24条 Docker 建议
| 2014-12-23 14:39 评论: 3 收藏: 5 分享: 3
在TES GLOBAL,我们已经爱上Docker并从Docker的0.8版本开始就在生产环境中使用它。我们的很多开发者都参加了在DockerCon欧洲上的培训。下面是我们总结的一些tips,希望可以帮到已经有Docker基础的同学。
1. CLI
1.1 美化docker ps的输出
将Docker ps的输出通过管道到less -S,这样表格式的行就不会被折叠。
docker ps - a | less -S
1.2 刷新日志
docker的日志不会即时刷新,除非你使用了-F选项:
docker logs <containerid> -F
1.3 从docker inspect中获取一个单一的值
docker inspect默认会输出大量的JSON格式的数据。你可以用jq,来得到某一特定键的值。或者你可以使用内置的go模板功能:
最后一个docker容器现在运转正常吗?
docker inspect --format '{{.State.Running}}' $(docker ps -lq)
1.4 使用docker exec而不是sshd 或者 nsenter
如果你查看过Docker的发行版你会你会很清楚这个小技巧。exec在是在1.3版本中添加的新功能,可以让你在容器里面运行一个新的进程。这样你就不必运行sshd或者在主机上安装nscenter。
2. Dockerfiles
2.1 docker build支持git仓库
你不但可以从本地的Dockerfile中创建Docker镜像,你还可以简单的给docker build指定一个仓库的URL,然后docker build会为你做完余下的事情。
2.2 没有软件包列表
默认的镜像(如Ubuntu)是不包含软件包列表的,目的是让镜像体积更小。因此需要在任何的基础的Dockerfile中需要使用apt-get update。
2.3 留意软件包的版本
注意软件包的安装,因为这些命令也是会缓存起来的。意味着如果你清空了缓存,你可能会得到不同的版本;或者如果缓存长期不更新,你可能不会得到最新的安全更新。
2.4 小体积的基础镜像
在Docker Hub上有一个官方的真正零体积的Docker镜像,它的名字叫做scratch。所以如果你有这种需求,可以让你的镜像从零开始。而大多数的情况下,你最好还是从busybox开始,其大小只有2.5M。
2.5 FROM默认会获取最新的
如果在FROM关键字后你没有指定一个版本的tag,那么默认就会获取最新的。请注意这点,并确保尽可能的指定一个特定的版本。
2.6 shell或者是exec模式
在Dockerfile中可以通过两种方式来指定命令(如CMD RUN等)。如果你仅仅写下命令那么Docker会将其包裹在sh -c命令中执行。你也可以写成一个字符串数组的形式。数组的写法不需要依赖容器中的shell,因为其会使用go的exec。Docker的开发者建议使用后一种方式。
2.7 ADD vs COPY
ADD和COPY都能在创建容器的时候添加本地的文件。但是ADD有一些额外的魔力,如添加远程的文件、unzip或者untar一些文件包等。使用ADD之前请了解这种差别。
2.8 WORKDIR和ENV
每个命令都会创建一个新的临时镜像并在新的shell中运行,所以如果你在Dockerfile中不能运行 cd <directory>或者export <var>=<value>。使用WORKDIR在多个命令中设置工作目录并使用ENV来设置环境变量。
2.9 CMD和ENTRYPOINT
CMD是当一个镜像在运行时默认会执行的命令。默认的ENTRYPOINT是/bin/sh -c,然后CMD会以参数的形式被传入。我们可以在Dockerfile中覆盖ENTRYPOINT以让我们的容器像在接受命令行参数(默认的参数在Dockerfile中的CMD指定)。
Dockerfile中
ENTRYPOINT /bin/ls CMD ["-a"]
我们覆盖了命令行但是netrypoint仍然是ls
docker run training/ls -l
2.10 将ADD置于末尾
如果文件发生改变,ADD会让缓存失效。不要在Dockerfile中添加经常变化的东西,以避免让缓存失效。将你的代码放在最后,将库和依赖放在最前。对于Node.js的应用来说,这意味着将package.json放在前面,运行nmp install然后添加你的代码。
3. Docker的网络
Docker有一个内置的IP池,用来指定容器的ip地址。它对外是不可见的,通过桥接的网口可以访问到。
3.1 查找端口的映射
docker run接收显式的端口映射作为参数,或者你可以通过-P选项来映射所有的端口。第二种做法的好处是能防止冲突。可以通过以下命令查找指定的端口:
docker port containerID portNumber
或者
docker inspect --format '{{.NetworkSettings.Ports}}' containerID
3.2 容器的IP地址
每一个容器都拥有自己属于私有网段的IP地址(默认是172.17.0.0/16)。IP可能会在重启的时候发生变化,如果你想知道其地址,可以用:
docker inspect --format '{{.NetworkSettings.IPAddress}}' containerID
Docker会尝试检查冲突,在需要的情况下会使用不同的网段的地址。
3.3 接管主机的网络
docker run --net=host能重用网络。但是请不要这么做。
4. 卷(volume)
一个绕过目录或者单一文件写时复制(copy-on-write)的文件系统,接近零负载(绑定挂载)。
4.1 卷的内容在docker commit的时候不会被保存
在镜像建立后写入你的卷没有太多的意义。
4.2 卷默认是可读可写的
但是有一个:ro的标志。
4.3 卷和容器是分开存在的
卷只要有一个容器使用他们就会存在。可以在容器之间通过--volumes-from选项共享。
4.4 挂载你的docker.sock
你可以仅仅挂载docker.sock就能让你的容器访问到Docker的API。然后你可以在该容器中运行Docker的命令。这样容器甚至还可以杀死自己,在一个容器里面运行一个Docker的守护者进程是没有必要的。
5. 安全
5.1 以root身份运行Docker
Docker API能给root的访问权限,因为你可以将/映射成一个卷,然后读或者写。或者你可以通过--net host接管宿主机的网络。不要暴露Docker API如果你需要请使用TLS。
5.2 Dockerfile中的USER
默认下Docker可以以root的身份运行任何命令,但是你可以使用USER。Docker没有用户的命名空间,因此容器将用户看作是宿主机上的用户。但是仅仅是UID因而你需要在容器里面添加该用户。
5.3 使用TLS操作Docker API
Docker 1.3版本添加了对TLS的支持。他们使用手动的验证机制:客户端和服务端都有一个Key。把Key看做是root用户的密码。从1.3版本开始,Boot2docker默认使用TLS并且会为你生成key。
另外生成Key需要OpenSSL 1.0.1以上版本的支持,然后Docker daemon进程需要加上--tls-verify选项运行,Docker会使用安全的端口(2376)。