24条 Docker 建议

TES GLOBAL,我们已经爱上Docker并从Docker的0.8版本开始就在生产环境中使用它。我们的很多开发者都参加了在DockerCon欧洲上的培训。下面是我们总结的一些tips,希望可以帮到已经有Docker基础的同学。

24条 Docker 建议

1. CLI

1.1 美化docker ps的输出

将Docker ps的输出通过管道到less -S,这样表格式的行就不会被折叠。

  1. docker ps - a | less -S

1.2 刷新日志

docker的日志不会即时刷新,除非你使用了-F选项:

  1. docker logs <containerid>-F

1.3 从docker inspect中获取一个单一的值

docker inspect默认会输出大量的JSON格式的数据。你可以用jq,来得到某一特定键的值。或者你可以使用内置的go模板功能:

最后一个docker容器现在运转正常吗?

  1. docker inspect --format '{{.State.Running}}' $(docker ps -lq)

1.4 使用docker exec而不是sshd 或者 nsenter

如果你查看过Docker的发行版你会你会很清楚这个小技巧。exec在是在1.3版本中添加的新功能,可以让你在容器里面运行一个新的进程。这样你就不必运行sshd或者在主机上安装nscenter。

2. Dockerfiles

2.1 docker build支持git仓库

你不但可以从本地的Dockerfile中创建Docker镜像,你还可以简单的给docker build指定一个仓库的URL,然后docker build会为你做完余下的事情。

2.2 没有软件包列表

默认的镜像(如Ubuntu)是不包含软件包列表的,目的是让镜像体积更小。因此需要在任何的基础的Dockerfile中需要使用apt-get update。

2.3 留意软件包的版本

注意软件包的安装,因为这些命令也是会缓存起来的。意味着如果你清空了缓存,你可能会得到不同的版本;或者如果缓存长期不更新,你可能不会得到最新的安全更新。

2.4 小体积的基础镜像

在Docker Hub上有一个官方的真正零体积的Docker镜像,它的名字叫做scratch。所以如果你有这种需求,可以让你的镜像从零开始。而大多数的情况下,你最好还是从busybox开始,其大小只有2.5M。

2.5 FROM默认会获取最新的

如果在FROM关键字后你没有指定一个版本的tag,那么默认就会获取最新的。请注意这点,并确保尽可能的指定一个特定的版本。

2.6 shell或者是exec模式

在Dockerfile中可以通过两种方式来指定命令(如CMD RUN等)。如果你仅仅写下命令那么Docker会将其包裹在sh -c命令中执行。你也可以写成一个字符串数组的形式。数组的写法不需要依赖容器中的shell,因为其会使用go的exec。Docker的开发者建议使用后一种方式。

2.7 ADD vs COPY

ADD和COPY都能在创建容器的时候添加本地的文件。但是ADD有一些额外的魔力,如添加远程的文件、unzip或者untar一些文件包等。使用ADD之前请了解这种差别。

2.8 WORKDIR和ENV

每个命令都会创建一个新的临时镜像并在新的shell中运行,所以如果你在Dockerfile中不能运行 cd <directory>或者export <var>=<value>。使用WORKDIR在多个命令中设置工作目录并使用ENV来设置环境变量。

2.9 CMD和ENTRYPOINT

CMD是当一个镜像在运行时默认会执行的命令。默认的ENTRYPOINT是/bin/sh -c,然后CMD会以参数的形式被传入。我们可以在Dockerfile中覆盖ENTRYPOINT以让我们的容器像在接受命令行参数(默认的参数在Dockerfile中的CMD指定)。

Dockerfile中

ENTRYPOINT /bin/ls
CMD ["-a"]

我们覆盖了命令行但是netrypoint仍然是ls

docker run training/ls -l

2.10 将ADD置于末尾

如果文件发生改变,ADD会让缓存失效。不要在Dockerfile中添加经常变化的东西,以避免让缓存失效。将你的代码放在最后,将库和依赖放在最前。对于Node.js的应用来说,这意味着将package.json放在前面,运行nmp install然后添加你的代码。

3. Docker的网络

Docker有一个内置的IP池,用来指定容器的ip地址。它对外是不可见的,通过桥接的网口可以访问到。

3.1 查找端口的映射

docker run接收显式的端口映射作为参数,或者你可以通过-P选项来映射所有的端口。第二种做法的好处是能防止冲突。可以通过以下命令查找指定的端口:

  1. docker port containerID portNumber

或者

  1. docker inspect --format '{{.NetworkSettings.Ports}}' 
  2. containerID

3.2 容器的IP地址

每一个容器都拥有自己属于私有网段的IP地址(默认是172.17.0.0/16)。IP可能会在重启的时候发生变化,如果你想知道其地址,可以用:

  1. docker inspect --format '{{.NetworkSettings.IPAddress}}' containerID

Docker会尝试检查冲突,在需要的情况下会使用不同的网段的地址。

3.3 接管主机的网络

docker run --net=host能重用网络。但是请不要这么做。

4. 卷(volume)

一个绕过目录或者单一文件写时复制(copy-on-write)的文件系统,接近零负载(绑定挂载)。

4.1 卷的内容在docker commit的时候不会被保存

在镜像建立后写入你的卷没有太多的意义。

4.2 卷默认是可读可写的

但是有一个:ro的标志。

4.3 卷和容器是分开存在的

卷只要有一个容器使用他们就会存在。可以在容器之间通过--volumes-from选项共享。

4.4 挂载你的docker.sock

你可以仅仅挂载docker.sock就能让你的容器访问到Docker的API。然后你可以在该容器中运行Docker的命令。这样容器甚至还可以杀死自己,在一个容器里面运行一个Docker的守护者进程是没有必要的。

5. 安全

5.1 以root身份运行Docker

Docker API能给root的访问权限,因为你可以将/映射成一个卷,然后读或者写。或者你可以通过--net host接管宿主机的网络。不要暴露Docker API如果你需要请使用TLS。

5.2 Dockerfile中的USER

默认下Docker可以以root的身份运行任何命令,但是你可以使用USER。Docker没有用户的命名空间,因此容器将用户看作是宿主机上的用户。但是仅仅是UID因而你需要在容器里面添加该用户。

5.3 使用TLS操作Docker API

Docker 1.3版本添加了对TLS的支持。他们使用手动的验证机制:客户端和服务端都有一个Key。把Key看做是root用户的密码。从1.3版本开始,Boot2docker默认使用TLS并且会为你生成key。

另外生成Key需要OpenSSL 1.0.1以上版本的支持,然后Docker daemon进程需要加上--tls-verify选项运行,Docker会使用安全的端口(2376)。

Docker 的详细介绍:请点这里
Docker 的下载地址:请点这里

原文: http://csaba.palfi.me/random-docker-tips/
译文: http://dockerone.com/article/59

相关推荐