Docker系列之一:安装Docker CE
title: Docker系列之一:安装Docker CE
categories: Docker
tags:
- Docker
timezone: Asia/Shanghai
date: 2019-02-01
环境
[root@localhost home]# cat /etc/centos-release
CentOS Linux release 7.5.1804 (Core)
[root@localhost home]# docker --version
Docker version 18.09.0, build 4d60db4
第零步:关闭系统默认防火墙
setenforce 0
sed -i -r "/^SELINUX=/c SELINUX=disabled" /etc/selinux/config
which systemctl && systemctl stop firewalld
which systemctl && systemctl disable firewalld
which systemctl && systemctl stop iptables || service iptables stop
which systemctl && systemctl disable iptables || chkconfig iptables off
方法1:YUM方式安装Docker CE
1.卸载旧版本
较旧版本的Docker被称为docker或docker-engine。如果已安装这些,请卸载它们以及相关的依赖项。
yum remove docker \
docker-client \
docker-client-latest \
docker-common \
docker-latest \
docker-latest-logrotate \
docker-logrotate \
docker-selinux \
docker-engine-selinux \
docker-engine \
docker \
docker-ce \
docker-ee
2.安装Docker CE
大多数用户设置 Docker 的镜像仓库并从中进行安装,从而可以轻松完成安装和升级任务。这是推荐方法。
一些用户下载 RPM 软件包并手动进行安装,然后完全由手动管理升级。在某些情况(例如,在不能访问互联网的隔离系统中安装 Docker)下,这很有用。
# 1.安装所需的包
# yum-utils 提供了 yum-config-manager 实用程
# 并且 devicemapper 存储驱动需要 device-mapper-persistent-data 和 lvm2
yum install -y yum-utils device-mapper-persistent-data lvm2
# 2.使用以下命令设置稳定存储库。
yum-config-manager \
--add-repo \
https://download.docker.com/linux/centos/docker-ce.repo
# 3.安装Docker CE
yum install -y docker-ce
3.安装指定版本
yum list docker-ce --showduplicates | sort -r
yum install -y docker-ce-17.12.1.ce-1.el7.centos
方法2:下载离线RPM包安装
1.卸载旧版本
较旧版本的Docker被称为docker或docker-engine。如果已安装这些,请卸载它们以及相关的依赖项。
yum remove docker \
docker-client \
docker-client-latest \
docker-common \
docker-latest \
docker-latest-logrotate \
docker-logrotate \
docker-selinux \
docker-engine-selinux \
docker-engine \
docker \
docker-ce \
docker-ee
2.安装离线包
yum install -y audit-libs-python-2.8.4-4.el7.x86_64.rpm \
checkpolicy-2.5-8.el7.x86_64.rpm \
containerd.io-1.2.2-3.el7.x86_64.rpm \
container-selinux-2.74-1.el7.noarch.rpm \
docker-ce-18.09.1-3.el7.x86_64.rpm \
docker-ce-cli-18.09.1-3.el7.x86_64.rpm \
libcgroup-0.41-20.el7.x86_64.rpm \
libsemanage-python-2.5-14.el7.x86_64.rpm \
policycoreutils-python-2.5-29.el7.x86_64.rpm \
python-IPy-0.75-6.el7.noarch.rpm \
setools-libs-3.3.8-4.el7.x86_64.rpm
第二步:安装后启动和测试
1.启动Docker并设置开机自动启动
systemctl start docker
systemctl enable docker
systemctl status docker
2.Docker通过运行hello-world 映像验证是否已正确安装。
docker run hello-world
3.卸载Docker CE
# 1.卸载Docker包
yum remove docker-ce
# 2.主机上的图像,容器,卷或自定义配置文件不会自动删除。要删除所有图像,容器和卷
rm -rf /var/lib/docker
第三步.让docker命令支持子命令的自动补全
yum install -y bash-completion
source /usr/share/bash-completion/completions/docker
bash /usr/share/bash-completion/bash_completion
logout
第四步:在生产环境建议分配全局(每个节点1个任务)“幽灵”服务
以在每个节点上保留一块(例如2GB)内存,供操作系统和非Docker系统服务使用。
通过UCP客户端包创建Docker服务:
docker service create \
--name system-reservation \
--mode global \
--reserve-cpu 1 \
--limit-memory 2G \
--reserve-memory 2G \
docker/ucp-pause:3.0.0
pause此服务中的映像占用最少的CPU和内存。可以使用任何不占用大量内存或CPU的小图像代替docker/ucp-pause。
附录:
1.慎用commit生成镜像
注意: docker commit 命令除了学习之外,还有一些特殊的应用场合,比如被入侵后保存现场等。但是,不要使用 docker commit 定制镜像,定制镜像应该使用 Dockerfile 来完成。
镜像是容器的基础,每次执行 docker run 的时候都会指定哪个镜像作为容器运行的基础。在之前的例子中,我们所使用的都是来自于 Docker Hub 的镜像。直接使用这些镜像是可以满足一定的需求,而当这些镜像无法直接满足需求时,我们就需要定制这些镜像。
首先,如果仔细观察之前的 docker diff webserver 的结果,你会发现除了真正想要修改的 /usr/share/nginx/html/index.html 文件外,由于命令的执行,还有很多文件被改动或添加了。这还仅仅是最简单的操作,如果是安装软件包、编译构建,那会有大量的无关内容被添加进来,如果不小心清理,将会导致镜像极为臃肿。
使用 docker commit 意味着所有对镜像的操作都是黑箱操作,生成的镜像也被称为黑箱镜像,换句话说,就是除了制作镜像的人知道执行过什么命令、怎么生成的镜像,别人根本无从得知。而且,即使是这个制作镜像的人,过一段时间后也无法记清具体在操作的。虽然 docker diff 或许可以告诉得到一些线索,但是远远不到可以确保生成一致镜像的地步。这种黑箱镜像的维护工作是非常痛苦的。
2.Dockerfile 最佳实践
容器应该是短暂的
通过 Dockerfile 构建的镜像所启动的容器应该尽可能短暂(生命周期短)。
「短暂」意味着可以停止和销毁容器,并且创建一个新容器并部署好所需的设置和配置工作量应该是极小的。
使用 .dockerignore 文件
使用 Dockerfile 构建镜像时最好是将 Dockerfile 放置在一个新建的空目录下。
然后将构建镜像所需要的文件添加到该目录中。
为了提高构建镜像的效率,你可以在目录下新建一个 ``.dockerignore`` 文件来指定要忽略的文件和目录。
``.dockerignore`` 文件的排除模式语法和 Git 的 ``.gitignore`` 文件相似。
使用多阶段构建
在 Docker 17.05 以上版本中,你可以使用 多阶段构建 来减少所构建镜像的大小。
参考:https://www.jianshu.com/p/88b0a835d4ae
避免安装不必要的包
为了降低复杂性、减少依赖、减小文件大小、节约构建时间,你应该避免安装任何不必要的包。
例如,不要在数据库镜像中包含一个文本编辑器。
一个容器只运行一个进程
应该保证在一个容器中只运行一个进程。
将多个应用解耦到不同容器中,保证了容器的横向扩展和复用。
例如 web 应用应该包含三个容器:web应用、数据库、缓存。
如果容器互相依赖,你可以使用 Docker 自定义网络 来把这些容器连接起来。
镜像层数尽可能少
你需要在 Dockerfile 可读性(也包括长期的可维护性)和减少层数之间做一个平衡。
将多行参数排序
将多行参数按字母顺序排序(比如要安装多个包时)。
这可以帮助你避免重复包含同一个包,更新包列表时也更容易。
也便于 PRs 阅读和审查。
建议在反斜杠符号 \ 之前添加一个空格,以增加可读性。
下面是来自 buildpack-deps 镜像的例子:
RUN apt-get update && apt-get install -y \
bzr \
cvs \
git \
mercurial \
subversion
构建缓存
在镜像的构建过程中,Docker 会遍历 Dockerfile 文件中的指令,然后按顺序执行。
在执行每条指令之前,Docker 都会在缓存中查找是否已经存在可重用的镜像,
如果有就使用现存的镜像,不再重复创建。
如果你不想在构建过程中使用缓存
你可以在 docker build 命令中使用 --no-cache=true 选项。
但是,如果你想在构建的过程中使用缓存
你得明白什么时候会,什么时候不会找到匹配的镜像,遵循的基本规则如下
从一个基础镜像开始(FROM 指令指定)
下一条指令将和该基础镜像的所有子镜像进行匹配
检查这些子镜像被创建时使用的指令是否和被检查的指令完全一样。
如果不是,则缓存失效。
在大多数情况下,只需要简单地对比 Dockerfile 中的指令和子镜像。
然而,有些指令需要更多的检查和解释。
对于 ADD 和 COPY 指令,镜像中对应文件的内容也会被检查,
每个文件都会计算出一个校验和。
文件的最后修改时间和最后访问时间不会纳入校验。
在缓存的查找过程中,会将这些校验和和已存在镜像中的文件校验和进行对比。
如果文件有任何改变,比如内容和元数据,则缓存失效。
除了 ADD 和 COPY 指令,缓存匹配过程不会查看临时容器中的文件来决定缓存是否匹配。
例如,当执行完 RUN apt-get -y update 指令后
容器中一些文件被更新
但 Docker 不会检查这些文件。
这种情况下,只有指令字符串本身被用来匹配缓存。
一旦缓存失效,所有后续的 Dockerfile 指令都将产生新的镜像,缓存不会被使用。
附录:
Doceker中文官网:http://docs.docker-cn.com/engine/installation/
https://www.binss.me/blog/solve-docker-permission-problem-by-using-user-namespace/
