Memo/Docker

• Memo/Docker/Dockerfile
• Memo/Docker/k3s
• Memo/Docker/Kubernetes
• Memo/Docker/nomad

Docker †

• https://www.docker.io/
  • 仮想化ではなく、LXC(Linux Container)技術を用い、ホストOSの上に独立した環境を構築する。そのため環境を仮想化より早く作れる。ホストOSからプロセスは見える
  • 仮想化(VMware, VirtualBox, VirtualPC等)はハードウェアをエミュレートしている。
  • 2017-04-21 現在、実験環境では動作するが、本番環境では安定して運用するには向かない。各社(AWS, Google, 他)多大な労力を裂いて検証している

• 記事
  • Docker完全に理解した | IIJ Engineers Blog

• Dockerハンドブック
• [Docker入門]コンテナ同士の連携：ネットワークとボリューム – サーバーワークスエンジニアブログ
• [Dokcer入門]リポジトリとDockerfile、そしてビルド – サーバーワークスエンジニアブログ
• [Docker入門]Dockerとは：Dockerとコンテナの基本概念 – サーバーワークスエンジニアブログ
• macでdocker desktopが起動しないときのシンプルな対処方法 ｜ DevelopersIO
• 【コンテナ技術入門】コンテナ要素技術をDocker使わずに基礎から手を動かして学べる超有用なテキスト #dockerTokyo ｜ DevelopersIO
• 【狂宴再び】変態ミートアップ、Container build meetup #2に参加してきた #container_build ｜ DevelopersIO
• Dockerの本番運用 | インフラ・ミドルウェア | POSTD
• これから始める「DockerでかんたんLAMP環境 for CentOS」 - さくらのナレッジ

---

debug †

• 一時的に entrypoint.sh を無視してコンテナ内に入る

  docker run --entrypoint '' -it --rm example /bin/bash

---

Docker Desktopの代替 †

• 2025-01-10: macOSでDocker Destopがマルウェアと誤検知されて動作しない場合の回避策： https://status.io/pages/incident/533c6539221ae15e3f000031/677dd6e2108ba105c8d0258c

• Docker Desktop、無料で使える猶予期間が終了　従業員数250人以上、年間売り上げ1000万ドル以上の組織は有料に - ITmedia NEWS

  個人利用もしくはスモールビジネス（従業員数250人未満かつ年間売上高1000万ドル未満（訳注：1ドル110円換算で11億円））、教育機関、非商用のオープンソースプロジェクトでは引き続き無料で利用できる

• Desktopが有料なだけで、Engine, Composeは無料で利用きる。
  • LinuxでDocker Engine, Composeだけ利用している場合は問題ない。
  • WindowsもWSL2上でUbuntu等をインストールし、その中でEngineをインストールすれば問題なく利用できた。
  • macOSはEngineだけの利用はできない。コンテナはLinux kernelの機能であり、macOSは違う。Docker DesktopにLinuxKit(VM)が含まれていて、その中でEngineが動作しているため。

• GitHub - runfinch/finch: The Finch CLI is an open source client for container development
  • Linux/macOS/WSL2 on Windows対応
  • コンテナ開発用のオープンソースクライアント「Finch」のご紹介 | Amazon Web Services ブログ

• Rancher Desktop by SUSE
  • OSS
  • Docker CLI/Composeからの利用が可能

• OrbStack · Fast, light, simple Docker & Linux
  • Is OrbStack free? beta中や個人利用は無料だが、ビジネス用途は有料

記事:

• Docker Desktop と代替ツールの機能検証まとめ

---

プロセス毎の使用量確認 †

• プロセス一覧

  docker ps

• プロセス毎のCPU/memory/disk/network

  docker stats

---

Docker build時にプライベートgit repoを参照する †

• ssh秘密鍵をdockerコンテナ内に置かないほうが良い
• Dockerビルド時にプライベートリポジトリをクローンする

  docker build --ssh default .

---

Docker Hubのratelimit上限に達した場合 †

• 同一IPからのdocker pullに上限がある。EKS node group作り直し等すると、すぐに到達する場合がある
• Understanding Your Docker Hub Rate Limit | Docker
  • 無料ユーザーは 6時間で、100〜200 pull 2025-03-01から1時間に匿名ユーザー(IP毎) 10 pull。認証済みユーザー 100 pull
  • Pro/Teamプランは、unlimited

• How can I check my current rate?
  • curlで現在のrate limitを取得できる

• viadee/docker-hub-rate-limit-exporter: Know your limits - Via Prometheus
  • Prometheus + Grafanaで監視する場合

代替: AWSを利用しているなら、ECR publicが良さそう

• Docker 公式イメージが Amazon Elastic Container Registry Public で利用可能になりました | Amazon Web Services ブログ
• https://gallery.ecr.aws/ を見て、docker hubの代わりに指定する

記事:

• Docker HubのRate Limitにやられた話 - OPTiM TECH BLOG
• docker pullのRate Limits適用状態を確認 - Qiita

---

dockerコンテナ内から、hostのSMTPを利用してemailを送信する †

記事:

• Dockerコンテナ内部からホストのSMTPを利用したい - Qiita

• docker0のCIDRをメモ: 172.17.0.1/16

  ip addr | grep docker0
  3: docker0: <NO-CARRIER,BROADCAST,MULTICAST,UP> mtu 1500 qdisc noqueue state DOWN group default
      inet 172.17.0.1/16 brd 172.17.255.255 scope global docker0

• postfixのinet_interfacesにdocker 0のIPからの送信を許可

  sudo vim /etc/postfix/main.cf
  --
  inet_interfaces = localhost, 172.17.0.1
  --
  sudo service postfix restart

• コンテナ内からは、smtp_host=172.17.0.1を利用して送信する

---

Dockle: コンテナのセキュリティ診断 †

• https://github.com/goodwithtech/dockle

記事:

• Terraform でAWS 環境にDockle + git-secrets を組み込んだCIを構築する - Qiita

---

バックアップとリストア †

記事

• Dockerのデータボリュームをバックアップ/リストアする

---

versionをjsonで得る †

sudo docker version --format '{{json .}}' | jq .
{
  "Client": {
    "Platform": {
      "Name": "Docker Engine - Community"
    },
    "Version": "19.03.8",
    "ApiVersion": "1.40",
    "DefaultAPIVersion": "1.40",
    "GitCommit": "afacb8b",
    "GoVersion": "go1.12.17",
...

• 値の一部を得る

  sudo docker version --format '{{json .Server.Version}}'
  "19.03.8"
  
  sudo docker version --format '{{json .Client.Version}}'
  "19.03.8"

---

docker info: dockerの情報を出力 †

• https://docs.docker.com/engine/reference/commandline/info/#format-the-output

• docker infoをjsonで出力

  sudo docker info --format '{{json .}}' | jq .

• 特定の項目だけを得る

  sudo docker info --format '{{json .ServerVersion}}'
  "19.xx.x"
  
  sudo docker info --format '{{json .Driver}}'
  "overlay2"

---

トラブルシューティング †

---

DNS 名前解決できない場合 †

• --dns 8.8.8.8 のように外部のDNSを付ける

  docker container run -it --rm --dns 8.8.8.8 ubuntu:latest bash

• コンテナビルド時に「/etc/resolve.conf」を任意の値に書き換える

記事:

• docker image build時に、DNSの設定をなんとかしたい - CLOVER

---

yum.dockerproject.orgが廃止された †

• Changes to dockerproject.org APT and YUM repositories - Docker Blog

  On the 31st of March 2020, we will be shutting down the legacy APT and YUM repositories hosted at dockerproject.org and dockerproject.com.

  • 新しいURLがある Install Docker Engine on CentOS | Docker Documentation

---

調査用のサイズの小さいコンテナ †

• busybox: 1.2MBと小さいコンテナで複数コマンドの代替ができる。nslookup等
  • COMMAND DESCRIPTIONS
  • slow or timeout of dns resolving inside docker - Stack Overflow

---

ログ基盤設計 †

• 記事
  • コンテナ運用におけるログ基盤設計のベストプラクティス - Qiita

---

マルチプラットフォームビルド(マルチCPU) †

• linux/amd64,linux/arm64対応のimageをビルドしたい
  • "docker buildx create" で複数環境用ビルドインスタンスを用意する
  • "docker buildx build" でビルドするが、--pushか--loadが必須。

• imageのarchを確認

  docker image inspect myimage:latest --format '{{.Architecture}}'
  
  amd64

• 記事
  • マルチアーキテクチャビルドとイメージ、簡単な方法 | Docker
  • ARMアーキテクチャ向けのDockerコンテナイメージをWindows/Macでビルドする | Developers.IO
  • Dockerの「マルチCPUアーキテクチャ」に対応したイメージをビルドする | Developers.IO

---

AWSCLIv2 †

• 普通にインストールすると250MBを超える。当然docker imageサイズも増える。

  du -sh /usr/local/aws-cli/
  257M    /usr/local/aws-cli/

記事:

• AWS CLI ツールを扱うマルチ CPU アーキテクチャ対応な Docker イメージを作成する

---

AWS ECRにコンテナイメージを登録 †

• ビルド後、AWS ECRにコンテナイメージを登録したい

  docker logout public.ecr.aws
  export AWS_PROFILE=example
  aws ecr get-login-password --region ap-northeast-1 | docker login --username AWS --password-stdin 123456789012.dkr.ecr.ap-northeast-1.amazonaws.com

• Makefile:

  REPO_URL = 123456789012.dkr.ecr.ap-northeast-1.amazonaws.com
  IMAGE_NAME = myimage
  REPO_IMAGE = example/$(IMAGE_NAME)
  DOCKER_TAG ?= latest
  PLATFORM = linux/amd64,linux/arm64
  
  buildx-push:
  	-docker buildx create --name mybuilder --platform $(PLATFORM)
  	docker buildx build --builder mybuilder --platform $(PLATFORM) -t $(REPO_URL)/$(REPO_IMAGE):$(DOCKER_TAG) --push .

---

/var/lib/docker/ の肥大化 †

• cron等で定期実行すると、デフォルトではコンテナのストレージは残る
  • Docker run リファレンス — Docker-docs-ja 19.03 ドキュメント
  • 対策: --rmを付けるとコンテナ終了時にストレージを開放する

    sudo docker run -it --rm ubuntu /bin/bash

• 現状の確認: duだとoverlayのせいで正しい容量が把握できない

  sudo docker system df
  
  sudo docker system df -v

• 不要なimageがたまるので削除

  # 全コンテナ対象
  sudo docker system prune -a --volumes
  
  # 直近24h使ってないコンテナだけ
  sudo docker system prune -a --filter "until=24h"
  sudo docker system prune --volumes

• 標準ログがたまる
  • ログファイル単体を0 byteにする

    truncate -s 0 /var/lib/docker/containers/<container-id>/<container-id>-json.log

  • ロギング・ドライバの設定でログの上限を設定する

    # 現在のドライバ確認
    docker info | grep Logging
    Logging Driver: json-file
    
    # ログ1ファイル、最大10MB、3回までrole-overしたら破棄する
    cat /etc/docker/daemon.json
    {
      "log-driver": "json-file",
      "log-opts": {"max-size": "10m", "max-file": "3"}
    }
    
    sudo service docker restart

• 記事
  • Dockerコンテナのファイル実体と肥大化する/var/lib/docker/overlay2の正体 #docker - クリエーションライン株式会社
  • Dockerのログのクリア方法とローテーション設定について｜TOMOZO/エンジニア｜note

---

build後に不要なコンテナやimageを削除 †

docker buildで失敗したり、同じタグを指定すると、「tag=none」(dangling=宙ぶらりん状態)なimageがどんどん貯まる。
コンテナがあるとimageが消せない。

• build時に失敗したimageを自動削除

  docker build --force-rm=true -t <tag> .

• exited=1なコンテナを削除

  docker rm $(docker ps -a --filter 'exited=1' -q)

• tag=noneなimageを削除

  docker rmi $(docker images  --filter "dangling=true" -aq)
  # or
  docker rmi prune

---

VirtualBoxとDocker for Windowsが競合する †

• Memo/VirtualBox#h6910782

---

MongoDB ReplicaSet †

• 記事
  • docker-composeでMongoDBのReplicaSetを構築する - Qiita

• network部分は以下でも動いた

  networks:
    default:
      driver: bridge

---

コマンド †

• 記事
  • よく使うDockerコマンド - Qiita

CONTAINER=mysql

# bashでコンテナに入る。bashが無いイメージの場合sh
docker exec -it $CONTAINER bash

# hostnameコマンドを実行
sudo docker exec $CONTAINER hostname
または
sudo docker exec $CONTAINER bash -c 'hostname'

---

Java †

• 記事
  • Javaのコンテナのメモリ割り当ての考え方をまきさんに教えていただいたので記録 - Mitsuyuki.Shiiba

---

For windows †

• 記事
  • Docker初心者がDocker Desktop for Windowsを動かそうとしてハマったところ ｜ DevelopersIO

---

イメージの容量削減 †

ベースイメージ:

• debian-slim
  • Debianベース
  • "-slim" 付きは使用頻度の高いものしか入ってないが、サイズが小さい
  • パッケージ管理: apt

• AlmaLinux RHEL 8互換

• alpine
  • Alpine Linuxベース
  • size: 5MB
  • パッケージ管理: apk
  • libcがサイズ縮小優先。他Linuxと比べてパフォーマンスが悪い(Ubuntu比 -50%、ビルド時間x50倍)

• distroless
  • googleが管理。アプリケーションランタイムに特化。セキュリティ的に良い。
  • bazelでビルドする前提。docker buildとは色々違うので難しい
    • Googleが開発する最新ビルドツール「Bazel」を使ってみよう | さくらのナレッジ
  • static, base, Java, Python 3, Golang, Node.js等がある
  • パッケージ管理: なし
  • shell: なし

ツール:

• DockerSlim - Minify Docker Image and Generate Security Profiles. Frictionless!
  • docker-slimを使ってDockerイメージのダイエット - Qiita

• 記事
  • Docker イメージ 最小化計画 - Qiita
  • zstd 圧縮したコンテナイメージを使用して AWS Fargate の起動時間を短縮する | Amazon Web Services ブログ
  • 軽量Dockerイメージに安易にAlpineを使うのはやめたほうがいいという話 - inductor's blog
  • Dockerのmulti stage buildsを使ってPythonモジュールをインストールしてみる | Developers.IO
  • 【少しでも楽してコンテナイメージを減らしたかった】コンテナイメージサイズを縮小するためにDive使ってイメージを分析してみた ｜ DevelopersIO

---

ベストプラクティス †

• Python:
  • 仕事でPythonコンテナをデプロイする人向けのDockerfile (1): オールマイティ編 | フューチャー技術ブログ
  • 仕事でPythonコンテナをデプロイする人向けのDockerfile (2): distroless編 | フューチャー技術ブログ

• 記事
  • WSL(Linux)のdocker-composeのコンテナを非rootユーザーで実行するには │ wonwon eater
    • root userだと、一般ユーザがdocker volumeにアクセスする時にsudoが必要になり不便なため。UID=1000, GID=1000と仮のUSERを指定して、buildする
  • アプリケーションをコンテナ化する際に考えるべきこと – サーバーワークスエンジニアブログ
  • 至高のDockerイメージ生成を求めて -2019年版- - Qiita

---

コンテナ内からのメール送信 †

• 記事
  • Dockerコンテナ内部からホストのSMTPを利用したい - Qiita

---

ストレージ使用量の確認 †

• system毎の使用率表示

  sudo docker system df

• 詳細: コンテナ毎の使用率表示

  sudo docker system df -v

---

便利な使い方 †

• 記事
  • Dockerでサクッと使い捨ての開発環境を用意する ｜ DevelopersIO

---

systemd経由で、dockerコンテナを自動起動 †

記事:

• 【Docker/RHEL】コンテナをsystemctlで自動起動化する方法 - (O+P)ut

---

systemd経由で、docker-composeを自動起動 †

• 記事
  • mysql、mysqlコンテナ(dockerのDBコンテナ)でのメモリ使用量を抑える方法。VPSだとメモリが足りなくてOOMが頻発する。 #MySQL - Qiita
  • Systemdとdocker-composeでカジュアルにdockerを運用する - Qiita
    • rm, down, --force-recreateがあるので、stop/startの度に、volumeが消える。volumeの永続化をしていないと、mysqlの場合、データが消える。

• exampleサービス用のsystemdファイル。volumeは消さない。
  • --abort-on-container-exit: コンテナが１つでも停止したら全てのコンテナを停止
  • /etc/systemd/system/example.service

    [Unit]
    Description=docker-compose example service
    Requires=docker.service
    
    [Service]
    User=vagrant
    Type=simple
    
    EnvironmentFile=-/etc/sysconfig/compose.d/example
    Environment=COMPOSE_FILE=/home/vagrant/docker-compose.yml
    
    ExecStartPre=-/usr/local/bin/docker-compose -f ${COMPOSE_FILE} kill
    ExecStart=/usr/local/bin/docker-compose -f ${COMPOSE_FILE} up --abort-on-container-exit
    
    ExecStop=/usr/local/bin/docker-compose -f ${COMPOSE_FILE} stop
    
    Restart=always
    RestartSec=180s
    
    [Install]
    WantedBy=multi-user.target

  • 登録と実行

    sudo systemctl daemon-reload
    # 自動実行
    sudo systemctl enable example
    sudo service example start
    sudo service example stop

---

docker-compose: 複数のdockerコンテナをyamlで管理 †

• Announcing Compose V2 General Availability - Docker
  • v2から「docker compose」に変わる。

• Docker Compose — Docker-docs-ja 17.06.Beta ドキュメント
  • docker-compose.yml に複数のdockerコンテナを書いて、一度に起動等の管理ができる。localでのテスト等には便利。

• 記事
  • Docker Compose入門 (2) 〜ウェブサーバの開発環境を作るための準備〜 | さくらのナレッジ
  • Docker Compose入門 (1) 〜アプリケーションをコンテナで簡単に扱うためのツール〜 | さくらのナレッジ
  • docker-compose＋MySQL5.7(8.0も)+初期化+永続化 - Qiita
  • [Docker入門]Docker Composeの概要と使用法 – サーバーワークスエンジニアブログ

• volumes: データの永続化をする場合。ホストの固定パスにデータを置ける。
  • 省略した場合、rm, down等でデータが消える。

• 例: mysql
• docker-compose.yml

  version: '3'
  services:
    mysql:
      container_name: mysqld
      image: mysql:5.7
      volumes:
        # 初期データ投入用dir: 01_create.sql 等を置く
        - ./mysql/init:/docker-entrypoint-initdb.d
        # 永続化用
        - ./mysql/data:/var/lib/mysql
      ports:
        - "3306:3306"
      environment:
        MYSQL_DATABASE: db01
        MYSQL_USER: user01
        MYSQL_PASSWORD: eZfqol7ql7drIkyr
        MYSQL_ROOT_PASSWORD: NE0byoxdlbo6pefs

• mysqlへ接続。「--protocol tcp」が無いとunix socketを使おうとしてエラーが出る。

  mysql -u root -p -h localhost --protocol tcp

• mysqlのrootパスワードを変える場合。
  • docker-compose.ymlを変えて、stop/upしても変わらない。mysqlのファイルは、dockerのファイルシステムに書いてあるので、rmが必要。rmするとデータも消える。

    sudo docker-compose stop mysql
    sudo docker-compose rm mysql
    sudo docker-compose up -d mysql

---

Docker Compose Watch: ファイルの変更を検知し、コンテナ内にコピー †

• Use Compose Watch | Docker Docs
  • Docker Compose 2.22以降
  • localファイルの変更を検知し、コンテナ内にコピー
  • コンテナ内のファイル変更は検知しない

記事:

• Docker Compose Watchのすすめ - Hatena Developer Blog

---

起動しないコンテナの調査 †

portsが未定義だったり、なにかエラーがあると、コンテナが止まってしまう。
「tty: true」をつける事で起動しつづける事ができる

• docker-compose.yml

  version: '2'
  services:
    alpine:
      image: alpine:latest
      tty: true

• 起動

  docker-compose up -d
  
  docker-compose ps
       Name         Command   State   Ports
  -----------------------------------------
  example_alpine_1   /bin/sh   Up

• コンテナに入って調査

  docker exec -it example_alpine_1 sh

• 停止

  docker-compose kill

---

コード整形 †

• VS code
  • Docker - Visual Studio Marketplace

• 記事
  • Formatterを使って、Dockerfileをキレイに書く方法とGitを絡めた使い方 ｜ DevelopersIO

---

Javaアプリ関連 †

• 記事
  • Dockerコンテナで動くJVMアプリケーションに対して async-profiler を使ってみる ｜ DevelopersIO

---

脆弱性検査 †

• 脆弱性情報
  • runcの脆弱性情報(Important: CVE-2019-5736) - OSS脆弱性ブログ

• 記事
  • 最近話題のコンテナ脆弱性ツール「Trivy」を試してみた ｜ DevelopersIO

---

セキュリティ †

• 記事
  • コンテナセキュリティを始めるのに有用なドキュメント3つと無料ツール5つの紹介 ｜ DevelopersIO
  • Docker 公式のセキュリティ診断ツール「Docker Bench for Security」を試した - kakakakakku blog

---

デフォルトのポートマッピングは外部からアクセスできる †

• デフォルトではポートマッピングした場合、外部からアクセスできてします
• Docker Engineの設定を追加して、localhostからのみアクセスできるようにしたほうが安全

  "ip": "127.0.0.1"

記事:

• Dockerのポートマッピングのデフォルト設定は危ない - JUNのブログ

---

BuildKit: ビルドの高速化 †

• 記事
  • DockerイメージビルドのキャッシュをBuildKitを交えつつActionsでやってみた | Developers.IO
  • 【ビルド高速化！】AWS CodeBuildが次世代高速コンテナビルドのBuildKitをサポートしました ｜ DevelopersIO
  • BuildKitによる高速でセキュアなイメージビルド

---

仮想NIC/ブリッジ/docker0 †

• Docker0 ブリッジのカスタマイズ — Docker-docs-ja 17.06 ドキュメント

• CentOS7:
  • docker0という仮想NICが増える。/etc/sysconfig/network-scripts/ 以下には存在しない
  • NICの名前が、eth0から、ensXXXのような名前に変わった。

• puppet facterやansible factsで自動取得していると、docker0がeth0より先に取得されて既存の設定が壊れる事がある。
  • facter ipaddress: eth0の値から、docker0の値へ変わってしまう。

• 記事
  • Dockerを起動すると接続できなくなる場合の対応方法（docker0ブリッジの削除と再設定） - Qiita

---

CentOS7で There are no more loopback devices available. †

sudo yum install docker device-mapper -y

sudo systemctl start docker
Job for docker.service failed. See 'systemctl status docker.service' and 'journalctl -xn' for details.

sudo systemctl status docker.service -l
...
 9月 07 15:46:04 centos7-server docker-current[2886]: time="2016-09-07T15:46:04.652301456+09:00" level=error msg="There are no more loopback devices available."

# /dev/loop[1:6]を作成
for i in {0..6}; do sudo mknod -m0660 /dev/loop$i b 7 $i;done

# 開始
sudo systemctl start docker
systemctl enable docker

---

インストール †

• ansibleが便利。docker-comporseもインストールしてくれる
  • geerlingguy/docker

• CentOS 7
  • Get Docker CE for CentOS | Docker Documentation

• macOS

  brew install docker
  brew cask install docker

Software

• 自作ソフト
• wiki自作プラグイン
• 利用規定
• ランキング
• 雑誌等掲載履歴

Programming

Game

雑記

連絡先

---

• MenuBar
• RightBar
• :admin
  

人気の10件

最新の10件

---