docker mongdb openssl版本升级 docker版本更新

1、容器命令

新建启动容器

docker run [OPTIONS] IMAGE [COMMAND] [ARG...]

常用的参数：

● --name：为容器指定一个名称
 ● -d：后台运行容器并返回容器ID，也即启动守护式容器
 ● -i：以交互模式（interactive）运行容器，通常与-t同时使用
 ● -t：为容器重新分配一个伪输入终端（tty），通常与-i同时使用。也即启动交互式容器（前台有伪终端，等待交互）
 ● -e：为容器添加环境变量
 ● -P：随机端口映射。将容器内暴露的所有端口映射到宿主机随机端口
 ● -p：指定端口映射

-p指定端口映射的几种不同形式：

● -p hostPort:containerPort：端口映射，例如-p 8080:80
 ● -p ip:hostPort:containerPort：配置监听地址，例如 -p 10.0.0.1:8080:80
 ● -p ip::containerPort：随机分配端口，例如 -p 10.0.0.1::80
 ● -p hostPort1:containerPort1 -p hostPort2:containerPort2：指定多个端口映射，例如-p 8080:80 -p 8888:3306

启动交互式容器

docker run -it ubuntu /bin/bash

退出

方式1：exit

方式2：使用快捷键ctrl + P + Q

方式1 退出后，容器会停止；

方式2 退出后容器依然正在运行。

查看正在运行的容器

docker ps

常用参数：

● -a：列出当前所有正在运行的容器+历史上运行过的容器
 ● -l：显示最近创建的容器
 ● -n：显示最近n个创建的容器
 ● -q：静默模式，只显示容器编号

启动已经停止的容器

docker start 容器ID或容器名

重启容器

docker restart 容器ID或容器名

停止容器

docker stop 容器ID或容器名

强制停止容器

docker kill 容器ID或容器名

删除容器

删除已经停止的容器：

docker rm 容器ID或容器名

删除容器是 docker rm，删除镜像是 docker rmi，注意区分。
强制删除正在运行的容器：

docker rm -f 容器ID或容器名

一次删除多个容器实例：

docker rm -f ${docker ps -a -q}

# 或者
docker ps -a -q | xargs docker rm

查看容器日志

docker logs 容器ID或容器名

查看容器内运行的进程

docker inspect 容器ID或容器名

后台守护模式

docker run -d 容器

之前的前台交互式模式docker run -it redis:6.0.8缺点是如果命令行不小心关了，那么redis服务器也就关闭了

查看容器内部细节

docker inspect 容器ID或容器名

进入正在运行的容器

进入正在运行的容器，并以命令行交互：

docker exec -it 容器ID bashShell
//docker exec -it 8d51d21dbeae /bin/bash

重新进入：

docker attach 容器ID

docker exec 和 docker attach 区别：

● attach直接进入容器启动命令的终端，不会启动新的进程，用exit退出会导致容器的停止
● exec是在容器中打开新的终端，并且可以启动新的进程，用exit退出不会导致容器的停止

如果有多个终端，都对同一个容器执行了 docker attach，就会出现类似投屏显示的效果。一个终端中输入输出的内容，在其他终端上也会同步的显示。

容器和宿主机文件拷贝

容器内文件拷贝到宿主机：

docker cp 容器ID:容器内路径 目的主机路径

宿主机文件拷贝到容器中：

docker cp 主机路径 容器ID:容器内路径

导入和导出容器

export：导出容器的内容流作为一个tar归档文件（对应import命令）；
import：从tar包中的内容创建一个新的文件系统再导入为镜像（对应export命令）；
示例：

# 导出
# docker export 容器ID > tar文件名
docker export abc > aaa.tar

# 导入
# cat tar文件 | docker import - 自定义镜像用户/自定义镜像名:自定义镜像版本号
cat aaa.tar | docker import - test/mytest:1.0.1

将容器生成新镜像

docker commit提交容器副本使之成为一个新的镜像。

docker 启动一个镜像容器后， 可以在里面执行一些命令操作，然后使用docker commit将新的这个容器快照生成一个镜像。

docker commit -m="提交的描述信息" -a="作者" 容器ID 要创建的目标镜像名:[tag]

Docker挂载主机目录，可能会出现报错：cannot open directory .: Perission denied。

解决方案：在命令中加入参数 --privileged=true。

CentOS7安全模块比之前系统版本加强，不安全的会先禁止，目录挂载的情况被默认为不安全的行为，在SELinux里面挂载目录被禁止掉了。如果要开启，一般使用 --privileged=true，扩大容器的权限解决挂载没有权限的问题。也即使用该参数，容器内的root才拥有真正的root权限，否则容器内的root只是外部的一个普通用户权限。

容器数据卷

卷就是目录或文件，存在于一个或多个容器中，由docker挂载到容器，但不属于联合文件系统，因此能够绕过UnionFS，提供一些用于持续存储或共享数据。
特性：卷设计的目的就是数据的持久化，完全独立于容器的生存周期，因此Docker不会在容器删除时删除其挂载的数据卷。
特点：

• 数据卷可以在容器之间共享或重用数据
• 卷中的更改可以直接实施生效
• 数据卷中的更改不会包含在镜像的更新中
• 数据卷的生命周期一直持续到没有容器使用它为止

运行一个带有容器卷存储功能的容器实例：

docker run -it --privileged=true -v 宿主机绝对路径目录:容器内目录[rw | ro] 镜像名

可以使用docker inspect查看容器绑定的数据卷。

权限：

● rw：读写
● ro：只读。如果宿主机写入内容，可以同步给容器内，容器内可以读取。

容器卷的继承：

# 启动一个容器
docker run -it --privileged=true /tmp/test:/tmp/docker --name u1 ubuntu /bin/bash

# 使用 --volumes-from 继承 u1的容器卷映射配置
docker run -it --privileged=true --volumes-from u1 --name u2 ubuntu

所有命令示意图

2、镜像的分层概念

镜像

镜像是一种轻量级、可执行的独立软件包，它包含运行某个软件所需的所有内容，我们把应用程序和配置依赖打包好行程一个可交付的运行环境（包括代码、运行时需要的库、环境变量和配置文件等），这个打包好的运行环境就是image镜像文件。

Docker 镜像加载原理

联合文件系统
Docker 最早支持的stotage driver是 AUFS，它实际上由一层一层的文件系统组成，这种层级的文件系统叫UnionFS。

联合文件系统（UnionFS）：Union 文件系统，是一种分层、轻量级并且高性能的文件系统，它支持对文件系统的修改作为一次提交来一层层的叠加，同时可以将不同目录挂载到同一个虚拟文件系统下（unite serveral directories into a single virtual filesystem）。

Union文件系统是Docker镜像的基础。镜像可以通过分层来进行集成，基于基础镜像可以制作具体的应用镜像。

特性：一次同时加载多个文件系统，但从外面看起来，只能看到一个文件系统，联合加载会把各层文件系统叠加起来，这样最终的文件系统会包含所有底层的文件和目录。

bootfs和rootfs

bootfs（boot file system）主要包含 bootloader 和 kernel，bootloader主要是引导加载 kernel，Linux刚启动时会加载bootfs文件系统。

在Docker镜像的最底层是引导文件系统bootfs。这一层与我们典型的Linux/Unix系统是一样的，包含boot加载器和内核。当boot加载完成之后整个内核就都在内存中了，此时内存的使用权已经由 bootfs 转交给内核，此时系统也会卸载 bootfs。

rootfs（root file system），在bootfs之上，包含的就是典型Linux系统中的 /dev、/proc、/bin、/etc等标准目录和文件。rootfs就是各种不同的操作系统发行版，比如Ubuntu、CentOS等。

docker镜像底层层次：

对于一个精简的OS，rootfs可以很小，只需要包括最基本的命令、工具和程序库就可以了，因为底层直接使用Host的Kernel，自己只需要提供rootfs就可以。所以，对于不同的Linux发行版，bootfs基本是一致的，rootfs会有差别，不同的发行版可以共用bootfs。有差别的rootfs：

镜像分层

Docker支持扩展现有镜像，创建新的镜像。新镜像是从base镜像一层一层叠加生成的。

例如：

# Version: 0.0.1
FROM debian  # 直接在debain base镜像上构建
MAINTAINER mylinux
RUN apt-get update && apt-get install -y emacs # 安装emacs
RUN apt-get install -y apache2 # 安装apache2
CMD ["/bin/bash"] # 容器启动时运行bash

镜像创建过程：

镜像分层的优势

镜像分层的一个最大好处就是共享资源，方便复制迁移，方便复用。

容器层

当容器启动时，一个新的可写层将被加载到镜像的顶部，这一层通常被称为容器层，容器层之下的都叫镜像层。

所有对容器的改动，无论添加、删除、还是修改文件都只会发生在容器层中。

只有容器层是可写的，容器层下面的所有镜像层都是只读的。

如图：

3、commit命令集docker容器内执行上述两条命令：

apt-get update

apt-get -y install vim

提交命令

docker commit -m="提交描述信息" -a="作者" 容器ID 要创建的目标镜像名:[标签名]

4、本地镜像发布到阿里云

$ docker login --username=aliyun6205442764 registry.cn-hangzhou.aliyuncs.com
$ docker tag [ImageId] registry.cn-hangzhou.aliyuncs.com/aigugugz/myubuntu:[镜像版本号]
$ docker push registry.cn-hangzhou.aliyuncs.com/aigugugz/myubuntu:[镜像版本号]

测试：将原来的镜像删除，然后再从阿里云拉取镜像

$ docker pull registry.cn-hangzhou.aliyuncs.com/aigugugz/myubuntu:[镜像版本号]

5、容器卷

是什么？

简单来件就是类似于redis的RDB和AOF文件，用于数据备份持久化

能干嘛

• 将运用与运行的环境打包镜像，run后形成容器实例运行 ，但是我们对数据的要求希望是持久化的

Docker容器产生的数据，如果不备份，那么当容器实例删除后，容器内的数据自然也就没有了。

为了能保存数据在docker中我们使用卷。

特点：

1：数据卷可在容器之间共享或重用数据

2：卷中的更改可以直接实时生效，爽

3：数据卷中的更改不会包含在镜像的更新中

4：数据卷的生命周期一直持续到没有容器使用它为止

容器卷和主机互通互联

命令：

公式：docker run -it --privileged=true -v /宿主机目录:/容器内目录 镜像名
 //docker run -it --privileged=true -v /tmp/host_data:/tmp/docker_data --name=test ubuntu

注意·这里是互通的，在主机的/tmp/host_data下新建数据在容器内的/tmp/docker_data也会存在，即文件是互通共享的。

验证是否挂载成功

docker inspect 容器ID

数据同步

1 docker修改，主机同步获得

2 主机修改，docker同步获得

3 docker容器stop，主机修改，docker容器重启看数据是否同步。

容器卷的读写规则

docker run -it --privileged=true -v /tmp/host_data:/tmp/docker_data --name=test ubuntu

默认是读写都可以的，如果加了ro(read only)那就是容器内只读，不能写。

docker run -it --privileged=true -v /tmp/host_data:/tmp/docker_data:ro --name=test ubuntu

容器卷之间的继承