Linux安装Docker后步骤

2019独角兽企业重金招聘Python工程师标准>>>

以非root用户身份管理Docker

Docker守护程序绑定到Unix套接字而不是TCP端口。默认情况下&＃xff0c;Unix套接字由用户root拥有&＃xff0c;而其他用户只能使用sudo访问它。Docker守护程序始终以 root 用户身份运行。
如果您不想在docker命令前加上sudo&＃xff0c;请创建一个名为docker的Unix组并向其添加用户。当Docker守护程序启动时&＃xff0c;它会创建一个可由docker组成员访问的Unix套接字。

创建 docker 组

sudo groupadd docker

将用户添加到 docker 组

sudo usermod -aG docker $USER

注销并重新登录&＃xff0c;以便重新评估您的组成员身份如果在虚拟机上进行测试&＃xff0c;则可能需要重新启动虚拟机才能使更改生效。在桌面Linux环境&＃xff08;如X Windows&＃xff09;上&＃xff0c;完全注销会话&＃xff0c;然后重新登录。
验证是否可以运行docker命令sudo

docker run hello-world

如果在将用户添加到docker组之前最初使用sudo运行Docker CLI命令&＃xff0c;则可能会看到以下错误:

WARNING: Error loading config file: /home/user/.docker/config.json - stat /home/user/.docker/config.json: permission denied

这表示由于sudo命令&＃xff0c;您的~/.docker/目录是使用不正确的权限创建的。要解决此问题&＃xff0c;请删除~/.docker/目录&＃xff08;它会自动重新创建&＃xff0c;但任何自定义设置都将丢失&＃xff09;&＃xff0c;或使用以下命令更改其所有权和权限&＃xff1a;

sudo chown "$USER":"$USER" /home/"$USER"/.docker -R sudo chmod g&＃43;rwx "$HOME/.docker" -R

配置Docker以在启动时启动

大多数当前的Linux发行版&＃xff08;RHEL&＃xff0c;CentOS&＃xff0c;Fedora&＃xff0c;Ubuntu 16.04及更高版本&＃xff09;使用systemd来管理系统启动时启动的服务。
systemd

sudo systemctl enable docker

要禁用开机启动改用disable

sudo systemctl disable docker

upstart
Docker自动配置为使用upstart启动时启动。要禁用此行为&＃xff0c;请使用以下命令&＃xff1a;

echo manual | sudo tee /etc/init/docker.override

chkconfig

chkconfig docker on # chkconfig docker off

故障排除

内核兼容性

如果您的内核早于3.10版本或者缺少某些模块&＃xff0c;则Docker无法正常运行。要检查内核兼容性&＃xff0c;可以下载并运行check-config.sh脚本。

curl https://raw.githubusercontent.com/docker/docker/master/contrib/check-config.sh > check-config.sh bash ./check-config.sh

要查看客户端配置连接到哪个主机&＃xff0c;请检查环境中DOCKER_HOST变量的值

env | grep DOCKER_HOST

如果此命令返回值&＃xff0c;则Docker客户端将设置为连接到在该主机上运行的Docker守护程序。如果未设置&＃xff0c;则Docker客户端将设置为连接到本地主机上运行的Docker守护程序。如果设置错误&＃xff0c;请使用以下命令取消设置&＃xff1a;

unset DOCKER_HOST

您可能需要在~/.bashrc或~/.profile等文件中编辑环境&＃xff0c;以防止错误地设置DOCKER_HOST变量。如果DOCKER_HOST按预期设置&＃xff0c;请验证Docker守护程序是否在远程主机上运行&＃xff0c;以及防火墙或网络中断是否阻止您进行连接。

IP转发问题

如果使用手动配置你的网络systemd-network有systemd 219或更高版本&＃xff0c;Docker容器可能无法访问您的网络。从systemd版本220 开始&＃xff0c;给定网络&＃xff08;net.ipv4.conf..forwarding&＃xff09;的转发设置默认为关闭。此设置可防止IP转发。它还与Docker net.ipv4.conf.all.forwarding在容器中启用设置的行为相冲突。
要在RHEL&＃xff0c;CentOS或Fedora上解决此问题&＃xff0c;请.network 在/usr/lib/systemd/network/Docker主机上编辑该文件&＃xff08;例如&＃xff1a;&＃xff09;/usr/lib/systemd/network/80-container-host0.network并在该[Network]部分中添加以下块。

[Network] ... IPForward&＃61;kernel # OR IPForward&＃61;true ...

此配置允许按预期从容器进行IP转发。

DNS resolver found in resolv.conf and containers can&＃39;t use it

使用GUI的Linux系统通常运行网络管理器&＃xff0c;该网络管理器使用dnsmasq在环回地址上运行的实例&＃xff0c;例如127.0.0.1或 127.0.1.1缓存DNS请求&＃xff0c;并将此条目添加到 /etc/resolv.conf。该dnsmasq服务可加速DNS查询并提供DHCP服务。此配置不拥有自己的网络命名空间的码头工人容器内工作&＃xff0c;因为多克尔容器解决回环地址&＃xff0c;如127.0.0.1对自身&＃xff0c;这是很不可能的运行在自己的回送地址的DNS服务器。
如果Docker检测到没有引用的DNS服务器/etc/resolv.conf是功能齐全的DNS服务器&＃xff0c;则会出现以下警告&＃xff0c;并且Docker使用Google提供的公共DNS服务器8.8.8.8并8.8.4.4进行DNS解析。

WARNING: Local (127.0.0.1) DNS resolver found in resolv.conf and containers can&＃39;t use it. Using default external servers : [8.8.8.8 8.8.4.4]

如果您看到此警告&＃xff0c;请先检查您是否使用dnsmasq&＃xff1a;

ps aux |grep dnsmasq

如果您的容器需要解析网络内部的主机&＃xff0c;则公共名称服务器不够用。你有两个选择&＃xff1a;

您可以为Docker指定要使用的DNS服务器&＃xff0c;或
您可以dnsmasq在NetworkManager中禁用。如果您这样做&＃xff0c;NetworkManager会添加您真正的DNS名称服务器/etc/resolv.conf&＃xff0c;但您将失去可能的好处dnsmasq。

为Docker指定DNS服务器

配置文件的默认位置是/etc/docker/daemon.json。您可以使用--config-file 守护程序标志更改配置文件的位置。以下文档假定配置文件位于/etc/docker/daemon.json。

创建或编辑Docker守护程序配置文件&＃xff0c;该/etc/docker/daemon.json文件默认为 file&＃xff0c;它控制Docker守护程序配置。

sudo nano /etc/docker/daemon.json

添加dns一个或多个IP地址作为值的密钥。如果文件包含现有内容&＃xff0c;则只需添加或编辑该dns行。

{"dns": ["8.8.8.8", "8.8.4.4"] }

如果您的内部DNS服务器无法解析公共IP地址&＃xff0c;请至少包含一个DNS服务器&＃xff0c;以便您可以连接到Docker Hub&＃xff0c;以便您的容器可以解析Internet域名。
保存并关闭文件。

重新启动Docker守护程序。

sudo service docker restart

通过尝试提取图像来验证Docker是否可以解析外部IP地址&＃xff1a;

docker pull hello-world

如有必要&＃xff0c;请验证Docker容器是否可以通过ping它来解析内部主机名。

docker run --rm -it alpine ping -c4 PING google.com (192.168.1.2): 56 data bytes 64 bytes from 192.168.1.2: seq&＃61;0 ttl&＃61;41 time&＃61;7.597 ms 64 bytes from 192.168.1.2: seq&＃61;1 ttl&＃61;41 time&＃61;7.635 ms 64 bytes from 192.168.1.2: seq&＃61;2 ttl&＃61;41 time&＃61;7.660 ms 64 bytes from 192.168.1.2: seq&＃61;3 ttl&＃61;41 time&＃61;7.677 ms

禁用 DNSMASQ

ubuntu的
如果您不想更改Docker守护程序的配置以使用特定的IP地址&＃xff0c;请按照以下说明dnsmasq在NetworkManager中禁用。

编辑/etc/NetworkManager/NetworkManager.conf文件。
通过dns&＃61;dnsmasq在行#的开头添加一个字符来注释掉该行。

# dns&＃61;dnsmasq

保存并关闭文件。 3. 重新启动NetworkManager和Docker。作为替代方案&＃xff0c;您可以重新启动系统。

sudo restart network-manager sudo restart docker

RHEL&＃xff0c;CentOS或Fedora
要dnsmasq在RHEL&＃xff0c;CentOS或Fedora上禁用&＃xff1a;

禁用该dnsmasq服务&＃xff1a;

sudo service dnsmasq stop sudo systemctl disable dnsmasq

使用Red Hat文档手动配置DNS服务器。

允许通过防火墙访问远程API

如果您在运行Docker的同一主机上运行防火墙并且想要从另一台主机访问Docker Remote API并启用远程访问&＃xff0c;则需要配置防火墙以允许Docker端口上的传入连接&＃xff0c;默认为2376if启用TLS加密传输或2375 以其他方式启用。
两个常见的防火墙守护程序是 UFW&＃xff08;简单防火墙&＃xff09;&＃xff08;通常用于Ubuntu系统&＃xff09;和firewalld&＃xff08;通常用于基于RPM的系统&＃xff09;。请参阅操作系统和防火墙的文档&＃xff0c;但以下信息可能有助于您入门。这些选项相当宽松&＃xff0c;您可能希望使用不同的配置来更好地锁定系统。

UFW&＃xff1a;DEFAULT_FORWARD_POLICY&＃61;"ACCEPT"在您的配置中设置。
firewalld&＃xff1a;在策略中添加与以下类似的规则&＃xff08;一个用于传入请求&＃xff0c;另一个用于传出请求&＃xff09;。确保接口名称和链名称正确。

[ -i zt0 -j ACCEPT ][ -o zt0 -j ACCEPT ]

Your kernel does not support cgroup swap limit capabilities

在Ubuntu或Debian主机上&＃xff0c;使用图像时&＃xff0c;您可能会看到类似于以下内容的消息。

WARNING: Your kernel does not support swap limit capabilities. Limitation discarded.

在基于RPM的系统上不会发生此警告&＃xff0c;这些系统默认启用这些功能。
如果您不需要这些功能&＃xff0c;则可以忽略该警告。您可以按照这些说明在Ubuntu或Debian上启用这些功能。即使Docker未运行&＃xff0c;内存和交换计费也会占总可用内存的1&＃xff05;左右&＃xff0c;总体性能降低10&＃xff05;。