUN apt-get update && apt-get install -y nginx
RUN echo "\ndaemon off;" >> /etc/nginx/nginx.conf
#==================容器启动时执行指令====================
CMD /usr/sbin/nginx

2. Dockerfile 指令说明

Dockerfile 中指令的一般格式为 INSTRUCTION arguments, 包括配置指令(配置镜像信息）和操作指令(具体执行操作)。

配置指令

1、ARG
定义创建镜像过程中使用的变量，在执行docker build 时，可以通过 -build-arg[=] 来为变量赋值。当镜像编译成
功后，ARG 指定的变量将不再存在(ENV 指定的变量将在镜像中保留）。

格式：
    ARG <name>[=<default value>]
示例：
    ARG site
    ARG build_user=www

2、FROM
指定基础镜像，必须为Dockerfile的第一个命令。

格式：
　　FROM <image>
　　FROM <image>:<tag>
　　FROM <image>@<digest>
示例：
　　ARG VERSION=9.3
    FROM debian:${VERSION}

3、LABEL
LABEL 指令可以为生成的镜像添加元数据标签信息。这些信息可以用来辅助过滤出特定镜像。使用LABEL指定元数据时，一条 LABEL 指定可以指定一或多条元数据，指定多条元数据时不同元数据之间通过空格分隔。推荐将所有的元数据通过一条LABEL指令指定，以免生成过多的中间镜像。

格式：
    LABEL <key>=<value> <key>=<value> <key>=<value> ...
示例：
　　LABEL version="1.0" description="这是一个Web服务器"

4、EXPOSE
指定与外界交互的端口。

格式：
    EXPOSE <port> [<port/<protocol>... ]
示例：
    EXPOSE 22 80 8443
    EXPOSE 11211/tcp 11211/udp

注意：

该指令只是起到声明作用，并不会自动完成端口映射，如果要映射端口出来，在启动容器时可以使用-P 参数(Docker 主机会自动分配一个宿主机的临时端口）或 -p 参数(具体指定所映射的本地端口)来导出端口。

5、ENV
指定容器运行时的环境变量，在镜像生成过程中会被后续RUN指令使用，在镜像启动的容器中也会存在。指令指定的环境变量在运行时可以被覆盖掉，如 docker run --env <key>=<value> image。

格式：
    ENV <key> <value>  
    ENV <key>=<value>
示例：
    ENV APP_VERSION=l.0.0
    ENV APP_HOME=/usr/local/app
    ENV PATH $PATH:/usr/local/bin

6、ENTRYPOINT
指定镜像的默认入口命令，该入口命令会在启动容器时作为根命令执行，docker run 命令中指定的任何参数，都会被当做参数再次传递给 ENTRYPOINT。运行容器时可以被 docker run --entrypoint 覆盖掉。

注意：每个Dockerfile 中只能有一个 ENTRYPOINT, 当指定多个时，只有最后一个起效。

格式：
    ENTRYPOINT ["executable", "paraml ", "param2"]: exec 格式.
    ENTRYPOINT command param1 param2: shell 格式.
示例：
    FROM ubuntu
    ENTRYPOINT ["top", "-b"]

与CMD比较说明如下：

相同点：只能写一条，如果写了多条，那么只有最后一条生效；并且两者都是容器启动时才运行，运行时机相同。

不同点：ENTRYPOINT 不会被运行的 command 覆盖，而 CMD 则会被覆盖。

如果我们在Dockerfile种同时写了 ENTRYPOINT 和 CMD，并且CMD指令不是一个完整的可执行命令，那么CMD指定的内容将会作为ENTRYPOINT的参数：

FROM ubuntu
ENTRYPOINT ["top", "-b"]
CMD ["-c"]
# 最终的命令会是 top -b -c

如果我们同时写了ENTRYPOINT和CMD，并且CMD是一个完整的指令，那么它们两个会互相覆盖，谁在最后谁生效：

FROM ubuntu
ENTRYPOINT ["top", "-b"]
CMD ls -al
# 那么将执行ls -al ,top -b不会执行

ENTRYPOINT 在 exec 和 shell 下的区别：

exec：可通过 CMD 提供额外的参数,ENTRYPOINT 中的参数始终会被使用,而 CMD 的额外参数可以在容器启动时动态替换掉。

shell：ENTRYPOINT 的 Shell 格式会忽略任何 CMD 或 docker run 提供的参数。

更多关于 ENTRYPOINT 和 CMD 的区别见这里。

7、VOLUME
通过 VOLUME 指令可以在镜像中创建挂载点，这样只要通过该镜像创建的容器都有了挂载点(类似linux 下的 mount 机制)。

格式：
    VOLUME ["/path/to/dir"]
示例：
    VOLUME ["/data"]

VOLUME 只是创建了容器的挂载点，并没有指定关联的主机目录。对应的主机目录是自动创建的，位于目录 /var/lib/docker/volumes 下，docker 会自动绑定这个主机目录。

8、USER
指定运行容器时的用户名或urn,，后续的RUN等指令也会使用指定的用户身份，使用USER指定用户后，Dockerfile中其后的命令 RUN、CMD、ENTRYPOINT 都将使用该用户。运行容器时可以被 docker run -u 覆盖掉。

格式:
　　USER user
　　USER user:group
　　USER uid
　　USER uid:gid
　　USER user:gid
　　USER uid:group
 示例：
　　USER www

当服务不需要管理员权限时－，可以通过该命令指定运行用户，并且可以在Dockerfile 中创建所需要的用户：

RUN groupadd -r postgres && useradd --no-log-init -r -g postgres postgres

9、WORKDIR
类似于cd命令，为后续的RUN，CMD，ENTRYPOINT，ADD，COPY 等指令都会在该目录下执行。运行容器时可以被 docker run -w 覆盖掉。

格式：
    WORKDIR /path/to/workdir
示例：
    WORKDIR /a  (这时工作目录为/a)
    WORKDIR b  (这时工作目录为/a/b)
    WORKDIR c  (这时工作目录为/a/b/c)

10、ONBUILD
指定当基于所生成镜像创建子镜像时，自动执行的操作指令。ONBUILD 指令在创建专门用于自动编译、检查等操作的基础镜像时，十分有用。

格式：
　　ONBUILD [INSTRUCTION]
示例：
　　ONBUILD ADD . /app/src
　　ONBUILD RUN /usr/local/bin/python-build --dir /app/src

假设当前构建的镜像我们称其为 ParentImage:

# Dockerfile ParentImage
ONBUILD ADD . /app/src
ONBUILD RUN /usr/local/bin/python-build --dir /app/src

当有一个子镜像 ChildImage 使用 from 指令继承它时，会首先执行 ParentImage 中配置的ONBUI LD 指令：

#Dockerfile Childimage
FROM Parentimage

11、STOPSIGNAL
指定所创建镜像启动的容器接收退出的信号值。

STOPSIGNAL signal

12、HEALTHCHECK
配置所启动容器如何进行健康检查（如何判断健康与否)。

格式：
    HEALTHCHECK [OPTIONS] CMD command ：根据所执行命令返回值是否为 0 来判断；
    HEALTHCHECK NONE ：禁止基础镜像中的健康检查。
OPTIONS 支持如下参数：
    -interval = DURATION (default:30s）： 过多久检查一次；
    -timeout  = DURATION (default:30s）： 每次检查等待结果的超时；
    -retries  = N (default:3）：如果失败了，重试几次才最终确定失败。

13、SHELL
指定其他命令使用shell 时的默认shell 类型。

格式：
    SHELL [executable, parameters]
示例：
    SHELL ["/bin/bash", "-c"]

操作指令

1、 RUN
构建镜像时执行的命令。

注意：每条 RUN 指令将在当前镜像基础上执行指定命令，并提交为新的镜像层，过多无意义的层，会造成镜像膨胀过大，因此建议将多条 RUN 指令合成一条。

格式：
    RUN <command> : shell 格式.
    RUN ["command", "param1", "param2"] : exec 格式.
示例
    RUN /bin/bash -c 'source $HOME/.bashrc; echo $HOME'
    RUN ["/bin/bash", "-c", "echo hello"]

exec 和 shell 的区别：

shell 格式：底层会调用 /bin/sh -c command 来包装下命令，而不是直接运行命令。

exec 格式：直接运行 command，不会被 bash -c 包装。

CMD 和 ENTRYPOINT 推荐使用 Exec 格式，因为指令可读性更强，更容易理解。RUN 则两种格式都可以。

将多条 RUN 指令合成一条：

FROM centos
RUN yum install wget
RUN wget -O redis.tar.gz "http://download.redis.io/releases/redis-5.0.3.tar.gz"
RUN tar -xvf redis.tar.gz
# 以上执行会创建 3 层镜像,可以使用 && 符号连接多条命令,这样只会创建 1 层镜像：
FROM centos
RUN yum install wget \
    && wget -O redis.tar.gz "http://download.redis.io/releases/redis-5.0.3.tar.gz" \
    && tar -xvf redis.tar.gz

2、CMD
启动容器时默认执行的命令。

注意：每个Dockerfile 只能有一条CMD 命令，如果指定了多条命令，只有最后一条会被执行。
如果用户启动容器时候手动指定了运行的命令（作为run 命令的参数），则会覆盖掉 CMD 指定的命令。

格式：
    CMD ["executable","param1","param2"] : exec 方式
    CMD ["param1","param2"] : 提供给 ENTRYPOINT 的默认参数，此时 ENTRYPOINT 必须使用 Exec 格式
    CMD command param1 param2 : shell 方式
示例：
    CMD echo "This is a test." | wc -
    CMD ["/usr/bin/wc","--help"]

如果你在启动容器时手动运行了 echo "This is a test." | wc - 则会覆盖如上的 CMD 指令：

docker run ubuntu /bin/echo "This is a test." | wc -

3、ADD
将本地文件添加到容器中，tar类型文件会自动解压，src 还可以是一个 URL，此时的 ADD 相当于 wget。

注意：如果 src 是相对路径，那么这个目录相对的是 Dockerfile 所在的目录。同理，如果 dest 是相对路径，则相对的是 WORKDIR。

格式：
    ADD <src> <dest>
    ADD ["<src>",... "<dest>"] 路径包含空格的话，使用这种方式
示例：
    ADD hom* /mydir/          # 添加所有以"hom"开头的文件
    ADD hom?.txt /mydir/      # ? 替代一个单字符,例如："home.txt"
    ADD test relativeDir/     # 添加 "test" 到 `WORKDIR`/relativeDir/
    ADD test /absoluteDir/    # 添加 "test" 到 /absoluteDir/

4、COPY
功能类似 ADD，但是是不会自动解压文件，也不能访问网络资源，当使用本地目录为源目录时，推荐使用COPY。

COPY <src> <dest＞

在 COPY 和 ADD 指令中选择的时候，可以遵循这样的原则：

所有的文件复制均使用 COPY 指令，仅在需要自动解压缩的场合使用 ADD。

3. 创建镜像

编写完成 Dockerfile 之后，可以通过 docker build 命令来创建镜像了。

格式：
docker build [选项] <上下文路径/URL/->
示例：
docker build https://github.com/tcl/xxx.git    # 从git仓库构建
docker build http://server/context.tar.gz      # 用给定的压缩包构建

该命令将读取指定路径下（包括子目录）的 Dockerfile，并将该路径下所有数据作为上下文(Context)发送给 Docker 服务端，可以将 Dockerfile 所在的目录看作是上下文目录。

注意：

a ：如果上下文过大，会导致发送大量数据给服务端，延缓创建过程。因此除非是生成镜像所必需的文件，不然不要放到上下文路径下。如果使用非上下文路径下的Dockerfile ，可以通过 -f 选项来指定其路径。

b：COPY 这类指令中的源文件的路径都是相对路径。 COPY ../package.json /app 或者 COPY /opt/xxxx /app 这类指令无法工作的原因，是因为这些路径已经超出了上下文的范围，Docker 引擎无法获得这些位置的文件。如果真的需要那些文件，应该将它们复制到上下文目录中去。

当然为了避免发送无用的上下文数据到 Docker 服务端，我们可以使用 .dockerignore 文件来忽略不需要的数据。

//dockerignore 文件中可以定义忽略模式
*/temp*
*/*/t emp*
tmp?
-*
Dockerfile
!README.md

＊表示任意多个字符。

？代表单个字符。

！表示不匹配（即不忽略指定的路径或文件)。

选项 -t 可以生成镜像的标签信息，该选项可以重复使用多次为镜像一次添加多个名称。

# 这里 Dockerfile 所在的上下文路径是 /tmp/docker_builder/
docker build -t nginx:test /tmp/docker_builder/

选择父镜像

通常情况下需要通过 FROM 指令来指定父镜像，父镜像是生成镜像的基础，会直接影响到所生成镜像的大小和功能。

父镜像一般有两种：

服务类镜像：nginx 、 redis 、 mongo 、mysql、php、python 等。

操作系统镜像：如 ubuntu 、debian 、centos 等，如果没有找到对应服务的镜像，这些操作系统的软件库为我们提供了更广阔的扩展空间。

除了选择现有镜像为基础镜像外，Docker 还存在一个特殊的镜像，名为 scratch 。这个镜像是虚拟的概念，并不实际存在，它表示一个空白的镜像。

对于 Linux 下静态编译的程序来说，并不需要有操作系统提供运行时支持，所需的一切库都已经在可执行文件里了，因此直接 FROM scratch 会让镜像体积更加小巧，因此使用Go语言开发的应用很多会使用这种方式来制作镜像。

示例

构建我们自己的 php-fpm 镜像：

# 从官方基础版本构建
FROM php:7.3.7-fpm
# 官方版本默认安装扩展: 
# Core, ctype, curl
# date, dom
# fileinfo, filter, ftp
# hash
# iconv
# json
# libxml
# mbstring, mysqlnd
# openssl
# pcre, PDO, pdo_sqlite, Phar, posix
# readline, Reflection, session, SimpleXML, sodium, SPL, sqlite3, standard
# tokenizer
# xml, xmlreader, xmlwriter
# zlib
# 更新为国内镜像
RUN mv /etc/apt/sources.list /etc/apt/sources.list.bak \
    && echo 'deb http://mirrors.163.com/debian/ stretch main non-free contrib' > /etc/apt/sources.list \
    && echo 'deb http://mirrors.163.com/debian/ stretch-updates main non-free contrib' >> /etc/apt/sources.list \
    && echo 'deb http://mirrors.163.com/debian-security/ stretch/updates main non-free contrib' >> /etc/apt/sources.list \
    && apt-get update
# bcmath, calendar, exif, gettext, sockets, dba, 
# mysqli, pcntl, pdo_mysql, shmop, sysvmsg, sysvsem, sysvshm 扩展
RUN docker-php-ext-install -j$(nproc) bcmath calendar exif gettext sockets dba mysqli pcntl pdo_mysql shmop sysvmsg sysvsem sysvshm iconv
# GD 扩展
RUN apt-get install -y --no-install-recommends libfreetype6-dev libjpeg62-turbo-dev libpng-dev \
    && rm -r /var/lib/apt/lists/* \
    && docker-php-ext-configure gd --with-freetype-dir=/usr/include/ --with-jpeg-dir=/usr/include/ \
    && docker-php-ext-install -j$(nproc) gd
# imagick 扩展
RUN export CFLAGS="$PHP_CFLAGS" CPPFLAGS="$PHP_CPPFLAGS" LDFLAGS="$PHP_LDFLAGS" \
    && apt-get install -y --no-install-recommends libmagickwand-dev \
    && rm -r /var/lib/apt/lists/* \
    && pecl install imagick-3.4.4 \
    && docker-php-ext-enable imagick
# mcrypt 扩展 
RUN apt-get install -y --no-install-recommends libmcrypt-dev \
    && rm -r /var/lib/apt/lists/* \
    && pecl install mcrypt-1.0.2 \
    && docker-php-ext-enable mcrypt
# Memcached 扩展 
RUN apt-get install -y --no-install-recommends libmemcached-dev zlib1g-dev \
    && rm -r /var/lib/apt/lists/* \
    && pecl install memcached-3.1.3 \
    && docker-php-ext-enable memcached
# redis 扩展
RUN pecl install redis-5.0.0 && docker-php-ext-enable redis
# opcache 扩展 
RUN docker-php-ext-configure opcache --enable-opcache && docker-php-ext-install opcache
# xdebug 扩展
RUN pecl install xdebug-2.7.2 && docker-php-ext-enable xdebug
# swoole 扩展
RUN pecl install swoole-4.4.0 && docker-php-ext-enable swoole
# 镜像信息
LABEL Author="tcl"
LABEL Version="v1.0"
LABEL Description="PHP7.3"

然后进入 Dockerfile 所在的目录，运行如下命令生成镜像：

$ docker build -t dungan/php7.3 .

八、其他杂项

端口和数据卷映射

一般我们映射如下几项：

将容器中的端口映射到宿主机上。

将容器中的网站目录映射到宿主机上。

将容器中的nginx的配置目录映射到宿主机上。

将容器中的mysql数据目录映射到宿主机上。

以 Nginx 为例：

将 nginx 的整个配置目录 copy 到本地一份，然后在运行的时候将目录绑定到 nginx 容器的配置目录，这样修改配置更加方便一些，将配置目录 copy 出来之后终止运行并删除容器。

docker run --name nginx -d nginx          #运行一个nginx容器
mkdir /mnt/d/docker                       #创建容器配置文件夹
docker cp nginx:/etc/nginx /mnt/d/docker  #复制nginx默认配置
docker cp nginx:/usr/share/nginx/html /mnt/d/docker/wwwroot  #复制站点
docker stop nginx                         #停止nginx容器
docker rm nginx                           #删除nginx容器