Docker安装配置

Docker 安装

官网教程:https://docs.docker.com/engine/install/centos/

安装步骤

① 先决条件

系统要求

确定是 CentOS7 及以上版本:

1
cat /etc/redhat-release

卸载旧版本

1
2
3
4
5
6
7
8
yum remove docker \
                  docker-client \
                  docker-client-latest \
                  docker-common \
                  docker-latest \
                  docker-latest-logrotate \
                  docker-logrotate \
                  docker-engine

如果没有旧版本则显示:

1
2
3
4
5
6
7
8
9
10
已加载插件:fastestmirror, langpacks
参数 docker 没有匹配
参数 docker-client 没有匹配
参数 docker-client-latest 没有匹配
参数 docker-common 没有匹配
参数 docker-latest 没有匹配
参数 docker-latest-logrotate 没有匹配
参数 docker-logrotate 没有匹配
参数 docker-engine 没有匹配
不删除任何软件包

安装 gcc 相关环境

(docker调试的基础软件环境)(前提:能上外网)

1
2
yum -y install gcc
yum -y install gcc-c++

安装需要的软件包

yum-utils 提供 yum-config-manager 工具,device-mapper-persistent-data 和 lvm2 是 devicemapper 存储驱动所需要的

1
yum install -y yum-utils

② 安装方法

配置 stable 镜像仓库

1
2
3
4
5
6
7
8
# × 官方方法:容易报错[TCP connection reset by peer]、[Timeout]
yum-config-manager \
    --add-repo \
    https://download.docker.com/linux/centos/docker-ce.repo
# √ 配置国内镜像
yum-config-manager \
    --add-repo \
    https://mirrors.aliyun.com/docker-ce/linux/centos/docker-ce.repo
  1. (非必选)更新 yum 软件包索引:yum makecache fast(Centos7) / yum makecache(Centos8)
  2. 安装 DOCKER CE

安装 Docker 引擎

安装 Docker Engine,containerd 和 Docker Compose

1
2
3
4
5
6
7
# Centos7
yum install docker-ce docker-ce-cli containerd.io docker-buildx-plugin docker-compose-plugin

# Centos8
# 因为centos8放弃了对docker的支持,centos8内置了podman容器,会冲突
# --allowerasing命令用于将要安装的包替代冲突的包
yum install --allowerasing docker-ce docker-ce-cli containerd.io

(安装指定版本)

1
2
3
4
# 搜索版本
yum list docker-ce --showduplicates | sort -r
# 指定版本
yum install docker-ce-<VERSION_STRING> docker-ce-cli-<VERSION_STRING> containerd.io

启动 Docker

1
2
3
4
5
# 启动docker
systemctl start docker

# 开机自启
systemctl enable docker

测试

1
2
3
4
# 查看 docker 版本
docker version
# Verify that Docker Engine installation is successful by running the hello-world image.
docker run hello-world

卸载

  1. 结束 docker 守护进程
1
systemctl stop docker
  1. 卸载 Docker Engine,CLI,containerd 和 Docker Compose packages:
1
yum remove docker-ce docker-ce-cli containerd.io docker-buildx-plugin docker-compose-plugin docker-ce-rootless-extras
  1. 删除所有 images,containers 和 volumes(主机上的所有 Images, containers, volumes, or customized configuration files 并不会自动删除):
1
2
rm -rf /var/lib/docker
rm -rf /var/lib/containe

Docker 基础配置

Docker 有两处可以配置参数:一个是 docker.service 服务配置文件,一个是 Docker daemon 配置文件 daemon.json

建议所有修改都在 daemon.json 中进行。若没有 daemon.json ,自行创建 /etc/docker/daemon.json,官方 daemon.json 配置说明。这里对一些常用的配置进行说明。

daemon.json(推荐)

  • docker 安装后默认没有daemon.json这个配置文件,需要进行手动创建,docker 不管是在哪个平台以何种方式启动, 默认都会来这里读取配置,使用户可以统一管理不同系统下的 docker daemon 配置。
  • 如果在daemon.json文件中进行配置,需要 docker 版本高于1.12,配置文件的默认径为:/etc/docker/daemon.json
  • 该文件作为 Docker Engine 的配置管理文件, 里面几乎涵盖了所有 docker 命令行启动可以配置的参数。
  • 相关参数的使用说明可以参阅如下,或者参阅官方文档。
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54
55
56
57
58
59
60
61
{
  "api-cors-header": "",  // 在引擎API中设置CORS标头
  "authorization-plugins": [],  // 要加载的授权插件
  "bridge": "",  //将容器附加到网桥
  "cgroup-parent": "",  //为所有容器设置父cgroup
  "cluster-store": "",  //分布式存储后端的URL
  "cluster-store-opts": {},  //设置集群存储选项(默认map [])
  "cluster-advertise": "",  //要通告的地址或接口名称
  "debug": true,  //启用调试模式,启用后,可以看到很多的启动信息。默认false
  "default-gateway": "",  //容器默认网关IPv4地址
  "default-gateway-v6": "",  //容器默认网关IPv6地址
  "default-runtime": "runc",  //容器的默认OCI运行时(默认为" runc")
  "default-ulimits": {},  //容器的默认ulimit(默认[])
  "dns": ["192.168.1.1"],  //设定容器DNS的地址,在容器的 /etc/resolv.conf文件中可查看。
  "dns-opts": [],  //容器 /etc/resolv.conf 文件,其他设置
  "dns-search": [],  //设定容器的搜索域,当设定搜索域为 .example.com 时,在搜索一个名为 host 的 主机时,DNS不仅搜索host,还会搜索host.example.com 。 注意:如果不设置, Docker 会默认用主机上的 /etc/resolv.conf 来配置容器。
  "exec-opts": [],  //运行时执行选项
  "exec-root": "",  //执行状态文件的根目录(默认为'/var/run/docker')
  "fixed-cidr": "",  //固定IP的IPv4子网
  "fixed-cidr-v6":"",  //固定IP的IPv6子网
  "data-root": "/var/lib/docker",  //Docker运行时使用的根路径,默认/var/lib/docker
  "group": "",  //UNIX套接字的组(默认为"docker")
  "hosts": [], 设置容器hosts
  "icc": false,  // 启用容器间通信(默认为true)
  "ip": "0.0.0.0",  // 绑定容器端口时的默认IP(默认0.0.0.0)
  "iptables": false,  // 启用iptables规则添加(默认为true)  "ipv6": false, 启用IPv6网络
  "ip-forward": false,  // 默认true, 启用 net.ipv4.ip_forward,进入容器后使用 sysctl -a | grepnet.ipv4.ip_forward 查看
  "ip-masq": false,  // 启用IP伪装(默认为true)
  "labels":["nodeName=node-121"],  // docker主机的标签,很实用的功能, 例如定义:–label nodeName=host-121
  "live-restore": true,  // 在容器仍在运行时启用docker的实时还原
  "log-driver": "",  // 容器日志的默认驱动程序(默认为" json-file")
  "log-level": "",  // 设置日志记录级别("调试","信息","警告","错误","致命")(默认为"信息")
  "max-concurrent-downloads": 3,  // 设置每个请求的最大并发下载量(默认为3)
  "max-concurrent-uploads": 5,  // 设置每次推送的最大同时上传数(默认为5)
  "mtu": 0,  // 设置容器网络MTU
  "oom-score-adjust": -500,  // 设置守护程序的oom_score_adj(默认值为-500)
  "pidfile": "",  // Docker守护进程的PID文件
  "raw-logs": false,  // 全时间戳机制
  "selinux-enabled": false,  // 默认 false,启用selinux支持
  "storage-driver": "",  // 要使用的存储驱动程序
  "swarm-default-advertise-addr": "",  // 设置默认地址或群集广告地址的接口
  "tls": true,  // 默认 false, 启动TLS认证开关
  "tlscacert": "",  // 默认 ~/.docker/ca.pem,通过CA认证过的的certificate文件路径
  "tlscert": "",  // 默认 ~/.docker/cert.pem ,TLS的certificate文件路径
  "tlskey": "",  // 默认~/.docker/key.pem,TLS的key文件路径
    "tlsverify": true,  // 默认false,使用TLS并做后台进程与客户端通讯的验证
    "userland-proxy": false,  // 使用userland代理进行环回流量(默认为true)
    "userns-remap": "",  // 用户名称空间的用户/组设置
    "bip": "192.168.88.0/22",  // 指定网桥IP
    "registry-mirrors": ["https://192.498.89.232:89"],  // 设置镜像加速
    "insecure-registries": ["120.123.122.123:12312"],  // 设置私有仓库地址可以设为http
    "storage-opts": [
    "overlay2.override_kernel_check=true",
    "overlay2.size=15G"
    ],  // 存储驱动程序选项
    "log-opts": {
    "max-file": "3",
    "max-size": "10m",
    },  // 容器默认日志驱动程序选项
    "iptables": false  // 启用iptables规则添加(默认为true)
}

镜像下载和上传并发数

从 Docker1.12 开始,支持自定义下载和上传镜像的并发数,默认值上传为5个并发,下载为3个并发。通过添加max-concurrent-downloadsmax-concurrent-uploads 参数对其修改:

1
2
3
4
{
  "max-concurrent-downloads": 3,
  "max-concurrent-uploads": 5 
}

配置镜像加速地址

国内直接拉取镜像会有些缓慢,为了加速镜像的下载,可以给Docker配置国内的镜像地址。

1
2
3
4
5
6
7
8
mkdir -p /etc/docker
tee /etc/docker/daemon.json <<-'EOF'
{
  "registry-mirrors": ["https://1likvzyr.mirror.aliyuncs.com"]
}
EOF
systemctl daemon-reload
systemctl restart docker

镜像源

官方镜像:https://registry.docker-cn.com

网易镜像:http://hub-mirror.c.163.com

清华大学:https://mirrors.tuna.tsinghua.edu.cn/

搜狐镜像:http://mirrors.sohu.com/

阿里镜像:https://1likvzyr.mirror.aliyuncs.com

* 注:阿里镜像需要登录阿里云控制台获取,每个账号有唯一镜像加速地址阿里云登录 - 欢迎登录阿里云,安全稳定的云计算服务平台

私有仓库

Docker 默认只信任 TLS 加密的仓库地址,所有非 https 仓库默认无法登陆也无法拉取镜像。

insecure-registries 字面意思为不安全的仓库,通过添加这个参数对非 https 仓库进行授信。可以设置多个 insecure-registries 地址,以数组形式书写,地址不能添加协议头 http。

1
2
3
{
  "insecure-registries": ["<IP>:<PORT>","<IP>:<PORT>"] 
}

Docker存储驱动

OverlayFS 是一个新一代的联合文件系统,类似于 AUFS ,但速度更快,实现更简单。Docker为 OverlayFS 提供了两个存储驱动程序:旧版的 overlay,新版的 overlay2 (更稳定)。

启用 overlay2 条件:Linux内核版本4.0或更高版本。

1
{ "storage-driver": "overlay2", "storage-opts": ["overlay2.override_kernel_check=true"] }

日志驱动

容器在运行时会产生大量日志文件,很容易占满磁盘空间。通过配置日志驱动来限制文件大小与文件的数量。

日志等级分为 debug|info|warn|error|fatal ,默认为 info

1
2
3
4
5
6
7
8
{
    "log-level": "warn",
    "log-driver": "json-file", 
    "log-opts": { 
        "max-size": "100m", 
        "max-file": "3"
    }, 
}

数据存储路径

默认路径为 /var/lib/docker

1
2
3
{ 
"data-root": "/home/docker" 
}

Demo

这里提供一个经常使用的配置模板

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
{
    "insecure-registries": ["192.168.2.2:8080"],
    "oom-score-adjust": -1000,
    "exec-opts": ["native.cgroupdriver=systemd"],
    "registry-mirrors": ["https://ucjisdvf.mirror.aliyuncs.com"],
    "storage-driver": "overlay2",
    "storage-opts": ["overlay2.override_kernel_check=true"], 
    "log-level": "warn", 
    "log-driver": "json-file", 
    "log-opts": { 
        "max-size": "100m", 
        "max-file": "3" 
    },
    "data-root": "/home/docker" 
}

重载:

1
systemctl daemon-reload

docker.service

link路径: /etc/systemd/system/multi-user.target.wants/docker.service

绝对路径: /usr/lib/systemd/system/docker.service

背景概念

  • 每一个 Unit 都有一个配置文件,告诉 Systemd 怎么启动这个 Unit 。
  • Systemd 默认从目录 /etc/systemd/system/ 读取配置文件。但是,里面存放的大部分文件都是符号链接,指向目录 /usr/lib/systemd/system/,真正的配置文件存放在那个目录。
  • systemctl enable 命令用于在上面两个目录之间,建立符号链接关系。
  • 开机时,Systemd 只执行 /etc/systemd/system 目录里面的配置文件。

service文件定义了一个服务,分为 [Unit],[Service],[Install] 三个小节,节选如下

1
2
3
4
5
6
7
8
9
10
11
12
13
[Unit]
Description:描述,
After:在network.target,auditd.service启动后才启动
ConditionPathExists: 执行条件

[Service]
EnvironmentFile:变量所在文件
ExecStart: 执行启动脚本
Restart: fail时重启

[Install]
Alias:服务别名
WangtedBy: 多用户模式下需要的

配置过程省略(https://www.cnblogs.com/leihongnu/p/16309635.html)

开发工具 > Docker
#Docker
Docker安装配置
https://blog-21n.pages.dev/2023/01/04/Docker安装配置/
作者
Neo
发布于
2023年1月4日
许可协议