1.安装dockers,配置docker软件仓库
安装,可能需要开代理,这里我提前使用了下好的包安装
启动docker
systemctl enable --now docker
查看是否安装成功
2.简单命令
拉取镜像,也可以提前下载使用以下命令上传
docker load -i images-name(镜像包)
查看镜像
docker images
查看镜像信息
保存镜像
#保存镜像
docker image save nginx:latest -o nginx-latest.tar.gz
docker image save nginx:latest nginx:1.26-alpine -o nginx.tag.gz
#保存所有镜像
docker save `docker images | awk 'NR>1{print $1":"$2}'` -o images.tar.gz
删除镜像
运行docker容器
查看运行的docker容器
停止和启动容器
杀死容器,删除容器
docker kill test
docker rm nginx #删除停止的容器
docker rm -f busybox #删除运行的容器
docker container prune -f #删除所有停止的容器
3.构建镜像
docker build -t example:v1 . #构建镜像
镜像优化方案
减少镜像层,使用一条run命令
多阶段构建,先编译构建,在直接编译
vim Dockerfile(命名自定,默认是这个,使用自定义名字需要指定)FROM nginx:v1 as build
ADD nginx-1.24.0.tar.gz /mnt
WORKDIR /mnt/nginx-1.23.3
RUN yum install -y gcc make pcre-devel openssl-devel && sed -i 's/CFLAGS="$CFLAGS
-g"/#CFLAGS="$CFLAGS -g"/g' auto/cc/gcc && ./configure --with-http_ssl_module --
with-http_stub_status_module && make && make install && cd .. && rm -fr nginx1.23.3&& yum clean all
FROM nginx:v1
COPY --from=build /usr/local/nginx /usr/local/nginx
EXPOSE 80
VOLUME ["/usr/local/nginx/html"]
CMD ["/usr/local/nginx/sbin/nginx", "-g", "daemon off;"]
使用最精简构建,下载官方最小的镜像,然后使用多阶段镜像构建
4.搭建仓库,registry仓库
下载registry镜像,开启registry
docker pull registry
docker run -d -p 5000:5000 --restart=always --name test registry
docker ps 查看运行情况,上传镜像,给镜像打标签
docker tag busybox:latest 172.25.254.100:5000/busybox:latest
提供加密服务,生成证书,这里我建立了当前路径下的certs,将证书和密钥建立到了certs下面,这里路径可按自我需求写
openssl req -newkey rsa:4096 \
-nodes -sha256 -keyout certs/timinglee.org.key \
-addext "subjectAltName = DNS:reg.timinglee.org" \
-x509 -days 365 -out certs/timinglee.org.crt
编译启动registry,路径和上面放证书的路径一致
docker run -d -p 443:443 --restart=always --name registry \
> --name registry -v /opt/registry:/var/lib/registry \
> -v /root/certs:/certs \
> -e REGISTRY_HTTP_ADDR=0.0.0.0:443 \
> -e REGISTRY_HTTP_TLS_CERTIFICATE=/certs/timinglee.org.crt \
> -e REGISTRY_HTTP_TLS_KEY=/certs/timinglee.org.key registry
给客户端生成证书
mkdir /etc/docker/certs.d/reg.timinglee.org/ -p #建立客户端的证书目录
cp /root/certs/timinglee.org.crt /etc/docker/certs.d/reg.timinglee.org/ca.crt #将生成的证书写进去
systemctl restart docker #启动docker
docker push reg.timinglee.org/busybox:latest #拉取镜像#访问测试curl -k https://reg.timinglee.org/v2/_catalog
测试成功效果
配置harbor仓库
下载harbor压缩包并解压,切换到harbor目录,复制一份配置文件,编辑配置文件,将证书信息和主机信息以及密码改为自己的信息上去然后安装
tar zxf harbor-offline-installer-v2.5.4.tgz
cd harbor/
cp harbor.yml.tmpl harbor.ymlvim harbor.yml
hostname: reg.timinglee.org
certificate: /data/certs/timinglee.org.crt
private_key: /data/certs/timinglee.org.key
harbor_admin_password: lee# ./install.sh --with-chartmuseum
访问地址或者域名,需要解析,测试效果如下
5.dockers的安全加固
dockers的默认隔离性,和操作系统共用,不安全
使用lxcfs增加隔离性
安装lxcfs
运行lxcfs
容器特权的限制
默认都允许
使用参数限制
6.dockers compose,查看配置和配置文件
docker compose管理命令
启动,删除,重启,开始,停止等
查看compose日志