免费注册 查看新帖 |

Chinaunix

  平台 论坛 博客 文库
最近访问板块 发新帖
查看: 11992 | 回复: 0

24条 Docker 建议 [复制链接]

论坛徽章:
6
CU大牛徽章
日期:2013-03-14 14:14:08CU大牛徽章
日期:2013-03-14 14:14:26CU大牛徽章
日期:2013-03-14 14:14:29处女座
日期:2014-04-21 11:51:59辰龙
日期:2014-05-12 09:15:10NBA常规赛纪念章
日期:2015-05-04 22:32:03
发表于 2015-01-08 15:29 |显示全部楼层
TES GLOBAL,我们已经爱上Docker并从Docker的0.8版本开始就在生产环境中使用它。我们的很多开发者都参加了在DockerCon欧洲上的培训。下面是我们总结的一些tips,希望可以帮到已经有Docker基础的同学。

1. CLI1.1 美化docker ps的输出将Docker ps的输出通过管道到less -S,这样表格式的行就不会被折叠。
  • docker ps - a | less -S
1.2 刷新日志docker的日志不会即时刷新,除非你使用了-F选项:
  • docker logs <containerid> -F
1.3 从docker inspect中获取一个单一的值docker inspect默认会输出大量的JSON格式的数据。你可以用jq,来得到某一特定键的值。或者你可以使用内置的go模板功能:
最后一个docker容器现在运转正常吗?
  • docker inspect --format '{{.State.Running}}' $(docker ps -lq)
1.4 使用docker exec而不是sshd 或者 nsenter如果你查看过Docker的发行版你会你会很清楚这个小技巧。exec在是在1.3版本中添加的新功能,可以让你在容器里面运行一个新的进程。这样你就不必运行sshd或者在主机上安装nscenter。
2. Dockerfiles2.1 docker build支持git仓库你不但可以从本地的Dockerfile中创建Docker镜像,你还可以简单的给docker build指定一个仓库的URL,然后docker build会为你做完余下的事情。
2.2 没有软件包列表默认的镜像(如Ubuntu)是不包含软件包列表的,目的是让镜像体积更小。因此需要在任何的基础的Dockerfile中需要使用apt-get update。
2.3 留意软件包的版本注意软件包的安装,因为这些命令也是会缓存起来的。意味着如果你清空了缓存,你可能会得到不同的版本;或者如果缓存长期不更新,你可能不会得到最新的安全更新。
2.4 小体积的基础镜像在Docker Hub上有一个官方的真正零体积的Docker镜像,它的名字叫做scratch。所以如果你有这种需求,可以让你的镜像从零开始。而大多数的情况下,你最好还是从busybox开始,其大小只有2.5M。
2.5 FROM默认会获取最新的如果在FROM关键字后你没有指定一个版本的tag,那么默认就会获取最新的。请注意这点,并确保尽可能的指定一个特定的版本。
2.6 shell或者是exec模式在Dockerfile中可以通过两种方式来指定命令(如CMD RUN等)。如果你仅仅写下命令那么Docker会将其包裹在sh -c命令中执行。你也可以写成一个字符串数组的形式。数组的写法不需要依赖容器中的shell,因为其会使用go的exec。Docker的开发者建议使用后一种方式。
2.7 ADD vs COPYADD和COPY都能在创建容器的时候添加本地的文件。但是ADD有一些额外的魔力,如添加远程的文件、unzip或者untar一些文件包等。使用ADD之前请了解这种差别。
2.8 WORKDIR和ENV每个命令都会创建一个新的临时镜像并在新的shell中运行,所以如果你在Dockerfile中不能运行 cd <directory>或者export <var>=<value>。使用WORKDIR在多个命令中设置工作目录并使用ENV来设置环境变量。
2.9 CMD和ENTRYPOINTCMD是当一个镜像在运行时默认会执行的命令。默认的ENTRYPOINT是/bin/sh -c,然后CMD会以参数的形式被传入。我们可以在Dockerfile中覆盖ENTRYPOINT以让我们的容器像在接受命令行参数(默认的参数在Dockerfile中的CMD指定)。
Dockerfile中
ENTRYPOINT /bin/lsCMD ["-a"]我们覆盖了命令行但是netrypoint仍然是ls
docker run training/ls -l2.10 将ADD置于末尾如果文件发生改变,ADD会让缓存失效。不要在Dockerfile中添加经常变化的东西,以避免让缓存失效。将你的代码放在最后,将库和依赖放在最前。对于Node.js的应用来说,这意味着将package.json放在前面,运行nmp install然后添加你的代码。
3. Docker的网络Docker有一个内置的IP池,用来指定容器的ip地址。它对外是不可见的,通过桥接的网口可以访问到。
3.1 查找端口的映射docker run接收显式的端口映射作为参数,或者你可以通过-P选项来映射所有的端口。第二种做法的好处是能防止冲突。可以通过以下命令查找指定的端口:
  • docker port containerID portNumber
或者
  • docker inspect --format '{{.NetworkSettings.Ports}}'
  • containerID
3.2 容器的IP地址每一个容器都拥有自己属于私有网段的IP地址(默认是172.17.0.0/16)。IP可能会在重启的时候发生变化,如果你想知道其地址,可以用:
  • docker inspect --format '{{.NetworkSettings.IPAddress}}' containerID
Docker会尝试检查冲突,在需要的情况下会使用不同的网段的地址。
3.3 接管主机的网络docker run --net=host能重用网络。但是请不要这么做。
4. 卷(volume)一个绕过目录或者单一文件写时复制(copy-on-write)的文件系统,接近零负载(绑定挂载)。
4.1 卷的内容在docker commit的时候不会被保存在镜像建立后写入你的卷没有太多的意义。
4.2 卷默认是可读可写的但是有一个:ro的标志。
4.3 卷和容器是分开存在的卷只要有一个容器使用他们就会存在。可以在容器之间通过--volumes-from选项共享。
4.4 挂载你的docker.sock你可以仅仅挂载docker.sock就能让你的容器访问到Docker的API。然后你可以在该容器中运行Docker的命令。这样容器甚至还可以杀死自己,在一个容器里面运行一个Docker的守护者进程是没有必要的。
5. 安全5.1 以root身份运行DockerDocker API能给root的访问权限,因为你可以将/映射成一个卷,然后读或者写。或者你可以通过--net host接管宿主机的网络。不要暴露Docker API如果你需要请使用TLS。
5.2 Dockerfile中的USER默认下Docker可以以root的身份运行任何命令,但是你可以使用USER。Docker没有用户的命名空间,因此容器将用户看作是宿主机上的用户。但是仅仅是UID因而你需要在容器里面添加该用户。
5.3 使用TLS操作Docker APIDocker 1.3版本添加了对TLS的支持。他们使用手动的验证机制:客户端和服务端都有一个Key。把Key看做是root用户的密码。从1.3版本开始,Boot2docker默认使用TLS并且会为你生成key。
另外生成Key需要OpenSSL 1.0.1以上版本的支持,然后Docker daemon进程需要加上--tls-verify选项运行,Docker会使用安全的端口(2376)。

您需要登录后才可以回帖 登录 | 注册

本版积分规则 发表回复

  

北京盛拓优讯信息技术有限公司. 版权所有 京ICP备16024965号-6 北京市公安局海淀分局网监中心备案编号:11010802020122 niuxiaotong@pcpop.com 17352615567
未成年举报专区
中国互联网协会会员  联系我们:huangweiwei@itpub.net
感谢所有关心和支持过ChinaUnix的朋友们 转载本站内容请注明原作者名及出处

清除 Cookies - ChinaUnix - Archiver - WAP - TOP