تشغيل عامل ميناء - عبر الإنترنت في السحابة

برنامج:

اسم

docker-run - تشغيل أمر في حاوية جديدة

موجز

عامل ميناء يجري [-a|--يربط[=[]]] [--add-host[=[]]] [--بلكيو-الوزن[=[الوزن الأسود]]]
[--blkio-weight-device[=[]]] [- وحدة المعالجة المركزية سهم[=0]] [--cap-add[=[]]] [--cap-drop[=[]]]
[- مجموعة الوالدين[=مسار CGROUP]] [--cidfile[=ملف]] [- وحدة المعالجة المركزية[=0]] [- حصة وحدة المعالجة المركزية[=0]]
[--cpuset-cpus[=وحدة المعالجة المركزية-وحدة المعالجة المركزية]] [--cpuset-mems[=وحدة المعالجة المركزية-MEMS]] [-d|--فصل]
[--فصل المفاتيح[=[]]] [--جهاز[=[]]] [--جهاز القراءة بت في الثانية[=[]]] [--device-read-ios[=[]]]
[--جهاز الكتابة بت في الثانية[=[]]] [--device-write-ios[=[]]] [--dns[=[]]] [--dns-opt[=[]]]
[--بحث نظام أسماء النطاقات[=[]]] [-e|--env[=[]]] [--نقطة الدخول[=نقطة الدخول]] [--env-ملف[=[]]]
[--يفضح[=[]]] [--إضافة المجموعة[=[]]] [-h|--اسم المضيف[=HOSTNAME]] [--مساعدة] [-i|- تفاعلي]
[--ip[=عنوان IPv4]] [--ip6[=عنوان IPv6]] [--IPC[=IPC]] [--عزل[=الافتراضي]]
[--ذاكرة النواة[=ذاكرة النواة]] [-l|--ضع الكلمة المناسبة[=[]]] [--label-file[=[]]] [--حلقة الوصل[=[]]]
[--log-driver[=[]]] [--log-opt[=[]]] [-m|--ذاكرة[=الذاكرة ]] [--عنوان ماك[=عنوان ماك]]
[--حجز الذاكرة[=حجز الذاكرة]] [--مبادلة الذاكرة[=مما سيحدث]]
[- تبديل الذاكرة[=تبديل الذاكرة]] [--اسم[=اسم]] [--صافي[="كوبري"]]
[--net-alias[=[]]] [--oom-kill-disable] [--oom-score-adj[=0]] [-P|--نشر الكل]
[-p|--ينشر[=[]]] [--معرّف[=[]]] [--ذو امتياز] [--يقرأ فقط] [--اعادة البدء[=إعادة بدء]] [--rm]
[--الاختيار الأمني[=[]]] [--إشارة التوقف[=إشارة]] [- حجم shm[=[]]] [--sig-proxy[=صحيح]]
[-t|- tty] [--tmpfs[=[حاوية-دير[: ]]] [-u|--المستعمل[=USER]] [--وليميت[=[]]]
[--وتس[=[]]] [-v|--الصوت[=[[HOST-DIR:]CONTAINER-DIR[:OPTIONS]]]]
[--حجم السائق[=DRIVER]] [--المجلدات من[=[]]] [-w|--ووركدير[=عمل]] الصورة [الأمر]
[ARG ...]

الوصف

تشغيل عملية في حاوية جديدة. عامل ميناء يجري يبدأ عملية باستخدام نظام الملفات الخاص به،
شبكاتها الخاصة، وشجرة العمليات المعزولة الخاصة بها. الصورة التي تبدأ العملية
قد يحدد الإعدادات الافتراضية المتعلقة بالعملية التي سيتم تشغيلها في الحاوية
الشبكات لفضح، وأكثر من ذلك، ولكن عامل ميناء يجري يعطي السيطرة النهائية للمشغل أو
المسؤول الذي يبدأ الحاوية من الصورة. لهذا السبب عامل ميناء يجري لديه اكثر
خيارات أكثر من أي أمر Docker آخر.

إذا لم يتم تحميل الصورة بالفعل عامل ميناء يجري سوف تسحب الصورة، وكل الصورة
التبعيات، من المستودع بنفس الطريقة التي تعمل بها عامل ميناء سحب الصورة، قبل ذلك
تبدأ الحاوية من تلك الصورة.

OPTIONS

-a, --يربط= []
نعلق على STDIN، STDOUT أو STDERR.

في الوضع الأمامي (الافتراضي عندما -d غير محدد) ، عامل ميناء يجري يمكن أن تبدأ
العملية في الحاوية وإرفاق وحدة التحكم بالإدخال والإخراج القياسي للعملية
والخطأ المعياري. يمكنه حتى أن يتظاهر بأنه TTY (وهذا هو ما تفعله معظم سطر الأوامر
تتوقع الملفات التنفيذية) وتمرير الإشارات. ال -a يمكن تعيين الخيار لكل من stdin،
ستدوت، و ستدر.

--add-host= []
إضافة تعيين مخصص للمضيف إلى IP (المضيف:ip)

أضف سطرًا إلى /etc/hosts. التنسيق هو اسم المضيف:ip. ال --add-host يمكن تعيين الخيار
عدة مرات.

--بلكيو-الوزن=0
يقبل وزن كتلة IO (الوزن النسبي) قيمة وزن تتراوح بين 10 و1000.

--blkio-weight-device= []
وزن كتلة الإدخال والإخراج (وزن الجهاز النسبي، التنسيق: DEVICE_NAME: الوزن).

- وحدة المعالجة المركزية سهم=0
حصص وحدة المعالجة المركزية (الوزن النسبي)

بشكل افتراضي، تحصل كافة الحاويات على نفس النسبة من دورات وحدة المعالجة المركزية. يمكن أن تكون هذه النسبة
تم تعديله عن طريق تغيير وزن حصة وحدة المعالجة المركزية (CPU) الخاصة بالحاوية بالنسبة إلى وزن الكل
حاويات تشغيل أخرى.

لتعديل النسبة من الافتراضي 1024 ، استخدم - وحدة المعالجة المركزية سهم العلم لتعيين
الترجيح إلى 2 أو أعلى.

سيتم تطبيق النسبة فقط عند تشغيل العمليات كثيفة الاستخدام لوحدة المعالجة المركزية (CPU). عندما تكون المهام في
إحدى الحاويات خاملة، بينما يمكن للحاويات الأخرى استخدام الوقت المتبقي لوحدة المعالجة المركزية. المبلغ الفعلي
سيختلف وقت وحدة المعالجة المركزية اعتمادًا على عدد الحاويات التي تعمل على النظام.

على سبيل المثال، ضع في اعتبارك ثلاث حاويات، تحتوي إحداهما على حصة وحدة المعالجة المركزية تبلغ 1024 واثنتان أخريان لهما
إعداد مشاركة وحدة المعالجة المركزية لـ 512. عندما تحاول العمليات في جميع الحاويات الثلاث استخدام 100% من
وحدة المعالجة المركزية، ستتلقى الحاوية الأولى 50% من إجمالي وقت وحدة المعالجة المركزية. إذا أضفت رابعا
حاوية ذات حصة وحدة المعالجة المركزية تبلغ 1024، تحصل الحاوية الأولى على 33% فقط من وحدة المعالجة المركزية. ال
تتلقى الحاويات المتبقية 16.5% و16.5% و33% من وحدة المعالجة المركزية.

في نظام متعدد النواة، يتم توزيع حصص وقت وحدة المعالجة المركزية على جميع مراكز وحدة المعالجة المركزية. حتى لو
الحاوية محدودة بأقل من 100% من وقت وحدة المعالجة المركزية، ويمكنها استخدام 100% من كل فرد
وحدة المعالجة المركزية الأساسية.

على سبيل المثال، فكر في نظام يحتوي على أكثر من ثلاثة مراكز. إذا بدأت حاوية واحدة {C0}
مع -ج = 512 تشغيل عملية واحدة وحاوية أخرى {C1} مع -ج = 1024 تشغيل اثنين
العمليات، يمكن أن يؤدي ذلك إلى التقسيم التالي لمشاركات وحدة المعالجة المركزية:

PID حاوية وحدة المعالجة المركزية CPU
100 {C0} 0 100٪ من CPU0
101 {C1} 1 100٪ من CPU1
102 {C1} 2 100٪ من CPU2

--cap-add= []
أضف إمكانيات Linux

--cap-drop= []
إسقاط قدرات لينكس

- مجموعة الوالدين= ""
المسار إلى مجموعات التحكم التي سيتم بموجبها إنشاء مجموعة التحكم للحاوية. إذا كان المسار
ليس مطلقًا، ويعتبر المسار متعلقًا بمسار مجموعات cgroup الخاص بـ init
عملية. سيتم إنشاء مجموعات C إذا لم تكن موجودة بالفعل.

--cidfile= ""
اكتب معرف الحاوية إلى الملف

- وحدة المعالجة المركزية=0
تحديد فترة وحدة المعالجة المركزية CFS (جدولة عادلة تمامًا).

الحد من استخدام وحدة المعالجة المركزية للحاوية. تخبر هذه العلامة النواة بتقييد وحدة المعالجة المركزية للحاوية
الاستخدام للفترة التي تحددها.

--cpuset-cpus= ""
وحدات المعالجة المركزية التي تسمح بالتنفيذ (0-3، 0,1،XNUMX)

--cpuset-mems= ""
عقد الذاكرة (MEMs) التي يسمح فيها بالتنفيذ (0-3، 0,1،XNUMX). فعالة فقط على NUMA
الأنظمة.

إذا كان لديك أربع عقد ذاكرة على نظامك (0-3)، فاستخدم --cpuset-mems = 0,1،XNUMX ثم العمليات
في حاوية Docker الخاصة بك، ستستخدم الذاكرة من أول عقدتين للذاكرة فقط.

- حصة وحدة المعالجة المركزية=0
قم بتحديد حصة وحدة المعالجة المركزية CFS (المجدول العادل تمامًا).

الحد من استخدام وحدة المعالجة المركزية للحاوية. بشكل افتراضي، يتم تشغيل الحاويات باستخدام مورد وحدة المعالجة المركزية (CPU) الكامل.
تخبر هذه العلامة النواة بتقييد استخدام وحدة المعالجة المركزية للحاوية على الحصة التي تحددها.

-d, --فصل=صحيح|زائف
الوضع المنفصل: قم بتشغيل الحاوية في الخلفية وطباعة معرف الحاوية الجديد. ال
الافتراضي هو زائف.

في أي وقت يمكنك تشغيل عامل ميناء ps في الصدفة الأخرى لعرض قائمة التشغيل
حاويات. يمكنك إعادة توصيلها بحاوية منفصلة باستخدام عامل ميناء يرفق. إذا اخترت
قم بتشغيل حاوية في الوضع المنفصل، فلا يمكنك استخدام -RM الخيار.

عند تركيبها في وضع tty، يمكنك فصلها عن الحاوية (وتركها قيد التشغيل)
باستخدام تسلسل مفاتيح قابل للتكوين. التسلسل الافتراضي هو CTRL-ص CTRL-ف. قمت بتكوين
تسلسل المفاتيح باستخدام --فصل المفاتيح الخيار أو ملف التكوين. يرى
config-json5 للحصول على وثائق حول استخدام ملف التكوين.

--فصل المفاتيح= ""
تجاوز تسلسل المفاتيح لفصل الحاوية. التنسيق هو حرف واحد [أز]
or كنترول- أين هي واحدة من: من الألف إلى الياء, @, ^, [, , or _.

--جهاز= []
أضف جهازًا مضيفًا إلى الحاوية (على سبيل المثال --device=/dev/sdc:/dev/xvdc:rwm)

--جهاز القراءة بت في الثانية= []
تحديد معدل القراءة من جهاز (على سبيل المثال --device-read-bps=/dev/sda:1mb)

--device-read-ios= []
تحديد معدل القراءة من جهاز (على سبيل المثال --device-read-iops=/dev/sda:1000)

--جهاز الكتابة بت في الثانية= []
تحديد معدل الكتابة على جهاز (على سبيل المثال --device-write-bps=/dev/sda:1mb)

--device-write-ios= []
الحد من معدل الكتابة لجهاز (على سبيل المثال --device-write-iops=/dev/sda:1000)

--بحث نظام أسماء النطاقات= []
قم بتعيين مجالات بحث DNS المخصصة (استخدم --dns-search=. إذا كنت لا ترغب في تعيين البحث
نطاق)

--dns-opt= []
قم بتعيين خيارات DNS المخصصة

--dns= []
قم بتعيين خوادم DNS المخصصة

يمكن استخدام هذا الخيار لتجاوز تكوين DNS الذي تم تمريره إلى الحاوية.
عادةً ما يكون هذا ضروريًا عندما يكون تكوين DNS المضيف غير صالح للحاوية
(على سبيل المثال، 127.0.0.1). عندما يكون هذا هو الحال --dns الأعلام ضرورية لكل شوط.

-e, --env= []
تعيين متغيرات البيئة

يتيح لك هذا الخيار تحديد متغيرات البيئة العشوائية المتوفرة لها
العملية التي سيتم إطلاقها داخل الحاوية.

--نقطة الدخول= ""
قم بالكتابة فوق نقطة الإدخال الافتراضية للصورة

يتيح لك هذا الخيار الكتابة فوق نقطة الإدخال الافتراضية للصورة التي تم تعيينها في ملف
ملف الإرساء. يشبه ENTRYPOINT للصورة الأمر COMMAND لأنه يحدد ماذا
قابل للتنفيذ للتشغيل عند بدء تشغيل الحاوية، ولكن (عمدًا) أكثر صعوبة
تجاوز. تعطي ENTRYPOINT الحاوية طبيعتها أو سلوكها الافتراضي، لذلك متى
قمت بتعيين نقطة دخول يمكنك تشغيل الحاوية كما لو كانت ثنائية مكتملة
الخيارات الافتراضية، ويمكنك تمرير المزيد من الخيارات عبر الأمر. ولكن، في بعض الأحيان أ
قد يرغب المشغل في تشغيل شيء آخر داخل الحاوية، حتى تتمكن من تجاوز
نقطة الإدخال الافتراضية في وقت التشغيل باستخدام ملف --نقطة الدخول وسلسلة لتحديد الجديد
نقطة الدخول.

--env-ملف= []
قراءة في ملف محدد سطرًا لمتغيرات البيئة

--يفضح= []
يعرض منفذًا أو نطاقًا من المنافذ (على سبيل المثال --expose=3300-3310) لإعلام Docker بأن
تستمع الحاوية إلى منافذ الشبكة المحددة في وقت التشغيل. يستخدم عامل الميناء هذه المعلومات
لربط الحاويات باستخدام الروابط ولإعداد إعادة توجيه المنفذ على النظام المضيف.

--إضافة المجموعة= []
إضافة مجموعات إضافية لتشغيلها

-h, --اسم المضيف= ""
اسم مضيف الحاوية

يضبط اسم مضيف الحاوية المتوفر داخل الحاوية.

--مساعدة
طباعة بيان الاستخدام

-i, - تفاعلي=صحيح|زائف
احتفظ بـ STDIN مفتوحًا حتى لو لم يكن متصلاً. الافتراضي هو زائف.

عند التعيين على "صحيح"، أبقِ stdin مفتوحًا حتى لو لم يكن متصلاً. الافتراضي هو خطأ.

--ip= ""
يضبط عنوان IPv4 لواجهة الحاوية (على سبيل المثال 172.23.0.9)

لا يمكن استخدامه إلا بالاشتراك مع --صافي للشبكات المحددة من قبل المستخدم

--ip6= ""
يضبط عنوان IPv6 لواجهة الحاوية (على سبيل المثال 2001:db8::1b99)

لا يمكن استخدامه إلا بالاشتراك مع --صافي للشبكات المحددة من قبل المستخدم

--IPC= ""
الافتراضي هو إنشاء مساحة اسم IPC خاصة (POSIX SysV IPC) للحاوية
'حاوية: ': يعيد استخدام حاوية أخرى مشتركة
الذاكرة والإشارات وقوائم انتظار الرسائل
"المضيف": استخدم الذاكرة المشتركة للمضيف والإشارات والرسائل
طوابير داخل الحاوية. ملاحظة: يمنح وضع المضيف الحاوية حق الوصول الكامل إلى الملف المحلي
الذاكرة المشتركة وبالتالي تعتبر غير آمنة.

--عزل="الافتراضي"
يحدد العزل نوع تقنية العزل التي تستخدمها الحاويات.

-l, --ضع الكلمة المناسبة= []
قم بتعيين البيانات التعريفية على الحاوية (على سبيل المثال، --label com.example.key=value)

--ذاكرة النواة= ""
حد ذاكرة Kernel (التنسيق: [ ]حيث الوحدة = ب، ك، م أو ز)

يقيد ذاكرة kernel المتوفرة للحاوية. إذا تم تحديد حد 0 (لا
استخدام --ذاكرة النواة)، ذاكرة نواة الحاوية ليست محدودة. إذا قمت بتحديد أ
الحد الأقصى، فقد يتم تقريبه إلى مضاعف حجم صفحة نظام التشغيل و
يمكن أن تكون القيمة كبيرة جدًا، ملايين التريليونات.

--label-file= []
قراءة في ملف محدد سطر من التسميات

--حلقة الوصل= []
أضف رابطًا إلى حاوية أخرى على شكل : الاسم المستعار أو فقط في
وفي هذه الحالة سوف يتطابق الاسم المستعار مع الاسم

إذا كان المشغل يستخدم --حلقة الوصل عند بدء تشغيل حاوية العميل الجديدة، ثم العميل
يمكن للحاوية الوصول إلى المنفذ المكشوف عبر واجهة شبكة خاصة. سيتم تعيين عامل الميناء
بعض متغيرات البيئة في حاوية العميل للمساعدة في الإشارة إلى الواجهة و
ميناء للاستخدام.

--log-driver="ملف json|سيسلوغ|يوميات|جلف|بطلاقة|com.awslogs|splunk|لا شيء"
تسجيل سائق للحاوية. يتم تعريف الافتراضي بواسطة البرنامج الخفي --log-driver العلم.
تحذير: ال عامل ميناء الجذوع الأمر يعمل فقط ل ملف json و
يوميات برامج تشغيل التسجيل.

--log-opt= []
تسجيل خيارات محددة للسائق.

-m, --ذاكرة= ""
حد الذاكرة (التنسيق: [ ]، حيث الوحدة = ب، ك، م أو ز)

يسمح لك بتقييد الذاكرة المتوفرة للحاوية. إذا كان المضيف يدعم المبادلة
الذاكرة، ثم -m يمكن أن يكون إعداد الذاكرة أكبر من ذاكرة الوصول العشوائي الفعلية. إذا كان الحد 0
محدد (لا يستخدم -m)، ذاكرة الحاوية ليست محدودة. قد يكون الحد الفعلي
تم تقريبه إلى مضاعف حجم صفحة نظام التشغيل (ستكون القيمة كبيرة جدًا
كبيرة، وهذا الملايين من التريليونات).

--حجز الذاكرة= ""
الحد الأقصى للذاكرة (التنسيق: [ ]، حيث الوحدة = ب، ك، م أو ز)

بعد ضبط حجز الذاكرة، عندما يكتشف النظام وجود تنافس في الذاكرة أو انخفاض في الذاكرة،
تضطر الحاويات إلى تقييد استهلاكها بحجزها. لذلك يجب عليك
قم دائمًا بتعيين القيمة أدناه --ذاكرةوإلا فإن الحد الثابت سيكون له الأسبقية. بواسطة
بشكل افتراضي، سيكون حجز الذاكرة هو نفس حد الذاكرة.

--مبادلة الذاكرة="الحد"
قيمة حد تساوي الذاكرة بالإضافة إلى المبادلة. يجب استخدامه مع ملف -m (--ذاكرة) علَم. ال
مقايضة مما سيحدث يجب أن يكون دائمًا أكبر من -m (--ذاكرة) القيمة.

شكل مما سيحدث is [ ]. يمكن أن تكون الوحدة b (بايت) ، k (كيلوبايت) ، m
(ميغا بايت) ، أو g (جيجا بايت). إذا لم تحدد وحدة ، b يستخدم. اضبط LIMIT على -1 إلى
تمكين مقايضة غير محدودة.

--عنوان ماك= ""
عنوان MAC للحاوية (على سبيل المثال 92:d0:c6:0a:29:33)

تذكر أن عنوان MAC في شبكة Ethernet يجب أن يكون فريدًا. رابط IPv6 المحلي
سيعتمد العنوان على عنوان MAC الخاص بالجهاز وفقًا لـ RFC4862.

--اسم= ""
قم بتعيين اسم للحاوية

يمكن للمشغل التعرف على الحاوية بثلاث طرق:
معرف UUID الطويل
(“f78375b1c487e03c9438c729345e54db9d20cfa2ac1fc3494b6eb60872e74778”)
معرف UUID القصير ("f78375b1c487")
الاسم ("يونان")

تأتي معرفات UUID من البرنامج الخفي Docker، وإذا لم يتم تعيين اسم لـ
حاوية مع --اسم ثم سيقوم البرنامج الخفي أيضًا بإنشاء اسم سلسلة عشوائي. الاسم هو
مفيد عند تحديد الروابط (انظر --حلقة الوصل) (أو أي مكان آخر تحتاج إلى تحديد أ
حاوية). يعمل هذا مع كل من حاويات Docker الخلفية والمقدمة.

--صافي="جسر"
اضبط وضع الشبكة للحاوية
"الجسر": إنشاء مكدس شبكة على Docker الافتراضي
جسر
"لا شيء": لا يوجد شبكة
'حاوية: ': إعادة استخدام شبكة حاوية أخرى
كومة
"المضيف": استخدم مكدس شبكة مضيف Docker. ملحوظة: المضيف
يمنح الوضع الحاوية الوصول الكامل إلى خدمات النظام المحلي مثل D-bus وis
ولذلك تعتبر غير آمنة.
' | ': الاتصال بجهاز محدد من قبل المستخدم
شبكة

--net-alias= []
قم بإضافة اسم مستعار على نطاق الشبكة للحاوية

--oom-kill-disable=صحيح|زائف
ما إذا كان سيتم تعطيل OOM Killer للحاوية أم لا.

--oom-score-adj= ""
ضبط تفضيلات OOM الخاصة بالمضيف للحاويات (يقبل -1000 إلى 1000)

-P, --نشر الكل=صحيح|زائف
نشر كافة المنافذ المكشوفة إلى منافذ عشوائية على واجهات المضيف. الافتراضي هو زائف.

عند التعيين على "صحيح"، قم بنشر كافة المنافذ المكشوفة على واجهات المضيف. الافتراضي هو خطأ.
إذا كان المشغل يستخدم -P (أو -p)، فسيقوم Docker بجعل المنفذ المكشوف قابلاً للوصول على
سيكون المضيف والمنافذ متاحة لأي عميل يمكنه الوصول إلى المضيف. عند استخدام -P،
سيقوم Docker بربط أي منفذ مكشوف بمنفذ عشوائي على المضيف داخل سريع الزوال ميناء
نطاق يحددها /proc/sys/net/ipv4/ip_local_port_range. للعثور على التعيين بين
استخدم المنافذ المضيفة والمنافذ المكشوفة عامل ميناء ميناء.

-p, --ينشر= []
نشر منفذ الحاوية، أو نطاق المنافذ، إلى المضيف.

شكل: IP:hostPort:containerPort | الملكية الفكرية::containerPort | منفذ المضيف:منفذ الحاوية |
حاوية يمكن تحديد كل من hostPort وcontainerPort كنطاق من المنافذ. متى
عند تحديد النطاقات لكليهما، يجب أن يتطابق عدد منافذ الحاويات في النطاق مع
عدد المنافذ المضيفة في النطاق. (على سبيل المثال، عامل ميناء يجري -p 1234-1236: 1222-1224 --اسم
هذا يعمل -t BUSYBOX ولكن ليس عامل ميناء يجري -p 1230-1236: 1230-1240 --اسم
RangeContainerPortsBiggerThanRangeHostPorts -t BUSYBOX) مع الملكية الفكرية: عامل ميناء يجري -p
127.0.0.1:$HOSTPORT:$CONTAINERPORT --اسم CONTAINER -t com.someimage استعمل عامل ميناء ميناء لمعرفة
رسم الخرائط الفعلية: عامل ميناء ميناء CONTAINER حاوية $

--معرّف=مضيف
اضبط وضع PID للحاوية
مضيف: استخدم مساحة اسم PID للمضيف داخل الحاوية.
ملاحظة: يمنح وضع المضيف الحاوية حق الوصول الكامل إلى PID المحلي، وبالتالي فهو كذلك
تعتبر غير آمنة.

--وتس=مضيف
اضبط وضع UTS للحاوية
مضيف: استخدم مساحة اسم UTS الخاصة بالمضيف داخل الحاوية.
ملاحظة: يمنح وضع المضيف الحاوية إمكانية الوصول إلى تغيير اسم المضيف الخاص بالمضيف وهو
ولذلك تعتبر غير آمنة.

--ذو امتياز=صحيح|زائف
منح امتيازات موسعة لهذه الحاوية. الافتراضي هو زائف.

بشكل افتراضي، تكون حاويات Docker "غير مميزة" (=خطأ) ولا يمكنها، على سبيل المثال، تشغيل
برنامج Docker الخفي داخل حاوية Docker. وذلك لأن الحاوية بشكل افتراضي ليست كذلك
يسمح بالوصول إلى أي أجهزة. يتم منح الحاوية "المميزة" حق الوصول إلى جميع الأجهزة.

عندما ينفذ المشغل عامل ميناء يجري --ذو امتيازسيعمل Docker على تمكين الوصول إلى الجميع
الأجهزة الموجودة على المضيف بالإضافة إلى تعيين بعض التكوينات في AppArmor للسماح للحاوية
تقريبًا نفس الوصول إلى المضيف مثل العمليات التي يتم تشغيلها خارج الحاوية الموجودة على
مضيف.

--يقرأ فقط=صحيح|زائف
قم بتثبيت نظام الملفات الجذر للحاوية للقراءة فقط.

بشكل افتراضي، سيكون للحاوية نظام ملفات جذر خاص بها قابل للكتابة مما يسمح للعمليات بالكتابة
الملفات في أي مكان. وذلك بتحديد --يقرأ فقط علم أن الحاوية سيكون لها جذرها
تم تثبيت نظام الملفات للقراءة فقط مما يمنع أي عمليات كتابة.

--اعادة البدء="لا"
إعادة تشغيل السياسة ليتم تطبيقها عند خروج الحاوية (لا، عند الفشل[:max-retry]، دائمًا،
ما لم تتوقف).

--rm=صحيح|زائف
قم بإزالة الحاوية تلقائيًا عند خروجها (غير متوافق مع -d). الافتراضي هو
زائف.

--الاختيار الأمني= []
خيارات الأمان

"label:user:USER" : قم بتعيين مستخدم التسمية للحاوية
"label:role:ROLE" : قم بتعيين دور التسمية للحاوية
"label:type:TYPE" : قم بتعيين نوع الملصق للحاوية
"label:level:LEVEL" : قم بتعيين مستوى الملصق للحاوية
"label:disable" : قم بإيقاف تحديد الملصق الخاص بالحاوية

--إشارة التوقف=سيغرم
إشارة لإيقاف الحاوية. الافتراضي هو SIGTERM.

- حجم shm= ""
حجم / ديف / shm. التنسيق هو .
عدد يجب أن تكون أكبر من 0. الوحدة اختيارية ويمكن أن تكون كذلك b (بايت) ، k (كيلوبايت) ،
m(ميغا بايت) ، أو g (جيجا بايت).
إذا قمت بحذف الوحدة، فسيستخدم النظام البايتات. إذا قمت بحذف الحجم بالكامل، فإن النظام
يستخدم 64m.

--sig-proxy=صحيح|زائف
تلقى الوكيل إشارات للعملية (وضع غير TTY فقط). سيجتشلد، سيجستوب، و
لا يتم إنشاء وكيل لـ SIGKILL. الافتراضي هو صحيح.

- تبديل الذاكرة= ""
ضبط سلوك تبديل الذاكرة الخاص بالحاوية. يقبل عددًا صحيحًا بين 0 و100.

-t, - tty=صحيح|زائف
تخصيص TTY الزائفة. الافتراضي هو زائف.

عند التعيين على صحيح، يمكن لـ Docker تخصيص ملف tty زائف وإرفاقه بالإدخال القياسي لأي منها
حاوية. يمكن استخدام هذا، على سبيل المثال، لتشغيل الصدفة التفاعلية. ال
الافتراضي هو خطأ.

• -t الخيار غير متوافق مع إعادة توجيه الإدخال القياسي لعميل عامل الإرساء.

--tmpfs=[] قم بإنشاء رابط tmpfs

تركيب نظام ملفات مؤقت (tmpfs) يتم تركيبها في حاوية، على سبيل المثال:

تشغيل عامل الإرساء $ -d --tmpfs / تمة:rw,size=787448k,mode=1777 my_image

يتصاعد هذا الأمر أ tmpfs at / تمة داخل الحاوية. خيارات التثبيت المدعومة هي
نفس نظام التشغيل Linux الافتراضي جبل أعلام. إذا لم تقم بتحديد أي خيارات، فإن الأنظمة
يستخدم الخيارات التالية: rw,noexec,nosuid,nodev,size=65536k.

-u, --المستعمل= ""
يضبط اسم المستخدم أو UID المستخدم واختياريًا اسم المجموعة أو GID للمحدد
أمر.

الأمثلة التالية كلها صالحة:
--المستخدم [المستخدم | المستخدم: مجموعة | معرف | معرف المستخدم:معرف | المستخدم: غيد | معرف المستخدم: مجموعة]

بدون هذه الوسيطة، سيتم تشغيل الأمر كجذر في الحاوية.

--وليميت= []
خيارات Ulimit

-v|--الصوت[=[[HOST-DIR:]CONTAINER-DIR[:OPTIONS]]]
إنشاء جبل ربط. إذا قمت بتحديد، -v /HOST-DIR:/CONTAINER-DIR، عامل الميناء
ربط يتصاعد /المضيف-DIR في المضيف ل /حاوية-DIR في عامل الميناء
حاوية. إذا تم حذف "HOST-DIR"، فسيقوم Docker تلقائيًا بإنشاء الملف الجديد
حجم على المضيف. ال OPTIONS هي قائمة محددة بفواصل ويمكن أن تكون:

· [رو|رو]

· [ض|ي]

· [[ص] مشترك|[ص] العبد|[ر] خاص]

• حاوية دير يجب أن يكون المسار المطلق مثل /src/docs. المضيف-دير يمكن أن يكون
المسار المطلق أو أ الاسم قيمة. أ الاسم يجب أن تبدأ القيمة بحرف أبجدي رقمي،
تليها أ-z0-9, _ (شرطة سفلية) ، . (فترة) أو - (واصلة). المسار المطلق يبدأ بـ
a / (مائل).

إذا قمت بتوريد ملف المضيف-دير هذا هو المسار المطلق، حيث يتم ربط Docker بالمسار الذي تريده
تحديد. إذا قمت بتزويد أ الاسميقوم Docker بإنشاء وحدة تخزين مسماة بذلك الاسم. على سبيل المثال،
يمكنك تحديد أي منهما / foo or فو ل المضيف-دير قيمة. إذا قمت بتزويد / foo القيمة،
يقوم Docker بإنشاء رابط ربط. إذا قمت بتزويد فو المواصفات، يقوم Docker بإنشاء ملف مسمى
وحدة التخزين.

يمكنك تحديد متعددة -v خيارات لتركيب واحد أو أكثر من التركيبات على الحاوية. ليستخدم
هذه نفسها يتصاعد في حاويات أخرى، حدد --المجلدات من الخيار أيضا.

يمكنك إضافة :ريال عماني or :rw لاحقة لوحدة تخزين لتثبيتها في وضع القراءة فقط أو وضع القراءة والكتابة،
على التوالى. بشكل افتراضي، يتم تثبيت وحدات التخزين للقراءة والكتابة. انظر الأمثلة.

تتطلب أنظمة وضع العلامات مثل SELinux وضع التصنيفات المناسبة على محتوى المجلد
شنت في حاوية. بدون الملصق، قد يمنع نظام الأمان العمليات
تشغيل داخل الحاوية من استخدام المحتوى. بشكل افتراضي، لا يتغير Docker
التسميات التي يحددها نظام التشغيل.

لتغيير تسمية في سياق الحاوية، يمكنك إضافة أي من اللاحقتين :z or :Z إلى
جبل الحجم. تطلب هذه اللواحق من Docker إعادة تسمية كائنات الملف على الملف المشترك
أحجام. ال z يخبر الخيار Docker أن حاويتين تشتركان في محتوى وحدة التخزين. ك
ونتيجة لذلك، يقوم Docker بتسمية المحتوى بتسمية محتوى مشترك. تسمح تسميات الحجم المشترك
كافة الحاويات لقراءة/كتابة المحتوى. ال Z يخبر الخيار Docker بتسمية المحتوى به
تسمية خاصة غير مشتركة. يمكن للحاوية الحالية فقط استخدام وحدة تخزين خاصة.

بشكل افتراضي، يتم ربط وحدات التخزين المثبتة خاص. وهذا يعني أن أي عمليات تثبيت تتم داخل الحاوية
لن تكون مرئية على المضيف والعكس بالعكس. يمكن للمرء تغيير هذا السلوك عن طريق تحديد أ
خاصية انتشار جبل الحجم. صنع حجم شاركت يتصاعد القيام به تحت هذا الحجم
ستكون الحاوية الداخلية مرئية على المضيف والعكس صحيح. صنع حجم عبد تمكن
سيتم نشر طريقة واحدة فقط ويتم التثبيت على المضيف ضمن هذا المجلد
مرئية داخل الحاوية ولكن ليس العكس.

للتحكم في خاصية نشر التحميل لوحدة التخزين، يمكن للمرء استخدامها :[ص] مشترك, :[ص] العبد or
:[ص]خاص علم الانتشار. يمكن تحديد خاصية النشر فقط للربط المثبت
المجلدات وليس للمجلدات الداخلية أو المجلدات المسماة. لكي يعمل نشر التحميل
يجب أن تكون نقطة تثبيت المصدر (نقطة التثبيت حيث تم تثبيت دير المصدر) صحيحة
خصائص الانتشار. بالنسبة لوحدات التخزين المشتركة، يجب مشاركة نقطة تحميل المصدر. ولل
وحدات التخزين التابعة، يجب أن يكون تحميل المصدر إما مشتركًا أو تابعًا.

استعمل df لمعرفة جبل المصدر ومن ثم استخدامه findmnt -o
الهدف، الانتشار لمعرفة خصائص انتشار المصدر
تتعدد. لو findmnt الأداة المساعدة غير متوفرة، فيمكن للمرء أن ينظر إلى إدخال التحميل للمصدر
نقطة التثبيت في / proc / self / mountinfo. ينظر الى اختياري الحقول ومعرفة ما إذا كان هناك أي انتشار
يتم تحديد الخصائص. مشترك:X يعني جبل شاركت , سيد:X يعني جبل عبد
وإذا لم يكن هناك شيء فهذا يعني أن الجبل موجود خاص.

لتغيير خصائص الانتشار لاستخدام نقطة التحميل جبل يأمر. على سبيل المثال، إذا كان واحدا
يريد ربط دليل مصدر التحميل / foo يمكن للمرء أن يفعل جبل --ربط / foo / foo و جبل
--اجعلها شخصيه - اجعلها مشتركة / foo. سيؤدي هذا إلى تحويل /foo إلى ملف شاركت نقطة جبل.
وبدلاً من ذلك، يمكن للمرء تغيير خصائص الانتشار لتركيب المصدر مباشرةً. يقول / is
جبل المصدر ل / foo، ثم استخدام جبل - اجعلها مشتركة / لتحويل / الى شاركت تتعدد.

ملاحظات: عند استخدام systemd لإدارة تشغيل وإيقاف Docker الخفي، في
يوجد خيار للتحكم في نشر التحميل لـ Docker
الشيطان نفسه، ودعا MountFlags. قد تؤدي قيمة هذا الإعداد إلى عدم قيام Docker بذلك
راجع تغييرات نشر التحميل التي تم إجراؤها على نقطة التثبيت. على سبيل المثال، إذا كانت هذه القيمة
is عبد، قد لا تتمكن من استخدام شاركت or com.rshared الانتشار على حجم.

--حجم السائق= ""
سائق حجم الحاوية. يقوم برنامج التشغيل هذا بإنشاء وحدات التخزين المحددة إما من
ملف Dockerfile VOLUME التعليمات أو من عامل ميناء يجري -v العلم.
يرى عامل إرساء حجم إنشاء1 للحصول على تفاصيل كاملة.

--المجلدات من= []
تحميل وحدات التخزين من الحاوية (الحاويات) المحددة

يقوم بتركيب وحدات التخزين المثبتة بالفعل من حاوية المصدر إلى حاوية أخرى
حاوية. يجب عليك توفير معرف حاوية المصدر. للمشاركه
حجم، استخدم --المجلدات من الخيار عند الجري
الحاوية المستهدفة. يمكنك مشاركة وحدات التخزين حتى لو كانت الحاوية المصدر
لا يعمل، لا يركض.

افتراضيًا، يقوم Docker بتحميل وحدات التخزين في نفس الوضع (قراءة وكتابة أو
للقراءة فقط) لأنه مثبت في الحاوية المصدر. اختياريا، أنت
يمكن تغيير هذا عن طريق إضافة معرف الحاوية إما إلى :ريال عماني or
:rw الكلمة.

إذا كان موقع وحدة التخزين من الحاوية المصدر يتداخل مع
البيانات الموجودة في الحاوية المستهدفة، ثم يتم إخفاء وحدة التخزين
تلك البيانات على الهدف.

-w, --ووركدير= ""
دليل العمل داخل الحاوية

دليل العمل الافتراضي لتشغيل الثنائيات داخل الحاوية هو الجذر
الدليل (/). يمكن للمطور تعيين إعداد افتراضي مختلف باستخدام Dockerfile WORKDIR
تعليمات. يمكن للمشغل تجاوز دليل العمل باستخدام -w الخيار.

خروج الحالة

رمز الخروج من عامل ميناء يجري يعطي معلومات حول سبب فشل تشغيل الحاوية أو
لماذا خرجت. متى عامل ميناء يجري يخرج برمز غير الصفر، رموز الخروج تتبع
الاستجذار القياسية، انظر أدناه:

125 if ال خطأ is مع عامل في حوض السفن الخفي نفسها

$ docker run --foobusbox; صدى $؟
# تم تقديم علامة ولكن لم يتم تعريفها: --foo
راجع "تشغيل عامل الإرساء --مساعدة".
125

126 if ال الواردة أمر لا تستطيع be التذرع

$ دوكر يقوم بتشغيل Busybox / الخ; صدى $؟
# تنفيذي: "/ الخ": تم رفض الإذن
عامل الإرساء: استجابة خطأ من البرنامج الخفي: لا يمكن استدعاء الأمر المتضمن
126

127 if ال الواردة أمر لا تستطيع be وجدت

$ docker run Busybox foo; صدى $؟
# exec: "foo": الملف القابل للتنفيذ غير موجود في $PATH
عامل الإرساء: استجابة خطأ من البرنامج الخفي: لم يتم العثور على الأمر المتضمن أو أنه غير موجود
127

خروج الكود of الواردة أمر وإلا

$ دوكر يقوم بتشغيل Busybox / بن / ش -ج "مخرج 3"
# 3

أمثلة

الركض حاوية in للقراءة فقط طريقة

أثناء تطوير صورة الحاوية، غالبًا ما تحتاج الحاويات إلى الكتابة إلى محتوى الصورة.
تثبيت الحزم في / البيرة، على سبيل المثال. في الإنتاج، نادرا ما تحتاج التطبيقات إلى ذلك
الكتابة على الصورة. تكتب تطبيقات الحاوية إلى المجلدات إذا كانت بحاجة إلى الكتابة إلى الملف
الأنظمة على الإطلاق. يمكن جعل التطبيقات أكثر أمانًا عن طريق تشغيلها في وضع القراءة فقط
باستخدام مفتاح --للقراءة فقط. وهذا يحمي صورة الحاويات من التعديل. يقرأ
قد تظل الحاويات فقط بحاجة إلى كتابة بيانات مؤقتة. أفضل طريقة للتعامل مع هذا هو
قم بتثبيت أدلة tmpfs على / يركض و /تمب.

# تشغيل عامل الإرساء --للقراءة فقط --tmpfs / يركض --tmpfs / تمة -i -t فيدورا / بن / باش

فضح سجل رسائل تبدأ من ال حاوية إلى ال المضيف سجل

إذا كنت تريد أن تظهر الرسائل التي تم تسجيلها في الحاوية الخاصة بك في حاوية المضيف
syslog/journal، فيجب عليك ربط الدليل /dev/log على النحو التالي.

# docker run -v /dev/log:/dev/log -i -t fedora / بن / باش

من داخل الحاوية يمكنك اختبار ذلك عن طريق إرسال رسالة إلى السجل.

(bash)# المسجل "مرحبًا من حاويتي"

ثم اخرج وتحقق من المجلة.

# خروج

# جورنالctl -b | مرحبًا

يجب أن يسرد هذا الرسالة المرسلة إلى المسجل.

ربط إلى صورة واحدة؟ or الأكثر من ذلك تبدأ من ستدين، ستدوت، ستدير

إذا لم تحدد -a، فسوف يقوم Docker بإرفاق كل شيء (stdin,stdout,stderr) الذي تريده
ترغب في الاتصال بدلاً من ذلك، كما في:

# تشغيل عامل الميناء -a stdin -a stdout -i -t fedora / بن / باش

المشاركة IPC ما بين حاويات

استخدام shm_server.c متاح هنا: ⟨https://www.cs.cf.ac.uk/Dave/C/node27.html⟩

الاختبار --ipc=host الوضع:

يعرض المضيف مقطعًا من الذاكرة المشتركة مرفقًا به 7 معرفات، ويصادف أنه من httpd:

$ سودو آي بي إس -م

------ شرائح الذاكرة المشتركة --------
مفتاح صاحب shmid بيرمز بايت حالة nattch
0x01128e25 0 جذر 600 1000 7

الآن قم بتشغيل حاوية عادية، وهي لا ترى بشكل صحيح مقطع الذاكرة المشتركة منها
المضيف:

$ docker run -it shm ipcs -m

------ شرائح الذاكرة المشتركة --------
مفتاح صاحب shmid بيرمز بايت حالة nattch

تشغيل حاوية مع الجديد --ipc=host الخيار، ويرى الآن مقطع الذاكرة المشتركة
من المضيف httpd:

$ docker run -it --ipc=host shm ipcs -m

------ شرائح الذاكرة المشتركة --------
مفتاح صاحب shmid بيرمز بايت حالة nattch
0x01128e25 0 جذر 600 1000 7

الاختبار --ipc=container:CONTAINERID الوضع:

ابدأ حاوية ببرنامج لإنشاء مقطع ذاكرة مشترك:

$ docker run -it shm bash
$ سودو shm/shm_server
$ سودو آي بي إس -م

------ شرائح الذاكرة المشتركة --------
مفتاح صاحب shmid بيرمز بايت حالة nattch
0x0000162e 0 جذر 666 27 1

إنشاء حاوية ثانية بشكل صحيح لا يظهر أي مقطع ذاكرة مشترك من الحاوية الأولى:

تشغيل عامل الإرساء $ shm ipcs -m

------ شرائح الذاكرة المشتركة --------
مفتاح صاحب shmid بيرمز بايت حالة nattch

قم بإنشاء حاوية ثالثة باستخدام خيار --ipc=container:CONTAINERID الجديد، والآن يظهر
شريحة الذاكرة المشتركة من الأول:

$ docker run -it --ipc=container:ed735b2264ac shm ipcs -m
$ سودو آي بي إس -م

------ شرائح الذاكرة المشتركة --------
مفتاح صاحب shmid بيرمز بايت حالة nattch
0x0000162e 0 جذر 666 27 1

ربط حاويات

ملاحظات: يصف هذا القسم الربط بين الحاويات على (الجسر) الافتراضي
الشبكة، والمعروفة أيضًا باسم "الروابط القديمة". استخدام --حلقة الوصل على استخدامات الشبكات المعرفة من قبل المستخدم
الاكتشاف المستند إلى DNS، والذي لا يضيف إدخالات إليه / الخ / المضيفين، ولا يحدد
متغيرات البيئة للاكتشاف.

تسمح ميزة الارتباط لحاويات متعددة بالتواصل مع بعضها البعض. على سبيل المثال، أ
يمكن تشغيل الحاوية التي كشف ملف Dockerfile الخاص بها عن المنفذ 80 وتسميتها على النحو التالي:

# تشغيل عامل الميناء --name=link-test -d -i -t fedora/httpd

يمكن للحاوية الثانية، والتي تسمى في هذه الحالة رابط، التواصل مع حاوية httpd،
اختبار الارتباط المسمى، عن طريق التشغيل مع --الرابط= :

# docker run -t -i --link=link-test:lt --name=linker fedora / بن / باش

الآن تم ربط رابط الحاوية باختبار ارتباط الحاوية بالاسم المستعار lt. تشغيل
الحياة الفطرية يعرض الأمر الموجود في حاوية الرابط متغيرات البيئة
مع سياق LT (الاسم المستعار) (LT_)

#بيئة
اسم المضيف=668231cb0978
TERM=xterm
LT_PORT_80_TCP=tcp://172.17.0.3:80
LT_PORT_80_TCP_PORT=80
LT_PORT_80_TCP_PROTO=tcp
LT_PORT=tcp://172.17.0.3:80
المسار =/ usr / local / sbin:/ البيرة / المحلية / بن:/ usr / sbin:/ البيرة / بن:/ sbin:/ بن
الأشخاص ذوي الإعاقة=/
LT_NAME=/linker/lt
شلفل=1
المنزل = /
LT_PORT_80_TCP_ADDR=172.17.0.3
_=/ البيرة / بن / إنف

عند ربط حاويتين، سيستخدم Docker المنافذ المكشوفة للحاوية لإنشاء ملف
نفق آمن ليتمكن ولي الأمر من الوصول إليه.

إذا كانت الحاوية متصلة بشبكة الجسر الافتراضية و مرتبط مع الآخر
الحاويات، ثم الحاويات / الخ / المضيفين يتم تحديث الملف بالحاويات المرتبطة
الاسم.

ملاحظات نظرًا لأن Docker قد يقوم بتحديث الحاوية / الخ / المضيفين الملف، قد يكون هناك
المواقف التي قد تنتهي فيها العمليات داخل الحاوية بقراءة فارغة أو
غير مكتمل / الخ / المضيفين ملف. في معظم الحالات، يجب أن تؤدي إعادة محاولة القراءة مرة أخرى إلى إصلاح المشكلة
المشكلة.

التخطيط الموانئ For خارجي الأستعمال

يمكن تعيين المنفذ المكشوف لأحد التطبيقات إلى منفذ مضيف باستخدام -p علَم. ل
على سبيل المثال، يمكن تعيين منفذ httpd 80 إلى المنفذ المضيف 8080 باستخدام ما يلي:

# docker run -p 8080:80 -d -i -t fedora/httpd

خلق و متزايد a البيانات الصوت وعاء

تتطلب العديد من التطبيقات مشاركة البيانات المستمرة عبر عدة حاويات. عامل ميناء
يسمح لك بإنشاء حاوية حجم بيانات يمكن تحميل الحاويات الأخرى منها. ل
على سبيل المثال، قم بإنشاء حاوية مسماة تحتوي على المجلدين /var/volume1 و/tmp/volume2.
يجب أن تحتوي الصورة على هذه الدلائل، لذلك هناك بعض تعليمات RUN mkdir
قد تكون مطلوبة بالنسبة لك صورة بيانات فيدورا:

# تشغيل عامل الميناء --name=data -v /var/volume1 -v /tmp/volume2 -i -t fedora-data true
# تشغيل عامل الميناء --volumes-from=data --name=fedora-container1 -i -t fedora bash

ستجمع معلمات --volumes-from المتعددة بين وحدات تخزين بيانات متعددة من عدة
حاويات. ومن الممكن تركيب وحدات التخزين التي تأتي من حاوية البيانات
حاوية أخرى عبر الحاوية الوسيطة fedora-container1، مما يسمح بذلك
استخرج مصدر البيانات الفعلي من مستخدمي تلك البيانات:

# تشغيل عامل الإرساء --volumes-from=fedora-container1 --name=fedora-container2 -i -t fedora bash

متزايد خارجي مجلدات

لتحميل دليل مضيف كوحدة تخزين حاوية، حدد المسار المطلق إلى الملف
الدليل والمسار المطلق لدليل الحاوية مفصولين بنقطتين:

# docker run -v /var/db:/data1 -i -t fedora bash

عند استخدام SELinux، انتبه إلى أن المضيف ليس لديه معرفة بسياسة حاوية SELinux.
لذلك، في المثال أعلاه، إذا تم فرض سياسة SELinux، فسيتم حذف ملف / فار / ديسيبل الدليل
غير قابل للكتابة على الحاوية. ستظهر رسالة "تم رفض الإذن" ويظهر avc:
رسالة في سجل النظام المضيف.

للتغلب على هذه المشكلة، في وقت كتابة صفحة الدليل هذه، يجب تنفيذ الأمر التالي
قم بتشغيله حتى يتم إرفاق تسمية نوع سياسة SELinux المناسبة بالمضيف
دليل:

# chcon -Rt svirt_sandbox_file_t /var/db

الآن، سيتم السماح بالكتابة إلى المجلد /data1 الموجود في الحاوية وسيتم السماح بالتغييرات
تنعكس أيضًا على المضيف في /var/db.

باستخدام البديل أمن وصفها

يمكنك تجاوز نظام وضع العلامات الافتراضي لكل حاوية عن طريق تحديد
--الاختيار الأمني علَم. على سبيل المثال، يمكنك تحديد مستوى MCS/MLS، وهو أحد متطلبات MLS
أنظمة. يتيح لك تحديد المستوى في الأمر التالي مشاركة المستوى نفسه
المحتوى بين الحاويات.

# تشغيل عامل الإرساء --security-opt label:level:s0:c100,c200 -i -t fedora bash

مثال MLS قد يكون:

# تشغيل عامل الإرساء --security-opt label:level:TopSecret -i -t rhel7 bash

لتعطيل وضع العلامات الأمنية لهذه الحاوية مقابل التشغيل مع - نافذ
العلم، استخدم الأمر التالي:

# docker run --security-opt label:disable -i -t fedora bash

إذا كنت تريد سياسة أمان أكثر صرامة بشأن العمليات داخل الحاوية، فيمكنك التحديد
نوع بديل للحاوية. يمكنك تشغيل حاوية مسموح بها فقط
استمع على منافذ Apache عن طريق تنفيذ الأمر التالي:

# تشغيل عامل الإرساء --security-opt label:type:svirt_Apache_t -i -t Centos bash

ملحوظة:

سيكون عليك كتابة سياسة تحدد أ svirt_apache_t اكتب.

الضبط جهاز وزن

إذا كنت تريد تعيين / ديف / حزب العمل الديمقراطي وزن الجهاز ل 200يمكنك تحديد وزن الجهاز من خلاله
--blkio-weight-device علَم. استخدم الأمر التالي:

# تشغيل عامل الميناء -it --blkio-weight-device "/dev/sda:200" أوبونتو

تحديد عزل التكنلوجيا For حاوية (--عزل)

يعد هذا الخيار مفيدًا في المواقف التي تقوم فيها بتشغيل حاويات Docker على Microsoft
شبابيك. ال --عزل يحدد الخيار تقنية عزل الحاوية. على لينكس،
الوحيد المدعوم هو الافتراضي الخيار الذي يستخدم مساحات أسماء Linux. هذين الأمرين
مكافئة على Linux:

$ docker run -d Busybox top
$ docker run -d --isolation الافتراضي لـ Busbox top

في نظام التشغيل Microsoft Windows، يمكن أن يأخذ أيًا من هذه القيم:

· الافتراضي: استخدم القيمة المحددة بواسطة Docker daemon's --exec-opt . إذا كان الخفي هل
لا تحدد تقنية العزل ، يستخدمها Microsoft Windows عملية المعالجة كإعداد افتراضي
.

· عملية المعالجة : عزل مساحة الاسم فقط.

· هاييرف: عزل قائم على قسم Hyper-V hypervisor.

من الناحية العملية، عند التشغيل على نظام التشغيل Microsoft Windows بدون ملف الخفي مجموعة الخيارات، هذين
الأوامر متكافئة:

$ docker run -d --isolation الافتراضي لـ Busbox top
$ docker run -d --isolation Process Busybox top

إذا قمت بتعيين ملف --exec-opt عزل=hyperv الخيار على عامل الميناء الخفي، أي منهم
تؤدي الأوامر أيضًا إلى هاييرف عزل:

$ docker run -d --isolation الافتراضي لـ Busbox top
$ docker run -d --isolation Hyperv Busybox top

التاريخ

أبريل 2014 ، تم تجميعه في الأصل بواسطة William Henry (whenry at redhat dot com) بناءً على
مادة مصدر docker.com والعمل الداخلي. يونيو 2014 ، تم التحديث بواسطة سفين دويديت
⟨[البريد الإلكتروني محمي]⟩ يوليو 2014، تم التحديث بواسطة سفين دويديت ⟨[البريد الإلكتروني محمي]⟩
نوفمبر 2015 ، تم التحديث بواسطة Sally O'Malley ⟨[البريد الإلكتروني محمي]⟩

استخدم عامل الإرساء عبر الإنترنت باستخدام خدمات onworks.net