Docker -- 终极指南
1.安装过程 -- Docker -- docker pull 镜像 -- docker images 列出镜像
-- docker run --rm -ti ubuntu /bin/bash 创建容器 (rm:进程退出即删除容器,用来测试)
-- docker ps 查看容器 -- docker exec -ti name /bin/bash 进入容器 -- exit 退出
2.Linux命名空间 UTS (UNIX Time-sharing System)
*Docker核心解决的问题是利用LXC来实现类似VM的功能,
从而利用更加节省的硬件资源提供给用户更多的计算资源。
而LXC(Linux Container)所实现的隔离性主要是来自内核的命名空间,
其中pid、net、ipc、mnt、uts 等命名空间将容器的进程、网络、消息、文件系统和hostname 隔离开
Docker -- 安全
1.Docker run 命令执行后,Docker的具体实现
* Docker run 命令初始化
* Docker 运行 lxc -start 来执行run 命令
* lxc -start 在容器中创建了一组namespace 和 control groups 。
①namespace: 隔离容器,每个容器都有独立的网络栈,因此容器间访问sockets需要指定容器的公网IP端口。
②cgroups:负责资源核算和限制, 提供CPU,内存,I/O和网络相关的指标,避免某种DOS攻击,支持多租户平台。
2.Docker Daemon 以root权限执行时注意点
* Docker允许与访问容器目录共享而不限制其访问权限的时候,Docker Daemon的控制权应该只给授权用户,
* REST API支持unix sockets, 从而防止了cross-site-scripting 攻击
* REST API的HTTP接口应该在可信网络或者VPN下使用。
* 在服务器上单独运行Docker时,需要与其他服务隔离。
①容器以非特权用户运行。
②Apparmor, SELinux ,GRSEC 解决方案,可用于额外的安全层。
③可以使用其他容器系统的安全功能。
Docker 命令
daemon:管理容器的后台进程,-d 参数运行后台进程。
build :使用Dockerfile创建镜像 docker build -t [options] path | url [options: --rm=true :构建后删除中间容器, --no-cache=false :不使用缓存]
attach:与运行容器交互, 退出:ctrl+c/ ctrl-(退出并显示堆栈信息) docker attach container
diff :列出文件中变化的文件和目录:docker diff container .
events:打印指定时间内的容器的实时系统事件。
import:导入远程文件或本地文件和目录。(远程): docker import http://example.com/example.tar (本地使用-参数)sudo tar -c image.tar | docker import -imageapp
export:将容器的系统文件打包成tar: docker export containid > image.tar
cp :从容器中复制文件到指定目录。 docker cp containerID:path hostpath.
login :登录registry服务器。 docker login [options] [server]
inspect:收集容器和镜像的底层信息。 docker inspect container/image *容器实例的IP地址,*端口绑定列表, *特定端口映射的搜索, *收集配置的详细信息。
kill :停止容器的主进程 docker kill [options] container .
rmi :移除一个或多个image镜像 docker rmi image
wait :阻塞对容器的其他方法调用,直到容器停止后退出阻塞。docker wait containerID
load :从tar文件中载入镜像或仓库到STDIN. docker load -i load.tar
save :保存镜像为tar文件并发送STDOUT。 docker save imageid > appbox.tar。