案例说明

运行 3 个容器,实现对网站的监控。

三个容器的说明:

  • 容器 web: 创建自 nginx 映像,使用 80 端口,运行于后台,实现 web 服务。
  • 容器 mailer: 该容器中运行一个 mailer 程序,运行于后台,当接收到事件后会向管理员发送邮件。
  • 容器 agent: 该容器运行一个 watcher 程序,以交互模式运行,用于不断地监测 web 服务的运行情况,一旦出现故障会立即向 mailer 容器发送消息。

创建容器

创建并运行 web 容器



$ docker run --detach --name web nginx:latest



命令执行后,docker 会从 Docker Hub 上下载 nginx:latest 映像文件,根据该映像文件开启一个容器,并在容器中运行 nginx 程序。

运行后,会输出一行字符串,该字符串为该容器的唯一标识符,类似 7cb5d2b9a7eab87f07182b5bf58936c9947890995b1b94f412912fa822a9ecb5。通常我们可以将该标识符保存到一个变量里,以便于在其它命令中使用。

--detach 选项使得该容器在后台运行,也可以用其缩写版本 -d

--name web 将当前容器命名为 web,以便之后引用。

创建并运行 mailer 容器



$ docker run -d --name mailer dockerinaction/ch2_mailer



创建并运行一个交互式的容器 agent

一个交互式的程序可以从用户获取输入或将输出显示到终端中。在 Docker 中运行交互式程序需要将你的终端绑定到容器的输入或输出上。

运行一个交互式容器如下:



$ docker run --interactive --tty \
    --link web:myweb \
    --name web_test \
    busybox:latest /bin/sh



--interactive 或 -i 选项告诉 Docker 为该容器开启标准输入 (stdin)。 --tty 或 -t选项告诉 Docker 为该容器分配一个虚拟终端,以便于向容器发送信号。通常这两个选项是一起使用的,合记为 -it

--link web:web 选项使得当前容器中能用 myweb 来引用 容器 web。

最后,/bin/sh 是指定在该容器中运行的程序,运行后,可以在 sh 中运行 wget -O - http://myweb:80/ 来检测容器 web 的运行情况。这里的 wget 命令实现向 nginx 服务器发送请求,并将获取的页面内容输出到终端上。

通用 --tty 开启的交互式容器,可以使用 Ctrl-P Q 来使其转入后台运行。

运行 agent 容器



$ docker run -it \
    --name agent \
    --link web:insideweb \
    --link mailer:insidemailer \
    dockerinaction/ch2_agent



该容器会每 1 秒对容器 web 检测一次,并输出类似 System up. 等信息。当看到这些信息后,可以用 Ctrl-P Q 将其转入后台运行。

容器命令

docker ps

docker ps 会列出每个正在运行的容器的下面信息:

  • 容器 ID
  • 使用的映像文件
  • 在容器中运行的命令
  • 自容器创建后的时间
  • 容器已运行的时间
  • 容器使用的端口号
  • 容器的名称

重启容器



$ docker restart web
$ docker restart mailer
$ docker restart agent



查看容器的日志



$ docker logs web



由于容器 agent 对容器 web 进行了多次请求,故上面的命令会输出一长串的 GET / HTTP/1.0" 200

容器运行是的每条输出(或错误输出)都会保存到容器的日志文件中,因此,只要容器一直在运行,它的日志文件会不断的变大。由于没有截断的手段,因而最好用 Volume 来处理日志数据。



$ docker logs mailer



mailer 的日志输出类似: CH2 Example Mailer has started.

docker logs 命令添加 --follow 或 -f 选项时,会一直保持运行,并持续显示最新的日志。可以用 Ctrl C 中断。

关闭容器



$ docker stop web



以上命令将中止容器中的 PID #1 程序的运行。

容器 web 中止后,容器 agent 将触发对容器 mailer 的请求,进而可以看到容器 mailer 中相关日志 Sending email: To: admin@work Message: The service is down!

已解决的问题及 PID 命名空间

PID 命名空间是可用于标识进程的一个数集。Linux 可创建多个 PID 命名空间,每个命名空间中使用的 PID 相互独立,即每个命名空间都各自可使用 1, 2, 3 等而互不干扰。

Docker 默认为每个容器创建一个 PID 命名空间:



$ docker run -d --name namespaceA \
    busybox:latest /bin/sh -c "sleep 30000"
$ docker run -d --name namespaceB \
    busybox:latest /bin/sh -c "nc -l -p 0.0.0.0:80"



运行这两个容器后,



$ docker exec namespaceA ps

PID   USER     TIME   COMMAND
    1 root       0:00 /bin/sh -c sleep 30000
    6 root       0:00 sleep 30000
    7 root       0:00 ps


$ docker exec namespaceB ps

PID   USER     TIME   COMMAND
    1 root       0:00 /bin/sh -c nc -l -p 0.0.0.0:80
    5 root       0:00 nc -l -p 0.0.0.0:80
    6 root       0:00 ps



可以看到,每个容器中使用的 PID 都是独立的,例如都有 PID #1。

要使容器不创建自己的 PID 命名空间,在运行 docker create 或 docker run 时要加上 --pid host 选项:



$ docker run --pid host busybox:latest ps



以上命令将列出机器上的所有运行中的进程。

Docker 解决的问题

Docker 基于 Linux namespace, file system roots, virtualized network components 实现的容器隔离性解决了如下的冲突问题:

  • 多个程序想绑定到相同的端口
  • 多个程序想使用相同的临时文件名
  • 各程序想使用全局安装的代码库的不同版本
  • 相同程序的不同进程想使用相同的 PID 文件
  • 多个程序同时修改环境变量

消除 metaconflicts:创建一个网站集群

metaconflicts 即容器间的冲突。

继续上面的例子,这次开启多组 web + agent 容器对,然后只开启一个 mailer 容器,所有的 agent 都将事件发送给容器 mailer。

灵活的容器标识

当执行 docker run -d --name webid nginx 时,生成的容器的名称为 webid,容器的名称不能重复。当没有使用 --name 选项时,Docker 会自动为我们创建一个易读的唯一容器名。

也可以重命名容器:



$ docker rename webid webid-old



每个容器还有一个 1024 位的十六进制编码的唯一 ID,如 7cb5d2b9a7eab87f07182b5bf58936c9947890995b1b94f412912fa822a9ecb5。可以通过这个 ID 对该容器进行引用。如:



docker stop \
    7cb5d2b9a7eab87f07182b5bf58936c9947890995b1b94f412912fa822a9ecb5



该 ID 值是完全唯一的,即永远不会冲突,若要想在同一台机器上保持唯一性,只需取其前 12 个字符长的字符串即可,因此,上面的命令也可以这样:



```bash
docker stop 7cb5d2b9a7ea



容器 ID 值不适合人读,但可在脚本处理或自动化程序中使用。

如何获取容器 ID

当开启一个在后台运行的容器时,容器 ID 会自动输出到终端,因此可以获取。但如果开启的是交互式的容器,就不能获取 ID。这种情况下可以先用 docker create 命令创建一个容器(不立即运行),该命令和 docker run 的格式完成一样,同样也会输出容器的 ID。

将 ID 值保存到一个 Shell 变量中:



CID=$(docker create nginx:latest)
echo $CID



这种方式获取的 ID 只能在一个脚本或程序中使用,不能在多个程序间共享。如果要在多个程序间共享该容器 ID 值,可以将值保存在 container ID(CID) 文件中。docker run 和 docker create 命令都可以用 --cidfile 选项指定 CID 文件的位置,如:



$ docker create --cidfile /tmp/web.cid ngix



然后用 cat /tmp/web.cid 来获取该值。用这种方式时, CID 文件可能会冲突。幸运的是,当指定的 CID 冲突时(即该文件已经存在),Docker 会报错,不会创建该容器。 CID 文件可以在多个容器间共享,并且可以通过 Volume 功能进行重命名。

另一种获取 ID 的方式是使用 docker ps:



CID=$(docker ps --latest --quiet) # or CID=$(docker ps -l -q)
echo $CID



这种方式获取的是截取的 12 字节长的 ID,要想获取整个 ID,要加 --no-trunc 选项。

容器 ID 不适合人使用,因此 Docker 还会为容器自动创建一个可读的唯一名字,名字的结构是: 一个形容词_某个名人的名字,如 hungry_swartzdistracted_turing等。

容器的状态及其依赖

用脚本加载容器:



MAILER_CID=$(docker run -d dockerinaction/ch2_mailer) WEB_CID=$(docker create nginx) AGENT_CID=$(docker create --link $WEB_CID:insideweb \ --link $MAILER_CID:insidemailer \ dockerinaction/ch2_agent)



以上针对 web, agent 容器的命令只是创建容器,还没有运行,因此 docker ps 默认不会列出 web, agent 这两个容器,要想查看所有状态的容器,使用 docker ps -a

容器的所有状态为: running, paused, restarting, exited 等。各状态相互转化如下:



 

docker运行一个本机应用 一个docker容器运行多个应用_docker


容器创建后,再开启:


docker start $AGENT_CID
docker start $WEB_ID


但运行以上的命令会出错:


Error response from daemon: Cannot start container
03e65e3c6ee34e714665a8dc4e33fb19257d11402b151380ed4c0a5e38779d0a: Cannot
link to a non running container: /clever_wright AS /modest_hopper/
insideweb
FATA[0000] Error: failed to start one or more containers


这是因为 agent 容器依赖于 web 容器,故要先启动 web 容器,如下:


docker start $WEB_ID
docker start $AGENT_CID


创建环境无关的系统

安装软件和维护的工作量主要在于对计算环境的定制。这种定制工作有:

  • 全局依赖(如主机上的文件系统位置)
  • 硬编码的部署架构(如在代码或配置中检测变量值)
  • 数据的存储位置(如数据保存在一个特定的机器上)

Docker 可以利用以下 3 个特性来帮助实现环境无关的系统,从而减少维护量:

  • 只读文件系统
  • 环境变量注入
  • Volume

本次实现的案例是使用 Docker 运行多个 WordPress 博客。每个博客共享 WordPress 程序,只是博客内容不同。

只读文件系统

使用 --read-only 选项开启一个只读的 WordPress 容器:


$ docker run -d --name wp --read-only wordpress:4


--read-only 确保该容器的内容不可修改。

执行后,再使用 docker inspect --format "" wp 来查看容器是否已经开启了,输出 true 和 false。

这里会输出 false,用 docker logs wp 查看日志:


error: missing required WORDPRESS_DB_PASSWORD environment variable
  Did you forget to -e WORDPRESS_DB_PASSWORD=... ?

  (Also of interest might be WORDPRESS_DB_USER and WORDPRESS_DB_NAME.)


可见,WordPress 依赖 MySQL。

使用 docker 运行一个 Mysql 容器:


$ docker run -d --name wpdb \
    -e MYSQL_ROOT_PASSWORD=ch2demo \ mysql:5


上面命令中的 -e 选项向容器注入了一个环境变量值,以便容器使用。

现在再开启一个新的 WordPress 容器,并与 MySQL 数据库连接起来:


$ docker run -d --name wp2 \
    --link wpdb:mysql \ -p 80 --read-only \ wordpress:4


再查看该容器是否已正常运行:


$ docker inspect --format "" wp2


发现还是没有启动,用 docker logs wp2 再次检查,可看到类似以下的日志:


Fatal Error Unable to create lock file: Bad file descriptor (9)


可以看到因为 WordPress 容器是只读的,从而无法生成一个 lock 文件,而导致该容器启动失败。

因此,需要通过挂载 Volume 使该只读容器中的某些目录可写:


# start the container with specific volumes for read only exceptions
$ docker run -d --name wp3 --link wpdb:mysql -p 80 \ -v /run/lock/apach2/ \ -v /run/apache2/ \ --read-only wordpress:4


上面 -v /datadir 选项使得主机上的某个临时目录挂载到容器中的 /datadir 目录。

至此,一个可用于开启 WordPress 及监控程序的脚本如下:


SQL_CID=$(docker create -e MYSQL_ROOT_PASSWORD=ch2demo mysql:5) docker start $SQL_CID MAILER_CID=$(docker create dockerinaction/ch2_mailer) docker start $MAILER_CID WP_CID=$(docker create --link $SQL_CID:mysql -p 80\ -v /run/lock/apache2/ -v /run/apache2/ \ --read-only wordpress:4) docker start $WP_CID AGENT_CID=$(docker create --link $WP_CID:insideweb \ --link $MAILER_CID:insidemailer \ dockerinaction/ch2_agent) docker start $AGENT_CID


环境变量注入

很多程序可根据环境变量进行配置。而 Docker 也会利用环境变量来共享主机名、容器等信息,同时还有可向容器注入环境变量的机制。

env 命令可列出当前会话上下文里的所有环境变量值。向容器注入环境变量并显示:


$ docker run --env MY_ENVIRONMENT_VAR="this is a test" \ busybox:latest env


上面的 --env 或 -e 选项可用来向容器注入环境变量值,如果映像里已经设置了该变量,那么本次设置会覆盖原来的设置值。

WordPress 用到下面这些环境变量:

  • WORDPRESS_DB_HOST
  • WORDPRESS_DB_USER
  • WORDPRESS_DB_PASSWORD
  • WORDPRESS_DB_NAME
  • WORDPRESS_AUTH_KEY
  • WORDPRESS_SECURE_AUTH_KEY
  • WORDPRESS_LOGGED_IN_KEY
  • WORDPRESS_NONCE_KEY
  • WORDPRESS_AUTH_SALT
  • WORDPRESS_SECURE_AUTH_SALT
  • WORDPRESS_LOGGED_IN_SALT
  • WORDPRESS_NONCE_SALT

创建 WordPress 容器时这样注入环境变量:


$ docker create 
    --env WORDPRESS_DB_HOST=<my_database_hostname> 、
    --env WORDPRESS_DB_USER=site_admin \ --env WORDPRESS_DB_PASSWORD=MeowMix42 \ wordpress:4


要能开启多个 WordPress 容器,还需要为每个容器指定使用的数据库名:


docker create --link wpdb:mysql \
    -e WORDPRESS_DB_NAME=client_a_wp wordpress:4 docker create --link wpdb:mysql \ -e WORDPRESS_DB_NAME=client_b_wp wordpress:4


至此,可以更新启动脚本了:


# 先启动 mysql 和 mailer 容器:
DB_CLD=$(docker run -d -e MYSQL_ROOT_PASSWORD=ch2demo mysql:5) MAILER_CID=$(docker run -d dockerinaction/ch2_mailer) # 假设 $CLIENT_ID 变量会传入脚本 if [ ! -n "$CLIENT_ID" ]; then echo "Client ID not set" exit 1 fi WP_CID=$(docker create \ --link $DB_CID:mysql \ --name wp_$CLIENT_ID \ -p 80 \ -v /run/lock/apach2/ -v /run/apache2/ \ -e WORDPRESS_DB_NAME=$CLIENT_ID \ --read-only wordpress:4) docker start $WP_CID AGENT_CID=$(docker create \ --name agent_$CLIENT_ID \ --link $WP_CID:insideweb \ --link $MAILER_CID:insidemailer \ dockerinaction/ch2_agent) docker start $AGENT_CID


创建可持续运行的容器

Docker 的选项可用于监测并自动重启容器。

自动重启容器

在创建容器时,可用 --restart 选项指定以下的重启策略:

  • 不重启(默认)
  • 当检测到某种条件后才重启
  • 不管什么情况问题重启

重启的等待时间采用 exponential backoff strategy。

采用这种方式重启会有空白时间,期间容器没有启动。

使用监管程序来保持容器运行

监管进程,或者 init 进程,可用来加载和维护其它进程状态。在 Linux 上,PID #1 是一个 init 进程,它用于开启所有其它系统进程,并且当出现异常时重启这些系统进程。

在容器中也可以采用类似的模式,主要可用的监管程序有 init, systemd, runit, upstart 和 supervisord 等。

Tutum 公司有一个 Docker 映像,包含 LAMP 和 supervisord,通过以下方式运行容器后可确保该容器一直运行:


$ docker run -d -p 80:80 --name lamp-test tutum/lamp


可以用 docker exec lamp-test ps 来查看容器中当前运行的进程,可以看到运行有 supervisord, mysqld_safe 和 apache2 等进程。


PID TTY          TIME CMD
    1 ?        00:00:00 supervisord
  439 ?        00:00:00 mysqld_safe
  440 ?        00:00:00 apache2
  827 ?        00:00:00 ps


现可以测试 supervisord 的监控重启功能,先 kill 掉 apache2 进程:


$ docker exec lamp-test kill 440 # 440 是 apache2 的 PID


当 apache2 结束后,supervisord 会记录日志,并重启该进程,可用 docker logs lamp-test 查看:


2016-10-10 01:23:39,784 INFO exited: apache2 (exit status 0; expected)
2016-10-10 01:23:40,787 INFO spawned: 'apache2' with pid 841
2016-10-10 01:23:41,821 INFO success: apache2 entered RUNNING state, process has stayed up for > than 1 seconds (startsecs)


使用 entrypoint 脚本

相对于使用 init 或监管程序,另一种方法是使用启动脚本(通常的脚本名为 entrypoint.sh) 来至少检测容器能正常开启的一些先决条件。这个启动脚本有时也会用作容器的默认开启程序。

例如,之前开启的 WordPress 容器中就有一个启动脚本,它会在开启 WordPress 进程前先验证和配置相关的环境变量。可以通过覆盖默认命令为 cat 来查看该启动脚本:


$ docker run --entrypoint="cat" wordpress:4 /entrypoint.sh


以上命令覆盖设置了默认命令为 cat, 同时最后的 /entrypoint.sh 为该默认命令的参数。

启动脚本 + Docker 的重启策略是确保容器持续运行的重要方式。

清理

所有的容器都会使用硬盘空间来存储日志、容器元数据和写入容器内的文件。所有容器也会消耗全局命名空间的资源(如容器名,主机端口绑定等)。因此,不再使用的容器应该要删除。

状态为 exited 的容器可以用 docker rm container_name 来删除,而其它状态(如 running, paused, restarting) 的容器必须用 docker stop container_name 先关闭后才能删除,或者用 docker rm -f container_name 来强制删除。

docker stop 会向容器发送 SIG_HUG 信号,从而容器有时间来进行一些清理工作,而强制删除会向容器发送 SIG_KILL 信号,从而直接退出。 docker kill 命令也可用于向容器发送 SIG_KILL 信号 。

docker run 命令加 --rm 选项时,该容器在运行退出后,即状态为 existed 时,会自动删除,如:


$ docker run --rm --name auto-exit-test busybox:latest echo Hello World


下面的命令能删除所有的容器(没有退出的会强制删除):


$ docker rm -vf $(docker ps -a -q)


  • -v 选项表示一并删除容器的 Volumes
  • -q 选项表示只列出容器的数字 ID

参考文献: