第一章:Docker常用命令概述
Docker 作为容器化技术的主流工具,其命令行接口提供了对容器生命周期的完整控制。掌握常用命令是高效使用 Docker 的基础,无论是开发、测试还是部署阶段,都离不开对镜像和容器的操作。
镜像管理命令
镜像是容器运行的基础模板,可通过以下命令进行管理:
docker pull:从镜像仓库拉取指定镜像docker images:列出本地所有镜像docker rmi:删除一个或多个本地镜像
# 拉取 Ubuntu 最新镜像 docker pull ubuntu:latest # 查看本地已有的镜像 docker images # 删除名为 ubuntu:latest 的镜像 docker rmi ubuntu:latest
容器操作命令
容器是镜像的运行实例,常用操作包括创建、启动、停止和查看状态。
docker run:创建并启动容器docker ps:查看正在运行的容器(添加-a可查看所有)docker stop:停止运行中的容器docker rm:删除已停止的容器
# 启动一个后台运行的 Nginx 容器 docker run -d --name my-nginx -p 8080:80 nginx # 查看当前所有容器 docker ps -a # 停止并删除容器 docker stop my-nginx docker rm my-nginx
常用命令对照表
| 命令 | 作用 | 常用选项 |
|---|
| docker build | 根据 Dockerfile 构建镜像 | -t 指定镜像名称 |
| docker exec | 在运行的容器中执行命令 | -it 交互式终端 |
| docker logs | 查看容器日志输出 | --follow 实时追踪 |
graph TD A[Pull Image] --> B[Run Container] B --> C{Is Running?} C -->|Yes| D[Exec Command] C -->|No| E[Start Container] D --> F[View Logs] E --> B
第二章:镜像管理核心命令
2.1 镜像的拉取与推送——理论与registry交互机制
Docker 客户端与 registry 的通信基于 HTTP/HTTPS 协议,遵循 Docker Registry HTTP API v2 规范。镜像拉取(
pull)本质是分层下载 manifest + layer blobs;推送(
push)则需先上传 layer,再提交 manifest。
典型拉取流程
- 客户端向
/v2/<name>/manifests/<reference>发起 GET 请求获取 manifest - 解析 manifest 中各 layer 的
digest,逐个请求/v2/<name>/blobs/<digest> - 校验 layer SHA256 digest 并解压至本地存储
Registry 认证交互关键头字段
| Header | 用途 |
|---|
Authorization | Bearer token(经WWW-Authenticate挑战后获取) |
Docker-Content-Digest | 用于 blob 上传完整性校验 |
Manifest 获取示例
GET /v2/library/nginx/manifests/latest HTTP/1.1 Host: registry-1.docker.io Accept: application/vnd.docker.distribution.manifest.v2+json Authorization: Bearer eyJhbGciOiJSUzI1NiIsInR5cCI6IkpXVCIsImtpZCI6IjEifQ...
该请求指定 v2 manifest 格式,避免旧版 schema1 兼容性问题;
Authorization头携带由 auth server 颁发的短期访问令牌,有效期通常为 20 分钟。
2.2 镜像的构建与分层存储原理实践
镜像的分层结构机制
Docker 镜像采用联合文件系统(UnionFS)实现分层存储,每一层都是只读的增量变更,最终通过合并形成完整的镜像。基础层为操作系统,上层依次叠加软件安装、配置修改等操作。
Dockerfile 构建示例
FROM ubuntu:20.04 LABEL maintainer="admin@example.com" RUN apt-get update && apt-get install -y nginx COPY index.html /var/www/html/ CMD ["nginx", "-g", "daemon off;"]
该 Dockerfile 从 Ubuntu 20.04 基础镜像开始,每条指令生成一个新层。RUN 安装 Nginx 形成第三层,COPY 添加网页文件为第四层,最终 CMD 指定启动命令。
分层优势与缓存机制
- 提升构建效率:仅重建变更层,其余复用缓存
- 节省存储空间:多镜像共享相同底层
- 增强可维护性:清晰的构建历史与版本追踪
2.3 镜像的查看与元信息分析技巧
在容器生态中,准确查看镜像信息并深入分析其元数据是保障部署可靠性的重要环节。通过命令行工具可快速列出本地镜像,同时提取关键元信息用于审计或调试。
镜像列表查看
使用以下命令可列出所有本地镜像:
docker images --format "table {{.Repository}}\t{{.Tag}}\t{{.ID}}\t{{.Size}}"
该命令以表格形式输出镜像仓库名、标签、镜像ID和大小,
--format参数自定义列布局,提升信息可读性。
元信息深度解析
执行
docker inspect可获取镜像完整元数据,包括构建时间、分层结构、环境变量等:
docker inspect nginx:latest
返回的 JSON 结构包含
Architecture、
ContainerConfig和
RootFS等字段,适用于追踪镜像来源与安全合规验证。
2.4 镜像的删除与磁盘空间优化策略
镜像清理的基本操作
Docker 环境中长期运行会产生大量无用镜像,占用宝贵磁盘资源。使用
docker rmi命令可删除指定镜像:
# 删除指定镜像(以镜像ID为例) docker rmi e39c8e13a653 # 强制删除正在被容器使用的镜像 docker rmi -f ubuntu:18.04
参数说明:-f 表示强制删除,即使有容器依赖该镜像也会被移除,但容器本身不会被自动删除。
批量清理与自动化策略
建议定期执行以下命令清理悬空镜像(dangling images):
# 删除所有未被使用的镜像 docker image prune -a
配合系统定时任务(如 cron),可实现磁盘空间的自动化维护。
- 定期清理构建缓存:docker builder prune
- 监控磁盘使用:docker system df
- 制定保留策略:仅保留当前业务所需的镜像版本
2.5 镜像标签管理与版本控制最佳实践
语义化标签命名策略
为容器镜像使用清晰、一致的标签命名规范是版本控制的基础。推荐采用语义化版本(SemVer)结合 Git 提交信息的方式,例如:
v1.2.0、
v1.2.0-rc1或
v1.2.0-gitabc123。
- vX.Y.Z:主版本.次版本.修订号
- latest:仅用于开发环境,避免在生产中使用
- git-hash:用于精确追踪构建源码
多标签策略与自动化构建
CI/CD 流程中应自动为镜像打上多个标签,提升可追溯性。
docker build -t myapp:v1.4.0 -t myapp:latest -t myapp:v1.4.0-git$(git rev-parse --short HEAD) . docker push myapp:v1.4.0 docker push myapp:latest docker push myapp:v1.4.0-git$(git rev-parse --short HEAD)
上述命令同时推送三个标签:固定版本便于回滚,latest 提供最新稳定版,Git 哈希标签确保构建可审计。生产部署应优先引用具体版本而非 latest。
第三章:容器生命周期操作
3.1 容器的创建、启动与后台运行模式详解
在容器化技术中,创建和管理容器是基础且关键的操作。使用 `docker run` 命令可一键完成容器的创建与启动。
前台运行模式
默认情况下,容器以前台模式运行,主进程将占用当前终端:
docker run ubuntu:20.04 /bin/echo "Hello Docker"
该命令创建容器、执行指定命令后退出。适用于一次性任务,输出直接显示在控制台。
后台运行模式(Detached Mode)
通过
-d参数可使容器在后台运行:
docker run -d --name my_nginx nginx:latest
参数说明:
-d true表示分离模式运行;
--name指定容器名称便于管理。
- 前台模式适合调试和短期任务
- 后台模式适用于长期服务如 Web 服务器
容器启动后可通过
docker logs查看输出,确保服务正常运行。
3.2 容器的日志查看与状态监控实战
实时日志查看
使用
docker logs命令可快速获取容器输出日志。例如:
docker logs -f --tail=50 my-container
其中
-f表示持续跟踪日志输出,类似
tail -f;
--tail=50仅显示最近50行,适用于快速定位问题。
容器状态监控
通过
docker stats实时查看运行中容器的资源占用:
docker stats my-container
输出包括 CPU、内存、网络和存储使用情况,适合快速识别性能瓶颈。
关键监控指标汇总
| 指标 | 说明 | 告警阈值建议 |
|---|
| CPU Usage | 容器CPU占用率 | >80% |
| Memory | 实际内存使用量 | 接近限制值90% |
3.3 容器的停止、重启与资源回收机制
容器的生命周期管理
容器在运行结束后,若未配置自动重启策略,将进入终止状态。Docker 会保留其文件系统层,便于日志查看或调试。通过
docker stop命令可向容器发送 SIGTERM 信号,允许其优雅关闭。
docker stop --time=30 my-container
该命令向容器发送终止信号,并给予 30 秒宽限期。若超时未退出,则强制发送 SIGKILL。
重启策略与自动化恢复
Docker 提供多种重启策略以应对异常中断:
- no:不自动重启
- on-failure[:max-retries]:失败时重试
- always:始终重启,无论退出状态
- unless-stopped:除非手动停止,否则总是重启
资源回收流程
容器停止后,其占用的内存与 CPU 资源立即释放。网络栈被销毁,挂载的临时卷若未绑定宿主机路径,也将被清除。可通过
docker system prune清理已终止容器及相关镜像层,避免磁盘泄漏。
第四章:网络与数据卷配置
4.1 自定义网络模式与容器间通信实战
在Docker中,自定义网络模式可实现容器间的高效、安全通信。通过创建独立的用户定义桥接网络,容器可通过服务名称直接解析IP地址,无需手动映射端口或链接容器。
创建自定义网络
docker network create --driver bridge myapp-network
该命令创建名为
myapp-network的桥接网络,
--driver bridge指定使用桥接模式,适用于大多数单主机场景。
容器加入自定义网络
启动容器时指定网络:
docker run -d --name web --network myapp-network nginx docker run -d --name api --network myapp-network express-app
两容器位于同一网络,可通过容器名(如
http://api:3000)直接通信,提升服务发现效率。
网络优势对比
| 特性 | 默认桥接 | 自定义桥接 |
|---|
| DNS解析 | 不支持 | 支持 |
| 安全性 | 低 | 高(隔离通信) |
4.2 数据卷的创建与持久化存储应用
在容器化应用中,数据卷(Volume)是实现数据持久化的关键机制。通过将宿主机目录或专用存储挂载到容器,可避免因容器生命周期结束而导致的数据丢失。
创建与挂载数据卷
使用 Docker CLI 可快速创建命名数据卷:
docker volume create app-data docker run -d --name webapp -v app-data:/app/data nginx
上述命令创建名为 `app-data` 的卷,并将其挂载至容器的 `/app/data` 路径。数据卷独立于容器存在,即使容器被删除,卷中数据仍保留。
持久化策略对比
| 方式 | 生命周期 | 适用场景 |
|---|
| 绑定挂载 | 依赖宿主机路径 | 开发环境调试 |
| 命名卷 | 由 Docker 管理 | 生产环境持久化 |
4.3 绑定挂载与主机目录共享技巧
数据同步机制
绑定挂载(Bind Mount)允许将主机文件系统中的目录或文件直接映射到容器内部,实现数据持久化和实时共享。与卷(Volume)不同,绑定挂载依赖主机的目录结构,适用于开发环境配置同步。
使用示例
docker run -d \ --name dev-app \ -v /home/user/app:/app \ -v /home/user/app/logs:/var/log/app \ nginx:alpine
该命令将主机
/home/user/app目录挂载至容器
/app,实现代码实时更新;日志目录双向共享,便于主机侧监控。
常用场景对比
| 场景 | 是否推荐绑定挂载 | 说明 |
|---|
| 开发环境热更新 | 是 | 主机代码修改即时生效 |
| 生产环境数据存储 | 否 | 建议使用命名卷以提升可移植性 |
4.4 网络排错与端口映射常见问题解析
常见网络连通性问题
在容器化环境中,宿主机与容器间网络不通是典型问题。常因防火墙规则、Docker网桥配置不当或端口未正确映射导致。使用
netstat -tuln可查看端口监听状态,确认服务是否绑定到正确接口。
端口映射配置验证
启动容器时需确保使用
-p参数正确映射端口:
docker run -d -p 8080:80 nginx
该命令将宿主机的8080端口映射到容器的80端口。若无法访问,应检查Docker守护进程是否启用IP转发,并确认宿主机无其他服务占用该端口。
排查流程图示
| 步骤 | 检查项 |
|---|
| 1 | 容器是否运行中(docker ps) |
| 2 | 端口映射是否正确(docker port <container>) |
| 3 | 防火墙/Iptables是否放行端口 |
第五章:PDF下载与命令速查清单
实用命令速查表
curl -O https://example.com/file.pdf:通过 URL 直接下载 PDF 文件wget --user-agent="Mozilla" https://site.com/doc.pdf:绕过基础 UA 检测下载受限资源pdftotext document.pdf - | grep "关键词":快速在终端中搜索 PDF 文本内容qpdf --encrypt 123456 "" 40 -- document.pdf secured.pdf:使用 qpdf 加密 PDF
自动化下载脚本示例
#!/bin/bash # 批量下载技术文档 PDF urls=( "https://golang.org/doc/effective_go.pdf" "https://redis.io/docs/redis-cli.pdf" ) for url in "${urls[@]}"; do filename=$(basename "$url") if ! curl -f -o "$filename" "$url"; then echo "失败: $filename" else echo "成功: $filename 下载完成" fi done
常用工具与功能对照表
| 工具 | 主要用途 | 依赖项 |
|---|
| curl | HTTP 下载与调试 | 无(系统自带) |
| qpdf | PDF 加密/解密、合并 | libqpdf-dev |
| poppler-utils | 提取文本、图像 | poppler |
浏览器开发者工具导出技巧
在 Chrome 中打开含 PDF 预览的页面,通过 Network 标签页过滤doc.pdf类型请求,右键复制请求为 cURL 命令,可直接用于脚本中自动登录后下载受保护文档。配合chromedriver可实现动态认证流程下的批量抓取。
