• docker学习笔记--重基础使用


      最近一直在研究Elasticsearch,后来部门的同事遇到了一个docker集群的未授权访问漏洞,于是稍微看了一下docker进行了一下基本的入门,本文把自己学习docker的过程进行了一个详细的记录,希望能看过本文的文章能快速入门,本文会捡着最重要的命令分类进行介绍,让不了解docker的安全从业人员快速了解docker。

    • Docker与KVM的区别

      说到KVM和Docker的区别,我引用一张图,由于题主不在互联网公司工作,对于KVM和Docker对于生产的适用环境理解还欠佳,如果未来有机会进入互联网工作,再把这部分补上。

      不过通过架构我们可以明显的看出KVM的隔离对于Docker要好很多,由于KVM存在Hypervisor的存在对于硬件层面的虚拟化程度是远高于docker的,基于Hypervisor我们可以安装各种系统,系统中的文件与环境也是隔离的。而Docker却不一样。应用之间大量的底层和编译环境是共享的。这是我认识的Docker与KVM但并不是本文的重点,如果此处有任何错误也环境大牛来指正。

    • Docker公有镜像的获取

      在docker中我们可以通过以下命令来查找共有镜像:

    docker search nginx \搜索公有的nginx images
    

      

      通过docker pull命令来获取公有镜像:

    docker pull nginx \获取名为nginx的镜像
    • Docker启停创建容器等常用命令分析

      这部分命令非常多,也非常容易混淆,我在学习这部分的时候产生过许多疑问。诸如有了start命令为何还要有run命令。为什么有些参数只能跟着run而不能跟着start,以及一些常见的一些技巧。

    docker images  \查看本机拥有的镜像
    

      然而一个镜像仅仅是镜像,他需要在容器中进行执行,所以我们要将images转换为容器。创建一个新的容器我们通常使用以下的组合命令:

    docker run -idt --name newcentos centos haha.sh
    
    参数解释:
    -it 通常一起出现(标准输入给容器并产生一个交互性shell)
    -d 在后台运行
    --name 给容器起一个名字方便管理(否则你要用容器ID管理了,心态会爆炸的)
    /bin/bash 生成容器后要执行的命令
    
    连起来解释:
    
    创建一个新容器 装载的镜像为 centos  这个容器命名为newnetos 
    创建完成后执行haha.sh脚本 通过bash来管理这个容器 
    并且创建完成后不进入容器(-d参数的存在)
    

      管理docker容器我主要用以下命令来实现:

    docker ps -a \显示所有docker容器
    

      我们可以通过attach命令来进入一个容器,进行交互式shell管理:

    docker start newcentos \容器必须启动 才可以attach
    docker attach newcentos \上文我们将镜像命名为newcentos,否则我们要跟镜像的ID

      我们可以通过start和stop命令来启停容器,同时需要注意的是,题主在有一点是懵逼的之前。docker run包含docker creat和docker start两个阶段。所以将一个新镜像装入容器中我们使用docker run可以一劳永逸的解决两个阶段的问题。

      删除容器的过程我们需要两个阶段,停止之后删除:

    docker stop newcentos \停止容器运行
    docker rm newcentos  \删除容器
    

      

    • Docker端口映射

      当我们运行一个apache镜像的时候,我们往往希望访问宿主机地址80或者443端口来达到访问容器中运行的apache进程。这时我们需要将宿主机的80和443端口映射到容器中的80和443端口,通常我们使用如下命令。

    docker run -idt --name apache -p 80:80 httpd
    
    参数解释:
    -p 宿主机端口:容器端口 

      我自己作为安全人员用到-P参数比较少,主要是将宿主机的随机端口映射到容器的特定端口。

    • Docker挂载磁盘映像

      经典的docker romote api 未授权访问漏洞反弹shell一般需要挂载宿主机根目录来获取权限,这里不详细赘述。一般我们可以挂载本机的nginx配置文件等到容器,实现类似于linux系统中/mnt的效果。

    docker run -p 80:80 --name mynginx -v /www:/www -v /etc/conf/nginx.conf:/etc/nginx/nginx.conf -d nginx 
    
    参数解释:
    -v 宿主机文件目录:容器目录   
    
    • Docker镜像创建(commit和Dockerfile)

      我们可能在一个centos的镜像容器中部署了各种环境如nginx,redis啊,现在我想对这个自定义的centos容器进行打包形成一个新的镜像。可以使用commit和dockerfile两种方法。

    docker commit -m "centos-redis" -a "legwindy" abe40a097f26 legwindy/centos-redis:v1
    
    参数解释:
    -m:一段记录
    -a:作者名称
    abe40a097f26:打包的容器ID,比如我在一个abe40a097f26的centos
                           image装了很多东西,那个容器ID就是abe40a097f26
    (legwindy/centos-redis:v1):打包后的镜像名称,Tag值为v1
    

      使用dockerfile进行构建,比较复杂,我从网上找了个实例,需要了解很多语法,其实核心思想是把上面每一步操作写到文件中,使用docker build直接按照步骤去执行,以下是转载的一个dockerfile实例:

      几个关键字段:

    FROM (镜像名称)
    RUN (执行命令)
    EXPOSE (容器要打开的端口)
    ENTRYPOINT(难理解的点):可以把一个容器封装成一个应用。
    CMD(难理解的点):执行的命令
    

      比较难理解的是ENTRYPOINT和CMD的区别,ENTRYPOINT可以把容器封装成一个应用,比如ENTRYPOINT后面接参数/usr/local/nginx后,我们attach容器后,效果和在Linux下直接执行nginx命令的回现是相同的。CMD可以理解为接在ENTRYPOINT后的参数,当我们撰写这么一个参数:--ENTRYPOINT /usr/local/bin/nginx后。我们我们使用如下命令达到的效果如下。 docker run xxxx --entrypoint /usr/local/bin/nginx help。等于在物理机中运行nginx help命令。

      关于docker的使用,学习的还比较浅,仅仅在应用层层面,跟自己目前的工作还不太相关,有机会会为大家介绍docker remote api访问漏洞的原因和防范方法。

      

      

  • 相关阅读:
    C# 使用自带Microsoft.Office.Interop.Excel简单操作Excel文件
    Winform修改配置文件节点保存到配置文件
    C# MD5加密字符串
    dev gridcontrol简单的动态设置动态表头
    dev gridcontrol绘制页脚
    dev gridcontrol 导出到excel
    dev gridcontrol设置过滤器下拉列表
    为什么要使用Unix时间戳
    DataTable和DataReader的遍历
    C#生成不重复随机数的方法
  • 原文地址:https://www.cnblogs.com/Hyber/p/7156588.html
Copyright © 2020-2023  润新知