目录

一.批量删除镜像，容器

二.Docker 网络实现原理

随机映射端口（从32768开始）

访问自己：

在10服务器上配置路由转发：

指定映射端口：

查看容器的输出和日志信息：

将宿主机目标|文件挂载到容器的数据卷：

先在宿主机上添加文件：

​编辑

创建只能读的权限的容器：

创建共享数据卷容器的数据卷：​编辑

可实现在容器内通过目标容器名或连接别名与目标容器通信：

三.docker网络模式

设置容器的网络模式：

创建网络模式：

查看c1容器进程号：

查看c3容器进程号：

四.资源控制

1．CPU 资源控制

进入id号中,查看容器进程能够使用的最大CPU时间 cpu.cfs_quota_us 文件：

查看单个CPU调度周期时间 cpu.cfs_period_us文件：

进行CPU压力测试：

设置50%的比例分配CPU使用时间上限：

设置多个容器的CPU占用份额（只能在多个容器同时运行且CPU资源紧张时生效）：

分别进入容器，进行压力测试

​编辑​编辑​编辑

​编辑

​编辑

​编辑

​编辑

将t改为2：

​编辑

​编辑

设置容器绑定指定的CPU

---

一.批量删除镜像，容器

格式：docker rm [-f] 容器ID/名称

docker images | awk 'NR>=2{print "docker rmi "$3}' | bash

docker ps -a | awk 'NR>=2{print "docker rm "$1}' | bash    

docker rm $(docker ps -a -q)   ：批量清理后台停止的容器

二.Docker 网络实现原理

Docker使用Linux桥接，在宿主机虚拟一个Docker容器网桥(docker0)，Docker启动一个容器时会根据Docker网桥的网段分配给容器一个IP地址，称为Container-IP，同时Docker网桥是每个容器的默认网关。因为在同一宿主机内的容器都接入同一个网桥，这样容器之间就能够通过容器的 Container-IP 直接通信。
Docker网桥是宿主机虚拟出来的，并不是真实存在的网络设备，外部网络是无法寻址到的，这也意味着外部网络无法直接通过 Container-IP 访问到容器。如果容器希望外部访问能够访问到，可以通过映射容器端口到宿主主机（端口映射），即 docker run 创建容器时候通过 -p 或 -P 参数来启用，访问容器的时候就通过[宿主机IP]:[容器端口]访问容器。

随机映射端口（从32768开始）
 

docker run -d --name test1 -P nginx

访问自己：

另一台服务器访问会卡顿，需要开启路由转发：

在10服务器上配置路由转发：

再次访问：

指定映射端口：

docker run -d --name test2 -p 43000:80 nginx

查看容器的输出和日志信息：

docker logs 容器的ID/名称

将宿主机目标|文件挂载到容器的数据卷：

docker run -d  -v 宿主机绝对路径:容器绝对路径[:ro] ： 将宿主机目标|文件挂载到容器的数据卷：[权限]

docker run -d   --volumes-from 数据卷容器名 ：  共享数据卷容器的数据卷

先在宿主机上添加文件：

‘

进入容器test3中看下：

可以给文件进行写入查看：

 

创建只能读的权限的容器：

创建共享数据卷容器的数据卷：

可实现在容器内通过目标容器名或连接别名与目标容器通信：

docker run -d   --link 目标容器名:连接别名

docker inspect c1 |grep -i ipaddress

删除c1，在创建c1：

创建容器与目标容器通信：

三.docker网络模式

bridge

docker的默认网络模式。使用此模式的每个容器都有独立的网络命名空间namespace，即每个容器都有独立的IP、端口范围（每个容器可以用同一个端口）、路由、iptables规则等网络资源。
docker run [--network=bridge] ....

host

容器与宿主机共享网络namespace，即容器和宿主机使用同一个IP、端口范围（容器与宿主机或其它使用host模式的容器不能用同一个端口）、路由、iptables规则等网络资源。
docker run --network=host ....

container

和指定已存在的容器共享网络namespace，即这两个容器使用同一个IP、端口范围（容器与指定的容器不能用同一个端口）、路由、iptables规则等网络资源。
docker run --network=container:容器名|容器ID ....

none

每个容器都有独立的网络namespace，但是容器没有自己的eth0网卡、IP、端口等，只有lo网卡。
docker run --network=none ....

自定义网络

可以用来自定义创建一个网段、网桥、网络模式，从而可以创建容器时自定义容器IP
docker network create --subnet 自定义网段 --opt "com.docker.network.bridge.name"="自定义网桥名"  自定义网络模式名
docker run --network 自定义网络模式名  --ip 自定义容器IP ....

设置容器的网络模式：

docker run -d  --network bridge|host|none|container:容器名或ID

查看当前的网络模式：

删除所有容器：

创建网络模式：

默认bridge模式，container模式：

c2 与c1共享一个ip端口，c1的80端口开启了，c2就不行。

查看c1容器进程号：

docker inspect -f '{{.State.Pid}}'  容器名/id

创建c3：

查看ip号：

查看容器的进程、网络、文件系统等命名空间编号：

查看c3容器进程号：

none模式：

四.资源控制

Docker 通过 Cgroup 来控制容器使用的资源配额，包括 CPU、内存、磁盘三大方面， 基本覆盖了常见的资源配额和使用量控制。

cgroup资源限制（限制容器进程对CPU 内存 磁盘IO 等资源的最大使用量）

1．CPU 资源控制

设置CPU使用率上限：

Linux通过CFS（Completely Fair Scheduler，完全公平调度器）来调度各个进程对CPU的使用。CFS默认的调度周期是100ms。
我们可以设置每个容器进程的调度周期，以及在这个周期内各个容器最多能使用多少 CPU 时间。
 

docker run -itd --name test5 centos:7 /bin/bash

cd /sys/fs/cgroup/cpu/docker：查看容器的id位置

进入id号中,查看容器进程能够使用的最大CPU时间 cpu.cfs_quota_us 文件：

表示该cgroups限制占用的时间（微秒），默认为-1，表示不限制。

如果设为50000，表示占用50000/100000=50%的CPU。

查看单个CPU调度周期时间 cpu.cfs_period_us文件：

cpu分配的周期(微秒，所以文件名中用 us 表示），默认为100000。

进行CPU压力测试：

docker exec -it   容器名/id /bin/bash ：进入容器

写个脚本：

#!/bin/bash
i=0
while true
do
let i++
done

赋予权限：

执行脚本：

开个终端测试查看一下：

可以看到这个脚本占了很多的cpu资源。

设置50%的比例分配CPU使用时间上限：

可以重新创建一个容器并设置限额：

docker run -itd --name test6 --cpu-quota 50000 centos:7 /bin/bash

查看下test6的限额：

看下占用情况：

控制到50%左右。

设置多个容器的CPU占用份额（只能在多个容器同时运行且CPU资源紧张时生效）：

docker run  -itd --name 容器名  --cpu-shares 容器进程最大占用CPU的份额(值为1024的倍数)  镜像

分别进入容器，进行压力测试

测试：

将t改为2：

可以看到在 CPU 进行时间片分配的时候，容器 c2 比容器 c1 多一倍的机会获得 CPU 的时间片。

设置容器绑定指定的CPU

docker run -itd --name test8 -m 512m centos:7 /bin/bash

如果 --memory-swap 设置为 0 或者 不设置，则容器可以使用的 swap 大小为 -m 值的两倍。
如果 --memory-swap 的值和 -m 值相同，则容器不能使用 swap。
如果 --memory-swap 值为 -1，它表示容器程序使用的内存受限，而可以使用的 swap 空间使用不受限制（宿主机有多少 swap 容器就可以使用多少）。