IP透传脚本迭代

#!/bin/bash

# 侧重正反面攻防带有熔断机制的 Cloudflare IP 自动同步脚本 (高内聚版)



CONF_FILE="/opt/apps/openresty/openresty/conf/conf.d/cloudflare_ips.conf"

TEMP_FILE="/tmp/cloudflare_ips.conf.tmp"

CONTAINER_NAME="openresty-test"



# 1. 初始化文件并写入功能声明】(解决人工维护的认知断层

> $TEMP_FILE

echo "# ==========================================" >> $TEMP_FILE

echo "# [全局防御] Cloudflare 真实 IP 透传与信任链" >> $TEMP_FILE

echo "# 更新时间: $(date)" >> $TEMP_FILE

echo "# ==========================================" >> $TEMP_FILE

echo "real_ip_header CF-Connecting-IP;" >> $TEMP_FILE

echo "real_ip_recursive on;" >> $TEMP_FILE

echo "" >> $TEMP_FILE



# 2. 拉取最新动态 IP 数据并追加到同一个文件中

curl -s -m 10 https://www.cloudflare.com/ips-v4 | sed -e 's/^/set_real_ip_from /' -e 's/$/;/' >> $TEMP_FILE

echo "" >> $TEMP_FILE

curl -s -m 10 https://www.cloudflare.com/ips-v6 | sed -e 's/^/set_real_ip_from /' -e 's/$/;/' >> $TEMP_FILE



# 3. 熔断校验

LINES=$(wc -l < $TEMP_FILE)

if [ "$LINES" -lt 15 ]; then

    echo "数据拉取异常,触发熔断。"

    exit 1

fi



# 4. 覆盖与重载

cat $TEMP_FILE > $CONF_FILE

docker exec $CONTAINER_NAME nginx -t

if [ $? -eq 0 ]; then

    docker exec $CONTAINER_NAME nginx -s reload

    echo "配置模块已整体更新并生效。"

else

    echo "语法错误!"

    exit 1

fi

第三方分析:

这套原始脚本在基础闭环(获取、校验、重载)上已经具备了良好的工程雏形,尤其是引入了行数熔断机制。然而,站在正反面攻防黑天鹅事件的极端视角下,配合“降低行政权重偏见(摆脱硬编码约束)”、“提高垂直拉升敏感度(快速响应异常)”与“强化实时同步”的深层技术要求,该脚本依然存在致命的隐患链。

以下是对当前架构的深度剖析及重构方案:

一、 隐患剖析与黑天鹅风险分析

1. 反面攻防漏洞:脏数据注入与配置污染(黑天鹅)

  • 现象:原始脚本仅靠 wc -l < $TEMP_FILE 判断行数是否大于15。
  • 黑天鹅场景:如果 Cloudflare 的 API 节点发生故障(例如返回 502 Bad Gateway 页面,或者被中间人劫持返回长篇 HTML 报错),curl 依然会成功返回 200 或抓取到大量错误文本。此时行数远超 15 行,sed 会将 HTML 标签处理为 set_real_ip_from <html>; 并直接写入正式配置文件。
  • 后果:由于是先覆盖文件再执行 nginx -t,一旦语法错误,虽然脚本会退出,但错误的配置已经残留在生产目录中。当下一次容器重启或别处触发重载时,OpenResty 将直接崩溃挂掉。

2. 行政权重偏见:容器名称硬编码

  • 现象:脚本中硬编码了 CONTAINER_NAME="openresty-test"
  • 风险:在进行版本升级、容器重建或跨机器迁移时,容器名后缀(如 test)是由系统随机或按规则生成的。一旦后缀变更,脚本的 docker exec 将全部失效,导致实时同步链条彻底断裂。

3. 垂直拉升敏感度缺失:缺乏原子化回滚

  • 现象:配置校验失败后,仅输出了“语法错误!”,没有对已污染的 $CONF_FILE 进行任何恢复操作。高度敏感的系统需要具备“毫秒级就地恢复”的能力,容不得半点人工介入的延时。

4. 链路盲区:WordPress 容器的“最后一公里”

  • 现象:只解决了 OpenResty 层的 IP 信任,忽略了 OpenResty 到 WordPress 容器之间的反向代理逻辑。
  • 风险:如果 OpenResty 传给 WordPress 的是其自身的容器内网 IP(如 172.18.0.x),WordPress 后台记录的依然是错误 IP。

二、 强化版自动同步脚本 (防御重构版)

基于以上分析,对脚本进行重构。此版本实现了数据清洗动态容器识别原子化备份回滚以及严格格式熔断

#!/bin/bash
# ==============================================================================
# 强化版 Cloudflare IP 自动同步与黑天鹅防御脚本
# 适用环境: OpenResty / WordPress 容器化架构
# ==============================================================================

CONF_FILE="/opt/apps/openresty/openresty/conf/conf.d/cloudflare_ips.conf"
BACKUP_FILE="/tmp/cloudflare_ips.conf.bak"
TEMP_FILE="/tmp/cloudflare_ips.conf.tmp"

# 1. 动态获取 OpenResty 容器名消除硬编码偏见增强环境自适应
CONTAINER_NAME=$(docker ps --filter "name=-openresty" --format "{{.Names}}" | head -n 1)
if [ -z "$CONTAINER_NAME" ]; then
    echo "[错误] 未检测到运行中的 OpenResty 容器,同步终止。"
    exit 1
fi

# 2. 实时拉取动态 IP 数据
echo "[动态同步] 开始从官方源获取最新数据..."
RAW_V4=$(curl -s -m 15 https://www.cloudflare.com/ips-v4)
RAW_V6=$(curl -s -m 15 https://www.cloudflare.com/ips-v6)

# 3. 黑天鹅防御严格的正则表达式清洗过滤任何非严格 CIDR 格式的脏数据/HTML
VALID_V4=$(echo "$RAW_V4" | grep -E '^([0-9]{1,3}\.){3}[0-9]{1,3}/[0-9]+$')
VALID_V6=$(echo "$RAW_V6" | grep -E '^([0-9a-fA-F]{0,4}:){1,7}[0-9a-fA-F]{0,4}/[0-9]+$')

COUNT_V4=$(echo "$VALID_V4" | grep -c '^' || echo 0)
COUNT_V6=$(echo "$VALID_V6" | grep -c '^' || echo 0)

# 4. 提高敏感度的多维熔断机制不仅看总行数还要确保 v4/v6 核心资产数据完整
if [ "$COUNT_V4" -lt 10 ] || [ "$COUNT_V6" -lt 5 ]; then
    echo "[熔断触发] 提取到有效的 IPv4($COUNT_V4) 或 IPv6($COUNT_V6) 数量不足,疑为异常数据,取消本次同步。"
    exit 1
fi

# 5. 构造临时配置文件
{
    echo "# =================================================="
    echo "# [全局防御] Cloudflare 真实 IP 透传信任链 (由脚本自动维护)"
    echo "# 最新数据同步时间: $(date '+%Y-%m-%d %H:%M:%S')"
    echo "# =================================================="
    echo "real_ip_header CF-Connecting-IP;"
    echo "real_ip_recursive on;"
    echo ""
    echo "$VALID_V4" | sed -e 's/^/set_real_ip_from /' -e 's/$/;/'
    echo ""
    echo "$VALID_V6" | sed -e 's/^/set_real_ip_from /' -e 's/$/;/'
} > $TEMP_FILE

# 6. 安全备份现有生产配置(防患未然的后退一步)
if [ -f "$CONF_FILE" ]; then
    cp "$CONF_FILE" "$BACKUP_FILE"
fi

# 7. 原子替换并实施垂直拉升校验
cat $TEMP_FILE > $CONF_FILE

docker exec $CONTAINER_NAME nginx -t > /dev/null 2>&1
if [ $? -eq 0 ]; then
    # 校验通过,实时重载生效
    docker exec $CONTAINER_NAME nginx -s reload
    echo "[成功] 最新数据已平滑同步,容器 [$CONTAINER_NAME] 配置成功重载。"
    rm -f $TEMP_FILE $BACKUP_FILE
else
    # 校验失败,实施毫秒级防御性回滚,保护源站不崩溃
    echo "[核心警告] Nginx 语法校验失败!检测到潜在配置污染,启动安全回滚!"
    if [ -f "$BACKUP_FILE" ]; then
        cat $BACKUP_FILE > $CONF_FILE
        docker exec $CONTAINER_NAME nginx -s reload
        echo "[回滚] 已成功恢复至上一次稳定版配置。"
    else
        rm -f $CONF_FILE
        echo "[应急] 无历史备份,已清空故障配置文件以确保服务可启动。"
    fi
    rm -f $TEMP_FILE
    exit 1
fi

三、 正反面攻防多角度延伸分析

为了确保 WordPress 后台拿到的 IP 100% 准确,必须跳出脚本本身,从整体架构的攻防两端进行全盘审视:

1. 正面攻防:OpenResty 至 WordPress 的信任链传递

在 OpenResty 的 WordPress 站点的 proxy.conflocation / 块中,必须显式向上游(WordPress 容器)传递已被清洗修复的 $remote_addr

请确保包含以下配置:

proxy_set_header Host $host;
proxy_set_header X-Real-IP $remote_addr;
proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
proxy_set_header X-Forwarded-Proto $scheme;

逻辑闭环:当配置了 real_ip_recursive on; 且匹配到 Cloudflare IP 后,Nginx 的 $remote_addr 变量会被自动替换为客户端的真实访客 IP。此时再通过 X-Real-IP 传给 WordPress,WordPress 就能直接获取到准确的访客数据。

2. WordPress 侧的多角度兼容(黑天鹅兜底)

部分 WordPress 插件或主题在多层反向代理下,可能会直接抓取 HTTP_X_FORWARDED_FOR 的首位或末位。如果发现后台登录 IP 仍然显示为 Docker 网关 IP(如 172.x.x.x),需要在 WordPress 根目录的 wp-config.php 中,在 wp-settings.php 引入之前,加入如下垂直干预代码:

// 强化层:识别反向代理带来的真实IP
if (isset($_SERVER['HTTP_X_REAL_IP'])) {
    $_SERVER['REMOTE_ADDR'] = $_SERVER['HTTP_X_REAL_IP'];
} elseif (isset($_SERVER['HTTP_X_FORWARDED_FOR'])) {
    // 存在多级代理时,合理拆分并取第一个非受信任的合法IP
    $arr = explode(',', $_SERVER['HTTP_X_FORWARDED_FOR']);
    $_SERVER['REMOTE_ADDR'] = trim($arr[0]);
}

3. 反面被动防御:绕过 CDN 直连源站攻击

  • 潜在风险:黑客如果通过扫描 IP 段直接发现了你的 VPS 公网 IP,就可以绕过 Cloudflare 直接向 OpenResty 发起请求。此时,即便写了 CF-Connecting-IP 透传,黑客也可以在 Header 中伪造任意的 CF-Connecting-IP 注入虚假日志,实施投毒或绕过应用层审计。
  • 发散防御对策
    1. Nginx 默认空主机头兜底:禁止通过 IP 直接访问网站,未绑定域名的请求直接返回 444。
    2. 源站防火墙闭环:如果业务完全托管于 Cloudflare,建议配合 vps 的系统防火墙(UFW/Firewalld),设置 只允许来自 Cloudflare IP 段的流量访问 VPS 的 80/443 端口。这样即使源站 IP 泄露,非 CF 节点的直接扫描也会在网络层被丢弃,达成终极的主动防御。

docker入门概述-(2)-能干嘛

一、之前的虚拟机技术

虚拟机(virtual machine)就是带环境安装的一种解决方案。
它可以在一种操作系统里面运行另一种操作系统,比如在Windows 系统里面运行Linux 系统。应用程序对此毫无感知,因为虚拟机看上去跟真实系统一模一样,而对于底层系统来说,虚拟机就是一个普通文件,不需要了就删掉,对其他部分毫无影响。这类虚拟机完美的运行了另一套系统,能够使应用程序,操作系统和硬件三者之间的逻辑不变。


虚拟机的缺点:
1    资源占用多                2    冗余步骤多                  3    启动慢

二、容器虚拟化技术

由于前面虚拟机存在这些缺点,Linux 发展出了另一种虚拟化技术:Linux 容器(Linux Containers,缩写为 LXC)。
Linux 容器不是模拟一个完整的操作系统 ,而是对进程进行隔离。有了容器,就可以将软件运行所需的所有资源打包到一个隔离的容器中。容器与虚拟机不同,不需要捆绑一整套操作系统,只需要软件工作所需的库资源和设置。系统因此而变得高效轻量并保证部署在任何环境中的软件都能始终如一地运行。
比较了 Docker 和传统虚拟化方式的不同之处:
*传统虚拟机技术是虚拟出一套硬件后,在其上运行一个完整操作系统,在该系统上再运行所需应用进程;
*而容器内的应用进程直接运行于宿主的内核,容器内没有自己的内核, 而且也没有进行硬件虚拟 。因此容器要比传统虚拟机更为轻便。
* 每个容器之间互相隔离,每个容器有自己的文件系统 ,容器之间进程不会相互影响,能区分计算资源。

三、Docker虚拟化优势

图 1.4.1.1 – 传统虚拟化
图 1.4.1.2 – Docker

对比传统虚拟机总结

特性 容器 虚拟机
启动 秒级 分钟级
硬盘使用 一般为 MB 一般为 GB
性能 接近原生 弱于
系统支持量 单机支持上千个容器 一般几十个

1、更高效的利用系统资源【比虚拟机】

由于容器不需要进行硬件虚拟以及运行完整操作系统等额外开销,Docker 对系统资源的利用率更高。无论是应用执行速度、内存损耗或者文件存储速度,都要比传统虚拟机技术更高效。因此,相比虚拟机技术,一个相同配置的主机,往往可以运行更多数量的应用。

2、更快速的启动时间【比虚拟机】

传统的虚拟机技术启动应用服务往往需要数分钟,而 Docker 容器应用,由于直接运行于宿主内核,无需启动完整的操作系统,因此可以做到秒级、甚至毫秒级的启动时间。大大的节约了开发、测试、部署的时间。

3、更轻松的维护和扩展【比虚拟机】

Docker 使用的分层存储以及镜像的技术,使得应用重复部分的复用更为容易,也使得应用的维护更新更加简单,基于基础镜像进一步扩展镜像也变得非常简单。此外,Docker 团队同各个开源项目团队一起维护了一大批高质量的 官方镜像,既可以直接在生产环境使用,又可以作为基础进一步定制,大大的降低了应用服务的镜像制作成本。

4、一致的运行环境【同虚拟机】

开发过程中一个常见的问题是环境一致性问题。由于开发环境、测试环境、生产环境不一致,导致有些 bug 并未在开发过程中被发现。而 Docker 的镜像提供了除内核外完整的运行时环境,确保了应用运行环境一致性,从而不会再出现 「这段代码在我机器上没问题啊」 这类问题。

5、持续交付和部署【同虚拟机】

对开发和运维(DevOps)人员来说,最希望的就是一次创建或配置,可以在任意地方正常运行。

使用 Docker 可以通过定制应用镜像来实现持续集成、持续交付、部署。开发人员可以通过 Dockerfile 来进行镜像构建,并结合 持续集成(Continuous Integration) 系统进行集成测试,而运维人员则可以直接在生产环境中快速部署该镜像,甚至结合 持续部署(Continuous Delivery/Deployment) 系统进行自动部署。

而且使用 Dockerfile 使镜像构建透明化,不仅仅开发团队可以理解应用运行环境,也方便运维团队理解应用运行所需条件,帮助更好的生产环境中部署该镜像。

6、更轻松的迁移【同虚拟机】

由于 Docker 确保了执行环境的一致性,使得应用的迁移更加容易。Docker 可以在很多平台上运行,无论是物理机、虚拟机、公有云、私有云,甚至是笔记本,其运行结果是一致的。因此用户可以很轻易的将在一个平台上运行的应用,迁移到另一个平台上,而不用担心运行环境的变化导致应用无法正常运行的情况。

四、docker应用举例

携程 docker 使用情况:

https://www.v2ex.com/t/404193

今天心情还可以,就放点干货节约点你搜索的时间。

.Net 大户的选择:Windows Container 在携程的应用
https://www.v2ex.com/t/335653

Virtualization Documentation
https://docs.microsoft.com/zh-cn/virtualization/#pivot=main&panel=containers

https://yq.aliyun.com/articles/62375

docker入门概述-(1)-是什么

惨痛教训:

docker的镜像相当于是一个部署环境,主要用于生产环境,不适合开发环境,因为第一次在镜像上安装完软件后,第二次打开镜像发现,自己安装的软件都不在了。所以每次自己装完软件后,都需要打包成新的镜像。

一、docker简史

Docker 最初是 dotCloud 公司创始人 Solomon Hykes 在法国期间发起的一个公司内部项目,它是基于 dotCloud 公司多年云服务技术的一次革新,并于 2013 年 3 月以 Apache 2.0 授权协议开源,主要项目代码在 GitHub 上进行维护。Docker 项目后来还加入了 Linux 基金会,并成立推动 开放容器联盟(OCI)

Docker 自开源后受到广泛的关注和讨论,至今其 GitHub 项目已经超过 4 万 6 千个星标和一万多个 fork。甚至由于 Docker 项目的火爆,在 2013 年底,dotCloud 公司决定改名为 Docker。Docker 最初是在 Ubuntu 12.04 上开发实现的;Red Hat 则从 RHEL 6.5 开始对 Docker 进行支持;Google 也在其 PaaS 产品中广泛应用 Docker。

Docker 使用 Google 公司推出的 Go 语言 进行开发实现,基于 Linux 内核的 cgroupnamespace,以及AUFS 类的 Union FS 等技术,对进程进行封装隔离,属于 操作系统层面的虚拟化技术。由于隔离的进程独立于宿主和其它的隔离的进程,因此也称其为容器。最初实现是基于 LXC,从 0.7 版本以后开始去除 LXC,转而使用自行开发的 libcontainer,从 1.11 开始,则进一步演进为使用 runC 和 containerd

Docker 在容器的基础上,进行了进一步的封装,从文件系统、网络互联到进程隔离等等,极大的简化了容器的创建和维护。使得 Docker 技术比虚拟机技术更为轻便、快捷。

二、docker出现原因

一款产品从开发到上线,从操作系统,到运行环境,再到应用配置。作为开发+运维之间的协作我们需要关心很多东西,这也是很多互联网公司都不得不面对的问题,特别是各种版本的迭代之后,不同版本环境的兼容,对运维人员都是考验
Docker之所以发展如此迅速,也是因为它对此给出了一个标准化的解决方案。
环境配置如此麻烦,换一台机器,就要重来一次,费力费时。很多人想到,能不能从根本上解决问题, 软件可以带环境安装? 也就是说, 安装的时候,把原始环境一模一样地复制过来。开发人员利用 Docker 可以消除协作编码时“在我的机器上可正常工作”的问题。


之前在服务器配置一个应用的运行环境,要安装各种软件,就拿尚硅谷电商项目的环境来说吧,Java/Tomcat/MySQL/JDBC驱动包等。安装和配置这些东西有多麻烦就不说了,它还不能跨平台。假如我们是在 Windows 上安装的这些环境,到了 Linux 又得重新装。况且就算不跨操作系统,换另一台同样操作系统的服务器,要移植应用也是非常麻烦的。

传统上认为,软件编码开发/测试结束后,所产出的成果即是程序或是能够编译执行的二进制字节码等(java为例)。而为了让这些程序可以顺利执行,开发团队也得准备完整的部署文件,让维运团队得以部署应用程式, 开发需要清楚的告诉运维部署团队,用的全部配置文件+所有软件环境。不过,即便如此,仍然常常发生部署失败的状况 。Docker镜像的设计, 使得Docker得以打破过去「程序即应用」的观念。透过镜像(images)将作业系统核心除外,运作应用程式所需要的系统环境,由下而上打包,达到应用程式跨平台间的无缝接轨运作。

三、docker介绍

Docker是基于Go语言实现的云开源项目。
Docker的主要目标是“Build,Ship and Run Any App,Anywhere”,也就是通过对应用组件的封装、分发、部署、运行等生命周期的管理,使用户的APP(可以是一个WEB应用或数据库应用等等)及其运行环境能够做到 “一次封装,到处运行”


Linux 容器技术的出现就解决了这样一个问题,而 Docker 就是在它的基础上发展过来的。将应用运行在 Docker 容器上面,而 Docker 容器在任何操作系统上都是一致的,这就实现了跨平台、跨服务器。 只需要一次配置好环境,换到别的机子上就可以一键部署好,大大简化了操作。

总结:
解决了运行环境和配置问题软件容器,方便做持续集成并有助于整体发布的容器虚拟化技术。

四、docker大白话总结

1、Docker 不是虚拟机,和宿主共享内核的,所以 Linux 内核下的 Docker 只能装linux 的 Container。
2、Windows container 目前支持的系统是 Windows server 2016 ,这个版本是去年 10 月份正式发布的(携程是国内比较早的一批拿到了他们的 RTM 版本),支持两类 server ,一类是 server core ,另一类是 nano server 。 nano server 是微软比较推荐的一类服务器系统,启动非常快,可以大幅度缩短计划内维护宕机时间,通常几秒钟就起来了,不包含硬件检测的时间,几十秒都能够起来。
简单来说:
linux下面的docker只支持linux 容器,Windows下面的类docker只支持Windows容器。
因为linux 容器可以 通过 XWindows 协议 进行图像 传递,所以  linux容器 可以 运行GUI软件。

Does Docker for Windows Server 2016 support GUI-based applications? 

At this time, no, Docker for Windows Server 2016 does not support GUI-based applications. This is because Windows containers are based on either Nano or Core Server, which do not allow users to start up a GUI-based interface nor RDP into the container.

五、docker下载

docker官网:http://www.docker.com<
docker中文网站:https://www.docker-cn.com/
Docker Hub官网: https://hub.docker.com/

六、dock学习路线图

 

七、dock参考书

https://yeasy.gitbooks.io/docker_practice/content/introduction/what.htmlhttps://github.com/yeasy/docker_practice/blob/master/SUMMARY.md

docker安装配置-centos6与centos7

一、提前说明

CentOS Docker 安装
Docker支持以下的CentOS版本:
CentOS 7 (64-bit)
CentOS 6.5 (64-bit) 或更高的版本

前提条件
目前,CentOS 仅发行版本中的内核支持 Docker。
Docker 运行在 CentOS 7 上,要求系统为64位、系统内核版本为 3.10 以上。
Docker 运行在 CentOS-6.5 或更高的版本的 CentOS 上,要求系统为64位 、系统内核版本为 2.6.32-431 或者更高版本。

查看自己的内核
uname命令用于打印当前系统相关信息(内核版本号、硬件架构、主机名称和操作系统类型等)。

### 查看内核版本
[ad@book]# uname -r
4.18.8-x86_64-linode117

### 查看版本号, 命令也可以是 cat /etc/redhat-release
[ad@book]# cat /etc/centos-release
CentOS Linux release 7.5.1804 (Core)

二、centos6安装docker

1、Docker使用EPEL发布,RHEL系的OS首先要确保已经持有EPEL仓库,否则先检查OS的版本,然后安装相应的EPEL包。
yum install -y epel-release

2、安装docker
yum install -y docker-io

3、安装后的配置文件:【后面需要用到,主要是为了配置镜像加速】
/etc/sysconfig/docker

4、启动Docker后台服务:
service docker start

5、验证
docker version

6、配置镜像加速地址【网易云地址也同理】

鉴于国内网络问题,后续拉取 Docker 镜像十分缓慢,我们可以需要配置加速器来解决, 
我使用的是阿里云的本人自己账号的镜像地址(需要自己注册有一个属于你自己的): https://xxxx.mirror.aliyuncs.com 
  
vim /etc/sysconfig/docker 
   将获得的自己账户下的阿里云加速地址配置进 
other_args="--registry-mirror=https://你自己的账号加速信息.mirror.aliyuncs.com" 

7、重新启动Docker后台服务:
service docker restart

8、Linux 系统下配置完加速器需要检查是否生效
ps -ef|grep docker

三、centos7安装docker

1、yum安装gcc相关
yum -y install gcc
yum -y install gcc-c++

2、卸载旧版本
旧方法:yum -y remove docker docker-common docker-selinux docker-engine
新方法:yum remove docker \ 
                  docker-client \ 
                  docker-client-latest \ 
                  docker-common \ 
                  docker-latest \ 
                  docker-latest-logrotate \ 
                  docker-logrotate \ 
                  docker-selinux \ 
                  docker-engine-selinux \ 
                  docker-engine 

3、安装需要的软件包 yum install -y yum-utils device-mapper-persistent-data lvm2

4、设置stable镜像仓库  
海外:yum-config-manager --add-repo https://download.docker.com/linux/centos/docker-ce.repo
国内:yum-config-manager --add-repo http://mirrors.aliyun.com/docker-ce/linux/centos/docker-ce.repo

5、更新yum软件包索引  
yum makecache fast

6、安装DOCKER CE 版本 
yum -y install docker-ce

7、启动docker   
systemctl start docker

8、测试
docker version

9、配置镜像加速
mkdir -p /etc/docker
vim  /etc/docker/daemon.json     
=================下面是配置文件==================
#网易云 
{"registry-mirrors": ["http://hub-mirror.c.163.com"] } 

 #阿里云 
{ 
  "registry-mirrors": ["https://{自已的编码}.mirror.aliyuncs.com"] 
} 
=================上面是配置文件==================

systemctl daemon-reload
systemctl restart docker

10、卸载
systemctl stop docker 
yum -y remove docker-ce
rm -rf /var/lib/docker

 

docker入门概述-(3)-docker原理

一、Docker是怎么工作的

Docker是一个Client-Server结构的系统,Docker守护进程运行在主机上, 然后通过Socket连接从客户端访问,守护进程从客户端接受命令并管理运行在主机上的容器 。 容器,是一个运行时环境,就是我们前面说到的集装箱。

二、为什么Docker比较比VM快

1、docker有着比虚拟机更少的抽象层。由于docker不需要Hypervisor实现硬件资源虚拟化,运行在docker容器上的程序直接使用的都是实际物理机的硬件资源。因此在CPU、内存利用率上docker将会在效率上有明显优势。

2、docker利用的是宿主机的内核,而不需要Guest OS。因此,当新建一个容器时,docker不需要和虚拟机一样重新加载一个操作系统内核。仍而避免引寻、加载操作系统内核返个比较费时费资源的过程,当新建一个虚拟机时,虚拟机软件需要加载Guest OS,返个新建过程是分钟级别的。而docker由于直接利用宿主机的操作系统,则省略了返个过程,因此新建一个docker容器只需要几秒钟。

三、Docker的基本组成

1、镜像(image)
Docker 镜像(Image)就是一个 只读 的模板。镜像可以用来创建 Docker 容器, 一个镜像可以创建很多容器 。
容器与镜像的关系,类似于面向对象编程中的对象与类。

Docker 面向对象
容器 对象
镜像

2、容器(container)
1、Docker 利用容器(Container)独立运行的一个或一组应用。 容器是用镜像创建的运行实例 。
2、它可以被启动、开始、停止、删除。每个容器都是相互隔离的、保证安全的平台。
3、可以把容器看做是一个简易版的 Linux 环境(包括root用户权限、进程空间、用户空间和网络空间等)和运行在其中的应用程序。
4、容器的定义和镜像几乎一模一样,也是一堆层的统一视角,唯一区别在于容器的最上面那一层是可读可写的。

3、仓库(repository)
仓库(Repository)是 集中存放镜像 文件的场所。
仓库(Repository)和仓库注册服务器(Registry)是有区别的。仓库注册服务器上往往存放着多个仓库,每个仓库中又包含了多个镜像,每个镜像有不同的标签(tag)。

仓库分为公开仓库(Public)和私有仓库(Private)两种形式。
最大的公开仓库是 Docker Hub(https://hub.docker.com/) , 存放了数量庞大的镜像供用户下载。国内的公开仓库包括阿里云 、网易云 等

总结:需要正确的理解仓储/镜像/容器这几个概念:

Docker 本身是一个容器运行载体或称之为管理引擎。我们把应用程序和配置依赖打包好形成一个可交付的运行环境,这个打包好的运行环境就似乎 image镜像文件。只有通过这个镜像文件才能生成 Docker 容器。image 文件可以看作是容器的模板。Docker 根据 image 文件生成容器的实例。同一个 image 文件,可以生成多个同时运行的容器实例。

*  image 文件生成的容器实例,本身也是一个文件,称为镜像文件。
*  一个容器运行一种服务,当我们需要的时候,就可以通过docker客户端创建一个对应的运行实例,也就是我们的容器 。
* 至于仓储,就是放了一堆镜像的地方,我们可以把镜像发布到仓储中,需要的时候从仓储中拉下来就可以了。

四、Docker运行流程


Docker测试运行 hello-world) 流程:


输出这段提示以后,hello world就会停止运行,容器自动终止。很重要的要说明的一点: Docker容器后台运行,就必须有一个前台进程。


在run命令后加执行脚本命令,比如
docker run -d --name=test test:2.0 /bin/bash -c /home/test.sh
然后容器状态就是Exited,之后也无法再启动容器。
但是commit容器后再登陆进去,发现脚本确实执行了。
能不能既执行脚本还让容器处于运行状态,求解?是我命令不对吗?

你没理解docker的原理。你的脚本只是一次性执行,自然自行完毕就退出了。想让容器一直处于running状态,那么你的程序就不可以退出,一直运行。比如ping www.baidu.com【注意要想让容器一直运行,则容器需要一个前台进程】