1)创建存放Dockerfifile的目录

2)书写Dockerfifile

FROM:基础镜像

MAINTAINER:镜像创建者的信息

EXPOSE:开放的端口

ENV:设置变量

ADD:复制文件到镜像

RUN:制作镜像时执行的命令,可以有多个

WORKDIR:容器默认的工作目录

CMD:容器启动时执行的命令,仅可以有一条CMD

3)执行docker命令创建镜像仓库

docker build 容器名:标签 .(当前)

12.docker自定义镜像，如果写了多条CMD，那么默认执行时会执行哪一条命令呢？

如果写入了多条CMD，那么执行时默认或执行最后一条命令

13.docker如何做持久化存储

1）Bind mounts：可以实现将Host中的任意路径挂载到容器中，可以存储在任意位置，非

Docker的进程或者容器可能随时对其进行修改，存在一定的风险。

在单容器情况下，使用Bind mount可以用 -v 或者 --volume，在swarm集群中，我们使用 --

mount，在Docker17.06之后，可以统一使用 --mount

2）Volumes：实现将Docker中的某一个volume挂载到容器中，存储在Docker Host文件系统的某一个路径下，默认是/var/lib/docker/volumes，由Docker进行管理，非Docker的进程不能修改该路径下的文件，比较安全。VOlumes和bind的对比：

Volumes 的备份和迁移更加容易。

可以使用 Docker CLI 或者 Docker API 管理 volumes。

Volumes 既可以在 Linux 的容器中使用，也可以在 Windows 的容器中使用。

Volumes 在多容器中共享更加的安全。

Volume drivers 允许我们把数据存储在远程主或云提供商。

不同点	bind mount	volume
source位置	可以任意指定	NarlibdockerNolimes/
Host源地址为空	覆盖掉有容器的内容	容器内数据复制到volume
是否支持单个文件	支持	不支持，只能是目录
权限控制	读写或者只读	读写或者只读
移值性	弱，与host path绑定	强，无需指定host目录

3）Tmpfs：存储在Host系统的内存中，没有在磁盘上进行存储，不能实现持久化。

Tmpfs方式将数据存储在Host内存中，在容器的整个生命周期内被容器使用，不能持久化。出于安全原因，或者是提升容器的性能，比如我们的程序需要写入很多不需要存储的状态数据时，我们就会使用 tmpfs。

Key	Value
type	bind，volume，tmpfs，如不指定默认为volume
destination（或者dst/target）	容器中的路径
tmpfs-type（或者tmpfs-mode）	附加参数

14.容器的六大命名空间

六大命名空间：主机名空间、文件系统、用户、网络、进程、信号向量

15.dockerfifile中ADD和Copy区别

COPY指令和ADD指令的区别在于是否支持从远程URL获取资源。

COPY指令只能从执行docker build所在的主机上读取资源并复制到镜像中。COPY不能对压

缩文件进行自动解压，COPY只能对一些较小的文件进行操作，不能对大文件操作

ADD指令还支持通过URL从远程服务器读取资源并复制到镜像中。ADD可以对压缩文件进行

自动解压并安装build

16.docker命令

容器生命周期管理 — docker[run|start|stop|restart|kill|rm|pause|unpause]

容器操作运维 — docker[ps|inspect|top|attach|events|logs|wait|export|port]

容器 rootfs命令 — docker[commit|cp|diffff]

镜像仓库 — docker[login|pull|push|search]

本地镜像管理 — docker[images|rmi|tag|build|history|save|import]

其他命令 — docker[info|version]

17.docker怎样实现容器件的独立

1)pidnamespace

不同用户的进程就是通过 pidnamespace隔离开的,且不同 namespace中可以有相同pid。所有的LXC 进程在 docker中的父进程为 docker进程,每个 lxc进程具有不同的 namespace。

2)netnamespace

有了 pidnamespace,每个 namespace中的 pid能够相互隔离,但是网络端口还是共享host的端

口。网络隔离是通过 netnamespace实现的,每个 netnamespace有独立的network devices,IP

addresses,IP routing tables,/proc/net目录。这样每个container的网络就能隔离开来。docker

默认采用 veth的方式将 container中的虚拟网卡同 host上的一个 dockerbridge:docker0连接在一起。

3)ipcnamespace

container 中 进 程 交 互 还 是 采 用 linux 常 见 的 进 程 间 交 互 方 法 (interprocess

communication- IPC),包括常见的信号量、消息队列和共享内存。

container的进程间交互实际上还是host上具有相同pidnamespace中的进程间交互。

4)mntnamespace

类 似 chroot,将 一 个 进 程 放 到 一 个 特 定 的 目 录 执 行 。 mnt namespace 允 许 不 同

namespace的进程看到的文件结构不同,这样每个 namespace中的进程所看到的文件目录就被隔离开了。在 container里头,看到的文件系统,就是一个完整的 linux系统,有 /etc、/lib等,通过chroot实现。

5)utsnamespaceUTS("UNIX Time-sharing System")namespace允许每个 container拥有独立的hostname和domainname,使其在网络上可以被视作一个独立的节点而非 Host上的一个进程。

6)usernamespace

每个 container可以有不同的 user和 groupid,也就是说可以在 container内部用container内部的用户执行程序而非 Host上的用户。

有了以上 6种 namespace从进程、网络、IPC、文件系统、UTS 和用户角度的隔离,一个

container就可以对外展现出一个独立计算机的能力,并且不同 container从 OS 层面实现了隔离.然而不同 namespace之间资源还是相互竞争的,仍然需要类似 ulimit来管理每个 container所能使用的资源 - -cgroup。 cgroups(Controlgroups)实现了对资源的配额和度量。