[journalctl与Docker日志集...]的搜索结果

Docker日志等级输出：深入理解与实战查看最后100行 一、Docker日志概览 在我们日常的开发运维工作中，Docker作为容器化技术的领军者，极大地简化了应用部署和管理的过程。而Docker容器产生的日志，则是我们洞察程序运行状态、排查问题的重要依据。这篇东西，咱们要聊的就是怎么让Docker日志等级输出变得灵活可控，再就是怎么轻轻松松看透最后那100行日志的高效秘籍。 二、Docker日志级别设置 在Docker中，日志级别的调整通常是在容器启动时通过--log-driver和--log-opt参数指定。比如，我们可以设定日志级别为info，以便只输出信息级别及以上的日志： bash docker run -it --log-driver=json-file --log-opt max-size=10m --log-opt max-file=3 --log-opt labels=info your-image-name 上述命令设置了日志驱动为json-file（这是Docker默认的日志驱动），同时限制了单个日志文件最大10M，最多保存3个文件，并且只记录info及以上级别的日志。 三、查看Docker容器日志的几种方式 1. 使用docker logs命令 Docker提供了一个内置命令docker logs来查看容器的日志，默认情况下，它会显示容器的所有输出。 bash docker logs -f --tail 100 your-container-id-or-name 上述命令中的-f表示实时（follow）输出日志，--tail 100则表示仅显示最后100行日志内容。这就是咱们今天讨论主题的重点操作环节，说白了，就是用来快速瞅一眼某个容器最近都干了啥。 2. 结合journalctl查看systemd驱动的日志 若你配置了Docker使用journald日志驱动，可以借助journalctl工具查看： bash journalctl -u docker.service --since "1 hour ago" _COMM=docker 这里并没有直接实现查看容器最后100行日志，但你可以根据实际需要调整journalctl的查询条件以达到类似效果。 四、深入思考 为什么我们需要查看日志最后100行？ 当我们面对复杂的系统环境或突发的问题时，快速定位到问题发生的时间窗口至关重要。瞧瞧Docker容器日志最后的100条信息，就像是翻看最近发生的故事一样，能让我们闪电般地抓住最新的动态，更快地寻找到解决问题的关键线索。这就好比侦探破案，总是先从最新的线索入手，逐步揭开谜团。 五、实践探索 自定义日志输出格式与存储 除了基础的日志查看功能外，Docker还支持丰富的自定义日志处理选项。例如，我们可以将日志发送至syslog服务器，或者对接第三方日志服务如Logstash等。对于资深用户来说，这种灵活性简直就是个宝藏，它意味着无限多的可能性。你可以根据自家业务的具体需求，随心所欲地打造一套最适合自己的日志管理系统，就像私人订制一般，让一切都变得恰到好处。 总结来说，理解和熟练掌握Docker日志管理，尤其是如何便捷地查看日志最后100行，是每个Docker使用者必备技能之一。经过不断动手尝试和摸爬滚打，我们定能把Docker这玩意儿玩得溜起来，让它在咱们的开发运维工作中大显身手，发挥出更大的价值。下次当你面对茫茫日志海洋时，希望这篇指南能助你快速锁定目标，犹如海上的灯塔照亮前行的方向。

... 在root模式下 Docker Daemon 默认配置文件路径“/etc/docker/daemon.json” 3 在rootless模式下 默认配置文件路径在~/.docker/ TLS模式下证书路径： 1 优先选择环境变量 DOCKER_CERT_PATH 2 再选择环境变量 DOCKER_CONFIG 3 在选择 当前用户home目录的.docker文件夹下 4 证书名字优先解析参数 tlscacert、tlscert、tlskey 5 再在默认证书路径下的ca.pem、key.pem、cert.pem Docker 运行时目录：/var/run/docker Docker PID 文件目录：/var/run/docker.pid containerd 通信sock路径 /run/containerd/containerd.sock 本篇文章为转载内容。原文链接：https://blog.csdn.net/xjmtxwd24/article/details/127860371。 该文由互联网用户投稿提供，文中观点代表作者本人意见，并不代表本站的立场。 作为信息平台，本站仅提供文章转载服务，并不拥有其所有权，也不对文章内容的真实性、准确性和合法性承担责任。 如发现本文存在侵权、违法、违规或事实不符的情况，请及时联系我们，我们将第一时间进行核实并删除相应内容。

...xec 1、镜像： docker hub官网搜索nginx 下载：docker pull nginx 查看下载情况：docker images 2、容器： 创建容器命令：docker run [-d 后台启动] [–name nginx01 起别名] [-p 3344:80 端口:协议] [镜像(包含版本)] (创建)启动容器实例：docker run -d --name nginx01 -p 3344:80 nginx 查看容器运行状况：docker ps 本机访问测试一下：curl localhost:3344 ■ 端口暴露 -p 宿主机端口:容器内部端口 浏览器输入: http://服务器ip地址:3344/ 3344 是暴露的端口 ----接下来： 进入(正在运行的)容器内部：docker exec -it nginx01 /bin/bash [root@iZwz9535z41cmgcpkm7i81Z /] docker exec -it nginx01 /bin/bashroot@d1a29e4791e3:/ whereis nginxnginx: /usr/sbin/nginx /usr/lib/nginx /etc/nginx /usr/share/nginxroot@d1a29e4791e3:/ cd /etc/nginxroot@d1a29e4791e3:/etc/nginx lsconf.d fastcgi_params mime.types modules nginx.conf scgi_params uwsgi_paramsroot@d1a29e4791e3:/etc/nginx ■ /bin/bash 是Linux的一种常用shell脚本，用于解释执行Linux命令，根据镜像支持的shell的不同，可以使用不同的的shell脚本。 容器，也是和虚拟机一样是虚拟技术呀，通过脚本执行/bin/bash实现，创建并进入容器内部docker ● 思考问题：每次改动nginx配置文件，都需要进入容器内部，十分麻烦： 要是可以在容器外部提供一个映射路径，达到在容器修改文件名，容器内部就可以自动修改？-v 数据卷技术！ 二、部署tomcat docker run 可以不用pull，能自动下载 ctrl+c退出 docker pull tomcat:9.0 启动运行，应该加上版本号: docker run -d -p 3355:8080 --name tomcat01 tomcat:9.0 进入容器 docker exec -it tomcat01 /bin/bash ● 部署tomcat，发现问题: 1、linux命令少了 2、没有webapps 这是阿里云镜像的原因：默认使用最小镜像，所有不必要的都剔除了，保证最小可运行环境 可以通过拷贝的方式，解决没有webapps的问题： 在浏览器中输入：http://服务器ip地址:3355/ 进行访问 ● 思考问题：我们以后部署项目，如果每次都要进入容器很麻烦？ 要是可以在容器外部提供一个映射路径，webapps，我们在外部放置项目，容器内部就可以自动修改？-v 数据卷技术！ 三、部署es+kibana ● Elasticsearch 的问题： es 暴露的端口很多 es 十分耗内存 es 的数据一般需要放置到安全目录！挂载 1、问题1：es 十分耗内存 下载启动运行elastissearch 之后，Linux系统就变得特别卡 ＃ 启动了 linux就卡住了docker stats＃ 查看 cpu的状态 ＃es 是十分耗内存的，1．xG＃ 1核2G(学生机)！ ＃ 查看 docker stats 2、问题2：es 需要暴露的端口很多 -p (下载)启动 elasticsearch$ docker run -d --name elasticsearch01 -p 9200:9200 -p 9300:9300 -e "discovery.type=single-node" elasticsearch:7.6.2 查看内存占用情况docker stats 先感觉stop一下docker stop ba18713ca536 3、es 十分耗内存的解决：增加内存的限制，修改配置文件 -e 环境配置修改 通过 -e 限制内存docker run -d --name elasticsearch02 -p 9200:9200 -p 9300:9300 -e "discovery.type=single-node" -e ES_JAVA_OPTS="-Xms64m -Xmx512m" elasticsearch:7.6.2 [root@iZwz9535z41cmgcpkm7i81Z /] curl localhost:9200/{"name" : "14329968b00f","cluster_name" : "docker-cluster","cluster_uuid" : "0iDu-G_KTo-4X8KORDj1XQ","version" : {"number" : "7.6.2","build_flavor" : "default","build_type" : "docker","build_hash" : "ef48eb35cf30adf4db14086e8aabd07ef6fb113f","build_date" : "2020-03-26T06:34:37.794943Z","build_snapshot" : false,"lucene_version" : "8.4.0","minimum_wire_compatibility_version" : "6.8.0","minimum_index_compatibility_version" : "6.0.0-beta1"},"tagline" : "You Know, for Search"} 4、思考：用kibana连接elasticsearch? 思考(kibana连接elasticsearch)网络如何连接过去 ☺ 参考来源： 狂神的B站视频《【狂神说Java】Docker最新超详细版教程通俗易懂》 https://www.bilibili.com/video/BV1og4y1q7M4 如果本文对你有帮助的话记得给一乐点个赞哦，感谢！ 本篇文章为转载内容。原文链接：https://blog.csdn.net/weixin_45630258/article/details/124785912。 该文由互联网用户投稿提供，文中观点代表作者本人意见，并不代表本站的立场。 作为信息平台，本站仅提供文章转载服务，并不拥有其所有权，也不对文章内容的真实性、准确性和合法性承担责任。 如发现本文存在侵权、违法、违规或事实不符的情况，请及时联系我们，我们将第一时间进行核实并删除相应内容。

...资源，目前应用最广的docker就是基于LXC实现应用虚拟化的。 MicroVM: MicroVM 介于 传统的VM 与 LXC之间，隔离性比LXC好，但是比传统的VM要轻量，轻量体现在体积小（几M到几十M）、启动快（小于1s）。 AWS Firecracker 就是一种MicroVM的实现，用于AWS的Serverless计算领域，Serverless要求启动快，租户之间隔离性好。 UniKernel: 是一种专用的（特定编程语言技术栈专用）、单地址空间、使用 library OS 构建出来的镜像。UniKernel要解决的问题是减少应用软件的技术栈层次，现代软件层次太多导致越来越臃肿：硬件+HostOS+虚拟化模拟+GuestOS+APP。UniKernel目标是：硬件+HostOS+虚拟化模拟+APP-with-libos。 三种技术对比表： 开销 体积 启动速度 隔离/安全 生态 LXC 低（几乎为0） 小 快（等同进程启动） 差（内核共享） 好 MicroVM 高 大 慢(小于1s) 好 中（Kata项目） UniKernel 中 中 中 好 差 根据上述对比来看，LXC是应用虚拟化首选的技术，如果LXC无法满足隔离性要，则可以考虑MicroVM这种技术。当前社区已经在着手融合LXC与MicroVM这两种技术，从应用打包/发布调度/运行层面统一规范，Kubernetes集成Kata支持混合应用调度特性可以了解一下。 UniKernel 在应用生态方面相对比较落后，目前在追赶中，目前通过 linuxkit 工具可以在UniKernel应用镜像中使用docker镜像。这种方式笔者还未验证过，另外docker镜像运行起来之后，如何监控目前还未知。 从上述三种应用虚拟化技术对比，可以得出结论: （2)容器技术与传统虚拟化技术不断融合中。 再从规范视角来看容器技术，可以将容器技术定义为: (3)容器=OCI+CRI+辅助工具。 OCI规范包含两部分，镜像规范与运行时规范。简要的说，要实现一个OCI的规范，需要能够下载镜像并解压镜像到文件系统上组成成一个文件目录结构，运行时工具能够理解这个目录结构并基于此目录结构管理（创建/启动/停止/删除）进程。 容器(container)的技术构成就是实现OCI规范的技术集合。 对于不同的操作系统（Linux/Windows），OCI规范的实现技术不同，当前docker的实现，支持Windows与Linux与MacOS操作系统。当前使用最广的是Linux系统，OCI的实现，在Linux上组成容器的主要技术： chroot: 通过分层文件系统堆叠出容器进程的rootfs，然后通过chroot设置容器进程的根文件系统为堆叠出的rootfs。 cgroups: 通过cgroups技术隔离容器进程的cpu/内存资源。 namesapce: 通过pid, uts, mount, network, user namesapce 分别隔离容器进程的进程ID，时间，文件系统挂载，网络，用户资源。 网络虚拟化: 容器进程被放置到独立的网络命名空间，通过Linux网络虚拟化veth, macvlan, bridge等技术连接主机网络与容器虚拟网络。 存储驱动: 本地文件系统，使用容器镜像分层文件堆叠的各种实现驱动，当前推荐的是overlay2。 广义的容器还包含容器编排，即当下很火热的Kubernetes。Kubernetes为了把控容器调度的生态，发布了CRI规范，通过CRI规范解耦Kubelet与容器，只要实现了CRI接口，都可以与Kubelet交互，从而被Kubernetes调度。OCI规范的容器实现与CRI标准接口对接的实现是CRI-O。 辅助工具用户构建镜像，验证镜像签名，管理存储卷等。 容器定义 容器是一种轻量化的应用虚拟化技术。 容器=OCI+CRI+辅助工具。 容器技术与传统虚拟化技术不断融合中。 什么是容器编排与调度 选择了应用虚拟化技术之后，还需要应用调度编排，当前Kubernetes是容器领域内编排的事实标准，不管使用何种应用虚拟化技术，都已经纳入到了Kubernetes治理框架中。 Kubernetes 通过 CRI 接口规范，将应用编排与应用虚拟化实现解耦：不管使用何种应用虚拟化技术（LXC, MicroVM, LibOS），都能够通过Kubernetes统一编排。 当前使用最多的是docker，其次是cri-o。docker与crio结合kata-runtime都能够支持多种应用虚拟化技术混合编排的场景，如LXC与MicroVM混合编排。 docker(now): Moby 公司贡献的 docker 相关部件，当前主流使用的模式。 docker(daemon) 提供对外访问的API与CLI(docker client) containerd 提供与 kubelet 对接的 CRI 接口实现 shim负责将Pod桥接到Host namespace。 cri-o: 由 RedHat/Intel/SUSE/IBM/Hyper 公司贡献的实现了CRI接口的符合OCI规范的运行时，当前包括 runc 与 kata-runtime ，也就是说使用 cir-o 可以同时运行LXC容器与MicroVM容器，具体在Kata介绍中有详细说明。 CRI-O: 实现了CRI接口的进程，与 kubelet 交互 crictl: 类似 docker 的命令行工具 conmon: Pod监控进程 other cri runtimes: 其他的一些cri实现，目前没有大规模应用到生产环境。 容器与传统虚拟化差异 容器(container)的技术构成 前面主要讲到的是容器与编排，包括CRI接口的各种实现，我们把容器领域的规范归纳为南向与北向两部分，CRI属于北向接口规范，对接编排系统，OCI就属于南向接口规范，实现应用虚拟化。 简单来讲，可以这么定义容器： 容器(container) ~= 应用打包(build) + 应用分发(ship) + 应用运行/资源隔离(run)。 build-ship-run 的内容都被定义到了OCI规范中，因此也可以这么定义容器： 容器(container) == OCI规范 OCI规范包含两部分，镜像规范与运行时规范。简要的说，要实现一个OCI的规范，需要能够下载镜像并解压镜像到文件系统上组成成一个文件目录结构，运行时工具能够理解这个目录结构并基于此目录结构管理（创建/启动/停止/删除）进程。 容器(container)的技术构成就是实现OCI规范的技术集合。 对于不同的操作系统（Linux/Windows），OCI规范的实现技术不同，当前docker的实现，支持Windows与Linux与MacOS操作系统。当前使用最广的是Linux系统，OCI的实现，在Linux上组成容器的主要技术： chroot: 通过分层文件系统堆叠出容器进程的rootfs，然后通过chroot设置容器进程的根文件系统为堆叠出的rootfs。 cgroups: 通过cgroups技术隔离容器进程的cpu/内存资源。 namesapce: 通过pid, uts, mount, network, user namesapce 分别隔离容器进程的进程ID，时间，文件系统挂载，网络，用户资源。 网络虚拟化: 容器进程被放置到独立的网络命名空间，通过Linux网络虚拟化veth, macvlan, bridge等技术连接主机网络与容器虚拟网络。 存储驱动: 本地文件系统，使用容器镜像分层文件堆叠的各种实现驱动，当前推荐的是overlay2。 广义的容器还包含容器编排，即当下很火热的Kubernetes。Kubernetes为了把控容器调度的生态，发布了CRI规范，通过CRI规范解耦Kubelet与容器，只要实现了CRI接口，都可以与Kubelet交互，从而被Kubernetes调度。OCI规范的容器实现与CRI标准接口对接的实现是CRI-O。 容器与虚拟机差异对比 容器与虚拟机的差异可以总结为2点：应用打包与分发的差异，应用资源隔离的差异。当然，导致这两点差异的根基是容器是以应用为中心来设计的，而虚拟化是以资源为中心来设计的，本文对比容器与虚拟机的差异，更多的是站在应用视角来对比。 从3个方面对比差异：资源隔离，应用打包与分发，延伸的日志/监控/DFX差异。 1.资源隔离 隔离机制差异 容器 虚拟化 mem/cpu cgroup, 使用时候设定 require 与 limit 值 QEMU, KVM network Linux网络虚拟化技术(veth,tap,bridge,macvlan,ipvlan), 跨虚拟机或出公网访问:SNAT/DNAT, service转发:iptables/ipvs, SR-IOV Linux网络虚拟化技术(veth,tap,bridge,macvlan,ipvlan), QEMU, SR-IOV storage 本地存储: 容器存储驱动 本地存储：virtio-blk 差异引入问题与实践建议 应用程序未适配 cgroup 的内存隔离导致问题: 典型的是 JVM 虚拟机，在 JVM 启动时候会根据系统内存自动设置 MaxHeapSize 值，通常是系统内存的1/4，但是 JVM 并未考虑 cgroup 场景，读系统内存时候任然读取主机的内存来设置 MaxHeapSize，这样会导致内存超过 cgroup 限制从而导致进程被 kill 。问题详细阐述与解决建议参考Java inside docker: What you must know to not FAIL。 多次网络虚拟化问题: 如果在虚拟机内使用容器，会多一层网络虚拟化，并加入了SNAT/DNAT技术, iptables/ipvs技术，对网络吞吐量与时延都有影响（具体依赖容器网络方案），对问题定位复杂度变高，同时还需要注意网络内核参数调优。 典型的网络调优参数有：转发表大小 /proc/sys/net/netfilter/nf_conntrack_max 使用iptables 作为service转发实现的时候，在转发规则较多的时候，iptables更新由于需要全量更新导致非常耗时，建议使用ipvs。详细参考[华为云在 K8S 大规模场景下的 Service 性能优化实践](https://zhuanlan.zhihu.com/p/37230013)。 容器IP地址频繁变化不固定，周边系统需要协调适配，包括基于IP地址的白名单或防火墙控制策略需要调整，CMDB记录的应用IP地址需要适配动态IP或者使用服务名替代IP地址。 存储驱动带来的性能损耗: 容器本地文件系统是通过联合文件系统方式堆叠出来的，当前主推与默认提供的是overlay2驱动，这种模式应用写本地文件系统文件或修改已有文件，使用Copy-On-Write方式，也就是会先拷贝源文件到可写层然后修改，如果这种操作非常频繁，建议使用 volume 方式。 2.应用打包与分发 应用打包/分发/调度差异 容器 虚拟化 打包 打包既部署 一般不会把应用程序与虚拟机打包在一起，通过部署系统部署应用 分发 使用镜像仓库存储与分发 使用文件存储 调度运行 使用K8S亲和/反亲和调度策略 使用部署系统的调度能力 差异引入问题与实践建议 部署提前到构建阶段，应用需要支持动态配置与静态程序分离；如果在传统部署脚本中依赖外部动态配置，这部分需要做一些调整。 打包格式发生变化，制作容器镜像需要注意安全/效率因素，可参考Dockerfile最佳实践 容器镜像存储与分发是按layer来组织的，镜像在传输过程中放篡改的方式是传统软件包有差异。 3.监控/日志/DFX 差异 容器 虚拟化 监控 cpu/mem的资源上限是cgroup定义的；containerd/shim/docker-daemon等进程的监控 传统进程监控 日志采集 stdout/stderr日志采集方式变化；日志持久化需要挂载到volume；进程会被随机调度到其他节点导致日志需要实时采集否则分散很难定位 传统日志采集 问题定位 进程down之后自动拉起会导致问题定位现场丢失；无法停止进程来定位问题因为停止即删除实例 传统问题定位手段 差异引入问题实践与建议 使用成熟的监控工具，运行在docker中的应用使用cadvisor+prometheus实现采集与警报，cadvisor中预置了常用的监控指标项 对于docker管理进程（containerd/shim/docker-daemon）也需要一并监控 使用成熟的日志采集工具，如果已有日志采集Agent，则可以考虑将日志文件挂载到volume后由Agent采集；需要注意的是stderr/stdout输出也要一并采集 如果希望容器内应用进程退出后保留现场定位问题，则可以将Pod的restartPolicy设置为never，进程退出后进程文件都还保留着(/var/lib/docker/containers)。但是这么做的话需要进程没有及时恢复，会影响业务，需要自己实现进程重拉起。 团队配合 与周边的开发团队、架构团队、测试团队、运维团队评审并交流方案，与周边团队达成一致。 落地策略与注意事项 逐步演进过程中网络互通 根据当前已经存在的基础实施情况，选择容器化落地策略。通常使用逐步演进的方式，由于容器化引入了独立的网络namespace导致容器与传统虚拟机进程网络隔离，逐步演进过程中如何打通隔离的网络是最大的挑战。 分两种场景讨论： 不同服务集群之间使用VIP模式互通: 这种模式相对简单，基于VIP做灰度发布。 不同服务集群之间使用微服务点对点模式互通(SpringCloud/ServiceComb/Dubbo都是这一类): 这种模式相对复杂，在逐步容器化过程中，要求容器网络与传统虚拟机网络能够互通（难点是在虚拟机进程内能够直接访问到容器网络的IP地址），当前解决这个问题有几种方法。 自建Kubernetes场景，可使用开源的kube-router，kube-router 使用BGP协议实现容器网络与传统虚拟机网络之间互通，要求网络交换机支持BGP协议。 使用云厂商托管Kubernetes场景，选择云厂商提供的VPC-Router互通的网络插件，如阿里云的Terway网络插件, 华为云的Underlay网络模式。 选择物理机还是虚拟机 选择物理机运行容器还是虚拟机运行容器，需要结合基础设施与业务隔离性要求综合考虑。分两种场景：自建IDC、租用公有云。 自建IDC: 理想情况是使用物理机组成一个大集群，根据业务诉求，对资源保障与安全性要求高的应用，使用MicorVM方式隔离；普通应用使用LXC方式隔离。所有物理机在一个大集群内，方便削峰填谷提升资源利用率。 租用公有云：当前公有云厂家提供的裸金属服务价格较贵且只能包周期，使用裸金属性价比并不高，使用虚拟机更合适。 集群规模与划分 选择集群时候，是多个应用共用一个大集群，还是按应用分组分成多个小集群呢？我们把节点规模数量>=1000的定义为大集群，节点数<1000的定义为小集群。 大集群的优点是资源池共享容器，方便资源调度（削峰填谷）；缺点是随着节点数量与负载数量的增多，会引入管理性能问题（需要量化）: DNS 解析表变大，增加/删除 Service 或 增加/删除 Endpoint 导致DNS表刷新慢 K8S Service 转发表变大，导致工作负载增加/删除刷新iptables/ipvs记录变慢 etcd 存储空间变大，如果加上ConfigMap，可能导致 etcd 访问时延增加 小集群的优点是不会有管理性能问题，缺点是会导致资源碎片化，不容易共享。共享分两种情况: 应用之间削峰填谷：目前无法实现 计算任务与应用之间削峰填谷：由于计算任务是短时任务，可以通过上层的任务调度软件，在多个集群之间分发计算任务，从而达到集群之间资源共享的目的。 选择集群规模的时候，可以参考上述分析，结合实际情况选择适合的集群划分。 Helm? Helm是为了解决K8S管理对象散碎的问题，在K8S中并没有"应用"的概念，只有一个个散的对象(Deployment, ConfigMap, Service, etc)，而一个"应用"是多个对象组合起来的，且这些对象之间还可能存在一定的版本配套关系。 Helm 通过将K8S多个对象打包为一个包并标注版本号形成一个"应用"，通过 Helm 管理进程部署/升级这个"应用"。这种方式解决了一些问题（应用分发更方便）同时也引入了一些问题（引入Helm增加应用发布/管理复杂度、在K8S修改了对象后如何同步到Helm）。对于是否需要使用Helm，建议如下： 在自运维模式下不使用Helm: 自运维模式下，很多场景是开发团队交付一个运行包，运维团队负责部署与配置下发，内部通过兼容性或软件包与配置版本配套清单、管理软件包与配置的配套关系。 在交付软件包模式下使用Helm: 交付软件包模式下，Helm 这种把散碎组件组装为一个应用的模式比较适合，使用Helm实现软件包分发/部署/升级场比较简单。 Reference DOCKER vs LXC vs VIRTUAL MACHINES Cgroup与LXC简介 Introducing Container Runtime Interface (CRI) in Kubernetes frakti rkt appc-spec OCI 和 runc：容器标准化和 docker Linux 容器技术史话：从 chroot 到未来 Linux Namespace和Cgroup Java inside docker: What you must know to not FAIL QEMU,KVM及QEMU-KVM介绍 kvm libvirt qemu实践系列(一)-kvm介绍 KVM 介绍（4）：I/O 设备直接分配和 SR-IOV [KVM PCI/PCIe Pass-Through SR-IOV] prometheus-book 到底什么是Unikernel？ The Rise and Fall of the Operating System The Design and Implementation of the Anykernel and Rump Kernels UniKernel Unikernel：从不入门到入门 OSv 京东如何打造K8s全球最大集群支撑万亿电商交易 Cloud Native App Hub 更多云最佳实践 https://best.practices.cloud 本篇文章为转载内容。原文链接：https://blog.csdn.net/sinat_33155975/article/details/118013855。 该文由互联网用户投稿提供，文中观点代表作者本人意见，并不代表本站的立场。 作为信息平台，本站仅提供文章转载服务，并不拥有其所有权，也不对文章内容的真实性、准确性和合法性承担责任。 如发现本文存在侵权、违法、违规或事实不符的情况，请及时联系我们，我们将第一时间进行核实并删除相应内容。

...将MySQL部署在如Docker或云服务器上。例如，AWS RDS（Amazon Relational Database Service）提供了一键式部署MySQL服务的功能，并集成了自动备份、故障切换等高级特性，大大简化了数据库运维工作。 另外，针对数据库优化及安全防护方面，定期审计MySQL日志、合理设置索引策略、采用SSL加密通信协议以保护数据传输安全等也是现代数据库管理员必备的知识点。近期，业界还提出了通过机器学习算法预测数据库性能瓶颈，提前进行资源调度的新方法，这一创新研究为MySQL数据库的高效稳定运行提供了新的可能。 综上所述，在实际操作MySQL服务的基础上，关注其最新版本特性、云端部署趋势以及数据库优化和安全领域的前沿动态，将有助于我们在日常工作中更高效地利用MySQL这一强大而灵活的关系型数据库管理系统。

在使用Docker执行应用安装的过程中，日志的处理是一项非常重要的工作。通过对应用日志的采集、管理和分析，可以帮助我们更好地监视应用的运行状况、排查和解决问题。 Docker为我们供给了一些日志相关的指令，可以便捷地对虚拟机的日志执行处理。在使用这些指令之前，我们需要先了解Docker中的日志机制。 Docker的日志分为两部分：标准输出和标准错误。虚拟机的标准输出和标准错误都是与主机联系的通道（pipe），可以通过Docker供给的日志指令来取得。 取得虚拟机的标准输出日志 docker logs [虚拟机名/虚拟机ID] 取得虚拟机的标准错误日志 docker logs [虚拟机名/虚拟机ID] 2>&1 上述指令中，“2>&1”表示将标准错误输出流重定向到标准输出流，这样就可以同时取得虚拟机的标准输出和标准错误日志。 如果我们需要取得虚拟机的即时日志，可以使用“-f”选项，这样就可以一直查看虚拟机的最近日志。 即时查看虚拟机的日志 docker logs -f [虚拟机名/虚拟机ID] 除了取得虚拟机的日志外，我们还可以执行日志的保存。Docker支撑将虚拟机的日志写入文件或者第三方日志平台。 在将虚拟机的日志写入文件时，可以使用“-a”选项来指定日志文件的位置，这样就可以将日志写入指定的文件中。 将虚拟机的日志写入文件 docker logs [虚拟机名/虚拟机ID] -a >[日志文件位置] 如果我们需要将虚拟机的日志发送到第三方日志平台，可以使用Docker供给的“logging driver”执行配置。 配置使用syslog输出虚拟机的日志 docker run --log-driver=syslog [虚拟机名/虚拟机ID] “logging driver”支撑多种日志平台，包括syslog、fluentd、logstash等。 总结一下，Docker的日志机制供给了很多方便的处理指令和保存方式，我们可以根据自己的需求灵活地执行配置。

Docker是一种容器技术，可以将应用程序和它们的依赖资源封装在一个容器中，使它们可以在任何系统上运行。但是，有时候Docker容器或许会崩溃，这时需要重启容器。 docker ps -a // 查看现有全部容器以及运行情况 docker start<容器ID>// 开启已暂停的容器 docker attach<容器ID>// 登陆容器 ctrl + p + q // 离开并将容器暂停 docker exec -it<容器ID>/bin/bash // 以命令行交互模式方式登陆容器 docker top<容器ID>// 显示容器内运行的进程 docker logs<容器ID>// 查看容器的日志 docker stats<容器ID>// 查看容器的资源占用情况 如果以上命令无法解决问题，可以考虑删除容器重新构建并运行： docker stop<容器ID>// 停止当前崩溃的容器 docker rm<容器ID>// 删除容器 docker images // 查看所有镜像 docker rmi<镜像ID>// 删除相关的镜像 docker build -t<新容器名称>. // 构建新容器 docker run -d<新容器名称>// 运行新容器 重启Docker容器的方法有许多，需要依据具体问题具体分析，选择最佳方案进行重启。

...三方监控解决方案，如集成Prometheus和Grafana进行实时可视化监控，不仅能够展示Atlas的核心性能指标，还能实现预警通知，大大提升了运维效率和系统稳定性。 此外，对于企业级部署场景，结合Kubernetes或Docker等容器化技术进行资源调度和自动化运维，亦成为提升Apache Atlas集群整体性能和可用性的有效途径。专家建议，用户在实践中应结合自身业务需求和IT环境特点，灵活运用各类监控手段，并持续关注Apache Atlas项目动态与最佳实践分享，以期最大化利用这一强大工具的价值。

...也增强了对容器化工具Docker的支持，用户可以通过Maven或Gradle构建直接生成Docker镜像，简化了将SpringBoot应用部署到Kubernetes或其他容器环境的过程。例如，在pom.xml文件中配置spring-boot-maven-plugin的dockerBuild目标，可以自动化地完成从打包到构建Docker镜像的全流程。 同时，针对依赖管理，Spring Boot团队持续改进了依赖解析策略，确保开发者能更好地控制哪些依赖应包含在最终构建产物中，从而避免运行时依赖缺失的问题。为此，建议开发者密切关注Spring Boot官方文档及更新日志，以便及时掌握最新打包技术动态，提升开发效率并确保应用部署稳定可靠。

...处理，例如身份验证、日志记录、错误处理等。在Go Iris中，中间件是其核心特性之一，通过注册中间件函数，开发者可以在请求到达实际处理逻辑之前或之后执行自定义操作。 HTTP服务器端错误 , 在HTTP协议中，服务器端错误通常指的是5XX系列的状态码，表示服务器在处理请求时遇到了无法完成请求的错误情况，如500 Internal Server Error（内部服务器错误）、503 Service Unavailable（服务不可用）等。在Go Iris中，ServerError中间件就是用来捕获并处理这些由服务器自身引发的错误。 云原生 , 云原生是一种构建和运行应用程序的方法论，它充分利用云计算的优势来实现敏捷性、可伸缩性和可靠性。在云原生架构下，应用设计、开发、部署和运维都紧密围绕云环境的特点进行优化，包括但不限于容器化（如Docker）、微服务架构、持续集成/持续部署（CI/CD）、声明式API管理（如Kubernetes）以及服务网格技术（如Istio）。虽然文章中未深入探讨云原生与Go Iris错误处理的具体结合，但提及了服务网格技术如何支持全局错误处理和故障注入功能，展示了云原生技术对现代分布式系统错误管理的重要影响。

...务的状态以及其详细的日志信息，以了解更具体的故障原因： bash sudo systemctl status my_service journalctl -xeu my_service 三、详细排查与解决步骤 1. 检查服务配置文件 配置文件可能存在语法错误或关键参数设置不当。例如，检查/etc/systemd/system/my_service.service文件中的ExecStart指令是否正确指向了服务启动脚本： ini [Service] ExecStart=/usr/local/bin/my_service_start.sh 如果路径不正确或者启动脚本存在问题，自然会导致服务启动失败。 2. 查阅服务启动日志 日志中通常会包含更为详细的错误信息。就像刚才提到的这个命令“journalctl -xeu my_service”，它就像是个侦探，能帮我们在服务启动过程中的茫茫线索中，精准定位到问题究竟出在哪里，以及为什么会出错，可真是咱们排查故障的好帮手。 3. 检查依赖服务 服务无法启动还可能是因为其依赖的服务未启动。在服务配置文件里头，我们可以重点瞅瞅“After”和“Requires”这两个字段，它们可是帮我们瞧瞧是否有啥依赖关系的关键家伙。这样一来，咱就能保证所有相关的依赖服务都运转得妥妥的，一切正常哈！ ini [Unit] After=network.target database.service Requires=database.service 4. 手动执行服务启动脚本 在确定配置无误后，尝试手动执行服务启动脚本，看看是否可以独立运行，这有助于进一步缩小问题范围： bash /usr/local/bin/my_service_start.sh 5. 资源限制问题 检查系统资源（如内存、CPU、磁盘空间等）是否充足，服务启动可能因为资源不足而失败。例如，通过free -m、df -h等命令进行资源检查。 四、总结与反思 面对Linux系统服务无法启动的问题，我们需要冷静分析，逐层排查。从设置服务的小细节，到启动时的日志记录，再到服务间的相互依赖关系以及资源使用的各种限制，每一个环节都得让我们瞪大眼睛、开动脑筋，仔仔细细地去琢磨和研究。通过亲手操作和实实在在的代码实例，咱们能更接地气地领悟Linux系统服务是怎么运转的，而且在遇到问题时，也能亮出咱们解决难题的勇气和智慧，就像个真正的技术大牛那样。 总的来说，无论遇到何种技术问题，保持耐心、细心地查找线索，结合实践经验去理解和修复，这是我们每一位Linux运维人员必备的职业素养和技能。记住，每一次成功解决的问题，都是我们向更高技术水平迈进的坚实台阶！

...理，并对JVM调优和日志管理进行了改进。 例如，在最新的Tomcat 10中，官方引入了全局JVM配置文件(catalina.properties)，允许用户集中管理所有服务实例的JVM参数，极大地简化了多实例环境下的运维工作。同时，日志系统亦与时俱进，支持与Log4j2、Slf4j等现代日志框架集成，便于开发者根据实际需求进行定制化日志输出和级别调整。 此外，对于大规模部署场景，容器化和自动化工具（如Docker和Kubernetes）的运用，使得基于命令行的Tomcat服务管理更为便捷且标准化。借助这些工具，运维人员可以实现一键部署、滚动升级以及动态伸缩等复杂操作，有效提升了服务的稳定性和可扩展性。 因此，掌握命令行管理只是万里长征的第一步，结合最新技术和最佳实践持续深化对Tomcat乃至整个Java应用服务器生态的理解与应用，才能更好地应对云时代下快速变化的技术挑战，从而在实践中不断提升自身技术水平和工作效率。

...y在自动化脚本、持续集成/持续部署(CI/CD)流程以及Docker和Kubernetes等容器编排工具中扮演着关键角色，对于时间和日期的精确控制成为提升系统稳定性和优化资源调度的关键因素。例如，在Jenkins Pipeline脚本中，Groovy用于编写复杂的构建逻辑时，高效的日期和时间处理能力可显著提高构建效率和日志分析准确性。 此外，Groovy在Grails框架中的运用也体现在对日期时间的处理上，Grails 4.x版本整合了Java 8 Date/Time API，提供了更多元化的数据绑定和视图渲染选项，让开发者在构建Web应用时能更轻松地处理与日期时间相关的业务逻辑。 因此，建议读者继续关注Groovy及其生态系统的最新进展，通过阅读官方文档、社区论坛和技术博客，了解并掌握最新的日期时间处理最佳实践，从而更好地应对各种开发场景的需求。同时，实战演练和研究案例也是巩固理论知识，提升编程技能的有效途径。

...容器化部署成为趋势，Docker等容器技术在构建和运行Spark应用时，通过将所有依赖库打包进镜像，有效避免了环境不一致导致的依赖缺失问题。此外，持续集成/持续部署（CI/CD）流程中对依赖项的严格控制也成为了行业最佳实践，如使用GitHub Actions或Jenkins等工具，在代码合并前自动检查并更新依赖版本，确保上线应用的稳定性和安全性。 另外，近年来业界对于开源组件安全性的重视程度也在提高，诸如OWASP Dependency-Check这样的开源工具被广泛应用于检测项目依赖中的已知漏洞。这意味着在关注依赖完整性的同时，开发者也需要密切关注所引入第三方库的安全状态，及时修复潜在风险。 总的来说，无论是从工程实践角度还是安全维度出发，深入理解和掌握依赖管理不仅对于Spark应用至关重要，也是整个软件开发领域的一项基础技能，值得每一位开发者持续学习和探索。

...理念，包括容器化（如Docker）、服务网格（如Istio）、声明式API（如Kubernetes）等。在文中提到的云原生技术与Spring Cloud Gateway的集成使用，意味着开发者可以通过这些技术来更好地管理和部署Gateway服务，进一步提升系统的弹性和可扩展性，确保微服务架构能够在云环境中高效稳定地运行。

...t、Vue.js等的集成能力。 针对多模块项目中的视图层管理，Spring官方推荐采用模块化、组件化的前端架构，结合微前端理念，通过Spring Boot提供的统一资源处理机制，实现前后端分离下的高效协同开发。例如，可以借助Webpack或Parcel等构建工具进行静态资源打包，再利用Spring Boot的ResourceHandlerMapping进行统一映射，确保跨模块视图资源的有效加载。 此外，随着云原生趋势的发展，Spring Boot也在容器化部署、服务发现、熔断限流等方面提供了更强大的支持。开发者在使用Spring Boot构建多模块应用时，应关注如何在Kubernetes、Docker等环境下正确配置和管理包含JSP视图的Web模块，以适应现代云环境的需求。 另外，对于坚持使用传统JSP技术的团队，可参考Spring官方文档及社区讨论，了解如何在新版本Spring Boot中调整配置以适配JSP，同时关注业界关于JSP未来发展的探讨，以便适时调整技术栈，提高项目的长期可维护性和扩展性。 综上所述，在实际项目开发中，持续跟进Spring Boot的最新进展，结合项目需求合理选择视图层技术，并在多模块结构中灵活运用和配置，是提升开发效率和保证系统稳定性的关键所在。

...ubernetes和Docker容器技术，Memcached可以被方便地部署到集群中，实现资源的动态扩展和负载均衡。通过使用Kubernetes的服务发现和自动缩放功能，可以确保Memcached服务在高并发场景下保持良好的性能和稳定性。 同时，借助现代云平台提供的监控和日志服务，如Prometheus和ELK Stack，可以实时监控Memcached的运行状态，及时发现并定位性能瓶颈，实现故障快速响应和自动化优化。此外，通过集成Redisson等开源库或自定义实现，Memcached可以支持更多高级特性，如事务、订阅/发布消息机制等，进一步增强其在复杂业务场景下的适用性。 结语：持续优化与技术创新 随着云原生技术的不断发展，对分布式缓存的需求也在不断演变。Memcached作为一款成熟且灵活的缓存工具，其在云原生环境中的应用与优化，是一个持续探索和创新的过程。通过结合最新的云原生技术栈，如无服务器计算、事件驱动架构等，可以进一步挖掘Memcached的潜力，为其在现代云原生应用中的角色注入新的活力。在这个过程中，不断积累实践经验，推动技术的迭代与创新，是实现系统高效、稳定运行的关键所在。 通过深入分析云原生环境下的分布式缓存需求，以及Memcached在此场景下的应用实践，我们可以看到，技术的融合与创新是推动系统性能优化、应对复杂业务挑战的重要驱动力。随着技术的不断进步和应用场景的不断丰富，Memcached在云原生架构中的角色将会变得更加重要，为构建高性能、高可用的云原生应用提供坚实的基础。

...能够帮助读者深入理解Docker的命令，还有容器（container）和镜像（image）之间的区别，并深入探讨容器和运行中的容器之间的区别。 当我对Docker技术还是一知半解的时候，我发现理解Docker的命令非常困难。于是，我花了几周的时间来学习Docker的工作原理，更确 切地说，是关于Docker统一文件系统（the union file system）的知识，然后回过头来再看Docker的命令，一切变得顺理成章，简单极了。 题外话：就我个人而言，掌握一门技术并合理使用它的最好办法就是深入理解这项技术背后的工作原理。通常情况 下，一项新技术的诞生常常会伴随着媒体的大肆宣传和炒作，这使得用户很难看清技术的本质。更确切地说，新技术总是会发明一些新的术语或者隐喻词来帮助宣 传，这在初期是非常有帮助的，但是这给技术的原理蒙上了一层砂纸，不利于用户在后期掌握技术的真谛。 Git就是一个很好的例子。我之前不能够很好的使用Git，于是我花了一段时间去学习Git的原理，直到这时，我才真正明白了Git的用法。我坚信只有真正理解Git内部原理的人才能够掌握这个工具。 Image Definition 镜像（Image）就是一堆只读层（read-only layer）的统一视角，也许这个定义有些难以理解，下面的这张图能够帮助读者理解镜像的定义。 从左边我们看到了多个只读层，它们重叠在一起。除了最下面一层，其它层都会有一个指针指向下一层。这些层是Docker内部的实现细节，并且能够 在主机（译者注：运行Docker的机器）的文件系统上访问到。统一文件系统（union file system）技术能够将不同的层整合成一个文件系统，为这些层提供了一个统一的视角，这样就隐藏了多层的存在，在用户的角度看来，只存在一个文件系统。 我们可以在图片的右边看到这个视角的形式。 你可以在你的主机文件系统上找到有关这些层的文件。需要注意的是，在一个运行中的容器内部，这些层是不可见的。在我的主机上，我发现它们存在于/var/lib/docker/aufs目录下。 sudo tree -L 1 /var/lib/docker/ /var/lib/docker/├── aufs├── containers├── graph├── init├── linkgraph.db├── repositories-aufs├── tmp├── trust└── volumes7 directories, 2 files Container Definition 容器（container）的定义和镜像（image）几乎一模一样，也是一堆层的统一视角，唯一区别在于容器的最上面那一层是可读可写的。 细心的读者可能会发现，容器的定义并没有提及容器是否在运行，没错，这是故意的。正是这个发现帮助我理解了很多困惑。 要点：容器 = 镜像 + 可读层。并且容器的定义并没有提及是否要运行容器。 接下来，我们将会讨论运行态容器。 Running Container Definition 一个运行态容器（running container）被定义为一个可读写的统一文件系统加上隔离的进程空间和包含其中的进程。下面这张图片展示了一个运行中的容器。 正是文件系统隔离技术使得Docker成为了一个前途无量的技术。一个容器中的进程可能会对文件进行修改、删除、创建，这些改变都将作用于可读写层（read-write layer）。下面这张图展示了这个行为。 我们可以通过运行以下命令来验证我们上面所说的： docker run ubuntu touch happiness.txt 即便是这个ubuntu容器不再运行，我们依旧能够在主机的文件系统上找到这个新文件。 find / -name happiness.txt /var/lib/docker/aufs/diff/860a7b...889/happiness.txt Image Layer Definition 为了将零星的数据整合起来，我们提出了镜像层（image layer）这个概念。下面的这张图描述了一个镜像层，通过图片我们能够发现一个层并不仅仅包含文件系统的改变，它还能包含了其他重要信息。 元数据（metadata）就是关于这个层的额外信息，它不仅能够让Docker获取运行和构建时的信息，还包括父层的层次信息。需要注意，只读层和读写层都包含元数据。 除此之外，每一层都包括了一个指向父层的指针。如果一个层没有这个指针，说明它处于最底层。 Metadata Location: 我发现在我自己的主机上，镜像层（image layer）的元数据被保存在名为”json”的文件中，比如说： /var/lib/docker/graph/e809f156dc985.../json e809f156dc985...就是这层的id 一个容器的元数据好像是被分成了很多文件，但或多或少能够在/var/lib/docker/containers/<id>目录下找到，<id>就是一个可读层的id。这个目录下的文件大多是运行时的数据，比如说网络，日志等等。 全局理解（Tying It All Together） 现在，让我们结合上面提到的实现细节来理解Docker的命令。 docker create <image-id> docker create 命令为指定的镜像（image）添加了一个可读写层，构成了一个新的容器。注意，这个容器并没有运行。 docker start <container-id> Docker start命令为容器文件系统创建了一个进程隔离空间。注意，每一个容器只能够有一个进程隔离空间。 docker run <image-id> 看到这个命令，读者通常会有一个疑问：docker start 和 docker run命令有什么区别。 从图片可以看出，docker run 命令先是利用镜像创建了一个容器，然后运行这个容器。这个命令非常的方便，并且隐藏了两个命令的细节，但从另一方面来看，这容易让用户产生误解。 题外话：继续我们之前有关于Git的话题，我认为docker run命令类似于git pull命令。git pull命令就是git fetch 和 git merge两个命令的组合，同样的，docker run就是docker create和docker start两个命令的组合。 docker ps docker ps 命令会列出所有运行中的容器。这隐藏了非运行态容器的存在，如果想要找出这些容器，我们需要使用下面这个命令。 docker ps –a docker ps –a命令会列出所有的容器，不管是运行的，还是停止的。 docker images docker images命令会列出了所有顶层（top-level）镜像。实际上，在这里我们没有办法区分一个镜像和一个只读层，所以我们提出了top-level 镜像。只有创建容器时使用的镜像或者是直接pull下来的镜像能被称为顶层（top-level）镜像，并且每一个顶层镜像下面都隐藏了多个镜像层。 docker images –a docker images –a命令列出了所有的镜像，也可以说是列出了所有的可读层。如果你想要查看某一个image-id下的所有层，可以使用docker history来查看。 docker stop <container-id> docker stop命令会向运行中的容器发送一个SIGTERM的信号，然后停止所有的进程。 docker kill <container-id> docker kill 命令向所有运行在容器中的进程发送了一个不友好的SIGKILL信号。 docker pause <container-id> docker stop和docker kill命令会发送UNIX的信号给运行中的进程，docker pause命令则不一样，它利用了cgroups的特性将运行中的进程空间暂停。具体的内部原理你可以在这里找到：https://www.kernel.org/doc/Doc ... m.txt，但是这种方式的不足之处在于发送一个SIGTSTP信号对于进程来说不够简单易懂，以至于不能够让所有进程暂停。 docker rm <container-id> docker rm命令会移除构成容器的可读写层。注意，这个命令只能对非运行态容器执行。 docker rmi <image-id> docker rmi 命令会移除构成镜像的一个只读层。你只能够使用docker rmi来移除最顶层（top level layer）（也可以说是镜像），你也可以使用-f参数来强制删除中间的只读层。 docker commit <container-id> docker commit命令将容器的可读写层转换为一个只读层，这样就把一个容器转换成了不可变的镜像。 docker build docker build命令非常有趣，它会反复的执行多个命令。 我们从上图可以看到，build命令根据Dockerfile文件中的FROM指令获取到镜像，然后重复地1）run（create和start）、2）修改、3）commit。在循环中的每一步都会生成一个新的层，因此许多新的层会被创建。 docker exec <running-container-id> docker exec 命令会在运行中的容器执行一个新进程。 docker inspect <container-id> or <image-id> docker inspect命令会提取出容器或者镜像最顶层的元数据。 docker save <image-id> docker save命令会创建一个镜像的压缩文件，这个文件能够在另外一个主机的Docker上使用。和export命令不同，这个命令为每一个层都保存了它们的元数据。这个命令只能对镜像生效。 docker export <container-id> docker export命令创建一个tar文件，并且移除了元数据和不必要的层，将多个层整合成了一个层，只保存了当前统一视角看到的内容（译者注：expoxt后 的容器再import到Docker中，通过docker images –tree命令只能看到一个镜像；而save后的镜像则不同，它能够看到这个镜像的历史镜像）。 docker history <image-id> docker history命令递归地输出指定镜像的历史镜像。 参考： http://www.cnblogs.com/bethal/p/5942369.html 本篇文章为转载内容。原文链接：https://blog.csdn.net/u010098331/article/details/53485539。 该文由互联网用户投稿提供，文中观点代表作者本人意见，并不代表本站的立场。 作为信息平台，本站仅提供文章转载服务，并不拥有其所有权，也不对文章内容的真实性、准确性和合法性承担责任。 如发现本文存在侵权、违法、违规或事实不符的情况，请及时联系我们，我们将第一时间进行核实并删除相应内容。

...边缘计算场景的应用。Docker和Kubernetes等工具正在帮助开发者更便捷地构建和部署跨平台的嵌入式应用，通过统一的容器环境简化了不同处理器架构间的移植难题。 5. 用户权限管理与安全实践：针对Linux系统安全问题，近年来有许多关于如何强化用户权限管理的研究报告和技术文章发表。例如，SELinux策略的深入解读，以及如何结合最小权限原则进行服务账户设置，避免因权限过高导致的安全风险，这些内容都是嵌入式系统安全运维的重要参考。

...环境下的运行一致性。Docker就是一种流行的容器化引擎，通过提供标准化的方式创建、部署和管理容器，简化了应用程序的生命周期管理。 Docker Compose , Docker Compose是Docker生态系统中的一个工具，用于定义和运行多容器Docker应用程序。通过编写docker-compose.yml文件，用户可以声明式地定义一组相关联的服务、网络以及数据卷等组件，实现对整个分布式应用的快速搭建、配置及启动，方便地进行复杂微服务架构的开发与测试。 Docker API , Docker API是一套RESTful接口，允许程序以编程方式与Docker守护进程交互，执行包括容器创建、启动、停止、删除以及获取容器日志等各种操作。开发者可以通过HTTP请求访问这些API来自动化或扩展Docker的功能，例如在本文中提到的，通过Docker API可以直接获取指定容器的日志流。 标准输出（stdout）和错误输出（stderr） , 在计算机程序中，标准输出和错误输出是两种常见的输出流。标准输出通常用于程序正常运行时产生的信息，而错误输出则用于记录程序运行时出现的错误信息或警告信息。在Docker环境中，容器的标准输出和错误输出会被捕获并作为日志存储，以便于用户通过docker logs命令或其他方式查看和分析容器内部的运行状态和问题排查。

... 快速参考 维护者：Docker 社区和 MySQL 团队 从哪里获得帮助：Docker 社区论坛、Docker 社区 Slack 或 Stack Overflow 2.2. 支持的标签和各自的 Dockerfile 链接 8.0.28, 8.0, 8, latest 5.7.37, 5.7, 5 2.3. 快速参考（续） 在哪里提交问题：https://github.com/docker-library/mysql/issues 支持的架构：（更多信息）amd64 发布的镜像工件详情：repo-info repo 的 repos/mysql/ 目录（历史）（镜像元数据、传输大小等） 镜像更新：official-images repo 的 library/mysql 标签 官方图像 repo 的库/mysql 文件（历史） 此描述的来源：docs repo 的 mysql/ 目录（历史） 2.4. 如何使用镜像 2.4.1. 启动一个mysql服务器实例 启动 MySQL 实例很简单： $ docker run --name some-mysql -e MYSQL_ROOT_PASSWORD=my-secret-pw -d mysql:tag 其中 some-mysql 是您要分配给容器的名称， my-secret-pw 是要为 MySQL root 用户设置的密码，而 tag 是指定您想要的 MySQL 版本的标签。 有关相关标签，请参见上面的列表。 以下是示例（通常要设置时区），注意-v 这里是挂载磁盘，请提前创建目录/var/mysql/data，/var/lib/mysql是容器里的原持久化目录： docker run --name mysql202201 -e MYSQL_ROOT_PASSWORD=123456 -e TZ=Asia/Shanghai -v /var/mysql/data:/var/lib/mysql -d mysql:5.7 2.4.2. 从 MySQL 命令行客户端连接到 MySQL 以下命令启动另一个 mysql 容器实例并针对您的原始 mysql 容器运行 mysql 命令行客户端，允许您针对您的数据库实例执行 SQL 语句： $ docker run -it --network some-network --rm mysql mysql -hsome-mysql -uexample-user -p 其中 some-mysql 是原始 mysql 容器的名称（连接到 some-network Docker 网络）。 此镜像也可以用作非 Docker 或远程实例的客户端： $ docker run -it --rm mysql mysql -hsome.mysql.host -usome-mysql-user -p 有关 MySQL 命令行客户端的更多信息，请参阅 MySQL 文档。 2.4.3. 容器外访问和查看 MySQL 日志 docker exec 命令允许您在 Docker 容器内运行命令。 以下命令行将为您提供 mysql 容器内的 bash shell： $ docker exec -it some-mysql bash 第一次启动一个MySQL容器后，需要对账户进行授权，否则无法远程访问，请先使用上面的命令进入容器内，然后使用以下命令连接到mysql服务： mysql -uroot -p 输入密码回车，进入mysql命令界面mysql> 接着授权root远程访问权限： mysql> GRANT ALL PRIVILEGES ON . TO 'root'@'%' IDENTIFIED BY '123456'; 然后就可以远程用MySQL客户端连接到MySQL容器了。 日志可通过 Docker 的容器日志获得： $ docker logs some-mysql 2.4.4. 使用自定义 MySQL 配置文件 MySQL 的默认配置可以在 /etc/mysql/my.cnf 中找到，其中可能包含额外的目录，例如 /etc/mysql/conf.d 或 /etc/mysql/mysql.conf.d。 请检查 mysql 映像本身中的相关文件和目录以获取更多详细信息。 如果 /my/custom/config-file.cnf 是你的自定义配置文件的路径和名称，你可以这样启动你的 mysql 容器（注意这个命令只使用了自定义配置文件的目录路径）： $ docker run --name some-mysql -v /my/custom:/etc/mysql/conf.d -e MYSQL_ROOT_PASSWORD=my-secret-pw -d mysql:tag 这将启动一个新容器 some-mysql，其中 MySQL 实例使用来自 /etc/mysql/my.cnf 和 /etc/mysql/conf.d/config-file.cnf 的组合启动设置，后者的设置优先 . 没有 cnf 文件的配置 许多配置选项可以作为标志传递给 mysqld。 这将使您可以灵活地自定义容器，而无需 cnf 文件。 例如，如果要将所有表的默认编码和排序规则更改为使用 UTF-8 (utf8mb4)，只需运行以下命令： $ docker run --name some-mysql -e MYSQL_ROOT_PASSWORD=my-secret-pw -d mysql:tag --character-set-server=utf8mb4 --collation-server=utf8mb4_unicode_ci 如果您想查看可用选项的完整列表，只需运行： $ docker run -it --rm mysql:tag --verbose --help 2.4.5. 环境变量 启动 mysql 镜像时，可以通过在 docker run 命令行中传递一个或多个环境变量来调整 MySQL 实例的配置。 请注意，如果您使用已包含数据库的数据目录启动容器，则以下任何变量都不会产生任何影响：任何预先存在的数据库在容器启动时将始终保持不变。 另请参阅 https://dev.mysql.com/doc/refman/5.7/en/environment-variables.html 以获取 MySQL 的环境变量的文档（尤其是 MYSQL_HOST 等变量，已知与此镜像一起使用时会导致问题）。 MYSQL_ROOT_PASSWORD 此变量是必需的，并指定将为 MySQL root 超级用户帐户设置的密码。 在上面的示例中，它被设置为 my-secret-pw。 MYSQL_DATABASE 此变量是可选的，允许您指定要在映像启动时创建的数据库的名称。 如果提供了用户/密码（见下文），则该用户将被授予对此数据库的超级用户访问权限（对应于 GRANT ALL）。 MYSQL_USER、MYSQL_PASSWORD 这些变量是可选的，用于创建新用户和设置该用户的密码。 该用户将被授予对 MYSQL_DATABASE 变量指定的数据库的超级用户权限（见上文）。 要创建用户，这两个变量都是必需的。 请注意，不需要使用此机制来创建超级用户超级用户，默认情况下会使用 MYSQL_ROOT_PASSWORD 变量指定的密码创建该用户。 MYSQL_ALLOW_EMPTY_PASSWORD 这是一个可选变量。 设置为非空值，例如 yes，以允许使用 root 用户的空白密码启动容器。 注意：除非您真的知道自己在做什么，否则不建议将此变量设置为 yes，因为这将使您的 MySQL 实例完全不受保护，从而允许任何人获得完全的超级用户访问权限。 MYSQL_RANDOM_ROOT_PASSWORD 这是一个可选变量。 设置为非空值，如 yes，为 root 用户生成随机初始密码（使用 pwgen）。 生成的根密码将打印到标准输出（生成的根密码：…）。 MYSQL_ONETIME_PASSWORD 一旦初始化完成，将 root（不是 MYSQL_USER 中指定的用户！）用户设置为过期，强制在第一次登录时更改密码。 任何非空值都将激活此设置。 注意：此功能仅在 MySQL 5.6+ 上受支持。 在 MySQL 5.5 上使用此选项将在初始化期间引发适当的错误。 MYSQL_INITDB_SKIP_TZINFO 默认情况下，入口点脚本会自动加载 CONVERT_TZ() 函数所需的时区数据。 如果不需要，任何非空值都会禁用时区加载。 2.4.6. Docker Secrets 作为通过环境变量传递敏感信息的替代方法，_FILE 可以附加到先前列出的环境变量中，从而导致初始化脚本从容器中存在的文件中加载这些变量的值。 特别是，这可用于从存储在 /run/secrets/<secret_name> 文件中的 Docker 机密中加载密码。 例如： $ docker run --name some-mysql -e MYSQL_ROOT_PASSWORD_FILE=/run/secrets/mysql-root -d mysql:tag 目前，这仅支持 MYSQL_ROOT_PASSWORD、MYSQL_ROOT_HOST、MYSQL_DATABASE、MYSQL_USER和 MYSQL_PASSWORD。 2.4.7. 初始化一个新实例 首次启动容器时，将使用提供的配置变量创建并初始化具有指定名称的新数据库。 此外，它将执行 /docker-entrypoint-initdb.d 中的扩展名为 .sh、.sql 和 .sql.gz 的文件。 文件将按字母顺序执行。 您可以通过将 SQL 转储安装到该目录并提供带有贡献数据的自定义镜像来轻松填充您的 mysql 服务。 SQL 文件将默认导入到 MYSQL_DATABASE 变量指定的数据库中。 2.5. 注意事项 2.5.1. 在哪里存储数据 重要提示：有几种方法可以存储在 Docker 容器中运行的应用程序使用的数据。 我们鼓励 mysql 映像的用户熟悉可用的选项，包括： 让 Docker 通过使用自己的内部卷管理将数据库文件写入主机系统上的磁盘来管理数据库数据的存储。 这是默认设置，对用户来说简单且相当透明。 缺点是对于直接在主机系统（即外部容器）上运行的工具和应用程序，可能很难找到这些文件。 在主机系统（容器外部）上创建一个数据目录，并将其挂载到容器内部可见的目录。 这会将数据库文件放置在主机系统上的已知位置，并使主机系统上的工具和应用程序可以轻松访问这些文件。 缺点是用户需要确保目录存在，例如主机系统上的目录权限和其他安全机制设置正确。 Docker 文档是了解不同存储选项和变体的一个很好的起点，并且有多个博客和论坛帖子在该领域讨论和提供建议。 我们将在这里简单地展示上面后一个选项的基本过程： 在主机系统上的合适卷上创建数据目录，例如 /my/own/datadir。 像这样启动你的 mysql 容器： $ docker run --name some-mysql -v /my/own/datadir:/var/lib/mysql -e MYSQL_ROOT_PASSWORD=my-secret-pw -d mysql:tag 命令的 -v /my/own/datadir:/var/lib/mysql 部分将底层主机系统中的 /my/own/datadir 目录挂载为容器内的 /var/lib/mysql ，默认情况下 MySQL 将 写入其数据文件。 2.5.2. 在 MySQL 初始化完成之前没有连接 如果容器启动时没有初始化数据库，则会创建一个默认数据库。 虽然这是预期的行为，但这意味着在初始化完成之前它不会接受传入的连接。 在使用同时启动多个容器的自动化工具（例如 docker-compose）时，这可能会导致问题。 如果您尝试连接到 MySQL 的应用程序没有处理 MySQL 停机时间或等待 MySQL 正常启动，那么在服务启动之前放置一个连接重试循环可能是必要的。 有关官方图像中此类实现的示例，请参阅 WordPress 或 Bonita。 2.5.3. 针对现有数据库的使用 如果您使用已经包含数据库的数据目录（特别是 mysql 子目录）启动 mysql 容器实例，则应该从运行命令行中省略 $MYSQL_ROOT_PASSWORD 变量； 在任何情况下都将被忽略，并且不会以任何方式更改预先存在的数据库。 2.5.4. 以任意用户身份运行 如果你知道你的目录的权限已经被适当地设置了（例如对一个现有的数据库运行，如上所述）或者你需要使用特定的 UID/GID 运行 mysqld，那么可以使用 --user 调用这个镜像设置为任何值（root/0 除外）以实现所需的访问/配置： $ mkdir data$ ls -lnd datadrwxr-xr-x 2 1000 1000 4096 Aug 27 15:54 data$ docker run -v "$PWD/data":/var/lib/mysql --user 1000:1000 --name some-mysql -e MYSQL_ROOT_PASSWORD=my-secret-pw -d mysql:tag 2.5.5. 创建数据库转储 大多数普通工具都可以工作，尽管在某些情况下它们的使用可能有点复杂，以确保它们可以访问 mysqld 服务器。 确保这一点的一种简单方法是使用 docker exec 并从同一容器运行该工具，类似于以下内容： $ docker exec some-mysql sh -c 'exec mysqldump --all-databases -uroot -p"$MYSQL_ROOT_PASSWORD"' > /some/path/on/your/host/all-databases.sql 2.5.6. 从转储文件恢复数据 用于恢复数据。 您可以使用带有 -i 标志的 docker exec 命令，类似于以下内容： $ docker exec -i some-mysql sh -c 'exec mysql -uroot -p"$MYSQL_ROOT_PASSWORD"' < /some/path/on/your/host/all-databases.sql 备注 docker安装完MySQL，后面就是MySQL容器在跑，基本上就是当MySQL服务去操作，以前MySQL怎么做现在还是一样怎么做，只是个别操作因为docker包了一层，麻烦一点。 有需要的话，我们也可以基于MySQL官方镜像去定制我们自己的镜像，就比如主从镜像之类的。 本篇文章为转载内容。原文链接：https://blog.csdn.net/muluo7fen/article/details/122731852。 该文由互联网用户投稿提供，文中观点代表作者本人意见，并不代表本站的立场。 作为信息平台，本站仅提供文章转载服务，并不拥有其所有权，也不对文章内容的真实性、准确性和合法性承担责任。 如发现本文存在侵权、违法、违规或事实不符的情况，请及时联系我们，我们将第一时间进行核实并删除相应内容。

在一个队伍中，利用Docker来制作开发平台和设置程序可以简化管理，提升效率和合作性。下面介绍一下如何制作Docker环境来实现队伍的需求。 步骤一：设置Docker 在Linux环境下，可以利用以下命令设置Docker： $ sudo apt-get update $ sudo apt-get install docker-ce 在Windows环境下，可以获取Docker Desktop并进行设置。 步骤二：新建Dockerfile Dockerfile是通过一系列命令来制作Docker镜像的脚本文件。我们可以在项目根目录中新建Dockerfile文件，并增加以下内容： FROM node:14-alpine WORKDIR /usr/src/app 复制 package.json ./ RUN npm install 复制 . . 暴露 3000 命令 ["npm", "start"] 步骤三：制作Docker镜像 通过Dockerfile文件，我们可以制作对应的Docker镜像： $ docker build -t my-app . 其中，my-app是镜像名称，"."指示Dockerfile文件在当前目录下。 步骤四：运行Docker实例 通过Docker镜像，我们可以运行对应的Docker实例： $ docker run -p 3000:3000 my-app 其中，-p参数将宿主机的3000端口绑定到Docker实例的3000端口。 步骤五：利用Docker Compose 为了实现队伍需要，我们可以利用Docker Compose来管理多个Docker实例。我们可以在项目根目录中新建docker-compose.yml文件，并增加以下内容： version: '3' services: app: build: . ports: - '3000:3000' 通过以下命令运行多个Docker实例： $ docker-compose up -d 通过以上步骤，我们可以快速制作Docker环境来实现队伍的需求，简化管理和协作。