【分享】24條Docker使用建議
在TES GLOBAL,我們已經(jīng)愛(ài)上Docker并從Docker的0.8版本開(kāi)始就在生產(chǎn)環(huán)境中使用它。我們的很多開(kāi)發(fā)者都參加了在DockerCon歐洲上的培訓(xùn)。下面是我們總結(jié)的一些tips,希望可以幫到已經(jīng)有Docker基礎(chǔ)的同學(xué)。
1. CLI
1.1 美化docker ps的輸出
將Docker ps的輸出通過(guò)管道到less -S,這樣表格式的行就不會(huì)被折疊。
- docker ps - a | less -S
1.2 刷新日志
docker的日志不會(huì)即時(shí)刷新,除非你使用了-F選項(xiàng):
- docker logs <containerid> -F
1.3 從docker inspect中獲取一個(gè)單一的值
docker inspect默認(rèn)會(huì)輸出大量的JSON格式的數(shù)據(jù)。你可以用jq,來(lái)得到某一特定鍵的值。或者你可以使用內(nèi)置的go模板功能:
- 最后一個(gè)docker容器現(xiàn)在運(yùn)轉(zhuǎn)正常嗎?
- docker inspect --format '{{.State.Running}}' $(docker ps -lq)
1.4 使用docker exec而不是sshd 或者 nsenter
如果你查看過(guò)Docker的發(fā)行版你會(huì)你會(huì)很清楚這個(gè)小技巧。exec在是在1.3版本中添加的新功能,可以讓你在容器里面運(yùn)行一個(gè)新的進(jìn)程。這樣你就不必運(yùn)行sshd或者在主機(jī)上安裝nscenter。
2. Dockerfiles
2.1 docker build支持git倉(cāng)庫(kù)
你不但可以從本地的Dockerfile中創(chuàng)建Docker鏡像,你還可以簡(jiǎn)單的給docker build指定一個(gè)倉(cāng)庫(kù)的URL,然后docker build會(huì)為你做完余下的事情。
2.2 沒(méi)有軟件包列表
默認(rèn)的鏡像(如Ubuntu)是不包含軟件包列表的,目的是讓鏡像體積更小。因此需要在任何的基礎(chǔ)的Dockerfile中需要使用apt-get update。
2.3 留意軟件包的版本
注意軟件包的安裝,因?yàn)檫@些命令也是會(huì)緩存起來(lái)的。意味著如果你清空了緩存,你可能會(huì)得到不同的版本;或者如果緩存長(zhǎng)期不更新,你可能不會(huì)得到最新的安全更新。
2.4 小體積的基礎(chǔ)鏡像
在Docker Hub上有一個(gè)官方的真正零體積的Docker鏡像,它的名字叫做scratch。所以如果你有這種需求,可以讓你的鏡像從零開(kāi)始。而大多數(shù)的情況下,你最好還是從busybox開(kāi)始,其大小只有2.5M。
2.5 FROM默認(rèn)會(huì)獲取最新的
如果在FROM關(guān)鍵字后你沒(méi)有指定一個(gè)版本的tag,那么默認(rèn)就會(huì)獲取最新的。請(qǐng)注意這點(diǎn),并確保盡可能的指定一個(gè)特定的版本。
2.6 shell或者是exec模式
在Dockerfile中可以通過(guò)兩種方式來(lái)指定命令(如CMD RUN等)。如果你僅僅寫下命令那么Docker會(huì)將其包裹在sh -c命令中執(zhí)行。你也可以寫成一個(gè)字符串?dāng)?shù)組的形式。數(shù)組的寫法不需要依賴容器中的shell,因?yàn)槠鋾?huì)使用go的exec。Docker的開(kāi)發(fā)者建議使用后一種方式。
2.7 ADD vs COPY
ADD和COPY都能在創(chuàng)建容器的時(shí)候添加本地的文件。但是ADD有一些額外的魔力,如添加遠(yuǎn)程的文件、unzip或者untar一些文件包等。使用ADD之前請(qǐng)了解這種差別。
2.8 WORKDIR和ENV
每個(gè)命令都會(huì)創(chuàng)建一個(gè)新的臨時(shí)鏡像并在新的shell中運(yùn)行,所以如果你在Dockerfile中不能 運(yùn)行 cd <directory>或者export <var>=<value>。使用WORKDIR在多個(gè)命令中設(shè)置工作目錄并使用ENV來(lái)設(shè)置環(huán)境變量。
2.9 CMD和ENTRYPOINT
CMD是當(dāng)一個(gè)鏡像在運(yùn)行時(shí)默認(rèn)會(huì)執(zhí)行的命令。默認(rèn)的ENTRYPOINT是/bin/sh -c,然后CMD會(huì)以參數(shù)的形式被傳入。我們可以在Dockerfile中覆蓋ENTRYPOINT以讓我們的容器像在接受命令行參數(shù)(默認(rèn)的參數(shù)在 Dockerfile中的CMD指定)。
- Dockerfile中
- ENTRYPOINT /bin/ls
- CMD ["-a"]
- 我們覆蓋了命令行但是netrypoint仍然是ls
- docker run training/ls -l
2.10 將ADD置于末尾
如果文件發(fā)生改變,ADD會(huì)讓緩存失效。不要在Dockerfile中添加經(jīng)常變化的東西,以避免讓緩存失 效。將你的代碼放在最后,將庫(kù)和依賴放在最前。對(duì)于Node.js的應(yīng)用來(lái)說(shuō),這意味著將package.json放在前面,運(yùn)行nmp install然后添加你的代碼。
#p#
3. Docker的網(wǎng)絡(luò)
Docker有一個(gè)內(nèi)置的IP池,用來(lái)指定容器的ip地址。它對(duì)外是不可見(jiàn)的,通過(guò)橋接的網(wǎng)口可以訪問(wèn)到。
3.1 查找端口的映射
docker run接收顯式的端口映射作為參數(shù),或者你可以通過(guò)-P選項(xiàng)來(lái)映射所有的端口。第二種做法的好處是能防止沖突。可以通過(guò)以下命令查找指定的端口:
- docker port containerID portNumber
- 或者
- docker inspect --format '{{.NetworkSettings.Ports}}'
- containerID
3.2 容器的IP地址
每一個(gè)容器都擁有自己屬于私有網(wǎng)段的IP地址(默認(rèn)是172.17.0.0/16)。IP可能會(huì)在重啟的時(shí)候發(fā)生變化,如果你想知道其地址,可以用:
- docker inspect --format '{{.NetworkSettings.IPAddress}}' containerID
Docker會(huì)嘗試檢查沖突,在需要的情況下會(huì)使用不同的網(wǎng)段的地址。
3.3 接管主機(jī)的網(wǎng)絡(luò)
docker run --net=host能重用網(wǎng)絡(luò)。但是請(qǐng)不要這么做。
4. 卷(volume)
一個(gè)繞過(guò)目錄或者單一文件寫時(shí)復(fù)制(copy-on-write)的文件系統(tǒng),接近零負(fù)載(綁定掛載)。
4.1 卷的內(nèi)容在docker commit的時(shí)候不會(huì)被保存
在鏡像建立后寫入你的卷沒(méi)有太多的意義。
4.2 卷默認(rèn)是可讀可寫的
但是有一個(gè):ro的標(biāo)志。
4.3 卷和容器是分開(kāi)存在的
卷只要有一個(gè)容器使用他們就會(huì)存在。可以在容器之間通過(guò)--volumes-from選項(xiàng)共享。
4.4 掛載你的docker.sock
你可以僅僅掛載docker.sock就能讓你的容器訪問(wèn)到Docker的API。然后你可以在該容器中運(yùn)行Docker的命令。這樣容器甚至還可以殺死自己,在一個(gè)容器里面運(yùn)行一個(gè)Docker的守護(hù)者進(jìn)程是沒(méi)有必要的。
5. 安全
5.1 以root身份運(yùn)行Docker
Docker API能給root的訪問(wèn)權(quán)限,因?yàn)槟憧梢詫?映射成一個(gè)卷,然后讀或者寫。或者你可以通過(guò)--net host接管宿主機(jī)的網(wǎng)絡(luò)。不要暴露Docker API如果你需要請(qǐng)使用TLS。
5.2 Dockerfile中的USER
默認(rèn)下Docker可以以root的身份運(yùn)行任何命令,但是你可以使用USER。Docker沒(méi)有用戶的命名空間,因此容器將用戶看作是宿主機(jī)上的用戶。但是僅僅是UID因而你需要在容器里面添加該用戶。
5.3 使用TLS操作Docker API
Docker 1.3版本添加了對(duì)TLS的支持。他們使用手動(dòng)的驗(yàn)證機(jī)制:客戶端和服務(wù)端都有一個(gè)Key。把Key看做是root用戶的密碼。從1.3版本開(kāi)始,Boot2docker默認(rèn)使用TLS并且會(huì)為你生成key。
另外生成Key需要OpenSSL 1.0.1以上版本的支持,然后Docker daemon進(jìn)程需要加上--tls-verify選項(xiàng)運(yùn)行,Docker會(huì)使用安全的端口(2376)。
