案例说明
运行 3 个容器,实现对网站的监控。
三个容器的说明:
- 容器
web
: 创建自 nginx 映像,使用 80 端口,运行于后台,实现 web 服务。 - 容器
mailer
: 该容器中运行一个 mailer 程序,运行于后台,当接收到事件后会向管理员发送邮件。 - 容器
agent
: 该容器运行一个 watcher 程序,以交互模式运行,用于不断地监测 web 服务的运行情况,一旦出现故障会立即向mailer
容器发送消息。
创建容器
创建并运行 web 容器
命令执行后,docker 会从 Docker Hub 上下载 nginx:latest
映像文件,根据该映像文件开启一个容器,并在容器中运行 nginx 程序。
运行后,会输出一行字符串,该字符串为该容器的唯一标识符,类似 7cb5d2b9a7eab87f07182b5bf58936c9947890995b1b94f412912fa822a9ecb5
。通常我们可以将该标识符保存到一个变量里,以便于在其它命令中使用。
--detach
选项使得该容器在后台运行,也可以用其缩写版本 -d
。
--name web
将当前容器命名为 web
,以便之后引用。
创建并运行 mailer 容器
创建并运行一个交互式的容器 agent
一个交互式的程序可以从用户获取输入或将输出显示到终端中。在 Docker 中运行交互式程序需要将你的终端绑定到容器的输入或输出上。
运行一个交互式容器如下:
--interactive
或 -i
选项告诉 Docker 为该容器开启标准输入 (stdin)。 --tty
或 -t
选项告诉 Docker 为该容器分配一个虚拟终端,以便于向容器发送信号。通常这两个选项是一起使用的,合记为 -it
。
--link web:web
选项使得当前容器中能用 myweb
来引用 容器 web。
最后,/bin/sh
是指定在该容器中运行的程序,运行后,可以在 sh 中运行 wget -O - http://myweb:80/
来检测容器 web 的运行情况。这里的 wget
命令实现向 nginx 服务器发送请求,并将获取的页面内容输出到终端上。
通用 --tty
开启的交互式容器,可以使用 Ctrl-P Q
来使其转入后台运行。
运行 agent 容器
该容器会每 1 秒对容器 web 检测一次,并输出类似 System up.
等信息。当看到这些信息后,可以用 Ctrl-P Q
将其转入后台运行。
容器命令
docker ps
docker ps
会列出每个正在运行的容器的下面信息:
- 容器 ID
- 使用的映像文件
- 在容器中运行的命令
- 自容器创建后的时间
- 容器已运行的时间
- 容器使用的端口号
- 容器的名称
重启容器
查看容器的日志
由于容器 agent 对容器 web 进行了多次请求,故上面的命令会输出一长串的 GET / HTTP/1.0" 200
。
容器运行是的每条输出(或错误输出)都会保存到容器的日志文件中,因此,只要容器一直在运行,它的日志文件会不断的变大。由于没有截断的手段,因而最好用 Volume 来处理日志数据。
mailer 的日志输出类似: CH2 Example Mailer has started.
docker logs
命令添加 --follow
或 -f
选项时,会一直保持运行,并持续显示最新的日志。可以用 Ctrl C
中断。
关闭容器
以上命令将中止容器中的 PID #1 程序的运行。
容器 web 中止后,容器 agent 将触发对容器 mailer 的请求,进而可以看到容器 mailer 中相关日志 Sending email: To: admin@work Message: The service is down!
已解决的问题及 PID 命名空间
PID 命名空间是可用于标识进程的一个数集。Linux 可创建多个 PID 命名空间,每个命名空间中使用的 PID 相互独立,即每个命名空间都各自可使用 1, 2, 3 等而互不干扰。
Docker 默认为每个容器创建一个 PID 命名空间:
运行这两个容器后,
可以看到,每个容器中使用的 PID 都是独立的,例如都有 PID #1。
要使容器不创建自己的 PID 命名空间,在运行 docker create
或 docker run
时要加上 --pid host
选项:
以上命令将列出机器上的所有运行中的进程。
Docker 解决的问题
Docker 基于 Linux namespace, file system roots, virtualized network components 实现的容器隔离性解决了如下的冲突问题:
- 多个程序想绑定到相同的端口
- 多个程序想使用相同的临时文件名
- 各程序想使用全局安装的代码库的不同版本
- 相同程序的不同进程想使用相同的 PID 文件
- 多个程序同时修改环境变量
消除 metaconflicts:创建一个网站集群
metaconflicts 即容器间的冲突。
继续上面的例子,这次开启多组 web + agent 容器对,然后只开启一个 mailer 容器,所有的 agent 都将事件发送给容器 mailer。
灵活的容器标识
当执行 docker run -d --name webid nginx
时,生成的容器的名称为 webid,容器的名称不能重复。当没有使用 --name
选项时,Docker 会自动为我们创建一个易读的唯一容器名。
也可以重命名容器:
每个容器还有一个 1024 位的十六进制编码的唯一 ID,如 7cb5d2b9a7eab87f07182b5bf58936c9947890995b1b94f412912fa822a9ecb5
。可以通过这个 ID 对该容器进行引用。如:
该 ID 值是完全唯一的,即永远不会冲突,若要想在同一台机器上保持唯一性,只需取其前 12 个字符长的字符串即可,因此,上面的命令也可以这样:
容器 ID 值不适合人读,但可在脚本处理或自动化程序中使用。
如何获取容器 ID
当开启一个在后台运行的容器时,容器 ID 会自动输出到终端,因此可以获取。但如果开启的是交互式的容器,就不能获取 ID。这种情况下可以先用 docker create
命令创建一个容器(不立即运行),该命令和 docker run
的格式完成一样,同样也会输出容器的 ID。
将 ID 值保存到一个 Shell 变量中:
这种方式获取的 ID 只能在一个脚本或程序中使用,不能在多个程序间共享。如果要在多个程序间共享该容器 ID 值,可以将值保存在 container ID(CID) 文件中。docker run
和 docker create
命令都可以用 --cidfile
选项指定 CID 文件的位置,如:
然后用 cat /tmp/web.cid
来获取该值。用这种方式时, CID 文件可能会冲突。幸运的是,当指定的 CID 冲突时(即该文件已经存在),Docker 会报错,不会创建该容器。 CID 文件可以在多个容器间共享,并且可以通过 Volume 功能进行重命名。
另一种获取 ID 的方式是使用 docker ps
:
这种方式获取的是截取的 12 字节长的 ID,要想获取整个 ID,要加 --no-trunc
选项。
容器 ID 不适合人使用,因此 Docker 还会为容器自动创建一个可读的唯一名字,名字的结构是: 一个形容词_某个名人的名字,如 hungry_swartz
, distracted_turing
等。
容器的状态及其依赖
用脚本加载容器:
以上针对 web, agent 容器的命令只是创建容器,还没有运行,因此 docker ps
默认不会列出 web, agent 这两个容器,要想查看所有状态的容器,使用 docker ps -a
。
容器的所有状态为: running, paused, restarting, exited 等。各状态相互转化如下:
容器创建后,再开启:
但运行以上的命令会出错:
这是因为 agent 容器依赖于 web 容器,故要先启动 web 容器,如下:
创建环境无关的系统
安装软件和维护的工作量主要在于对计算环境的定制。这种定制工作有:
- 全局依赖(如主机上的文件系统位置)
- 硬编码的部署架构(如在代码或配置中检测变量值)
- 数据的存储位置(如数据保存在一个特定的机器上)
Docker 可以利用以下 3 个特性来帮助实现环境无关的系统,从而减少维护量:
- 只读文件系统
- 环境变量注入
- Volume
本次实现的案例是使用 Docker 运行多个 WordPress 博客。每个博客共享 WordPress 程序,只是博客内容不同。
只读文件系统
使用 --read-only
选项开启一个只读的 WordPress 容器:
--read-only
确保该容器的内容不可修改。
执行后,再使用 docker inspect --format "" wp
来查看容器是否已经开启了,输出 true 和 false。
这里会输出 false,用 docker logs wp
查看日志:
可见,WordPress 依赖 MySQL。
使用 docker 运行一个 Mysql 容器:
上面命令中的 -e
选项向容器注入了一个环境变量值,以便容器使用。
现在再开启一个新的 WordPress 容器,并与 MySQL 数据库连接起来:
再查看该容器是否已正常运行:
发现还是没有启动,用 docker logs wp2
再次检查,可看到类似以下的日志:
可以看到因为 WordPress 容器是只读的,从而无法生成一个 lock 文件,而导致该容器启动失败。
因此,需要通过挂载 Volume 使该只读容器中的某些目录可写:
上面 -v /datadir
选项使得主机上的某个临时目录挂载到容器中的 /datadir 目录。
至此,一个可用于开启 WordPress 及监控程序的脚本如下:
环境变量注入
很多程序可根据环境变量进行配置。而 Docker 也会利用环境变量来共享主机名、容器等信息,同时还有可向容器注入环境变量的机制。
env
命令可列出当前会话上下文里的所有环境变量值。向容器注入环境变量并显示:
上面的 --env
或 -e
选项可用来向容器注入环境变量值,如果映像里已经设置了该变量,那么本次设置会覆盖原来的设置值。
WordPress 用到下面这些环境变量:
- WORDPRESS_DB_HOST
- WORDPRESS_DB_USER
- WORDPRESS_DB_PASSWORD
- WORDPRESS_DB_NAME
- WORDPRESS_AUTH_KEY
- WORDPRESS_SECURE_AUTH_KEY
- WORDPRESS_LOGGED_IN_KEY
- WORDPRESS_NONCE_KEY
- WORDPRESS_AUTH_SALT
- WORDPRESS_SECURE_AUTH_SALT
- WORDPRESS_LOGGED_IN_SALT
- WORDPRESS_NONCE_SALT
创建 WordPress 容器时这样注入环境变量:
要能开启多个 WordPress 容器,还需要为每个容器指定使用的数据库名:
至此,可以更新启动脚本了:
创建可持续运行的容器
Docker 的选项可用于监测并自动重启容器。
自动重启容器
在创建容器时,可用 --restart
选项指定以下的重启策略:
- 不重启(默认)
- 当检测到某种条件后才重启
- 不管什么情况问题重启
重启的等待时间采用 exponential backoff strategy。
采用这种方式重启会有空白时间,期间容器没有启动。
使用监管程序来保持容器运行
监管进程,或者 init 进程,可用来加载和维护其它进程状态。在 Linux 上,PID #1 是一个 init 进程,它用于开启所有其它系统进程,并且当出现异常时重启这些系统进程。
在容器中也可以采用类似的模式,主要可用的监管程序有 init, systemd, runit, upstart 和 supervisord 等。
Tutum 公司有一个 Docker 映像,包含 LAMP 和 supervisord,通过以下方式运行容器后可确保该容器一直运行:
可以用 docker exec lamp-test ps
来查看容器中当前运行的进程,可以看到运行有 supervisord, mysqld_safe 和 apache2 等进程。
现可以测试 supervisord 的监控重启功能,先 kill 掉 apache2 进程:
当 apache2 结束后,supervisord 会记录日志,并重启该进程,可用 docker logs lamp-test
查看:
使用 entrypoint 脚本
相对于使用 init 或监管程序,另一种方法是使用启动脚本(通常的脚本名为 entrypoint.sh) 来至少检测容器能正常开启的一些先决条件。这个启动脚本有时也会用作容器的默认开启程序。
例如,之前开启的 WordPress 容器中就有一个启动脚本,它会在开启 WordPress 进程前先验证和配置相关的环境变量。可以通过覆盖默认命令为 cat 来查看该启动脚本:
以上命令覆盖设置了默认命令为 cat, 同时最后的 /entrypoint.sh
为该默认命令的参数。
启动脚本 + Docker 的重启策略是确保容器持续运行的重要方式。
清理
所有的容器都会使用硬盘空间来存储日志、容器元数据和写入容器内的文件。所有容器也会消耗全局命名空间的资源(如容器名,主机端口绑定等)。因此,不再使用的容器应该要删除。
状态为 exited
的容器可以用 docker rm container_name
来删除,而其它状态(如 running, paused, restarting) 的容器必须用 docker stop container_name
先关闭后才能删除,或者用 docker rm -f container_name
来强制删除。
docker stop
会向容器发送 SIG_HUG
信号,从而容器有时间来进行一些清理工作,而强制删除会向容器发送 SIG_KILL
信号,从而直接退出。 docker kill
命令也可用于向容器发送 SIG_KILL
信号 。
docker run
命令加 --rm
选项时,该容器在运行退出后,即状态为 existed 时,会自动删除,如:
下面的命令能删除所有的容器(没有退出的会强制删除):
-
-v
选项表示一并删除容器的 Volumes -
-q
选项表示只列出容器的数字 ID
参考文献:
- 《Docker in Action》by Jeff Nickoloff: Running software in containers