docker 分类

buildx

1.官网

buildx 命令属于实验特性，因此首先需要开启该特性，比如 ~/.docker/config.json 的 experimental 设置为 true

xuweiqiang大约 1 分钟

dind

什么是dind

kubernetes的编译需要用到dind，就是docker内部启动一个容器用于编译镜像，在gitlab的CI的时候可以使用

官网

xuweiqiang大约 1 分钟

docker离线安装

方式一：导出rpm包或者deb包进行离线安装 - 推荐

# rpm包导出
$ yum -y reinstall --downloadonly --downloaddir=./ docker

# 安装rpm包
$ rpm -ivh ./*.rpm
$ rpm -ivh package_name.rpm

# deb包导出
$ apt-get install dpkg-repack
$ dpkg-repack ${package-name}

xuweiqiang小于 1 分钟

loki采集日志

使用docker compose搭建loki和promtail服务，支持自定义采集目标，并且通过 loki http API查看日志数据

一、使用compose搭建loki服务

创建文件夹

$ mkdir loki-compose
$ cd loki-compose
$ mkdir data && mkdir log && mkdir config
$ cd config && touch local-config.yaml && touch promtail-config.yaml
$ touch docker-compose.yml

xuweiqiang大约 1 分钟

分配网络给容器

创建无网络的docker容器然后手动分配网络

一、环境准备

docker离线安装

二、运行

容器创建

$ docker run --net=none -itd --name busybox-test busybox
$ docker exec busybox-test ip a

xuweiqiang大约 3 分钟

制作多架构镜像

方式一、使用buildx

# 文件目录
# bin目录是go程序编译结果 go build GOOS=linx GOARCH=amd64 \ GOARCH=arm64
.
├── Dockerfile
├── README.md
├── bin
│   ├── amd64
│   │   └── tool
│   └── arm64
│       └── tool
├── golang
│   ├── go.mod
│   └── main.go
└── sh
    └── start.sh

xuweiqiang大约 2 分钟

双网卡实现网络隔离

创建docker容器然后分配两张不同网段的网卡，验证网络隔离环境

一、环境准备

docker离线安装

二、创建1个容器分配2张网卡

容器创建

xuweiqiang大约 2 分钟

多架构镜像存储

如何存储多架构镜像到私有库

# 多架构镜像
# quay.io/coreos/etcd:v3.5.0

$ docker pull --platform=linux/amd64 quay.io/coreos/etcd:v3.5.0 

$ docker tag quay.io/coreos/etcd:v3.5.0 \
   registry.my.net/bingokube/etcd:v3.5.0-amd64

$ docker pull --platform=linux/arm64 quay.io/coreos/etcd:v3.5.0 

$ docker tag quay.io/coreos/etcd:v3.5.0 \
   registry.my.net/bingokube/etcd:v3.5.0-arm64


$ docker push registry.my.net/bingokube/etcd:v3.5.0-amd64

$ docker push registry.my.net/bingokube/etcd:v3.5.0-arm64

# 此时无法拉取镜像下面的无法执行
$ docker pull registry.my.net/bingokube/etcd:v3.5.0

# 制作清单
$ docker manifest create --insecure registry.my.net/bingokube/etcd:v3.5.0 \
   registry.my.net/bingokube/etcd:v3.5.0-amd64 \
   registry.my.net/bingokube/etcd:v3.5.0-arm64

# 推送清单
$ docker manifest push --insecure registry.my.net/bingokube/etcd:v3.5.0

# 查看清单
$ docker manifest inspect registry.my.net/bingokube/etcd:v3.5.0
{
   "schemaVersion": 2,
   "mediaType": "application/vnd.xxx.list.v2+json",
   "manifests": [
      {
         "mediaType": "application/vnd.xxx.v2+json",
         "size": 1783,
         "digest": "sha256:abc",
         "platform": {
            "architecture": "amd64",
            "os": "linux"
         }
      },
      {
         "mediaType": "application/vnd.xxx.v2+json",
         "size": 1576,
         "digest": "sha256:abc",
         "platform": {
            "architecture": "arm64",
            "os": "linux"
         }
      }
   ]
}

xuweiqiang小于 1 分钟

集成gvisor

一、安装gvisor

gvisor.dev

二、运行容器验证

# 查看当前docker支持的运行时
$ docker info | grep Runtime

# 基于runtime=runsc创建容器
$ docker run --runtime=runsc --memory=1g -itd --name centos-test3 centos:centos7

# 进入容器查看
$ docker exec -it centos-test3 /bin/bash

# 比较和宿主机的内存
$ free -m

# 基于runc创建容器试试(验证后发现内存隔离并未生效)
$ docker run --runtime=runc --memory=1g -itd --name centos-test5 centos:centos7

xuweiqiang小于 1 分钟

集成kata

理解CRI标准

一、离线安装Docker

https://download.docker.com/linux/static/stable/aarch64/docker-23.0.4.tgz

二、kata-containers安装

检测是否支持kata-containers

# 先查看当前架构
$ uname -a

# Intel的处理器支持Intel VT-x技术，而AMD的处理器支持AMD SVM技术
# aarch64\arm64 支持 ARM Hyp
# 支持kvm
$ kata-runtime kata-check

# 输出表示支持
# System is capable of running Kata Containers
# System can currently create Kata Containers

xuweiqiang大约 8 分钟