dock

1、直接点击手机上的【设置】进来后，找到【通用】点击。2、通用设置里边找到【辅助功能】，点击。3、将【降低透明度】这个功能选择关闭状态。4、最后回到手机的桌面看效果，完成效果图。

dock一般指的是苹果操作系统中的停靠栏，这种停靠栏很有个性，而且很适用，如果对XP的桌面厌倦了的话，使用一下Dock是一个不错的选择。Dock有堆栈的功能，会显示你文件夹内的东西，只需要对着那个文件夹右击，选择显示为“文件夹”就好。Dock里面的东西只是快捷方式，或者Dock上放了Safari，通过三指拖移直接可以从Dock上拖出来后删除就没有了。

可以看看这个配了图的教程哦，http://jingyan.baidu.com/article/6c67b1d6eb73df2787bb1e26.html

系统升级至watchOS3后短按一下侧面长条形按键

　　1、苹果手表的dock是手表操作系统中的停靠栏，我们打开这个功能。 　　2、在dock的页面中点击屏幕右上角“编辑”按钮来进行编辑，此时在应用列表里我们可以点击应用后面的“+”按钮将此应用添加到dock中。 　　3、不过dock栏最多可以添加10个应用程序，添加完成后就可以快捷的访问这些应用程序了。 　　AppleWatch是苹果公司于2014年9月10日发布的一款智能手表，手表分为了AppleWatch、AppleWatchSport和AppleWatchEdition这3种不同风格的系列。 　　AppleWatch采用人造蓝宝石水晶屏幕与ForceTouch触控技术，支持电话、语音、短信、天气、连接汽车、航班信息、地图导航、音乐、测量心跳、计步等几十种功能，是一款全方位的健康和运动追踪设备，同时手表机身颜色更是拥有多种选择，满足你对颜色的喜好。 　　AppleWatch拥有各种各样的个性化表盘，令你随心改变。在自定义的表盘上，可以增加天气，下一个活动等实用信息。同时配合着iPhone使用，同全球标准时间的误差不超过50毫秒。

任务显示。dock栏是iOS系统自带的一个任务显示以及切换的快捷窗口，光看字可能不懂。就是iPhone桌面上最下方界面无论上方，活动桌面怎么切换，最下方总是固定的界面就是dock栏。

dock一般指的是苹果操作系统中的停靠栏，这种停靠栏很有个性，而且很适用。如果对XP的桌面厌倦了的话，使用一下Dock是一个不错的选择。Dock分几个版本，有YZdock，RocketDock，ObDock，一般来说，适用YZDock的人比较多，因为它占资源很少。但是在现在内存一般以G计算的时候，ObDock就是很不错的选择了，它的界面和对插件的支持都是很好的。RocketDock介于YZDock和obDock之间，我现在用的就是RocketDock。另外补充一点，Dock中有一个叫做stack docklet的东西，我试用了三个版本的dock，只有RocketDock V1.3.5 版本可以支持快捷方式。

1、首先打开苹果手机的设置功能，在里面找到“通用”选项。 2、在通用页面中，找到“辅助功能”。 3、进入辅助功能以后，找到视觉中的“降低透明度”，然后点击进入降低透明度设置。 4、苹果手机默认降低透明度是关闭的，我们需要把降低透明度开启。 5、开启“降低透明度”之后，返回到苹果手机设置功能页面，然后找到墙纸。 6、在墙纸设置页面，找到“选取新的墙纸”。 7、然后选择修改你手机壁纸，然后选择静止，再点击“设定”。 8、在弹出来页面中选择“设定主屏幕”，壁纸就设置成功了。 9、壁纸设置成功之后，返回手机页面，就可以看到下方的Dock栏背景已经隐藏了。

最下面那一排就是dock栏

苹果Mac中的Dock栏是一个放置程序或文件夹快捷方式的任务栏。左边用来放置应用程序，右边则是文件夹和回收站，在Dock中除了Finder和回收站无法移动外，其他都可以自由调配。Dock设置方法：1、添加应用程序基本上你可以直接从Launchpad中把程序图标拖入Dock中。2、添加文件文件夹的添加也很方便，把需要加入Dock中得文件夹从桌面或者Finder直接拖入Dock右侧即可。3、Dock去除应用程和文件夹按住应用程序的图标，然后拖出Dock即可。Dock中得快捷方式无法拖到桌面上，只要拖出Dock就表示删除。4、在偏好设置里，你还可以给Dock的的视觉样式和固定位置进行一些自定义设置，比如鼠标悬浮的放大效果，或者把Dock栏固定在左侧等等。5、除了进入设置面板之外，也能在Dock的左右分界线上点击右键进行一些快捷设置，或者左键按住分界线上下拖动调节Dock栏的大小。

dock和top的区别在于它们的作用和用法略有不同。1、dock：dock是一个用于管理和监控Docker容器的命令行工具。Docker是一个开源的容器化平台，可以将应用程序及其依赖包装在一个容器中，从而实现跨平台部署。dock命令可以用于启动、停止、查看、删除Docker容器，同时还可以进行容器的日志管理、端口映射等操作。例如，使用dock命令启动一个容器可以使用以下命令：dockrun[image][command]。2、op：top是一个用于实时监控系统资源占用情况的命令行工具。top命令可以显示进程列表，按CPU使用率或内存使用率排序，同时还可以查看CPU、内存、磁盘IO等系统资源的使用情况。使用top命令可以及时发现系统资源占用过高的进程，从而进行调整和优化。例如，使用top命令可以查看系统资源占用最高的进程，并通过kill命令终止该进程，以释放系统资源。

dock [dɒk] n. 码头；船坞；被告席；尾巴的骨肉部分vt. 使靠码头；剪短vi. 入船坞They easied on approaching the dock. 船驶近码头时他们停止了划桨。

苹果的dock栏是图形用户界面中用于启动、切换运行中的应用程序的一种功能界面，在默认状态下它位于屏幕底部。在Mac OS X中Dock栏可用来存放操作系统中任意的程序和文件，而且存放数目不受限制，可以动态更改大小，并在鼠标靠近时自动放大。 演示机型：Iphone 12 系统版本：iOS14.4 苹果的dock栏是图形用户界面中用于启动、切换运行中的应用程序的一种功能界面，在默认状态下它位于屏幕底部。 在Mac OS X中Dock栏可用来存放操作系统中任意的程序和文件，而且存放数目不受限制，可以动态更改大小，并在鼠标靠近时自动放大。

dock1名词 n. 1. 码头;港区 2. 船渠;船坞The ship was in dock for major repairs. 船停在船坞里大修。 3. 飞机(检修)棚 4. (供铁路货车或运货汽车装卸用的)月台及物动词 vt. 1. 使靠码头;使入船坞[(+at)]The ship was docked at Seattle. 船停靠在西雅图。 2. 使(太空飞行器)在外层空间对接不及物动词 vi. 1. 靠码头;入船坞[(+at)] 2. (太空飞行器)在外层空间对接The two modules docked in outer space. 那两个航天舱在外层空间对接。 dock2名词 n. [C]1. 尾巴的骨肉部分 2. 剪短的尾,尾根及物动词 vt. 1. 剪短(尾巴等) 2. 扣去(薪水,津贴等);削减(供应等);删节[(+from/off)]The boss docked a third of my wages. 老板扣掉我三分之一工资。 3. (作为惩罚)剥夺[(+of)]The child"s parents docked him of television privileges. 那孩子的家长不许他看电视。 dock3名词 n. 1. 被告席[the S]in the dock 就被告席;受裁判 dock4名词 n. [C][U]1. 【植】酸模,羊蹄 2. 阔叶野草

这些词都是用来描述船只停靠或者码头，但它们有一些细微的区别：Dock: 指的是一个人工建造的开放式水域区域，通常给商业或军事船只停靠使用。Dock也可以指船坞，即固定在岸边、能够升降的结构，使大型船只得以进入并停泊。Pier: 是一种延伸到水中的平台，支持着供小型船只和渡轮停靠的建筑物。Pier通常是钢筋混凝土或木质建造，有时配备各类设施，例如灯塔、码头、停车场以及餐厅等。Quay: 是一种针对于更长期的停泊和装卸货物而设计的平台，依赖于内部的深水区域。Quay通常是由石头、砖头或混凝土制成，并拥有尤为坚实的防止海浪撞击的护堤。Wharf: 通常是指在河流或湖泊岸边的修建起来的工业码头。Wharf往往比Pier更长，通常用于装卸货物，是商业运输的关键所在。总之，这些词有着一些细微的区别，但它们都是用来描述船只停靠或者码头。

1. Mac Dock栏不见了怎么办 1、第一种方法也是最简单的，直接按快捷键mand+option+D，可以帮助我们打开和关闭Dock。是不是马上就看到Dock栏出现了呢？ 2、如果进入到系统界面发现Dock栏不见了，很大可能原因是Dock栏被手动隐藏了，我们只需简单设置一下，就可以取消隐藏，首先进入“系统偏好设”——“Dock”。 进入“Dock”选项后，在如图所示的“自动显示和隐藏Dock”的勾选项，取消勾选即可。 Dock也许可能不在默认的屏幕底部位置，通过上图的三个位置选项可以更改Dock栏的所在位置。3、如果经过上述设置后还是不见Dock栏的踪影，那也许就是您的Mac已经处于非常“疲劳”的状态，需要重启机器，来“唤醒”一下它了，立即重启机器，Dock就会乖乖出现在眼前了！ 2. 苹果笔记本电脑里“应用程序图标”在DOCK消失怎么恢复 Finder 左侧所有软件，里面找到word，拖拽到dock就可以了。或者四指合拢呼出Launchpad，找到word，拖拽到dock, 或者直接用——Spotlight 搜索一下就立马出来了。 打开Spotlight菜单：Control+空格； 在Finder中打开Spotlight:mand+Option+空格； 那个是堆栈功能。 1.打开Finder面板，在应用程序里找到要在桌面显示图标的软件，鼠标右键选择制作替身。 2.将替身拖拽到桌面，观察效果。

dock一般指的是苹果操作系统中的停靠栏，这种停靠栏很有个性，而且很适用。如果对XP的桌面厌倦了的话，使用一下Dock是一个不错的选择。Dock分几个版本，有YZdock，RocketDock，ObDock，一般来说，适用YZDock的人比较多，因为它占资源很少。但是在现在内存一般以G计算的时候，ObDock就是很不错的选择了，它的界面和对插件的支持都是很好的。RocketDock介于YZDock和obDock之间，我现在用的就是RocketDock。另外补充一点，Dock中有一个叫做stack docklet的东西，我试用了三个版本的dock，只有RocketDock V1.3.5 版本可以支持快捷方式。

Docker、Java、Scala、Hadoop、 Hbase、Spark。 集群共有5台机器，主机名分别为 h01、h02、h03、h04、h05。其中 h01 为 master，其他的为 slave。 JDK 1.8、Scala 2.11.6、Hadoop 3.2.1、Hbase 2.1.3、Spark 2.4.0 wget -qO- https://get.docker.com/ | sh sudo service docker start sudo docker ps 现在的 Docker 网络能够提供 DNS 解析功能，使用如下命令为接下来的 Hadoop 集群单独构建一个虚拟的网络。 sudo docker network create --driver=bridge hadoop 以上命令创建了一个名为 Hadoop 的虚拟桥接网络，该虚拟网络内部提供了自动的DNS解析服务。## 查看 Docker 中的网络 sudo docker network ls 可以看到刚刚创建的名为 hadoop 的虚拟桥接网络。 sudo docker search ubuntu sudo docker pull ubuntu:16.04 sudo docker run -it ubuntu:16.04 /bin/bash 可以看出 shell 已经是容器的 shell 了 exit sudo docker ps -a sudo docker start fab4da838c2f sudo docker stop fab4da838c2f 在当前容器中将配置配好，导入出为镜像。以此镜像为基础创建五个容器，并赋予 hostname 进入 h01 容器，启动 Hadoop。 sudo docker exec -it fab4da838c2f /bin/bash 备份源 cp /etc/apt/sources.list /etc/apt/sources_init.list 先删除旧源文件 rm /etc/apt/sources.list 这个时候没有 vim 工具，使用 echo 命令将源写入新文件 apt update u200b apt install openjdk-8-jdk 测试 u200b java -version u200b apt install scala 测试 u200b scala 安装 vim，用来编辑文件 u200b apt install vim 安装 net-tools u200b apt install net-tools 安装 SSH，并配置免密登录，由于后面的容器之间是由一个镜像启动的，所以在当前容器里配置 SSH 自身免密登录就 OK 了。 安装 SSH u200b apt-get install openssh-server 安装 SSH 的客户端 u200b apt-get install openssh-client 进入当前用户的用户根目录 u200b cd ~ 生成密钥，一直回车就行 u200b ssh-keygen -t rsa -P "" 生成的密钥在当前用户根目录下的 .ssh 文件夹中以 . 开头的文件与文件夹 ls 是看不懂的，需要 ls -al 才能查看。 将公钥追加到 authorized_keys 文件中 u200b cat .ssh/id_rsa.pub >> .ssh/authorized_keys 启动 SSH 服务 u200b service ssh start 免密登录自己 u200b ssh 127.0.0.1 修改 .bashrc 文件，启动 shell 的时候，自动启动 SSH 服务 u200b vim ~/.bashrc 添加一行 u200b service ssh start u200b wget http://mirrors.hust.edu.cn/apache/hadoop/common/hadoop-3.2.1/hadoop-3.2.1.tar.gz 到 /usr/local 目录下面并重命名文件夹 u200b tar -zxvf hadoop-3.2.1.tar.gz -C /usr/local/ u200b cd /usr/local/ u200b mv hadoop-3.2.1 hadoop vim /etc/profile 追加以下内容，JAVA_HOME 为 JDK 安装路径，使用 apt 安装就是这个，用 update-alternatives --config java 可查看 使环境变量生效 u200b source /etc/profile 在目录 /usr/local/hadoop/etc/hadoop 下，修改 hadoop-env.sh 文件，在文件末尾添加以下信息 u200b cd /usr/local/hadoop/etc/hadoop u200b vim hadoop-env.sh 修改 core-site.xml，修改为 u200b vim core-site.xml chmod 777 /home/hadoop3/hadoop/tmp 修改 hdfs-site.xml，修改为 u200b vim hdfs-site.xml 修改 mapred-site.xml，修改为 u200b vim mapred-site.xml 修改 yarn-site.xml，修改为 u200b vim yarn-site.xml 修改 worker 为 u200b vim workers 此时，hadoop已经配置好了 u200b exit u200b sudo docker commit -m "hadoop" -a "tomding" fab4da838c2f newuhadoop 查看镜像 u200b sudo docker images 启动 h01 做 master 节点，所以暴露了端口，以供访问 web 页面，--network hadoop 参数是将当前容器加入到名为 hadoop 的虚拟桥接网络中，此网站提供自动的 DNS 解析功能 u200b sudo docker run -it --network hadoop -h "h01" --name "h01" -p 9870:9870 -p 8088:8088 newuhadoop /bin/bash sudo docker run -it --network hadoop -h "h02" --name "h02" newuhadoop /bin/bash u200b sudo docker run -it --network hadoop -h "h03" --name "h03" newuhadoop /bin/bash u200b sudo docker run -it --network hadoop -h "h04" --name "h04" newuhadoop /bin/bash u200b sudo docker run -it --network hadoop -h "h05" --name "h05" newuhadoop /bin/bash 先进行格式化操作，不格式化操作，hdfs会起不来 u200b cd /usr/local/hadoop/bin u200b ./hadoop namenode -format 进入 hadoop 的 sbin 目录 u200b cd /usr/local/hadoop/sbin/ 启动 u200b ./start-all.sh 查看分布式文件系统的状态 u200b cd /usr/local/hadoop/bin u200b ./hadoop dfsadmin -report 把license作为需要统计的文件 cd /usr/local/hadoop cat LICENSE.txt > file1.txt 在 HDFS 中创建 input 文件夹 u200b cd /usr/local/hadoop/bin ./hadoop fs -mkdir /input 上传 file1.txt 文件到 HDFS 中 ./hadoop fs -put ../file1.txt /input 查看 HDFS 中 input 文件夹里的内容 ./hadoop fs -ls /input 运作 wordcount 例子程序 ./hadoop jar ../share/hadoop/mapreduce/hadoop-mapreduce-examples-3.2.1.jar wordcount /input /output 查看 HDFS 中的 /output 文件夹的内容 ./hadoop fs -ls /output 查看 part-r-00000 文件的内容 ./hadoop fs -cat /output/part-r-00000 Hadoop 部分结束了 在 Hadoop 集群的基础上安装 Hbase root@h01:~# wget http://archive.apache.org/dist/hbase/2.1.3/hbase-2.1.3-bin.tar.gz 到 /usr/local 目录下面 u200b tar -zxvf hbase-2.1.3-bin.tar.gz -C /usr/local/ u200b vim /etc/profile u200b source /etc/profile 使用 ssh h02/3/4/5 进入其他四个容器，依次在 /etc/profile 文件后追加那两行环境变量 在目录 /usr/local/hbase-2.1.3/conf 修改配置 u200b cd /usr/local/hbase-2.1.3/conf 修改 hbase-env.sh，追加 u200b vim hbase-env.sh 修改 hbase-site.xml 为 u200b vim hbase-site.xml 修改 regionservers 文件为 u200b vim regionservers 使用 scp 命令将配置好的 Hbase 复制到其他 4 个容器中 scp -r /usr/local/hbase-2.1.3 root@h02:/usr/local/ scp -r /usr/local/hbase-2.1.3 root@h03:/usr/local/ scp -r /usr/local/hbase-2.1.3 root@h04:/usr/local/ scp -r /usr/local/hbase-2.1.3 root@h05:/usr/local/ cd /usr/local/hbase-2.1.3/bin ./start-hbase.sh 打开 Hbase 的 shell hbase shell 在 Hadoop 的基础上安装 Spark u200b wget https://archive.apache.org/dist/spark/spark-2.4.0/spark-2.4.0-bin-hadoop2.7.tgz 到 /usr/local 目录下面 tar -zxvf spark-2.4.0-bin-hadoop2.7.tgz -C /usr/local/ 修改文件夹的名字 cd /usr/local/ mv spark-2.4.0-bin-hadoop2.7 spark-2.4.0 u200b vim /etc/profile source /etc/profile 使用 ssh h02/3/4/5 可进入其他四个容器，依次在 /etc/profile 文件后追加那两行环境变量 在目录 /usr/local/spark-2.4.0/conf 修改配置 u200b cd /usr/local/spark-2.4.0/conf 修改文件名 u200b mv spark-env.sh.template spark-env.sh 修改 spark-env.sh，追加 u200b vim spark-env.sh 修改文件名 u200b mv slaves.template slaves 修改 slaves 如下 vim slaves 使用 scp 命令将配置好的 Hbase 复制到其他 4 个容器中 scp -r /usr/local/spark-2.4.0 root@h02:/usr/local/ scp -r /usr/local/spark-2.4.0 root@h03:/usr/local/ scp -r /usr/local/spark-2.4.0 root@h04:/usr/local/ scp -r /usr/local/spark-2.4.0 root@h05:/usr/local/ cd /usr/local/spark-2.4.0/sbin ./start-all.sh 其他 3.1 HDFS 重格式化问题 参考 https://blog.csdn.net/gis_101/article/details/52821946 重新格式化意味着集群的数据会被全部删除，格式化前需考虑数据备份或转移问题 ； 先删除主节点（即namenode节点），Hadoop的临时存储目录tmp、namenode存储永久性元数据目录dfs/name、Hadoop系统日志文件目录log 中的内容 （注意是删除目录下的内容不是目录）； 删除所有数据节点(即datanode节点) ，Hadoop的临时存储目录tmp、namenode存储永久性元数据目录dfs/name、Hadoop系统日志文件目录log 中的内容； 格式化一个新的分布式文件系统： cd /usr/local/hadoop/bin ./hadoop namenode -format 注意事项 进入： u200bsudo docker run -it --network hadoop -h "h01" --name "h01" -p 9870:9870 -p 8088:8088 master /bin/bash sudo docker run -it --network hadoop -h "h02" --name "h02" slave1 /bin/bash u200bsudo docker run -it --network hadoop -h "h03" --name "h03" slave2 /bin/bash u200bsudo docker run -it --network hadoop -h "h04" --name "h04" slave3 /bin/bash u200bsudo docker run -it --network hadoop -h "h05" --name "h05" slave14 /bin/bash 退出： sudo docker commit -m "master" -a "tomding" h01 master sudo docker commit -m "slave1" -a "tomding" h02 slave1 sudo docker commit -m "slave2" -a "tomding" h03 slave2 sudo docker commit -m "slave3" -a "tomding" h04 slave3 sudo docker commit -m "slave4" -a "tomding" h05 slave4

Sign in with your Docker ID. 使用您的Docker ID登录。

首先确保你安装了mysql客户端，没安装的话先：centos : debian ? "yum install mysql-client" : "apt-get install mysql-client"以debian为例，如果安装不成功，查看/etc/apt/sources.list如果apt源已经配置好了，执行apt-get update，再安装mysql客户端如果没配置好，先配置apt源安装完客户端，然后就可以连接了：# mysql -h [mysql_server_ip] -p回车，输入密码默认是root用户，如果连接mysql的非root用户，加参数 -u [username]齐活了

这样吧，你点下我回答的签名处进入我们平台后点击在线咨询，详细的问我，我帮你详细解答

ELK是Elasticsearch+Logstash+Kibana简称 1、编写/data/elk/docker-compose.yml 2、新建文件；安装、运行ELK 3、汉化kibana 1、安装htpasswd工具 2、设置用户名和密码，并把用户名、密码保存到指定文件中： 3、修改nginx配置文件，并且重启nginx服务 4、访问需要输入登录账号、密码 5、（补充）htpasswd 其他参数 命令格式： htpasswd [-cmdpsD] [passwdfile] [username] htpasswd -b[cmdpsD] [passwdfile] [username] [password] htpasswd -n[mdps] username htpasswd -nb[mdps] username password 参数说明： -c 创建一个加密文件 -n 不更新加密文件，只将htpasswd命令加密后的用户名密码显示在屏幕上 -m 默认htpassswd命令采用MD5算法对密码进行加密 -d htpassswd命令采用CRYPT算法对密码进行加密 -p htpassswd命令不对密码进行进行加密，即明文密码 -s htpassswd命令采用SHA算法对密码进行加密 -b htpassswd命令行中一并输入用户名和密码而不是根据提示输入密码 -D 删除指定的用户 新增用户role02 htpasswd -b [passwdfile] [username] [passwd]

我们在应用容器的过程中，无论是在通过Dockerfile在调试构建镜像的过程，还是容器运行一段时间想查看内部结构，我们还是希望能像操作本地机器一样，实时的查看容器内部文件，代码或者日志。或是修改文件，拷贝文件目录等等。- 访问容器内部，目前有两种方法1. Docker自带的exec命令　　2. Nsenter工具　　- 来说说Docker exec 命令方式访问- 如图所示，简单的ls命令。Linux系统自带的命令都可以通过这种方式运行。文件放错位置了，mv一下，查看log，就cat log.log一下，等等。Exec加点料- 简单的操作不能满足我们对他的好奇...　　- 我们运行一下 docker exec -ti 61f ps -ef- 发现只有3个进程，进程1是CMD命令启动的脚本;进程2是脚本启动的程序;进程3是我们运行ps -ef的进程。　　- 出于好奇，我又docker exec 9fe0 kill 15- 容器从此就停止了...　　- 原因是杀掉进程后，Dockerfile指定的CMD[/run.sh]脚本运行结束，CMD入口已经退出，导致容器退出。问题还没结束- Kubernetes是一个基于docker的容器集群管理系统，它的一大特点是拥有Replication Controllers，他的作用主要是保持所起动的Pod数量不变（pod里面装的是container）。我猜想如果类似的kill掉容器内部的进程，那么kubernetes应该会让这个container重新启动。于是就来动手试试。　　- 时速云他们应用了kubernetes，并且提供了客户端tce可以使用exec功能。运行 tce exec bbb-145fv-zkdqz ps -ef- tce exec bbb-145fv-zkdqz kill 15没有重启？？- 再次运行 tce exec bbb-145fv-zkdqz ps -ef- 又出现了。　　- 由此可见Kubernentes的Replication Controllers还是很强大的。保证了集群中有指定数量的pod副本在运行。

概念： 官方定义1： Docker是一个开源的应用容器引擎，开发者可以打包他们的应用及依赖到一个可移植的容器中，发布到流行的Linux机器上，也可实现虚拟化。 官方定义2： k8s是一个开源的容器集群管理系统，可以实现容器集群的自动化部署、自动扩缩容、维护等功能。 docker一般是和传统的虚拟技术对比 传统的虚拟技术：将物理硬件虚拟成多套硬件后，需要在每套硬件上都部署一个操作系统，接着在这些操作系统上运行相应的应用程序，非常重。 docker：Docker容器内的应用程序进程直接运行在宿主机(真实物理机)的内核上，Docker引擎将一些各自独立的应用程序和它们各自的依赖打包，相互独立直接运行于未经虚拟化的宿主机硬件上，同时各个容器也没有自己的内核，显然比传统虚拟机更轻便。 K8s:每个集群有多个节点，每个节点可创建多个容器，kuberbete就是管理这些应用程序所在的小运行环境（container）而生。 在一般的认知中，Kubernetes 和 Docker 是互补关系： Docker 源于 Linux Container，可以将一台机器的资源分成 N 份容器，做到资源的隔离，并将可运行的程序定义为标准的 docker image；Kubernetes 则可以把不同机器的每份容器进行编排、调度，组成分布式系统。 近几年，Kubernetes 已经成为自有机房、云上广泛使用的容器编排方案，最广泛的使用方式是 Kubernetes+Docker。从 DevOps 人员的角度，一面用 kubectl 命令、k8s API 来操作集群，一面在单机用 docker 命令来管理镜像、运行镜像。 单独用 docker 的情况，在一些公司的场景里面也是有的。一种场景是“只分不合”，把一台机器用 docker 做资源隔离，但是不需要将多容器“编排”。 [1] https://xie.infoq.cn/article/3b9f38da1d4bf49d56d1d1938 [2] https://www.cnblogs.com/softidea/p/12803655.html [3] https://zhuanlan.zhihu.com/p/87186261 [4] https://cloud.tencent.com/developer/article/1688212

前提条件： // 1、安装docker服务。 // 2、Mysql8.0 对账号开启mysql_native_password，命令如下： 启动superset服务： // 3、拉取官方镜像 // 4、启动superset，可根据情况将config.py和/app/superset_home持久化 // 5、修改config.py // 6、初始化数据库 // 7、创建账号 // 8、初始化superset

在刚开始使用docker volume挂载数据卷的时候，经常出现没有权限的问题。 这里通过遇到的问题来理解docker容器用户uid的使用，以及了解容器内外uid的映射关系。 本地有一个node的项目需要编译，采用docker来run npm install. 可以看到，install之后，node_modules文件的权限变成root了。那么，作为使用者的我们就没有权限去删除这个文件了。 为什么docker输出的文件权限会是root? Docker容器运行的时候，如果没有专门指定user, 默认以root用户运行。我们的node镜像的 Dockerfile 里没有指定user. 容器里的执行用户的id是0，输出文件的权限也是0. 以下参考 Understanding how uid and gid work in Docker containers 首先了解uid,gid的实现 。Linux内核负责管理uid和gid，并通过内核级别的系统调用来决定是否通过请求的权限。 比如，当一个进程尝试去写文件，内核会检查创建这个进程的的user的uid和gid，来决定这个进程是否有权限修改这个文件。 这里没有使用username，而是uid。 当docker容器运行在宿主机上的时候，仍然只有一个内核。容器共享宿主机的内核，所以所有的uid和gid都受同一个内核来控制。 那为什么我容器里的用户名不一定和宿主内核一样呢？ 比如，superset容器的用户叫做superset, 而本机没有superset这个用户。这是因为username不是Linux kernel的一部分。简单的来说，username是对uid的一个映射。 然而，权限控制的依据是uid，而不是username。 我们继续使用node镜像， 你可以在 github 查看Dockerfile. 里面创建了一个 uid为1000的用户node，但没指定运行user。 我执行的用户为ryan(uid=1000), 让容器后台执行sleep程序。 可以看到，容器外执行sleep的进程的用户是root。容器内部的用户也是0（root）. 虽然执行docker run的用户是ryan . 也就是说，我一个普通用户居然可以以root的身份去执行一个命令。看起来挺恐怖的样子。 权限是通过uid来判断的。接下来测试，相同uid的用户可以修改归属于这个uid的文件。 宿主机有一个用户ryan： 刚才使用的node镜像的Dockerfile也定义了1000的用户node: 我们在本地写一个文件a, 归属用户ryan 然后，通过volume挂载的方式，指定运行user为1000， 启动容器node: 可以看到， 容器外执行sleep的进程，user是ryan(另一个sleep进行是前面的root用户执行的实例，没删除)。 即， docker run -u 可以指定宿主机运行docker命令的用户， -u指定的uid就是docker实际运行的进程拥有者 。 接下来去容器内部，看看能不能修改挂载的文件。 可以看到，我们挂载的文件a在容器内部显示owner是node，即uid=1000的用户。并且有权限查看和修改。 然后，我们写一个文件b，在容器内部，这个b自然属于uid=1000的node。来看看容器外： 同样的，容器外显示b从属于uid=1000的用户ryan，并且有权限查看和修改。 如此，可以证明容器内外共享uid和对应的权限。 本文最初的问题就是因为容器执行者和挂载数据卷的权限不同。容器内部运行是uid=0的用户，数据卷从属与uid=1000的ryan。最终导致容器写入数据卷的文件权限升级为root， 从而普通用户无法访问。 如果挂载了root的文件到容器内部，而容器内部执行uid不是0，则报错没有权限。我在挂载npm cache的时候遇到了这个问题，于是有了本文。 上面的demo恰好宿主机器和容器都存在一个uid=1000的用户，于是很和谐的实现了文件权限共享。接下来测试一个更加明显的demo。 宿主机器和容器都没有uid=1111, 我们以1111来执行容器： 接下来看看容器外的表现： 即-u指定容器内部执行的用户，以及容器外在宿主机进程的用户，同样容器写到数据卷的权限也由此指定。 如此，这个demo更容易理解容器内外的uid的对应关系。理解了以后我们挂载数据卷的时候就不会出现权限问题了。 由于安全问题，通常也是建议不用使用root来运行容器的。

使用Docker部署container后，我们总有类似的需求：登录到container中进行一些操作。常见的方式1.有ssh方式，特点是不需要特别的root权限，但是container需要安装sshd2.使用nsenter来从container获得一个shell实现登录3.使用nsinit本文主要介绍nsenter的使用nsenter使用非常方便，但是有的操作系统发行版本util-linux包比较老，所以没有包含这个nsenter，那么你需要自己编译和安装，对于hacker们来说，源码编译安装不是小case嘛，走起！注明： 下面的命令运行以Ubuntu 14.04为例1）下载源码git clone git://git.kernel.org/pub/scm/utils/util-linux/util-linux.git util-linuxcd util-linux/2）安装依赖包（这个具体缺少的情况，会在运行./autogen.sh的提示，你也可以直接运行3），根据提示来安装对应的依赖包sudo apt-get install libtoolsudo apt-get install automakesudo apt-get install autopointsudo apt-get install libncurses5-dev3）编译安装./autogen.sh ./configure & make4）测试安装成功./nsenter -V5) 将nsenter加入系统环境可执行路径中sudo cp ./nsenter /usr/bin如何使用nsenter，非常简单，1) 首先找到container对应的进程IDsudo docker inspect --format "{{ .State.Pid }}" 2) 执行nsenter获得一个shell ，假设1）获得id是4308sudo nsenter --target 4308 --mount --uts --ipc --net --pid

Docker是一个开源的应用容器引擎，让开发者可以打包他们的应用以及依赖包到一个可移植的容器中，然后发布到任何流行的Linux机器上，也可以实现虚拟化。ontainer是容器的意思。

我们公司参与官方活动，收到产品后，测试的效果非常好，我们在30平米的办公室开会，周边人听到的声音很清晰，还能链接显示器、平板、U盘、摄像头等设备，重要的是体积也不大，裸机重量才335g。按键也不多，使用起来很方便，如果你也想体验体验，可以到官方看看。

携带方便！NewPie的Dock会议扩展坞外观尺寸183*183*60mm。裸机重量:335g，毛重：590g。额外配件有USB-C数据线(含E-marker芯片)，长度:1.5米，颜色:黑色x1pc，所以很方便携带和使用。

前两天买的，语音的时候传递声音很清晰悦耳，没有其他嘈杂的声音，它有AI智能降噪功能，平时同事在办公室走动，键盘敲打，移动椅子这类声音都听不到。同事在开放办公场所，像在封闭安静的空间一般清晰安静，也能跟我们保证远程沟通的音频质量。

支持！NewPie Dock具备丰富接口，支持连接会议平板、投影仪、显示器、摄像头、U盘、键盘、鼠标等设备。实现BYOM自带会议，一线开启视频会议。

支持！NewPie Dock具备丰富接口，支持连接会议平板、投影仪、显示器、摄像头、U盘、键盘、鼠标等设备。实现BYOM自带会议，一线开启视频会议。

携带方便！NewPie的Dock会议扩展坞外观尺寸183*183*60mm。裸机重量:335g，毛重：590g。额外配件有USB-C数据线(含E-marker芯片)，长度:1.5米，颜色:黑色x1pc，所以很方便携带和使用。

前两天买的，语音的时候传递声音很清晰悦耳，没有其他嘈杂的声音，它有AI智能降噪功能，平时同事在办公室走动，键盘敲打，移动椅子这类声音都听不到。同事在开放办公场所，像在封闭安静的空间一般清晰安静，也能跟我们保证远程沟通的音频质量。

NewPie Dock是Newline推出的会议扩展坞，具有以下优势：多功能性：NewPie Dock集成了多种功能，包括视频会议、屏幕共享、音频输出、USB连接等，提供了全面的会议支持。用户可以通过一个设备满足多种会议需求，简化了设备的使用和管理。简便易用：NewPie Dock设计简洁，使用直观，用户可以通过触摸屏或遥控器来控制设备，无需繁琐的设置步骤。同时，它与多个会议软件和平台兼容，可以与各种设备和系统无缝连接，提供便捷的会议体验。高清音视频：NewPie Dock支持高清音视频传输，配备了高质量的麦克风和扬声器，并支持多方音视频通话。无论是语音交流还是视频会议，都能提供清晰、流畅的音视频体验，提高会议的效率和质量。多方屏幕共享：NewPie Dock支持多方屏幕共享，参会人员可以同时分享自己的屏幕内容，实现实时的协作和演示。这对于团队合作、学习教育等场景非常有用，可以提高参会人员的互动和参与度。扩展性：NewPie Dock除了基本的会议功能外，还提供了丰富的扩展接口，可以连接外部设备，如摄像头、麦克风阵列、扬声器等。用户可以根据自己的需求进行灵活的扩展和定制，满足不同场景的会议需求。总之，NewPie Dock通过集成多种功能、简便易用的设计、高清音视频传输和多方屏幕共享等特点，为用户提供了一种便捷、高效的会议体验，是现代会议室和远程会议的理想选择。如果我的回答可以帮到您，请采纳哦！

应该是实现代理的容器没有启动起来，在harbor节点上重启一下所有容器。

上帝借由各种途径使人变得孤独，好让我们可以走向自己。 ——赫尔曼·黑塞《德米安》 CI即为 持续集成(Continue Integration,简称CI) ，用通俗的话讲，就是 持续的整合版本库代码编译后制作应用镜像 。建立有效的持续集成环境可以减少开发过程中一些不必要的问题、 提高代码质量、快速迭代 等, Jenkins :基于Java开发的一种持续集成工具,用于监控持续重复的工作,旨在提供一个开放易用的软件平台,使软件的持续集成变成可能。 Bamboo : 是一个企业级商用软件,可以部署在大规模生产环境中。 CD即持续交付Continuous Delivery和持续部署Continuous Deployment，用通俗的话说，即可以持续的部署到生产环境给客户使用，这里分为两个阶段，持续交付我理解为满足上线条件的过程，但是没有上线，持续部署，即为上线应用的过程 关于 CD环境 ，我们使用以前搭建好的 K8s集群 ，K8s集群可以实现应用的 健康 检测，动态扩容，滚动更新 等优点，关于K8s集群的搭建，小伙伴可以看看我的其他文章 拉取镜像，启动并设置开机自启 配置docker加速器 GitLab 不多介绍。一个基于Git的版本控制平台，,提供了Git仓库管理、代码审查、问题跟踪、活动反馈和wiki，当然同时也提供了 切记:这里的端口要设置成80，要不push项目会提示没有报错，如果宿主机端口被占用，需要把这个端口腾出来 external_url "http://192.168.26.55" gitlab_rails[‘gitlab_ssh_host"] = "192.168.26.55" gitlab_rails[gitlab_shell_ssh_port] = 222 修改完配置文件之后。直接启动容器 相关的git命令 下面我们要配置私有的docker镜像仓库，用到的机器为： 这里仓库我们选择 harbor ，因为有web页面，当然也可以使用 registry 首先需要设置selinux、防火墙 安装并启动docker并安装docker-compose，关于docker-compose，这里不用了解太多，一个轻量的docker编排工具 解压harbor 安装包：harbor-offline-installer-v2.0.6.tgz，导入相关镜像 修改配置文件 harbor.yml：设置IP和用户名密码 ./prepare && ./install.sh 查看相关的镜像 访问测试 这里因为我们要在192.168.26.55(CI服务器)上push镜像到192.168.26.56(私仓)，所有需要修改CI服务器上的Docker配置。添加仓库地址 修改后的配置文件 加载使其生效 CI机器简单测试一下 push一个镜像，可以在私仓的web页面查看 镜像jenkins拉取 这里为什么要改成 1000，是因为容器里是以 jenkins 用户的身份去读写数据，而在容器里jenkins 的 uid 是 1000， 更换国内清华大学镜像,Jenkins下载插件特别慢，更换国内的清华源的镜像地址会快不少 "http://www.google.com/" 替换为 "http://www.baidu.com/" 替换后查看 重启docker，获取登录密匙 需要修改jenkins绑定的docker的启动参数 ， ExecStart=/usr/bin/dockerd -H tcp://0.0.0.0:2376 -H fd:// --containerd=/run/containerd/containerd.sock 修改镜像库启动参数后需要重启docker 后面 gitlab 要和 jenkins 进行联动，所以必须要需要对 jenkins 的安全做一些设置，依次点击 系统管理-全局安全配置-授权策略，勾选"匿名用户具有可读权限" 添加 JVM 运行参数 -Dhudson.security.csrf.GlobalCrumbIssuerConfiguration.DISABLE_CSRF_PROTECTION=true 运行跨站请求访问 这里的话我们要通过jenkins上的kubectl客户端连接k8s,所以我们需要安装一个k8s的客户端kubectl，下载k8s客户端 然后拷贝kubeconfig 证书,k8s集群中查看证书位置,这里的证书是之前创建好的,小伙伴可以看看我之前的文章 命令测试没有问题 我们要部署 Nginx 来运行 hexo 博客系统， hexo 编译完后为一堆静态文件，所以我们需要创建一个 svc 和一个 deploy ，使用 SVC 提供服务，使用 deploy 提供服务能力,使用 Nginx+hexo的静态文件 构成的镜像 这里我们先用一个Nginx镜像来代替hexo博客的镜像 查看deployments和pod 访问测试没有问题，之后我们配置好jenkins上的触发器，直接替换就OK 我们通过 kubectl set 命令更新 deploy 的镜像时，获取的镜像是通过私仓获取的，所以需要在启动参数添加私仓地址 这里所有的节点都需要设置后重启docker 访问jenkins，接下来才是重点，我们要的jenkins上配置整个CICD流程，从而实现自动化 下面我们编译一下hexo，生成public的一个文件夹,然后上传gitlab 同时需要编写Dockerfile文件来创建镜像

Harbor一个用于存储Docker镜像的企业级Registry服务。 Harbor核心组件解释 * Proxy：他是一个nginx的前端代理，代理Harbor的registry,UI, token等服务。 * db：负责储存用户权限、审计日志、Dockerimage分组信息等数据。 * UI：提供图形化界面，帮助用户管理registry上的镜像, 并对用户进行授权。 * jobsevice：jobsevice是负责镜像复制工作的，他和registry通信，从一个registry pull镜像然后push到另一个registry，并记录job_log。 * Adminserver：是系统的配置管理中心附带检查存储用量，ui和jobserver启动时候回需要加载adminserver的配置。 * Registry：镜像仓库，负责存储镜像文件。 * Log：为了帮助监控Harbor运行，负责收集其他组件的log，供日后进行分析。 Harbor和Registry的比较 Docker镜像是是分层的，而如果每次传输都使用全量文件(所以用FTP的方式并不适合)，显然不经济。必须提供识别分层传输的机制，以层的UUID为标识，确定传输的对象。 只用镜像的名字来进行上传下载显然很不方便，需要有一个用户界面可以支持登陆、搜索功能，包括区分公有、私有镜像。 当有用户对镜像的上传下载操作集中在某服务器，需要对相应的访问压力作分解。 企业中的开发团队有很多不同的职位，对于不同的职位人员，分配不同的权限，具有更好的安全性。 kubernetes中通过namespace来对资源进行隔离，在企业级应用场景中，通过将两者进行结合可以有效将kubernetes使用的镜像资源进行管理和访问控制，增强镜像使用的安全性。尤其是在多租户场景下，可以通过租户、namespace和项目相结合的方式来实现对多租户镜像资源的管理和访问控制。 部署 1、安装docker 安装docker-ce yum-utils 提供yum-config-manager工具，devicemapper存储需要device-mapper-persistent-data和lvm2 添加yum源仓库 官方仓库 阿里仓库 安装docker 扩展：安装指定版本的docker 启动docker，设置开机启动docker 官网安装：https://docs.docker.com/install/linux/docker-ce/centos/ 配置docker中国镜像加速器，配置后重启docker 详细说明：https://www.docker-cn.com/registry-mirror 2、安装docker-compose 查看版本 3、安装harbor 从github下载harbor：https://github.com/goharbor/harbor/releases 4、管理 停止，需要进入Harbor目录/usr/local/harbor 修改配置 先停止，然后更新harbor.cfg文件，然后运行prepare，以更新配置 5、登录，默认用户名admin ，密码 Harbor12345，新建一个tomcat7仓库 6、配置docker允许使用http方式访问私仓，不然会在主机登录会出错 7、创建一个镜像并推送到tomcat7仓库 创建dockerfile，这里不把jdk环境打包进镜像，在运行容器时挂载本地jdk环境，以减小镜像大小和提升速度 ####格式：私有仓库IP/项目名称/镜像名称:版本号#### push成功，去界面看下 从镜像启动容器，镜像是否正常使用，注意要使用-v参数，挂载本地jdk 我们访问下IP:32770看下 官网安装：https://github.com/goharbor/harbor/blob/master/docs/installation_guide.md

1、超时原因外部网站，国内访问时可能会超时2、解决方法修改Dockerfile，使用国内的alpine源2.1、正确的做法正确的做法是使用国内源完全覆盖 /etc/apk/repositories在Dockerfile中增加下面的第二行2.2、可能有问题的做法追加国内源（echo后面双大于号），此时可能依然超时，因为默认的/etc/apk/repositories里面就有国外的源追加方法调试一下可以看到默认的国外源在Dockerfile中增加一条命令执行时可以看到全部的源文章知识点与官方知识档案匹配网络技能树首页概览22502 人正在系统学习中打开CSDN APP，看更多技术内容最新发布 基于alpine进行dockerfile 构建时，修改apk源这里提供一种在dockerfile中修改源的方法：在 RUN的第一步，先修改源，并使其生效。时，一直卡住，最后显示超时。这是因为众所周知的原因，只需修改apk的源即可。在基于alpine进行dockerfile 构建时，当进行到。继续访问docker Failed to fetch http://deb.debian.org 或者 dockerfile: returned a non-zero code: 100在使用docker 创建容器时出现的两个问题：docker Failed to fetch http://deb.debian.orgdockerfile: returned a non-zero code: 100归根到底，就是拉取包时连接不稳定，容器内部apt-get 更新或者拉取包时实在太慢出现的错误问题解决：因为代码放在云服务器上，需要修改apt-get源变为对应的服务商的来加速例如，我的是放在腾讯云上，所以要修改为腾讯源一开始改为清华源和其他的加速源试了也都不行总结，如果是在云服务器上跑docke继续访问Docker/Podman使用提高----Dockerfile的制作基础及常见的问题文章目录1.Dockerfile基础2.docker build 基础3.构建centos镜像:案例一4.修改后的案例一：5.CMD 与 ENTRYPOINT 的区别5.ADD 与 COPY 的区别6.常见问题1).fetch https://dl-cdn.alpinelinux.org/alpine/v3.13/main/x86_64/APKINDEX.tar.gz 超时问题2.启动容器后就直接停止了 1.Dockerfile基础 Dockerfile要点： 每个保留关键字（指令）都必须是大写字继续访问ERROR: http://dl-cdn.alpinelinux.org/alpine/v3.9/main: DNS lookup error先说下笔者出现这个问题的场景： 1、内网ubuntu20.04，使用代理服务器进行上网 2、使用Dockerfile构建docker镜像 结果使用docker build -t xxx/xxx .构建docker镜像时，出现下面的错误： fetch http://dl-cdn.alpinelinux.org/alpine/v3.9/main/x86_64/APKINDEX.tar.gz ERROR: http://dl-cdn.alpinelinux.org/alpine/v3.9/main: DN继续访问构建docker镜像时ERROR: http://dl-cdn.alpinelinux.org/alpine/v3.12/main: network error构建docker镜像时ERROR: http://dl-cdn.alpinelinux.org/alpine/v3.12/main: network error继续访问使用Alpine镜像构建镜像一、alpine介绍 1、Alpine Linux是一个完整的操作系统，像其他操作系统一样，可以将Alpine安装到本地硬盘中，使用apk进行包管理。 包含了以下特点： 小巧：基于Musl libc和busybox，和busybox一样小巧，最小的Docker镜像只有5MB； 安全：面向安全的轻量发行版； 简单：提供APK包管理工具，软件的搜索、安装、删除、升级都非常方便。 适合容器使用：由...继续访问linux指令库 apk,alpine apk 包管理命令使用说明 详解（译至官方文档）Packages and RepositoriesAlpine Linux的软件包是经过数字签名的tar.gz存档，包含程序，配置文件和依赖关系元数据。它们具有扩展名.apk，通常称为“a-packs”。包存储在一个或多个存储库中。存储库只是一个包含* .apk文件集合的目录。该目录必须包含一个名为APKINDEX.tar.gz的特殊索引文件，以将其视为存储库。该APK程序可以从多个仓库安装软件包...继续访问解决Docker构建时出现的 WARNING: Ignoring https://dl-cdn.alpinelinux.org/alpine/v3.13/main: Permission denied解决Docker构建时出现的 WARNING: Ignoring https://dl-cdn.alpinelinux.org/alpine/v3.13/main: Permission denied 在根据官网的Docker-compose构建示例项目时遇到的问题，原因是因为无法访问官网给出的外网镜像，可能还会出现 WARNING: Ignoring https://dl-cdn.alpinelinux.org/alpine/v3.13/main: network error 通过在Dockerfile中继续访问alpine Linux的apk软件包管理器Hping使用方法详解原理基础安装Hping的详细参数具体应用 原理基础 Hping是一个命令行下使用的TCP/IP数据包组装/分析工具，其命令模式很像Unix下的ping命令，但是它不是只能发送ICMP回应请求，它还可以支持TCP、UDP、ICMP和RAW-IP协议，它有一个路由跟踪模式，能够在两个相互包含的通道之间传送文件。Hping常被用于检测网络和主机，其功能非常强大，可在多种操作系统下运行，如Linux，FreeBSD，NetBSD，OpenBSD，Solaris，MacOs X，Windows。继续访问Dockerfile构建Alpine镜像/Linux使用apk下载设置资源(字体包/其他)失败/难产进行构建之前注意 如果报OCI runtime create failed: systemd cgroup flag passed, but systemd support for managing cgroups is not available: unknown错误 请将daemon.json中的"exec-opts": ["native.cgroupdriver=systemd"]删掉 个人问题 我使用Dockerfile构建镜像时,使用Alpine版本的基础镜像包，进行构建一直会卡到 [INFO继续访问CentOS7安装docker经常出现的两个问题这篇文章memo一下CentOS 7安装Docker经常出现的两个问题和对应方法。继续访问linux alpine系统切换安装源并安装telnethttps://www.cnblogs.com/ip99/p/13584066.html https://www.cnblogs.com/jason1990/p/12368272.html 1.alpine切换源 安装慢 apk add很慢 阿里镜像 sed -i "s/dl-cdn.alpinelinux.org/mirrors.aliyun.com/g" /etc/apk/repositories 科大镜像 sed -i "s/dl-cdn.alpinelinux.org/mirro继续访问Docker build镜像时，E: Failed to fetchdocker环境下的下载源依旧是国外源导致的，更换为对应版本的国内源即可。 1.在当前目录下，新建sources.list, 这里填写的是阿里源，18.04版本 deb http://mirrors.aliyun.com/ubuntu/ bionic main restricted universe multiverse deb http://mirrors.aliyun.com/ubuntu/ bionic-security main restricted universe multiverse d继续访问linux安装时间太久,为什么在Alpine Linux上安装Pandas需要很长时间我注意到使用基本操作系统Alpine与CentOS或Debian在Docker容器中安装Pandas和Numpy(它的依赖关系)需要更长的时间.我在下面创建了一个小测试来演示时差.除了Alpine更新和下载构建依赖项以安装Pandas和Numpy的几秒钟之外,为什么setup.py需要比Debian安装多70倍的时间？有没有办法加速使用Alpine作为基本图像的安装,或者是否有另一个与Alpine...继续访问部署kubernetes官网博客部署kubernetes官网博客 访问 https://kubernetes.io/ 有些时候不问题，部署离线内网使用官网以及博客， 各位尝鲜可以访问 https://doc.oiox.cn/安装docker root@cby:~#curl-sSLhttps://get.daocloud.io/docker|sh #Executingdockerinsta...继续访问Linux软件包安装(rpm、yum、apt-get、dpkg)Linux RPM 1、RPM 的由来 rpm（英文全拼：redhat package manager） 原本是 Red Hat Linux 发行版专门用来管理 Linux 各项套件的程序，由于它遵循 GPL 规则且功能强大方便，因而广受欢迎。逐渐受到其他发行版的采用。RPM 套件管理方式的出现，让 Linux 易于安装，升级，间接提升了 Linux 的适用度 ...继续访问Docker 主要命令详解Docker 简介及其命令详解前言一、Docker 是什么？1. Docker简介2. Docker 组成3. Docker 优点二、Docker 命令详解总结 前言 云计算时代的到来，要求运行环境的部署快速、准确。而使用Docker来完成环境的部署也被越来越多的企业所选择，所以掌握Docker十分必要。 一、Docker 是什么？ 1. Docker简介 Docker 是一个开源的应用容器引擎，让开发者可以打包他们的应用以及依赖包到一个可移植的镜像中，然后发布到任何流行的 Linux或Window继续访问docker E: Failed to fetch... 404 Not FoundE: Failed to fetch 404 http://... Not Found 可能是因为源版本过老 sudo apt-get update 解决继续访问Docker常用命令本次测试的docker版本是Docker version 18.09.0, build 4d60db4 在以前的版本中，具体哪一个我没有仔细研究，docker的配置路径如下： 环境配置文件 /etc/sysconfig/docker-network /etc/sysconfig/docker-storage /etc/sysconfig/docker unit file /usr/lib/sy...继续访问[Docker]Docker官方起步指南学习笔记④——实例之基于Alpine的nodejs服务器本次的目标是基于前三次课的知识，利用Alpine的最小环境，搭建node.js环境，并创建Hello world网页应用；最后将该容器打包成映像，发布到DockerHub上。继续访问alpine源超时写评论8

Docker的镜像以及一些数据都是在/var/lib/docker目录下，它占用的是Linux的系统分区，也就是下面的/dev/vda1,当有多个镜像时，/dev/vda1的空间可能不足，我们可以把docker的数据挂载到数据盘，例如：/dev/vdb目录下。[root@10-10-63-106 docker]# df -lhTFilesystem Type Size Used Avail Use% Mounted on/dev/vda1 xfs 20G 3.8G 16G 20% /devtmpfs devtmpfs 916M 0 916M 0% /devtmpfs tmpfs 921M 0 921M 0% /dev/shmtmpfs tmpfs 921M 43M 878M 5% /runtmpfs tmpfs 921M 0 921M 0% /sys/fs/cgroup/dev/vdb xfs 100G 11G 90G 11% /data 其中主要的步骤如下：（1） 首先，备份fstab文件sudo cp /etc/fstab /etc/fstab.$(date +%Y-%m-%d)（2） 停止docker， 用rsync同步/var/lib/docker到新位置. 如果rsync没有安装，则使用yum -y intall rsync 进行安装，停止docker ,service docker stop,在数据分区中建立要挂载的目录，mkdir /data/docker 使用rsync工具同步，rsync -aXS /var/lib/docker/. /data/docker/，这可能需要花费的较长的时间，取决于/var/lib/docker的大小，（3） 修改fstab在该文件中把下面一行添加到fstab里，将新位置挂载到 /var/lib/docker/data/docker /var/lib/docker none bind 0 0文件的内如如下：[root@10-10-63-106 docker]# cat /etc/fstab ## /etc/fstab# Created by anaconda on Thu Jul 31 07:50:13 2014## Accessible filesystems, by reference, are maintained under "/dev/disk"# See man pages fstab(5), findfs(8), mount(8) and/or blkid(8) for more info#/dev/vda1 / xfs errors=remount-ro 0 1/swapfile none swap defaults 0 0/dev/vdb /data xfs defaults,noatime 0 0/data/docker /var/lib/docker none bind 0 0（4） 重新挂载mount –a（5） 使用下面的命令检查一下 df /var/lib/docker/Filesystem 1K-blocks Used Available Use% Mounted on/dev/vdb 104806400 47204 104759196 1% /var/lib/docker（6）进入Container查看我们的空间bash-4.1# df -lhTFilesystem Type Size Used Avail Use% Mounted onrootfs rootfs 9.8G 1.4G 7.9G 15% /tmpfs tmpfs 921M 0 921M 0% /devshm tmpfs 64M 0 64M 0% /dev/shm/dev/vdb xfs 100G 2.1G 98G 3% /etc/resolv.conf/dev/vdb xfs 100G 2.1G 98G 3% /etc/hostname/dev/vdb xfs 100G 2.1G 98G 3% /etc/hoststmpfs tmpfs 921M 0 921M 0% /run/secretstmpfs tmpfs 921M 0 921M 0% /proc/kcore没有更改/var/lib/docker路径之前的情况：bash-4.1# df -lhTFilesystem Type Size Used Avail Use% Mounted onrootfs rootfs 9.8G 1.4G 7.9G 15% /tmpfs tmpfs 921M 0 921M 0% /devshm tmpfs 64M 0 64M 0% /dev/shm/dev/vda1 xfs 20G 13G 6.9G 66% /etc/resolv.conf/dev/vda1 xfs 20G 13G 6.9G 66% /etc/hostname/dev/vda1 xfs 20G 13G 6.9G 66% /etc/hoststmpfs tmpfs 921M 0 921M 0% /run/secretstmpfs tmpfs 921M 0 921M 0% /proc/kcore宿主机中的分区大小信息：[root@10-10-63-106 ~]# df -lhTFilesystem Type Size Used Avail Use% Mounted on/dev/vda1 xfs 20G 13G 6.9G 65% /devtmpfs devtmpfs 916M 0 916M 0% /devtmpfs tmpfs 921M 0 921M 0% /dev/shmtmpfs tmpfs 921M 89M 832M 10% /runtmpfs tmpfs 921M 0 921M 0% /sys/fs/cgroup/dev/vdb xfs 100G 33M 100G 1% /data

本文翻译自docker官网： https://docs.docker.com/network/bridge/ In terms of networking, a bridge network is a Link Layer device which forwards traffic between network segments. A bridge can be a hardware device or a software device running within a host machine"s kernel. In terms of Docker, a bridge network uses a software bridge which allows containers connected to the same bridge network to communicate, while providing isolation from containers which are not connected to that bridge network. The Docker bridge driver automatically installs rules in the host machine so that containers on different bridge networks cannot communicate directly with each other. Bridge networks apply to containers running on the same Docker daemon host. For communication among containers running on different Docker daemon hosts, you can either manage routing at the OS level, or you can use an overlay network . When you start Docker, a default bridge network (also called bridge ) is created automatically, and newly-started containers connect to it unless otherwise specified. You can also create user-defined custom bridge networks. User-defined bridge networks are superior to the default bridge network. Containers connected to the same user-defined bridge network effectively expose all ports to each other. For a port to be accessible to containers or non-Docker hosts on different networks, that port must be published using the -p or --publish flag. Use the docker network create command to create a user-defined bridge network. You can specify the subnet, the IP address range, the gateway, and other options. See the docker network create reference or the output of docker network create --help for details. Use the docker network rm command to remove a user-defined bridge network. If containers are currently connected to the network, disconnect them first. When you create a new container, you can specify one or more --network flags. This example connects a Nginx container to the my-net network. It also publishes port 80 in the container to port 8080 on the Docker host, so external clients can access that port. Any other container connected to the my-net network has access to all ports on the my-nginx container, and vice versa. To connect a running container to an existing user-defined bridge, use the docker network connect command. The following command connects an already-running my-nginx container to an already-existing my-net network: To disconnect a running container from a user-defined bridge, use the docker network disconnect command. The following command disconnects the my-nginx container from the my-net network. If you need IPv6 support for Docker containers, you need to enable the option on the Docker daemon and reload its configuration, before creating any IPv6 networks or assigning containers IPv6 addresses. When you create your network, you can specify the --ipv6 flag to enable IPv6. You can"t selectively disable IPv6 support on the default bridge network. By default, traffic from containers connected to the default bridge network is not forwarded to the outside world. To enable forwarding, you need to change two settings. These are not Docker commands and they affect the Docker host"s kernel. These settings do not persist across a reboot, so you may need to add them to a start-up script. The default bridge network is considered a legacy detail of Docker and is not recommended for production use. Configuring it is a manual operation, and it has technical shortcomings . If you do not specify a network using the --network flag, and you do specify a network driver, your container is connected to the default bridge network by default. Containers connected to the default bridge network can communicate, but only by IP address, unless they are linked using the legacy --link flag . To configure the default bridge network, you specify options in daemon.json . Here is an example daemon.json with several options specified. Only specify the settings you need to customize. Restart Docker for the changes to take effect. If you configure Docker for IPv6 support (see Use IPv6 ), the default bridge network is also configured for IPv6 automatically. Unlike user-defined bridges, you can"t selectively disable IPv6 on the default bridge.

Docker提供了一个可以运行你的应用程序的封套(envelope)，或者说容器。它原本是dotCloud启动的一个业余项目，并在前些时候开源了。它吸引了大量的关注和讨论，导致dotCloud把它重命名到DockerInc。它最初是用Go语言编写的，它就相当于是加在LXC（LinuXContainers，linux容器）上的管道，允许开发者在更高层次的概念上工作。Docker扩展了Linux容器（LinuxContainers），或着说LXC，通过一个高层次的API为进程单独提供了一个轻量级的虚拟环境。Docker利用了LXC，cgroups和Linux自己的内核。和传统的虚拟机不同的是，一个Docker容器并不包含一个单独的操作系统，而是基于已有的基础设施中操作系统提供的功能来运行的。这里有一个Stackoverflow的答案，里面非常详细清晰地描述了所有Docker不同于纯粹的LXC的功能特性Docker会像一个可移植的容器引擎那样工作。它把应用程序及所有程序的依赖环境打包到一个虚拟容器中，这个虚拟容器可以运行在任何一种Linux服务器上。这大大地提高了程序运行的灵活性和可移植性，无论需不需要许可、是在公共云还是私密云、是不是裸机环境等等。Docker由下面这些组成：1.Docker服务器守护程序（serverdaemon），用于管理所有的容器。2.Docker命令行客户端，用于控制服务器守护程序。3.Docker镜像：查找和浏览docker容器镜像。

相当于工具条 可以设置工具条的位置上边可以添加toolbar 之类的东西dockedItems: [{ xtype: "toolbar", dock: "top", items: [{ text: "Docked to the top" }] }]docked Items 停靠在边上的面板..

Connection closed by foreign host由外部主机关闭的连接问题的确认：修改了该ubuntu的ip后ping丢包率为0，而且Ping之前的ip丢包率为0，于是确认了是有人占用了使用者的ip。到此问题解决。下次遇到Connection closed by foreign host的问题，不要一昧的相信添加ClientAliveInterval 60或者sudo chown之类的解决方案了

为了解决跨minion之间Pod的通信问题，我们在每个minion上安装OpenvSwtich，并使用GRE或者VxLAN使得跨机器之间Pod能相互通信，本文使用GRE，而VxLAN通常用在需要隔离的大规模网络中。对于OpenvSwitch的具体安装步骤，可参考这篇博客，我们在这里就不再详细介绍安装步骤了。安装完OpenvSwitch后，接下来便建立minion1和minion2之间的隧道。首先在minion1和minion2上建立OVSBridge,[root@minion1~]#ovs-vsctladd-brobr0接下来建立gre，并将新建的gre0添加到obr0，在minion1上执行如下命令，[root@minion1~]#ovs-vsctladd-portobr0gre0--setInterfacegre0type=greoptions:remote_ip=192.168.230.5在minion2上执行,[root@minion2~]#ovs-vsctladd-portobr0gre0--setInterfacegre0type=greoptions:remote_ip=192.168.230.4至此，minion1和minion2之间的隧道已经建立。然后我们在minion1和minion2上创建Linux网桥kbr0替代Docker默认的docker0（我们假设minion1和minion2都已安装Docker），设置minion1的kbr0的地址为172.17.1.1/24，minion2的kbr0的地址为172.17.2.1/24，并添加obr0为kbr0的接口，以下命令在minion1和minion2上执行。[root@minion1~]#brctladdbrkbr0//创建linuxbridge[root@minion1~]#brctladdifkbr0obr0//添加obr0为kbr0的接口[root@minion1~]#iplinksetdevdocker0down//设置docker0为down状态[root@minion1~]#iplinkdeldevdocker0//删除docker0为了使新建的kbr0在每次系统重启后任然有效，我们在/etc/sysconfig/network-scripts/目录下新建minion1的ifcfg-kbr0如下：DEVICE=kbr0ONBOOT=yesBOOTPROTO=staticIPADDR=172.17.1.1NETMASK=255.255.255.0GATEWAY=172.17.1.0USERCTL=noTYPE=BridgeIPV6INIT=no同样在minion2上新建ifcfg-kbr0，只需修改ipaddr为172.17.2.1和gateway为172.17.2.0即可，然后执行systemctlrestartnetwork重启系统网络服务，你能在minion1和minion2上发现kbr0都设置了相应的IP地址。为了验证我们创建的隧道是否能通信，我们在minion1和minion2上相互ping对方kbr0的IP地址，从下面的结果发现是不通的，经查找这是因为在minion1和minion2上缺少访问172.17.1.1和172.17.2.1的路由，因此我们需要添加路由保证彼此之间能通信。[root@minion1network-scripts]#ping172.17.2.1PING172.17.2.1(172.17.2.1)56(84)bytesofdata.^C---172.17.2.1pingstatistics---2packetstransmitted,0received,100%packetloss,time1000ms[root@minion2~]#ping172.17.1.1PING172.17.1.1(172.17.1.1)56(84)bytesofdata.^C---172.17.1.1pingstatistics---2packetstransmitted,0received,100%packetloss,time1000ms由于通过iprouteadd添加的路由会在下次系统重启后失效，为此我们在/etc/sysconfig/network-scripts目录下新建一个文件route-eth0存储路由，这里需要注意的是route-eth0和ifcfg-eth0的黑体部分必须保持一致，否则不能工作，这样添加的路由在下次重启后不会失效。为了保证两台minion的kbr0能相互通信，我们在minion1的route-eth0里添加路由172.17.2.0/24via192.168.230.5deveno16777736，eno16777736是minion1的网卡，同样在minion2的route-eth0里添加路由172.17.1.0/24via192.168.230.4deveno16777736。重启网络服务后再次验证，彼此kbr0的地址可以ping通，如：[root@minion2network-scripts]#ping172.17.1.1PING172.17.1.1(172.17.1.1)56(84)bytesofdata.64bytesfrom172.17.1.1:icmp_seq=1ttl=64time=2.49ms64bytesfrom172.17.1.1:icmp_seq=2ttl=64time=0.512ms^C---172.17.1.1pingstatistics---2packetstransmitted,2received,0%packetloss,time1002msrttmin/avg/max/mdev=0.512/1.505/2.498/0.993ms

为了解决跨minion之间Pod的通信问题，我们在每个minion上安装OpenvSwtich，并使用GRE或者VxLAN使得跨机器之间Pod能相互通信，本文使用GRE，而VxLAN通常用在需要隔离的大规模网络中。对于OpenvSwitch的具体安装步骤，可参考这篇博客，我们在这里就不再详细介绍安装步骤了。安装完OpenvSwitch后，接下来便建立minion1和minion2之间的隧道。首先在minion1和minion2上建立OVSBridge,[root@minion1~]#ovs-vsctladd-brobr0接下来建立gre，并将新建的gre0添加到obr0，在minion1上执行如下命令，[root@minion1~]#ovs-vsctladd-portobr0gre0--setInterfacegre0type=greoptions:remote_ip=192.168.230.5在minion2上执行,[root@minion2~]#ovs-vsctladd-portobr0gre0--setInterfacegre0type=greoptions:remote_ip=192.168.230.4至此，minion1和minion2之间的隧道已经建立。然后我们在minion1和minion2上创建Linux网桥kbr0替代Docker默认的docker0（我们假设minion1和minion2都已安装Docker），设置minion1的kbr0的地址为172.17.1.1/24，minion2的kbr0的地址为172.17.2.1/24，并添加obr0为kbr0的接口，以下命令在minion1和minion2上执行。[root@minion1~]#brctladdbrkbr0//创建linuxbridge[root@minion1~]#brctladdifkbr0obr0//添加obr0为kbr0的接口[root@minion1~]#iplinksetdevdocker0down//设置docker0为down状态[root@minion1~]#iplinkdeldevdocker0//删除docker0为了使新建的kbr0在每次系统重启后任然有效，我们在/etc/sysconfig/network-scripts/目录下新建minion1的ifcfg-kbr0如下：DEVICE=kbr0ONBOOT=yesBOOTPROTO=staticIPADDR=172.17.1.1NETMASK=255.255.255.0GATEWAY=172.17.1.0USERCTL=noTYPE=BridgeIPV6INIT=no同样在minion2上新建ifcfg-kbr0，只需修改ipaddr为172.17.2.1和gateway为172.17.2.0即可，然后执行systemctlrestartnetwork重启系统网络服务，你能在minion1和minion2上发现kbr0都设置了相应的IP地址。为了验证我们创建的隧道是否能通信，我们在minion1和minion2上相互ping对方kbr0的IP地址，从下面的结果发现是不通的，经查找这是因为在minion1和minion2上缺少访问172.17.1.1和172.17.2.1的路由，因此我们需要添加路由保证彼此之间能通信。[root@minion1network-scripts]#ping172.17.2.1PING172.17.2.1(172.17.2.1)56(84)bytesofdata.^C---172.17.2.1pingstatistics---2packetstransmitted,0received,100%packetloss,time1000ms[root@minion2~]#ping172.17.1.1PING172.17.1.1(172.17.1.1)56(84)bytesofdata.^C---172.17.1.1pingstatistics---2packetstransmitted,0received,100%packetloss,time1000ms由于通过iprouteadd添加的路由会在下次系统重启后失效，为此我们在/etc/sysconfig/network-scripts目录下新建一个文件route-eth0存储路由，这里需要注意的是route-eth0和ifcfg-eth0的黑体部分必须保持一致，否则不能工作，这样添加的路由在下次重启后不会失效。为了保证两台minion的kbr0能相互通信，我们在minion1的route-eth0里添加路由172.17.2.0/24via192.168.230.5deveno16777736，eno16777736是minion1的网卡，同样在minion2的route-eth0里添加路由172.17.1.0/24via192.168.230.4deveno16777736。重启网络服务后再次验证，彼此kbr0的地址可以ping通，如：[root@minion2network-scripts]#ping172.17.1.1PING172.17.1.1(172.17.1.1)56(84)bytesofdata.64bytesfrom172.17.1.1:icmp_seq=1ttl=64time=2.49ms64bytesfrom172.17.1.1:icmp_seq=2ttl=64time=0.512ms^C---172.17.1.1pingstatistics---2packetstransmitted,2received,0%packetloss,time1002msrttmin/avg/max/mdev=0.512/1.505/2.498/0.993ms

在Docker中，run应该是用户使用最多的命令了，很多读者反馈不是很明白run命令的用法，而且相关的书籍、中文资料中对run命令的描述也不是非常完整，所以DockerOne组织翻译了Docker官方的文档，以飨读者。注意，本文基于最新的Docker 1.4文档翻译。Docker会在隔离的容器中运行进程。当运行 docker run命令时，Docker会启动一个进程，并为这个进程分配其独占的文件系统、网络资源和以此进程为根进程的进程组。在容器启动时，镜像可能已经定义了要运行的二进制文件、暴露的网络端口等，但是用户可以通过docker run命令重新定义（译者注：docker run可以控制一个容器运行时的行为，它可以覆盖docker build在构建镜像时的一些默认配置），这也是为什么run命令相比于其它命令有如此多的参数的原因。命令格式最基本的docker run命令的格式如下：$ sudo docker run [OPTIONS] IMAGE[:TAG] [COMMAND] [ARG...]如果需要查看[OPTIONS]的详细使用说明，请参考Docker关于OPTIONS的章节。这里仅简要介绍Run所使用到的参数。OPTIONS总起来说可以分为两类：设置运行方式：决定容器的运行方式，前台执行还是后台执行；设置containerID；设置网络参数；设置容器的CPU和内存参数；- 设置权限和LXC参数；设置镜像的默认资源，也就是说用户可以使用该命令来覆盖在镜像构建时的一些默认配置。docker run [OPTIONS]可以让用户完全控制容器的生命周期，并允许用户覆盖执行docker build时所设定的参数，甚至也可以修改本身由Docker所控制的内核级参数。Operator exclusive options当执行docker run时可以设置以下参数：Detached vs ForegroundDetached (-d)- ForegroundContainer IdentificationName (--name)- PID EquivalentIPC SettingNetwork SettingsClean Up (--rm)Runtime Constraints on CPU and MemoryRuntime Privilege, Linux Capabilities, and LXC Configuration接下来我们依次进行介绍。Detached vs foreground当我们启动一个容器时，首先需要确定这个容器是运行在前台还是运行在后台。-d=false: Detached mode: Run container in the background, print new container idDetached (-d)如果在docker run后面追加-d=true或者-d，那么容器将会运行在后台模式。此时所有I/O数据只能通过网络资源或者共享卷组来进行交互。因为容器不再监听你执行docker run的这个终端命令行窗口。但你可以通过执行docker attach来重新附着到该容器的回话中。需要注意的是，容器运行在后台模式下，是不能使用--rm选项的。Foregroud在前台模式下（不指定-d参数即可），Docker会在容器中启动进程，同时将当前的命令行窗口附着到容器的标准输入、标准输出和标准错误中。也就是说容器中所有的输出都可以在当前窗口中看到。甚至它都可以虚拟出一个TTY窗口，来执行信号中断。这一切都是可以配置的：-a=[] 　　　　 : Attach to `STDIN`, `STDOUT` and/or `STDERR`-t=false 　　 : Allocate a pseudo-tty--sig-proxy=true　: Proxify all received signal to the process (non-TTY mode only)-i=false 　　 : Keep STDIN open even if not attached如果在执行run命令时没有指定-a参数，那么Docker默认会挂载所有标准数据流，包括输入输出和错误，你可以单独指定挂载哪个标准流。$ sudo docker run -a stdin -a stdout -i -t ubuntu /bin/bash如果要进行交互式操作（例如Shell脚本），那我们必须使用-i -t参数同容器进行数据交互。但是当通过管道同容器进行交互时，就不需要使用-t参数，例如下面的命令：echo test | docker run -i busybox cat容器识别Name（--name）可以通过三种方式为容器命名：1. 使用UUID长命名（"f78375b1c487e03c9438c729345e54db9d20cfa2ac1fc3494b6eb60872e74778"）2. 使用UUID短命令（"f78375b1c487"）3. 使用Name("evil_ptolemy")这个UUID标示是由Docker deamon生成的。如果你在执行docker run时没有指定--name，那么deamon会自动生成一个随机字符串UUID。但是对于一个容器来说有个name会非常方便，当你需要连接其它容器时或者类似需要区分其它容器时，使用容器名称可以简化操作。无论容器运行在前台或者后台，这个名字都是有效的。PID equivalent如果在使用Docker时有自动化的需求，你可以将containerID输出到指定的文件中（PIDfile），类似于某些应用程序将自身ID输出到文件中，方便后续脚本操作。--cidfile="": Write the container ID to the fileImage[:tag]当一个镜像的名称不足以分辨这个镜像所代表的含义时，你可以通过tag将版本信息添加到run命令中，以执行特定版本的镜像。例如: docker run ubuntu:14.04IPC Settings默认情况下，所有容器都开启了IPC命名空间。--ipc="" : Set the IPC mode for the container,"container:<name|id>": reuses another container"s IPC namespace"host": use the host"s IPC namespace inside the containerIPC（POSIX/SysV IPC）命名空间提供了相互隔离的命名共享内存、信号灯变量和消息队列。共享内存可以提高进程数据的交互速度。共享内存一般用在数据库和高性能应用（C/OpenMPI、C++/using boost libraries）上或者金融服务上。如果需要容器中部署上述类型的应用，那么就应该在多个容器直接使用共享内存了。Network settings默认情况下，所有的容器都开启了网络接口，同时可以接受任何外部的数据请求。--dns=[] : Set custom dns servers for the container--net="bridge" : Set the Network mode for the container"bridge": creates a new network stack for the container on the docker bridge"none": no networking for this container"container:<name|id>": reuses another container network stack"host": use the host network stack inside the container--add-host="" : Add a line to /etc/hosts (host:IP)--mac-address="" : Sets the container"s Ethernet device"s MAC address你可以通过docker run --net none来关闭网络接口，此时将关闭所有网络数据的输入输出，你只能通过STDIN、STDOUT或者files来完成I/O操作。默认情况下，容器使用主机的DNS设置，你也可以通过--dns来覆盖容器内的DNS设置。同时Docker为容器默认生成一个MAC地址，你可以通过--mac-address 12:34:56:78:9a:bc来设置你自己的MAC地址。Docker支持的网络模式有：none。关闭容器内的网络连接bridge。通过veth接口来连接容器，默认配置。host。允许容器使用host的网络堆栈信息。 注意：这种方式将允许容器访问host中类似D-BUS之类的系统服务，所以认为是不安全的。container。使用另外一个容器的网络堆栈信息。 　　None模式将网络模式设置为none时，这个容器将不允许访问任何外部router。这个容器内部只会有一个loopback接口，而且不存在任何可以访问外部网络的router。Bridge模式Docker默认会将容器设置为bridge模式。此时在主机上面将会存在一个docker0的网络接口，同时会针对容器创建一对veth接口。其中一个veth接口是在主机充当网卡桥接作用，另外一个veth接口存在于容器的命名空间中，并且指向容器的loopback。Docker会自动给这个容器分配一个IP，并且将容器内的数据通过桥接转发到外部。Host模式当网络模式设置为host时，这个容器将完全共享host的网络堆栈。host所有的网络接口将完全对容器开放。容器的主机名也会存在于主机的hostname中。这时，容器所有对外暴露的端口和对其它容器的连接，将完全失效。Container模式当网络模式设置为Container时，这个容器将完全复用另外一个容器的网络堆栈。同时使用时这个容器的名称必须要符合下面的格式：--net container:<name|id>.比如当前有一个绑定了本地地址localhost的Redis容器。如果另外一个容器需要复用这个网络堆栈，则需要如下操作：$ sudo docker run -d --name redis example/redis --bind 127.0.0.1$ # use the redis container"s network stack to access localhost$ sudo docker run --rm -ti --net container:redis example/redis-cli -h 127.0.0.1管理/etc/hosts/etc/hosts文件中会包含容器的hostname信息，我们也可以使用--add-host这个参数来动态添加/etc/hosts中的数据。$ /docker run -ti --add-host db-static:86.75.30.9 ubuntu cat /etc/hosts172.17.0.22 09d03f76bf2cfe00::0 ip6-localnetff00::0 ip6-mcastprefixff02::1 ip6-allnodesff02::2 ip6-allrouters127.0.0.1 localhost::1 localhost ip6-localhost ip6-loopback86.75.30.9 db-staticClean up (--rm)默认情况下，每个容器在退出时，它的文件系统也会保存下来，这样一方面调试会方便些，因为你可以通过查看日志等方式来确定最终状态。另外一方面，你也可以保存容器所产生的数据。但是当你仅仅需要短暂的运行一个容器，并且这些数据不需要保存，你可能就希望Docker能在容器结束时自动清理其所产生的数据。这个时候你就需要--rm这个参数了。 注意：--rm 和 -d不能共用！--rm=false: Automatically remove the container when it exits (incompatible with -d)Security configuration--security-opt="label:user:USER" : Set the label user for the container--security-opt="label:role:ROLE" : Set the label role for the container--security-opt="label:type:TYPE" : Set the label type for the container--security-opt="label:level:LEVEL" : Set the label level for the container--security-opt="label:disable" : Turn off label confinement for the container--secutity-opt="apparmor:PROFILE" : Set the apparmor profile to be applied to the container你可以通过--security-opt修改容器默认的schema标签。比如说，对于一个MLS系统来说（译者注：MLS应该是指Multiple Listing System），你可以指定MCS/MLS级别。使用下面的命令可以在不同的容器间分享内容：#docker run --security-opt label:level:s0:c100,c200 -i -t fedora bash如果是MLS系统，则使用下面的命令：# docker run --security-opt label:level:TopSecret -i -t rhel7 bash使用下面的命令可以在容器内禁用安全策略：# docker run --security-opt label:disable -i -t fedora bash如果你需要在容器内执行更为严格的安全策略，那么你可以为这个容器指定一个策略替代，比如你可以使用下面的命令来指定容器只监听Apache端口：# docker run --security-opt label:type:svirt_apache_t -i -t centos bash注意：此时，你的主机环境中必须存在一个名为svirt_apache_t的安全策略。Runtime constraints on CPU and memory下面的参数可以用来调整容器内的性能。-m="": Memory limit (format: <number><optional unit>, where unit = b, k, m or g)-c=0 : CPU shares (relative weight)通过docker run -m可以调整容器所使用的内存资源。如果主机支持swap内存，那么可以使用-m可以设定比主机物理内存还大的值。同样，通过-c可以调整容器的CPU优先级。默认情况下，所有的容器拥有相同的CPU优先级和CPU调度周期，但你可以通过Docker来通知内核给予某个或某几个容器更多的CPU计算周期。比如，我们使用-c或者--cpu-shares =0启动了C0、C1、C2三个容器，使用-c/--cpu-shares=512启动了C3容器。这时，C0、C1、C2可以100%的使用CPU资源（1024），但C3只能使用50%的CPU资源（512）。如果这个主机的操作系统是时序调度类型的，每个CPU时间片是100微秒，那么C0、C1、C2将完全使用掉这100微秒，而C3只能使用50微秒。Runtime privilege, Linux capabilities, and LXC configuration--cap-add: Add Linux capabilities--cap-drop: Drop Linux capabilities--privileged=false: Give extended privileges to this container--device=[]: Allows you to run devices inside the container without the --privileged flag.--lxc-conf=[]: (lxc exec-driver only) Add custom lxc options --lxc-conf="lxc.cgroup.cpuset.cpus = 0,1"默认情况下，Docker的容器是没有特权的，例如不能在容器中再启动一个容器。这是因为默认情况下容器是不能访问任何其它设备的。但是通过"privileged"，容器就拥有了访问任何其它设备的权限。当操作者执行docker run --privileged时，Docker将拥有访问主机所有设备的权限，同时Docker也会在apparmor或者selinux做一些设置，使容器可以容易的访问那些运行在容器外部的设备。你可以访问Docker博客来获取更多关于--privileged的用法。同时，你也可以限制容器只能访问一些指定的设备。下面的命令将允许容器只访问一些特定设备：$ sudo docker run --device=/dev/snd:/dev/snd ...默认情况下，容器拥有对设备的读、写、创建设备文件的权限。使用:rwm来配合--device，你可以控制这些权限。$ sudo docker run --device=/dev/sda:/dev/xvdc --rm -it ubuntu fdisk /dev/xvdcCommand (m for help): q$ sudo docker run --device=/dev/sda:/dev/xvdc:r --rm -it ubuntu fdisk /dev/xvdcYou will not be able to write the partition table.Command (m for help): q$ sudo docker run --device=/dev/sda:/dev/xvdc:w --rm -it ubuntu fdisk /dev/xvdccrash....$ sudo docker run --device=/dev/sda:/dev/xvdc:m --rm -it ubuntu fdisk /dev/xvdcfdisk: unable to open /dev/xvdc: Operation not permitted使用--cap-add和--cap-drop，配合--privileged，你可以更细致的控制人哦怒气。默认使用这两个参数的情况下，容器拥有一系列的内核修改权限，这两个参数都支持all值，如果你想让某个容器拥有除了MKNOD之外的所有内核权限，那么可以执行下面的命令：$ sudo docker run --cap-add=ALL --cap-drop=MKNOD ...如果需要修改网络接口数据，那么就建议使用--cap-add=NET_ADMIN，而不是使用--privileged。$ docker run -t -i --rm ubuntu:14.04 ip link add dummy0 type dummyRTNETLINK answers: Operation not permitted$ docker run -t -i --rm --cap-add=NET_ADMIN ubuntu:14.04 ip link add dummy0 type dummy如果要挂载一个FUSE文件系统，那么就需要--cap-add和--device了。$ docker run --rm -it --cap-add SYS_ADMIN sshfs sshfs sven@10.10.10.20:/home/sven /mntfuse: failed to open /dev/fuse: Operation not permitted$ docker run --rm -it --device /dev/fuse sshfs sshfs sven@10.10.10.20:/home/sven /mntfusermount: mount failed: Operation not permitted$ docker run --rm -it --cap-add SYS_ADMIN --device /dev/fuse sshfs# sshfs sven@10.10.10.20:/home/sven /mntThe authenticity of host "10.10.10.20 (10.10.10.20)" can"t be established.ECDSA key fingerprint is 25:34:85:75:25:b0:17:46:05:19:04:93:b5:dd:5f:c6.Are you sure you want to continue connecting (yes/no)? yessven@10.10.10.20"s password:root@30aa0cfaf1b5:/# ls -la /mnt/src/dockertotal 1516drwxrwxr-x 1 1000 1000 4096 Dec 4 06:08 .drwxrwxr-x 1 1000 1000 4096 Dec 4 11:46 ..-rw-rw-r-- 1 1000 1000 16 Oct 8 00:09 .dockerignore-rwxrwxr-x 1 1000 1000 464 Oct 8 00:09 .drone.ymldrwxrwxr-x 1 1000 1000 4096 Dec 4 06:11 .git-rw-rw-r-- 1 1000 1000 461 Dec 4 06:08 .gitignore如果Docker守护进程在启动时选择了lxc lxc-driver（docker -d --exec-driver=lxc），那么就可以使用--lxc-conf来设定LXC参数。但需要注意的是，未来主机上的Docker deamon有可能不会使用LXC，所以这些参数有可能会包含一些没有实现的配置功能。这意味着，用户在操作这些参数时必须要十分熟悉LXC。特别注意：当你使用--lxc-conf修改容器参数后，Docker deamon将不再管理这些参数，那么用户必须自行进行管理。比如说，你使用--lxc-conf修改了容器的IP地址，那么在/etc/hosts里面是不会自动体现的，需要你自行维护。Overriding Dockerfile image defaults当开发者使用Dockerfile进行build或者使用commit提交容器时，开发人员可以设定一些镜像默认参数。

docker使用proxy分两种情况： 两者的配置显然是不一样，各自的官方文档地址： 当使用wsl2时： WSL 2 Docker Behind Proxy. 1、创建配置文件 2、添加配置 3、重启容器 1、创建配置文件 2、添加配置信息 通过 --env 在启动容器时，添加对应的环境变量：

根源：scanner的container网络跟sonarqube server不在一个网络内 解决：--network=host 参数 https://stackoverflow.com/questions/32097414/error-sonar-server-http-localhost9000-can-not-be-reached 根源： java中缺少sonar.java.binaries 必选参数 解决：使用 mvn compile 编译源码，并在sonar-project.properties中添加参数 其他语言请参考 https://docs.sonarqube.org/latest/analysis/languages/overview/ 获取必选参数信息。 根源： jvm默认配置太小，内存不足 解决：设置环境变量 SONAR_SCANNER_OPTS="-Xmx512m" 或者更大。 docker的解决方案为 根源：server 端ES 内存不足, 因为ES默认的heap size为2GB，而Docker的limit也是2GB。 解决：加大内存，docker Desktop端(Mac 与windows端)需要配置docker的最大内存超过4GB。或者限制ES的Heap size到750MB。 https://github.com/10up/wp-local-docker/issues/6#issue-211554733 根源：scanner无法在工程的根目录上找到sonar-project.properties文件，尽管该文件存在，但是docker -v挂在目录时不支持相对路径。 解决：将docker run -v...的运行脚本也放到工程根目录下，将当前目录挂载到/usr/src：

利用Docker 的swarm模式创建6个redis服务，在容器内可以相互ping通。利用容器名称创建redis集群里报 ERR Invalid node address specified: redis1:6379错误。 解决方法 把容器名称改在IP地址即可解决。 原因 出现这个问题的原因是redis-cli对设别机器名支持不的够好。

没有。Docker 包括三个基本概念：镜像（Image）：Docker 镜像（Image），就相当于是一个 root 文件系统。比如官方镜像 ubuntu:16.04 就包含了完整的一套 Ubuntu16.04 最小系统的 root 文件系统。

你可以这样理解：kubernetes 负载容器的调度docker 负载创建和管理容器运行

在我们工作场景中，可能需要在容器内使用docker。例如在k8s中，想借助deployment的弹性扩缩容能力来测试harbor的推送镜像性能，此时就需要在容器内进行镜像构造，然后推送。 docker提供了一些相关的镜像给我们进行此类操作，下面做一个简单介绍。 该镜像包含docker client和docker damon。使用方式如下： docker run -tid --name dind --privileged docker:dind sh -c "dockerd&" docker exec -ti dind sh -c "docker ps -a" 首先需要启动dockerd，且要正常使用dockerd，需要指定容器为特权容器 --privileged 。 注：直接在 dockerd& 后面写docker命令（如 dockerd& sleep 10; docker ps -a ）会报错，暂时未找到原因。 该镜像只包含docker客户端，需要单独挂载宿主机的daemon。 docker run -tid -v /var/run/docker.sock:/var/run/docker.sock docker:latest sh -c "docker ps -a" 注：一般需要root权限 包含了git命令的 docker:latest 镜像。 上述镜像镜像中的shell命令行只支持sh，而我需要使用到bash。因此自行制作了一个包含docker client的镜像。使用的基础镜像为ubuntu:14.04。 然后使用自己制作的镜像来起容器，并可以使用bash。 docker run -tid -v /var/run/docker.sock:/var/run/docker.sock mydockerclient:v1 bash -c "docker ps -a" kaniko是谷歌提供的在k8s中构建镜像并推送到镜像仓库的镜像。在本地也可以直接使用。 关于在k8s中使用kaniko，可以参考： https://segmentfault.com/a/1190000039713484

yum 完整的 cairo*

1、直接运行, docker会自动帮你拉取镜像 2、查看镜像 3、进入Clickhouse容器 4、容器是一个依赖包不完整的ubuntu虚拟机，需要安装vim 5、进入clickhouse-server目录并查看目录 6、采用SHA256的方式加密，生成明码密文 明文密码 : wwm2022 加密密码 : 76a0ec4d00df76517c8f26f138bb57ffb987de2f9999bd9a61c3745bdb7ada35 将明文密码替换你自己的密码,生成加密密码即可 7、将密码写入users.xml 提示: 进入vim 后 如果不是insert模式,先按i 进入insert模式, 用户密码替换为 我一般就用明文写入 保存退出, 先按ESC, 然后输入 8、客户端访问服务端 9、使用DBeaver连接

参考： https://developer.aliyun.com/mirror/centos 参考： https://docs.docker.com/engine/install/centos/ 默认识别到的是“20.03LTS_SP3”，应该改成8，也就是CentOS 8。

LAUNCH HIRE, 是交通艇的费用 DOCKAGE,？？？COORDINATOR, 同港口各单位的协调 费用，可能也包括红包之类的东西 CH.FOR HARBOUR CLEANING MAINTENANCE,港口的卫生费，有的港口要求船上把所有的垃圾运到岸上处理SHORE PASS ISSUING移民局签发船员上岸通行证的费用

1.知识源于实践，动手安装，把基础命令敲几遍是最靠谱的方法！2.新的事物发展的真的很快，书本上的只是简单介绍，不会有很好的实践经验的，最快的学习途径是看官方文档安装，写dockerfile,制作镜像，把基础服务装进docker等等～官方文档，官方文档，官方文档，重要的事情说三遍～3.看牛人博客，牛人博客一般都是讲的核心技术或者亲身实践，比如coolshell博客等。4.最快的学习方法是去教别人，建议多去社区参加一些问答，如果有兴趣可以去翻译一些官方博客～干货5.多去参加一些线下沙龙活动Docker技术入门与实战，这本书的内容有点水，不少内容是前后重复，有些命令还有错误。但是里面的例子也是不错的，照着执行下，会有些感觉。第一本Docker书，这本书应该是很熟悉的人写的，里面有不少网上文章没有提到的技巧，值得一读。和网上的教程、攻略相比，买本书扎扎实实的看一遍，还是挺好的。有了这个基础知识，再看网文，可以快速抓到核心要点。但是这些仍然不够，Docker的源码推荐要读。其实Docker源码还是挺简单粗暴的，值得一看。希望帮到你，还望请采纳，谢谢

Docker通过cgroup技术实现对容器资源的限制，在我们自己的应用中通过对某些不重要的应用做cpu、内存资源上限的限制来确保任何时候重要的应用有足够的资源使用。下面是对docker容器做cpu与内存资源限制的实践记录，环境为centos7.2+docker1.12.6。Linux Cgroup最主要的作用是为一个进程组设置资源使用的上限，这些资源包括CPU、内存、磁盘、网络等。在linux中，Cgroup给用户提供的操作接口是文件系统，其以文件和目录的方式组织在/sys/fs/cgroup路径下。更多的cgroup介绍可以阅读 https://www.kernel.org/doc/Documentation/cgroup-v1/cgroups.txt 、 https://www.kernel.org/doc/Documentation/scheduler/sched-bwc.txt 、 https://coolshell.cn/articles/17049.html 等文章。通过一个简单的例子，对一个进程的cpu使用率做限制，操作如下：这里同样以cpu设置为例，探索docker容器是如何通过cgroup做限制的 由此可知在创建一个容器时： 这里仅对最为常用的两个参数--cpu-period、--cpu-quota做设置，使用stress服务做验证这里针对--memory，--memory-swap，--memory-swappiness三个参数做实践实践一（不设置--memory与--memory-swap）经过一段时间，容器并没有发生oom，stats命令中的MEM %参数的值一直是100.00% 可知容器只有在设置了memory限制之后，--oom-kill-disable才会起作用实践二（设置--memory，不设置--memory-swap）： 根据docker文档说明，这时容器可以使用到的最大的内存为2倍的memory的内存（memory=memory-swap, 2倍=memory+memory-swap） 此时，经过一段时间的检测，并没有发生oom，docker stats stress：实践三（设置--memory与--memory-swap） 由docker文档知，memory-swap等于memory+swap的和，因此要求memory-swap >= memory(Minimum memoryswap limit should be larger than memory limit)MEM %的值也一直是在100.00%以内浮动，另外也可知LIMIT仅是memory的值 当前实践的机器的swap为5G，因此这里设置用完5Gswap 设置使用系统的swap超出5G 通过设置memory-swappiness参数使得容器禁用系统交换空间上述是对容器较为常用的cpu与内存的限制做了一些实践记录，了解了docker是如何通过linux cgroup对容器的资源做的限制。当然除了cpu、内存之外的其他资源的限制我们同样可以通过实践的方式一点一点去探索，求证。https://www.kernel.org/doc/Documentation/cgroup-v1/cgroups.txt https://www.kernel.org/doc/Documentation/scheduler/sched-bwc.txt https://coolshell.cn/articles/17049.html https://access.redhat.com/documentation/zh-cn/red_hat_enterprise_linux/7/html/resource_management_guide/index

docker ps 命令看下是不是 版本号为<none> 的镜像比较多? 如果比较多把这些none的镜像用docker rmi -f imagId 删掉,然后service docker restart重启docker服务,就好了

overlay2不支持volume配置到nfs

本文翻译自docker官网： https://docs.docker.com/network/overlay/ The overlay network driver creates a distributed network among multiple Docker daemon hosts. This network sits on top of (overlays) the host-specific networks, allowing containers connected to it (including swarm service containers) to communicate securely when encryption is enabled. Docker transparently handles routing of each packet to and from the correct Docker daemon host and the correct destination container. When you initialize a swarm or join a Docker host to an existing swarm, two new networks are created on that Docker host: You can create user-defined overlay networks using docker network create , in the same way that you can create user-defined bridge networks. Services or containers can be connected to more than one network at a time. Services or containers can only communicate across networks they are each connected to. Although you can connect both swarm services and standalone containers to an overlay network, the default behaviors and configuration concerns are different. For that reason, the rest of this topic is divided into operations that apply to all overlay networks, those that apply to swarm service networks, and those that apply to overlay networks used by standalone containers. To create an overlay network for use with swarm services, use a command like the following: To create an overlay network which can be used by swarm services or standalone containers to communicate with other standalone containers running on other Docker daemons, add the --attachable flag: You can specify the IP address range, subnet, gateway, and other options. See docker network create --help for details. All swarm service management traffic is encrypted by default, using the AES algorithm in GCM mode. Manager nodes in the swarm rotate the key used to encrypt gossip data every 12 hours. To encrypt application data as well, add --opt encrypted when creating the overlay network. This enables IPSEC encryption at the level of the vxlan. This encryption imposes a non-negligible performance penalty, so you should test this option before using it in production. When you enable overlay encryption, Docker creates IPSEC tunnels between all the nodes where tasks are scheduled for services attached to the overlay network. These tunnels also use the AES algorithm in GCM mode and manager nodes automatically rotate the keys every 12 hours. You can use the overlay network feature with both --opt encrypted --attachable and attach unmanaged containers to that network: Most users never need to configure the ingress network, but Docker allows you to do so. This can be useful if the automatically-chosen subnet conflicts with one that already exists on your network, or you need to customize other low-level network settings such as the MTU. Customizing the ingress network involves removing and recreating it. This is usually done before you create any services in the swarm. If you have existing services which publish ports, those services need to be removed before you can remove the ingress network. During the time that no ingress network exists, existing services which do not publish ports continue to function but are not load-balanced. This affects services which publish ports, such as a WordPress service which publishes port The docker_gwbridge is a virtual bridge that connects the overlay networks (including the ingress network) to an individual Docker daemon"s physical network. Docker creates it automatically when you initialize a swarm or join a Docker host to a swarm, but it is not a Docker device. It exists in the kernel of the Docker host. If you need to customize its settings, you must do so before joining the Docker host to the swarm, or after temporarily removing the host from the swarm. Swarm services connected to the same overlay network effectively expose all ports to each other. For a port to be accessible outside of the service, that port must be published using the -p or --publish flag on docker service create or docker service update . Both the legacy colon-separated syntax and the newer comma-separated value syntax are supported. The longer syntax is preferred because it is somewhat self-documenting. <table> <thead> <tr> <th>Flag value</th> <th>Description</th> </tr> </thead> <tr> <td><tt>-p 8080:80</tt> or<br /><tt>-p published=8080,target=80</tt></td> <td>Map TCP port 80 on the service to port 8080 on the routing mesh.</td> </tr> <tr> <td><tt>-p 8080:80/udp</tt> or<br /><tt>-p published=8080,target=80,protocol=udp</tt></td> <td>Map UDP port 80 on the service to port 8080 on the routing mesh.</td> </tr> <tr> <td><tt>-p 8080:80/tcp -p 8080:80/udp</tt> or <br /><tt>-p published=8080,target=80,protocol=tcp -p published=8080,target=80,protocol=udp</tt></td> <td>Map TCP port 80 on the service to TCP port 8080 on the routing mesh, and map UDP port 80 on the service to UDP port 8080 on the routing mesh.</td> </tr> </table> By default, swarm services which publish ports do so using the routing mesh. When you connect to a published port on any swarm node (whether it is running a given service or not), you are redirected to a worker which is running that service, transparently. Effectively, Docker acts as a load balancer for your swarm services. Services using the routing mesh are running in virtual IP (VIP) mode . Even a service running on each node (by means of the --mode global flag) uses the routing mesh. When using the routing mesh, there is no guarantee about which Docker node services client requests. To bypass the routing mesh, you can start a service using DNS Round Robin (DNSRR) mode , by setting the --endpoint-mode flag to dnsrr . You must run your own load balancer in front of the service. A DNS query for the service name on the Docker host returns a list of IP addresses for the nodes running the service. Configure your load balancer to consume this list and balance the traffic across the nodes. By default, control traffic relating to swarm management and traffic to and from your applications runs over the same network, though the swarm control traffic is encrypted. You can configure Docker to use separate network interfaces for handling the two different types of traffic. When you initialize or join the swarm, specify --advertise-addr and --datapath-addr separately. You must do this for each node joining the swarm. The ingress network is created without the --attachable flag, which means that only swarm services can use it, and not standalone containers. You can connect standalone containers to user-defined overlay networks which are created with the --attachable flag. This gives standalone containers running on different Docker daemons the ability to communicate without the need to set up routing on the individual Docker daemon hosts. For most situations, you should connect to the service name, which is load-balanced and handled by all containers ("tasks") backing the service. To get a list of all tasks backing the service, do a DNS lookup for tasks.<service-name>.

锚定(Anchor)是指控件到窗体(或父容器)的边缘距离保持不变；停靠(Dock)是指控件紧靠于窗体(或父容器)的某一边缘，如通常情况下的菜单、状态栏；使用面板(Panel)可以使窗体布局更加规整、容易，Panel不会显示在窗体中，作为父容器配合使用锚定和停靠可以有效布局，特别是在Resize的时候。拆分器(SplitContainer)可以实现相临两个控件的大小由用户通过拖动的方式调整其各自的大小(总大小不变)，如资源管理器左侧的树型栏与右侧的列表栏之间。

winform Anchor和Dock属性在设计窗体时,这两个属性特别有用,如果用户认为改变窗口的大小并不容易,应确保窗口看起来不显得很乱,并编写许多代码行来达到这个目的,许多程序解决这个问题是地,都是禁止给窗口重新设置大小,这显然是解决问题最简单的方法,但不是最好的方法..NET引入了Anchor和Dock属性,就是为了在不编写任何代码的情况下解决这个问题. Anchor属性用于指定在用户重新设置窗口的大小时控件应该如何响应,可以指定如果控件重新设置了大小,就根据控件的边界锁定它,或者其大小不变,但根据窗口的边界来锚定它的位置. Dock属性用于指定控件应停放在窗口的边框上,用户重新设置了窗口的大小,这个控件将继续停放在窗口的边框上,例如,如果指定控件停放在窗口的底部边界上,则无论窗口的大小改变,这个控件都将改变大小,或移动其位置,确保总是位于屏幕的底部.　有一点让许多刚接触WinForms编程的开发者感到很棘手，就是在用户调整各种控件的大小时，怎样使它们的窗体保持同步，并与父窗体相称。这可以成为一种让人非常沮丧的情况，尤其是对于有着Web编程背景，转为WinForms的开发者来说。为了缓解这个问题，.NET框架允许你对子控件设置属性，命令在调整父窗体大小时，它们应该如何运作。用来命令控件在调整大小时动作的两个属性就是“Dock”和“Anchor”。Dock和Anchor通过将控件连接到它们父窗体的某个位置，而免除了使应用程序具有不可预知界面的麻烦。最好的一点就是设立这些属性不需要任何手写代码。所有事情都可以通过Visual Studio IDE中的点和单击来完成。　　Anchor属性　　正如名称暗示的那样，这个属性迫使控件将其自身定位在父窗体或父控件中的某个相对或绝对位置。这个属性有四个可以开启或关闭的值：Top——表示控件中与父窗体（或父控件）相关的顶部应该保持固定。Bottom——表示控件中与父窗体（或父控件）相关的底边应该保持固定。Left——表示控件中与父窗体（或父控件）相关的左边缘应该保持固定。Right——表示控件中与父窗体（或父控件）相关的右边缘应该保持固定。　　要对一个控件设置Anchor属性，只需在Visual Studio设计器中选择控件，然后转到属性窗口。你会看到一个标注为“Anchor”的属性。点击这个属性值的部分，会出现一个小窗口让你选择想要赋予控件的锚点。图表A所示是选择了“顶边、左边”的anchor设置窗口。图表B所示是选择了“底边、右边”的窗口。Dock属性　　Dock属性迫使控件紧贴父窗体（或控件）的某个边缘。虽然Anchor属性也可以实现这一点，但是dock属性使得你能够在父窗体中让子窗体可以在上方（或旁边）互相“堆叠”。如果某个子窗体改变了大小，其它停驻在它旁边的子窗体也会随之改变。和Anchor属性不同的是，你可以将Dock属性设置为一个单值。有效值如下所示：Top——迫使控件位于父窗体（或控件）的顶部。如果有同一个父窗体的其它子控件也被设置为停驻在顶部的话，那么控件将在彼此上方相互堆叠。Bottom——迫使控件位于父窗体（或控件）的底部。如果有同一个父窗体的其它子控件也被设置为停驻在底部的话，那么控件将在彼此上方相互堆叠。Left——迫使控件位于父窗体（或控件）的左边。如果有同一个父窗体的其它子控件也被设置为停驻在左边的话，那么控件将在彼此旁边相互堆叠。Right——迫使控件位于父窗体（或控件）的右边。如果有同一个父窗体的其它子控件也被设置为停驻在右边的话，那么控件将在彼此旁边相互堆叠。Fill——迫使控件位于父窗体（或控件）的上方。如果有同一个父窗体的其它子控件也被设置为停驻在上方的话，那么控件将在彼此上方相互堆叠。None——表示控件将会正常运转。　　要设置一个控件的Dock值，选择Visual Studio中的控件，然后转到属性窗口。你会看到一个标注为“Dock”的属性。点击这个属性的值的部分，会出现一个小窗口让你指定该控件将如何停驻。被赋予各种值的该窗体将显示在以下图像中

　　①二者的名词差别明显，dock为码头，moor为高沼、或摩尔人（大写）　　②二者动词比较：　　dock在词典中的解释为　　if a ship docks, or if the captain docks it, it sails into a dock so that it can　　unload.　　中文意为：靠岸；（使船）靠码头。　　侧重于让船“靠近”。　　moor在词典中的解释是　　to fasten a ship or boat to the land or to the bottom of the sea using ropes or　　an anchor.　　中文意为：使停泊， 系泊。　　侧重于用绳索或锚使船“停泊”。　　③一般而言，整个船入港或码头的过程，是先dock，再moor。

所需软件您需要在电脑中安装 Oracle Virtual Box 和 Vagrant 。如果已经装好，那我们就开始吧！步骤1：创建 CentOS 虚拟机在本地目录（本文中使用 ~/vagrant 目录）中创建一个 Vagrantfile 文件，内容如下：# -*- mode: ruby -*-# vi: set ft=ruby :VAGRANTFILE_API_VERSION = "2"Vagrant.configure(VAGRANTFILE_API_VERSION) do |config| config.vm.box = "centos65" config.vm.box_url = "https://github.com/2creatives/vagrant-centos/releases/download/v6.5.1/centos65-x86_64-20131205.box" config.vm.network :forwarded_port, guest: 80, host: 8080 config.vm.network :public_network config.ssh.forward_agent = trueend在这里，我就不解释 Vagrant 和 Vagrantfile 了。 Vagrantfile 创建好后，在 Vagrantfile 所在目录中再创建一个 htdocs 目录并在其中创建一个 index.html 文件， html 文件内容如下：This file is being server by http server running inside docker containerVagrantfile 文件和 htdocs 目录都创建好了，现在我们来执行下面的命令：vagrant up # 启动虚拟机，这一步可能会让我们选择网卡vagrant ssh # 虚拟机启动后，通过ssh登陆到虚拟机中步骤2：安装 docker执行下面的命令来安装 docker ：sudo yum -y update # Update Installed packagessudo yum install docker-io # Install Dockersudo service docker start # Start Docker步骤3：设置 DockerDocker 需要一个基本的镜像才能运行，我们的所有容器都是（直接或间接）基于这样一个镜像来运行的，下面的命令把一个基本镜像 pull 到本地：sudo docker pull centos # Download base image步骤4：为我们的容器创建第一个镜像# 以 centos 镜像作为基础镜像，我们启动自己的容器并在其中执行/bin/bash命令# 注：-t -i 参数用于创建一个虚拟的命令行。sudo docker run -t -i centos /bin/bash 现在我们已经成功的运行了自己的第一个容器，并且进入到容器的命令行界面中。在容器中，我们执行下面的命令：yum -y update # 更新软件包yum install which # 安装which命令yum install git # 安装Git安装完成后，按 Ctrl + d 来退出容器的命令行。# 执行sudo docker ps -a，可以看到被我们终止的容器CONTAINER ID IMAGE COMMAND CREATED……da9031d3568f centos:6.4 /bin/bash 5 minutes ago…..把我们所做的改变提交到一个新的容器：# 这里我们创建一个自己的基础容器，容器中安装好了文章中所需的常用工具。读者的容器 id 可能与文章中的有所不同，以上一步 docker ps -a 的结果为准。sudo docker commit da90 custom/base容器成功提交后，执行 sudo docker images ，我们会看到刚才提交的容器（如下面的结果所示）。我们就以这个容器为基础容器，再来创建一个新的容器。REPOSITORY TAG IMAGE ID CREATED custom/base latest 05b6cecd370b 2 minutes ago centos 6.4 539c0211cd76 10 months ago centos latest 539c0211cd76 10 months ago…步骤5：创建新的容器，并安装 apache# 以 custom/base 容器为基础，运行一个新的容器。sudo docker run -t -i custom/base /bin/bash# 安装 httpdyum install httpd步骤6：再次提交新的容器按 Ctrl + d 来退出容器的命令行，然后执行命令：# 这个命令会把步骤5中我们安装 httpd 带来的改变提交到新的名为 custom/httpd 的容器镜像中。你的容器 id 可能会和文章中有所不同，以 sudo docker ps -a 命令的结果为准。sudo docker commit aa6e2fc0b94c custom/httpd你应该已经发现了，我们创建了一个带有 http 服务器并可以复用的容器镜像。你可以根据这种思想，为自己所需的每个组件都创建一个容器，然后把这些容器复用于开发环境或者生产环境。步骤7：运行 http 服务器# -v will Mount a volume from VM to the container which was also shared from host to Vagrant VM.# -v 参数把主机共享给虚拟机的一个卷挂载到容器中# -p forward VM port 80 to container port 80; VM port 80 is mapped to host port 8080 in Vagrantfile # -p 参数把虚拟机的80端口映射到容器的80端口；虚拟机的80端口在 Vagrantfile 中被绑定到主机的8080端口，也就是：主机8080->虚拟机80->容器80sudo docker run -t -i -p 80:80 -v /vagrant/htdocs:/var/www/html custom/httpd /bin/bash# 启动 Apacheapachectl -k start 步骤8：在浏览器中测试在浏览器中浏览 http://localhost:8080 ，你应该可以看到步骤1中 html 文件的内容。

　不分场景而直接比对vagrant和docker是不恰当的！在一些简单场景中，它们两款产品作用是重复的，但在更多场景中，它们两款产品无法相互替 代。事实上，vagrant抽象度比docker更高，因此直接用vagrant同docker相比较是不恰当的。而把vagrant同 Boot2Docker(一款运行docker最小的内核) 进行比较似乎更加恰当。　 　vagrant为了支持开发，在启动虚拟机环境时启动了很多的应用和服务。vagrant可以在VirtualBox, VMware上面运行(docker无法执行)。vagrant也可以在AWS, OpenStack这些云环境中运行。即便你使用了docker的容器，vagrant同样也没问题。vagrant可以自动install, pull down, build, run Docker containers。　　比如在vagrant V1.6版本中，vagrant集成了docker-based development environments,因此Vagrant可以在windows，mac和linux上面提供docker服务。　　vagrant没有想替代docker的想法，相反它还包含了docker的一些特性。　　如果我们从逻辑层面来比较vagrant和docker的话，那么：　　1、docker只能执行docker所定义的容器。　　2、docker缺乏灵活的隔离方案(docker只能运行在Linux主机环境中)。　　如果我们从Production和CI层面来比较，那么docker就无法与vagrant相比了：Vagrant没有上面的约束条件，而docker必须依赖它们。　　如果你的项目必须使用Docker的容器，同时只能部署在Linux主机中。这个时候Docker的确是一个不错的选择。除此之外，我就看不到使用docker的优势了，相反你还浪费了vagrant很多的优点：vagrant可以支持多种虚拟环境，例如 VirtualBox, VMware, AWS, OpenStack等等。无论你使用何种虚拟环境，vagrant都可以顺利执行起来。如果你使用了Docker，也可以在vagrant中顺利安装docker。vagrant可以降低项目复杂度。或者换个说法：你只需要考虑如何执行你的项目就可以，而不论这个项目是用的docker还是什么别的。在未来，如果出现了docker的竞争者，那么vagrant也可以顺利执行它。vagrant可以运行在多个主机环境中，windows(XP以上)，MAC(10.5以上)，Linux(2.6内核版本以上)。如果你使用了docker，那么vagrant也可以在上面三种操作系统之上运行你的docker。vagrant 可以更好的配置网络和文件共享。比如：vagrant可以给一个VM配置静态IP和端口数据转发。不论你使用的VirtualBox还是 VMware，vagrant都可以很好的完成配置。对于文件共享来说，vagrant提供了多种文件挂载方案供你考虑。如果你使用了docker，那么 这些事情就都需要你亲自动手来做了。vagrant 1.6中集成了docker-based development environments。所以在MAC和Windows环境中，vagrant会自动启动一个虚拟机来执行docker，这样就达到了docker的跨平台化。而背后例如网络，文件等等操作都是vagrant默默完成的。　　下面两点是我听到docker可以替代vagrant的声音："Docker 需要移动的数据很少"的确，Docker有这个特点(应该指的是Docker采用的UFS，导致docker每次变动所需的数据很少--笔者猜测)。但是 当你在每个项目都使用docker，或者在每个项目的现在，将来都使用docker时，你就会发现docker所产生的数据并不少。而如果你使用 vagrant，那么只需要移动一次就可以完成。(原文:"It is less moving parts" - Yes, it can be, if you use Docker exclusively for every project. Even then, it is sacrificing flexibility for Docker lock-in. If you ever decide to not use Docker for any project, past, present, or future, then you"ll have more moving parts. If you had used Vagrant, you have that one moving part that supports the rest)."Docker启动非常快"，当使用docker启动容器时，它比其他虚拟机启动的都快。但是我要说的是，目前从产品化角度分析所有vagrant主机基本都是启动一次，然后不再停机。如果从快速部署开发环境来说，docker这个特性真的是非常好。 　　所以，我们现在可以得知vagrant和docker是有很大区别的，直接比较这两个是不正确的。对于开发环境来说，vagrant是一种更为抽象，更为通用的解决方案。Docker所能提供的场景只是vagrant所支持的特殊场景之一。　　在一些极端案例场景下，docker完全可以替代vagrant。但在更多的场景下，这是错误的。同时vagrant也不会封锁你使用docker。　　针对Mitchell的这些解释，Hykes写出了下述的论点：　　如果你仅仅是想管理虚拟机，那么你应该使用vagrant。如果你想快速开发和部署应用，那么应该使用docker。　　vagrant是一款管理虚拟机的工具，而docker是一款通过将应用打包到轻量级容器，而实现构建和部署的工具。两者适用范围不同。一个容器就是一个包含了应用执行所依赖的数据(包括lib，配置文件等等)。它可以保证应用在一个可重复的环境中随时执行。　　有了这个容器，就可以很简单的构建你的容器也可以随时随地的进行部署。　 　Docker只能在Linux上面执行是一个很大的误区！事实上，Docker可以在MAC和Windows上面安装。如果你在MAC上面安装 Docker，那么会有一个大概25MB的精简Linux VM来充当MAC和docker直接的交流者。一旦Docker安装完成后，就可以使用同样的命令进行操作了。这样，世界一下就美好了：你通过轻量级的容 器可以更好的测试和开发你的应用，并且很容易的将这些应用进行分发(比如通过 https://index.docker.io)。而你不需要了解如何管理这些虚拟机，而仅仅把虚拟机当做完成事情中的一个环节而已。　　理论上，vagrant可以作为docker一个抽象数据层。理由如下：首 先，vagrant不是对docker更好的抽象。vagrant设计使用来管理虚拟机的，而docker设计是用来管理应用的。这就意味着docker 在设计之初就是为了可以通过多种方式来相互组合应用。在docker中processes, log streams, environment variables ,network links between components是最底层的原型。在vagrant中machines, block devices, and ssh keys是最底层的原型。vagrant工作在系统底层，它同另外一个vagrant容器交互的方式只有把它当做一个可以"boot"和"log into"的机器。因此，你可以在docker上面安装插件后，执行"vagrant up"命令后等待美好的事情发生。其 次，可锁定的环境参数(the lock-in argument)。""If you use Vagrant as an abstraction, you will not be locked into Docker!"站在管理虚拟机的vagrant角度上面看，这句说没有错：Docker不是另外一个独立的容器。像EC2和VMware一样，我们要避 免创造一个和其它工具相捆绑的东西。Docker对宿主机没有任何要求，它允许你通过轻量级的容器在任意地方进行部署。在你部署应用时，不需要考虑应该部 署到什么环境中。比如说：你可以在其他人提供的主机(很可能上面已经部署了EC2或者vagrant)上面部署应用。　　所以最后可以说：Vagrant 适合用来管理虚拟机，而docker适合用来管理应用环境。CentOS 6/7系列安装Docker http://www.linuxidc.com/Linux/2014-07/104768.htm Docker的搭建Gitlab CI 全过程详解 http://www.linuxidc.com/Linux/2013-12/93537.htm Docker安装应用(CentOS 6.5_x64) http://www.linuxidc.com/Linux/2014-07/104595.htm Docker 和一个正常的虚拟机有何区别? http://www.linuxidc.com/Linux/2013-12/93740.htm 在 Docker 中使用 MySQL http://www.linuxidc.com/Linux/2014-01/95354.htm Docker 将改变所有事情 http://www.linuxidc.com/Linux/2013-12/93998.htm Docker安装应用(CentOS 6.5_x64) http://www.linuxidc.com/Linux/2014-07/104595.htm

区别：1、Docker是一个开源的应用容器引擎，是运行环境的部署工具；而vagrant是开发环境的部署工具。2、docker适合用来管理应用环境，而Vagrant适合用来管理虚拟机。本教程操作环境：linux5.9.8系统、docker-1.13.1版、Dell G3电脑。DockerDocker简介Docker - HomePageOverviewDocker 是一个开源的应用容器引擎，基于 Go 语言并遵从 Apache2.0 协议开源。Docker 可以让开发者打包他们的应用以及依赖包到一个轻量级、可移植的容器中，然后发布到任何流行的 Linux 机器上，也可以实现虚拟化。容器是完全使用沙箱机制，相互之间不会有任何接口（类似 iPhone 的 app）,更重要的是容器性能开销极低。Docker的应用场景Web 应用的自动化打包和发布。自动化测试和持续集成、发布。在服务型环境中部署和调整数据库或其他的后台应用。从头编译或者扩展现有的 OpenShift 或 Cloud Foundry 平台来搭建自己的 PaaS 环境。Docker的优点简化程序：Docker 让开发者可以打包他们的应用以及依赖包到一个可移植的容器中，然后发布到任何流行的 Linux 机器上，便可以实现虚拟化。Docker改变了虚拟化的方式，使开发者可以直接将自己的成果放入Docker中进行管理。方便快捷已经是 Docker的最大优势，过去需要用数天乃至数周的任务，在Docker容器的处理下，只需要数秒就能完成。避免选择恐惧症：如果你有选择恐惧症，还是资深患者。Docker 帮你打包你的纠结！Docker 镜像中包含了运行环境和配置，所以 Docker 可以简化部署多种应用实例工作。比如 Web 应用、后台应用、数据库应用、大数据应用比如 Hadoop 集群、消息队列等等都可以打包成一个镜像部署。节省开支：云计算时代到来，使开发者不必为了追求效果而配置高额的硬件，Docker 改变了高性能必然高价格的思维定势。Docker 与云的结合，让云空间得到更充分的利用。不仅解决了硬件管理的问题，也改变了虚拟化的方式。VagrantVagrant简介Vagrant是一个可创建轻量级、高复用性和便于移植的开发环境的工具。可以简单理解为Vagrant抛弃开发环境中所有让人头痛的设置，而是用一个单一的配置文件来替代，并且可以选择性地保留所需要的特性。Vagrant默认使用Oracle开源的VirtualBox虚拟化系统，使用Chef创建自动化虚拟环境。Vagrant的功能特性支持快速新建虚拟机支持快速设置端口转发支持自定义镜像打包（原始镜像方式、增量补丁方式）基本上日常能用到的基础配置都能快速设置支持开机启动自动运行命令可以自己写扩展对比Docker与VagrantVagrant是基于Virtualbox的虚拟机来构建你的开发环境，而Docker则是基于LXC( LXC)轻量级容器虚拟技术。Vagrant就是你的开发环境的部署工具；而docker是你的运行环境部署工具。Vagrant适合用来管理虚拟机，而docker适合用来管理应用环境。

dock 是码头.水位比较浅,只供小型船只停泊. port 是港口.水位深.货船也可以靠岸.

用docker方式 PUID=0 PGID=0 表示用root账户使用，如果自己创建了其他账户，可以改成对应userid WEBUI_PORT=9003 webUI访问端口，登录xx.xx.xx:9003访问 59966是传输端口 登录xx.xx.xx:9003访问webui 默认用户名密码(admin/adminadmin), 1、修改密码 2、修改监听端口59966, 配置完基本的东西之后重启QB

这是我的一大疑惑，就是不知道怎么表述，我搜索“why docker for windows can run on linux”，没找到什么信息。 windows毕竟和linux有完全不同的内核，我不清楚为什么可以在Windows上调试Container，这样的Container岂不是只能运行在Windows内核上吗，也就没有平台无关和可迁移的特性了。我觉得没什么人想把Container部署在Windows机器上吧。 我按图索骥，先找到一些Docker和VM对比的问题： Docker frequently asked questions (FAQ) | Docker Documentation containers - How is Docker different from a virtual machine? - Stack Overflow 接着顺着高票的相关问题，找到了我想要的问题页面。 docker - Can Windows Containers be hosted on linux? - Stack Overflow 接着找到这篇非常非常棒的文章： Docker u2764ufe0f WSL 2 - The Future of Docker Desktop for Windows - Docker Blog 最终我的疑惑终于解决了： 在安装Docker for windows软件的时候，可以选择Linux Container或Windows Container，默认我们会使用Linux Container。 这个时候，Docker就会利用上文描述的WSL 2，将Container启动在Windows提供的Linux内核上。所以我安装的时候需要把windows功能里的WSL 2选项打开。 而在此之前，Docker自己写了个虚拟机去跑Container，现在有了WSL，就不需要自己写虚拟机了。 如果选择Windows Container，那么所创建的image就不能跑在Linux上了。 Docker for mac only have "Linux Container" option, there is no such thing as mac container. you can run Linux containers on your Mac using Docker for Mac. This works by seamlessly running your containers inside of a lightweight Linux VM on your Mac.

就是镜像仓库，存放docker镜像的地方。推送或者拉取docker镜像需要指定镜像仓库，如果是私有的镜像仓库还需要输入账号和密码。

创建一个docker registry,然后docker push 镜像容器就行了。

仓库（Repository）是集中存放镜像的地方，仓库分为公有仓库与私有仓库 一个容易混淆的概念是注册服务器（Registry）。实际上注册服务器是管理仓库的具体服务器，每个服务器上可以有多个仓库，而每个仓库下面有多个镜像。从这方面来说，仓库可以被认为是一个具体的项目或目录。例如对于仓库地址 l.dockerpool.com/ubuntu 来说，dl.dockerpool.com是注册服务器地址，ubuntu是仓库名。 大部分时候，并不需要严格区分这两者的概念。 注册服务器、仓库、镜像关系如下

registry是什么？registry是Docker的镜像存储服务，docker hub上的registry镜像见Registry官方镜像，更多详细信息请参见源码。搭建registry在服务器上执行如下命令安装docker，这里选择腾讯云（Ubuntu Server 14.04.1 LTS 64位）镜像来创建服务器curl -fsSL https://get.docker.com/ | sh安装docker-compose Docker Compose是一个定义及运行多个Docker容器的工具。使用Docker Compose只需要在一个配置文件中定义多个Docker容器，然后使用一条命令将多个容器启动，Docker Compose会通过解析容器间的依赖关系，按先后顺序启动所定义的容器。详见Docker Composecurl -L https://github.com/docker/compose/releases/download/1.8.0/docker-compose-$(uname -s)-$(uname -m) > /usr/local/bin/docker-composechmod a+x /usr/local/bin/docker-compose启动registry服务，此例中包含nginx和registry两个容器，涉及的包及配置文件请参见附件，解压后，直接执行如下命令即可创建服务。docker-compose up -d停止服务docker-compose stop重启服务docker-compose restart下线服务docker-compose down上传镜像因为上面搭建的registry服务是http的，所以docker启动参数需要配置--insecure-registry localhost选项，修改/etc/default/docker文件DOCKER_OPTS="--insecure-registry localhost"重启dockerservice docker restart拉取上传镜像 docker pull;docker tag;docker push(tag默认为latest)docker pull hello-worlddocker tag hello-world localhost/library/hello-worlddocker push localhost/library/hello-world下载镜像docker pull localhost/library/hello-world删除镜像docker rmi localhost/library/hello-world获取镜像仓库列表# curl http://localhost/v2/_catalog{"repositories":["library/hello-world"]}未上传镜像前的输出如下：# curl http://localhost/v2/_catalog{"repositories":[]}获取镜像tag列表# curl -X GET http://localhost/v2/library/hello-world/tags/list{"name":"library/hello-world","tags":["latest"]}获取镜像manifests信息# curl -H "Accept: application/vnd.docker.distribution.manifest.v2+json" -X GET http://localhost/v2/library/hello-world/manifests/latest{"schemaVersion": 2,"mediaType": "application/vnd.docker.distribution.manifest.v2+json","config": {"mediaType": "application/vnd.docker.container.image.v1+json","size": 1473,"digest": "sha256:c54a2cc56cbb2f04003c1cd4507e118af7c0d340fe7e2720f70976c4b75237dc"},"layers": [{"mediaType": "application/vnd.docker.image.rootfs.diff.tar.gzip","size": 974,"digest": "sha256:c04b14da8d1441880ed3fe6106fb2cc6fa1c9661846ac0266b8a5ec8edf37b7c"}]}其中c54a2cc56cbb2f04003c1cd4507e118af7c0d340fe7e2720f70976c4b75237dc即为执行docker images时看到的IMAGE ID。 layers表示了镜像的层次关系，可以通过layers中的digest来拉取blob，见下面获取镜像blob获取镜像blob在上面获取hello-world:latest镜像的manifests信息中可以看到其只有一个layer，以此为例来看如何获取镜像blob。从拉取的结果可以看到获取的blob与文件sha256是一致的。执行docker pull实际上就是首先获取到镜像的manifests信息后，再拉取blob的。# curl -s -X GET http://localhost/v2/library/hello-world/blobs/sha256:c04b14da8d1441880ed3fe6106fb2cc6fa1c9661846ac0266b8a5ec8edf37b7c -o hello-world.blob# ls -l hello-world.blob -rw-r--r-- 1 root root 974 Nov 23 09:56 hello-world.blob# sha256sum hello-world.blob c04b14da8d1441880ed3fe6106fb2cc6fa1c9661846ac0266b8a5ec8edf37b7c hello-world.blob ##删除镜像(soft delete)首先通过curl -i 参数获取到镜像的Docker-Content-Digest，registry 2.3及以后的版本必须在header中指定Accept: application/vnd.docker.distribution.manifest.v2+json，否则默认返回的是schema1的digest，其与schema2的digest不同，使用不指定上述头信息返回的digest删除时会返回404。# curl -i -H "Accept: application/vnd.docker.distribution.manifest.v2+json" -X GET http://localhost/v2/library/hello-world/manifests/latestHTTP/1.1 200 OKServer: nginx/1.11.5Date: Wed, 23 Nov 2016 02:17:51 GMTContent-Type: application/vnd.docker.distribution.manifest.v2+jsonContent-Length: 524Connection: keep-aliveDocker-Content-Digest: sha256:a18ed77532f6d6781500db650194e0f9396ba5f05f8b50d4046b294ae5f83aa4Docker-Distribution-Api-Version: registry/2.0Etag: "sha256:a18ed77532f6d6781500db650194e0f9396ba5f05f8b50d4046b294ae5f83aa4"{"schemaVersion": 2,"mediaType": "application/vnd.docker.distribution.manifest.v2+json","config": {"mediaType": "application/vnd.docker.container.image.v1+json","size": 1473,"digest": "sha256:c54a2cc56cbb2f04003c1cd4507e118af7c0d340fe7e2720f70976c4b75237dc"},"layers": [{"mediaType": "application/vnd.docker.image.rootfs.diff.tar.gzip","size": 974,"digest": "sha256:c04b14da8d1441880ed3fe6106fb2cc6fa1c9661846ac0266b8a5ec8edf37b7c"}]}根据上一步返回的Docker-Content-Digest删除，返回202表示删除成功# curl -k -v -s -X DELETE http://localhost/v2/library/hello-world/manifests/sha256:a18ed77532f6d6781500db650194e0f9396ba5f05f8b50d4046b294ae5f83aa4* Hostname was NOT found in DNS cache* Trying 127.0.0.1...* Connected to localhost (127.0.0.1) port 80 (#0)> DELETE /v2/library/hello-world/manifests/sha256:a18ed77532f6d6781500db650194e0f9396ba5f05f8b50d4046b294ae5f83aa4 HTTP/1.1> User-Agent: curl/7.35.0> Host: localhost> Accept: */*> < **HTTP/1.1 202 Accepted*** Server nginx/1.11.5 is not blacklisted< Server: nginx/1.11.5< Date: Wed, 23 Nov 2016 02:29:59 GMT< Content-Type: text/plain; charset=utf-8< Content-Length: 0< Connection: keep-alive< Docker-Distribution-Api-Version: registry/2.0< * Connection #0 to host localhost left intact确认结果# curl -X GET http://localhost/v2/library/hello-world/tags/list{"name":"library/hello-world","tags":null}删除镜像(hard delete)在上一步中，只是删除了镜像的manifests信息，解引用的blob还在占用磁盘空间，执行如下命令可以查看可以删除的blobdocker exec -it myregistry_registry_1 /bin/registry garbage-collect --dry-run /etc/registry/config.yml要删除blob，释放磁盘空间，需要执行下面的命令。需要特别注意的是在执行下面的命令时registry必须是只读模式（只读模式可在registry配置文件中设置），否则可能会导致数据不一致。docker exec -it myregistry_registry_1 /bin/registry garbage-collect /etc/registry/

docker registry 的作用就是存储我们的镜像。通常情况下我们可以使用 docker hub 来存储，不过如果是在公司内部使用，不想将镜像公开，可以手动搭建一个本地registry，如 docker registry 或 harbor 。本文简单介绍一下 docker registry 的搭建使用及常用配置。 搭建registry最基础的命令为： docker run -d -v /data/registry:/var/lib/registry -p 5000:5000 registry:2 registry定义的对外服务端口为 5000 ，我们也可以通过环境变量 REGISTRY_HTTP_ADDR 来修改服务端口。 如果要使用其他存储，如 Amazon S3 bucket , Google Cloud Platform 或其他docker支持的 存储 ，也可以通过环境变量单独配置（推荐用yaml的形式来配置）。 注：私有仓库，推送镜像时，要在 /etc/docker/daemon.json 或 C:ProgramDatadockerconfigdaemon.json 文件中添加以下配置，并重启docker。 创建服务端证书的第三步，可能会报错 unable to open "/etc/pki/CA/index.txt" ，需要手动创建该文件 touch /etc/pki/CA/index.txt ， 并创建一个序列文件来标记CA证书 echo "1000" > /etc/pki/CA/serial 。 证书生成也可以参考： https://www.jianshu.com/p/1163d1ae8029 为了提高regsitry的安全性，可以开启访问控制，用户需要登陆后才可以使用registry。 首先，创建一个密码文件，里面包含一条用户名密码(stark/catherine)。 windows系统下需要修改编码格式： docker run --rm --entrypoint htpasswd httpd:2 -Bbn testuser testpassword | Set-Content -Encoding ASCII auth/htpasswd 然后启动容器，带上用户认证。 配置一个域名解析： echo 127.0.0.1 myregistry.com>> /etc/hosts ，然后使用docker登录 docker login myregistry.com:5000 ，用户名/密码就是前面配置的stark/catherine。 注：使用身份认证，建议开启TLS，否则登录信息明文传输（header中），一样不安全。 x509报错解决：x509报错通常就是自签证书没有加入到docker client所在host的信任证书中，手动加入即可。对于linux用户，只需要拷贝根证书文件到 /etc/docker/certs.d/myregistrydomain.com:5000/ca.crt 中即可。 最后，也可以在浏览器中访问 https://localhost:5000/v2/_catalog 或是 https://localhost:5000/v2/docker/registry/tags/list 查看仓库信息。 以上只是最简单的用户认证，只能使用我们预先定义好的用户来访问。 我们也可以在regsitry之前使用一个代理，来实现更高级的身份认证；或者将registry集成到我们自己的身份认证和访问控制系统中，由我们的鉴权服务来签发token给用户，然后用户使用签发的token访问我们的registry。harbor就提供了这样一整套服务，如果有此方面的需求，可以考虑使用harbor。 不知到为啥，容器起来了，但访问不了 完整的配置选项 参考 。 配置文件和环境变量的对应关系。配置文件中的内容为： 上述配置文件如果通过环境变量来配置，则对应的环境变量为： REGISTRY_STORAGE_FILESYSTEM_ROOTDIRECTORY=/var/lib/registry 格式为 REGISTRY_variable ，其中 variable 为配置的变量，通过 _ 连接yaml文件中的各层变量得到。 token 认证流程简图：

有两个闲置的容器在删除时发生错误，处在Removal In Progress状态。在重启Docker后处于Dead状态。 删除时提示信息如下： 网上有很多类似的解决办法，但试了几个均不能使用，例如： 最终解决方案： 说明：grep检索的不是容器号，而是删除时提示信息中/mnt/docker/devicemapper/mnt/*** 驱动器号，得到占用该驱动器的进程号 24762(/proc/24762/mountinfo)，杀死进程即可

restart好些

client contacted the Docker dameon客户端联系了 Docker 守护进程