大家好，今天我们来学习一些在你使用 Docker 之前需要了解的重要的 Docker 命令。Docker 是一个开源项目，提供了一个可以打包、装载和运行任何应用的轻量级容器的开放平台。它没有语言支持、框架和打包系统的限制，从小型的家用电脑到高端服务器，在何时何地都可以运行。这使它们可以不依赖于特定软件栈和供应商，像一块块积木一样部署和扩展网络应用、数据库和后端服务。

Docker 命令简单易学，也很容易实现或实践。这是一些你运行 Docker 并充分利用它需要知道的简单 Docker 命令。

1. 拉取 Docker 镜像

由于容器是由 Docker 镜像构建的，首先我们需要拉取一个 docker 镜像来开始。我们可以从 Docker Registry Hub 获取所需的 docker 镜像。在我们使用 pull 命令拉取任何镜像之前，为了避免 pull 命令的一些恶意风险，我们需要保护我们的系统。为了保护我们的系统不受这个风险影响，我们需要添加 127.0.0.1 index.docker.io 到 /etc/hosts 条目。我们可以通过使用喜欢的文本编辑器完成。

# nano /etc/hosts

现在，增加下面的一行到文件并保存退出。

127.0.0.1 index.docker.io

要拉取一个 docker 镜像，我们需要运行下面的命令。

# docker pull registry.hub.docker.com/busybox

我们可以检查本地是否有可用的 Docker 镜像。

# docker images

2. 运行 Docker 容器

现在，成功地拉取要求的或所需的 Docker 镜像之后，我们当然想运行这个 Docker 镜像。我们可以用 docker run 命令在镜像上运行一个 docker 容器。在 Docker 镜像上运行一个 docker 容器时我们有很多选项和标记。我们使用 -t 和 -i 选项来运行一个 docker 镜像并进入容器，如下面所示。

# docker run -it busybox

从上面的命令中，我们进入了容器并可以通过交互 shell 访问它的内容。我们可以键入 Ctrl-D 从shell中退出。

现在，在后台运行容器，我们用 -d 标记分离 shell，如下所示。

# docker run -itd busybox

如果你想进入到一个正在运行的容器，我们可以使用 attach 命令加一个容器 id。可以使用 docker ps 命令获取容器 id。

# docker attach <container id>

3. 检查容器运行

不论容器是否运行，查看日志文件都很简单。我们可以使用下面的命令去检查是否有 docker 容器在实时运行。

# docker ps

现在，查看正在运行的或者之前运行的容器的日志，我们需要运行以下的命令。

# docker ps -a

4. 查看容器信息

我们可以使用 inspect 命令查看一个 Docker 容器的各种信息。

# docker inspect <container id>

5. 杀死或删除

我们可以使用容器 id 杀死或者停止 docker 容器（进程），如下所示。

# docker stop <container id>

要停止每个正在运行的容器，我们需要运行下面的命令。

# docker kill $(docker ps -q)

现在，如我我们希望移除一个 docker 镜像，运行下面的命令。

# docker rm <container id>

如果我们想一次性移除所有 docker 镜像，我们可以运行以下命令。

# docker rm $(docker ps -aq)

结论

这些都是充分学习和使用 Docker 很基本的 docker 命令。有了这些命令，Docker 变得很简单，可以提供给最终用户一个易用的计算平台。根据上面的教程，任何人学习 Docker 命令都非常简单。如果你有任何问题，建议，反馈，请写到下面的评论框中以便我们改进和更新内容。多谢！ 希望你喜欢 :-)

via: http://linoxide.com/linux-how-to/important-docker-commands/

作者：Arun Pyasi 译者：ictlyh 校对：wxy

本文由 LCTT 原创翻译，Linux中国 荣誉推出

ctop是一个新的基于命令行的工具，它可用于在容器层级监控进程。容器通过利用控制器组（cgroup）的资源管理功能，提供了操作系统层级的虚拟化环境。该工具从cgroup收集与内存、CPU、块输入输出的相关数据，以及拥有者、开机时间等元数据，并以人性化的格式呈现给用户，这样就可以快速对系统健康状况进行评估。基于所获得的数据，它可以尝试推测下层的容器技术。ctop也有助于在低内存环境中检测出谁在消耗大量的内存。

功能

ctop的一些功能如下：

• 收集CPU、内存和块输入输出的度量值
• 收集与拥有者、容器技术和任务统计相关的信息
• 通过任意栏对信息排序
• 以树状视图显示信息
• 折叠/展开cgroup树
• 选择并跟踪cgroup/容器
• 选择显示数据刷新的时间窗口
• 暂停刷新数据
• 检测基于systemd、Docker和LXC的容器

• 基于Docker和LXC的容器的高级特性

  • 打开/连接shell以进行深度诊断
  • 停止/杀死容器类型

安装

ctop是由Python写成的，因此，除了需要Python 2.6或其更高版本外（带有内建的光标支持），别无其它外部依赖。推荐使用Python的pip进行安装，如果还没有安装pip，请先安装，然后使用pip安装ctop。

注意：本文样例来自Ubuntu（14.10）系统

$ sudo apt-get install python-pip

使用pip安装ctop：

poornima@poornima-Lenovo:~$ sudo pip install ctop

[sudo] password for poornima:

Downloading/unpacking ctop

Downloading ctop-0.4.0.tar.gz

Running setup.py (path:/tmp/pip_build_root/ctop/setup.py) egg_info for package ctop

Installing collected packages: ctop

Running setup.py install for ctop

changing mode of build/scripts-2.7/ctop from 644 to 755

changing mode of /usr/local/bin/ctop to 755

Successfully installed ctop

Cleaning up...

如果不选择使用pip安装，你也可以使用wget直接从github安装：

poornima@poornima-Lenovo:~$ wget https://raw.githubusercontent.com/yadutaf/ctop/master/cgroup_top.py -O ctop

--2015-04-29 19:32:53-- https://raw.githubusercontent.com/yadutaf/ctop/master/cgroup_top.py

Resolving raw.githubusercontent.com (raw.githubusercontent.com)... 199.27.78.133

Connecting to raw.githubusercontent.com (raw.githubusercontent.com)|199.27.78.133|:443... connected.

HTTP request sent, awaiting response... 200 OK Length: 27314 (27K) [text/plain]

Saving to: ctop

100%[======================================>] 27,314 --.-K/s in 0s

2015-04-29 19:32:59 (61.0 MB/s) - ctop saved [27314/27314]

poornima@poornima-Lenovo:~$ chmod +x ctop

如果cgroup-bin包没有安装，你可能会碰到一个错误消息，你可以通过安装需要的包来解决。

poornima@poornima-Lenovo:~$ ./ctop

[ERROR] Failed to locate cgroup mountpoints.

poornima@poornima-Lenovo:~$ sudo apt-get install cgroup-bin

下面是ctop的输出样例：

ctop屏幕

用法选项

ctop [--tree] [--refresh=] [--columns=] [--sort-col=] [--follow=] [--fold=, ...] ctop (-h | --help)

当你进入ctop屏幕，可使用上（↑）和下（↓）箭头键在容器间导航。点击某个容器就选定了该容器，按q或Ctrl+C退出该容器。

现在，让我们来看看上面列出的那一堆选项究竟是怎么用的吧。

-h / --help - 显示帮助信息

poornima@poornima-Lenovo:~$ ctop -h
Usage: ctop [options]

Options:
-h, --help show this help message and exit
--tree show tree view by default
--refresh=REFRESH Refresh display every <seconds>
--follow=FOLLOW Follow cgroup path
--columns=COLUMNS List of optional columns to display. Always includes
'name'
--sort-col=SORT_COL Select column to sort by initially. Can be changed
dynamically.

--tree - 显示容器的树形视图

默认情况下，会显示列表视图

当你进入ctop窗口，你可以使用F5按钮在树状/列表视图间切换。

--fold= - 在树形视图中折叠名为 的 cgroup 路径

该选项需要与 --tree 选项组合使用。

例子: ctop --tree --fold=/user.slice

'ctop --fold'的输出

在ctop窗口中，使用+/-键来展开或折叠子cgroup。

注意：在写本文时，pip仓库中还没有最新版的ctop，还不支持命令行的‘--fold’选项

--follow= - 跟踪/高亮 cgroup 路径

例子: ctop --follow=/user.slice/user-1000.slice

正如你在下面屏幕中所见到的那样，带有“/user.slice/user-1000.slice”路径的cgroup被高亮显示，这让用户易于跟踪，就算显示位置变了也一样。

'ctop --follow'的输出

你也可以使用‘f’按钮来让高亮的行跟踪选定的容器。默认情况下，跟踪是关闭的。

--refresh= - 按指定频率刷新显示，默认1秒

这对于按每用户需求来显示改变刷新率时很有用。使用‘p’按钮可以暂停刷新并选择文本。

--columns= - 限定只显示选定的列。'name' 需要是第一个字段，其后跟着其它字段。默认情况下，字段包括：owner, processes,memory, cpu-sys, cpu-user, blkio, cpu-time

例子: ctop --columns=name,owner,type,memory

'ctop --column'的输出

-sort-col= - 按指定的列排序。默认使用 cpu-user 排序

例子: ctop --sort-col=blkio

如果有Docker和LXC支持的额外容器，跟踪选项也是可用的：

press 'a' - 接驳到终端输出

press 'e' - 打开容器中的一个 shell

press 's' - 停止容器 (SIGTERM)

press 'k' - 杀死容器 (SIGKILL)

目前 Jean-Tiare Le Bigot 还在积极开发 ctop 中，希望我们能在该工具中见到像本地 top 命令一样的特性 :-)

via: http://linoxide.com/how-tos/monitor-linux-containers-performance/

作者：B N Poornima 译者：GOLinux 校对：wxy

本文由 LCTT 原创翻译，Linux中国 荣誉推出

欢迎大家，今天我们学习一下 docker 基本映像以及如何构建我们自己的 docker 基本映像。Docker 是一个开源项目，提供了一个可以打包、装载和运行任何应用的轻量级容器的开放平台。它没有语言支持、框架和打包系统的限制，从小型的家用电脑到高端服务器，在何时何地都可以运行。这使它们可以不依赖于特定软件栈和供应商，像一块块积木一样部署和扩展网络应用、数据库和后端服务。

Docker 映像是不可更改的只读层。Docker 使用 Union File System 在只读文件系统上增加可读写的文件系统，但所有更改都发生在最顶层的可写层，而其下的只读映像上的原始文件仍然不会改变。由于映像不会改变，也就没有状态。基本映像是没有父类的那些映像。Docker 基本映像主要的好处是它允许我们有一个独立运行的 Linux 操作系统。

下面是我们如何可以创建自定义的基本映像的方式。

1. 使用 Tar 创建 Docker 基本映像

我们可以使用 tar 构建我们自己的基本映像，我们从一个运行中的 Linux 发行版开始，将其打包为基本映像。这过程可能会有些不同，它取决于我们打算构建的发行版。在 Debian 发行版中，已经预带了 debootstrap。在开始下面的步骤之前，我们需要安装 debootstrap。debootstrap 用来获取构建基本系统需要的包。这里，我们构建基于 Ubuntu 14.04 "Trusty" 的映像。要完成这些，我们需要在终端或者 shell 中运行以下命令。

$ sudo debootstrap trusty trusty > /dev/null
$ sudo tar -C trusty -c . | sudo docker import - trusty

上面的命令为当前文件夹创建了一个 tar 文件并输出到标准输出中，"docker import - trusty" 通过管道从标准输入中获取这个 tar 文件并根据它创建一个名为 trusty 的基本映像。然后，如下所示，我们将运行映像内部的一条测试命令。

$  docker run trusty cat /etc/lsb-release

Docker GitHub Repo 中有一些允许我们快速构建基本映像的事例脚本.

2. 使用Scratch构建基本映像

在 Docker registry 中，有一个被称为 Scratch 的使用空 tar 文件构建的特殊库：

$ tar cv --files-from /dev/null | docker import - scratch

我们可以使用这个映像构建新的小容器：

FROM scratch
ADD script.sh /usr/local/bin/run.sh
CMD ["/usr/local/bin/run.sh"]

上面的 Dockerfile 文件来自一个很小的映像。这里，它首先从一个完全空的文件系统开始，然后它复制新建的 /usr/local/bin/run.sh 为 script.sh ，然后运行脚本 /usr/local/bin/run.sh。

结尾

这这个教程中，我们学习了如何构建一个开箱即用的自定义 Docker 基本映像。构建一个 docker 基本映像是一个很简单的任务，因为这里有很多已经可用的包和脚本。如果我们想要在里面安装想要的东西，构建 docker 基本映像非常有用。如果有任何疑问，建议或者反馈，请在下面的评论框中写下来。非常感谢！享受吧 :-)

via: http://linoxide.com/linux-how-to/2-ways-create-docker-base-image/

作者：Arun Pyasi 译者：ictlyh 校对：wxy

本文由 LCTT 原创翻译，Linux中国 荣誉推出

[TL;DR] 这是系列的第二篇文章，这系列讲述了我的公司如何把基础服务从PaaS迁移到Docker上

• 第一篇文章: 我谈到了接触Docker之前的经历；
• 第三篇文章: 我展示如何使创建镜像的过程自动化以及如何用Docker部署一个Rails应用。

为什么需要搭建一个私有的registry呢？嗯，对于新手来说，Docker Hub（一个Docker公共仓库）只允许你拥有一个免费的私有版本库（repo）。其他的公司也开始提供类似服务，但是价格可不便宜。另外，如果你需要用Docker部署一个用于生产环境的应用，恐怕你不希望将这些镜像放在公开的Docker Hub上吧！

这篇文章提供了一个非常务实的方法来处理搭建私有Docker registry时出现的各种错综复杂的情况。我们将会使用一个运行于DigitalOcean（之后简称为DO）的非常小巧的512MB VPS 实例。并且我会假定你已经了解了Docker的基本概念，因为我必须集中精力在复杂的事情上！

本地搭建

首先你需要安装boot2docker以及docker CLI。如果你已经搭建好了基本的Docker环境，你可以直接跳过这一步。

从终端运行以下命令（我假设你使用OS X，使用 HomeBrew 来安装相关软件，你可以根据你的环境使用不同的包管理软件来安装）:

brew install boot2docker docker  

如果一切顺利（想要了解搭建docker环境的完整指南，请参阅 http://boot2docker.io/） ，你现在就能够通过如下命令启动一个 Docker 运行于其中的虚拟机：

boot2docker up  

按照屏幕显示的说明，复制粘贴book2docker在终端输出的命令。如果你现在运行docker ps命令，终端将有以下显示。

CONTAINER ID        IMAGE               COMMAND             CREATED             STATUS              PORTS               NAMES  

好了，Docker已经准备就绪，这就够了，我们回过头去搭建registry。

创建服务器

登录进你的DO账号，选择一个预安装了Docker的镜像文件，创建一个新的Drople。（本文写成时选择的是 Image > Applications > Docker 1.4.1 on 14.04）

你将会以邮件的方式收到一个根用户凭证。登录进去，然后运行docker ps命令来查看系统状态。

搭建AWS S3

我们现在将使用Amazo Simple Storage Service（S3）作为我们registry/repository的存储层。我们将需要创建一个桶(bucket)以及用户凭证（user credentials）来允许我们的docker容器访问它。

登录到我们的AWS账号（如果没有，就申请一个http://aws.amazon.com/），在控制台选择S3（Simpole Storage Service）。

点击 Create Bucket，为你的桶输入一个名字（把它记下来，我们一会需要用到它），然后点击Create。

OK！我们已经搭建好存储部分了。

设置AWS访问凭证

我们现在将要创建一个新的用户。退回到AWS控制台然后选择IAM（Identity & Access Management)。

在dashboard的左边，点击Users。然后选择 Create New Users。

如图所示：

输入一个用户名（例如 docker-registry）然后点击Create。写下（或者下载csv文件）你的Access Key以及Secret Access Key。回到你的用户列表然后选择你刚刚创建的用户。

在Permission section下面，点击Attach User Policy。之后在下一屏，选择Custom Policy。

custom policy的内容如下：

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Sid": "SomeStatement",
      "Effect": "Allow",
      "Action": [
        "s3:*"
      ],
      "Resource": [
        "arn:aws:s3:::docker-registry-bucket-name/*",       
        "arn:aws:s3:::docker-registry-bucket-name"
      ]
    }
  ]
}

这个配置将允许用户（也就是regitstry）来对桶上的内容进行操作（读/写）（确保使用你之前创建AWS S3时使用的桶名）。总结一下：当你想把你的Docker镜像从你的本机推送到仓库中时，服务器就会将他们上传到S3。

安装registry

现在回过头来看我们的DO服务器，SSH登录其上。我们将要使用一个官方Docker registry镜像。

输入如下命令，开启registry。

docker run \  
         -e SETTINGS_FLAVOR=s3 \
         -e AWS_BUCKET=bucket-name \
         -e STORAGE_PATH=/registry \
         -e AWS_KEY=your_aws_key \
         -e AWS_SECRET=your_aws_secret \
         -e SEARCH_BACKEND=sqlalchemy \
         -p 5000:5000 \
         --name registry \
         -d \
         registry

Docker将会从Docker Hub上拉取所需的文件系统分层（fs layers）并启动守护容器（daemonised container）。

测试registry

如果上述操作奏效，你可以通过ping命令，或者查找它的内容来测试registry（虽然这个时候容器还是空的）。

我们的registry非常基础，而且没有提供任何“验明正身”的方式。因为添加身份验证可不是一件轻松事（至少我认为没有一种部署方法是简单的，像是为了证明你努力过似的），我觉得“查询/拉取/推送”仓库内容的最简单方法就是通过SSH通道的未加密连接（通过HTTP）。

打开SSH通道的操作非常简单：

ssh -N -L 5000:localhost:5000 root@your_registry.com

这条命令建立了一条从registry服务器（前面执行docker run命令的时候我们见过它）的5000号端口到本机的5000号端口之间的 SSH 管道连接。

如果你现在用浏览器访问 http://localhost:5000/v1/_ping，将会看到下面这个非常简短的回复。

{}

这个意味着registry工作正常。你还可以通过登录 http://localhost:5000/v1/search 来查看registry内容，内容相似：

{
  "num_results": 2,
  "query": "",
  "results": [
    {
      "description": "",
      "name": "username/first-repo"
    },
    {
      "description": "",
      "name": "username/second-repo"
    }
  ]
}

创建一个镜像

我们现在创建一个非常简单的Docker镜像，来检验我们新弄好的registry。在我们的本机上，用如下内容创建一个Dockerfile（这里只有一点代码，在下一篇文章里我将会展示给你如何将一个Rails应用绑定进Docker容器中。）：

#  ruby 2.2.0 的基础镜像
FROM ruby:2.2.0

MAINTAINER Michelangelo Chasseur <[email protected]>  

并创建它：

docker build -t localhost:5000/username/repo-name .  

localhost:5000这个部分非常重要：Docker镜像名的最前面一个部分将告知docker push命令我们将要把我们的镜像推送到哪里。在我们这个例子当中，因为我们要通过SSH管道连接远程的私有registry，localhost:5000精确地指向了我们的registry。

如果一切顺利，当命令执行完成返回后，你可以输入docker images命令来列出新近创建的镜像。执行它看看会出现什么现象？

推送到仓库

接下来是更好玩的部分。实现我所描述的东西着实花了我一点时间，所以如果你第一次读的话就耐心一点吧，跟着我一起操作。我知道接下来的东西会非常复杂（如果你不自动化这个过程就一定会这样），但是我保证到最后你一定都能明白。在下一篇文章里我将会使用到一大波shell脚本和Rake任务，通过它们实现自动化并且用简单的命令实现部署Rails应用。

你在终端上运行的docker命令实际上都是使用boot2docker虚拟机来运行容器及各种东西。所以当你执行像docker push some_repo这样的命令时，是boot2docker虚拟机在与registry交互，而不是我们自己的机器。

接下来是一个非常重要的点：为了将Docker镜像推送到远端的私有仓库，SSH管道需要在boot2docker虚拟机上配置好，而不是在你的本地机器上配置。

有许多种方法实现它。我给你展示最简短的一种（可能不是最容易理解的，但是能够帮助你实现自动化）

在这之前，我们需要对 SSH 做最后一点工作。

设置 SSH

让我们把boot2docker 的 SSH key添加到远端服务器的“已知主机”里面。我们可以使用ssh-copy-id工具完成，通过下面的命令就可以安装上它了：

brew install ssh-copy-id  

然后运行：

ssh-copy-id -i /Users/username/.ssh/id_boot2docker [email protected]  

用你ssh key的真实路径代替/Users/username/.ssh/id_boot2docker。

这样做能够让我们免密码登录SSH。

现在我们来测试以下：

boot2docker ssh "ssh -o 'StrictHostKeyChecking no' -i /Users/michelangelo/.ssh/id_boot2docker -N -L 5000:localhost:5000 [email protected] &" &  

分开阐述：

• boot2docker ssh允许你以参数的形式传递给boot2docker虚拟机一条执行的命令；
• 最后面那个&表明这条命令将在后台执行；

• ssh -o 'StrictHostKeyChecking no' -i /Users/michelangelo/.ssh/id_boot2docker -N -L 5000:localhost:5000 [email protected] &是boot2docker虚拟机实际运行的命令；

  • -o 'StrictHostKeyChecking no'——不提示安全问题；
  • -i /Users/michelangelo/.ssh/id_boot2docker指出虚拟机使用哪个SSH key来进行身份验证。（注意这里的key应该是你前面添加到远程仓库的那个）
  • 最后我们将打开一条端口5000映射到localhost:5000的SSH通道。

从其他服务器上拉取

你现在将可以通过下面的简单命令将你的镜像推送到远端仓库：

docker push localhost:5000/username/repo_name  

在下一篇文章中，我们将会了解到如何自动化处理这些事务，并且真正地容器化一个Rails应用。请继续收听！

如有错误，请不吝指出。祝你Docker之路顺利！

via: http://cocoahunter.com/2015/01/23/docker-2/

作者：Michelangelo Chasseur 译者：DongShuaike 校对：wxy

本文由 LCTT 原创翻译，Linux中国 荣誉推出

[TL;DR] 这是系列的第一篇文章，这系列讲述了我的公司如何把基础服务从PaaS迁移到Docker上。如果你愿意，你可以直接跳过介绍（这篇文章）直接看技术相关的话题（链接在页面的底部）。

上个月，我一直在折腾开发环境。这是我个人故事和经验，关于尝试用Docker简化Rails应用的部署过程。

当我在2012年创建我的公司 – Touchware时，我还是一个独立开发者。很多事情很小，不复杂，他们不需要很多维护，他们也不需要部署到很多机器上。经过过去一年的发展，我们成长了很多（我们现在是是拥有10个人的团队）而且我们的服务端的程序和API无论在范围和规模方面都有增长。

第1步 - Heroku

我们还是个小公司，我们需要让事情运行地尽可能平稳。当我们寻找可行的解决方案时，我们打算坚持用那些可以帮助我们减轻对硬件依赖负担的工具。由于我们主要开发Rails应用，而Heroku对RoR、常用的数据库和缓存（Postgres/Mongo/Redis等）有很好的支持，最明智的选择就是用Heroku 。我们就是这样做的。

Heroku有很好的技术支持和文档，使得部署非常轻松。唯一的问题是，当你处于起步阶段，你需要很多开销。这不是最好的选择，真的。

第2步 - Dokku

为了尝试并降低成本，我们决定试试Dokku。Dokku,引用GitHub上的一句话

Docker 驱动的 mini-Heroku，只用了一百来行的 bash 脚本

我们启用的DigitalOcean上的很多台机器，都预装了Dokku。Dokku非常像Heroku，但是当你有复杂的项目需要调整配置参数或者是需要特殊的依赖时，它就不能胜任了。我们有一个应用，它需要对图片进行多次转换，我们把我们Rails应用的托管到基于Dokku的Docker容器，但是无法安装一个适合版本的imagemagick到里面。尽管我们还有很多应用运行在Dokku上，但我们还是不得不把一些迁移回Heroku。

第3步 - Docker

几个月前，由于开发环境和生产环境的问题重新出现，我决定试试Docker。简单来说，Docker让开发者容器化应用、简化部署。由于一个Docker容器本质上已经包含项目运行所需要的所有依赖，只要它能在你的笔记本上运行地很好，你就能确保它将也能在任何一个别的远程服务器的生产环境上运行，包括Amazon的EC2和DigitalOcean上的VPS。

就我个人的看法来说，Docker 特别有意思的原因是:

• 它促进了模块化和关注点分离：你只需要去考虑应用的逻辑部分（负载均衡：1个容器；数据库：1个容器；web服务器：1个容器）；
• 在部署的配置上非常灵活：容器可以被部署在各种硬件上，也可以容易地重新部署在不同的服务器和不同的提供商；
• 它允许非常细粒度地优化应用的运行环境：你可以利用你的容器来创建镜像，所以你有很多选择来配置环境。

它也有一些缺点：

• 它的学习曲线非常的陡峭（这是从一个软件开发者的角度来看，而不是经验丰富的运维人员）；
• 搭建环境不简单，尤其是还需要自己搭建一个私有的registry/repository (后面有关于它的详细内容)。

下面是一些提示。这个系列的最后一周，我将把他们和一些新的放在一起。

在下面的文章中，我们将看到如何建立一个半自动化的基于Docker的部署系统。

• 建立私有的Docker registry
• 自动化部署基于 Docker 的 Rails 应用

via: http://cocoahunter.com/2015/01/23/docker-1/

作者：Michelangelo Chasseur 译者：mtunique 校对：wxy

本文由 LCTT 原创翻译，Linux中国 荣誉推出

系统管理现在处于一个癫狂的时代，一片混乱。

我并不是抱怨老式系统管理员们，他们还是知道如何让系统工作起来，知道怎么更新系统和如何升级扩容。

这篇吐槽是关于容器、预构建虚拟机镜像的，它们真是令人难以置信的混乱，它们的脑子里面就根本没有“可信”和“升级”的概念。

（题图来自 crtdot.com）

举个 Hadoop 的例子，似乎就没有人知道如何从头构建一份 Hadoop，它那令人头昏眼花的依赖关系、版本需求和构建工具让人云山雾罩。所有这些“神奇”的工具仍然是通过传统的 make 命令构建的，每个工具都是它自己带的，彼此不兼容，你得按照没有复用意义的“当日路线图”来构建。因为没有人能从头构建，所以现在大家都从一些不定是哪个的网站去下载已经编译好的二进制，基本上没有任何认证和签名。

这是 NSA 和病毒们的天堂啊！不需要搞什么破解和漏洞挖掘，只需要弄个“APP”、虚拟机或 Docker 镜像，人们就会把这些恶意代码弄到他们的网络里面去。

Debian 的 Hadoop 维基页就是一个典型的例子，基本上，从 2010 年开始人们就已经放弃了从源代码构建一个 Debian 上可用的 Hadoop 包了。

要构建 Apache Bigtop，你首先需要安装 puppet3，然后用它从互联网上下载一些魔法般数据。以 sudo 的权限启动 puppet ，顺便给 NSA 开个后门（举个例子，它会下载和安装一个过期的预编译的 JDK——因为它认为你太笨了，不会安装 Java），然后期待它能顺利构建而不是抛出200行的毫无用处的报错跟踪。

我没有开玩笑，它会试着执行像下面这样的脚本：

/bin/bash -c "wget http://www.scala-lang.org/files/archive/scala-2.10.3.deb ; dpkg -x ./scala-2.10.3.deb /"

注意，甚至这并没有正常的安装这个包，而只是将其解压缩到你的根目录下！下载时也没有检查任何签名、没有通过 SSL（脚本来自 Bigtop 的 puppet 清单）。

即便你的构建正常工作了，它也会通过 Maven 下载来自互联网的没有签名的二进制代码，并用这些来构建。

不再写一些干净的、模块化的架构，所有这些现在都牵扯在混乱的依赖里面。我上次看到， hadoop 的类路径已经有 100 多个 jar 了，现在？我打赌它肯定有 150 个了。那些 HBaseGiraphFlumeCrunchPigHiveMahoutSolrSparkElasticsearch 以及 Apache 家族的其它东东都是这样混乱。

所谓软件栈，现在的意思是“我也不知道我实际上用的是啥”。

Maven 、ivy 和 sbt 这些即用的工具其实就是让你的系统从互联网下载那些无签名的二进制数据并运行在你的计算机上。

再加上容器，哦天哪，更乱了。

是否想过给容器进行安全更新？

基本上，Docker 的思路就是下载一个未签名的二进制并运行它，然后期望它不要将任何后门放到你的公司网络里面去。

这就像是我在90年代时在 Windows 上下载的共享软件一样。什么时候会出现第一个带有 Ask 工具条的 Docker 镜像呢？第一个通过 Docker 镜像传播的互联网蠕虫呢？

回到前些年，Linux 发行版努力着提供一个安全的操作系统，带有签名的软件包、可信的网络、甚至还能完全的重新构建。

而现在呢？什么东西都已经 Windows 化了，到处是疯狂的“App”，你下载，你运行，根本不管是否安全，是否能升级到下个版本。因为你就是“过把瘾就死”！

更新：其实在 Docker 之前就有这样的作法了，Docker 只是一个新的 'curl | sudo bash' 而已。是的，这就是主流的、在你的数据中心下载并运行一个不可信软件的方法。这太糟糕了，真的。之前，系统管理员还在努力的防御安全漏洞，现在，他们自称“devops”了，然后很 happy 地把这些东西弄到他们的网络里面了！