四、Portainer图形化管理实战与Docker镜像原理

作者：IvanCodes
日期：2025年8月2日
专栏：Docker教程

一、Portainer 安装与基础使用教程

Portainer 是一个轻量级、功能强大的Docker图形化管理界面 (GUI)。它能让你通过简单的Web界面来管理和监控你的Docker容器、镜像、卷、网络等资源，极大降低了Docker的命令行操作门槛。

1.Portainer 安装部署

前提条件：
你的服务器 (例如 hadoop01) 必须已经安装并正在运行 Docker 服务。

步骤 1：在主机上创建用于持久化 Portainer 数据的目录
为了防止 Portainer 容器被删除或重建后丢失其配置数据 (如用户、环境设置等)，我们将在主机文件系统上创建一个目录，并将其直接挂载到容器中。这种方式称为绑定挂载 (bind mount)。

在 hadoop01 (或其他你打算安装Portainer的Docker主机) 上执行：

mkdir -p /opt/portainer_data

说明：我们选择在 /opt 目录下创建 portainer_data 文件夹，你可以根据自己的习惯选择其他路径。

步骤 2：下载并运行 Portainer 容器
执行以下命令来拉取 Portainer Community Edition (CE) 镜像并启动容器。

在 hadoop01 上执行：

docker run -d -p 8000:8000 -p 9443:9443 --name portainer --restart=always -v /var/run/docker.sock:/var/run/docker.sock -v /opt/portainer_data:/data portainer/portainer-ce:latest

命令参数解析：

-d: 后台运行容器 (detached mode)。
-p 8000:8000: 将主机的 8000 端口映射到容器的 8000 端口 (用于隧道代理，高级功能)。
-p 9443:9443: 将主机的 9443 端口 (HTTPS) 映射到容器的 9443 端口。这是主要的访问端口。
--name portainer: 给容器命名为 portainer。
--restart=always: 设置容器总是自动重启，除非手动停止。这保证了Docker服务重启后Portainer也会自动启动。
-v /var/run/docker.sock:/var/run/docker.sock: 这是关键一步。它将主机的Docker套接字文件挂载到容器内部，允许Portainer容器与主机的Docker守护进程通信，从而管理其他容器。
-v /opt/portainer_data:/data: (绑定挂载) 将我们在主机上创建的 /opt/portainer_data 目录挂载到容器的 /data 目录。Portainer的所有配置都会直接写入到这个主机目录中，实现了数据的持久化。
portainer/portainer-ce:latest: 指定要运行的镜像。

2.Portainer 基础使用教程

步骤 1：首次访问与创建管理员账户

• 安装完成后，在你的浏览器中访问 Portainer 的 Web 界面。地址为 https://<你的服务器IP>:9443 (例如 https://192.168.121.131:9443)。
• 由于使用的是自签名SSL证书，浏览器可能会提示“不安全”，请选择“高级”并继续访问。
• 首次访问时，Portainer 会要求你创建一个管理员 (admin) 用户。请设置一个强度足够的密码。

图注：Portainer 首次访问时，会引导您创建管理员账户。

步骤 2：连接到本地 Docker 环境

• 创建管理员并登录后，Portainer 会自动检测到它可以通过 /var/run/docker.sock 连接到本地的 Docker 环境。
• 你通常会看到一个 “Get Started” 页面，上面有一个管理本地 Docker 环境的选项。点击它。

步骤 3：进入环境仪表盘 (Home / Environments)

• 连接成功后，你将进入环境仪表盘。这里会列出所有Portainer管理的环境。
• 默认情况下，你会看到一个名为 local 的环境，代表当前主机的Docker。

图注：Portainer 的主仪表盘，列出了名为 local 的本地 Docker 环境，并展示了其基本信息。

步骤 4：探索 Docker 资源 (简单使用)

• 查看容器：在环境仪表盘 (您的第二张图所示界面)，点击 local 环境那一行蓝色的 “Live connect” 按钮或环境名称本身，即可进入该环境的详细仪表盘。

• 在左侧菜单栏点击 “Containers”。你会看到所有正在运行和已停止的容器列表。

• 管理其他资源：同样地，你可以通过左侧菜单轻松地查看和管理 Images (镜像)、Volumes (卷)、Networks (网络) 等。

二、Docker 镜像原理深入解析

Docker 镜像是 Docker 的核心。它是一个轻量、独立、可执行的软件包，包含了运行某个应用所需的一切：代码、运行时、库、环境变量和配置文件。

1.Docker 镜像原理：分层理解

Docker 镜像的最大特点就是它采用了分层存储的结构。一个镜像不是一个单一的文件，而是由一系列只读 (read-only) 的层 (layers) 堆叠而成。

• 层的来源：镜像的每一层都对应 Dockerfile 中的一条指令。
• 层的特性：
  • 只读: 镜像的所有层都是只读的，无法被修改。
  • 共享: 如果多个镜像都基于相同的父层构建，那么这些镜像在主机上会共享这些相同的层，节省了大量的磁盘空间。

2.联合文件系统

为了管理这些层并呈现一个统一的文件系统视图，Docker 使用了联合文件系统技术 (如 Aufs, OverlayFS, Btrfs 等)。它的核心功能是将多个不同的目录 (即镜像的各个层) “联合挂载” 到同一个挂载点上。从容器内部看，你看不到这些分层，只能看到一个完整、正常的文件系统。

3.加载原理：从镜像到容器

这是理解 Docker 运行机制的关键。

• 启动容器 (docker run): 当你从一个镜像启动容器时，Docker 并不会复制整个镜像。相反，它会保留所有只读的镜像层不变，并在最顶层添加一个新的、薄薄的、可写层 (Writable Layer)，也称为 容器层 (Container Layer)。
• 写时复制:
  • 读操作: 当容器需要读取文件时，它会从上到下（从可写层到最底部的基础层）逐层查找。
  • 写操作 (修改): 当容器需要修改一个已存在的文件时 (该文件位于下方的只读层)，UFS 首先将该文件从只读层复制到顶部的可写层，然后对可写层中的这个副本进行修改。
  • 写操作 (新建): 当容器创建新文件时，它们直接被创建在顶部的可写层中。
• 容器的生命周期: 容器运行期间的所有变化都保存在这个可写层。当你删除容器 (docker rm)时，只有这个顶部的可写层会被删除。