一、理论

1.Docker 容器操作

2.Docker 网络

二、实验

1.Docker 容器操作

2.Docker 网络

2.Docker 的网络模式

三、问题

1. 批量删除所有容器未生效

2.使用bridge模式指定IP运行docker报错

3.未显示bridge网络模式名称

四、总结

一、理论

1.Docker 容器操作

（1）容器创建

就是将镜像加载到容器的过程。

新创建的容器默认处于停止状态，不运行任何程序，需要在其中发起一个进程来启动容器。

格式：docker create [选项] 镜像常用选项：
-i：让容器开启标准输入
-t：让 Docker 分配一个伪终端 tty
-it :合起来实现和容器交互的作用，运行一个交互式会话 shell

（2）查看容器的运行状态

docker ps -a			#-a 选项可以显示所有的容器

（3）启动容器

格式：docker start 容器的ID/名称

例：

docker start 12a87fc485f3
docker ps -a

（4）创建并启动容器

可以直接执行 docker run 命令，等同于先执行 docker create 命令，再执行 docker start 命令。

注意：容器是一个与其中运行的 shell 命令共存亡的终端，命令运行容器运行，命令结束容器退出。

当利用 docker run 来创建容器时， Docker 在后台的标准运行过程是：

①检查本地是否存在指定的镜像。当镜像不存在时，会从公有仓库下载；
②利用镜像创建并启动一个容器；
③分配一个文件系统给容器，在只读的镜像层外面挂载一层可读写层；
④从宿主主机配置的网桥接口中桥接一个虚拟机接口到容器中；
⑤分配一个地址池中的 IP 地址给容器；
⑥执行用户指定的应用程序，执行完毕后容器被终止运行。

docker run centos:7 /usr/bin/bash -c ls /
docker ps -a					#会发现创建了一个新容器并启动执行一条 shell 命令，之后就停止了

（5）在后台持续运行 docker run 创建的容器

需要在 docker run 命令之后添加 -d 选项让 Docker 容器以守护形式在后台运行。并且容器所运行的程序不能结束。

docker run -d centos:7 /usr/bin/bash -c "while true;do echo hello;done"docker ps -a					#可以看出容器始终处于 UP，运行状态docker run -itd --name test1 centos:7 /bin/bash

(6) 终止容器运行

格式：docker stop 容器的ID/名称

例:

方法一：
docker stop 容器id/名称方法二：
docker kill  容器id/名称    #直接杀死进程

(7)容器的进入

需要进入容器进行命令操作时，可以使用 docker exec 命令进入运行着的容器。

格式：docker exec -it 容器ID/名称 /bin/bash-i 选项表示让容器的输入保持打开；
-t 选项表示让 Docker 分配一个伪终端。

例：

docker start 2592d3fad0fb					#进入容器前，确保容器正在运行
docker exec -it 2592d3fad0fb /bin/bash
ls
exit				#退出容器后，容器仍在运行
docker ps -a

(8) 容器的导出与导入

用户可以将任何一个 Docker 容器从一台机器迁移到另一台机器。在迁移过程中，可以使用docker export 命令将已经创建好的容器导出为文件，无论这个容器是处于运行状态还是停止状态均可导出。可将导出文件传输到其他机器，通过相应的导入命令实现容器的迁移。

导出格式：docker export 容器ID/名称 > 文件名

例：

docker export 3800b511f1fd > centos7.tar

导入格式：cat 文件名 | docker import – 镜像名称:标签

例：

cat centos7tar | docker import - centos7:test			#导入后会生成镜像，但不会创建容器

(9)删除容器

格式：docker rm [-f] 容器ID/名称

例：

#删除已经终止状态的容器
docker rm 2592d3fad0fb				#强制删除正在运行的容器
docker rm -f 2592d3fad0fb			#批量停止容器 
docker ps -a | awk 'NR>=2{print "docker stop "$1}' | bash	
docker ps -a | awk 'NR>=2{print $1}'| xargs docker stop#批量删除所有容器
docker ps -a | awk 'NR>=2{print "docker rm "$1}' | bash		
docker ps -a | awk 'NR>=2{print $1}'| xargs docker rm		#批量删除镜像docker images | awk 'NR>=2{print "docker rmi "$3}' | bash	
docker images | grep none | awk '{print $3}' | xargs docker rmi		#批量清理后台停止的容器
docker rm $(docker ps -a -q)		#查看日志
docker logs id号或者容器名

2.Docker 网络

(1) Docker 网络实现原理

① Docker使用Linux桥接，在宿主机虚拟一个Docker容器网桥(docker0)，Docker启动一个容器时会根据Docker网桥的网段分配给容器一个IP地址，称为Container-IP，同时Docker网桥是每个容器的默认网关。因为在同一宿主机内的容器都接入同一个网桥，这样容器之间就能够通过容器的 Container-IP 直接通信。

② Docker网桥是宿主机虚拟出来的，并不是真实存在的网络设备，外部网络是无法寻址到的，这也意味着外部网络无法直接通过 Container-IP 访问到容器。如果容器希望外部访问能够访问到，可以通过映射容器端口到宿主主机（端口映射），即 docker run 创建容器时候通过 -p 或 -P 参数来启用，访问容器的时候就通过[宿主机IP]:[容器端口]访问容器。

docker run -d --name test3 -P nginx
#随机映射端口( 从32768开始)

docker run -d --name test4 -p 43000:80 nginx
#指定映射端口

浏览器访问验证：

http://192.168.204.140:43000

http://192.168.204.140:32768

(2) Docker 的网络模式

① Host：容器将不会虚拟出自己的网卡，配置自己的IP等，而是使用宿主机的IP和端口。

② Container：创建的容器不会创建自己的网卡，配置自己的IP，而是和一个指定的容器共享IP、端口范围。

③ None：该模式关闭了容器的网络功能。

④ Bridge：默认为该模式，此模式会为每一个容器分配、设置IP等，并将容器连接到一个docker0虚拟网桥，通过docker0网桥以及iptables nat 表配置与宿主机通信。

⑤ 自定义网络

(3) 指定容器的网络模式

●host模式：使用 --net=host 指定。●none模式：使用 --net=none 指定。●container模式：使用 --net=container:NAME_or_ID 指定。●bridge模式：使用 --net=bridge 指定，默认设置，可省略。

安装Docker时，它会自动创建三个网络，bridge（创建容器默认连接到此网络）、 none 、host

docker network ls				#查看docker网络列表

(4) 网络模式详解

①host模式

相当于Vmware中的桥接模式，与宿主机在同一个网络中，但没有独立IP地址。

Docker使用了Linux的Namespaces技术来进行资源隔离，如PID Namespace隔离进程，Mount Namespace隔离文件系统，Network Namespace隔离网络等。

一个Network Namespace提供了一份独立的网络环境，包括网卡、路由、iptable规则等都与其他的Network Namespace隔离。一个Docker容器一般会分配一个独立的Network Namespace。但如果启动容器的时候使用host模式，那么这个容器将不会获得一个独立的Network Namespace，而是和宿主机共用一个Network Namespace。容器将不会虚拟出自己的网卡、配置自己的IP等，而是使用宿主机的IP和端口。

②container模式

在理解了host模式后，这个模式也就好理解了。这个模式指定新创建的容器和已经存在的一个容器共享一个Network Namespace，而不是和宿主机共享。新创建的容器不会创建自己的网卡，配置自己的IP，而是和一个指定的容器共享IP、端口范围等。同样，两个容器除了网络方面，其他的如文件系统、进程列表等还是隔离的。两个容器的进程可以通过lo网卡设备通信。

#--name 选项可以给容器创建一个自定义名称
[root@localhost ~]# docker run -itd --name test1 centos:7 /bin/bash			[root@localhost ~]# docker ps -a
CONTAINER ID   IMAGE      COMMAND       CREATED         STATUS         PORTS     NAMES
12656b5d6a80   centos:7   "/bin/bash"   4 seconds ago   Up 4 seconds             test1
[root@localhost ~]# docker inspect -f '{{.State.Pid}}' 12656b5d6a80
6023#查看容器的进程、网络、文件系统等命名空间编号
[root@localhost ~]# ls -l /proc/6023/ns
总用量 0
lrwxrwxrwx 1 root root 0 8月  15 16:20 ipc -> ipc:[4026532623]
lrwxrwxrwx 1 root root 0 8月  15 16:20 mnt -> mnt:[4026532621]
lrwxrwxrwx 1 root root 0 8月  15 16:18 net -> net:[4026532626]
lrwxrwxrwx 1 root root 0 8月  15 16:20 pid -> pid:[4026532624]
lrwxrwxrwx 1 root root 0 8月  15 16:20 user -> user:[4026531837]
lrwxrwxrwx 1 root root 0 8月  15 16:20 uts -> uts:[4026532622]
[root@localhost ~]# docker run -itd --name test2 --net=container:12656b5d6a80 centos:7 /bin/bash
40de9c07eebc27ccee08751c9ac533d374997d4ac00e848c220c28222ab0db82
[root@localhost ~]# docker ps -a
CONTAINER ID   IMAGE      COMMAND       CREATED         STATUS         PORTS     NAMES
40de9c07eebc   centos:7   "/bin/bash"   2 seconds ago   Up 2 seconds             test2
12656b5d6a80   centos:7   "/bin/bash"   5 minutes ago   Up 5 minutes             test1
[root@localhost ~]# docker inspect -f '{{.State.Pid}}' 40de9c07eebc
6161#查看可以发现两个容器的 net namespace 编号相同
[root@localhost ~]# ls -l /proc/6161/ns
总用量 0
lrwxrwxrwx 1 root root 0 8月  15 16:25 ipc -> ipc:[4026532742]
lrwxrwxrwx 1 root root 0 8月  15 16:25 mnt -> mnt:[4026532740]
lrwxrwxrwx 1 root root 0 8月  15 16:25 net -> net:[4026532626]
lrwxrwxrwx 1 root root 0 8月  15 16:25 pid -> pid:[4026532743]
lrwxrwxrwx 1 root root 0 8月  15 16:25 user -> user:[4026531837]
lrwxrwxrwx 1 root root 0 8月  15 16:25 uts -> uts:[4026532741]

③none模式

使用none模式，Docker容器拥有自己的Network Namespace，但是，并不为Docker容器进行任何网络配置。也就是说，这个Docker容器没有网卡、IP、路由等信息。这种网络模式下容器只有lo回环网络，没有其他网卡。这种类型的网络没有办法联网，封闭的网络能很好的保证容器的安全性。

④ Bridge模式

bridge模式是docker的默认网络模式，不写--net参数，就是bridge模式。

相当于Vmware中的 nat 模式，容器使用独立network Namespace，并连接到docker0虚拟网卡。通过docker0网桥以及iptables nat表配置与宿主机通信，此模式会为每一个容器分配Network Namespace、设置IP等，并将一个主机上的 Docker 容器连接到一个虚拟网桥上。

1）当Docker进程启动时，会在主机上创建一个名为docker0的虚拟网桥，此主机上启动的Docker容器会连接到这个虚拟网桥上。虚拟网桥的工作方式和物理交换机类似，这样主机上的所有容器就通过交换机连在了一个二层网络中。

2）从docker0子网中分配一个IP给容器使用，并设置docker0的IP地址为容器的默认网关。在主机上创建一对虚拟网卡veth pair设备。veth设备总是成对出现的，它们组成了一个数据的通道，数据从一个设备进入，就会从另一个设备出来。因此，veth设备常用来连接两个网络设备。

3）Docker将veth pair 设备的一端放在新创建的容器中，并命名为eth0（容器的网卡），另一端放在主机中，以veth*这样类似的名字命名，并将这个网络设备加入到docker0网桥中。可以通过 brctl show 命令查看。

4）使用 docker run -p 时，docker实际是在iptables做了DNAT规则，实现端口转发功能。可以使用iptables -t nat -vnL 查看。

(5) 自定义网络

直接使用bridge，无法支持指定IP运行docker

可以先自定义网络，再使用指定IP运行docker


#可以先自定义网络，再使用指定IP运行docker
docker network create --subnet=172.18.0.0/16 --opt "com.docker.network.bridge.name"="docker1"  mynetwork#mynetwork 为执行 docker network list 命令时，显示的bridge网络模式名称。
docker run -itd --name test4 --net mynetwork --ip 172.18.0.10 centos:7 /bin/bash

进入容器后无法使用ifconfig命令查看ip地址，需手动安装组件才能使用此命令

yum install -y net-tools

二、实验

1.Docker 容器操作

（1）容器创建

就是将镜像加载到容器的过程。

新创建的容器默认处于停止状态，不运行任何程序，需要在其中发起一个进程来启动容器。

（2）查看容器的运行状态

（3）启动容器

（4）创建并启动容器

可以直接执行 docker run 命令，等同于先执行 docker create 命令，再执行 docker start 命令。

（5）在后台持续运行 docker run 创建的容器

需要在 docker run 命令之后添加 -d 选项让 Docker 容器以守护形式在后台运行。并且容器所运行的程序不能结束。

一直在运行

容器在后台一直执行命令

运行中

(6) 终止容器运行

(7)容器的进入

需要进入容器进行命令操作时，可以使用 docker exec 命令进入运行着的容器。

(8) 容器的导出与导入

导入后会生成镜像，但不会创建容器

(9)删除容器

删除已经终止状态的容器

强制删除正在运行的容器

批量停止容器

批量删除所有容器

批量删除镜像

2.Docker 网络

(1)Docker 网络实现原理

①随机映射端口( 从32768开始)

②指定映射端口

③浏览器访问验证：

2.Docker 的网络模式

（1）查看docker网络列表

安装Docker时，它会自动创建三个网络，bridge（创建容器默认连接到此网络）、 none 、host

（2）container模式

运行容器test1

查看容器进程号

查看容器的进程、网络、文件系统等命名空间编号

运行容器test2

查看可以发现两个容器的 net namespace 编号相同

（3）自定义网络

创建自定义网络

显示bridge网络模式名称

直接使用bridge模式指定IP运行docker

三、问题

1. 批量删除所有容器未生效

（1）查看

（2）原因分析

先中止，然后删除已经终止状态的容器：docker rm

强制删除正在运行的容器：docker rm -f

（3）生效

2.使用bridge模式指定IP运行docker报错

(1) 报错

（2）原因分析

直接使用bridge模式，是无法支持指定IP运行docker的

（3）解决方法

可以先自定义网络，再使用指定IP运行docker

3.未显示bridge网络模式名称

（1）显示网卡名

docker1 为执行 ifconfig -a 命令时，显示的网卡名，如果不使用 --opt 参数指定此名称，那你在使用 ifconfig -a 命令查看网络信息时，看到的是类似 br-110eb56a0b22 这样的名字，这显然不怎么好记。

（2）mynetwork 为执行 docker network list 命令时，显示的bridge网络模式名称

4.Docker中create,start,run三种命令关系

（1）create

　docker create <image-id>命令可以理解为为指定镜像添加一个读写层，就构成了容器，正如上面所说容器=镜像+读写层。但此时容器并未运行起来。如下图:

（2）start

docker start <container-id>命令是为容器的文件系统创建了一个进程隔离空间，注意：每个容器只能有一个进程隔离空间，因为进程隔离所以外部的信息访问不到内部的，这时候就需要端口映射，将容器内的正在运行端口映射到外部Linux系统上。这样就可以通过访问Linux的端口从而访问到Docker中。这个端口通常是我们项目接受请求的端口，比如MySQL要运行在Docker上需要映射3306端口等。这时候容器是属于运行起来了的状态。项目可以正常接收请求和发布请求了。

（3）run

docker run <image-id>这个命令相当于create+start，即如下图：