当前位置：首页 > article >正文

Docker 学习笔记：镜像分发、容器运行与资源限制

article 2026/5/13 14:57:53

Docker 学习笔记镜像分发、容器运行与资源限制本笔记续接上一部分涵盖镜像命名与分发、容器的核心操作、底层技术cgroup/namespace以及 CPU/内存资源限制。所有案例代码均经验证直接可用。8. 镜像命名与分发最佳实践8.1 为镜像命名镜像全称由三部分组成Registry地址/命名空间/仓库名:标签例如text054b8ac70e8010d90f2ac00ef29e6580.mirror.swr.myhuaweicloud.com/library/nginx:latest若未指定 tag默认使用latest。注意latest仅是一个普通标签不代表最新稳定版只是约定俗成。8.2 版本标签方案以myimage为例假设发布 v1.9.1bashdocker tag myimage:v1.9.1 myimage:1 docker tag myimage:v1.9.1 myimage:1.9 docker tag myimage:v1.9.1 myimage:1.9.1 docker tag myimage:v1.9.1 myimage:latest后续发布 v1.9.2、v2.0.0 时重新打标签让1、1.9、latest始终指向该分支最新版本。8.3 使用公共仓库 Docker Hubbash# 登录 docker login -u yourname # 重命名镜像 docker tag httpd yourname/httpd:v1 # 上传 docker push yourname/httpd:v18.4 使用华为云镜像仓库 SWRbash# 获取临时登录指令在华为云控制台复制 docker login -u cn-east-3xxx -p xxx swr.cn-east-3.myhuaweicloud.com # 打标签 docker tag httpd:centos swr.cn-east-3.myhuaweicloud.com/gaoqiaodong/centos_httpd:v1 # 推送 docker push swr.cn-east-3.myhuaweicloud.com/gaoqiaodong/centos_httpd:v18.5 搭建私有仓库 Registrybash# 一键启动 docker run -d -p 5000:5000 -v /myregistry:/var/lib/registry --name registry registry:2 # 打标签并推送 docker tag httpd localhost:5000/httpd:v1 docker push localhost:5000/httpd:v1 # 拉取 docker pull localhost:5000/httpd:v18.6 企业级仓库 Harbor 简明部署bash# 下载离线包 wget https://github.com/goharbor/harbor/releases/download/v2.9.1/harbor-offline-installer-v2.9.1.tgz tar -xvf harbor-offline-installer-v2.9.1.tgz mkdir /opt/harbor mv harbor/* /opt/harbor/ cd /opt/harbor docker load -i harbor.v2.9.1.tar.gz # 配置 harbor.yml cp harbor.yml.tmpl harbor.yml vim harbor.yml # 修改 hostname注释 https设置初始密码 # 安装 ./prepare ./install.sh上传镜像到 Harborbash# 配置非安全仓库若无 HTTPS vim /etc/docker/daemon.json # 添加 insecure-registries: [192.168.108.30] systemctl restart docker # 登录并推送 docker login 192.168.108.30 -u images_admin -p Cloud12$ docker tag nginx:latest 192.168.108.30/cloud/nginx:latest docker push 192.168.108.30/cloud/nginx:latest8.7 镜像的导出与导入bash# 导出为 tar docker save httpd -o httpd.tar # 从 tar 导入 docker load -i httpd.tar注意docker export导出的是容器文件系统丢失元数据docker save导出的是完整镜像含分层和标签两者不可混用。9. 容器核心操作9.1 运行容器docker run docker create docker startbash# 创建但不启动 docker create ubuntu # 启动已创建的容器 docker start 容器ID # 直接运行执行完后退出 docker run ubuntu pwd让容器保持运行bash# 前台执行死循环占用终端 docker run ubuntu /bin/bash -c while true; do sleep 1; done # 后台运行 docker run -d ubuntu /bin/bash -c while true; do sleep 1; done # 运行服务类容器如 httpd docker run -d -p 80:80 httpd9.2 进入容器的两种方式docker attach直接连接容器的主进程终端。bashdocker attach 容器ID # 使用 Ctrlp Ctrlq 安全退出docker exec在容器中启动新进程推荐。bashdocker exec -it 容器ID bashdocker logs -f查看容器主进程输出不进入容器。9.3 容器按用途分类服务类容器以-d后台运行如 web server、数据库。工具类容器以-it交互运行用完即删如busybox wget。9.4 容器的启停与重启bashdocker stop 容器 # 发送 SIGTERM docker kill 容器 # 发送 SIGKILL docker start 容器 # 重新启动 docker restart 容器 # 先 stop 再 start自动重启策略bashdocker run -d --restartalways httpd # 可选值no默认, on-failure[:次数], always, unless-stopped重要只有容器内主进程意外退出时--restart才生效docker stop主动停止不会触发自动重启。9.5 暂停与删除bashdocker pause 容器 # 暂停进程不占用 CPU docker unpause 容器 # 删除容器 docker rm 容器ID # 批量删除已退出容器 docker rm -f $(docker ps -aq -f statusexited)9.6 容器状态转换图docker create→Createddocker start→Running主进程退出 →Exiteddocker runcreatestart10. 容器底层技术cgroup 与 namespace容器通过cgroup实现资源限额通过namespace实现资源隔离。10.1 namespace 一览namespace隔离内容UTS主机名和域名IPC信号量、消息队列、共享内存PID进程 ID 编号Network网络设备、IP、端口User用户和组Mount文件系统挂载点简单验证bash# UTS 隔离 docker run --hostname mycontainer busybox hostname # User 隔离 docker run -it ubuntu useradd test # 宿主上并不会有 test 用户10.2 cgroup 实战观察bash# 启动一个带有 cpu-share 的容器 docker run -it --cpu-shares 512 ubuntu-with-stress -c 1 -v # 查看其 cpu.shares 值 cat /sys/fs/cgroup/cpu/docker/容器长ID/cpu.shares # 输出 51211. 限制容器的内存与 CPU11.1 内存限额使用 stress 镜像生成压力测试dockerfileFROM ubuntu RUN apt-get -y update apt-get -y install stress ENTRYPOINT [/usr/bin/stress]bashdocker build -t ubuntu-with-stress .限制内存bash# 限制最大物理内存 200M最大内存swap 300M docker run -it -m 200M --memory-swap300M ubuntu-with-stress --vm 1 --vm-bytes 280M -v若--vm-bytes超过 300M容器会 OOM 退出。参数说明-m/--memory物理内存上限--memory-swap物理内存swap 上限等于-m不使用 swap未设置默认为-m的两倍-1swap 不受限11.2 CPU 限额基于份额的调度通过-c/--cpu-shares设置相对权重默认 1024。bash# 容器 A权重 1024 docker run --name container_A -it -c 1024 ubuntu-with-stress --cpu 4 -v # 容器 B权重 512 docker run --name container_B -it -c 512 ubuntu-with-stress --cpu 4 -v当 CPU 资源争抢时A 获得的时间片约为 B 的两倍。若 A 空闲B 可使用全部 CPU。重点--cpu-shares只在 CPU 竞争时生效。12. 知识点速查表12.1 镜像命名与推送流程速查步骤命令示例登录仓库docker login -u user registry_url打标签docker tag local_image user/repo:tag推送到公共仓库docker push user/repo:tag启动本地 Registrydocker run -d -p 5000:5000 -v /data:/var/lib/registry registry:2导出镜像docker save -o file.tar image:tag导入镜像docker load -i file.tar12.2 容器生命周期命令速查命令功能docker run -d --name web nginx后台运行并命名docker exec -it web bash进入容器执行命令docker logs -f web查看日志并持续输出docker stop web停止容器docker start web启动已存在的容器docker restart web重启容器docker rm -f web强制删除运行中的容器docker run --restartalways无论因何退出均自动重启12.3 资源限制参数速查参数含义示例-m/--memory物理内存限制-m 200M--memory-swap物理内存swap 总限制--memory-swap 300M-c/--cpu-sharesCPU 份额权重-c 512--cpus限制使用的 CPU 核数--cpus1.5--cpuset-cpus绑定到指定 CPU 核心--cpuset-cpus0-112.4 cgroup 相关映射资源cgroup 路径示例CPU 份额/sys/fs/cgroup/cpu/docker/id/cpu.shares内存限制/sys/fs/cgroup/memory/docker/id/memory.limit_in_bytes块设备 IO/sys/fs/cgroup/blkio/docker/id/...12.5 namespace 隔离验证示例bash# PID 隔离 docker run -d --name test busybox sleep 3600 ps aux | grep sleep # 在宿主上看到的 PID 不同于容器内的 PID 1 # 网络隔离 docker run --network none busybox ip a # 仅 lo 接口CPU 份额 |/sys/fs/cgroup/cpu/docker/id/cpu.shares|| 内存限制 |/sys/fs/cgroup/memory/docker/id/memory.limit_in_bytes|| 块设备 IO |/sys/fs/cgroup/blkio/docker/id/...|12.5 namespace 隔离验证示例bash# PID 隔离 docker run -d --name test busybox sleep 3600 ps aux | grep sleep # 在宿主上看到的 PID 不同于容器内的 PID 1 # 网络隔离 docker run --network none busybox ip a # 仅 lo 接口本章笔记到此结束下一部分将深入 Docker 网络、存储、日志监控与多容器编排。

Docker 学习笔记：镜像分发、容器运行与资源限制

相关文章：

Docker 学习笔记：镜像分发、容器运行与资源限制

Cheat Engine 简单使用教程（新手版）

从零到一：在Windows Server上快速部署OpenLDAP服务与客户端连接实战

深度探索JD-GUI：Java字节码逆向工程与代码解析实战剖析

cPanel三连漏洞CVE-2026-29201/29202/29203深度解析：150万服务器面临全面接管危机

命令行与IM桥接工具：适配器模式实现统一消息通知

告别手动建模！用ArcGIS+SWMM+慧天平台，5步搞定城市内涝模拟（附实战数据）

在多模型间切换时Taotoken路由策略带来的稳定性体验

Intel RealSense D435深度数据采集全流程：从Viewer截图到.csv/.raw文件深度解析

caffeine+redis实现多级缓存解决缓存雪崩

凌扬微优势代理 LY3206S / LY3206L 多模式电机驱动芯片 SOP8 技术解析

Harness层数据清洗自动化

别再乱点鼠标了！用netsh advfirewall命令搞定Windows防火墙，效率翻倍（附常用场景命令清单）

如何在Windows上轻松安装APK文件：告别模拟器的完整指南

服装吊牌变量条码打印机：优质供应商选择策略解析

Primr：开源AI研究代理，35分钟自动生成公司深度战略分析报告

终极指南：在Windows上免模拟器安装安卓应用的创新方案

静态前端项目实战：从营销页到现代化门户的架构与实现

嵌入式调试进阶：JScope RTT模式移植与性能实测（对比HSS，速度提升千倍）

别再让数码管显示拖垮你的51单片机！频率计项目中CPU时间分配的优化实战

GitHub Enterprise MCP服务器：企业级代码管理的AI智能助手

Jira、ONES、ClickUp 对比：哪款研发管理软件更适合中国研发团队？

OpenClaw集成xAI Grok模型：一键配置与API兼容性解析

2026年十大主流需求管理工具深度测评：哪款更适合你的研发团队？

AI智能体集成Telegram：双模式MCP服务器原理与实战部署

Illustrator脚本革命：7个必备工具彻底改变你的设计工作流

如何免费获取Book118文档？这个Java工具让你轻松下载完整PDF

基于插件化架构的OBS实时音乐信息集成系统技术解析

加拿大无人机产业：从感知到执行的自主化跃迁与BVLOS破局

告别混乱！用Cadence Allegro SPB17.4从DXF文件创建PCB封装的完整清洁流程