从零开始掌握 Docker:核心命令与实践指南
从零开始掌握 Docker:核心命令与实践指南
摘要: 本文系统整理了 Docker 的核心概念与常用命令,涵盖镜像管理、容器操作、数据存储、网络配置、Compose 编排以及 Dockerfile 构建等内容。通过清晰的命令示例和实用说明,帮助开发者快速上手 Docker 容器化技术,提升开发与部署效率。
关键词: Docker, 容器化, 镜像, 容器, Docker Compose, Dockerfile, 命令手册
一、 Docker 镜像管理
镜像是 Docker 容器运行的基础模板。
1. 搜索镜像
在 Docker Hub 或其他注册中心查找镜像。
docker search nginx
2. 拉取镜像
下载镜像到本地仓库。推荐指定标签(如 :latest, :alpine)。
docker pull nginx # 拉取最新版 (latest)
docker pull nginx:latest # 显式指定最新版
docker pull nginx:alpine # 拉取 Alpine Linux 精简版
3. 查看本地镜像
列出所有已下载的镜像。
docker images
docker image ls # 等效命令
4. 删除镜像
移除不再需要的本地镜像。注意: 依赖该镜像的容器必须先删除或停止。
docker rmi nginx:latest # 通过仓库名:标签删除
docker rmi <镜像ID> # 通过唯一镜像 ID 删除 (更精确)
二、 Docker 容器操作
容器是镜像的运行实例。
1. 运行容器
启动一个新的容器实例。
docker run nginx # 前台运行 (会占用终端)
docker run -d --name mynginx nginx # 后台运行 (-d) 并命名容器 (--name)
docker run -d --name myweb -p 8080:80 nginx # 后台运行,并将容器 80 端口映射到宿主机 8080 端口 (-p)
# 常用选项:
# -d: 后台运行 (detached mode)
# --name: 为容器指定一个易记的名称
# -p <主机端口>:<容器端口>: 端口映射
# -it: 交互模式运行 (通常与 /bin/bash 结合进入容器)
# -e: 设置环境变量
# --restart=always: 容器退出时自动重启
2. 查看容器状态
docker ps # 查看正在运行的容器
docker ps -a # 查看所有容器 (包括已停止的)
docker ps -aq # 查看所有容器的 ID (只显示 ID, 常用于批量操作)
3. 启动/停止/重启容器
docker start <容器名称|容器ID> # 启动已停止的容器
docker stop <容器名称|容器ID> # 优雅停止运行中的容器 (发送 SIGTERM)
docker restart <容器名称|容器ID> # 重启容器
4. 查看容器资源使用与日志
docker stats <容器名称|容器ID> # 实时查看容器的 CPU、内存、网络、磁盘等资源使用情况
docker logs <容器名称|容器ID> # 查看容器日志 (默认显示已产生的日志)
docker logs -f <容器名称|容器ID> # 持续跟踪 (follow) 容器日志输出 (类似 tail -f)
5. 进入运行中的容器
在运行的容器内启动一个交互式 Shell(通常是 /bin/bash 或 /bin/sh)。
docker exec -it mynginx /bin/bash
# -i: 保持 STDIN 打开
# -t: 分配一个伪终端 (TTY)
6. 删除容器
移除不再需要的容器。注意: 正在运行的容器需要先停止或使用 -f 强制删除。
docker rm <容器名称|容器ID> # 删除已停止的容器
docker rm -f <容器名称|容器ID> # 强制删除运行中的容器
docker rm $(docker ps -aq) # 批量删除所有已停止的容器 (危险操作!)
三、 构建与分享自定义镜像
1. 提交容器更改创建新镜像
基于一个运行中的容器的当前状态创建新的镜像层。
docker commit -m "update index.html" mynginx mynginx:v1.0
# -m: 提交信息
# mynginx: 源容器名称
# mynginx:v1.0: 新镜像名称:标签
2. 保存镜像为文件
将镜像导出为 .tar 文件,方便离线传输或备份。
docker save -o mynginx.tar mynginx:v1.0
# -o: 指定输出文件名
3. 从文件加载镜像
从 .tar 文件恢复镜像到本地仓库。
docker load -i mynginx.tar
# -i: 指定输入文件
4. 分享镜像到 Docker Hub (或其他注册中心)
-
登录:
docker login # 默认登录 Docker Hub, 提示输入用户名密码 -
标记镜像: 为本地镜像添加符合目标仓库规范的名称(通常是
/<仓库名>:<标签> docker tag mynginx:v1.0 <你的DockerHub用户名>/mynginx:v1.0 -
推送镜像:
docker push <你的DockerHub用户名>/mynginx:v1.0
四、 Docker 数据管理 (存储卷 Volumes)
Docker 使用存储卷 (Volumes) 或绑定挂载 (Bind Mounts) 来持久化容器数据,避免容器删除后数据丢失。
1. 目录挂载 (Bind Mounts)
将宿主机上的一个具体目录直接挂载到容器内指定路径。文件存在于宿主机文件系统上。
docker run -d -p 80:80 -v /宿主机/绝对路径/nginxhtml:/usr/share/nginx/html --name myapp nginx
# -v /宿主机路径:/容器路径
- 优点: 直观,方便在宿主机直接修改文件。
- 缺点: 依赖宿主机特定目录结构,移植性稍差。
2. 卷挂载 (Volumes)
使用 Docker 管理的命名卷挂载到容器内路径。卷存储在 Docker 管理的区域 (/var/lib/docker/volumes/),与容器生命周期解耦。
docker run -d -p 80:80 -v mynginxconf:/etc/nginx -v mynginxhtml:/usr/share/nginx/html --name myapp nginx
# -v 卷名:/容器路径
- 优点: 移植性好,由 Docker 管理生命周期,备份/恢复方便。
- 缺点: 数据位置不如绑定挂载直观。
3. 卷管理命令
docker volume ls # 列出所有 Docker 管理的卷
docker volume create myvolume # 创建一个新的命名卷
docker volume inspect myvolume # 查看指定卷的详细信息 (包括其物理存储位置 Mountpoint)
docker volume rm myvolume # 删除一个不再使用的卷
# 注意:删除容器时,使用 -v 选项可以同时删除关联的匿名卷 (未命名的卷)。命名卷需要显式删除。
五、 Docker 网络管理
Docker 容器默认通过 docker0 虚拟网桥连接并相互隔离。
1. 查看容器网络信息
docker container inspect <容器名称|容器ID> # 查看容器详细信息,包括其 IP 地址、网关、网络配置等
2. 默认网络 (docker0) 的局限性
- 容器 IP 地址在重启或重新创建后可能变化。
- 默认网络不支持通过容器名称进行服务发现(只能通过易变的 IP 地址访问)。
3. 创建自定义网络
自定义网络解决了 docker0 的局限性:
- 为容器提供稳定的、可预测的 IP 地址段。
- 支持通过容器名称作为主机名进行服务发现(容器间可以直接用名字通信)。
docker network create mynet # 创建一个名为 mynet 的自定义桥接网络
docker network ls # 列出所有 Docker 网络
4. 将容器连接到自定义网络
docker run -d -p 8081:80 --name app1 --network mynet nginx
docker run -d -p 8082:80 --name app2 --network mynet nginx
- 现在
app1可以直接通过ping app2或http://app2访问app2容器,反之亦然。 - 使用
docker inspect app1查看其网络配置,确认它连接到了mynet并获取了 IP。
5. 删除网络
注意: 只能删除没有容器连接的网络。
docker network rm mynet
六、 使用 Docker Compose 编排多容器应用
Docker Compose 使用 YAML 文件 (docker-compose.yml 或 compose.yml) 定义和运行多容器 Docker 应用。
1. 上线应用 (启动服务)
在包含 compose.yaml 文件的目录下运行:
docker compose -f compose.yaml up -d
# -f: 指定 Compose 文件 (默认为 compose.yml 或 docker-compose.yml 时可省略)
# -d: 后台运行 (detached)
# up: 创建并启动所有定义的服务、网络、卷
- Compose 只会重建或重启配置发生变化的容器(智能更新)。
2. 下线应用 (停止并清理)
docker compose -f compose.yaml down # 停止并移除容器、网络 (默认保留卷和镜像)
docker compose -f compose.yaml down --rmi all -v # 停止并移除容器、网络,同时删除所有相关镜像(--rmi all)和卷(-v)
# --rmi all: 删除 Compose 文件中定义的服务所使用的所有镜像
# -v: 删除 Compose 文件中定义的匿名卷和 compose 创建时指定的命名卷 (谨慎使用!)
七、 使用 Dockerfile 构建镜像
Dockerfile 是一个文本文件,包含构建 Docker 镜像所需的一系列指令。
常用 Dockerfile 指令
| 指令 | 说明 | 示例 |
|---|---|---|
| FROM | 指定基础镜像。 所有构建都以此为基础。 | FROM openjdk:11 |
| LABEL | 添加元数据 (键值对)。 如作者、描述、版本等。 | LABEL maintainer="[email protected]" |
| COPY | 复制文件/目录。 从构建上下文复制到镜像内。 | COPY ./app.jar /app/app.jar |
| ADD | 类似 COPY,但功能更多 (支持 URL、自动解压 tar)。通常优先用 COPY。 |
ADD https://example.com/file.tar.gz / |
| WORKDIR | 设置工作目录。 后续指令 (RUN, CMD, ENTRYPOINT, COPY, ADD) 都在此目录下执行。 |
WORKDIR /app |
| RUN | 执行命令。 在构建过程中运行命令并创建新的镜像层。常用于安装软件包。 | RUN apt-get update && apt-get install -y curl |
| EXPOSE | 声明运行时容器监听的端口。 只是一个文档说明,实际映射需用 -p。 |
EXPOSE 8080 |
| ENV | 设置环境变量。 在构建阶段和运行阶段都可用。 | ENV JAVA_HOME=/usr/lib/jvm/java-11-openjdk |
| CMD | 指定容器启动时的默认命令。 可以被 docker run 的命令覆盖。 |
CMD ["java", "-jar", "/app.jar"] |
| ENTRYPOINT | 指定容器启动时的主命令。 CMD 的内容通常作为其参数。更不易被覆盖。 |
ENTRYPOINT ["java", "-jar"] CMD ["/app.jar"] |
示例 Dockerfile (构建 Java 应用镜像)
# 使用 OpenJDK 11 官方镜像作为基础
FROM openjdk:11
# 添加维护者信息 (元数据)
LABEL author="liuqi" version="1.0"
# 将构建上下文中的 app.jar 复制到镜像根目录下
COPY app.jar /app.jar
# 声明应用运行时监听的端口
EXPOSE 8081
# 设置容器启动时执行的命令 (主进程)
ENTRYPOINT ["java", "-jar", "/app.jar"]
构建镜像
在包含 Dockerfile 和 app.jar 的目录下运行:
docker build -t myjavaapp:v1.0 .
# -t: 指定构建出的镜像名称和标签 (myjavaapp:v1.0)
# . : 指定构建上下文路径 (当前目录),Dockerfile 和 COPY 的文件都相对于此路径
八、 Docker 镜像分层存储机制
Docker 镜像采用分层存储 (Layer Storage) 机制,这是其高效性和轻量化的核心:
- Union File System (联合文件系统): 如 AUFS, Overlay2 等。这些文件系统允许将多个目录(称为“层”)挂载到同一个虚拟目录下。对用户呈现的是一个单一的文件系统视图。
- 只读层 (Read-Only Layers):
- 镜像由一系列只读层叠加组成。
- 每一层代表 Dockerfile 中的一条指令(如
FROM,RUN,COPY,ADD)所引入的文件系统变化。 - 这些层是共享的。如果多个镜像基于同一个基础镜像(如
ubuntu:latest),那么它们共享基础镜像的所有只读层,节省磁盘空间。
- 容器层 (Container Layer / Read-Write Layer):
- 当从镜像启动一个容器时,Docker 会在所有只读层之上添加一个薄薄的读写层(通常称为“容器层”或“可写层”)。
- 容器运行时的所有文件写入操作(创建、修改、删除文件)都只发生在这个读写层中。
- 容器删除时,这个读写层也会被丢弃(除非使用卷持久化数据)。
- 写时复制 (Copy-on-Write - CoW):
- 如果一个容器需要修改只读层中的某个文件(例如修改配置文件),CoW 机制会触发:
- 该文件会从底层的只读层复制到容器的读写层。
- 后续所有对该文件的修改都只发生在读写层的这个副本上。
- 底层的只读文件保持不变。这保证了基础镜像的完整性和可共享性。
- 只有首次修改时才复制,优化了性能和存储空间。
- 如果一个容器需要修改只读层中的某个文件(例如修改配置文件),CoW 机制会触发:
图解:
+---------------------------------------------------+
| Container (myapp) |
| +-----------------------------------------------+ |
| | Read-Write Layer (R/W) | | (容器层 - 存储运行时修改)
| +-----------------------------------------------+ |
| +-----------------------------------------------+ |
| | Read-Only Layer (n) | | (镜像层 - 由 `RUN apt-get install` 添加)
| +-----------------------------------------------+ |
| ... |
| +-----------------------------------------------+ |
| | Read-Only Layer (2) | | (镜像层 - 由 `COPY app.jar` 添加)
| +-----------------------------------------------+ |
| +-----------------------------------------------+ |
| | Read-Only Layer (1) | | (镜像层 - 由 `FROM openjdk:11` 引入的基础层)
| +-----------------------------------------------+ |
+---------------------------------------------------+
(Union Mount Point - 呈现为单一文件系统视图)
优势:
- 高效构建: 构建镜像时,如果某层及其之上的层没有变化,Docker 会直接使用缓存中的层,极大加速构建过程。
- 节省空间: 多个镜像和容器共享基础层。
- 快速启动: 启动容器只需添加一个薄薄的读写层,无需复制整个文件系统。
- 镜像复用: 公共基础层只需下载一次。