一.docker 是什么:
2.安装docker
系统:ubuntu16.04
使用脚本自动安装
Docker 官网为了简化安装流程,提供了一套安装脚本,Ubuntu系统可以使用这套脚本进行安装
curl -sSL https://get.docker.com/ | sh
执行这个命令后,脚本就会自动的将一切准备工作做好,并把Docker install 系统中;不过在国内咱们要考虑的问题自然是 墙(翻墙安装); 如果没有翻墙条件的朋友建议使用阿里提供的安装脚本
curl -sS http://acs-public-mirror.oss-cn-hangzhou.aliyuncs.com/docker-engine/internet | sh -
本人只用第一步就安装成功了,所以后面的步骤就没有记录.
相关参考网站:https://zhuanlan.zhihu.com/p/26549008
更新源
sudo apt-get update
确保apt能使用https方式工作,已经安装ca证书
sudo apt-get install apt-transport-https ca-certificates
显示正确为如下情况:
测试:
sudo docker run hello-world
使用hello-world进行测试,运行该命令时开始会报错,提示image not found,因为下载还没完成。耐心等就好了。
参考网站://www.greatytc.com/p/a12558da034e
3.docker常用命令详解
根据自己的理解,总的来说分为以下几种:
容器生命周本期管理 — docker [run|start|stop|restart|kill|rm|pause|unpause]
容器操作运维 — docker [ps|inspect|top|attach|events|logs|wait|export|port]
容器rootfs命令 — docker [commit|cp|diff]
镜像仓库 — docker [login|pull|push|search]
本地镜像管理 — docker [images|rmi|tag|build|history|save|import]
其他命令 — docker [info|version]
- 在docker index中搜索image(search)
Usage: docker search TERM
# docker search seanlo
NAME DESCRIPTION STARS OFFICIAL AUTOMATED
seanloook/centos6 sean's docker repos 0
搜索的范围是官方镜像和所有个人公共镜像。NAME列的 / 后面是仓库的名字。
3. 从docker registry server 中下拉image或repository(pull)
Usage: docker pull [OPTIONS] NAME[:TAG]
# docker pull centos
上面的命令需要注意,在docker v1.2版本以前,会下载官方镜像的centos仓库里的所有镜像,而从v.13开始官方文档里的说明变了:will pull the centos:latest image, its intermediate layers and any aliases of the same id,也就是只会下载tag为latest的镜像(以及同一images id的其他tag)。
也可以明确指定具体的镜像:
# docker pull centos:centos6
当然也可以从某个人的公共仓库(包括自己是私人仓库)拉取,形如docker pull username/repository<:tag_name> :
# docker pull seanlook/centos:centos6
如果你没有网络,或者从其他私服获取镜像,形如docker pull registry.domain.com:5000/repos:<tag_name>
# docker pull dl.dockerpool.com:5000/mongo:latest
4. 推送一个image或repository到registry(push)
与上面的pull对应,可以推送到Docker Hub的Public、Private以及私服,但不能推送到Top Level Repository。
# docker push seanlook/mongo
# docker push registry.tp-link.net:5000/mongo:2014-10-27
registry.tp-link.net也可以写成IP,172.29.88.222。
在repository不存在的情况下,命令行下push上去的会为我们创建为私有库,然而通过浏览器创建的默认为公共库。
5.1 使用image创建container并执行相应命令,然后停止
# docker run ubuntu echo "hello world"
hello word
这是最简单的方式,跟在本地直接执行echo 'hello world' 几乎感觉不出任何区别,而实际上它会从本地ubuntu:latest镜像启动到一个容器,并执行打印命令后退出(docker ps -l可查看)。需要注意的是,默认有一个--rm=true参数,即完成操作后停止容器并从文件系统移除。因为Docker的容器实在太轻量级了,很多时候用户都是随时删除和新创建容器。
容器启动后会自动随机生成一个CONTAINER ID,这个ID在后面commit命令后可以变为IMAGE ID
使用image创建container并进入交互模式, login shell是/bin/bash
# docker run -i -t --name mytest centos:centos6 /bin/bash
bash-4.1#
上面的--name参数可以指定启动后的容器名字,如果不指定则docker会帮我们取一个名字。镜像centos:centos6也可以用***IMAGE ID ***(68edf809afe7) 代替),并且会启动一个伪终端,但通过ps或top命令我们却只能看到一两个进程,因为容器的核心是所执行的应用程序,所需要的资源都是应用程序运行所必需的,除此之外,并没有其它的资源,可见Docker对资源的利用率极高。此时使用exit或Ctrl+D退出后,这个容器也就消失了(消失后的容器并没有完全删除?)
(那么多个TAG不同而IMAGE ID相同的的镜像究竟会运行以哪一个TAG启动呢
5.2 运行出一个container放到后台运行
# docker run -d ubuntu /bin/sh -c "while true; do echo hello world; sleep 2; done"
ae60c4b642058fefcc61ada85a610914bed9f5df0e2aa147100eab85cea785dc
它将直接把启动的container挂起放在后台运行(这才叫saas),并且会输出一个CONTAINER ID,通过docker ps可以看到这个容器的信息,可在container外面查看它的输出docker logs ae60c4b64205,也可以通过docker attach ae60c4b64205连接到这个正在运行的终端,此时在Ctrl+C退出container就消失了,按ctrl-p ctrl-q可以退出到宿主机,而保持container仍然在运行
另外,如果-d启动但后面的命令执行完就结束了,如/bin/bash、echo test,则container做完该做的时候依然会终止。而且-d不能与--rm同时使用
可以通过这种方式来运行memcached、apache等。
5.3 映射host到container的端口和目录
映射主机到容器的端口是很有用的,比如在container中运行memcached,端口为11211,运行容器的host可以连接container的 internel_ip:11211 访问,如果有从其他主机访问memcached需求那就可以通过-p选项,形如-p <host_port:contain_port>,存在以下几种写法:
-p 11211:11211 这个即是默认情况下,绑定主机所有网卡(0.0.0.0)的11211端口到容器的11211端口上
-p 127.0.0.1:11211:11211 只绑定localhost这个接口的11211端口
-p 127.0.0.1::5000
-p 127.0.0.1:80:8080
目录映射其实是“绑定挂载”host的路径到container的目录,这对于内外传送文件比较方便,在搭建私服那一节,为了避免私服container停止以后保存的images不被删除,就要把提交的images保存到挂载的主机目录下。使用比较简单,-v <host_path:container_path>,绑定多个目录时再加-v。
-v /tmp/docker:/tmp/docker
另外在两个container之间建立联系可用--link,详见高级部分或官方文档。
下面是一个例子:
# docker run --name nginx_test \
> -v /tmp/docker:/usr/share/nginx/html:ro \
> -p 80:80 -d \
> nginx:1.7.6
在主机的/tmp/docker下建立index.html,就可以通过http://localhost:80/
或
http://host-ip:80
访问了。
6. 将一个container固化为一个新的image(commit)
当我们在制作自己的镜像的时候,会在container中安装一些工具、修改配置,如果不做commit保存起来,那么container停止以后再启动,这些更改就消失了。
docker commit <container> [repo:tag]
后面的repo:tag可选
只能提交正在运行的container,即通过docker ps可以看见的容器,
查看刚运行过的容器
# docker ps -l
CONTAINER ID IMAGE COMMAND CREATED STATUS PORTS NAMES
c9fdf26326c9 nginx:1 nginx -g.. 3 hours ago Exited (0).. nginx_test
启动一个已存在的容器(run是从image新建容器后再启动),以下也可以使用docker start nginx_test代替
[root@hostname docker]# docker start c9fdf26326c9
c9fdf26326c9
docker run -i -t --sig-proxy=false 21ffe545748baf /bin/bash
nginx服务没有启动
# docker commit -m "some tools installed" fcbd0a5348ca seanlook/ubuntu:14.10_tutorial
fe022762070b09866eaab47bc943ccb796e53f3f416abf3f2327481b446a9503
-a "seanlook7@gmail.com"
请注意,当你反复去commit一个容器的时候,每次都会得到一个新的IMAGE ID
,假如后面的repository:tag
没有变,通过docker images'可以看到,之前提交的那份镜像的
repository:tag'就会变成<none>:<none>
,所以尽量避免反复提交。
另外,观察以下几点:
<div>
<div>e</div>
<div>e</div>
<div>e</div>
</div>
-
commit container只会pause住容器,这是为了保证容器文件系统的一致性,但不会stop。如果你要对这个容器继续做其他修改:
- 你可以重新提交得到新image2,删除次新的image1
- 也可以关闭容器用新image1启动,继续修改,提交image2后删除image1
- 当然这样会很痛苦,所以一般是采用Dockerfile来build得到最终image,参考[]
虽然产生了一个新的image,并且你可以看到大小有100MB,但从commit过程很快就可以知道实际上它并没有独立占用100MB的硬盘空间,而只是在旧镜像的基础上修改,它们共享大部分公共的“片”。
1. 开启/停止/重启container(start/stop/restart)
容器可以通过run
新建一个来运行,也可以重新start
已经停止的container
,但start
不能够再指定容器启动时运行的指令,因为docker只能有一个前台进程。
容器stop(或Ctrl+D
)时,会在保存当前容器的状态之后退出,下次start时保有上次关闭时更改。而且每次进入attach
进去的界面是一样的,与第一次run启动或commit提交的时刻相同。
CONTAINER_ID=$(docker start <containner_id>)
docker stop $CONTAINER_ID
docker restart $CONTAINER_ID
关于这几个命令可以通过一个完整的实例使用:docker如何创建一个运行后台进程的容器并同时提供shell终端。
2. 连接到正在运行中的container(attach)
要attach
上去的容器必须正在运行,可以同时连接上同一个container
来共享屏幕(与screen
命令的attach类似)。
官方文档中说attach
后可以通过CTRL-C
来detach,但实际上经过我的测试,如果container当前在运行bash,CTRL-C
自然是当前行的输入,没有退出;如果container当前正在前台运行进程,如输出nginx的access.log日志,CTRL-C
不仅会导致退出容器,而且还stop了。这不是我们想要的,detach的意思按理应该是脱离容器终端,但容器依然运行。好在attach是可以带上--sig-proxy=false
来确保CTRL-D
或CTRL-C
不会关闭容器。
# docker attach --sig-proxy=false $CONTAINER_ID
3. 查看image或container的底层信息(inspect)
inspect
的对象可以是image、运行中的container和停止的container。
查看容器的内部IP
# docker inspect --format='{{.NetworkSettings.IPAddress}}' $CONTAINER_ID
172.17.42.35
4. 删除一个或多个container、image(rm、rmi)
你可能在使用过程中会buil
d或commit
许多镜像,无用的镜像需要删除。但删除这些镜像是有一些条件的:
同一个IMAGE ID
可能会有多个TAG
(可能还在不同的仓库),首先你要根据这些 image names
来删除标签,当删除最后一个tag
的时候就会自动删除镜像;
承上,如果要删除的多个IMAGE NAME
在同一个REPOSITORY
,可以通过docker rmi <image_id>
来同时删除剩下的TAG
;若在不同Repo则还是需要手动逐个删除TAG
;
还存在由这个镜像启动的container时(即便已经停止),也无法删除镜像;
TO-DO
如何查看镜像与容器的依存关系
删除容器
docker rm <container_id/contaner_name>
删除所有停止的容器
docker rm $(docker ps -a -q)
删除镜像
docker rmi <image_id/image_name ...>
下面是一个完整的示例:
# docker images <==
ubuntu 13.10 195eb90b5349 4 months ago 184.6 MB
ubuntu saucy 195eb90b5349 4 months ago 184.6 MB
seanlook/ubuntu rm_test 195eb90b5349 4 months ago 184.6 MB
使用195eb90b5349启动、停止一个容器后,删除这个镜像
# docker rmi 195eb90b5349
Error response from daemon: Conflict, cannot delete image 195eb90b5349 because it is
tagged in multiple repositories, use -f to force
2014/11/04 14:19:00 Error: failed to remove one or more images
删除seanlook仓库中的tag <==
# docker rmi seanlook/ubuntu:rm_test
Untagged: seanlook/ubuntu:rm_test
现在删除镜像,还会由于container的存在不能rmi
# docker rmi 195eb90b5349
Error response from daemon: Conflict, cannot delete 195eb90b5349 because the
container eef3648a6e77 is using it, use -f to force
2014/11/04 14:24:15 Error: failed to remove one or more images
先删除由这个镜像启动的容器 <==
# docker rm eef3648a6e77
删除镜像 <==
# docker rmi 195eb90b5349
Deleted: 195eb90b534950d334188c3627f860fbdf898e224d8a0a11ec54ff453175e081
Deleted: 209ea56fda6dc2fb013e4d1e40cb678b2af91d1b54a71529f7df0bd867adc961
Deleted: 0f4aac48388f5d65a725ccf8e7caada42f136026c566528a5ee9b02467dac90a
Deleted: fae16849ebe23b48f2bedcc08aaabd45408c62b531ffd8d3088592043d5e7364
Deleted: f127542f0b6191e99bb015b672f5cf48fa79d974784ac8090b11aeac184eaaff
注意,上面的删除过程我所举的例子比较特殊——镜像被tag在多个仓库,也有启动过的容器。按照<==指示的顺序进行即可。
Docker 容器镜像删除
1.停止所有的container,这样才能够删除其中的images:
docker stop $(docker ps -a -q)
如果想要删除所有container的话再加一个指令:
docker rm $(docker ps -a -q)
2.查看当前有些什么images
docker images
3.删除images,通过image的id来指定删除谁
docker rmi <image id>
想要删除untagged images,也就是那些id为<None>的image的话可以用
docker rmi $(docker images | grep "^<none>" | awk "{print $3}")
要删除全部image的话
docker rmi $(docker images -q)
5. docker build 使用此配置生成新的image
build
命令可以从Dockerfile
和上下文来创建镜像:
docker build [OPTIONS] PATH | URL | -
上面的PATH
或URL
中的文件被称作上下文,build image的过程会先把这些文件传送到docker的服务端来进行的。
如果PATH
直接就是一个单独的Dockerfile
文件则可以不需要上下文;如果URL
是一个Git仓库地址,那么创建image的过程中会自动git clone
一份到本机的临时目录,它就成为了本次build的上下文。无论指定的PATH是什么,Dockerfile
是至关重要的,请参考Dockerfile Reference。
请看下面的例子:
# cat Dockerfile
FROM seanlook/nginx:bash_vim
EXPOSE 80
ENTRYPOINT /usr/sbin/nginx -c /etc/nginx/nginx.conf && /bin/bash
# docker build -t seanlook/nginx:bash_vim_Df .
Sending build context to Docker daemon 73.45 MB
Sending build context to Docker daemon
Step 0 : FROM seanlook/nginx:bash_vim
---> aa8516fa0bb7
Step 1 : EXPOSE 80
---> Using cache
---> fece07e2b515
Step 2 : ENTRYPOINT /usr/sbin/nginx -c /etc/nginx/nginx.conf && /bin/bash
---> Running in e08963fd5afb
---> d9bbd13f5066
Removing intermediate container e08963fd5afb
Successfully built d9bbd13f5066
上面的PATH
为.,所以在当前目录下的所有文件(不包括.dockerignore中的)将会被tar
打包并传送到docker daemon
(一般在本机),从输出我们可以到Sending build context...
,最后有个Removing intermediate container
的过程,可以通过--rm=false来保留容器。
TO-DO
docker build github.com/creack/docker-firefox
失败。
- 给镜像打上标签(tag)
tag的作用主要有两点:一是为镜像起一个容易理解的名字,二是可以通过docker tag来重新指定镜像的仓库,这样在push
时自动提交到仓库。
将同一IMAGE_ID的所有tag,合并为一个新的
# docker tag 195eb90b5349 seanlook/ubuntu:rm_test
新建一个tag,保留旧的那条记录
# docker tag Registry/Repos:Tag New_Registry/New_Repos:New_Tag
7. 查看容器的信息container(ps)
docker ps
命令可以查看容器的CONTAINER ID、NAME、IMAGE NAME
、端口开启及绑定、容器启动后执行的COMMNAD。经常通过ps
来找到CONTAINER_ID
。
docker ps 默认显示当前正在运行中的container
docker ps -a查看包括已经停止的所有容器
docker ps -l显示最新启动的一个容器(包括已停止的)
*** -q, --quiet=false Only show numeric IDs#显示所有镜像容器的id号
8. 查看容器中正在运行的进程(top)
容器运行时不一定有/bin/bash
终端来交互执行top
命令,查看container中正在运行的进程,况且还不一定有top
命令,这是docker top <container_id/container_name>
就很有用了。实际上在host上使用ps -ef|grep docker
也可以看到一组类似的进程信息,把container里的进程看成是host上启动docker的子进程就对了。
- 其他命令
docker还有一些如login、cp、logs、export、import、load、kill
等不是很常用的命令。
Docker
我们通过docker的两个参数 -i -t,让docker运行的容器实现"对话"的能力
• -t:在新容器内指定一个伪终端或终端。
-t :指定要创建的目标镜像名
• -i:允许你对容器内的标准输入 (STDIN) 进行交互。
我们还要将其启动在后台(Daemonized),加上-d参数。
-d: 后台运行容器,并返回容器ID
sudo docker rm $(docker ps -a -q):删除所有容器
删除seanlook仓库中的tag <== # docker rmi seanlook/ubuntu:rm_test Untagged: seanlook/ubuntu:rm_test
创建自定义镜像的文件。它通常分为四部分:基础镜像信息,维护者信息,镜像操作指令和容器启动时的指令
使用URL github.com/creack/docker-firefox 的 Dockerfile 创建镜像。
docker build github.com/creack/docker-firefox
git clone https://github.com/sameersbn/docker-gitlab.git
cd docker-gitlab
docker build --tag="$USER/gitlab" .
其它 docker build 的用法
直接用 Git repo 进行构建
或许你已经注意到了,docker build 还支持从 URL 构建,比如可以直接从 Git repo 中构建:
docker build http://server/context.tar.gz
如果所给出的 URL 不是个 Git repo,而是个 tar 压缩包,那么 Docker 引擎会下载这个包,并自动解压缩,以其作为上下文,开始构建。
从标准输入中读取 Dockerfile 进行构建
docker build - < Dockerfile
或
cat Dockerfile | docker build -
如果标准输入传入的是文本文件,则将其视为 Dockerfile,并开始构建。这种形式由于直接从标准输入中读取 Dockerfile 的内容,它没有上下文,因此不可以像其他方法那样可以将本地文件 COPY 进镜像之类的事情。
从标准输入中读取上下文压缩包进行构建
$ docker build - < context.tar.gz
如果发现标准输入的文件格式是 gzip、bzip2 以及 xz 的话,将会使其为上下文压缩包,直接将其展开,将里面视为上下文,并开始构建。
譬如我要启动一个CentOS容器,宿主机的/test目录挂载到容器的/soft目录,可通过以下方式指定:
docker run -it -v /test:/soft centos /bin/bash
这样在容器启动后,容器内会自动创建/soft的目录。通过这种方式,我们可以明确一点,即-v参数中,冒号":"前面的目录是宿主机目录,后面的目录是容器内目录。
docker run :
Usage: docker run [OPTIONS] IMAGE [COMMAND] [ARG...]
-d, --detach=false 指定容器运行于前台还是后台,默认为false
-i, --interactive=false 打开STDIN,用于控制台交互
-t, --tty=false 分配tty设备,该可以支持终端登录,默认为false
-u, --user="" 指定容器的用户
-a, --attach=[] 登录容器(必须是以docker run -d启动的容器)
-w, --workdir="" 指定容器的工作目录
-c, --cpu-shares=0 设置容器CPU权重,在CPU共享场景使用
-e, --env=[] 指定环境变量,容器中可以使用该环境变量
-m, --memory="" 指定容器的内存上限
-P, --publish-all=false 指定容器暴露的端口
-p, --publish=[] 指定容器暴露的端口
-h, --hostname="" 指定容器的主机名
-v, --volume=[] 给容器挂载存储卷,挂载到容器的某个目录
--volumes-from=[] 给容器挂载其他容器上的卷,挂载到容器的某个目录
--cap-add=[] 添加权限,权限清单详见:http://linux.die.net/man/7/capabilities
--cap-drop=[] 删除权限,权限清单详见:http://linux.die.net/man/7/capabilities
--cidfile="" 运行容器后,在指定文件中写入容器PID值,一种典型的监控系统用法
--cpuset="" 设置容器可以使用哪些CPU,此参数可以用来容器独占CPU
--device=[] 添加主机设备给容器,相当于设备直通
--dns=[] 指定容器的dns服务器
--dns-search=[] 指定容器的dns搜索域名,写入到容器的/etc/resolv.conf文件
--entrypoint="" 覆盖image的入口点
--env-file=[] 指定环境变量文件,文件格式为每行一个环境变量
--expose=[] 指定容器暴露的端口,即修改镜像的暴露端口
--link=[] 指定容器间的关联,使用其他容器的IP、env等信息
--lxc-conf=[] 指定容器的配置文件,只有在指定--exec-driver=lxc时使用
--name="" 指定容器名字,后续可以通过名字进行容器管理,links特性需要使用名字
--net="bridge" 容器网络设置:
bridge 使用docker daemon指定的网桥
host //容器使用主机的网络
container:NAME_or_ID >//使用其他容器的网路,共享IP和PORT等网络资源
none 容器使用自己的网络(类似--net=bridge),但是不进行配置
--privileged=false 指定容器是否为特权容器,特权容器拥有所有的capabilities
--restart="no" 指定容器停止后的重启策略:
no:容器退出时不重启
on-failure:容器故障退出(返回值非零)时重启
always:容器退出时总是重启
--rm=false 指定容器停止后自动删除容器(不支持以docker run -d启动的容器)
--sig-proxy=true 设置由代理接受并处理信号,但是SIGCHLD、SIGSTOP和SIGKILL不能被代理
-h "mars": 指定容器的hostname;
-p <宿主端口>:<容器端口> 区分开来。-p,是映射宿主端口和容器端口
--name="nginx-lb": 为容器指定一个名称
docker挂载目录:
Docker容器启动的时候,如果要挂载宿主机的一个目录,可以用-v参数指定。
譬如我要启动一个CentOS容器,宿主机的/test目录挂载到容器的/soft目录,可通过以下方式指定:
docker run -it -v /test:/soft centos /bin/bash
这样在容器启动后,容器内会自动创建/soft的目录。通过这种方式,我们可以明确一点,即-v参数中,冒号":"前面的目录是宿主机目录,后面的目录是容器内目录。
貌似简单,其实不然,下面我们来验证一下:
一、容器目录不可以为相对路径
[root@localhost ~]# docker run -it -v /test:soft
centos /bin/bash
invalid value "/test:soft" for flag -v: soft is not an absolute path
See 'docker run --help'.
直接报错,提示soft不是一个绝对路径,所谓的绝对路径,必须以下斜线“/”开头。
docker run参数:
-p IP:host_port:container_port 或 -p IP::port
配置网络访问域名(ip)和端口转发容器端口
监听主机的指定域名端口转发到容器的端口
四.添加到用户组(可选项)
1.添加到用户组(so easy)
sudo groupadd docker
sudo usermod -aG docker $USER
注销系统重新进入系统,就可以直接使用docker开头了。
2.如果不添加到用户组会发生什么呢?
如果直接运行:
docker run hello-world
你会发现下面的错误:
Got permission denied while trying to connect to the Docker daemon socket at unix:///var/run/docker.sock: Get http://%2Fvar%2Frun%2Fdocker.sock/v1.30/containers/json: dial unix /var/run/docker.sock: connect: permission denied
这是因为:
docker守护程序绑定到Unix套接字而不是TCP端口。默认情况下,Unix套接字由用户root拥有,其他用户只能使用sudo访问它。 docker守护程序始终以root用户身份运行。 如果您不想在使用docker命令时使用sudo,请创建名为docker的Unix组,并将用户添加到该组。当docker守护进程启动时,它会使Docker组的Unix套接字的所有权读/写。
3.docker 普通用户,加入docker用户组
普通用户,加入docker用户组,去掉sudo
操作顺序:
sudo cat /etc/group | grep docker
如果不存在docker组,可以添加sudo groupadd docker
添加当前用户到docker组,sudo gpasswd -a ${USER} docker
重启docker服务,sudo systemctl restart docker
如果权限不够,sudo chmod a+rw /var/run/docker.sock
Docker私有仓库搭建
http://blog.csdn.net/wangtaoking1/article/details/44180901
参考网站:https://yeasy.gitbooks.io/docker_practice/content/container/enter.html
http://www.sklinux.com/1394
FTP_SVN_DNS_LINUX服务器维护_搭建web云服务器安全配置
.video-wrap{position:relative;width:100%;padding:0}.video-wrap embed, .video-wrap object, .video-wrap iframe{position:absolute;top:0;left:0;width:100%;height:100%}
jQuery(document).ready(function(("#wrapper").vids();});
如何打开多个终端进入Docker容器
Docker容器运行后,如何进入容器进行操作呢?起初我是用SSH。如果只启动一个容器,用SSH还能应付,只需要将容器的22端口映射到本机的一个端口即可。当我启动了五个容器后,每个容器默认是没有配置SSH Server的,安装配置SSHD,映射容器SSH端口,实在是麻烦。 我发现很多Docker镜像都是没有安装SSHD服务的,难道有其他方法进入Docker容器?有很多种方法,包括使用 docker attach 命令或 nsenter 工具等。使用 attach 命令有时候并不方便。当多个窗口同时 attach 到同一个容器的时候,所有窗口都会同步显示。nsenter 可以访问另一个进程的名字空间。为了连接到容器,你还需要找到容器的第一个进程的 PID,可以通过下面的命令获取。PID= nsenter –target wget -P ~ https://github.com/yeasy/docker_practice/raw/master/_local/.bashrc_docker; echo docker-enter <container>
附.bashrc_docker文件内容:# Some useful commands to use docker.# Author: yeasy@github# Created:2014-09-25
alias docker-pid=”sudo docker inspect –format ‘{{.State.Pid}}’”alias docker-ip=”sudo docker inspect –format ‘{{ .NetworkSettings.IPAddress }}’”
the implementation refs from https://github.com/jpetazzo/nsenter/blob/master/docker-enterfunction docker-enter() {if [ -e 0")/nsenter ]; then# with boot2docker, nsenter is not in the PATH but it is in the same folderNSENTER=0″)/nsenterelseNSENTER=nsenterfi[ -z "$NSENTER" ] && echo “WARN Cannot find nsenter” && return
if [ -z "0″` CONTAINER [COMMAND [ARG]…]”echo “”echo “Enters the Docker CONTAINER and executes the specified COMMAND.”echo “If COMMAND is not specified, runs an interactive shell in CONTAINER.”elsePID=1″)if [ -z "PID –mount –uts –ipc –net –pid”
if [ -z "NSENTER “NSENTER –target NSENTER –target @fifi}
Dockerfile:
RUN命令会在上面指定的镜像里执行任何命令
RUN apt-get update
RUN apt-get install -y nginx
7.6 ADD
<pre>ADD <src>... <dest></pre>
ADD复制本地主机文件、目录或者远程文件 URLS 从 并且添加到容器指定路径中 。
支持通过 GO 的正则模糊匹配,具体规则可参见 Go filepath.Match
ADD hom* /mydir/ # adds all files starting with "hom"
ADD hom?.txt /mydir/ # ? is replaced with any single character
- 路径必须是绝对路径,如果 不存在,会自动创建对应目录
- 路径必须是 Dockerfile 所在路径的相对路径
- 如果是一个目录,只会复制目录下的内容,而目录本身则不会被复制
1. COPY指令
COPY指令能够将构建命令所在的主机本地的文件或目录,复制到镜像文件系统。
CMD exec /bin/bash -c "/etc/init.d/xinetd start; trap : TERM INT; sleep infinity & wait"
当执行系统命令的时候,才会加-c
trap 的使用
1、运行格式
trap命令的参数分为两部分,前一部分是接收到指定信号时将要采取的行动,后一部分是要处理的信号名。
trap command signal
它有三种形式分别对应三种不同的信号回应方式。
第一种:
trap "commands" signal-list
当脚本收到signal-list清单内列出的信号时,trap命令执行双引号中的命令。
第二种:
trap signal-list
trap不指定任何命令,接受信号的默认操作,默认操作是结束进程的运行。
第三种:
trap " " signal-list
trap命令指定一个空命令串,允许忽视信号,我们用到的就是这一种。
CMD exec /bin/bash -c "/etc/init.d/xinetd start; trap : TERM INT; sleep infinity & wait"
HUP 1 终端断线
INT 2 中断(同 Ctrl + C)
QUIT 3 退出(同 Ctrl + \)
TERM 15 终止
KILL 9 强制终止
CONT 18 继续(与STOP相反, fg/bg命令)
STOP 19 暂停(同 Ctrl + Z)
sleep命令常用于在Linux shell脚本中延迟时间。
永久等待 sleep infinity¶
有时写了一个sh文件后需要保持这个sh的运行,就用sleep永久等待好咯
sleep infinity
wait
wait是用来阻塞当前进程的执行,直至指定的子进程执行结束后,才继续执行。使用wait可以在bash脚本“多进程”执行模式下,起到一些特殊控制的作用。
使用格式
wait [进程号 或 作业号]
eg:wait 23 or wait %1
备注:
如果wait后面不带任何的进程号或作业号,那么wait会阻塞当前进程的执行,直至当前进程的所有子进程都执行结束后,才继续执行。
#!/bin/sh
echo “1”
sleep 5&
echo “3”
echo “4”
wait #会等待wait所在bash上的所有子进程的执行结束,本例中就是sleep 5这句
echo”5”
EXPOSE
EXPOSE <port> [<port>...]
告诉 Docker 服务端容器对外映射的本地端口,需要在 docker run 的时候使用-p或者-P选项生效。
【docker】查看docker容器或镜像的详细信息命令,查看docker中正在运行的容器的挂载位置
命令:
docker inspect f257d69e0035</pre>
格式:
docker inspect 容积或镜像ID</pre>
首先,docker ps获取简要信息
参考网站:
pwndocker :https://github.com/skysider/pwndocker
Docker —— 从入门到实践:https://yeasy.gitbooks.io/docker_practice/content/install/ubuntu.html
我眼中的 Docker(二)Image:http://blog.csdn.net/jcjc918/article/details/46500031
非常详细的资料:https://www.cnblogs.com/LinuxSuDa/p/6408364.html
有货:https://segmentfault.com/a/1190000007652344
docker /web-docker练习网站:https://github.com/imagemlt/CTF_web_dockers
git报错--RPC failed; curl 18 transfer closed with outstanding read data remaining:
https://blog.csdn.net/IT_liuchengli/article/details/77040806
docker ctf环境详解:
http://www.k0rz3n.com/2018/05/17/%E6%90%AD%E5%BB%BAdocker%E7%9A%84%20CTF%20getshell%E7%8E%AF%E5%A2%83/
daocker非常实用网站:
https://yeasy.gitbooks.io/docker_practice/introduction/