构建nginx镜像
Dockerfile 指令: FROM centos:7.9.2009 #在整个dockfile文件中除了注释之外的第一行,要是FROM ,FROM 指令当前镜像的用于指定父镜像(base image) ADD [--chown=<user>:<group>] <src>... <dest> #用于添加宿主机本地的文件、目录、压缩等资源到镜像里面去,会自动解压tar.gz格式的压缩包,但不会自动解压zip包 MAINTAINER #(镜像的维护者信息,目前已经不推荐使用) LABEL “ key”=“ value” #设置镜像的属性标签 COPY COPY [--chown=<user>:<group>] <src>... <dest> #用于添加宿主机本地的文件、目录、压缩等资源到镜像里面去,不会解压任何压缩包 ENV MY_NAME="John Doe" #设置容器环境变量 USER <user>[:<group>] or USER <UID>[:<GID>] #指定运行操作的用户 RUN yum install vim unzip -y && cd /etc/nginx #执行shell命令,但是一定要以非交互式的方式执行 VOLUME ["/data/data1","/data/data2"] #定义volume WORKDIR /data/data1 #用于定义当前工作目录 EXPOSE <port> [<port>/<protocol>...] #声明要把容器的某些端口映射到宿主机 关于CMD与entrypoint: CMD有以上三种方式定义容器启动时所默认执行的命令或脚本 CMD ["executable","param1","param2"] (exec form, this is the preferred form) #推荐的可执行程序方式 CMD ["param1","param2"] (as default parameters to ENTRYPOINT) #作为ENTRYPOINT默认参数 CMD command param1 param2 (shell form) #基于shell命令的 如:基于CMD #镜像启动为一个容器时候的默认命令或脚本, • CMD ["/bin/bash"] ENTRYPOINT #也可以用于定义容器在启动时候默认执行的命令或者脚本,如果是和CMD命令混合使用的时候,会将CMD的命令当做参数传递给 ENTRYPOINT后面的脚本,可以在脚本中对参数做判断并相应的容器初始化操作。 案例1: ENTRYPOINT ["top", "-b"] CMD ["-c"] 等于如下一行: ENTRYPOINT ["top", "-b", "-c"] 案例2: ENTRYPOINT ["docker-entrypoint.sh"] #定义一个入口点脚本,并传递mysqld 参数 CMD ["mysqld"] 等于如下一行: ENTRYPOINT ["docker-entrypoint.sh","mysqld"] 使用总结: ENTRYPOINT(脚本) + CMD(当做参数传递给ENTRYPOINT)
root@awen-UBuntu:~/nginx# cat Dockerfile
FROM ubuntu:22.04
#ADD sources.list /etc/apt/sources.list
RUN apt update && apt install -y iproute2 ntpdate tcpdump telnet traceroute nfs-kernel-server nfs-common lrzsz tree openssl libssl-dev libpcre3 libpcre3-dev zlib1g-dev ntpdate tcpdump telnet traceroute gcc openssh-server lrzsz tree openssl libssl-dev libpcre3 libpcre3-dev zlib1g-dev ntpdate tcpdump telnet traceroute iotop unzip zip make
ADD nginx-1.22.0.tar.gz /usr/local/src/
RUN cd /usr/local/src/nginx-1.22.1 && ./configure --prefix=/apps/nginx && make && make install && ln -sv /apps/nginx/sbin/nginx /usr/bin
RUN groupadd -g 2088 nginx && useradd -g nginx -s /usr/sbin/nologin -u 2088 nginx && chown -R nginx.nginx /apps/nginx
EXPOSE 80 443
CMD ["nginx","-g","daemon off;"]
root@awen-UBuntu:~/nginx# docker run -it -p 80:80 --name nginx nginx:v20221025
基于 docker 实现对容器的 CPU 和内存的资源限制
默认情况下,容器没有资源限制,可以使用主机内核调度程序允许的尽可能多的给定资源,Docker提供了控制容器可以限制容器使用多少内存或CPU的
方法,运行docker run命令创建容器的时候可以进行资源限制。
Docker早期使用cgroupfs进行容器的资源限制管理,然后再调用内核的cgroup进行资源限制,而kubernetes后来使用systemd直接调用cgroup对进程
实现资源限制,等于绕过了docker的cgroupfs的管理,对资源限制更严格、性能更好,因此在kubernetes环境推荐使用systemd进行资源限制。
"exec-opts": ["native.cgroupdriver=systemd"],
"exec-opts": ["native.cgroupdriver=cgroupfs"]
cgroupfs是文件级别的资源限制控制器 ,现在使用systemd
其中许多功能都要求宿主机的内核支持Linux功能,要检查支持,可以使用docker info命令,如果内核中禁用了某项功能,可能会在输出结尾处看到警 告,如下所示: WARNING: No swap limit support 容器资源限制: OOM优先级机制: linux会为每个进程算一个分数,最终他会将分数最高的进程kill。 /proc/PID/oom_score_adj #范围为-1000到1000,值越高越容易被宿主机kill掉,如果将该值设置为-1000,则进程永远不会被宿主机kernel kill。 /proc/PID/oom_adj #范围为-17到+15,取值越高越容易被干掉,如果是-17,则表示不能被kill,该设置参数的存在是为了和旧版本的Linux内核兼容。 /proc/PID/oom_score #这个值是系统综合进程的内存消耗量、CPU时间(utime + stime)、存活时间(uptime - start time)和oom_adj计算出的进程得分,消耗内存越多得分越高,越容易被宿主机kernel强制杀死 Docker 可以强制执行硬性内存限制,即只允许容器使用给定的内存大小。 Docker 也可以执行非硬性内存限制,即容器可以使用尽可能多的内存,除非内核检测到主机上的内存不够用了。 大部分的选项取正整数,跟着一个后缀b,k, m,g,,表示字节,千字节,兆字节或千兆字节。 Most of these options take a positive integer, followed by a suffix of b, k, m, g, to indicate bytes, kilobytes, megabytes, or gigabytes. --oom-score-adj #宿主机kernel对进程使用的内存进行评分,评分最高的将被宿主机内核kill掉(越低越不容易被kill),可以指定一个容器的评分为较低的负数,但是不推荐手动指定。 --oom-kill-disable #对某个容器关闭oom机制。已经不支持了 root@awen-UBuntu:~# docker run -it -d --oom-score-adj -1000 -p 80:80 43.155.72.199/awen/nginx:v1 物理内存限制参数: -m or --memory #限制容器可以使用的最大内存量,如果设置此选项,最小存值为4m(4兆字节)。(最为重要) --memory-swap #容器可以使用的交换分区大小,必须要在设置了物理内存限制的前提才能设置交换分区的限制 --memory-swappiness #设置容器使用交换分区的倾向性,值越高表示越倾向于使用swap分区,范围为0-100,0为能不用就不用,100为能用就用。 --kernel-memory #容器可以使用的最大内核内存量,最小为4m,由于内核内存与用户空间内存隔离,因此无法与用户空间内存直接交换, 因此内核内存不足的容器可能会阻塞宿主主机资源,这会对主机和其他容器或者其他服务进程产生影响,因此不要设置内核内存大小。 --memory-reservation #允许指定小于--memory的软限制,当Docker检测到主机上的争用或内存不足时会激活该限制,如果使用 --memory-reservation,则必须将其设置为低于--memory才能使其优先。 因为它是软限制,所以不能保证容器不超过限制。 --oom-kill-disable #默认情况下,发生OOM时,kernel会杀死容器内进程,但是可以使用--oom-kill-disable参数,可以禁止oom发生在指定的容器上,即 仅在已设置 -m / - memory选项的容器上禁用OOM,如果-m 参数未配置,产生OOM时,主机为了释放内存还会杀死系统进程。 root@awen-UBuntu:~# docker run -it -d -m 512m -p 80:80 43.155.72.199/awen/nginx:v1软限制
root@awen-UBuntu:~# docker run -it -d -m 512m --memory-reservation 511m nginx:1.18.0-alpine
物理内存限制验证: 假如一个容器未做内存使用限制,则该容器可以利用到系统内存最大空间,默认创建的容器没有做内存资源限制。 # docker pull lorel/docker-stress-ng #测试镜像 # docker run -it --rm lorel/docker-stress-ng –help #查看帮助信息root@awen-UBuntu:~# docker run -it --rm lorel/docker-stress-ng --help
-c N, --cpu N start N workers spinning on sqrt(rand()) 启动N个workers进行cpu的压测
--vm N start N workers spinning on anonymous mmap 启动N个workers进行内存压测
--vm-bytes N allocate N bytes per vm worker (default 256MB) workers内存压测字节数 锁定一定的字节数给每个worker
两个内存worker 每个内存消耗256M
Example: stress-ng --cpu 8 --io 4 --vm 2 --vm-bytes 128M --fork 4 --timeout 10s
root@awen-UBuntu:~# docker run -it --rm --name haha lorel/docker-stress-ng --vm 2 --vm-bytes 256M
root@awen-UBuntu:~# docker stats
CONTAINER ID NAME CPU % MEM USAGE / LIMIT MEM % NET I/O BLOCK I/O PIDS
40327a2417f9 haha 197.37% 516.4MiB / 1.896GiB 26.60% 946B / 0B 360kB / 0B 5
1、不限制容器内存: 启动两个工作进程,每个工作进程最大允许使用内存256M,且宿主机不限制当前容器最大内存: root@docker-server1:~# docker run -it --rm --name magedu-c1 lorel/docker-stress-ng --vm 2 --vm-bytes 256M root@docker-server1:~# docker stats 2、限制容器最大内存: root@docker-server1:~# docker run -it --rm -m 256m --name magedu-c1 lorel/docker-stress-ng --vm 2 --vm- bytes 256M root@docker-server1:~# docker stats 交换分区限制参数: --memory-swap #只有在设置了 --memory 后才会有意义。使用Swap,可以让容器将超出限制部分的内存置换到磁盘上, root@awen-UBuntu:~# docker run -it --rm --name haha -m 265m --memory-swap 1024m lorel/docker-stress-ng --vm 2 --vm-bytes 256M 交换分区的值-物理内存的值=交换分区 WARNING:经常将内存交换到磁盘的应用程序会降低性能。 不同的--memory-swap设置会产生不同的效果: --memory-swap #值为正数, 那么--memory和--memory-swap都必须要设置,--memory-swap表示你能使用的内存和 swap分区大小的总和,例如: --memory=300m, --memory-swap=1g, 那么该容器能够使用 300m 内存和 700m swap,即- -memory是实际物理内存大小值不变,而swap的实际大小计算方式为(--memory-swap)-(--memory)=容器可用swap。 --memory-swap #如果设置为0,则忽略该设置,并将该值视为未设置,即未设置交换分区。 --memory-swap #如果等于--memory的值,并且--memory设置为正整数,容器无权访问swap即也没有设置交换分区。 --memory-swap #如果设置为unset,如果宿主机开启了swap,则实际容器的swap值为2x( --memory),即两倍于物理内存大小,但是并不准确(在容器中使用free命令所看到的swap空间并不精确,毕竟每个容器都可以看到具体大小,但是宿主机的swap是有上限而且不是所有容器看到的累计大小) --memory-swap #如果设置为-1,如果宿主机开启了swap,则容器可以使用主机上swap的最大空间。
root@awen-UBuntu:~# docker run -it --rm --name haha -m 265m --memory-swap 1024m lorel/docker-stress-ng --vm 2 --vm-bytes 256M
交换分区限制验证: 交换分区限制 root@docker-server1:~# docker run -it --rm -m 256m --memory-swap 512m --name magedu-c1 alpine:3.16.2 sh 内存大小软限制 root@docker-server1:~# docker run -it --rm -m 256m --memory-reservation 128m --name magedu-c1 lorel/docker-stress-ng --vm 2 --vm-bytes 256M 关闭OOM机制 root@docker-server1:~# docker run -it --rm -m 256m --oom-kill-disable --name magedu-c1 lorel/docker-stress-ng --vm 2 --vm-bytes 256M CPU限制验证: #只给容器分配最多两核宿主机CPU利用率 # docker run -it --rm --name magedu-c1 --cpus 2 lorel/docker-stress-ng --cpu 4 --vm 4 注:CPU资源限制是将分配给容器的2核心分配到了宿主机每一核心CPU上,也就是容器的总CPU值是在宿主机的每一个核心CPU分配了部分比例 将容器运行到指定的CPU上: # docker run -it --rm --name magedu-c1 --cpus 2 --cpuset-cpus 1,3 lorel/docker-stress-ng --cpu 4 --vm 4 --cpuset-cpus 绑定在 第一个第三个cpu上, 基于cpu--shares值(共享值)对CPU进行限制,分别启动两个容器,magedu-c1的--cpu-shares值为1000,magedu-c2的--cpu-shares为500,观察最终效果,--cpu-shares值为1000的magedu-c1的CPU利用率基本是--cpu-shares为500的magedu-c2的两倍: # docker run -it --rm --name magedu-c1 --cpu-shares 1000 lorel/docker-stress-ng --cpu 4 --vm 4 # docker run -it --rm --name magedu-c2 --cpu-shares 500 lorel/docker-stress-ng --cpu 4 --vm 4 容器资源限制验证: 1.cgroup验证: root@docker-server1:~# cat /sys/fs/cgroup/docker/b7b3755f22962538418dc56c23c03941cd7f97178ed8e25c7d02fbc4ca9878ed/memory.max 536870912 root@docker-server1:~# cat /sys/fs/cgroup/docker/b7b3755f22962538418dc56c23c03941cd7f97178ed8e25c7d02fbc4ca9878ed/cpu.max 200000 100000 2.systemd验证 root@awen-UBuntu:~# docker run -it -d -m 512m --cpus 1 -p 80:80 nginx:1.18.0-alpineroot@awen-UBuntu:~# ps -ef | grep nginx
root 9631 9602 0 Oct27 ? 00:00:00 nginx: master process nginx -g daemon off;
systemd+ 9768 9631 0 Oct27 ? 00:00:00 nginx: worker process
root@awen-UBuntu:~# cat /proc/9602/cpuset
/system.slice/containerd.service
root@awen-UBuntu:~# cat /sys/fs/cgroup/system.slice/docker-ffcaecc0957d18e6dab963c74737d489c012f9af929762a89cb38e2bdb636f98.scope/cpu.max
100000 100000
1个cpu是1000毫核
内存
root@awen-UBuntu:~# cat /sys/fs/cgroup/system.slice/docker-ffcaecc0957d18e6dab963c74737d489c012f9af929762a89cb38e2bdb636f98.scope/memory.max
536870912(单位是字节)
安装containerd
安装依赖包
root@awen-UBuntu:~# apt update
root@awen-UBuntu:~# apt install apt-transport-https ca-certificates curl software-properties-common
安装GPG证书
root@awen-UBuntu:~# curl -fsSL https://mirrors.aliyun.com/docker-ce/linux/ubuntu/gpg | sudo apt-key add -
写入软件信息原
root@awen-UBuntu:~# add-apt-repository "deb [arch=amd64] https://mirrors.aliyun.com/docker-ce/linux/ubuntu $(lsb_release -cs) stable"
root@awen-UBuntu:~# apt update
root@awen-UBuntu:~# apt-cache madison containerd.io
root@awen-UBuntu:~# apt install containerd.io
root@awen-UBuntu:~# ctr --version
ctr containerd.io 1.6.9
docker 是命令发给dockerd 再发给containerd,
打印containerd配置文件
root@awen-UBuntu:~# containerd config default
disabled_plugins = []
imports = []
oom_score = 0
plugin_dir = ""
required_plugins = []
root = "/var/lib/containerd"
state = "/run/containerd"
temp = ""
version = 2
[cgroup]
path = ""
[debug]
address = ""
format = ""
gid = 0
level = ""
uid = 0
[grpc]
address = "/run/containerd/containerd.sock"
gid = 0
max_recv_message_size = 16777216
max_send_message_size = 16777216
tcp_address = ""
tcp_tls_ca = ""
tcp_tls_cert = ""
tcp_tls_key = ""
uid = 0
[metrics]
address = ""
grpc_histogram = false
[plugins]
[plugins."io.containerd.gc.v1.scheduler"]
deletion_threshold = 0
mutation_threshold = 100
pause_threshold = 0.02
schedule_delay = "0s"
startup_delay = "100ms"
[plugins."io.containerd.grpc.v1.cri"]
device_ownership_from_security_context = false
disable_apparmor = false
disable_cgroup = false
disable_hugetlb_controller = true
disable_proc_mount = false
disable_tcp_service = true
enable_selinux = false
enable_tls_streaming = false
enable_unprivileged_icmp = false
enable_unprivileged_ports = false
ignore_image_defined_volumes = false
max_concurrent_downloads = 3
max_container_log_line_size = 16384
netns_mounts_under_state_dir = false
restrict_oom_score_adj = false
sandbox_image = "registry.k8s.io/pause:3.6"
selinux_category_range = 1024
stats_collect_period = 10
stream_idle_timeout = "4h0m0s"
stream_server_address = "127.0.0.1"
stream_server_port = "0"
systemd_cgroup = false
tolerate_missing_hugetlb_controller = true
unset_seccomp_profile = ""
[plugins."io.containerd.grpc.v1.cri".cni]
bin_dir = "/opt/cni/bin"
conf_dir = "/etc/cni/net.d"
conf_template = ""
ip_pref = ""
max_conf_num = 1
[plugins."io.containerd.grpc.v1.cri".containerd]
default_runtime_name = "runc"
disable_snapshot_annotations = true
discard_unpacked_layers = false
ignore_rdt_not_enabled_errors = false
no_pivot = false
snapshotter = "overlayfs"
[plugins."io.containerd.grpc.v1.cri".containerd.default_runtime]
base_runtime_spec = ""
cni_conf_dir = ""
cni_max_conf_num = 0
container_annotations = []
pod_annotations = []
privileged_without_host_devices = false
runtime_engine = ""
runtime_path = ""
runtime_root = ""
runtime_type = ""
[plugins."io.containerd.grpc.v1.cri".containerd.default_runtime.options]
[plugins."io.containerd.grpc.v1.cri".containerd.runtimes]
[plugins."io.containerd.grpc.v1.cri".containerd.runtimes.runc]
base_runtime_spec = ""
cni_conf_dir = ""
cni_max_conf_num = 0
container_annotations = []
pod_annotations = []
privileged_without_host_devices = false
runtime_engine = ""
runtime_path = ""
runtime_root = ""
runtime_type = "io.containerd.runc.v2"
[plugins."io.containerd.grpc.v1.cri".containerd.runtimes.runc.options]
BinaryName = ""
CriuImagePath = ""
CriuPath = ""
CriuWorkPath = ""
IoGid = 0
IoUid = 0
NoNewKeyring = false
NoPivotRoot = false
Root = ""
ShimCgroup = ""
SystemdCgroup = false
[plugins."io.containerd.grpc.v1.cri".containerd.untrusted_workload_runtime]
base_runtime_spec = ""
cni_conf_dir = ""
cni_max_conf_num = 0
container_annotations = []
pod_annotations = []
privileged_without_host_devices = false
runtime_engine = ""
runtime_path = ""
runtime_root = ""
runtime_type = ""
[plugins."io.containerd.grpc.v1.cri".containerd.untrusted_workload_runtime.options]
[plugins."io.containerd.grpc.v1.cri".image_decryption]
key_model = "node"
[plugins."io.containerd.grpc.v1.cri".registry]
config_path = ""
[plugins."io.containerd.grpc.v1.cri".registry.auths]
[plugins."io.containerd.grpc.v1.cri".registry.configs]
[plugins."io.containerd.grpc.v1.cri".registry.headers]
[plugins."io.containerd.grpc.v1.cri".registry.mirrors]
[plugins."io.containerd.grpc.v1.cri".x509_key_pair_streaming]
tls_cert_file = ""
tls_key_file = ""
[plugins."io.containerd.internal.v1.opt"]
path = "/opt/containerd"
[plugins."io.containerd.internal.v1.restart"]
interval = "10s"
[plugins."io.containerd.internal.v1.tracing"]
sampling_ratio = 1.0
service_name = "containerd"
[plugins."io.containerd.metadata.v1.bolt"]
content_sharing_policy = "shared"
[plugins."io.containerd.monitor.v1.cgroups"]
no_prometheus = false
[plugins."io.containerd.runtime.v1.linux"]
no_shim = false
runtime = "runc"
runtime_root = ""
shim = "containerd-shim"
shim_debug = false
[plugins."io.containerd.runtime.v2.task"]
platforms = ["linux/amd64"]
sched_core = false
[plugins."io.containerd.service.v1.diff-service"]
default = ["walking"]
[plugins."io.containerd.service.v1.tasks-service"]
rdt_config_file = ""
[plugins."io.containerd.snapshotter.v1.aufs"]
root_path = ""
[plugins."io.containerd.snapshotter.v1.btrfs"]
root_path = ""
[plugins."io.containerd.snapshotter.v1.devmapper"]
async_remove = false
base_image_size = ""
discard_blocks = false
fs_options = ""
fs_type = ""
pool_name = ""
root_path = ""
[plugins."io.containerd.snapshotter.v1.native"]
root_path = ""
[plugins."io.containerd.snapshotter.v1.overlayfs"]
root_path = ""
upperdir_label = false
[plugins."io.containerd.snapshotter.v1.zfs"]
root_path = ""
[plugins."io.containerd.tracing.processor.v1.otlp"]
endpoint = ""
insecure = false
protocol = ""
[proxy_plugins]
[stream_processors]
[stream_processors."io.containerd.ocicrypt.decoder.v1.tar"]
accepts = ["application/vnd.oci.image.layer.v1.tar+encrypted"]
args = ["--decryption-keys-path", "/etc/containerd/ocicrypt/keys"]
env = ["OCICRYPT_KEYPROVIDER_CONFIG=/etc/containerd/ocicrypt/ocicrypt_keyprovider.conf"]
path = "ctd-decoder"
returns = "application/vnd.oci.image.layer.v1.tar"
[stream_processors."io.containerd.ocicrypt.decoder.v1.tar.gzip"]
accepts = ["application/vnd.oci.image.layer.v1.tar+gzip+encrypted"]
args = ["--decryption-keys-path", "/etc/containerd/ocicrypt/keys"]
env = ["OCICRYPT_KEYPROVIDER_CONFIG=/etc/containerd/ocicrypt/ocicrypt_keyprovider.conf"]
path = "ctd-decoder"
returns = "application/vnd.oci.image.layer.v1.tar+gzip"
[timeouts]
"io.containerd.timeout.bolt.open" = "0s"
"io.containerd.timeout.shim.cleanup" = "5s"
"io.containerd.timeout.shim.load" = "5s"
"io.containerd.timeout.shim.shutdown" = "3s"
"io.containerd.timeout.task.state" = "2s"
[ttrpc]
address = ""
gid = 0
uid = 0
覆盖配置文件
root@awen-UBuntu:~# containerd config default > /etc/containerd/config.toml
修改配置文件
61 sandbox_image = "registry.k8s.io/pause:3.6"
sandbox_image = "registry.aliyuncs.com/google_containers/pause:3.7"
配置镜像加速
cr
153 [plugins."io.containerd.grpc.v1.cri".registry.mirrors]
154 [plugins."io.containerd.grpc.v1.cri".registry.mirrors."docker.io"]
155 endpoint = ["https://9916w1ow.mirror.aliyuncs.com"]
加速地址
https://ydwu9nbq.mirror.aliyuncs.com
https://cr.console.aliyun.com/
重启container
root@awen-UBuntu:~# systemctl restart containerd.service
安装runc
root@awen-UBuntu:~# wget https://github.com/opencontainers/runc/releases/download/v1.1.4/runc.amd64
root@awen-UBuntu:~# runc -v
runc version 1.1.4
commit: v1.1.4-0-g5fd4c4d
spec: 1.0.2-dev
go: go1.18.7
libseccomp: 2.5.1
网络自己配
安装cni
root@awen-UBuntu:~# wget https://github.com/containernetworking/plugins/releases/download/v1.1.1/cni-plugins-linux-amd64-v1.1.1.tgz root@awen-UBuntu:~# mkdir /opt/cni/bin -pv root@awen-UBuntu:~# tar xvf cni-plugins-linux-amd64-v1.1.1.tgz -C /opt/cni/bin/ 创建容器的客户端 ctr nerdctl containerd相比docker多了一个命名空间的逻辑概念(这个namespase是归纳容器和镜像的),ctr命令默认是在default命名空间里,当使用crictl命令的时候,都是在k8s.io这个命名空间里的,所以不指定namespace会发现看到的镜像、容器等内容不一样。 ctr pull镜像 得写绝对路劲 root@awen-UBuntu:~# ctr images pull docker.io/library/nginx:1.20.2 nerdctl 命令 nerdctl-是一个兼容docker的containerd的客户端,https://github.com/containerd/nerdctl root@awen-UBuntu:~# wget https://github.com/containerd/nerdctl/releases/download/v0.23.0/nerdctl-0.23.0-linux-amd64.tar.gz root@awen-UBuntu:~# tar xvf nerdctl-0.23.0-linux-amd64.tar.gz -C /usr/bin/ 查看帮助命令 root@awen-UBuntu:~# nerdctl --help root@awen-UBuntu:~# nerdctl run -it -p 80:80 --name=nginx-web1 nginx:1.18.0-alpine root@awen-UBuntu:~# nerdctl run -d -p 80:80 --name=nginx-web1 nginx:1.18.0-alpineroot@awen-UBuntu:~# nerdctl exec -it bd311525042a sh
/ # ls
containerd可以使用docker镜像
1.24版本的k8s 使用docker 安装cri-docker.service
containerd构建镜像
安装harbor
下载地址
https://github.com/goharbor/harbor/releases/
root@awen-UBuntu:~# wget https://github.com/goharbor/harbor/releases/download/v2.6.1/harbor-offline-installer-v2.6.1.tgz
root@awen-UBuntu:~# tar xf harbor-offline-installer-v2.6.1.tgz -C /apps
root@awen-UBuntu:~# tar xf harbor-offline-installer-v2.6.1.tgz -C /apps
root@awen-UBuntu:~# cd /apps
root@awen-UBuntu:/apps# ls
harbor
root@awen-UBuntu:/apps# cd harbor/
root@awen-UBuntu:/apps/harbor# ls
common.sh harbor.v2.6.1.tar.gz harbor.yml.tmpl install.sh LICENSE prepare
root@awen-UBuntu:/apps/harbor# cp harbor.yml.tmpl harbor.yml
root@awen-UBuntu:/apps/harbor# vi harbor.yml
hostname: ip/域名
--with-notary 做可行性验证 需要ssl
--with-trivy 对镜像进行漏洞扫描的组件
--with-chartmuseum helm 中chart格式的镜像
root@awen-UBuntu:/apps/harbor# ./install.sh --with-trivy --with-chartmuseum
登录harbor仓库
root@awen-UBuntu:~# docker login 10.4.7.128
Username: admin
Password:
WARNING! Your password will be stored unencrypted in /root/.docker/config.json.
Configure a credential helper to remove this warning. See
https://docs.docker.com/engine/reference/commandline/login/#credentials-store
Login Succeeded
密码文件
root@awen-UBuntu:~# cat /root/.docker/config.json
解密harbor密码
root@awen-UBuntu:~# echo xxxxxxxxxxx| base64 -d
上传镜像脚本
root@awen-UBuntu:~# cat build-command.sh
#!/bin/bash
TAG=$1
docker build -t harbor.xxx.cn/awen/server-web1:${TAG} .
docker push harbor.xxx.cn/awen/server-web1:${TAG}
标签:awen,第二课,--,containerd,io,docker,root From: https://www.cnblogs.com/tshxawen/p/16828185.html