Dockerfile Docker Compose（实战总结）

Dockerfile & Docker Compose（实战总结）

Dockerfile

Dockerfile 是用来构建Docker镜像文件，是由一条条构建镜像所需的指令构成的脚步。

步骤：

编写Dockerfile 文件
docker build 构建镜像
docker run 运行镜像
docker push 发布镜像

体系结构：

FROM：基础镜像，当前的镜像基于哪个镜像
MAINTAINER：镜像作者、邮箱
WORKDIR：设置工作目录，终端默认登陆进来的工作目录
EXPOSE：当前容器对外暴露的端口
USER：指定镜像以什么样的用户执行，默认是root
ENV：设置环境变量 (可以写多条)，构建镜像中的环境变量
ADD：将宿主机的文件复制到容器内，如果是一个压缩文件，将会在复制后自动解压
COPY：和ADD相似，但是如果有压缩文件并不能解压
VOLUME：容器数据卷，用于数据保存和持久化工作
RUN：容器构建时需要运行的命令，等同于操作shell脚步，例子：RUN yum -y install vim
CMD：指定一个容器启动时运行的命令，可以有多个CMD，但只有最后一个会生效。在构建容器时，会被 docker run 后面指定的参数覆盖。
ENTRYPOINT：和CMD相似，但是并不会被docker run指定的参数覆盖，而是追加参数
ONBUILD：当创建一个被继承的Dockerfile，会被触发，触发器

RUN和CMD的区别：

CMD是在docker run时运行
RUN是在docker build时运行

例子：构建JDK镜像

# 来自基础镜像
FROM centos:7
# 指定镜像创建者信息
MAINTAINER goodyan<good.qq.com>
# 切换工作目录 /usr/local
WORKDIR /usr/local
# 创建一个存放jdk的路径
RUN mkdir /usr/local/java
# 安装vim插件
RUN yum -y install vim
# 将jdk压缩包复制并解压到容器中/usr/local/java
ADD jdk-8u171-linux-x64.tar.gz /usr/local/java
# 配置java环境变量
ENV JAVA_HOME /usr/local/java/jdk1.8.0_171
ENV JRE_HOME $JAVA_HOME/jre
ENV CLASSPATH $JAVA_HOME/lib/dt.jar:$JAVA_HOME/lib/tools.jar:$JRE_HOME/lib:$CLASSPATH
ENV PATH $JAVA_HOME/bin:$PATH
CMD ["/bin/bash"]

构建镜像语法：

# -f 后可以省略，会生成在当前目录上
docker build -f / dockerfiel文件位置) -t 要生成的镜像名:[版本号] .
docker build -f /home/dockerdir/dockerfiel -t tomcatNew:1.0 .
# 查看是否构建成功
docker images

将本地镜像推送到阿里云镜像仓库

# 1.登录阿里云Docker Registry, 密码为开通服务时设置的密码
docker login --username=用户名 registry.cn-xxx(每个人地址不一样)
# 2.标记此镜像为阿里云仓库的镜像
docker tag [镜像id] registry.cn-xxxx.xxx.com/xxx/jdk:[镜像版本号]
# 3.提交 
docker push 镜像名:[镜像版本号]

Docker网络

容器间的互联和通信以及端口映射，容器IP变了可以通过服务名直接网络通信不受影响。Docker默认提供了3种网络模式，

bridge 默认的桥接模式，并将容器连接到一个docker0
host 容器将不会虚拟出自己的网卡，使用宿主机的IP和端口
container模式这个模式指定新创建的容器和已经存在的一个容器共享一个 Network Namespace
none 该Docker容器没有网卡、IP、路由等信息

基本命令：

# 查看ip
ifconfig 或者 ip addr# 查看docker网络模式列表
docker network ls# 创建新的网络
docker network create 网络名# 删除的网络名
docker network rm 网络名# 查看的网络名
docker network inspect 网络名# 连接络名
docker network connect 网络名# 中断络名
docker network disconnect 网络名# 查看某个容器的网关信息（倒数20行内）
docker inspect 容器id | tail -n 20
# 查看到bridge  就是桥接模式，Gateway：网关，IPAddress：ip（注意：这里的ip，每次创建/删除容器，IP会变）

桥接模式

# 查看的bridge 网络信息，通过grep 获取名称项目（默认是docker0）
docker network inspect bridge | grep name# 创建2个容器，后查看ip
ip addr
# 会看到多了很多veth的xxx，它们与eth0与匹配# 我们进入某个容器内部，再查看IP
ip addr
# 会看到etho的xxx 与外面的对应，一个容器内部的etho，对应外部的veth

host 模式

# 查看的bridge 网络信息，通过grep 获取名称项目（默认是docker0）
docker network inspect host# 它的容器里的IP和端口，与宿主机一致，创建容器的 -p 命令就会失效

自定义网络

# 可以解决，ping IP 和 ping 服务名 都可以成功# 创建新的网络(yan_work)
docker network create yan_work# 查看docker网络模式列表
docker network ls# 创建2个容器
docker run -it -p 8081:8080 --network yan_work --name tom81 镜像名:标签名 /bin/bash
docker run -it -p 8082:8080 --network yan_work --name tom82 镜像名:标签名 /bin/bash# 分别进入2个容器
docker exec -it 容器名称|容器id /bin/bash# 分别查看ip（查看它们是否处于同一网段上）
ip addr# 分别ping对应的ip地址，和服务名（是否ping成功，同一个网络会成功）
ping tom81
ping tom82

Docker部署

微服务打包Docker镜像

# 步骤1. 准备SpringBoot项目，进行打包
mvn package install# 步骤2. 启动命令，进行测试是否启动成功
windows系统启动：java -jar xxx.jar
Linux系统启动：nohup java -jar xxx.jar# 步骤3.创建dockerfiel文件，与jar包存在同一目录（vim Dockerfiel）
# Dockerfiel文件内容:
FROM java:8
COPY *.jar /app.jar
CMD ["--server.port=8080"]
EXPOSE 8080
ENTRYPOINT ["java","-jar","/app.jar"]# 步骤4.上传服务器，构建镜像
docker build -f /home/xxx/dockerfiel文件地址（如果在当前目录可省略-f）-p 端口映射 -t 镜像名:1.0 .# 步骤5.查看镜像
docker images# 步骤6.运行启动镜像
docker run -id --name=容器名 镜像名:标签名
或 docker run -d --name 容器名 -p 端口外:端口内 镜像名:标签名

IDEA集成Docker实现打包

步骤1：修改docker服务配置文件

# 修改配置文件
vim /lib/systemd/system/docker.service
# 修改内容
ExecStart=/usr/bin/dockerd -H tcp://0.0.0.0:2375 -H unix:///var/run/docker.sock
(修改ExecStart那行，并开启2375端口，0.0.0.0代表任何ip都可以访问)# 重新加载配置文件
systemctl daemon-reload
# 重启docker
systemctl restart docker.service
# 查看端口是否开启
netstar -nlpt   # 如果没有这个命令，安装插件 yum install net-tools
# 关闭防火墙 / 开发端口号的防火墙
firewall-cmd --list-ports # 查看
firewall-cmd --zone=public --add-port=2375/tcp --permanent # 设置
firewall-cmd --reload     # 重启

步骤2：IDEA工具配置连接Docker

步骤3：使用 docker-maven-plugin插件，实现自动化部署

修改pop.xml文件

<plugin><groupId>com.spotify</groupId><artifactId>docker-maven-plugin</artifactId><version>1.0.0</version><configuration><!--鏡像名字--><imageName>${docker.image.prefix}/${project.artifactId}</imageName><imageTags><imageTag>latest</imageTag>
<!--          <imageTag>${project.version}</imageTag>--></imageTags><baseImage>java</baseImage><maintainer>821521880@qq.com</maintainer><workdir>/ROOT</workdir><cmd>["java", "-version"]</cmd><entryPoint>["java", "-jar", "${project.build.finalName}.jar"]</entryPoint><!--连接Docker 输入对应的IP地址 --><dockerHost>http://123.56.94.235:2375</dockerHost><!-- 这里是复制 jar 包到 docker 容器指定目录配置 --><resources><resource><targetPath>/ROOT</targetPath><directory>${project.build.directory}</directory><include>${project.build.finalName}.jar</include></resource></resources></configuration>
</plugin>

然后我们执行打包命令，就在Docker服务生成镜像

mvn clean package docker:build

步骤4：打包自动化，自动化部署

<!-- 当执行打包命令，就自动执行 build语句 -在pop.xml文件里添加->
<executions><execution><id>build-image</id><phase>package</phase><goals><goal>build</goal></goals></execution></executions>

Docker认证命令配置

使用CA加密认证，访问Docker更加安全

创建ca文件夹，存放CA私钥/公钥

mkdir -p /usr/local/ca
cd /usr/local/ca/

生成私钥/公钥

openssl genrsa -aes256 -out ca-key.pem 4096# Enter pass phrase for ca-key.pem:
# 执行后，需要输入2次密码，设置密码openssl req -new -x509 -days 365 -key ca-key.pem -sha256 -out ca.pem
# 执行完，需要输入刚才设置的密码。
# 然后依次输入 1国家名字 cn 2省份名称 bj 3城市 bj 4组织名称 good ... 个人信息

生成server-key.pem文件

openssl genrsa -out server-key.pem 4096
# 执行完，/usr/local/ca 目录下会有3个文件

CA来签署公钥

openssl req -subj "/CN=IP地址(或者域名www.goodysr.cn)" -sha256 -new -key server-key.pem -out server.csr
# 例子
openssl req -subj "/CN=121.40.176.56" -sha256 -new -key server-key.pem -out server.csr

配置白名单

echo subjectAltName=IP:IP地址,IP:0.0.0.0 >> extfile.cnf
# 例子
echo subjectAltName = IP:121.40.176.56,IP:0.0.0.0 >> extfile.cnf

将Docker使用属性设置仅用于服务器身份验证

echo extendedKeyUsage = serverAuth >> extfile.cnf

生成签名证书

openssl x509 -req -days 365 -sha256 -in server.csr -CA ca.pem -CAkey ca-key.pem \-CAcreateserial -out server-cert.pem -extfile extfile.cnf# 执行完，要输入刚才设置的密码，输入密码

生成客户端的key.pem

openssl genrsa -out key.pem 4096openssl req -subj '/CN=client' -new -key key.pem -out client.csr

使用密钥适合客户端身份验证

echo extendedKeyUsage = clientAuth >> extfile.cnf# echo extendedKeyUsage = clientAuth >> extfile-client.cnf

生成cert.pem签名证书

openssl x509 -req -days 365 -sha256 -in client.csr -CA ca.pem -CAkey ca-key.pem \-CAcreateserial -out cert.pem -extfile extfile.cnf# 输入完，要设置密码

删除不需要的文件

rm -v client.csr server.csr

修改权限，避免密钥损坏

chmod -v 0400 ca-key.pem key.pem server-key.pem
chmod -v 0444 ca.pem server-cert.pem cert.pem

归集服务器证书

cp server-*.pem  /etc/docker/
cp ca.pem /etc/docker/# 以上两步操作都在ca文件夹内，如果当前不在ca文件夹，需加上路径
# 把证书复制到/etc/docker/目录下

修改Docker配置

vim /lib/systemd/system/docker.service
# 修改内容
ExecStart=/usr/bin/dockerd --tlsverify --tlscacert=/etc/docker/ca.pem \--tlscert=/etc/docker/server-cert.pem \--tlskey=/etc/docker/server-key.pem \-H tcp://0.0.0.0:2375 -H unix:///var/run/docker.sock# 重新加载配置文件
systemctl daemon-reload
# 重启docker
systemctl restart docker
# 开放2375端口
/sbin/iptables -I INPUT -p tcp --dport 2376 -j ACCEPT
# 查看信息
iptables-save
# 重启Docker
service docker restart

将服务器生成的私钥密钥，保存到本地环境

/usr/local/ca 目录下的 ca.pem ca-key.pem cert.pem key.pem 
保存到本地的 ca 目录下

Portainer图形化管理工具

下载portainer镜像

docker search portainer
docker pull portainer/portainer

启动镜像

docker run -d --name portainerUI -p 9000:9000 -v /var/run/docker.sock:/var/run/docker.sock portainer/portainer

开放端口号

firewall-cmd --list-ports
firewall-cmd --zone=public --add-port=9000/tcp --permanent
firewall-cmd --reload

访问9000地址

第一次登录需要创建用户，选择第一个。

Docker Compose

高效的管理容器，它是一个用于定义和运行多容器 Docker 的应用程序工具

安装

下载：https://github.com/docker/compose/releases

# 下载方式:
# 1.下载适应版本的 Compose
sudo curl -L https://github.com/docker/compose/releases/download/1.26.2/docker-compose-$(uname -s)-$(uname -m) -o /usr/local/bin/docker-compose
# 肯能网络原因，如果下载失败就下载另一个地址
sudo curl -L https://get.daocloud.io/docker/compose/releases/download/1.25.5/docker-compose-`uname -s`-`uname-m` > /usr/local/bin/docker-compose# 2.手动下载
# https://github.com/docker/compose/releases
# 下载 docker-compose-Linux-X86_64 文件，上传服务器 /usr/local/bin/ 目录下
# 重命名 docker-compose 
mv docker-compose-Linux-X86_64 docker-compose# 3.修改文件权限
chmod 777 docker-compose# 4.把文件方法bin目录下，配置可执行文件的系统变量，可以在任何目录下执行docker-compose命令
mv docker-compose /usr/local/bin/# 5.查看版本信息，看是否安装成功
docker-compose version

使用

创建容器

需要通过docker-compose.yml模板文件，定义一组相关的应用容器作为一个项目。

案例1管理一个tomcat、mysql：

version: '3'        # 表示该docker-compose.yml文件使用的是Version 2 file format
services:           # 为project定义服务。mysql:            # 定义服务名称，随便起名restart: always # 只要docker启动，容器就启动image: daocloud.io/library/mysql:5.7.6  # 指定镜像路径（默认官方镜像地址）container_name: mysql-3306              # 指定容器名字 --nameports:- 3306:3306                             # 端口号映射environment:MYSQL_ROOT_PASSWORD: root             # Mysql Root的密码TZ: Asiz/Shanghai                     # 指定时区volumes:- /opt/mysql/data:/var/lib/mysql        # 映射宿主机目录- /opt/mysql/conf/mysql.cnf:/etc/mysql/mysql.cong.d/mysql.cnftomcat:restart: always # 只要docker启动，容器就启动image: daocloud.io/library/tomcat:8.5.15-jre8  # 指定镜像路径（默认官方镜像地址）container_name: tomcat-8080              # 指定容器名字 --nameports:- 8080:8080                            # 端口号映射environment:TZ: Asiz/Shanghai                      # 指定时区volumes:- /opt/tomcat/webapps:/usr/local/tomcat/webapps    # 映射宿主机目录- /opt/tomcat/logs:/usr/local/tomcat/logs

操作：

# 启动（执行上面命令创建容器）
docker-compose -f 文件名.后缀(如果当前文件不再当前目录需要指定，可省略) up -d# 登录到容器中
docker-compose exec 容器名 bash# 停止所有容器
docker stop ${docker ps -qa}
docker-compose stop # 关闭所有容器# 删除docker-compose文件内所有容器
docker-compose down