補充 docker基礎學習

2022-07-26 09:12:13 字數 3472 閱讀 7839

之前寫了一篇docker未授權訪問的文章,現在來補充一下docker基礎知識,以便更好的學習docker上的漏洞。

docker是一款輕量級的虛擬化的產品,它屬於層級化的架構。最底層是lxc和檔案系統aufs,上面是各種映象,docker實際上是具有依賴關係的多個層組成的,不同的container可能共享底層的資源。docker的核心是基於cgroup和namespace隔離和限制資源。

cgroups是control groups的縮寫,是linux核心提供的一種可以限制、記錄、隔離程序組(process groups)所使用的物理資源(如:cpu,memory,io等等)的機制。最初由google的工程師提出,後來被整合進linux核心。cgroups也是lxc為實現虛擬化所使用的資源管理手段,可以說沒有cgroups就沒有lxc。

docker不同於vm、kvm、xen等虛擬機器。

搜尋公有映象:

1 docker search ubuntu

獲取公有映象

1 docker pull ubuntu

列出本機所有映象

1 docker images

列出本機所有容器

1 docker ps -a

執行乙個容器

1 docker run -it ubuntu

1


usage: docker run [options] image [command] [arg...]  


23   -d, --detach=false


指定容器執行於前台還是後台,預設為false   


4   -i, --interactive=false


開啟stdin,用於控制台互動  


5   -t, --tty=false


分配tty裝置,該可以支援終端登入,預設為false  


6   -u, --user=""


指定容器的使用者  


7   -a, --attach=            登入容器(必須是以docker run -d啟動的容器)


8   -w, --workdir=""


指定容器的工作目錄 


9   -c, --cpu-shares=0


設定容器cpu權重,在cpu共享場景使用  


10   -e, --env=               指定環境變數,容器中可以使用該環境變數  


11   -m, --memory=""


指定容器的記憶體上限  


12   -p, --publish-all=false


指定容器暴露的埠  


13   -p, --publish=           指定容器暴露的埠 


14   -h, --hostname=""


指定容器的主機名  


15   -v, --volume=            給容器掛載儲存卷,掛載到容器的某個目錄  


16   --volumes-from=          給容器掛載其他容器上的卷,掛載到容器的某個目錄


17   --cap-add=               新增許可權,許可權清單詳見:http://


linux.die.net/man/7/capabilities  


18   --cap-drop=              刪除許可權,許可權清單詳見:http://


linux.die.net/man/7/capabilities  


19   --cidfile=""


執行容器後,在指定檔案中寫入容器pid值,一種典型的監控系統用法  


20   --cpuset=""


設定容器可以使用哪些cpu,此引數可以用來容器獨佔cpu  


21   --device=                新增主機裝置給容器,相當於裝置直通  


22   --dns=                   指定容器的dns伺服器  


23   --dns-search=            指定容器的dns搜尋網域名稱,寫入到容器的/etc/resolv.conf檔案  


24   --entrypoint=""


覆蓋image的入口點  


25   --env-file=              指定環境變數檔案,檔案格式為每行乙個環境變數  


26   --expose=                指定容器暴露的埠,即修改映象的暴露埠  


27   --link=                  指定容器間的關聯,使用其他容器的ip、env等資訊  


28   --lxc-conf=              指定容器的配置檔案,只有在指定--exec-driver=lxc時使用  


29   --name=""


指定容器名字,後續可以通過名字進行容器管理,links特性需要使用名字  


30   --net="


bridge


"容器網路設定:


31bridge 使用docker daemon指定的網橋     


32                                 host     //


容器使用主機的網路  


33                                 container:name_or_id  >//


使用其他容器的網路,共享ip和port等網路資源  


34                                 none 容器使用自己的網路(類似--net=bridge),但是不進行配置 


35   --privileged=false


指定容器是否為特權容器,特權容器擁有所有的capabilities  


36   --restart="no"


指定容器停止後的重啟策略:


37no:容器退出時不重啟  


38                                 on-failure:容器故障退出(返回值非零)時重啟 


39always:容器退出時總是重啟  


40   --rm=false                 指定容器停止後自動刪除容器(不支援以docker run -d啟動的容器)  


41   --sig-proxy=true           設定由**接受並處理訊號,但是sigchld、sigstop和sigkill不能被**
entrypoint和cmd區別:

entrypoint是容器的入口點;而cmd可以理解為entrypoint的引數。

執行並進入容器 

1


docker start ubuntu


2 docker attach ubuntu
注意:attach容器之前必須start容器

docker 映象建立

1 docker commit [repo:tag]

docker 基礎學習

docker 倉庫 docker pull nginx 映象拉取 docker run d nginx 後台執行,成功返回id docker ps 檢視已執行的映象 docker exec it 已執行的dockerid bash docker stop dockerid docker run d ...

Docker 開源Detectron 補充

1.git clonedetectron,解壓後存放路徑 home pandamax detectron 2.在檔案 home pandamax detectron lib datasets data下建立coco資料夾,用來存放對應的資料,coco資料夾格式為 3.確定映象detectron的映象...

Docker基礎學習一

vt,就是虛擬化技術 virtualization technology 的縮寫。intel vt就是指intel的虛擬化技術。這種技術簡單來說就是讓可以讓乙個cpu工作起來就像多個cpu並行執行,從而使得在一台電腦內可以同時執行多個作業系統。只有部分intel 的cpu才支援這種技術。虛擬機器 v...