Para entendernos, esta herramienta nos permite desplegar imágenes de SO, (para nosotros son casi como máquinas virtuales) en lo que se denomina contenedores de software. El contenedor en si es una virtualización a nivel de sistema operativo con una capa de abstracción y automatización en la que está incluida todo lo necesario para su funcionamiento.

Al incluir el contenedor un filesystem completo que contiene todo lo necesario para ejecutar una aplicación (librerías, fuentes, etc) garantizamos que el software siempre correrá igual independiente del entorno en que se ejecute.

La principal diferencia con una máquina virtual es que sólo contiene lo mínimo necesario para ejecutar la aplicación, sin necesidad de un S.O completo. Además de que se ejecuta en un proceso aislado, en el espacio de usuario del S.O del host, compartiendo el kernel con otros contenedores.

La filosofía de Docker es virtualizar lo mínimo necesario para ejecutar una aplicación, sin la necesidad de tener un sistema operativo completo como host, sino que este puede ser compartido por más contenedores con el consiguiente ahorro de recursos.

Las ventajas de usar docker serían:

• Tener un mismo entorno para producción, testeo y desarrollo
• Escalado Horizontal
• Despliegue de aplicaciones con versiones antiguas.

Existe un repositorio de imágenes para Docker que se llama Registry Hub https://registry.hub.docker.com/ y desde cualquier lugar podemos, crear, compartir y consumir imágenes creadas por nosotros o por terceros.

Comparativa de Docker vs máquinas virtuales → http://www.rediris.es/tecniris/archie/doc/TECNIRIS47-3b.pdf

Docker basa su uso en:

• Cgroups para restringir recursos
• Kernel namespace para aislar y virtualizar recursos
• Filesystem de unión (https://en.wikipedia.org/wiki/UnionFS)

A la hora de trabajar con Docker hay que tener en cuenta los siguientes conceptos:

• imagen → es un conjunto de aplicaciones/máquina virtual empaquetada en un fichero con todo lo necesario (dependencias, configuración, etc…). No cambia y no tiene estados
• Dockerfile→ es un archivo donde definimos las reglas para crear una imagen
• contenedor → es el resultado de ejecutar una imágen(instancia), se podría decir que un contenedor es como una máquina virtal ligera., aunque en realidad es un proceso totalmente asilado del resto de procesos de la máquina sobre la que se ejecuta. Sus principales características son : su portabilidad, inmutabilidad y ligereza

Instalamos primero los siguientes paquetes necesarios

sudo yum install -y yum-utils device-mapper-persistent-data lvm2

sudo yum install docker

Tambien podemos utilizar el script de instalación

    curl -fsSL https://get.docker.com/ | sh

Si queremos ponerlo como servicio

sudo systemctl start docker 

sudo systemctl enable docker

Para que docker funciones hay que crear un grupo y darle permisos sobre /var/run/docker.sock

sudo groupadd docker
sudo chown root:docker /var/run/docker.sock

Añadimos nuestro usuario al grupo docker

sudo usermod -a -G docker vagrant

Para instalar la últimar versión, ya que está en continuo desarrollo

 curl -sSL https://get.docker.com/ | sh

Si queremos instalarlo desde los repositorios oficiales

sudo apt-get install docker vagrant

Para la instalación en windows necesitamos:

1. descargar e instalar oracle virtualbox en caso de no tenerlo ya instalado
2. descargar e instalar docker toolbox (www.docker.com/toolbox)

Para descargar una imagen, en nuestro caso de ubuntu creamos una carpeta

mkdir proyectosdocker/ubuntu

cd proyectosdocker/ubuntu
vagrant init ubuntu/trusty64

sudo apt-get remove vagrant
wget https://dl.bintray.com/mitchellh/vagrant/vagrant_1.7.4_x86_64.deb
sudo dpkg -i vagrant_1.7.4_x86_64.deb 

docker info

docker version

docker search centos

sudo docker images 

sudo docker history

sudo docker pull kalilinux/kali-linux-docker

sudo docker run -opciones nombre_imagen o codigo_imagen 

sudo docker run -t -i kalilinux/kali-linux-docker /bin/bash

docker ps -a 

Para acceder al contenedor, además de crearlo, se puede hacer de dos maneras. Una es haciendo referencia al IMAGE ID y otra al repositorio (REPOSITORY) y la etiqueta (TAG).

docker run -i -t b72879fa579a /bin/bash

O también:

docker run -i -t ubuntu:14.04 /bin/bash

También podemos poner una etiqueta a nuestros contenedores, y llamarlo por dicha etiqueta, lo cual nos permitirá organizar mejor todos nuestros contenedores. Para poner una etiqueta

docker tag id_imagen repositorio:etiqueta

Para llamar a dicho contenedor por la etiqueta, hacemos lo mismo que cuando lo llamamos por el id pero poniendo ahora la etiqueta

docker tun -i -t repositorio:etiqueta /bin/bash

docker start imagenid

docker start nombre

docker attach id

Para parar un contenedor

docker stop imagenid_o nombre 

Escribiendo exit en nuestro contenedor, o Pulsando CTRL+D salimos del mismo pero parando la ejecución del mismo. Si queremos salir del contenedor pero que se siga ejecutando debemos presionar CTRL, después P y luego Q

docker commit imagenid_o nombre

docker rm <contenedor> 

Para copiar un fichero desde un contenedor a nuestra máquina hacemos

docker cp <nombre_contenedor o id>:<ruta_al_fichero> <directorio_local_a_donde_copiar>

También podemos hacerlo a la inversa. Desde la máquina local al contenedor

Podemos ejecutar un comando dentro de un contenedor con

docker exec <nombre o id contenedor> <comando>

Por ejemplo para iniciar un shell intereactivo

docker exec -it  micontenedor sh

Para ver los logs que está generando un contenedor, ejecutaríamos el comando

docker logs <nombre contenedor o id>

con el comando stats obtenemos estádisticas de uso y consumo de nuestro contenedor

docker stats <nombre contenedor o id>

con el comando

docker system prune 

• los contenedores que no se usan
• los volúmenes que no se usan
• las imágenes que no se estan usando
• las redes que no se estan usando

Cuando tenemos varios entornos de docker y queremos gestionarlos desde una misma máquina podemos definir ficheros con las variables de entorno y usar el comando source para cargarlas con el comando

source /path/mificherovariables.sh

Un ejemplo de ficheros con variables sería :

export DOCKER_TLS_VERIFY=1
export DOCKER_CERT_PATH=/home/users/lc/certificados
export DOCKER_HOST=tcp://miservidor.aws.dckr.io:443

En entornos de producción podemos ejecutar el script docker-bench-security para comprobar que cumplimos ciertos requisitos de seguridad.

• https://benchmarks.cisecurity.org/tools2/docker/CIS_Docker_1.6_Benchmark_v1.0.0.pdf
• http://www.securitybydefault.com/2015/05/buenas-practicas-de-seguridad-en-docker.html

• https://vmware.github.io/photon/ Entorno optimizado para correr en servidores vmware

• https://github.com/google/cadvisor

• https://recetas-docker.readthedocs.io/es/latest/capitulo_1.html
• https://www.docker.com/community-edition
• https://docs.docker.com/installation/ubuntulinux/#installation
• https://d3oypxn00j2a10.cloudfront.net/assets/img/Docker%20Security/WP_Intro_to_container_security_03.20.2015.pdf
• http://www.cisecurity.org/
• https://benchmarks.cisecurity.org/tools2/docker/CIS_Docker_1.6_Benchmark_v1.0.0.pdf
• http://codehero.co/como-instalar-y-usar-docker/
• http://www.joseangelfernandez.es/blog/2015/03/preguntas-frecuentes-sobre-docker-para-usuarios-de-windows/
• https://www.nessys.es/docker/
• http://picodotdev.github.io/blog-bitix/2014/11/inicio-basico-de-docker/
• https://platzi.com/blog/desplegar-contenedores-docker/
• https://platzi.com/blog/imagenes-con-dockerfile/
• https://platzi.com/blog/multiples-contedenores-docker/
• https://www.gitbook.com/book/jsitech1/meet-docker/details