Docker 优化与拓展:数据卷、安全与容器编排工具
目次六. Docker 数据卷管理及优化
1. 为什么要用数据卷
2. bind mount 数据卷
3. docker managed 数据卷
4. 数据卷容器(Data Volume Container)
5. 备份与迁徙数据卷
七. Docker 的安全优化
1. 定名空隔断离的安全
2. 控制组资源控制的安全
3. 内核本领机制
4. Docker服务端防护
5. Docker的资源限定
5.1. 限定cpu利用
5.2. 限定内存利用
5.3. 限定docker的磁盘io
6. Docker的安全加固
6.1. Docker默认隔离性
6.2. 办理Docker的默认隔离性
6.3. 容器特权
6.4. 容器特权的白名单
八. 容器编排工具Docker Compose
1. Docker Compose 概述
2.告急功能
3.工作原理
5.Docker Compose 中的管理层
6. Docker Compose 的常用下令参数
7. Docker Compose 的yml文件
8. 服务(services)
9. 网络(networks)
10. 存储卷(volumes)
11. 企业示例
六. Docker 数据卷管理及优化
Docker 数据卷是一个可供容器利用的特殊目次,它绕过了容器的文件体系,直接将数据存储在宿主机 上。 如许可以实现以下几个告急的目的: 数据恒久化:纵然容器被删除或重新创建,数据卷中的数据仍然存在,不会丢失。 数据共享:多个容器可以同时挂载同一个数据卷,实现数据的共享和交互。 独立于容器生命周期:数据卷的生命周期独立于容器,不受容器的启动、制止和删除的影响。
1. 为什么要用数据卷
docker分层文件体系
[*] 性能差
[*] 生命周期与容器雷同
docker数据卷
[*] mount到主机中,绕开分层文件体系
[*] 和主机磁盘性能雷同,容器删除后依然保存
[*] 仅限当地磁盘,不能随容器迁徙
docker提供了两种卷
[*] bind mount
[*] docker managed volume
2. bind mount 数据卷
是将主机上的目次或文件mount到容器里。 利用直观高效,易于明白。 利用 -v 选项指定路径,格式 :-v选项指定的路径,假如不存在,挂载时会主动创建。
# mkdir /lee
# touch /lee/leefile{1..5}
# ls /lee
leefile1leefile2leefile3leefile4leefile5
# docker run -it --rm --name test \
> -v /lee:/data1:rw \
> -v /passwd:/data2/passwd busybox
/ # ls
bin data2etc lib proc sys usr
data1dev home lib64root tmp var
/ # ls data1
leefile1leefile2leefile3leefile4leefile5
/ # touch data
data1/data2/
/ # touch data1/leefile6
/ # ls /data1/
leefile1leefile2leefile3leefile4leefile5leefile6 3. docker managed 数据卷
[*] bind mount必须指定host文件体系路径,限定了移植性
[*] docker managed volume 不必要指定mount源,docker主动为容器创建数据卷目次
[*] 默认创建的数据卷目次都在 /var/lib/docker/volumes 中
[*] 假如挂载时指向容器内已有的目次,原有数据会被复制到volume中
# docker run -d --name mysql -e MYSQL_ROOT_PASSWORD='123' mysql:5.7
# docker inspect mysql
"Mounts": [
{
"Type": "volume",
"Name": "f1b497c3d2f4a933c02fa90851c80a38304bceb584f501f4e2621fc4b94679fe",
"Source": "/var/lib/docker/volumes/f1b497c3d2f4a933c02fa90851c80a38304bceb584f501f4e2621fc4b94679fe/_data",
# ll /var/lib/docker/volumes/f1b497c3d2f4a933c02fa90851c80a38304bceb584f501f4e2621fc4b94679fe/_data
total 188484
-rw-r----- 1 systemd-coredump input 56 Aug 30 23:49 auto.cnf
-rw------- 1 systemd-coredump input 1680 Aug 30 23:49 ca-key.pem
-rw-r--r-- 1 systemd-coredump input 1112 Aug 30 23:49 ca.pem
-rw-r--r-- 1 systemd-coredump input 1112 Aug 30 23:49 client-cert.pem
-rw------- 1 systemd-coredump input 1676 Aug 30 23:49 client-key.pem
-rw-r----- 1 systemd-coredump input 1318 Aug 30 23:50 ib_buffer_pool
-rw-r----- 1 systemd-coredump input 79691776 Aug 30 23:50 ibdata1
-rw-r----- 1 systemd-coredump input 50331648 Aug 30 23:50 ib_logfile0
-rw-r----- 1 systemd-coredump input 50331648 Aug 30 23:49 ib_logfile1
-rw-r----- 1 systemd-coredump input 12582912 Aug 30 23:50 ibtmp1
drwxr-x--- 2 systemd-coredump input 4096 Aug 30 23:50 mysql
lrwxrwxrwx 1 systemd-coredump input 27 Aug 30 23:50 mysql.sock -> /var/run/mysqld/mysqld.sock
drwxr-x--- 2 systemd-coredump input 8192 Aug 30 23:50 performance_schema
-rw------- 1 systemd-coredump input 1680 Aug 30 23:49 private_key.pem
-rw-r--r-- 1 systemd-coredump input 452 Aug 30 23:49 public_key.pem
-rw-r--r-- 1 systemd-coredump input 1112 Aug 30 23:49 server-cert.pem
-rw------- 1 systemd-coredump input 1680 Aug 30 23:49 server-key.pem
drwxr-x--- 2 systemd-coredump input 8192 Aug 30 23:50 sys
# docker volume prune
WARNING! This will remove anonymous local volumes not used by at least one container.
Are you sure you want to continue? y
Deleted Volumes:
d3479e5845a8d1727ab8d720f0559a7e2236d781548881991424912d09092ab0
f6b5d1ee9b388015614b4e9dc11d1536f25b24fd58a275c1de8af838e9ecf539
019e1e41fa374c2e8edaa23ff1514f1ce9b18a3996328a494c3d880144c68cdb
0f68c969b16834f2c39dd902da665f1613490effb0f90e2973c959a7e79ca6c3
21462c947587b966ccab7728cf511045ba50fe745c065577894400509444c8d8
c4130c67aea4726435b4b4e7238163dd1f61eb10841b5746aa68083e084e0a59
256e17e58358641e4b95929034f07cc96c2d7213c102a1045a3b721a0d857198
42274ca5837354b644b3032b7beca24c40405d2df4f40b764323308b1060f4b8
5b7ef29b670dde13fc187ca9f161daf3816ebd872c8dd36a309526450a74c46c
b256294b5a7be64fcfbb424f18e942617c4e5225b910bd2cffc0726d0e05c0d0
b6298e6e04b996e95ab337392ee9675f225e6a2407b64abad604e233c2d60738
c362eebbe748fa7cb5490eec5658460fb20106781c1325a743fdb5aa14e039a2
Total reclaimed space: 497.8MB
# ls -l /var/lib/docker/volumes
total 32
brw------- 1 root root 253, 0 Aug 30 21:57 backingFsBlockDev
drwx-----x 3 root root 19 Aug 30 23:49 f1b497c3d2f4a933c02fa90851c80a38304bceb584f501f4e2621fc4b94679fe
-rw------- 1 root root65536 Aug 30 23:54 metadata.db
#临时卷
# touch
ad74662b8d6bb6fdcc6e82925ae9942b94bac5f9da4bd52b0a14ac451ae9ef75/_data/leefile
#清理未使用的 Docker 数据卷
# docker volume prune
Note
1. 在执行 docker volume prune 命令之前,请确保你确实不再需要这些数据卷中的数据,因为
该操作是不可逆的,一旦删除数据将无法恢复。
2. 如果有重要的数据存储在数据卷中,建议先进行备份,或者确保数据已经被妥善保存到其他地方。
#永久卷
#建立数据卷
# docker volume create msyqldate
msyqldate
#查看卷
# docker volume ls
DRIVER VOLUME NAME
local f1b497c3d2f4a933c02fa90851c80a38304bceb584f501f4e2621fc4b94679fe
local msyqldate
#使用建立的数据卷
# docker run -d --rm --name mysql -e MYSQL_ROOT_PASSWORD='123' -v msyqldate:/var/lib/mysql mysql:5.7
cd5f6a15712a5b005481f7697da16389b77984e4dbe3e3de022469290e4ef935
# docker inspect mysql
"Mounts": [
{
"Type": "volume",
"Name": "msyqldate",
"Source": "/var/lib/docker/volumes/msyqldate/_data",
"Destination": "/var/lib/mysql",
"Driver": "local",
"Mode": "z",
"RW": true,
"Propagation": ""
}
],
# cd /var/lib/docker/volumes/msyqldate/_data
# ls
auto.cnf ibdata1 performance_schema
ca-key.pem ib_logfile0private_key.pem
ca.pem ib_logfile1public_key.pem
client-cert.pemibtmp1 server-cert.pem
client-key.pem mysql server-key.pem
ib_buffer_pool mysql.sock sys
# docker stop mysql
mysql
# docker ps -a
CONTAINER ID IMAGE COMMAND CREATED STATUS PORTS NAMES
# ll /var/lib/docker/volumes/msyqldate/_data
total 176196
-rw-r----- 1 systemd-coredump input 56 Aug 31 00:06 auto.cnf
-rw------- 1 systemd-coredump input 1680 Aug 31 00:06 ca-key.pem
-rw-r--r-- 1 systemd-coredump input 1112 Aug 31 00:06 ca.pem
#管理数据卷
# docker volume ls
DRIVER VOLUME NAME
local f1b497c3d2f4a933c02fa90851c80a38304bceb584f501f4e2621fc4b94679fe
local msyqldate
# docker volume rm f1b497c3d2f4a933c02fa90851c80a38304bceb584f501f4e2621fc4b94679fe
f1b497c3d2f4a933c02fa90851c80a38304bceb584f501f4e2621fc4b94679fe
# docker volume ls
DRIVER VOLUME NAME
local msyqldate 4. 数据卷容器(Data Volume Container)
数据卷容器(Data Volume Container)是 Docker 中一种特殊的容器,告急用于方便地在多个容器之间共享数据卷。
#建立数据卷容器
# docker volume create test
# docker run -it --name test1 \
-v test1:/etc busybox
/ # cd etc/
/etc # ls
/etc # exit
#重新打开一个会话,使用数据卷容器
# cd /var/lib/docker/volumes/test1/_data/
# ls
# touch zhuzhuxia 5. 备份与迁徙数据卷
#备份数据卷
#建立容器并指定使用卷到要备份的容器
# docker run -it --name test --rm -v test:/data busybox
# docker run -it --volumes-from test --rm --name test1 \
-v `pwd`:/backup busybox \ #再开一个会话#把当前目录挂在到容器中用于和容器交互保存要备份的容器
tar zcf /backup/data1.tar.gz /data1 #备份数据到本地
#数据恢复
docker run -it --name test -v leevol1:/data1 -v `pwd`:/backup busybox /bin/sh -
c "tar zxf /backup/data1.tar.gz;/bin/sh"
/ # ls
backup data1 etc lib proc sys usr
bin dev home lib64 root tmp var
/ # cd data1/ #查看数据迁移情况
/data1 # ls
index.html leefile1 七. Docker 的安全优化
Docker容器的安全性,很洪流平上依靠于Linux体系自身 评估Docker的安全性时,告急思量以下几个方面:
[*] Linux内核的定名空间机制提供的容器隔离安全
[*] Linux控制组机制对容器资源的控制本领安全。
[*] Linux内核的本领机制所带来的利用权限安全
[*] Docker步调(特殊是服务端)自己的抗攻击性。
[*] 其他安全加强机制对容器安全性的影响
#在rhel9中默认使用cgroup-v2 但是cgroup-v2中不利于观察docker的资源限制情况,所以推荐使用cgroup-v1
mount -t cgroup2#没有相关信息就没开
#grubby --update-kernel=/boot/vmlinuz-$(uname -r) \
--args="systemd.unified_cgroup_hierarchy=0
systemd.legacy_systemd_cgroup_controller" #重启生效 1. 定名空隔断离的安全
当docker run启动一个容器时,Docker将在背景为容器创建一个独立的定名空间。定名空间提供了最根本也最直接的隔离。 与捏造机方式相比,通过Linux namespace来实现的隔离不是那么彻底。 容器只是运行在宿主机上的一种特殊的历程,那么多个容器之间利用的就照旧同一个宿主机的利用体系内核。 在 Linux 内核中,有许多资源和对象是不能被 Namespace 化的,好比:磁盘等等。
# docker run -d --name web1 nginx
3c6b649a200fc56afafe9f47494903fe56e71cabcd534d6c9e6f8b5854f29cac
# docker inspect web1 | grep Pid
"Pid": 1733,
"PidMode": "",
"PidsLimit": null,
# cd /proc/1733/ns/ #进程的namespace
# ls
cgroup ipc mnt net pid pid_for_children time time_for_children user uts
# ls -d /sys/fs/cgroup/memory/docker/3c6b649a200fs省略部分
854f29cac/ #资源隔离信息
/sys/fs/cgroup/system.slice/docker-
ecb8abbbfc85bf3d62fc82afb3950ab6b6a2e80092738274a233bbb8db0c5ce2.scope
/sys/fs/cgroup/system.slice/docker.service
/sys/fs/cgroup/system.slice/docker.socket 2. 控制组资源控制的安全
[*] 当docker run启动一个容器时,Docker将在背景为容器创建一个独立的控制组战略聚集。
[*] Linux Cgroups提供了许多有用的特性,确保各容器可以公平地分享主机的内存、CPU、磁盘IO等资源。
[*] 确保当发生在容器内的资源压力不会影响到本田主机体系和其他容器,它在防止拒绝服务攻击(DDoS)方面必不可少
#docker run -it --name test busybox #内存资源默认没有被隔离
/ # free -m
total used free sharedbuff/cache available
Mem: 3697 371 2969 10 357 3099
Swap: 2072 0 2072
/ # exit
#free -m
total used free sharedbuff/cache available
Mem: 3696 349 2989 9 357 3120
Swap: 2071 0 2071 3. 内核本领机制
[*] 本领机制(Capability)是Linux内核一个强大的特性,可以提供细粒度的权限访问控制。
[*] 大部分情况下,容器并不必要“真正的”root权限,容器只必要少数的本领即可。
[*] 默认情况下,Docker接纳“白名单”机制,禁用“必须功能”之外的其他权限。
4. Docker服务端防护
[*] 利用Docker容器的焦点是Docker服务端,确保只有可信的用户才气访问到Docker服务。
[*] 将容器的root用户映射到本田主机上的非root用户,减轻容器和主机之间因权限提拔而引起的安全题目。
[*] 答应Docker 服务端在非root权限下运行,利用安全可靠的子历程来署理实行必要特权权限的利用。这些子历程只答应在特定范围内举行利用。
# ls -ld /var/lib/docker/ #默认docker是用root用户控制资源的
5. Docker的资源限定
Linux Cgroups 的全称是 Linux Control Group。
[*] 是限定一个历程组可以大概利用的资源上限,包罗 CPU、内存、磁盘、网络带宽等等。
[*] 对历程举行优先级设置、审计,以及将历程挂起和规复等利用。 Linux Cgroups 给用户袒暴露来的利用接口是文件体系
[*] 它以文件和目次的方式构造在利用体系的 /sys/fs/cgroup 路径下。
[*] 实行此下令查察:mount -t cgroup
[*] 在 /sys/fs/cgroup 下面有许多诸如 cpuset、cpu、 memory 如许的子目次,也叫子体系。
[*] 在每个子体系下面,为每个容器创建一个控制组(即创建一个新目次)。
[*] 控制组下面的资源文件里填上什么值,就靠用户实行 docker run 时的参数指定。
5.1. 限定cpu利用
#限制cpu的使用量
#提前下载镜像,直接拖入。
# dcoker run -i ubuntu-latest.tar.gz
#docker run -it --rm --name test \
--cpu-period 100000 \ #设置 CPU 周期的长度,单位为微秒(通常为100000,即 100 毫秒)
--cpu-quota 20000 ubuntu #设置容器在一个周期内可以使用的 CPU 时间,单位也是微秒。
root@5797d76b20f5:/# dd if=/dev/zero of=/dev/null &
8
root@5797d76b20f5:/# top
top - 11:53:22 up 1 day, 1:58, 0 user, load average: 0.00, 0.00, 0.00
Tasks: 3 total, 2 running, 1 sleeping, 0 stopped, 0 zombie
%Cpu(s): 4.4 us, 6.0 sy, 0.0 ni, 89.5 id, 0.0 wa, 0.2 hi, 0.0 si, 0.0 st
MiB Mem : 3627.1 total, 558.1 free, 899.4 used, 2471.0 buff/cache
MiB Swap: 2063.0 total, 2062.0 free, 1.0 used. 2727.7 avail Mem
PID USER PR NI VIRT RES SHR S %CPU %MEM TIME+ COMMAND
8 root 20 0 2736 1536 1536 R 20.0 0.0 0:00.92 dd
#使用cpu的百分比
1 root 20 0 4588 3968 3456 S 0.0 0.1 0:00.03 bash
9 root 20 0 8856 5248 3200 R 0.0 0.1 0:00.00 top
#在cgroup中查看docker的资源限制
#cat /sys/fs/cgroup/system.slice/docker-
573150b6c2c90a53f9d75df77455a526ff14e93fb7304674c80307c51882e605.scope/cpu.max
20000 100000
#限制cpu的优先级
#关闭cpu的核心,当cpu都不空闲下才会出现争抢的情况,为了实验效果我们可以关闭一个cpu核心
#echo 0 > /sys/devices/system/cpu/cpu1/online
#cat /proc/cpuinfo
processor : 0
vendor_id : GenuineIntel
cpu family : 6
model : 58
model name : Intel(R) Core(TM) i7-3770K CPU @ 3.50GHz
stepping : 9
microcode : 0x21
cpu MHz : 3901.000
cache size : 8192 KB
physical id : 0
siblings : 1
core id : 0
cpu cores : 1 ##cpu核心数为1
apicid : 0
initial apicid : 0
fpu : yes
fpu_exception : yes
cpuid level : 13
wp : yes
flags : fpu vme de pse tsc msr pae mce cx8 apic sep mtrr pge mca cmov
pat pse36 clflush mmx fxsr sse sse2 ss ht syscall nx rdtscp lm constant_tsc
arch_perfmon nopl xtopology tsc_reliable nonstop_tsc cpuid tsc_known_freq pni
pclmulqdq ssse3 cx16 pcid sse4_1 sse4_2 x2apic popcnt tsc_deadline_timer aes
xsave avx f16c rdrand hypervisor lahf_lm pti ssbd ibrs ibpb stibp fsgsbase
tsc_adjust smep arat md_clear flush_l1d arch_capabilities
bugs : cpu_meltdown spectre_v1 spectre_v2 spec_store_bypass l1tf mds
swapgs itlb_multihit srbds mmio_unknown
bogomips : 7802.00
clflush size : 64
cache_alignment : 64
address sizes : 45 bits physical, 48 bits virtual
power management:
#开启容器并限制资源
#docker run -it --rm --cpu-shares 100 ubuntu #设定cpu优先
级,最大为1024,值越大优先级越高
root@dc066aa1a1f0:/# dd if=/dev/zero of=/dev/null &
8
root@dc066aa1a1f0:/# top
top - 12:16:56 up 1 day, 2:22, 0 user, load average: 1.20, 0.37, 0.20
Tasks: 3 total, 2 running, 1 sleeping, 0 stopped, 0 zombie
%Cpu(s): 37.3 us, 61.4 sy, 0.0 ni, 0.0 id, 0.0 wa, 1.0 hi, 0.3 si, 0.0 st
MiB Mem : 3627.1 total, 502.5 free, 954.5 used, 2471.7 buff/cache
MiB Swap: 2063.0 total, 2062.3 free, 0.7 used. 2672.6 avail Mem
PID USER PR NI VIRT RES SHR S %CPU %MEM TIME+ COMMAND
8 root 20 0 2736 1536 1536 R 3.6 0.0 0:16.74 dd
#cpu有限制被限制
1 root 20 0 4588 3968 3456 S 0.0 0.1 0:00.03 bash
9 root 20 0 8856 5248 3200 R 0.0 0.1 0:00.00 top
#开启另外一个容器不限制cpu的优先级
root@17f8c9d66fde:/# dd if=/dev/zero of=/dev/null &
8
root@17f8c9d66fde:/# top
top - 12:17:55 up 1 day, 2:23, 0 user, load average: 1.84, 0.70, 0.32
Tasks: 3 total, 2 running, 1 sleeping, 0 stopped, 0 zombie
%Cpu(s): 36.2 us, 62.1 sy, 0.0 ni, 0.0 id, 0.0 wa, 1.3 hi, 0.3 si, 0.0 st
MiB Mem : 3627.1 total, 502.3 free, 954.6 used, 2471.7 buff/cache
MiB Swap: 2063.0 total, 2062.3 free, 0.7 used. 2672.5 avail Mem
PID USER PR NI VIRT RES SHR S %CPU %MEM TIME+ COMMAND
8 root 20 0 2736 1408 1408 R 94.0 0.0 1:09.34 dd
#cpu为被限制
1 root 20 0 4588 3968 3456 S 0.0 0.1 0:00.02 bash
9 root 20 0 8848 5248 3200 R 0.0 0.1 0:00.01 top 5.2. 限定内存利用
#开启容器并限制容器使用内存大小
# docker run -d --name test --memory 200M --memory-swap 200M nginx
#查看容器内存使用限制
# cd /sys/fs/cgroup/memory/docker/d09100472de41824bf0省略部分
id96b977369dad843740a1e8e599f430/
# cat
memory.limit_in_bytes
209715200
# cat
memory.memsw.limit_in_bytes
209715200
#测试容器内存限制,在容器中我们测试内存限制效果不是很明显,可以利用工具模拟容器在内存中写入数据
#需要一个工具提前下载;libcgroup-tools;libcgroup-0.41
dnf install *.rpm -y
#在系统中/dev/shm这个目录被挂在到内存中
# docker run -d --name test --rm --memory 200M --memory-swap 200M nginx
f5017485d69b50cf2e294bf6c65fcd5e679002e25bd9b0eaf9149eee2e379eec
# docker ps
# cd /sys/fs/cgroup/memory/docker/d091004723d4de4182...
cat memory.memsw.limit_in_bytes
echo 209715200 > memory.memsw.limit_in_bytes
#也可以使用cgexec
# cgexec -g
memory:docker/f5017485d69b50cf2e294bf6c65fcd5e679002e25bd9b0eaf9149eee2e379eec dd if=/dev/zero of=/dev/shm/bigfile bs=1M count=150
记录了150+0 的读入
记录了150+0 的写出
157286400字节(157 MB,150 MiB)已复制,0.0543126 s,2.9 GB/s
# cgexec -g
memory:docker/f5017485d69b50cf2e294bf6c65fcd5e679002e25bd9b0eaf9149eee2e379eec dd if=/dev/zero of=/dev/shm/bigfile bs=1M count=180
记录了180+0 的读入
记录了180+0 的写出
188743680字节(189 MB,180 MiB)已复制,0.0650658 s,2.9 GB/s
# cgexec -g
memory:docker/f5017485d69b50cf2e294bf6c65fcd5e679002e25bd9b0eaf9149eee2e379eec dd if=/dev/zero of=/dev/shm/bigfile bs=1M count=120
记录了120+0 的读入
记录了120+0 的写出
125829120字节(126 MB,120 MiB)已复制,0.044017 s,2.9 GB/s
# cgexec -g
memory:docker/f5017485d69b50cf2e294bf6c65fcd5e679002e25bd9b0eaf9149eee2e379eec dd if=/dev/zero of=/dev/shm/bigfile bs=1M count=200
已杀死
#也可以自建控制器
# mkdir -p /sys/fs/cgroup/memory/x1/
# ls /sys/fs/cgroup/memory/x1/
cgroup.clone_children memory.kmem.tcp.max_usage_in_bytes
memory.oom_control
cgroup.event_control memory.kmem.tcp.usage_in_bytes
memory.pressure_level
cgroup.procs memory.kmem.usage_in_bytes
memory.soft_limit_in_bytes
memory.failcnt memory.limit_in_bytes memory.stat
memory.force_empty memory.max_usage_in_bytes
memory.swappiness
memory.kmem.failcnt memory.memsw.failcnt
memory.usage_in_bytes
memory.kmem.limit_in_bytes memory.memsw.limit_in_bytes
memory.use_hierarchy
memory.kmem.max_usage_in_bytes memory.memsw.max_usage_in_bytes
notify_on_release
memory.kmem.slabinfo memory.memsw.usage_in_bytes tasks
memory.kmem.tcp.failcnt memory.move_charge_at_immigrate
memory.kmem.tcp.limit_in_bytes memory.numa_stat
# echo 209715200 > /sys/fs/cgroup/memory/x1/memory.limit_in_bytes
#内存可用大小限制
# cat /sys/fs/cgroup/memory/x1/tasks #此控制器被那个进程调用
# cgexec -g memory:x1 dd if=/dev/zero of=/dev/shm/bigfile bs=1M count=100
记录了100+0 的读入
记录了100+0 的写出
104857600字节(105 MB,100 MiB)已复制,0.0388935 s,2.7 GB/s
# free -m
total used free shared buff/cache available
Mem: 3627 1038 1813 109 1131 2589
Swap: 2062 0 2062
# cgexec -g memory:x1 dd if=/dev/zero of=/dev/shm/bigfile bs=1M count=300
记录了300+0 的读入
记录了300+0 的写出
314572800字节(315 MB,300 MiB)已复制,0.241256 s,1.3 GB/s
# free -m
total used free shared buff/cache available
Mem: 3627 1125 1725 181 1203 2501
Swap: 2062 129 1933 #内存溢出部分被写入swap交换分区
# rm -fr /dev/shm/bigfile
# echo 209715200 >
/sys/fs/cgroup/memory/x1/memory.memsw.limit_in_bytes #内存+swap控制
# cgexec -g memory:x1 dd if=/dev/zero of=/dev/shm/bigfile bs=1M count=200
已杀死
# cgexec -g memory:x1 dd if=/dev/zero of=/dev/shm/bigfile bs=1M count=199
已杀死
# rm -fr /dev/shm/bigfile
# cgexec -g memory:x1 dd if=/dev/zero of=/dev/shm/bigfile bs=1M count=180
记录了180+0 的读入
记录了180+0 的写出
188743680字节(189 MB,180 MiB)已复制,0.0660052 s,2.9 GB/s
# cgexec -g memory:x1 dd if=/dev/zero of=/dev/shm/bigfile bs=1M count=190
记录了190+0 的读入
记录了190+0 的写出
199229440字节(199 MB,190 MiB)已复制,0.0682285 s,2.9 GB/s
# cgexec -g memory:x1 dd if=/dev/zero of=/dev/shm/bigfile bs=1M count=200
已杀死 5.3. 限定docker的磁盘io
# docker run -it --rm \
--device-write-bps \ #指定容器使用磁盘io的速率
/dev/nvme0n1:30M \ #/dev/nvme0n1是指定系统的磁盘,30M即每秒30M数据
ubuntu
root@a4e9567a666d:/# dd if=/dev/zero of=bigfile #开启容器后会发现速度和设定不匹配,是因为系统的缓存机制
^C592896+0 records in
592895+0 records out
303562240 bytes (304 MB, 289 MiB) copied, 2.91061 s, 104 MB/s
root@a4e9567a666d:/# ^C
root@a4e9567a666d:/# dd if=/dev/zero of=bigfile bs=1M count=100
100+0 records in
100+0 records out
104857600 bytes (105 MB, 100 MiB) copied, 0.0515779 s, 2.0 GB/s
root@a4e9567a666d:/# dd if=/dev/zero of=bigfile bs=1M count=100 oflag=direct#设定dd命令直接写入磁盘
100+0 records in
100+0 records out
104857600 bytes (105 MB, 100 MiB) copied, 3.33545 s, 31.4 MB/s 6. Docker的安全加固
6.1. Docker默认隔离性
在体系中运行容器,我们会发现资源并没有完全隔离开
# free -m #系统内存使用情况
total used free shared buff/cache available
Mem: 3627 1128 1714 207 1238 2498
Swap: 2062 0 2062
# docker run --rm --memory 200M -it ubuntu
root@e06bdc13b764:/# free -m #容器中内存使用情况
total used free shared buff/cache available
Mem: 3627 1211 1630 207 1239 2415
Swap: 2062
#虽然我们限制了容器的内容使用情况,但是查看到的信息依然是系统中内存的使用信息,并没有隔离开 6.2. 办理Docker的默认隔离性
LXCFS 是一个为 LXC(Linux Containers)容器提供加强文件体系功能的工具。 告急功能
[*] 资源可见性: LXCFS 可以使容器内的历程看到正确的 CPU、内存和磁盘 I/O 等资源利用信息。在没有 LXCFS时,容器内看到的资源信息大概不正确,这会影响到在容器内运行的应用步调对资源的评估和管理。
[*] 性能监控: 方便对容器内的资源利用情况举行监控和性能分析。通过提供正确的资源信息,管理员和开辟职员可以更好地相识容器化应用的性能瓶颈,并举行相应的优化。
#安装lxcfs
#在rhel9中lxcfs是被包含在epel源中,我们可以直接下载安装包进行安装
# ls lxcfs
lxcfs-5.0.4-1.el9.x86_64.rpm lxc-libs-4.0.12-1.el9.x86_64.rpm lxc-templates-
4.0.12-1.el9.x86_64.rpm
# dnf install lxcfs/*.rpm
#运行lxcfs并解决容器隔离性
# lxcfs /var/lib/lxcfs &
# docker run -it -m 256m \
-v /var/lib/lxcfs/proc/cpuinfo:/proc/cpuinfo:rw \
-v /var/lib/lxcfs/proc/diskstats:/proc/diskstats:rw \
-v /var/lib/lxcfs/proc/meminfo:/proc/meminfo:rw \
-v /var/lib/lxcfs/proc/stat:/proc/stat:rw \
-v /var/lib/lxcfs/proc/swaps:/proc/swaps:rw \
-v /var/lib/lxcfs/proc/uptime:/proc/uptime:rw \
ubuntu
root@69ec0c67ff04:/# free -m 6.3. 容器特权
在容器中默认情况下纵然我是容器的超等用户也无法修改某些体系设定,好比网络
# docker run --rm -it busybox
/ # whoami
root
/ # ip a
1: lo: <LOOPBACK,UP,LOWER_UP> mtu 65536 qdisc noqueue qlen 1000
link/loopback 00:00:00:00:00:00 brd 00:00:00:00:00:00
inet 127.0.0.1/8 scope host lo
valid_lft forever preferred_lft forever
inet6 ::1/128 scope host
valid_lft forever preferred_lft forever
22: eth0@if23: <BROADCAST,MULTICAST,UP,LOWER_UP,M-DOWN> mtu 1500 qdisc noqueue
link/ether 02:42:ac:11:00:02 brd ff:ff:ff:ff:ff:ff
inet 172.17.0.2/16 brd 172.17.255.255 scope global eth0
valid_lft forever preferred_lft forever
/ # ip a a 192.168.0.101/24 dev eth0
ip: RTNETLINK answers: Operation not permitted
/ # 3
#这是因为容器使用的很多资源都是和系统真实主机公用的,如果允许容器修改这些重要资源,系统的稳定性会变的非常差;但是由于某些需要求,容器需要控制一些默认控制不了的资源,如何解决此问题,这时我们就要设置容器特权
# docker run --rm -it --privileged busybox
/ # id root
uid=0(root) gid=0(root) groups=0(root),10(wheel)
/ # ip a a 192.168.0.100/24 dev eth0
/ # ip a
1: lo: <LOOPBACK,UP,LOWER_UP> mtu 65536 qdisc noqueue qlen 1000
link/loopback 00:00:00:00:00:00 brd 00:00:00:00:00:00
inet 127.0.0.1/8 scope host lo
valid_lft forever preferred_lft forever
inet6 ::1/128 scope host
valid_lft forever preferred_lft forever
24: eth0@if25: <BROADCAST,MULTICAST,UP,LOWER_UP,M-DOWN> mtu 1500 qdisc noqueue
link/ether 02:42:ac:11:00:02 brd ff:ff:ff:ff:ff:ff
inet 172.17.0.2/16 brd 172.17.255.255 scope global eth0
valid_lft forever preferred_lft forever
inet 192.168.0.101/24 scope global eth0
valid_lft forever preferred_lft forever
/ # fdisk -l
Disk /dev/nvme0n1: 40 GB, 42949672960 bytes, 83886080 sectors
164482 cylinders, 255 heads, 2 sectors/track
Units: sectors of 1 * 512 = 512 bytes
Device Boot StartCHS EndCHS StartLBA EndLBA SectorsSize Id Type
/dev/nvme0n1p1 *4,4,1 1023,254,2 2048 2099199 2097152 1024M 83 Linux
/dev/nvme0n1p2 1023,254,21023,254,2 2099200 83886079 81786880 38.9G 8e Linux LVM
#如果添加了--privileged 参数开启容器,容器获得权限近乎于宿主机的root用户 6.4. 容器特权的白名单
--privileged=true 的权限非常大,靠近于宿主机的权限,为了防止用户的滥用,必要增长限定,只提供给容器必须的权限。此时Docker 提供了权限白名单的机制,利用--cap-add添加须要的权限 capabilities手册所在:capabilities(7) - Linux manual page
#限制容器对网络有root权限
# docker run --rm -it --name baimd --cap-add NET_ADMIN busybox
/ # ip a
1: lo: <LOOPBACK,UP,LOWER_UP> mtu 65536 qdisc noqueue qlen 1000
link/loopback 00:00:00:00:00:00 brd 00:00:00:00:00:00
inet 127.0.0.1/8 scope host lo
valid_lft forever preferred_lft forever
inet6 ::1/128 scope host
valid_lft forever preferred_lft forever
26: eth0@if27: <BROADCAST,MULTICAST,UP,LOWER_UP,M-DOWN> mtu 1500 qdisc noqueue
link/ether 02:42:ac:11:00:02 brd ff:ff:ff:ff:ff:ff
inet 172.17.0.2/16 brd 172.17.255.255 scope global eth0
valid_lft forever preferred_lft forever
/ # ip a a 192.168.0.101/24 dev eth0 #网络可以设定
/ # fdisk -l #无法管理磁盘 八. 容器编排工具Docker Compose
1. Docker Compose 概述
Docker Compose 是一个用于界说和运行多容器 Docker 应用步调的工具。 其是官方的一个开源项目,托管到github上.
网址:GitHub - docker/compose: Define and run multi-container applications with Docker
2.告急功能
[*] 界说服务: 利用 YAML 格式的设置文件来界说一组相干的容器服务。每个服务可以指定镜像、端口映射、情况变量、存储卷等参数。 比方,可以在设置文件中界说一个 Web 服务和一个数据库服务,以及它们之间的毗连关系。
[*] 一键启动和制止: 通过一个简朴的下令,可以启动或制止整个应用步调所包罗的全部容器。这大大简化了多容器应用的摆设和管理过程。 比方,利用 docker-compose up 下令可以启动设置文件中界说的全部服务,利用 docker-compose down 下令可以制止并删除这些服务。
[*] 服务编排: 可以界说容器之间的依靠关系,确保服务按照正确的次序启动和制止。比方,可以指定命据库服务必须在 Web 服务之前启动。 支持网络设置,使差别服务的容器可以相互通讯。可以界说一个自界说的网络,将全部相干的容器毗连到这个网络上。
[*] 情况变量管理: 可以在设置文件中界说情况变量,并在容器启动时通报给容器。这使得在差别情况(如开辟、测试和生产情况)中利用差别的设置变得更加轻易。 比方,可以界说一个数据库毗连字符串的情况变量,在差别情况中可以设置差别的值。
3.工作原理
1.读取设置文件: Docker Compose 读取 YAML 设置文件,剖析此中界说的服务和参数。
2.创建容器: 根据设置文件中的界说,Docker Compose 调用 Docker 引擎创建相应的容器。它会下载所需的镜像(假如当地没有),并设置容器的各种参数。
3.管理容器生命周期: Docker Compose 监控容器的状态,并在必要时启动、制止、重启容器。 它还可以处理处罚容器的故障规复,比方主动重启失败的容器。
5.Docker Compose 中的管理层
1.服务 (service) 一个应用的容器,实际上可以包罗多少运行雷同镜像的容器实例
2.项目 (project) 由一组关联的应用容器构成的一个完备业务单位,在 docker-compose.yml 文件中界说
3.容器(container)容器是服务的详细实例,每个服务可以有一个或多个容器。容器是基于服务界说的镜像创建的运行实例
6. Docker Compose 的常用下令参数
#修改vim参数
# vim ~/.vimrc
set ts=2 sw=2 ai et
#set ts=2:设置制表符(tab)的宽度为 2 个空格。这意味着当你按下制表键时,Vim 会插入相当于 2 个空格的空白。set sw=2:设置自动缩进的宽度为 2 个空格。当你在新的一行进行缩进时,会按照这个宽度进行缩进。set ai:开启自动缩进功能。当你在新的一行输入代码时,Vim 会根据上一行的缩进自动进行缩进。set et:开启 “expandtab” 选项,这会使得制表符被扩展为空格。这样可以确保在不同的环境中,你的代码的缩进看起来都是一致的,不会因为不同系统对制表符的解释不同而产生差异。
#配置服务文件
# mkdir test
# vim docker-compose.yml
searvices:
web:
image: nginx:latest
ports:
- "80:80"
testnode:
image: busybox:latest
command: ["/bin/sh", "-c", "sleep 100000"]
测试:docker ps
#服务一:wweb
使用的镜像为 nginx:latest,这表示使用最新版本的 Nginx 镜像。
映射了容器的 80 端口到主机的 80 端口,通过 "80:80" 的端口映射配置实现。这样可以通过主机的 80 端口访问到容器内运行的 Nginx 服务。
#服务二:testnode
使用的镜像为 busybox:latest,BusyBox 是一个小巧但功能强大的工具集合,常用于简单的任务和测试。
通过 command 指定了容器启动时执行的命令为 ["/bin/sh", "-c", "sleep 100000"],这会使容器启动后进入一个睡眠状态,持续 100000 秒,可用于简单的测试或保持容器运行以便观察其他特性
#一.服务管理
#docker-compose up :启动配置文件中定义的所有服务。可以使用 -d 参数在后台启动服务。可以使用-f 来指定yml文件
例如: docker-compose up -d
# docker compose up -d
[+] Running 3/3
✔ Network test_default Created 0.1s
✔ Container test-web-1 Started 0.5s
✔ Container test-testnode-1Started 0.3s
# docker compose -f test/docker-compose.yml up -d
[+] Running 3/3
✔ Network test_default Created 0.1s
✔ Container test-web-1 Started 0.9s
✔ Container test-db-1 Started
#docker-compose down :停止并删除配置文件中定义的所有服务以及相关的网络和存储卷。
# docker compose down
[+] Running 2/2
✔ Container test-wweb-1Removed 0.1s
✔ Network test_default Removed 0.1s
#如果文件名修改了,就需要指定文件名。
# docker compose -f timinglee.yml down
#docker-compose start :启动已经存在的服务,但不会创建新的服务。
# docker compose start #必须在对应的目录
[+] Running 2/2
✔ Container test-db-1 Started
✔ Container test-web-1 Started
#docker-compose stop :停止正在运行的服务
# docker compose stop
[+] Stopping 2/2
✔ Container test-web-1 Stopped 0.1s
✔ Container test-testnode-1Stopped 10.1s
#docker-compose restart :重启服务
# docker compose restart
[+] Restarting 2/2
✔ Container test-testnode-1Started 10.4s
✔ Container test-web-1 Started 0.3s
#二.服务状态查看
#docker-compose ps :列出正在运行的服务以及它们的状态,包括容器 ID、名称、端口映射等信息.
# docker compose ps
NAME IMAGE COMMAND SERVICE CREATED STATUS PORTS
test-testnode-1 busybox:latest "/bin/sh -c 'sleep 1…" testnode 3 minutes ago Up 57 seconds
test-web-1 nginx:latest "/docker-entrypoint.…" web 3 minutes ago Up 56 seconds 0.0.0.0:80->80/tcp, :::80->80/tcp
#docker-compose logs :查看服务的日志输出。可以指定服务名称来查看特定服务的日志。
# docker compose logs web
web-1| /docker-entrypoint.sh: /docker-entrypoint.d/ is not empty, will attempt to perform configuration
web-1| /docker-entrypoint.sh: Looking for shell scripts in /docker-entrypoint.d/
web-1| /docker-entrypoint.sh: Launching /docker-entrypoint.d/10-listen-on-ipv6-by-default.sh
#三.构建和重新构建服务(了解)
# docker-compose build :构建配置文件中定义的服务的镜像。可以指定服务名称来只构建特定的服务。
# mkdir /root/docker/
# cd docker
# cat xiaozhuzhu
FROM busybox:latest
RUN touch /leefile1
# cat xiaofeifei
FROM busybox:latest
RUN touch /leefile2
# vim /test/docker-compose.yml
services:
test1:
image: 'test1'
build:
context: /root/docker
dockerfile: xiaozhuzhu
command: ['/bin/sh', '-c', 'sleep 3000']
#restart: always #出现问题重启。
container_name: zhuzhuxia1
test2:
image: 'test2'
build:
context: /root/docker
dockerfile: xiaofeifei
command: ['/bin/sh', '-c', 'sleep 3000']
#restart: always
container_name: zhuzhuxia2
# docker compose up -d #构建services中的所有
# docker compose up -d --remove-orphans #清除正在运行的compose
# docker compose build test1 #只够建test1
#docker-compose up --build :#启动服务并在启动前重新构建镜像。
# docker compose -f docker-compose.yml up -d #会去仓库拉去镜像
[+] Running 1/1
! test1 Warning pull access denied for test1, repository does not exist or
may require 'docker login': denied: requested acces...
# docker compose -f docker-compose.yml up --build #会先构建镜像后启动容器
#四.其他操作
1. docker-compose exec :在正在运行的服务容器中执行命令。
# docker compose exec -it test1 /bin/sh
2. docker-compose pull :拉取配置文件中定义的服务所使用的镜像。
# docker compose -f docker-compose.yml pull
[+] Pulling 2/2
✔ test Pulled
✔ ec562eabd705 Pull complete
3. docker-compose config :
验证并查看解析后的 Compose 文件内容
# docker compose -f docker-compose.yml config
# docker compose -f test.yml config -q 7. Docker Compose 的yml文件
Docker Compose 的 YAML 文件用于界说和设置多容器应用步调的各个服务。以下是一个根本的 Docker Compose YAML 文件结构及内容表明:
8. 服务(services)
1. 服务名称(service1_name/service2_name 等):
每个服务在配置文件中都有一个唯一的名称,用于在命令行和其他部分引用该服务。
services:
web:
# 服务1的配置
mysql:
# 服务2的配置
2. 镜像(image):
指定服务所使用的 Docker 镜像名称和标签。例如, image: nginx:latest 表示使用 nginx镜像的最新版本
services:
web:
image: nginx
mysql:
image: mysql:5.7
3. 端口映射(ports):
将容器内部的端口映射到主机的端口,以便外部可以访问容器内的服务。例如, -"8080:80" 表示将主机的 8080 端口映射到容器内部的 80 端口。
services:
web:
image: timinglee/mario
container_name: game #指定容器名称
restart: always #docekr容器自动启动
expose:
- 1234 #指定容器暴露那些端口,些端口仅对链接的服务可见,不会映射到主机的端口
ports:
- "80:8080"
测试:docker ps
4. 环境变量(environment):
为容器设置环境变量,可以在容器内部的应用程序中使用。例如, VAR1: value1 设置环境变量 VAR1 的值为 value1
services:
web:
image: mysql:5.7
environment:
MYSQL_ROOT_PASSWORD: 123
5. 存储卷(volumes):
将主机上的目录或文件挂载到容器中,以实现数据持久化或共享。例如, -
/host/data:/container/data 将主机上的 /host/data 目录挂载到容器内的
/container/data 路径。
services:
test:
image: busybox
command: ["/bin/sh","-c","sleep 3000"]
restart: always
container_name: busybox1
volumes:
- /etc/passwd:/tmp/passwd:ro#只读挂在本地文件到指定位置
6. 网络(networks):
将服务连接到特定的网络,以便不同服务的容器可以相互通信
services:
web:
image: nginx
container_name: webserver
network_mode: bridge #使用本机自带bridge网络
test:
image: busybox
container_name: webserver
command: ["/bin/sh","-c","sleep10000000"]
networks:
- mynet1
- mynet2
networks:
mynet1:
driver: bridge
mynet2:
driver: bridge
7. 命令(command):
覆盖容器启动时默认执行的命令。例如, command: python app.py 指定容器启动时运行python app.py 命令
# vim busybox.yml
services:
web:
image: busybox
container_name: busybox
command: ["/bin/sh","-c","sleep 10000000"] 9. 网络(networks)
界说 Docker Compose 应用步调中利用的网络。可以自界说网络名称和驱动步调等属性。默认情况下docker compose 在实行时会主动创建网路。
# vimdocker-compose.yml
services:
test1:
image: busybox:latest
command: ["/bin/sh","-c","sleep 3000"]
restart: always
network_mode: default
container_name: busybox1
test2:
image: busybox:latest
command: ["/bin/sh","-c","sleep 3000"]
restart: always
container_name: busybox2
networks:
- mynet1
test3:
image: busybox:latest
command: ["/bin/sh","-c","sleep 3000"]
restart: always
container_name: busybox3
networks:
- mynet2
networks:
default:
external: true#指定外部资源网络名字
name: bridge
mynet1:
driver: bridge #使用桥接驱动,也可以使用macvlan用于跨主机连接
mynet2:
ipam:
driver: default
config:
- subnet: 172.28.0.0/16
gateway: 172.28.0.254
# docker compose up -d
# docker network ls
# docker exec -it test2 sh
/ # ifconfig
/ # route -n 10. 存储卷(volumes)
界说 Docker Compose 应用步调中利用的存储卷。可以自界说卷名称和存储位置等属性。
# vimdocker-compose.yml
services:
test1:
image: busybox:latest
command: ["/bin/sh","-c","sleep 3000"]
restart: always
network_mode: default
container_name: busybox1
test2:
image: busybox:latest
command: ["/bin/sh","-c","sleep 3000"]
restart: always
container_name: busybox2
networks:
- mynet1
volumes:
- data:/data #挂在data卷
- /etc/passwd:/tmp/passwd:ro #只读挂在本地文件到指定位置
test3:
image: busybox:latest
command: ["/bin/sh","-c","sleep 3000"]
restart: always
container_name: busybox3
networks:
- mynet2
networks:
default:
external: true#指定外部资源网络名字
name: bridge
mynet1:
driver: bridge #使用桥接驱动,也可以使用macvlan用于跨主机连接
mynet2:
ipam:
driver: default
config:
- subnet: 172.28.0.0/16
gateway: 172.28.0.254
volumes:
data:
name: timinglee #指定建立卷的名字
# docker compose up -d
# docker inspect test2#看mounts挂载
# docker exec -it test2 sh#进入容器,看对应的目录。后续删掉了容器之后建立的卷还在。 11. 企业示例
利用容器编排完成haproxy和nginx负载均衡架构实行
# mkdir /var/lib/docker/volumes/conf
# dnf install harpoxy -y --downloadonly --downloaddir=/mnt
rpm2cpio harpoxy-2.4.22-3el9_3.x86_64.rpm | cpio -id
# ls
# cd etc/
# ls
# cd harpoxy/
# ls
# cp haproxy.cfg /var/lib/docker/volumes/conf/
# cd /var/lib/docker/volumes/conf/
# vim haproxy.cfg
...
maxconn 3000
listen webcluster
bind *:80
balance roundrobin
server web1 webserver1:80 check inter 3 fall 3 rise 5
server web2 webserver2:80 check inter 3 fall 3 rise 5
...
#提前下载haproxy的镜像。
# docker pull haproxy:2.4#看网络,注意版本,相差不大可以用。
# docker load -i haproxy....
# vimhaproxy.yml
services:
web1:
image: nginx:latest
container_name: webserver1
restart: always
networks:
- internel
expose:
- 80
volumes:
- data_web1:/usr/share/nginx/html
web2:
image: nginx:latest
container_name: webserver2
restart: always
networks:
- internel
expose:
- 80
volumes:
- data_web2:/usr/share/nginx/html
haproxy:
image: haproxy:2.3
container_name: haproxy
restart: always
networks:
- internel
- extrnal
volumes:
- /var/lib/docker/volumes/conf/haproxy.cfg:/usr/local/etc/haproxy/haproxy.cfg
ports:
- 80:80
networks:
internel:
driver: bridge
extrnal:
driver: bridge
volumes:
data_web1:
name: data_web1
data_web2:
name: data_web2
# docker compose -f haproxy.yml up -d
# docker compose ps
#建立发布文件
# echo webserver1 - joker:11111111111111111111 > /var/lib/docker/volumes/data_web1/_data/index.html
# echo webserver2 - joker:22222222222222222222 > /var/lib/docker/volumes/data_web2/_data/index.html
# netstat -antlupe | grep 80
# docker ps
#报错看日志
# docker logs haproxy | less
测试:
## curl 172.25.254.100#出现轮询即可。
免责声明:如果侵犯了您的权益,请联系站长,我们会及时删除侵权内容,谢谢合作!qidao123.com:ToB企服之家,中国第一个企服评测及软件市场,开放入驻,技术点评得现金
页:
[1]