2.1 控制容器: 构建一个网站监视器

需求: 客户想让你做一个网站, 这个网站需要被紧密的监视, 如果服务器宕机了, 那么它们的团队会收到相关的邮件.

这里用到了3个容器. 第一个运行NGINX; 第二个运行一个叫做mailer的程序. 这两个容器都是detached的.

Detached 表示容器将在后台运行, 不会附加到任何的输入或者是输出流上面.

第三个容器, 叫做代理, 将会运行在一个交户的容器内

2.1.1 创建并开始一个容器

Docker把运行一个程序所需要的那些文件和指令叫做镜像. 当我们使用Docker安装软件的时候, 我们实际上是在使用Docker下载或创建容器. Docker镜像包含了一台电脑要运行某个软件所需的所有东西.

从Docker Hub下载NGINX镜像.

Docker Hub是Docker 公司提供的公共注册中心, 而NGINX是一个可信的仓库.

运行下面的命令将会下载, 安装, 和开始一个运行着NGINX的容器:

docker run --detach --name web nginx:latest

当你运行这个命令的时候, Docker会从NGINX仓库安装nginx:latest这个版本的镜像, 而NGINX仓库则是在Docker Hub上面托管的, 然后会立即运行这个软件.

运行起来之后, 在终端上将会出现类似这样的随机字符串:

7cb5d2b9a7eab87f07182b5bf58936c9947890995b1b94f412912fa822a9ecb5

这堆字符串是容器的唯一标识符, 每次你使用docker run并创建一个新容器的时候, 它都会得到一个唯一标识符.

标识符显示出来之后, 好像什么也没发生, 这是因为你使用 --detach 这个参数, 它会让你的程序在后台运行. 这就是意味着你的程序已经启动了, 但是没有附加到你的终端上. 像类似NGINX这样的服务器软件通常都不需要附加在终端上的, 所以通常都是运行在detached的容器里.

对于那些在后台安静运行的程序来说, 运行detached的容器是再合适不过的了. 这类程序通常叫做daemon(守护进程)或服务. 守护进程通常会通过网络或其他通信渠道来和其它程序或人类交互. 当你想要在容器里的后台运行daemon或其他程序的时候, 就需要使用 --detach 这个flag, 简写是 -d.

本例中另一个daemon是mailer(邮件程序), mailer会等待调用者发起连接, 然后发送一个邮件.

安装和运行mailer的命令:

docker run -d --name mailer dockerinaction/ch2_mailer

2.1.2 运行交互式的容器

例如, 基于终端的文本编辑器就是需要附加终端的程序. 它通过键盘等设备得到输入, 并把输出显式在终端上. 所以在它的输入输出流上, 它是可交互的.

开始使用交互式的容器:

docker run --interactive --tty \

--link web:web \

--name web_test \

busybox:1.29 /bin/sh

针对run命令, 这里用到了两个flag:

• --interactive (简写是 -i). 这个选项告诉Docker让标准输入流(stdin)为容器保持打开, 即使没有终端被附加上.

• --tty (-t). 它会告诉Docker为容器分配一个虚拟终端, 你就可以通过这个终端来传递指令给容器.

针对交互式的程序, 这两个flag通常一起使用.

和交互式的flags一样重要, 当你启动容器的时候, 你指定了一个在容器内要运行的程序. 本例中就是一个shell程序叫做sh.

这段命令最终创建了一个容器, 开启了一个UNIX shell, 并且链接到了运行NGINX的容器. 从shell里, 你可以运行一个命令来验证你的web server是否正常运行:

wget -O - http://web:80/

如果得到以下结果, 那么就是成功了:

想要关闭交互式容器的话, 你可以输入 exit. 这就会终止shell程序并且停止容器.

也可以创建一个交互式容器, 手动在容器里开始一个进程, 然后detach你的终端. 这就需要按住Ctrl和P键, 然后松开P键去按Q键. 但是只有你使用--tty这个参数的时候, 它才会起作用.

2.1.3 列出, 停止, 重启容器以及查看容器的输出.

使用docker ps命令来查看正在运行等容器.

运行该命令后, 针对每个运行的容器, 将会显示以下信息:

• 容器的ID

• 用了哪个镜像

• 容器内执行了的命令

• 自从容器建立以来经过的时间

• 程序运行了多久

• 容器暴露的网络端口

• 容器的名字

现在, 你应该有三个容器了, 名字分别是web, mailer 和 agent.

重启容器: docker restart xxx

例如:

docker restart web

docker restart mailer

docker restart agent

查看容器的日志: docker logs xxx

例如:

docker logs web

如果过于依赖docker logs, 那么可能会有危险. 因为任何程序写入到stdout或stderr输出流的东西将会在这个log里面被记录. 这种模式的缺点是log在默认情况下不会循环或截断, 所以容器写入到log的数据将会和容器一起一直保留. 对于长存的进程, 这种长期的持久化可能会是个问题. 更好处理log数据的方式是使用卷(volumes).

docker logs 命令也有flag参数, --follow或-f, 加上它之后就会在显示出当前日志的同时并继续监视如果有新的日日志, 那么就更新显示的日志. 当你不想看的时候, 就按Ctrl + C 终端logs命令即可

停止容器中PID为1的程序(停止容器): docker stop xxx

例如: docker stop web

2.2 解决问题 与 PID命名空间

在Linux上每一个运行的程序或者叫进程都有一个唯一的数字叫做进程标识符(PID).

PID命名空间就是一套唯一的数字, 它们可以识别出不同的进程.

Linux提供了可以创建多个PID命名空间的工具.

每个命名空间都有一整套可能的PID.

这就意味着每个PID命名空间都会包含它自己的PID 1,2,3….

大多数程序都不需要访问其他正在运行的进程, 也不需要列出系统中其他正在运行的进程.

所以 Docker默认会为每个容器创建新的PID命名空间. 一个容器的PID命名空间会把这个容器的进程与其它容器的进程隔离开.

从容器内一个拥有自己命名空间的进程的角度来看, PID 1 可能是指初始化系统的进程, 例如runit或supervisord.在不同的容器, PID 1也许是指像bash一样的命令行shell.

执行结果分别是:

在这个例子里, 你使用了 docker exec 命令在容器里运行额外的进程.

这里的ps命令, 它会显示出所有运行的进程和它们的PID.

和大多数Docker隔离特性一样, 你可以选择不使用它们的PID命名空间来创建容器. 如果你正在使用某个程序来执行系统管理任务, 并且这项工作需要从容器内列举出进程, 那么这点就很重要.

你可以在docker create 或 docker run 命令上设定 --pid flag的值为host, 这样的话, 就可以实现以上需求了.

假设你没有使用Docker, 而是直接在你的机器上运行NGINX. 假设你把这件事忘记了, 并且又开启了一遍NGINX, 那么这第二个进程就无法访问它需要的资源, 因为第一个进程已经拥有它们了. 这就是软件冲突的例子. 你可以试试:

结果是:

第二个进程启动失败, 并且报告说它需要的地址已经在使用. 这叫做端口冲突.

然而Docker可以简化并解决这个问题:

所以, 环境独立性可以让依赖于稀缺系统资源的软件能自由的配置, 而且无需考虑本地其它软件的冲突需求.

下面是一些常见的冲突问题:

• 两个程序想绑定同一个网络端口

• 两个程序使用同样的临时文件名, 而且文件别锁了以防止发生这样的事

• 两个程序使用不同版本的全局安装的库

• 两个进程想使用相同的PID文件

• 后安装的程序修改了另一个程序使用的环境变量, 然后第一个程序崩溃了

• 多个进程抢CPU或内存资源.

当一个或多个程序拥有共同依赖并且无法协商共享或需求不同的时候, 这些冲突就会出现.

而Docker通过Linux命名空间, 资源限制, 文件系统root 和 虚拟化网络组件等这些工具, 就解决了这些软件的冲突. 所有的这些工具都是被用来在Docker容器内进行软件隔离的.