【补充】docker基础学习

docker 基础知识

  之前写了一篇docker未授权访问的文章,现在来补充一下docker基础知识,以便更好的学习docker上的漏洞。

  docker是一款轻量级的虚拟化的产品,它属于层级化的架构。最底层是LXC和文件系统AUFS,上面是各种镜像,docker实际上是具有依赖关系的多个层组成的,不同的container可能共享底层的资源。docker的核心是基于cgroup和namespace隔离和限制资源。

  Cgroups是control groups的缩写,是Linux内核提供的一种可以限制、记录、隔离进程组(process groups)所使用的物理资源(如:cpu,memory,IO等等)的机制。最初由google的工程师提出,后来被整合进Linux内核。Cgroups也是LXC为实现虚拟化所使用的资源管理手段,可以说没有cgroups就没有LXC。

  

  docker不同于vm、kvm、xen等虚拟机。

  从上面的图我们可以看出docker不同的app之间是可以共享Bins和Libs,而VM是虚拟机是基于Hypervisor来隔离的,不同虚拟机系统的Bins和Libs是彻底隔离的,所以称docker是轻量级的虚拟化,而虚拟机被称为更彻底的虚拟化。

 docker 基础命令

  搜索公有镜像:

   1 docker search ubuntu 

  获取公有镜像

   1 docker pull ubuntu 

  列出本机所有镜像

   1 docker images 

  列出本机所有容器

   1 docker ps -a 

  运行一个容器

   1 docker run -it ubuntu 

  

 1 Usage: docker run [OPTIONS] IMAGE [COMMAND] [ARG...]  
 2 
 3   -d, --detach=false         指定容器运行于前台还是后台,默认为false   
 4   -i, --interactive=false   打开STDIN,用于控制台交互  
 5   -t, --tty=false            分配tty设备,该可以支持终端登录,默认为false  
 6   -u, --user=""              指定容器的用户  
 7   -a, --attach=[]            登录容器(必须是以docker run -d启动的容器)
 8   -w, --workdir=""           指定容器的工作目录 
 9   -c, --cpu-shares=0        设置容器CPU权重,在CPU共享场景使用  
10   -e, --env=[]               指定环境变量,容器中可以使用该环境变量  
11   -m, --memory=""            指定容器的内存上限  
12   -P, --publish-all=false    指定容器暴露的端口  
13   -p, --publish=[]           指定容器暴露的端口 
14   -h, --hostname=""          指定容器的主机名  
15   -v, --volume=[]            给容器挂载存储卷,挂载到容器的某个目录  
16   --volumes-from=[]          给容器挂载其他容器上的卷,挂载到容器的某个目录
17   --cap-add=[]               添加权限,权限清单详见:http://linux.die.net/man/7/capabilities  
18   --cap-drop=[]              删除权限,权限清单详见:http://linux.die.net/man/7/capabilities  
19   --cidfile=""               运行容器后,在指定文件中写入容器PID值,一种典型的监控系统用法  
20   --cpuset=""                设置容器可以使用哪些CPU,此参数可以用来容器独占CPU  
21   --device=[]                添加主机设备给容器,相当于设备直通  
22   --dns=[]                   指定容器的dns服务器  
23   --dns-search=[]            指定容器的dns搜索域名,写入到容器的/etc/resolv.conf文件  
24   --entrypoint=""            覆盖image的入口点  
25   --env-file=[]              指定环境变量文件,文件格式为每行一个环境变量  
26   --expose=[]                指定容器暴露的端口,即修改镜像的暴露端口  
27   --link=[]                  指定容器间的关联,使用其他容器的IP、env等信息  
28   --lxc-conf=[]              指定容器的配置文件,只有在指定--exec-driver=lxc时使用  
29   --name=""                  指定容器名字,后续可以通过名字进行容器管理,links特性需要使用名字  
30   --net="bridge"             容器网络设置:
31                                 bridge 使用docker daemon指定的网桥     
32                                 host     //容器使用主机的网络  
33                                 container:NAME_or_ID  >//使用其他容器的网路,共享IP和PORT等网络资源  
34                                 none 容器使用自己的网络(类似--net=bridge),但是不进行配置 
35   --privileged=false         指定容器是否为特权容器,特权容器拥有所有的capabilities  
36   --restart="no"             指定容器停止后的重启策略:
37                                 no:容器退出时不重启  
38                                 on-failure:容器故障退出(返回值非零)时重启 
39                                 always:容器退出时总是重启  
40   --rm=false                 指定容器停止后自动删除容器(不支持以docker run -d启动的容器)  
41   --sig-proxy=true           设置由代理接受并处理信号,但是SIGCHLD、SIGSTOP和SIGKILL不能被代理  

  entrypoint和cmd区别:

  entrypoint是容器的入口点;而cmd可以理解为entrypoint的参数。

  运行并进入容器 

1 docker start ubuntu
2 docker attach ubuntu

  注意:attach容器之前必须start容器

  docker 镜像创建

  

1 docker commit <container> [repo:tag]

 

   

原文地址:https://www.cnblogs.com/itworks/p/7217073.html