Docker使用
一、 Docker命令
1、基本命令
# docker version
========================================================
# docker info
查看docker详细信息
========================================================
# docker –help
查看docker 帮助命令
========================================================
# 容器详情
#docker network inspect bridge
查看容器的IP为 172.17.0.2
========================================================
2、镜像命令
# docker images
查看docker镜像
PEPOSITORY:镜像的仓库源
TAG:镜像的标签
IMAGE ID:镜像ID
CREATED:镜像创建时间
SIZE:镜像大小
同一个仓库源可以有多个TAG,表示这个仓库源的不同版本,我们使用REPOSITORY:TAG来定义不同的镜像。如果不指定一个镜像的版本标签,例如只使用tomcat,docker将默认使用tomcat:latest镜像
========================================================
# docker images -a
列出本地所有的镜像
docker images -p只显示镜像ID # docker images -q
这个指令很有用
========================================================
# docker images –digests
显示镜像的摘要信息
========================================================
# docker images –no-trunc
显示完整的镜像信息
========================================================
# docker search tomcat
从Docker Hub(阿里云镜像)上查找tomcat镜像
========================================================
# docker pull tomcat
从Docker Hub上下载tomcat镜像。等价于:docker pull tomcat:latest
========================================================
# docker rmi
docker rmi hello-world:latest 从Docker中删除hello-world镜像
# docker rmi -f hello-world 从Docker中强制删除hello-world镜像
# docker rmi -f hello-world nginx 从Docker中强制删除hello-world镜像和nginx镜像
# docker rmi -f $(docker images -q) 通过docker images -q查询到的镜像ID来删除所有镜像
========================================================
3、容器命令
新建容器
#docker run [OPTIONS] IMAGE根据镜像新建并启动容器。IMAGE是镜像ID或镜像名称
OPTIONS说明:
–name=“容器新名字”:为容器指定一个名称
-d:后台运行容器,并返回容器ID,也即启动守护式容器
-i:以交互模式运行容器,通常与-t同时使用
-t:为容器重新分配一个伪输入终端,通常与-i同时使用
-P:随机端口映射
-p:指定端口映射,有以下四种格式:
ip:hostPort:containerPort
ip::containerPort
hostPort:containerPort
containerPort
举例:
3.1) 启动容器时,选择一个端口映射到容器内部开放端口上
-p 小写p表示docker会选择一个具体的宿主机端口映射到容器内部开放的网络端口上。
-P 大写P表示docker会随机选择一个宿主机端口映射到容器内部开放的网络端口上。
[root@localhost ~]# docker run -it -d –name my-nginx -p 8088:80 nginx
[root@localhost ~]# docker run -it -d –name my-nginx2 -P nginx
由上面可知:
容器my-nginx启动时使用了-p,选择宿主机具体的8088端口映射到容器内部的80端口上了,访问http://localhost/8088即可
curl 127.0.0.1:8088 curl localhost:8088 curl 192.168.110.128:8088 都可以访问。
容器my-nginx2启动时使用了-P,选择宿主机的一个随机端口映射到容器内部的80端口上了,这里随机端口是49153,访问http://localhost/49153即可
测试:
3.2)启动创建时,绑定外部的ip和端口(宿主机ip是192.168.110.128)
[root@localhost ~]# docker run -it -d –name my-nginx3 -p 127.0.0.1:8888:80 nginx
[root@localhost ~]# docker run -it -d –name my-nginx4 -p 192.168.110.128:9999:80 nginx
由上面可知:
容器my-nginx3绑定的宿主机外部ip是127.0.0.1,端口是8888,则访问http://127.0.0.1:8888或http://localhost:8888都可以,访问http://192.168.110.128:8888就会拒绝!
容器my-nginx4绑定的宿主机外部ip是192.168.110.128,端口是9999,则访问http://192.168.110.128:9999就可以,访问http://127.0.0.1:9999或http://localhost:9999就会拒绝!
3.3) 查看容器绑定和映射的端口及Ip地址
[root@localhost ~]# docker port my-nginx4
80/tcp -> 192.168.110.128:9999
[root@localhost ~]# docker inspect my-nginx4 | grep IPAddress
“SecondaryIPAddresses”: null,
“IPAddress”: “172.17.0.5”,
“IPAddress”: “172.17.0.5”,
3.4)容器启动绑定多IP和端口(跟多个-p)
[root@localhost ~]# docker run -it -d –name my-nginx5 -p 192.168.110.128:7777:80 -p 127.0.0.1:7788:80
3.5)容器除了在启动时添加端口映射关系,还可以通过宿主机的iptables进行nat转发,将宿主机的端口映射到容器的内部端口上,这种方式适用于容器启动时没有指定端口映射的情况!
[root@localhost ~]# docker run -it -d –name my-nginx6 nginx
这个时候,由于容器my-nginx6在启动时没有指定其内部的80端口映射到宿主机的端口上,所以默认是没法访问的!
现在通过宿主机的iptables进行net转发来解决。
首先获得容器的ip地址
[root@localhost ~]# docker inspect my-nginx6 | grep IPAddress
“SecondaryIPAddresses”: null,
“IPAddress”: “172.17.0.7”,
“IPAddress”: “172.17.0.7”,
[root@localhost ~]# ping 172.17.0.7
PING 172.17.0.7 (172.17.0.7) 56(84) bytes of data.
64 bytes from 172.17.0.7: icmp_seq=1 ttl=64 time=0.105 ms
64 bytes from 172.17.0.7: icmp_seq=2 ttl=64 time=0.061 ms
…
[root@docker-test ~]# telnet 172.17.0.7 80
Trying 172.17.0.7…
Connected to 172.17.0.7.
Escape character is ‘^]’
centos7下部署iptables环境纪录(关闭默认的firewalle)
参考:http://www.cnblogs.com/kevingrace/p/5799210.html
将容器的80端口映射到dockers宿主机的9998端口
[root@localhost ~]# iptables -t nat -A PREROUTING -p tcp -m tcp –dport 9998 -j DNAT –to-destination 172.17.0.7:80
[root@localhost ~]# iptables -t nat -A POSTROUTING -d 172.17.0.7/32 -p tcp -m tcp –sport 80 -j SNAT –to-source 192.168.110.128
[root@localhost ~]# iptables -t filter -A INPUT -p tcp -m state –state NEW -m tcp –dport 9998 -j ACCEPT
保存以上iptables规则
[root@localhost ~]# iptables-save > /etc/sysconfig/iptables
查看/etc/sysconfig/iptables文件,注意下面两行有关icmp-host-prohibited的设置一定要注释掉!否则nat转发会失败!
[root@docker-test ~]# cat /etc/sysconfig/iptables
[root@localhost ~]# cat /etc/sysconfig/iptables
# Generated by iptables-save v1.4.21 on Sun Jan 17 20:49:29 2021
*filter
:INPUT ACCEPT [4:272]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [3:308]
:DOCKER – [0:0]
:DOCKER-ISOLATION-STAGE-1 – [0:0]
:DOCKER-ISOLATION-STAGE-2 – [0:0]
:DOCKER-USER – [0:0]
-A INPUT -p tcp -m state –state NEW -m tcp –dport 9998 -j ACCEPT
-A FORWARD -j DOCKER-USER
-A FORWARD -j DOCKER-ISOLATION-STAGE-1
-A FORWARD -o docker0 -m conntrack –ctstate RELATED,ESTABLISHED -j ACCEPT
-A FORWARD -o docker0 -j DOCKER
-A FORWARD -i docker0 ! -o docker0 -j ACCEPT
-A FORWARD -i docker0 -o docker0 -j ACCEPT
-A DOCKER -d 172.17.0.2/32 ! -i docker0 -o docker0 -p tcp -m tcp –dport 80 -j ACCEPT
-A DOCKER -d 172.17.0.3/32 ! -i docker0 -o docker0 -p tcp -m tcp –dport 80 -j ACCEPT
-A DOCKER -d 172.17.0.4/32 ! -i docker0 -o docker0 -p tcp -m tcp –dport 80 -j ACCEPT
-A DOCKER -d 172.17.0.5/32 ! -i docker0 -o docker0 -p tcp -m tcp –dport 80 -j ACCEPT
-A DOCKER -d 172.17.0.6/32 ! -i docker0 -o docker0 -p tcp -m tcp –dport 80 -j ACCEPT
-A DOCKER-ISOLATION-STAGE-1 -i docker0 ! -o docker0 -j DOCKER-ISOLATION-STAGE-2
-A DOCKER-ISOLATION-STAGE-1 -j RETURN
-A DOCKER-ISOLATION-STAGE-2 -o docker0 -j DROP
-A DOCKER-ISOLATION-STAGE-2 -j RETURN
-A DOCKER-USER -j RETURN
COMMIT
# Completed on Sun Jan 17 20:49:29 2021
# Generated by iptables-save v1.4.21 on Sun Jan 17 20:49:29 2021
*nat
:PREROUTING ACCEPT [1:243]
:INPUT ACCEPT [1:243]
:OUTPUT ACCEPT [0:0]
:POSTROUTING ACCEPT [0:0]
:DOCKER – [0:0]
-A PREROUTING -m addrtype –dst-type LOCAL -j DOCKER
-A PREROUTING -p tcp -m tcp –dport 9998 -j DNAT –to-destination 172.17.0.7:80
-A OUTPUT ! -d 127.0.0.0/8 -m addrtype –dst-type LOCAL -j DOCKER
-A POSTROUTING -s 172.17.0.0/16 ! -o docker0 -j MASQUERADE
-A POSTROUTING -s 172.17.0.2/32 -d 172.17.0.2/32 -p tcp -m tcp –dport 80 -j MASQUERADE
-A POSTROUTING -s 172.17.0.3/32 -d 172.17.0.3/32 -p tcp -m tcp –dport 80 -j MASQUERADE
-A POSTROUTING -s 172.17.0.4/32 -d 172.17.0.4/32 -p tcp -m tcp –dport 80 -j MASQUERADE
-A POSTROUTING -s 172.17.0.5/32 -d 172.17.0.5/32 -p tcp -m tcp –dport 80 -j MASQUERADE
-A POSTROUTING -s 172.17.0.6/32 -d 172.17.0.6/32 -p tcp -m tcp –dport 80 -j MASQUERADE
-A POSTROUTING -d 172.17.0.7/32 -p tcp -m tcp –sport 80 -j SNAT –to-source 192.168.110.128
-A DOCKER -i docker0 -j RETURN
-A DOCKER ! -i docker0 -p tcp -m tcp –dport 8088 -j DNAT –to-destination 172.17.0.2:80
-A DOCKER ! -i docker0 -p tcp -m tcp –dport 49153 -j DNAT –to-destination 172.17.0.3:80
-A DOCKER -d 127.0.0.1/32 ! -i docker0 -p tcp -m tcp –dport 8888 -j DNAT –to-destination 172.17.0.4:80
-A DOCKER -d 192.168.110.128/32 ! -i docker0 -p tcp -m tcp –dport 9999 -j DNAT –to-destination 172.17.0.5:80
-A DOCKER -d 127.0.0.1/32 ! -i docker0 -p tcp -m tcp –dport 7788 -j DNAT –to-destination 172.17.0.6:80
-A DOCKER -d 192.168.110.128/32 ! -i docker0 -p tcp -m tcp –dport 7777 -j DNAT –to-destination 172.17.0.6:80
COMMIT
# Completed on Sun Jan 17 20:49:29 2021
最后重启iptbales服务(发现启动不成功!)
[root@docker-test ~]# systemctl restart iptables
#systemctl restart iptables.service
没有安装iptables
查看iptables规则
# iptables -L -t nat
但是最后,然后访问http://192.168.110.128:9998/,就能转发访问到my-nginx6容器的80端口了!!!
========================================================
启动所有容器
# docker start $(docker ps -a -q) 【启动所有容器】
[root@localhost ~]# docker start $(docker ps -a -q)
========================================================
查看容器
#docker ps 列出当前所有正在运行的容器
docker ps -a 【列出所有的容器】
docker ps -l 【列出最近创建的容器】
docker ps -n 3 【列出最近创建的3个容器】
docker ps -q 【只显示容器ID】
docker ps –no-trunc 【显示当前所有正在运行的容器完整信息】
========================================================
退出容器
exit 【退出并停止容器】
Ctrl+p+q 【只退出容器,不停止容器】
========================================================
启动/停止容器
docker start 容器ID或容器名称 【启动容器】
docker restart 容器ID或容器名称 【重新启动容器】
docker stop 容器ID或容器名称 【停止容器】
docker kill 容器ID或容器名称 【强制停止容器】
========================================================
删除容器
# docker rm 容器ID或容器名称【删除容器】
# docker rm -f 容器ID或容器名称【强制删除容器】
# docker rm -f $(docker ps -a -q)【删除多个容器】
========================================================
docker日志
# docker logs -f -t –since –tail 容器ID或容器名称【查看容器日志】
如:docker logs -f -t –since=”2018-09-10” –tail=10 f9e29e8455a5
-f : 查看实时日志
-t : 查看日志产生的日期
–since : 此参数指定了输出日志开始日期,即只输出指定日期之后的日志
–tail=10 : 查看最后的10条日志
========================================================
查看容器细节
# docker top 容器ID或容器名称【查看容器内运行的进程】
# docker inspect 容器ID或容器名称【查看容器内部细节】
========================================================
进入容器细节
# docker attach 容器ID 【进到容器内】 进入正在运行的容器
# docker exec 容器ID 【进到容器内】 开启一个新的终端
例如:
[root@localhost ~]# docker exec -it 11e0d671f9e6 /bin/bash
[root@localhost ~]# docker attach e4dcbd52904f
========================================================
容器文件拷贝
# docker cp 容器ID:容器内的文件路径 宿主机路径 【从容器内拷贝文件到宿主机】
如:docker cp f9e29e8455a5:/tmp/yum.log /root
========================================================
4、其他常用命令
查看日志
# docker run -d centos /bin/sh -c “while true;do echo cheristhuan;sleep 1;done”
docker logs -tf –tail 100 7daf0b02abfc
-tf # 显示日志
–tail # 后面跟上日志条数
========================================================
查看进程
# docker inspect 7daf0b02abfc