Docker 容器(container)及资源限制

Container：

既然container是由image运行起来的，那么是否可以理解为container和image有某种关系？先来看张图：

其实可以理解为container只是基于image之后的layer而已，也就是可以通过docker run image创建出一个container出来。

底层技术支持：

Container是一种轻量级的虚拟化技术，不用模拟硬件创建虚拟机。Docker是基于Linux Kernel的Namespace、CGroups、UnionFileSystem等技术封装成的一种自定义容器格式，从而提供一套虚拟运行环境。

1. Namespace：用来做隔离的，比如pid[进程]、net[网络]、mnt[挂载点]等
2. CGroups: Controller Groups用来做资源限制，比如内存和CPU等
3. Union file systems：用来做image和container分层

Container到 Image:

既然container是基于image之上的，想想是否能够由一个container反推出image呢？肯定是可以的，比如通过docker run运行起一个container出来，这时候对container对一些修改，然后再生成一个新的image，这时候image的由来就不仅仅只能通过Dockerfile咯。

1.拉去一个 centos 的镜像docker pull centos。

2.通过该镜像生成一个 container 并且是交互式运行的：docker run -d -it --name my-centos1 centos。

3.进入容器中：docker exec -it my-centos1 bash。

4.输入vim命令：bash: vim: command not found 。我们发现官方所提供的centos镜像生成的容器中没有vim命令。

5.我们要做的是对该container进行修改，也就是安装一下vim命令，然后将其生成一个新的centos。在centos的container中安装vim ：yum install -y vim

6.退出容器（exit），将其生成一个新的centos，名称为"vim-centos-image" ：docker commit my-centos1 vim-centos-image

7.查看镜像列表，并且基于"vim-centos-image"创建新的容器 docker run -d -it --name my-vim-centos vim-centos-image

8.进入到my-vim-centos容器中，检查vim命令是否存在：docker exec -it my-vim-centos bash ,输命令 vim 发现该镜像生成的容器拥有该命令。

我在这里遇到了容器网络有点问题，我们可以这么做：

先停掉宿主机上运行的docker容器，然后执行以下命令。在宿主机执行：
pkill docker
iptables -t nat -F
ifconfig docker0 down
systemctl restart docker.service  重启docker服务  问题即可解决。。

可以通过docker commit命令基于一个container重新生成一个image，但是一般得到image的方式不建议这么做，不然image怎么来的就全然不知咯。

Container资源限制：

如果不对container的资源做限制，它就会无限制地使用物理机的资源，这样显然是不合适的。

我们通过 docker run -d --name tomcat01 -p 9991:8080 tomcat创建的容器，我们通过docker stats tomcat01来查看他的资源占用情况：

我们会发现他的内存占用的LIMIT这里居然能达到1.777个G，但是很显然我们知道他不需要这么大的内存 ，那么我们需要去限制他，根据自己的监控状态来确定他的内存配比。

我们通过docker run -d --memory 100M --name tomcat02 tomcat 来创建下一个容器 ，再查看其状态：

我能看到了他的内存被我们限制在了100M以内。这样我们就能更合理的运用机器的内存。除了这个内存的设置 --cpu-shares 设置权重 docker run -d --cpu-shares 10 --name tomcat03 tomcat .

我们还可以通过官方推荐的图形化界面来看到我们的容器运行情况，资源利用情况，https://github.com/weaveworks/scope 只需要3个步骤

sudo curl -L git.io/scope -o /usr/local/bin/scope
sudo chmod a+x /usr/local/bin/scope
scope launch 192.168.1.101

停止scope：scope stop

同时监控两台机器，在两台机器中分别执行如下命令：scope launch ip1 ip2

然后会映射到虚拟机 4040 的端口上，可以通过192.168.1.101:4040 来访问：

Container常见操作：

docker run -d --name -p 9090:8080 my-tomcat tomcat      根据镜像创建容器
docker ps                                       查看运行中的container
docker ps -a     　　　　　　　　　　　　　　　　　　 查看所有的container[包含退出的]
docker rm containerid       　　　　　　　　　　　  删除container
docker rm -f $(docker ps -a) 　　　　　　　　　　　 删除所有container
docker exec -it container bash    　　　　　　　　 进入到一个container中
docker commit my-centos vim-centos-image   　　　根据container生成image
docker logs container    　　　　　　　　　　　　　　查看某个container的日志
docker stats   　　　　　　　　　　　　　　　　　　　　查看容器资源使用情况
docker inspect container    　　　　　　　　　　　　查看容器详情信息
docker stop/start container    　　　　　　　　　　停止/启动容器