Демон Docker использует "драйвер выполнения" для создания контейнера. По умолчанию это собственный драйвер Docker runc, однако также существует наследуемая поддержка для LXC. Runc очень тесно подогнан к следующей функциональности ядра:

Libcontainer также поддерживает SElinux и AppArmor, которые могут быть разрешены для более плотной безопасности. За дополнительной информацией обращайтесь к Главе 13.

Другой лежащей в основе Docker главной технологией является файловая система UFS (Union File System), используемая для хранения уровней для контейнеров. UFS обеспечивается одним из нескольких драйверов хранения из AUFS, devicemapper, BTRFS или Overlay. Отсылаем к предыдущему обсуждению в "Образы, контейнеры и UFS".

Движок Docker и его хаб не представляют сами по себе законченное решение для работы с контейнерами. Большинство пользователей обнаружат, что им требуется поддержка служб и программного обеспечения подобного средствам управления кластером, инструментарию служб обнаружения, а также развитым сетевым возможностям.

Как описано в "Плагины и прокладка труб", Docker Inc. планирует построить полное коробочное решение которое включает в себя эту функциональность, но при этом позволяет пользователям легко выгружать установленные по умолчанию компоненты в замен разработанных третьими фирмами. Стратегия "заменяемых батарей" прежде всего относится к уровню API - позволяя компонентам прицепляться к движку Docker - но также могут рассматриваться как делающие возможной поддержку технологий Docker упакованных в виде независимого исполняемого (двоичного) кода способного легко заменяться эквивалентами третьих сторон.

Текущий список предоставляемых Docker поддерживаемых технологий включает:

Уже существует большой список служб и приложений третьих сторон, который встроен в Docker и работает с ним. Некоторые решения уже появились в следующих областях:

Все эти темы обсуждаются в больших подробностях в Части III. Стоит также отметить альтернативы Docker Trusted Registry, включающие CoreOS Enterprise Registry и JFrog Artifactory.

В добавление к упомянутым ранее подключаемым сетевым драйверам Docker также поддерживает подключаемые тома (volume plugin) для интеграции с прочими системами хранения. Достойные упоминания подключаемые тома включают Flocker, инструмент множества хостов управления и миграции данных, а также GlusterFS для распределенного хранилища. Дополнительная информация по подключаемым конструктивам может быть найдена на веб- сайте Docker.

Интересный побочный эффект от роста популярности контейнеров заключается в новом поколении операционных систем, предназначенных для их хостинга. Хотя Docker успешно работает в большинстве современных дистрибутивов Linux, подобных Ubuntu и Red Hat, существует ряд проектов в стадии реализации для создания минимальных и простых в сопровождении дистрибутивов, сосредоточенных исключительно на работе контейнеров (или контейнеров и виртуальных машин), особенно в контексте насыщения цетнра обработки данных или кластера. Примеры включают Проект Atomic, CoreOS и RancherOS.

Мы обсудим хостинг Docker более подробно в Главе 9, но здесь стоит отметить некоторые из многих вариантов. Многие традиционные поставщики облачных решений, включающие Amazon, Google и Digital Ocean привнесли определенный уровень в продукцию Docker. Наиболее интересным из них, возможно, является Container Engine Google, поскольку он строится непосредственно поверх Kubernetes. Конечно, даже если поставщик облачных решений не имеет определенного предложения решений Docker, все еще стандартным будет предоставление виртуальных машин, которые могут выполнять контейнеры Docker.

Joyent также выходит в свет со своим собственным предложением контейнеров под названием Triton, построенным поверх SmartOS. Реализовав API Docker в своих собственных контейнере и технологии эмуляции Linux, Joуent смог создать общедоступное облако, которое взаимодействует со стандартным клиентом Docker. Важно отметить, что Joyent полагает, что его реализация контейнера достаточно безопасна чтобы работать непосредственно на голом железе вместо размещения его в виртуальные машины, что может повлечь значительную экономию эффективности, в особенности в плане операций ввода/ вывода.

Существуют также различные проекты построения платформ PaaS поверх Docker, в том числе Deis, Flynn и Paz.

Команде docker build необходимы Dockerfile и контекст сборки (build context, который может быть пустым). Контекст сборки является набором локальных файлов и каталогов, на которые можно ссылаться в инструкциях ADD и COPY в Dockerfile и обычно определяются в виде пути и каталога. Например, в разделе "Построение образов из Dockerfile" мы применяем команду построения docker build -t test/cowsay-dockerfile ., которая устанавливает контекст в '.', текущий рабочий каталог. Все файлы и каталоги в пути формируют контекст сборки и будут отосланы демону Docker как часть процесса построения.

В случаях когда контекст не описан - если в Dockfile передается только URL или содержимое Dockfile передаётся в конвейере через STDIN - контекст сборки рассматривается как пустой.

	Предостережение
	Не используйте +/+ в качестве контекста сборки После того как контекст сборки накоплен в tarball и отослан демону Docker, вы на самом деле не хотите использовать каталог с уже имеющимся большим числом файлов. Например, использование /home/user, Downloads или / приведет к длительной задержке на время упаковки всего и отправки демону.

Если задан URL, начинающийся с http или https, то он предполагается прямой ссылкой на Dockerfile. Вряд ли будет полезно не связывать никакой контекст с Dockerfile (и не принимать ссылки на архивы).

Репозиторий git также может быть определен в качестве контекста сборки. В таком случае клиент Docker клонирует репозиторий и все подмодули во временный каталог, который далее отсылается демону Docker в качестве контекста сборки. Docker воспринимает ваш контекст как репозиторий git если путь начинается с github.com/, _git@ или _git://. В общем случае я хотел бы предложить избегать такого метода и вместо этого проверять репозитории вручную, что является более гибким и оставляет меньше шансов для путаницы.

Клиент Docker также может получать входные данные через STDIN, задавая "-" в качестве аргумента на месте контекста сборки. Входные данные также могут быть Dockerfile-ом без какого бы то ни было контекста (т.е. docker build - < context.tar.gz). Файлы архива могут быть в формате tar.gz, xz или bzip2.

Местонахождение Dockerfile внутри контекста может быть определено аргументом -f, (т.е. docker build -f dockerfiles/Dockerfile.debug). Если он не определен явно, Docker будет искать файл с названием Dockerfile в корне контекста.

Совет

Использование файла .dockerignore Чтобы удалить не нужные файлы из контекста сборки, вы можете воспользоваться файлом .dockerignore. Этот файл должен содержать имена подлежащих исключению файлов, разделенные символами новой строки. Допускаются символы подстановки * и ?. Например, у нас имеется следующий файл .dockerignore: .git1 */.git2 */*/.git3 *.sw?4 1 Будет игнорировать файл или каталог .git в корне контекста сборки, однако будет допускать его в любом подкаталоге (т.е. .git игнорируется, а dir1/.git нет). 2 Будет игнорировать файл или каталог .git ровно на один каталог ниже корня контекста сборки (т.е. dir1/.git игнорируется, а dir1/dir2/.git нет). 3 Будет игнорировать файл или каталог .git ровно на два каталога ниже корня контекста сборки (т.е. dir1/dir2/.git игнорируется, а .git и dir1/.git нет). 4 Будет игнорировать test.swp, test.swo и bla.swp, но не dir1/test.swp. Отсутствует полная поддержка регулярных выражений наподобие [A-Z]* На момент написания книги не существовало способа отметки соответствия файлов по всем каталогам (т.е. вы не можете игнорировать и test.tmp, и dir1/test.tmpв одном выражении).

Новые пользователи Docker часто бросают как бы между прочим построенные образы. Каждая инструкция в Dockerfile имеет результатом новый уровень образа, который может быть использован для запуска контейнера. Новый уровень создается запуском контейнера, применяющего образ предыдущего уровня, выполнением инструкции Dockerfile и сохранением нового образа. После успешного завершения инструкции Dockerfile промежуточный контейнер будет удален, если не был задан аргумент --rm=false (Не отчаивайтесь если я вас потерял в данном месте. Все встанет на свои места после просмотра вывода docker build в нашем отладочном примере). Поскольку результат каждой инструкции состоит в статичном образе - по существу лишь файловая система и некие метаданные - все выполняемые в инструкции процессы будут остановлены. Это означает, что хотя вы можете запускать в инструкции RUN процессы с длительным временем жизни, например базы данных или демоны SSH, они уже не будут исполняться при обработке следующей инструкции или запуске контейнера. Если вы хотите стартовать с контейнером службу или процесс, они должны запускаться из инструкции ENTRYPOINT или CMD.

Вы можете посмотреть полный набор создавших образ уровней выполнив команду docker history. Например:

$ docker history mongo:latest
IMAGE CREATED CREATED BY ...
278372cb22b2 4 days ago /bin/sh -c #(nop) CMD ["mongod"]
341d04fd3d27 4 days ago /bin/sh -c #(nop) EXPOSE 27017/tcp
ebd34b5e9c37 4 days ago /bin/sh -c #(nop) ENTRYPOINT &{["/entrypoint.
f3b2b8cf226c 4 days ago /bin/sh -c #(nop) COPY file:ef2883b33ed7ba0cc
ba53e9f50f18 4 days ago /bin/sh -c #(nop) VOLUME [/data/db]
c537910de5cc 4 days ago /bin/sh -c mkdir -p /data/db && chown -R mong
f48ad436057a 4 days ago /bin/sh -c set -x
df59596772ab 4 days ago /bin/sh -c echo "deb http://repo.mongodb.org/
96de83c82d4b 4 days ago /bin/sh -c #(nop) ENV MONGO_VERSION=3.0.6
0dab801053d9 4 days ago /bin/sh -c #(nop) ENV MONGO_MAJOR=3.0
5e7b428dddf7 4 days ago /bin/sh -c apt-key adv --keyserver ha.pool.sk
e81ad85ddfce 4 days ago /bin/sh -c curl -o /usr/local/bin/gosu -SL "h
7328803ca452 4 days ago /bin/sh -c gpg --keyserver ha.pool.sks-keyser
ec5be38a3c65 4 days ago /bin/sh -c apt-get update
430e6598f55b 4 days ago /bin/sh -c groupadd -r mongodb && useradd -r
19de96c112fc 6 days ago /bin/sh -c #(nop) CMD ["/bin/bash"]
ba249489d0b6 6 days ago /bin/sh -c #(nop) ADD file:b908886c97e2b96665
	   

В случае неудачного построения может быть очень полезным запускать предшествующий отказу уровень. Например, если у нас имеется следующий Dockerfile:

FROM busybox:latest

RUN echo "This should work"
RUN /bin/bash -c echo "This won't"
	   

и попытка его построения:

$ docker build -t echotest .
Sending build context to Docker daemon 2.048 kB
Step 0 : FROM busybox:latest
---> 4986bf8c1536
Step 1 : RUN echo "This should work"
---> Running in f63045cc086b1
This should work
---> 85b49a851fcc2
Removing intermediate container f63045cc086b3
Step 2 : RUN /bin/bash -c echo "This won't"
---> Running in e4b31d0550cd
/bin/sh: /bin/bash: not found
The command '/bin/sh -c /bin/bash -c echo "This won't"' returned a non-zero
code: 127
	   

Хотя в данном случае проблема совершенно очевидна из сообщения об ошибке, мы можем выполнить образ созданный на последнем успешном уровне для отладки данной инструкции. Отметим, что мы используем здесь последний идентификатор образа (85b49a851fcc), а не идентификатор последнего контейнера (e4b31d0550cd):

$ docker run -it 7831e2ca1809
/ # /bin/bash -c "echo hmm"
/bin/sh: /bin/bash: not found
/ # /bin/sh -c "echo ahh!"
ahh!
/ #
	   

И проблема становится даже ещё более очевидной: образ busybox не содержит оболочку bush.

Docker также кэширует каждый уровень с целью ускорения построения образов. Такое кэширование очень важно эффективным рабочим потокам, но несколько безыскусно. Кэш применяется для инструкции если:

Помимо этого в случае инструкций ADD и COPY кэш будет недействительным если были изменены контрольная сумма или метаданные для любого из файлов в кэше.

Это означает, что инструкция RUN, которая не гарантирует получение одного и того же результата при множестве исполнений все еще будет кэширована. Будьте особенно внимательны к этому обстоятельству если вы загружаете файлы, запускает обновление apt-get или клонируете источник репозитория.

Если вам нужно отказать в кэшировании, вы можете выполнить docker build с аргументом --no-cache. Вы также можете добавлять или изменять инструкцию перед точкой, в которой вы хотите отвергнуть кэш; и по этой причине вы можете увидеть Dockerfile со строками наподобие:

ENV UPDATED_ON "14:12 17 February 2015"
RUN git clone....
	   

Я бы предостерег от применения подобной техники, поскольку она ведёт к запутыванию последующих пользователей образов, в особенности когда образ был построен в день, отличный от установленного в строке.

При создании собственных образов вам придется определиться с какого базового образа начинать. Существует множество вариантов выбора и стоит потратить определенное время чтобы понять различные преимущества и недостатки каждого.

Наилучшим выбором будет не создавать собственный образ совсем - вы можете просто воспользоваться уже существующим и смонтировать свои собственные файлы настройки и/ или данные в него. Возможно это будет лучшим выбором для распространенного прикладного программного обеспечения, такого как базы данных и веб-сервера, где существуют официальные доступные образы. В общем случае вам гораздо лучше воспользоваться официальным образом, чем обкатывать свой собственный - вы получите преимущество от чужих работы и опыта в выяснении того как лучше выполнять программное обеспечение в контейнере. Если существует конкретный довод почему официальный образ не подходит для вас, рассмотрите возможность открытия проблемы в родительском проекте, поскольку, скорее всего, и другие люди сталкиваются с аналогичными задачами или знают как обойти эту проблему.

Если вам требуется образ для хостинга вашего собственного приложения, вначале окиньте взглядом: существует ли образ на официальной основе для поддержки используемого вами языка или инфраструктуры (например, Go или Ruby on Rails). Зачастую вы можете воспользоваться отдельными образами для построения и распространения вашего программного обеспечения (например, вы можете применять образ java:jdk для построения приложения Java, однако затем распространять полученный в результате файл JAR с применением более скромного в размерах образа java:jre, который избавлен от ненужного инструментария построения). Аналогично, некоторые официальные образы (например, node) имеют специальные "тонкие" построения, в которых удалено множество средств разработки и заголовков.

Иногда на практике вам нужен небольшой, но полный дистрибутив Linux. Если я собираюсь следовать истинному минимализму, я буду применять образ alpine, который требует размеров всего лишь в 5МБ, но все таки имеет значительный менеджер пакетов для простой установки пакетов и инструментов. Если мне нужен более полный образ, я обычно применяю один из образов debian, который намного меньше чем также общеупотребимые образы ubuntu, но имеет доступ к тем же пакетам. Если ваша организация связана с определенным дистрибутивом Linux, вам также следует найти для него образ Docker. Это может иметь больше смысла, чем переход на новый дистрибутив, который ваша организация не поддерживает или с которым у нее нет опыта работы.

Большую часть времени не существует необходимости сильно беспокоиться о максимально возможном сокращении объёма образа. Помните, что базовые образы совместно используются различными образами, поэтому если вы уже имеете образ ubuntu:14.04, и извлекаете из хаба (Hub) основанный на нем образ, вместо всего образа целиком вы вытащите только нужные вам изменения. Тем не менее, минимизированные образы несомненно являются большим плюсом когда нам необходимо быстрое развертывание и простое распространение.

Можно брать с собой сверхминимизированные образы и поставлять их исключительно в двоичном виде. Чтобы сделать это следует написать Dockerfile который наследуется из образа специальной рабочей области (полностью очищенная файловая система) с простой копией вашего исполняемого кода и установить соответствующую инструкцию CMD. Ваш исполняемый код должен содержать все необходимые библиотеки (никаких динамических связываний) и не должен иметь возможности вызова внешних команд. Кроме того помните, что двоичный код должен быть скомпилирован под архитектуру вашего контейнера, которая может отличаться от архитектуры машины, выполняющей клиента Docker. (На самом деле можно продвинуть эту концепцию минимальности вычислений ещё дальше, отказавшись от Docker и полного ядра Linux в пользу подхода микроядер - unikernel. В архитектуре микроядра приложение объединяется с ядром, содержащим только ту функциональность, которая нужна этому приложению и далее непосредственно запускается гипервизором. Это позволяет избавляться от ряда ненужных уровней кода и неиспользуемых драйверов, получая в результате намного меньшее и более быстрое приложение - микроядра обычно загружаются в пределах секунд, т.е. они могут запускаться в качестве непосредственного ответа на пользовательские запросы. Если вы хотите узнать больше об этом обратите внимание на Unikernels: Rise of the Virtual Library Operating System Anil Madhavapeddy и David J. Scott, а также на MirageOs.)

Хотя минималистский подход может быть очень заманчивым, обратите внимание на то, что он может поставить вас в сложную ситуацию когда дело доходит до отладки и сопровождения - busybox не будет иметь большого числа инструментов для работы с ним, а если вы применяете рабочий образ (scratch), у вас даже не будет оболочки.

Ответ Phusion

Другим интересным выбором основного образа является phusion/baseimage-docker. Разработчики Phusion создали этот базовый образ как ответ на официальный образ Ubuntu, который по их утверждению упустил ряд существенных служб. Некоторые разработчики ядра Docker не согласны с точкой зрения Phusion, что повлекло к различным обменам мнениями в блогах, IRC и Твиттере. Основными спорными моментами являются: Потребность в службе инициализации Точка зрения Docker состоит в том, что контейнер должен выполнять только отдельное приложение, а в идеале отдельный процесс. Если у вас имеется только один процесс, нет потребности для службы инициализации. Главный аргумент, выдвигаемый Phusion состоит в том, что отсутствие службы инициализации может приводить к контейнерам, заполненными процессами зомби - процессами, которые не были корректно уничтожены породившими их процессами или собранными процессом супервизора. Хотя этот аргумент и верен, в случае ошибки в коде приложения является единственным способом возникновения процессов зомби; подавляющее большинство пользователей не должно сталкиваться с этой проблемой, а если уж это происходит, то лучшим решением будет исправление кода. Работа демона crone Большинство образов ubuntu и debian не запускают по умолчанию демон crone, а образ phusion запускает. Phusion приводит аргументацию, что многие приложения зависят от crone, следовательно он существенен для их выполнения. Точка зрения Docker - с которой я склонен соглашаться - заключается в том, что crone должен запускаться только если ваше приложение зависит от него. Демон SSH Образы по умолчанию не устанавливают и не выполняют демон SSH. Обычный способ получения оболочки заключается в применении команды docker exec (см. раздел "Управление контейнерами"), которая позволяет избегать проблем с работой ненужного процесса в контейнере. Phusion кажется принял это и отключил демон SSH по умолчанию, но их образ все еще значительно раздут за счет включения этого демона и его библиотек. Что касается меня лично, я рекомендовали бы применять базовый образ Phusion только если у вас имеется потребность выполнять множество процессов, crone и ssh внутри вашего контейнера. В противном случае я бы придерживался образов из официальных репозиториев Docker, например ubuntu:14.04 или debian:wheezy.

Предостережение

Реконструкция образов Отметим, что при выполнении docker build Docker просмотрит инструкцию FROM и попытается извлечь образ если он не присутствует локально. Если он существует, Docker воспользуется этим образом без проверки существует ли доступная более новая версия. Это означает, что простого выполнение docker build не достаточно для уверенности в том, что ваши образы точно самые новые, вам придется либо в явном виде выполнить docker pull всех образов- предков или удалить их чтобы принудить команду построения к загрузке самых последних версий. Это становится особенно актуальным когда выходят обновления безопасности общих базовых образов, например, debian.

Данный раздел вкратце рассмотрит различные инструкции, доступные для применения в Dockerfile. Он не погружается вглубь деталей, частично из-за того что они все ещё изменяются и возможно быстро станут не современными, а частично потому,что существует всесторонняя и всегда актуальная документация, доступная на веб- сайте Docker. Комментарии в Dockerfile выделяются началом строки с символа #.

Сопоставление форматов exec и shell

Некоторые инструкции (RUN, CMD и ENTRYPOINT) принимают оба формата: и shell, и exec. Формат exec принимает вид массива JSON (т.е. ["executable", "param1", "param2"]), что предполагает, что первый элемент является исполняемым именем, которое выполняется с остальными элементами в качестве параметров. Формат shell является строкой произвольной формы, которая будет интерпретироваться путем передачи в /bin/sh -c. Применяйте формат exec во избежание умышленной порчи строк или в случаях, когда в образе нет /bin/sh

В Dockerfile доступны следующие инструкции:

Синтаксис -v HOST_DIR:CONTAINER_DIR очень полезен при совместном использовании файлов хостом и одним или более контейнеров. Например, файлы настройки могут сохраняться на хосте и монтироваться в контейнер из общих образов.

Мы также совместно используем данные в контейнерах при помощи параметра --volumes-from CONTAINER в docker run. Например, мы можем создать новый контейнер, который имеет доступ к вашим томам из контейнера в нашем предыдущем примере примерно так:

$ docker run -it -h NEWCONTAINER --volumes-from container-test debian /bin/bash
root@NEWCONTAINER:/# ls /data
test-file
root@NEWCONTAINER:/#
	   

Важно отметить, что это работает вне зависимости от того, содержит или нет контейнер работающие в настоящий момент тома (в данном случае container-test). Пока существует по крайней мере одна связь с неким томом, он не может быть удален.

Общая практика состоит в создании контейнеров данных (data container) - контейнеров, чья основная роль заключается в предоставлении совместного использования другим контейнерам. Главное преимущество такого подхода заключается в том, что он поддерживает удобное пространство имен для томов которые легко могут загружаться с применением команды --volumes-from.

Например, мы можем создать контейнер данных для базы данных PostgerSQL с помощью следующей команды:

$ docker run --name dbdata postgres echo "Data-only container for postgres"
	   

Это создаст контейнер из образа postgres и проведет инициализацию всех томов определенных в данном образе до выполнения команды echo и выхода (Мы могли бы применить любую команду, которая выйдет непосредственно здесь, однако сообщение echo будет служить нам напоминанием о цели данного контейнера при выполнении docker ps -a. Другим вариантом будет не запускать контейнер вообще, воспользовавшись командой docker create вместо docker run). Нет необходимости оставлять контейнеры данных исполняемыми, поскольку это будет пустой тратой ресурсов.

Затем мы можем использовать этот том из других контейнеров при помощи параметра --volumes-from. Например:

$ docker run -d --volumes-from dbdata --name db1 postgres
	   

Образы для контейнеров данных

Обычно не существует потребности применять "минимальный образ" подобный busy box или scratch для контейнера данных. Просто используйте тот же образ, который применяется для контейнера, потребляющего эти данные. Например, примените образ postgres для создания контейнера, который будет использоваться с базой данных Potgres. Применение того же самого образа не потребует дополнительного пространства - вы уже должны иметь загруженный или созданный образ для вашего потребителя. Это также дает вашему образу возможность наполнить ваш контейнер некими начальными данными и гарантировать, что полномочия установлены корректно.

Тома могут быть удалены только если:

И

На текущий момент это означает, что если вы не сильно беспокоитесь о том, чтобы всегда выполнять контейнеры описанным способом, то у вас, скорее всего, в каталоге установки Docker имеются бесхозные файлы и каталоги и не существует простого способа объяснения что они собой представляют. Docker работает над командой "volume" верхнего уровня, которая позволит вам перечислять, создавать, инспектировать и удалять тома независимых контейнеров. Ожидается ее появление в 1.9, который должен состояться к моменту публикации данной книги.

Данный раздел предоставляет короткий (по крайней мере в сравнении с официальной документацией) и не исчерпывающий обзор различных команд Docker, в основном сосредотачиваясь на повседневно используемых командах. Поскольку Docker быстро меняется и эволюционирует, отсылаем вас к официальной документации на веб- сайте Docker за исчерпывающими и современными подробностями по данным командам. Я не описываю в подробностях параметры и синтаксис различных приводимых команд за исключением docker run. За этим отсылаю ко встроенному помощнику, к к торому можно получить доступ задав параметр --help в любой команде или посредством команды docker help.

Булевы флаги Docker

В большинстве инструментов командной строки Unix вы найдете флаги, которые не принимают значение, например, -l в ls -l. Поскольку эти флаги являются либо установленными, либо нет, Docker рассматривает их рассматривает их как булевы (boolean) и - в отличие от большинства прочего инструментария - поддерживает явное определение булева значения флага (т.е. он будет принимать оба варианта, -f=true и -f. Кроме того, использоваться с базой данных Potgres. Применение того же самого образа не потребует дополнительного пространства - вы уже должны иметь загруженный или созданный образ для вашего потребителя. Это также дает вашему образу возможность наполнить ваш контейнер некими начальными данными и гарантировать, что полномочия установлены корректно. Кроме того (и это то место, где все становится запутанным) вы можете иметь флаги, установленные по умолчанию как в истину, так и в ложь. В отличие от установки по умолчанию в значение ложь, установка по умолчанию в истину считается принятой при отсутствии определения в явном виде. Указание флага без аргумента имеет тот же эффект, что и установка его в значение истина - сброс значения истины флага по умолчанию не задается аргументом со значением; единственным способом сброса истинного значения флага по умолчанию может быть явное его определение в значение ложь (т.е. -f=false). Чтобы узнать что является значением флага по умолчанию истина или ложь, обратитесь к команде docker help. Например: $ docker logs --help ... -f, --follow=false Follow log output --help=false Print usage -t, --timestamps=false Show timestamps ... показывает, что аргументы -f, --help и -t по умолчанию имеют значение ложь. Чтобы дать пару конкретных примеров, рассмотрим истинное значение по умолчанию --sig-proxy для docker run. Единственный способ выключить этот параметр заключается в его явной установке в значение ложь. Например: $ docker run --sig-proxy=false ... Всё последующее эквивалентно: $ docker run --sig-proxy=true ... $ docker run --sig-proxy ... $ docker run ... В случае значения по умолчанию, установленного в ложь, например, --read-only, следующие примеры установят его в истину: $ docker run --read-only=true $ docker run --read-only Оставление его неописанным или явная установка в значение ложь эквивалентны. Это также приводит к некоторому причудливому обращению с флагами, которые обычно накоротко замыкают логику (например, docker ps --help=false) будет работать как обычная команда без выдачи сообщения подсказки).

 Управление контейнерами

Помимо docker run в процессе жизненного цикла контейнеров следующие команды docker применяются для управления ими:

docker attach [OPTIONS] CONTAINER

Команда attach позволяет пользователю наблюдать за главным процессом в вашем контейнере или взаимодействовать с ним. Например:

$ ID=$(docker run -d debian sh -c "while true; do echo 'tick'; sleep 1; done;")
$ docker attach $ID
tick
tick
tick
tick
	   

Отметим, что применение CTRL-C для выхода завершит главный процесс и вызовет завершение работы контейнера.

docker create

Создает контейнер из некого образа, но не запускает его. Получает большинство параметров аналогичных docker run. Чтобы запустить созданный контейнер воспользуйтесь docker start.

docker cp

Копирует файлы и каталоги между контейнером и хостом.

docker exec

Выполняет команду внутри контейнера. Может быть использована для выполнения задач сопровождения или как замена ssh для регистрации в контейнере.

Например:

$ ID=$(docker run -d debian sh -c "while true; do sleep 1; done;")
$ docker exec $ID echo "Hello"
Hello
$ docker exec -it $ID /bin/bash
root@5c6c32041d68:/# ls
bin dev home lib64 mnt proc run selinux sys usr
boot etc lib media opt root sbin srv tmp var
root@5c6c32041d68:/# exit
exit
	   

docker kill

Отправляет сигнал главному процессу (PID 1) контейнера. По умолчанию отправляет SIGKILL, который вызывает немедленный выход из контейнера. В качестве альтернативы может быть определен другой сигнал при помощи параметра -s. Возвращается идентификатор контейнера.

Например:

$ ID=$(docker run -d debian bash -c \
"trap 'echo caught' SIGTRAP; while true; do sleep 1; done;")
$ docker kill -s SIGTRAP $ID
e33da73c275b56e734a4bbbefc0b41f6ba84967d09ba08314edd860ebd2da86c
$ docker logs $ID
caught
$ docker kill $ID
e33da73c275b56e734a4bbbefc0b41f6ba84967d09ba08314edd860ebd2da86c
	   

docker pause

Приостанавливает все процессы в данном контейнере. Процессы не получают никакие сигналы, поскольку они были приостановлены и, следовательно, не могут быть выключены или вычищены. Процесс может быть запущен повторно при помощи docker unpause. docker pause использует внутреннюю функциональность cgroup freezer Linux. Данная команда противопоставляется docker stop, которая останавливает процесс и посылает сигналы, наблюдаемые процессами.

docker restart

Повторно запускает один или более контейнеров. Примерно эквивалентна вызову docker stop с последующим docker start в контейнерах. Принимает необязательный параметр -t, который определяет промежуток времени для ожидания перед закрытием контейнера перед его уничтожением отправкой сигнала SIGTERM.

docker rm

Удаляет один или более контейнеров. Возвращает имена или идентификаторы успешно удаленных контейнеров. По умолчанию docker rm не удаляет никакие тома. Параметр -f может применяться для удаления выполняемого контейнера, а параметр -v удалит созданные контейнером тома (только если они не были закреплённо смонтированы или не используются другим контейнером).

Например, чтобы удалить все остановленные контейнеры:

$ docker rm $(docker ps -aq)
b7a4e94253b3
e33da73c275b
f47074b60757
	   

docker start

Запускает остановленный контейнер (или контейнеры). Может использоваться для повторного как запуска для контейнера, который завершил свою работу, так и для контейнера, который был создан при помощи docker create, но ещё никогда не запускался.

docker stop

Останавливает (но не удаляет) один или более контейнеров. После вызова в контейнере docker stop, он перейдёт в состояние "выходящего". Принимает необязательный параметр -t, который определяет промежуток времени для ожидания перед закрытием контейнера перед его уничтожением отправкой сигнала SIGTERM.

docker unpause

Повторно запускает контейнер, приостановленный перед этим при помощи docker pause.

Отсоединение от контейнеров

При подсоединении к контейнеру Docker, будь это результатом запуска его в интерактивном режиме или присоединение к нему при помощи docker attach, вы остановите запущенный контейнер если попытаетесь отсоединиться от него посредством CTRL-C. Вместо этого, если вы примените CTRL-P CTRL-Q, вы сможете отсоединиться от контейнера без его остановки. Данный код работает только когда вы присоединены в интерактивном режиме с TTY (т.е. с применением обоих флагов, и -i, и -t).

В данной главе мы предоставили много информации! Даже если вы только пробежались по основным моментам, вы должны получить достаточно широкое понимание того как работает Docker и его основных команд. В Части 2 мы увидим как применять эти знания в проектах программных продуктов, причем начиная с их разработки до производства. Вы можете найти материалы данной главы более понятными после их рассмотрения на практике.