文章目录
- 1. 数据卷
- - bind mount
- - docker managed volume
- - convoy插件(跨主机)
- 2. 安全/资源控制
- - docker限额
- ``LXCFS``增强
- 3. 快速安装
1. 数据卷
- bind mount
将主机上的目录或文件mount到容器里,使用直观高效。
docker run -d --name demo -v /opt/website:/usr/share/nginx/html nginx默认rw方式挂载,支持指定读写方式,-v选项指定的路径,如果不存在,挂载时会自动创建。
docker run -it --name demo1 -v /etc/yum.repos.d/dvd.repo:/etc/yum.repos.d/dvd.repo:ro rhel7 bash- docker managed volume
不需要指定mount源,docker自动为容器创建数据卷目录。
默认创建的数据卷目录都在/var/lib/docker/volumes 中。
如果挂载时指向容器内已有的目录,原有数据会被复制到volume中。
# 创建webdata卷
docker volume create webdata# 将volume挂载到容器内
docker run -d --name demo -v website:/usr/share/nginx/html nginx若不指定volume,会自动在/var/lib/docker/volumes中创建随机目录。如果挂载时指向容器内已有的目录,原有数据会被复制到volume中
- convoy插件(跨主机)
支持三种运行方式:devicemapper、NFS、EBS。
基于NFS方式的配置如下。
首先在节点1部署NFS,并配置访问权限
yum install -y nfs-utils
vim /etc/exports/mnt/nfs *(rw,no_root_squash)重启NFS,解压convoy插件包,加入bash运行环境目录
systemctl start nfs
tar zxf convoy.tar.gz
mv convoy/convoy* /usr/local/bin/配置缺省目录,运行convoy插件
mkdir -p /etc/docker/plugins/
echo "unix:///var/run/convoy/convoy.sock" > /etc/docker/plugins/convoy.spec
convoy daemon --drivers vfs --driver-opts vfs.path=/mnt/nfs &在节点2上,挂载节点1的共享目录:
mount 172.25.52.1:/mnt/nfs /mnt/nfs/同样解压convoy包,配置缺省目录以及运行convoy,操作同节点1;
在节点1上创建convoy卷:
convoy create vol1
convoy list
在节点2上可以看到在节点1上创建的卷:
在节点2上启动容器,挂载vol1,添加文件:
docker run -it --name vm11 -v vol1:/data --volume-driver=convoy busybox:latest
在节点1上同样挂载vol1,查看文件内容,文件已经成功同步。
docker run -it --name demo -v vol1:/data --volume-driver=convoy busybox:latest
在节点2删除vol1:
convoy delete vol1
会在节点1同步删除:
2. 安全/资源控制
当docker run启动一个容器时,Docker将在后台为容器创建一个独立的命名空间。命名空间提供了最基础也最直接的隔离,但仍然有很多资源和对象是不能被 Namespace 化的。
当docker run启动一个容器时,Docker将在后台为容器创建一个独立的控制组策略集合。 Linux Cgroups(Linux Control Group)提供了很多有用的特性,确保各容器可以公平地分享主机的内存、CPU、磁盘IO等资源。文件和目录的方式组织在操作系统的/sys/fs/cgroup 路径下。
mount -t cgroup #执行此命令查看在/sys/fs/cgroup 下面有很多诸如cpuset、cpu、 memory这样的子目录,也叫子系统。
在每个子系统下面,为每个容器创建一个控制组(即创建一个新目录)。
控制组下面的资源文件里填上什么值,就靠用户执行 docker run时的参数指定。
- docker限额
- cpu限额
cpu_period和cpu_quota这两个参数需要组合使用,用来限制进程在长度为cpu_period的一段时间内,只能被分配到总量为cpu_quota的CPU时间,以上设置表示10%的cpu时间。
docker run -it --rm --cpu-period=100000 --cpu-quota=10000 busybox在busybox中后台运行命令占用cpu
dd if=/dev/zero of=/dev/null &
- 内存限额
容器可用内存包括两个部分:物理内存和swap交换分区-memory设置内存使用限额--memory-swap设置swap交换分区限额
docker run -it --rm --memory 200M --memory-swap=0M busybox- Block IO限制
--device-write-bps限制写设备的bps目前的block IO限制只对direct IO有效。(不使用文件缓存)
docker run -it --rm --device-write-bps /dev/vda:30MB ubuntu
LXCFS增强
利用LXCFS增强docker容器隔离性和资源可见性
yum install -y lxcfs-2.0.5-3.el7.centos.x86_64.rpm
lxcfs /var/lib/lxcfs &
docker run -it -m 256m \
-v /var/lib/lxcfs/proc/cpuinfo:/proc/cpuinfo:rw \
-v /var/lib/lxcfs/proc/diskstats:/proc/diskstats:rw \
-v /var/lib/lxcfs/proc/meminfo:/proc/meminfo:rw \
-v /var/lib/lxcfs/proc/stat:/proc/stat:rw \
-v /var/lib/lxcfs/proc/swaps:/proc/swaps:rw \
-v /var/lib/lxcfs/proc/uptime:/proc/uptime:rw \
ubuntu
有的时候我们需要容器具备更多的权限,比如操作内核模块,控制swap交换分区,挂载USB磁盘,修改MAC地址等,但是默认运行是是以伪root身份运行,无法真正对以上模块进行修改。
- 设置特权级运行的容器:
--privileged=true
未加参数运行时无法添加网卡
添加参数运行
docker run -it --rm --privileged=true busybox
- 设置容器白名单:
--cap-add
--privileged=true的权限非常大,接近于宿主机的权限,为了防止用户的滥用,需要增加限制,只提供给容器必须的权限。此时Docker提供了权限白名单的机制,使用--cap-add单独添加必要的权限。
单独添加网络操作权限:
docker run -it --cap-add=NET_ADMIN --name vm1 ubuntu详细操作手册http://man7.org/linux/man-pages/man7/capabilities.7.html
3. 快速安装
Docker Machine 是 Docker 官方编排(Orchestration)项目之一,负责在多种平台上快速安装 Docker 环境。
- 下载安装
docker machine
mv docker-machine-Linux-x86_64-0.16.1 /usr/local/bin/docker-machine
chmod +x /usr/local/bin/docker-machine- 准备安装脚本与docker源
在真机apache发布目录,下载官方安装文件,编辑内容
wget get.docker.com
mv index.html get-docker.sh
vim get-docker.sh72 has_rootless_extras="0"
431 http://172.25.52.250/docker-ce.repo配置docker源
vim docker-ce.repo[docker]
name=docker-ce
baseurl=http://172.25.52.250/docker-ce
gpgcheck=0- 配置SSH免密
在虚拟机控制端
ssh-keygen
ssh-copy-id server4- 远程推送安装
在虚拟机控制端
docker-machine create --driver generic --engine-install-url "http://172.25.52.250/get-docker.sh" --generic-ip-address=172.25.52.4 server4
