默认情况下,容器可以主动访问到外部网络的连接,但是外部网络无法访问到容器。
容器访问外部实现
容器所有到外部网络的连接,源地址都会被NAT成本地系统的IP地址。这是使用的源地址伪装操作实现的。
查看主机的 NAT 规则。
$ sudo iptables -t nat -nL...Chain POSTROUTING (policy ACCEPT)targetprot opt sourcedestinationMASQUERADEall--172.17.0.0/16!172.17.0.0/16...
其中,上述规则将所有源地址在
172.17.0.0/16
网段,目标地址为其他网段(外部网络)的流量动态伪装为从系统网卡发出。MASQUERADE 跟传统 SNAT 的好处是它能动态从网卡获取地址。
外部访问容器实现
容器允许外部访问,可以在时候通过或参数来启用。
不管用那种办法,其实也是在本地的的 nat 表中添加相应的规则。
使用时:
$ iptables -t nat -nL...Chain DOCKER (2 references)targetprot opt sourcedestinationDNATtcp--0.0.0.0/00.0.0.0/0tcp dpt:49153 to:172.17.0.2:80使用时:
$ iptables -t nat -nLChain DOCKER (2 references)targetprot opt sourcedestinationDNATtcp--0.0.0.0/00.0.0.0/0tcp dpt:80 to:172.17.0.2:80
注意:
docker commit和docker file的区别
制作镜像的方式主要有两种:通过docker commit 制作镜像通过docker build 制作镜像这两种方式都是通过改进已有的镜像来达到自己的目的。
制作基础镜像,会在另外一篇文章“从零开始制作基础镜像”中介绍。
docker commitdocker commit 是往版本控制系统里提交一次变更。
使用这种方式制作镜像,本质上是运行一个基础镜像,然后在基础镜像上进行软件安装和修改。
最后再将改动提交到版本系统中。
选择基础镜像基础镜像的选择要结合自己的需求。
可以选择已有的应用镜像来改造,也可以选择Ubuntu,Debian,OpenSuse这类基础系统镜像我们以ubuntu为例子来说明步骤1:运行ubuntu 镜像docker run -i -t ubuntu /bin/bash步骤2:安装软件并修改软件配置, 比如:安装apache2apt-get -yqq updateapt-get -y install apache2安装完成后,对apache2进行配置和修改步骤3:退出docker并保存镜像使用“exit”命令退出容器运行docker comit 命令, 进行保存docker commit ae46 own-apache2docker commit 命令参数说明命令格式docker commit [OPTIONS] CONTAINER [REPOSITORY[:TAG]]OPTIONS:-a, --author=提交的镜像作者-c, --change=[]Apply Dockerfile instruction to the created image, 没用过-m, --message= 提交时的说明文字-p, --pause=true在commit时,将container 暂停CONTAINER:可以使用container 的名字或者IDREPOSITORY指定镜像仓库,上述例子中,指定的是本地存储可以指定远程镜像仓库,如docker hub。
也可自建仓库来存放imageTAG:镜像TAGdocker build使用docker build创建镜像需要编写Dockerfile.步骤:编写自己的Dcokerfile运行docker build 命令打包镜像仍然以apache打包为例子。
以下是Dockerfile的例子FROM ubuntu:latestMAINTAINER sky#Add 163 mirror for aptADD /etc/apt/ /root/ DEBIAN_FRONTEND noninteractive# PackagesRUN rm -rf /var/lib/apt/listsRUN apt-get update -q --fix-missingRUN apt-get -y upgrade#ubuntu wwwRUN apt-get install -y apache2 curl libapache2-mod-php5 php5-curl php5-gd php5-mysql rsync mysql-client -qqRUN apt-get autocleanRUN rm -rf /var/lib/apt/lists/*# Setup environmnt for apaches init scriptENV APACHE_CONFDIR /etc/apache2ENV APACHE_ENVVARS $APACHE_CONFDIR/envvarsENV APACHE_RUN_USER www-dataENV APACHE_RUN_GROUP www-dataENV APACHE_RUN_DIR /var/run/apache2ENV APACHE_PID_FILE $APACHE_RUN_DIR/ APACHE_LOCK_DIR /var/lock/apache2ENV APACHE_LOG_DIR /var/log/apache2ENV LANG CRUN mkdir -p $APACHE_RUN_DIR $APACHE_LOCK_DIR $APACHE_LOG_DIRRUN find $APACHE_CONFDIR -type f -exec sed -ri \s!^(\s*CustomLog)\s+\S+!\1 /proc/self/fd/1!g; \s!^(\s*ErrorLog)\s+\S+!\1 /proc/self/fd/2!g; \ {} ;EXPOSE 80CMD [apache2, -DFOREGROUND]编辑完成后,在与Dockerfile同一目录下运行docker build 命令docker build -t apache-img .如果没有命令出错,docker build会持续运行直到镜像创建完成而创建的过程本质上是运行一个镜像,然后在镜像中按序执行在Dockerfile中的命令,直到执行结束。
如果中间有命令执行失败,镜像创建会停止。
这时就需要看log,并修改Dockerfile,然后再次执行docker build注:两种镜像创建方式的对比:docker commitdocker build难度相对容易,适合新手和对Linux不熟悉的用户相对难,要求有一定的linux和脚本基础知识文档化文档化在通过其他文件来实现Dockerfile本身就是比较好的文档,可读和可理解性比较强。
也可配合其他文档带来详细说明升级,维护后续升级和维护麻烦,需要再次运行镜像并对内部软件进行升级或者安装新软件增加特性后续升级和维护会相对简单,可以直接在dockerfile中更改并增加新特性具体选择哪种方式来制作镜像需要结合实际情况来选择Dockerfile 关键字详解FROMFROM用来指定基础包。
在上面的例子中,基础包用的是ubuntu。
MAINTAINER镜像作者信息,或者维护人员信息ADD将文件拷贝到Container内文件系统对应的路径格式 ADD
如何进入docker的node镜像
1.什么是docker?Docker allows you to package an application with all of its dependencies into a standardized unit for software 是一个开源的应用容器引擎,让开发者可以打包他们的应用以及依赖包到一个可移植的容器中,然后发布到任何流行的 Linux 机器上,也可以实现虚拟化。 容器是完全使用沙箱机制,相互之间不会有任何接口(类似 iPhone 的 app)。 几乎没有性能开销,可以很容易地在机器和数据中心中运行。 最重要的是,他们不依赖于任何语言、框架包括系统。 Docker 的目标是实现轻量级的操作系统虚拟化解决方案。 Docker 的基础是 Linux 容器(LXC)等技术。 在 LXC 的基础上 Docker 进行了进一步的封装,让用户不需要去关心容器的管理,使得操作更为简便。 用户操作 Docker 的容器就像操作一个快速轻量级的虚拟机一样简单。 下面的图片比较了 Docker 和传统虚拟化方式的不同之处,可见容器是在操作系统层面上实现虚拟化,直接复用本地主机的操作系统,而传统方式则是在硬件层面实现。 (图片来自Docker官方网站)简单入门Docker can build images automatically by reading the instructions from a Dockerfile. A Dockerfile is a text document that contains all the commands you would normally execute manually in order to build a Docker image. By calling docker build from your terminal, you can have Docker build your image step by step, executing the instructions 通过读取Dockerfile文件中的指令自动构建镜像。 Dcokerfile是一个文本文件,它包含了构建镜像所需要执行的全部命令。 执行docker build命令,Docker就会按照文档执行并最终创建一个镜像。 (这段话是翻译上面那段话的%>_<%)。 Dockerfile支持支持的语法命令如下:INSTRUCTION argument指令不区分大小写。 但是,命名约定为全部大写。 Dockerfile都必须以FROM命令开始。 FROM命令会指定镜像基于哪个基础镜像创建,接下来的命令也会基于这个基础镜像(译者注:CentOS和Ubuntu有些命令可是不一样的)。 FROM命令可以多次使用,表示会创建多个镜像。 具体语法如下:
docker 里可以安装docker吗
可以的,我们将讨论如何在 CentOS 7.x 中安装 docker。 CentOS 7 中 Docker 的安装Docker 软件包已经包括在默认的 CentOS-Extras 软件源里。 因此想要安装 docker,只需要运行下面的 yum 命令:[root@localhost ~]# yum install docker启动 Docker 服务安装完成后,使用下面的命令来启动 docker 服务,并将其设置为开机启动:[root@localhost ~]# service docker start[root@localhost ~]# chkconfig docker on此处采用了旧式的 sysv 语法,如采用CentOS 7中支持的新式 systemd 语法,如下:[root@localhost ~]# systemctlstart [root@localhost ~]# systemctlenable
发表评论