如果我们从CentOS6过渡到CentOS7系统来的话,会发现原来的iptables被firewalld取代,而且相应的命令格式也稍微有些变化。今天老左有在设置添加放行端口的时候的出现”FirewallD is not running”的错误提示,应该是没有开启firewalld导致的。
镜像是Docker的三大核心概念之一。
Docker运行容器前需要本地存在对应的镜像,如果镜像不存在本地,Docker会尝试先从默认镜像仓库下载,用户也可以通过配置,使用自定义的镜像仓库。
镜像是Docker运行容器的前提。
通常情况下我们可以通过使用docker pull命令从网上下载镜像。该命令的格式为docker pull NAME[:TAG]。对于Docker镜像来说,如果不指定TAG,则会默认选择latest标签,即下载仓库中最新版本的镜像。
即从默认的注册服务器中的ubuntu仓库来下载标记为latest的镜像。
下载镜像到本地后,即可随时使用该镜像了,例如利用该镜像创建一个容器,在其中运行bash应用。
使用docker images命令可以列出本地主机上已有的镜像。
例如,下面的命令列出了本地从官方下载的ubuntu镜像:
在列出的信息中,可以看到几个字段信息:
来自于哪个仓库,比如ubuntu仓库
镜像的标签信息,比如latest
其中镜像的ID信息十分重要,它唯一标识了镜像。
为了方便在后续工作中使用这个镜像,还可以使用docker tag命令为本地镜像添加新的标签。例如添加一个新的ubuntu:latest镜像标签如下:
另外,不同标签额镜像的ID是完全一致的,说明它们实际上指向了同一个镜像文件,只是别名不同而已。标签在这里起到了引用或快捷方式的作用。
使用docker inspect命令可以获取该镜像的详细信息。
inspect命令返回的是一个JSON格式的消息,如果我们只要其中一项内容时,可以使用-f参数来指定,例如,获取镜像的Architecture信息:
在指定镜像ID的时候,通常使用该ID的前若干个字符组成的可区分字符串来替代完整的ID。
使用docker search命令可以搜索远程仓库中共享的镜像,默认搜索Docker Hub官方仓库中的镜像。用法为docker search TERM,支持的参数包括:
例如,搜索带mysql关键字的镜像如下所示:
可以看到返回了很多包含关键字的镜像,其中包括镜像名字,描述,星级(表示该镜像的受欢迎的程度)、是否官方创建,是否自动创建等。
默认的输出结果将按照星级评价进行排序。
官方的镜像说明是官方组创建和维护的,automated资源则允许用户验证镜像的来源和内容。
(1)使用镜像的标签删除镜像
这里可能会有人担心本地的ubuntu:latest镜像是否会受到此命令的影响。无需担心,当同一个镜像拥有多个标签的时候,docker rmi命令只是删除了该镜像多个标签中的指定标签而已,并不影响镜像文件。
因此上述操作相当于只是删除了镜像b的一个标签而已。
为保险起见,再次查看本地的镜像,发现ubuntu:latest镜像仍然存在:
但当镜像只剩下一个标签的时候就要小心了,此时再使用docker rmi命令会彻底删除该镜像。
(2)使用镜像ID删除镜像
当使用docker rmi命令后面跟上镜像的ID时,会尝试删除所有指向该镜像的标签,然后删除该镜像文件本身。
注意,当有该镜像创建的容器存在时,镜像文件默认是无法被删除的,例如:
使用docker ps -a命令可以看到本机上存在的所有容器
试图删除该镜像,Docker会提示有容器正在运行,无法删除:
如果要强行删除镜像,可以使用-f参数:
不过不推荐使用-f参数来强制删除一个存在容器依赖的镜像,因为这样往往会造成一些遗留的问题。
再次使用docker images查看本地的镜像列表,会发现一个标签为的临时镜像,原来被强制删除的镜像换了新的ID继续存在系统中。
因此,正确的做法是,先删除依赖该镜像的所有容器,再来删除镜像。
这样就可以搜索出在Docker Hub上所有带centos的公共的可用镜像
(2)下载centos镜像(拉取镜像)
Docker允许启动一个伪tty终端,使用交互运行的方式启动一个容器,所用到的参数为:-t -i
centos为基础镜像,首先Docker会检查本地是否有centos镜像,如果没有就会连接官方维护的Docker Hub Regustry查看,一旦有就会下载该镜像并将其保存在本地宿主机中。
容器命名(名称必须唯一)
用上述方法启动容器,Docker会为我们创建的每一个容器自动生成一个随机的名字,如果想自己命名,可以用--name标志来实现。
输入exit就可以返回到centos宿主机的命令行提示符了,一旦退出容器,/bin/bash命令也就结束了,容器也随之停止了运行。
连接一个正在运行的container实例(即实例必须为start状态,可以多个窗口同时attach 一个container实例)容器的主机名就是该容器的ID
# 添加测试用户admin,密码admin,并且将此用户添加到sudoers里
# 下面这两句比较特殊,在centos6上必须要有,否则创建出来的容器sshd不能登录
# 启动sshd服务并且暴露22端口
Dockerfile文件有自己的语法和命令,具体可以参考Docker的官方文档。
容器内部像linux一样操作,然后提交容器成镜像
4.根据此镜像启动一个容器
7.通过宿主机端口扫描查看sshd端口状态
8.宿主机生成公钥并且导入到容器中
9.编辑ssh服务启动脚本并赋予执行权限
11.运行镜像,设置端口映射
以centos为基础,目的使用ssh服务远程连接docker容器
环境:宿主机centos7,直接搜索docker的centos镜像,下载最新版本
此时的镜像里除了基础的centos系统外,没有其他服务及工具
6、进入到容器中,升级并安装ssh组件
8、在宿主机中生成密钥对,把生成的公钥文件内容复制到容器的/root/.ssh/authorized_keys里
ssh-keygen -t rsa直接回车即可,查看公钥内容,并复制到容器中
9、设置容器root密码
10、启动sshd服务并退出容器
如果sshd服务启动时报错
12、运行该镜像并启动sshd服务
说明: 10022是宿主机的和容器的通讯端口,外面窗口(局域网)通过访问地址
1、制做JAVA运行环境镜像
我的基础镜像是基于官网centos 7.2版本制作,没有可以提前下载好
从镜像启动一个tomcat容器,把测试程序部署到/www/app1/webapps下从浏览器访问
# 移除之前容器运行留下的日志文件,保留当前容器生成的日志
# 清理数据库,删除test库和无密码用户
# 设置root用户只能从本地登陆
# 用户指定数据库用户名,不提供默认为mysql,并随机生成密码
# 指定其它必要环境变量
# 输出所有信息到终端
#将数据库启动到后台运行并记录PID
#不在终止这个脚本直到数据库进程mysqld_safe正常退出
#从镜像生成一个mariadb容器
=> 使用已经存在数据目录文件.
继续等待数据库启动完成...
删除test库和无密码用户...
设置root用户只能从本地登陆完成!
出于安全考虑,应该修改上述密码,root可以在本地无密码登陆建议设置密码
2.1.1 首先查看防火墙状态
2.1.5 查看防火墙设置开机自启是否成功
2.2.6 查看开启的所有端口
2.2.7 查看服务的监听
在Centos 7.x 中防火墙由firewalld来管理,以前为了方便,把防火墙都关闭了,因为现在项目都比较重要,害怕受到攻击,所以为了安全性,又需要将防火墙开启,接下来介绍一下常用的命令。
管理防火墙的命令有很多,这里列表常用的几个。
如下图所示,表示自启成功
以上就是开启防火墙相关步骤
在开启防火墙之后,我们有些服务就会访问不到,是因为服务的相关端口没有打开。在此以打开80/3306端口为例
批量添加端口(添加端口1000到2000之间的所有)
如下图所示,表示添加成功:
