Memo/Docker

Docker

Docker †

https://www.docker.io/
- 仮想化ではなく、LXC(Linux Container)技術を用い、ホストOSの上に独立した環境を構築する。そのため環境を仮想化より早く作れる。ホストOSからプロセスは見える
- 仮想化(VMware, VirtualBox, VirtualPC等)はハードウェアをエミュレートしている。
- 2017-04-21 現在、実験環境では動作するが、本番環境では安定して運用するには向かない。各社(AWS, Google, 他)多大な労力を裂いて検証している

記事
- Docker完全に理解した | IIJ Engineers Blog

↑

Dockle: コンテナのセキュリティ診断 †

https://github.com/goodwithtech/dockle

記事:

Terraform でAWS 環境にDockle + git-secrets を組み込んだCIを構築する - Qiita

↑

バックアップとリストア †

記事

Dockerのデータボリュームをバックアップ/リストアする

↑

versionをjsonで得る †

sudo docker version --format '{{json .}}' | jq .
{
  "Client": {
    "Platform": {
      "Name": "Docker Engine - Community"
    },
    "Version": "19.03.8",
    "ApiVersion": "1.40",
    "DefaultAPIVersion": "1.40",
    "GitCommit": "afacb8b",
    "GoVersion": "go1.12.17",
...

値の一部を得る

sudo docker version --format '{{json .Server.Version}}'
"19.03.8"

sudo docker version --format '{{json .Client.Version}}'
"19.03.8"

↑

docker info: dockerの情報を出力 †

https://docs.docker.com/engine/reference/commandline/info/#format-the-output

docker infoをjsonで出力

sudo docker info --format '{{json .}}' | jq .

特定の項目だけを得る

sudo docker info --format '{{json .ServerVersion}}'
"19.xx.x"

sudo docker info --format '{{json .Driver}}'
"overlay2"

↑

トラブルシューティング †

↑

DNS 名前解決できない場合 †

--dns 8.8.8.8 のように外部のDNSを付ける

docker container run -it --rm --dns 8.8.8.8 ubuntu:latest bash

コンテナビルド時に「/etc/resolve.conf」を任意の値に書き換える

記事:

[docker image build時に、DNSの設定をなんとかしたい - CLOVER](https://kazuhira-r.hatenablog.com/entry/2020/04/12/194225)

↑

yum.dockerproject.orgが廃止された †

Changes to dockerproject.org APT and YUM repositories - Docker Blog
On the 31st of March 2020, we will be shutting down the legacy APT and YUM repositories hosted at dockerproject.org and dockerproject.com.
- 新しいURLがある Install Docker Engine on CentOS | Docker Documentation

↑

調査用のサイズの小さいコンテナ †

busybox: 1.2MBと小さいコンテナで複数コマンドの代替ができる。nslookup等
- COMMAND DESCRIPTIONS
- slow or timeout of dns resolving inside docker - Stack Overflow

↑

ログ基盤設計 †

記事
- コンテナ運用におけるログ基盤設計のベストプラクティス - Qiita

↑

マルチCPUアーキテクチャ †

記事
- ARMアーキテクチャ向けのDockerコンテナイメージをWindows/Macでビルドする | Developers.IO
- Dockerの「マルチCPUアーキテクチャ」に対応したイメージをビルドする | Developers.IO

↑

/var/lib/docker/ の肥大化 †

cron等で定期実行すると、デフォルトではコンテナのストレージは残る
- Docker run リファレンス — Docker-docs-ja 19.03 ドキュメント
- 対策: --rmを付けるとコンテナ終了時にストレージを開放する
```
sudo docker run -it --rm ubuntu /bin/bash
```

現状の確認: duだとoverlayのせいで正しい容量が把握できない
```
sudo docker system df

sudo docker system df -v
```

不要なimageがたまるので削除

# 全コンテナ対象
sudo docker system prune -a --volumes

# 直近24h使ってないコンテナだけ
sudo docker system prune -a --filter "until=24h"
sudo docker system prune --volumes

標準ログがたまる

ログファイル単体を0 byteにする

truncate -s 0 /var/lib/docker/containers/<container-id>/<container-id>-json.log

ロギング・ドライバの設定でログの上限を設定する

# 現在のドライバ確認
docker info | grep Logging
Logging Driver: json-file

# ログ1ファイル、最大10MB、3回までrole-overしたら破棄する
cat /etc/docker/daemon.json
{
  "log-driver": "json-file",
  "log-opts": {"max-size": "10m", "max-file": "3"}
}

sudo service docker restart

記事
- Dockerコンテナのファイル実体と肥大化する/var/lib/docker/overlay2の正体 #docker - クリエーションライン株式会社
- Dockerのログのクリア方法とローテーション設定について｜TOMOZO/エンジニア｜note

↑

build後に不要なコンテナやimageを削除 †

docker buildで失敗したり、同じタグを指定すると、「tag=none」(dangling=宙ぶらりん状態)なimageがどんどん貯まる。
コンテナがあるとimageが消せない。

build時に失敗したimageを自動削除
```
docker build --force-rm=true -t <tag> .
```

exited=1なコンテナを削除

docker rm $(docker ps -a --filter 'exited=1' -q)

tag=noneなimageを削除

docker rmi $(docker images  --filter "dangling=true" -aq)
# or
docker rmi prune

↑

VirtualBoxとDocker for Windowsが競合する †

Memo/VirtualBox#h6910782

↑

Dockerfile †

Dockerfile リファレンス — Docker-docs-ja 17.06.Beta ドキュメント

記事:

↑

MongoDB ReplicaSet †

記事
- docker-composeでMongoDBのReplicaSetを構築する - Qiita

network部分は以下でも動いた
```
networks:
  default:
    driver: bridge
```

↑

コマンド †

記事
- よく使うDockerコマンド - Qiita

CONTAINER=mysql

# bashでコンテナに入る。bashが無いイメージの場合sh
docker exec -it $CONTAINER bash

# hostnameコマンドを実行
sudo docker exec $CONTAINER hostname
または
sudo docker exec $CONTAINER bash -c 'hostname'

↑

Java †

記事
- Javaのコンテナのメモリ割り当ての考え方をまきさんに教えていただいたので記録 - Mitsuyuki.Shiiba

↑

For windows †

記事
- Docker初心者がDocker Desktop for Windowsを動かそうとしてハマったところ｜ DevelopersIO

↑

イメージの容量削減 †

ベースイメージ:

debian-slim
- Debianベース
- "-slim" 付きは使用頻度の高いものしか入ってないが、サイズが小さい
- パッケージ管理: apt

AlmaLinux RHEL 8互換

alpine
- Alpine Linuxベース
- size: 5MB
- パッケージ管理: apk
- libcがサイズ縮小優先。他Linuxと比べてパフォーマンスが悪い(Ubuntu比 -50%、ビルド時間x50倍)

distroless
- googleが管理。アプリケーションランタイムに特化。セキュリティ的に良い。
- bazelでビルドする前提。docker buildとは色々違うので難しい
  - Googleが開発する最新ビルドツール「Bazel」を使ってみよう | さくらのナレッジ
- static, base, Java, Python 3, Golang, Node.js等がある
- パッケージ管理: なし
- shell: なし

ツール:

DockerSlim - Minify Docker Image and Generate Security Profiles. Frictionless!
- docker-slimを使ってDockerイメージのダイエット - Qiita

記事

↑

ベストプラクティス †

Dockerfile のベストプラクティス — Docker-docs-ja 1.9.0b ドキュメント

Python:
- 仕事でPythonコンテナをデプロイする人向けのDockerfile (1): オールマイティ編 | フューチャー技術ブログ
- 仕事でPythonコンテナをデプロイする人向けのDockerfile (2): distroless編 | フューチャー技術ブログ

記事
- WSL(Linux)のdocker-composeのコンテナを非rootユーザーで実行するには │ wonwon eater
  - root userだと、一般ユーザがdocker volumeにアクセスする時にsudoが必要になり不便なため。UID=1000, GID=1000と仮のUSERを指定して、buildする
- 社内のDockerfileのベストプラクティスを公開します│FORCIA CUBE│フォルシア株式会社
- Dockerfileのベストプラクティス Top 20 | Sysdig
- アプリケーションをコンテナ化する際に考えるべきこと – サーバーワークスエンジニアブログ
- 至高のDockerイメージ生成を求めて -2019年版- - Qiita

↑

コンテナ内からのメール送信 †

記事
- Dockerコンテナ内部からホストのSMTPを利用したい - Qiita

↑

ストレージ使用量の確認 †

system毎の使用率表示
```
sudo docker system df
```

詳細: コンテナ毎の使用率表示
```
sudo docker system df -v
```

↑

便利な使い方 †

記事
- Dockerでサクッと使い捨ての開発環境を用意する｜ DevelopersIO

↑

systemd経由で、docker-composeを自動起動 †

記事
- Systemdとdocker-composeでカジュアルにdockerを運用する - Qiita
  - rm, down, --force-recreateがあるので、stop/startの度に、volumeが消える。volumeの永続化をしていないと、mysqlの場合、データが消える。

exampleサービス用のsystemdファイル。volumeは消さない。

--abort-on-container-exit: コンテナが１つでも停止したら全てのコンテナを停止

/etc/systemd/system/example.service

[Unit]
Description=docker-compose example service
Requires=docker.service

[Service]
User=vagrant
Type=simple

EnvironmentFile=-/etc/sysconfig/compose.d/example
Environment=COMPOSE_FILE=/home/vagrant/docker-compose.yml

ExecStartPre=-/usr/local/bin/docker-compose -f ${COMPOSE_FILE} kill
ExecStart=/usr/local/bin/docker-compose -f ${COMPOSE_FILE} up --abort-on-container-exit

ExecStop=/usr/local/bin/docker-compose -f ${COMPOSE_FILE} stop

Restart=always
RestartSec=180s

[Install]
WantedBy=multi-user.target

登録と実行

sudo systemctl daemon-reload
# 自動実行
sudo systemctl enable example
sudo service example start
sudo service example stop

↑

docker-compose: 複数のdockerコンテナをyamlで管理 †

[Announcing Compose V2 General Availability - Docker](https://www.docker.com/blog/announcing-compose-v2-general-availability/)
- v2から「docker compose」に変わる。

Docker Compose — Docker-docs-ja 17.06.Beta ドキュメント
- docker-compose.yml に複数のdockerコンテナを書いて、一度に起動等の管理ができる。localでのテスト等には便利。

記事

volumes: データの永続化をする場合。ホストの固定パスにデータを置ける。
- 省略した場合、rm, down等でデータが消える。

例: mysql

docker-compose.yml

version: '3'
services:
  mysql:
    container_name: mysqld
    image: mysql:5.7
    volumes:
      # 初期データ投入用dir: 01_create.sql 等を置く
      - ./mysql/init:/docker-entrypoint-initdb.d
      # 永続化用
      - ./mysql/data:/var/lib/mysql
    ports:
      - "3306:3306"
    environment:
      MYSQL_DATABASE: db01
      MYSQL_USER: user01
      MYSQL_PASSWORD: eZfqol7ql7drIkyr
      MYSQL_ROOT_PASSWORD: NE0byoxdlbo6pefs

mysqlへ接続。「--protocol tcp」が無いとunix socketを使おうとしてエラーが出る。
```
mysql -u root -p -h localhost --protocol tcp
```

mysqlのrootパスワードを変える場合。
- docker-compose.ymlを変えて、stop/upしても変わらない。mysqlのファイルは、dockerのファイルシステムに書いてあるので、rmが必要。rmするとデータも消える。
```
sudo docker-compose stop mysql
sudo docker-compose rm mysql
sudo docker-compose up -d mysql
```

↑

起動しないコンテナの調査 †

portsが未定義だったり、なにかエラーがあると、コンテナが止まってしまう。
「tty: true」をつける事で起動しつづける事ができる

docker-compose.yml

version: '2'
services:
  alpine:
    image: alpine:latest
    tty: true

起動

docker-compose up -d

docker-compose ps
     Name         Command   State   Ports
-----------------------------------------
example_alpine_1   /bin/sh   Up

コンテナに入って調査
```
docker exec -it example_alpine_1 sh
```
停止
```
docker-compose kill
```

↑

CentOS7:
- docker0という仮想NICが増える。/etc/sysconfig/network-scripts/ 以下には存在しない
- NICの名前が、eth0から、ensXXXのような名前に変わった。

puppet facterやansible factsで自動取得していると、docker0がeth0より先に取得されて既存の設定が壊れる事がある。
- facter ipaddress: eth0の値から、docker0の値へ変わってしまう。

記事
- Dockerを起動すると接続できなくなる場合の対応方法（docker0ブリッジの削除と再設定） - Qiita

↑

CentOS7で There are no more loopback devices available. †

sudo yum install docker device-mapper -y

sudo systemctl start docker
Job for docker.service failed. See 'systemctl status docker.service' and 'journalctl -xn' for details.

sudo systemctl status docker.service -l
...
 9月 07 15:46:04 centos7-server docker-current[2886]: time="2016-09-07T15:46:04.652301456+09:00" level=error msg="There are no more loopback devices available."

# /dev/loop[1:6]を作成
for i in {0..6}; do sudo mknod -m0660 /dev/loop$i b 7 $i;done

# 開始
sudo systemctl start docker
systemctl enable docker

↑

インストール †

ansibleが便利。docker-comporseもインストールしてくれる
- geerlingguy/docker

CentOS 7
- Get Docker CE for CentOS | Docker Documentation

macOS

brew install docker
brew cask install docker