1.å¦ä½ç»å½å°Dockerçcontainerä¸
2.docker的架构(docker的架构体系是服务器和客户端)
3.linuxdaemon命令linuxdaemon
4.Docker源码安装附内网镜像安装演示
å¦ä½ç»å½å°Dockerçcontainerä¸
使ç¨Dockeré¨ç½²containeråï¼æ们æ»æ类似çéæ±ï¼ç»å½å°containerä¸è¿è¡ä¸äºæä½ã
常è§çæ¹å¼
1.æsshæ¹å¼ï¼ç¹ç¹æ¯ä¸éè¦ç¹å«çrootæéï¼ä½æ¯containeréè¦å®è£ sshd
2.使ç¨nsenteræ¥ä»containerè·å¾ä¸ä¸ªshellå®ç°ç»å½
3.使ç¨nsinit
æ¬æ主è¦ä»ç»nsenterç使ç¨
nsenter使ç¨é常æ¹ä¾¿ï¼ä½æ¯æçæä½ç³»ç»åè¡çæ¬util-linuxå æ¯è¾èï¼æ以没æå å«è¿ä¸ªnsenterï¼é£ä¹ä½ éè¦èªå·±ç¼è¯åå®è£ ï¼å¯¹äºhacker们æ¥è¯´ï¼æºç ç¼è¯å®è£ ä¸æ¯å°caseåï¼èµ°èµ·ï¼
注æï¼ ä¸é¢çå½ä»¤è¿è¡ä»¥Ubuntu .为ä¾
1ï¼ä¸è½½æºç
git clone git://git.kernel.org/pub/scm/utils/util-linux/util-linux.git util-linux
cd util-linux/
2ï¼å®è£ ä¾èµå ï¼è¿ä¸ªå ·ä½ç¼ºå°çæ åµï¼ä¼å¨è¿è¡./autogen.shçæ示ï¼ä½ ä¹å¯ä»¥ç´æ¥è¿è¡3ï¼ï¼æ ¹æ®æ示æ¥å®è£ 对åºçä¾èµå
sudo apt-get install libtool
sudo apt-get install automake
sudo apt-get install autopoint
sudo apt-get install libncurses5-dev
3ï¼ç¼è¯å®è£
./autogen.sh
./configure & make
4ï¼æµè¯å®è£ æå
./nsenter -V
5) å°nsenterå å ¥ç³»ç»ç¯å¢å¯æ§è¡è·¯å¾ä¸
sudo cp ./nsenter /usr/bin
å¦ä½ä½¿ç¨nsenterï¼é常ç®åï¼
1) é¦å æ¾å°container对åºçè¿ç¨ID
sudo docker inspect --format "{ { .State.Pid }}"
2) æ§è¡nsenterè·å¾ä¸ä¸ªshell ï¼å设1ï¼è·å¾idæ¯
sudo nsenter --target --mount --uts --ipc --net --pid
docker的架构(docker的架构体系是服务器和客户端)
docker是干什么的
docker是一个开源的应用容器引擎。裤瞎
让开发者可以打包他们的应用以及依赖包到一个可移植的容器中,然后发胡盯空布到任何流行的Linux机器上,也可以实现虚拟化,容器是完全使用沙箱机制,相互之间不会有任何接口。薪资系统源码
众所周知,一个Java应用war包或者jar包启动成功,有能够对外提供服务的能力,能正常访问页面,做操作,需要部署到一台有tomcat的linux环境中,没有容器技术前的上线流程通常出现这样的或那样的问题。
docker的架构
Docker使用客户端服务器架构模式,使用远程API来管理和创建Docker容器,Docker容器通过Docker镜像来创建。容器则樱与镜像的关系类似于面向对象编程中的对象与类,Dockerdaemon一般在宿主主机后台运行,等待接收来自客户端的消息。Docker客户端则为用户提供一系列可执行命令,用户用这些命令实现跟Dockerdaemon交互。
Dockerdaemon作为服务端接受来自客户的请求,并处理这些请求创建、转发阅读平台源码运行、分发容器。客户端和服务端既可以运行在一个机器上,也可通过socket或者RESTfulAPI来进行通信。
openwrt的docker是什么架构的
OpenWrt支持多种架构的处亮败理器,因此OpenWrt的Docker应该也支持多种架构。具体来说,Docker是一个睁皮开源的容器化平台,可以在不同的操作系统和处理器架构上运行。Docker使用了Linux内核中的一些特性,如Cgroups和命名空间,可以在不同的操作系统和处理器架构上实现轻量级虚拟化。因此,敬早颤OpenWrt的Docker应该支持与OpenWrt本身支持的处理器架构相同的架构,例如x、ARM、MIPS等。
CI/CD的实践阿里云的Docker镜像源添加
docker服务基本的操作
得到密钥后填入,继续
然后再贺燃大点击去安装推荐插件
docker的架构是C/S架构禅竖。在我们使用docker命令时,其实是命令使用socket与docker的守护进程进行通信,我们需要将jenkins添加到docker的wap枭雄ol源码用户组,才能正常执行docker命令
NODE
服务器上生成
把公钥添加在到git,私钥添加到jenkins源码管理
本地文件添加DockerFile和nginx配置
构建脚本
然后构建生成一个新的镜像
镜像库就是集中存放镜像的一个文件服务。镜像库在CI/CD中,又称制品库。构建段册后的产物称为制品,制品则要放到制品库做中转和版本管理。常用平台有Nexus,Jfrog,Harbor或其他对象存储平台
哪个不是docker架构中的组件?docker架派梁构贺铅中的组件包括:Dockerdaemon,DockerClient,DockerRegistry,DockerImages,DockerContainers。那么不属于docker架构中的组件的是:DockerHost。禅羡好
基于docker部署的微服务架构(二):服务提供者和调用者前一篇基于docker部署的微服务架构(一):服务注册中心已经成功创建了一个服务注册中心,现在我们创建一个简单的微服务,让这个服务在服务注册中心注册。然后再创建一个调用者,调用此前创建的微服务。
新建一个maven工程,修改pom.xml引入springcloud依赖:
在resources目录中创建application.yml配置文件,在配置文件内容:
这里eureka的注册地址为上一篇中设置的defaultZone。
在java目录中创建一个包demo,在包中创建启动入口AddServiceApplication.java
在demo包下新建一个子包controller,分类网站目录源码在controller子包下创建一个controller对外提供接口。
在服务注册中心已经空启迅运行的情况下,运行AddServiceApplication.java中的main方法,启动微服务。
访问服务注册中心页面,可以看到已经成功注册了ADD-SERVICE-DEMO服务。
启动第二个实例,修改端口为,修改AddController.java中的输出信息为
再次运行AddServiceApplication.java中的main方法。
访问服务注册中心页面,可以看到已经成功注册了两个ADD-SERVICE-DEMO服务,端口分别为和。
新建一个maven工程,修改pom.xml引入springcloud依赖:
在resources目录中创建application.yml配置文件,在配置文件旁颤内容:
在java目录中创建一个包demo,在包中创建启动入口RibbonClientApplication.java
这里配置了一个可以从服务注册中心读取服务列表,并且实现了负载均衡的restTemplate。
在demo包下新建一个子包controller,在controller子包下创建一个controller对外提供接口。
可以看到这里的请求url用了服务注册中心对应的Application。
运行RibbonClientApplication.java中的main方法,启动项目。天恒源码漏洞
在浏览器中访问;b=2,得到返回结果:
多次访问,查看AddServiceApplication的控制台,可以看到两个ADD-SERVICE-DEMO被负载均衡的调用。
demo源斗此码spring-cloud-1.0/ribbon-client-demo
新建一个maven工程,修改pom.xml引入springcloud依赖:
在resources目录中创建application.yml配置文件,在配置文件内容:
在java目录中创建一个包demo,在包中创建启动入口FeignClientApplication.java
在demo包下新建一个子包service,在service子包下创建一个接口AddService.java调用之前创建的微服务ADD-SERVICE-DEMO。
这里@FeignClient注解中的参数为服务注册中心对应的Application。
在demo包下再新建一个子包controller,在controller子包下创建一个FeignController.java对外提供接口。
FeignController里注入了刚才创建的AddService接口。
运行FeignClientApplication.java中的main方法,启动项目。
在浏览器中访问;b=2,得到返回结果:
多次访问,查看AddServiceApplication的控制台,可以看到两个ADD-SERVICE-DEMO被负载均衡的调用。
demo源码spring-cloud-1.0/feign-client-demo
以add-service-demo为例,
复制application.yml,重命名为application-docker.yml,修改defaultZone为:
这里修改了defaultZone的访问url,如何修改取决于部署docker容器时的--link参数,--link可以让两个容器之间互相通信。
修改application.yml中的spring节点为:
这里增加了profiles的配置,在maven打包时选择不同的profile,加载不同的配置文件。
在pom.xml文件中增加:
选择dockerprofile,运行mvninstall-Pdocker,打包项目并生成docker镜像,注意docker-maven-plugin中的entryPoint标签里的内容不能换行,否则在生成docker镜像的时候会报错。
运行成功后,登录docker节点,运行dockerimages应该可以看到刚才打包生成的镜像了。
在前一篇中,已经创建了一个service-registry-demo的docker镜像,这里先把这个镜像运行起来。
对这条命令做个简单说明,-d指定当前容器运行在后台,--name指定容器名称,--publish指定端口映射到宿主机,--volume这个挂载是为了解决容器内的时区和宿主机不一致的问题,让容器使用宿主机设置的时区,最后指定使用的docker镜像,镜像名称和标签需要根据自己的情况做修改。
运行这条命令之后,service-registry-demo的容器就启动了。访问/docker-ce/linux/centos/docker-ce.repo
1
2
3
1
2
3
要解决依赖性
在阿里云平台下载
然后下载的包和rhel7.6yum源里的包一起解决依赖性
yuminstalldocker-cecontainer-selinux-2.-1.el7.noarch.rpm-y
systemctlstartdocker
1
2
1
2
注意:docker启动前关闭防火墙和关闭selinux
dockerinfo查看容器信息
1
1
发现有两个警告
解决:
sysctl-a|grepbridge-nf-call-iptables
vim/etc/sysctl.d/bridge.conf
1
2
1
2
net.bridge.bridge-nf-call-iptables=1
net.bridge.bridge-nf-call-ip6tables=1
sysctl--system生效
1
2
3
1
2
3
所有的容器数据都在/var/lib/docker里面
如果想要用普通用户做docker需要给这个文件给权限
yuminstallbash-*-y为了table补齐命令
1
1
用容器部署一个nginx服务
一般拉取太慢,设置一个加速器
cd/etc/docker/
vimdaemon.json
systemctldaemon-reload
systemctlrestartdocker
1
2
3
4
1
2
3
4
dockersearchnginx寻找镜像
dockerpullnginx拉取镜像(一般以服务名的是官方提供的)
dockerrun-d--namenginxnginx部署容器
dockerps
1
2
3
4
1
2
3
4
dockerinspectnginx查看nginx容器信息
1
1
用ipaddrshow命令查看桥接到docker0
yuminstallbridge-utils桥接命令
brctlshow
1
2
1
2
nginx部署成功
此时,nginx只能内部访问
如果需要外部访问,则删掉原nginx容器,用端口映射部署nginx
-d:打入后台
-p::映射端口
dockerrun-d--namenginx-p:nginx
1
1
nginxhistorynginx:latest查看nginx镜像信息
iptables-tnat-nL
1
2
1
2
访问本机转发到..0.2:上去
用psax或top或netstat-antlp查看docker就是个进程
网页访问虚拟机ip可以看到nginx服务。
linux防火墙发展史?
1.认识防火墙
从逻辑上讲防火墙可以分为主机防火墙和网络防护墙。
主机防火墙:针对个别主机对出站入站的数据包进行过滤。(操作对象为个体)
网络防火墙:处于网络边缘,针对网络入口进行防护。(操作对象为整体)
从物理上讲防火墙可以分为硬件防火墙和软件防火墙。
硬件防火墙:通过硬件层面实现防火墙的功能,性能高,成本高。
软件防火墙:通过应用软件实现防火墙的功能,性能低,成本低。
2.系统防火墙发展过程
防火墙的发展史就是从墙到链再到表,也是从简单到复杂的过程。
防火墙工具变化如下:
ipfirewall--->ipchains--->iptables-->nftables(正在推广)
Linux2.0版内核中:包过滤机制为ipfw,管理工具是ipfwadm。
Linux2.2版内核中:包过滤机制为ipchain,管理工具是ipchains。
Linux2.4,2.6,3.0+版内核中:包过滤机制为netfilter,管理工具是iptables。
Linux3.1(3.+)版内核中:包过滤机制为netfilter,中间采取daemon动态管理防火墙,管理工具是firewalld。
#目前低版本的firewalld通过调用iptables(command),它可以支持老的iptables规则(在firewalld里面叫做直接规则),
#同时firewalld兼顾了iptables,ebtables,ip6tables的功能。
3.iptables和nftables
nftables
nftables诞生于年,年底合并到Linux内核,从Linux3.起开始作为iptables的替代品提供给用户。
它是新的数据包分类框架,新的linux防火墙管理程序,旨在替代现存的{ ip,ip6,arp,eb}_tables,它的用户空间管理工具是nft。
由于iptables的一些缺陷,目前正在慢慢过渡用nftables替换iptables,同时由于这个新的框架的兼容性,
所以nftables也支持在这个框架上运行直接iptables这个用户空间的管理工具。
nftables实现了一组被称为表达式的指令,可通过在寄存器中储存和加载来交换数据。
也就是说,nftables的核心可视为一个虚拟机,nftables的前端工具nft可以利用内核提供的表达式去模拟旧的iptables匹配,
维持兼容性的同时获得更大的灵活性。
而未来最新的firewalld(0.8.0)默认使用将使用nftables。详情可以看www.firewalld.org
iptables、nftables和firewalld之间的区别与联系
firewalld同时支持iptables和nftables,未来最新版本(0.8.0)默认将使用nftables。
简单的说firewalld是基于nftfilter防火墙的用户界面工具。而iptables和nftables是命令行工具。
firewalld引入区域的概念,可以动态配置,让防火墙配置及使用变得简便。
准确的说:iptables(command)的最底层是netfilter,它的用户空间管理工具是iptables
nftables(command)是iptables(command)的一个替代品并兼容iptables(command),最底层依然是netfilter,它的用户空间管理工具是nft,
同时未来firewalld最新版(0.8.0)也将默认支持nftables(command)。/lin...)
我这里已docker-...tgz该版本做演示
1.下载源码包文件到本地
2.通过远程连接工具(xShell、SecureCRT等将源码包文件上载到服务器自定义目录)
3.解压文件
4.配置docker为service服务
5.添加可执行权限
注:如遇到启动不成功可通过状态查询、/var/log/messages/运行日志或直接使用dockerd命令查看错误信息,如还解决不了建议服务器重启一下在运行docker启动命令
6.配置镜像加速
7.检查安装版本内网下载镜像
注:使用docker pull拉取镜像的时候需要网络,但是项目部署一般都是在内网。内网访问不了外网,所以需要在外网环境下把需要的镜像拉取下来打包,然后拷贝到内网,载入到内网的docker
1.在外网机器上拉取mysql镜像,可以看到外网的docker已经拉取了镜像。
2.将镜像打包成tar压缩包
3.将打包好的mysql镜像包通过远程工具下载到本地
4.拷贝到内网linux服务器并载入docker
docker基础命令使用(扩展)下载镜像:(hub.docker.com/search/官网镜像地址)
docker pull [IMAGE_NAME]:[TAG] #命令格式
docker pull mysql:8.0 #下载mysql8.0镜像(不指定默认下载最新版本)
查看当前镜像版本
docker -v #查看当前安装版本
docker version #查看版本信息
docker info #查看系统信息
docker images #查看当前镜像
docker search 镜像名 #搜索镜像
镜像、容器删除
docker rm 容器ID
docker rm 容器名字
docker rmi 镜像ID
docker rmi 镜像名
docker rmi -f 镜像ID #强制删除
创建网络及数据卷
docker volume create +数据卷名称
docker volume list #查看当前数据卷信息
docker network create -d bridge +网络名称
docker network ls #查看当前网络
docker inspect containername +id #查看容器的hash值
启动、关闭容器
docker stop $(docker ps -a | awk '{ print $1}' | tail -n +2) #关闭所有容器
docker start $(docker ps -a | awk '{ print $1}' | tail -n +2) #开启所有容器
杂
docker inspect 容器ID (使用该命令重点关注容器ip) #查看容器/镜像元数据
docker exec #在运行的容器中执行命令
docker exec -it 容器ID /bin/bash #以交互模式开启伪终端