Dies ist der Befehl docker-run, der im kostenlosen OnWorks-Hosting-Provider über eine unserer zahlreichen kostenlosen Online-Workstations wie Ubuntu Online, Fedora Online, Windows-Online-Emulator oder MAC OS-Online-Emulator ausgeführt werden kann
PROGRAMM:
NAME/FUNKTION
docker-run - Ausführen eines Befehls in einem neuen Container
ZUSAMMENFASSUNG
Docker Lauf [-a|--anfügen[=[]]] [--add-host[=[]]] [--blkio-Gewicht[=[BLKIO-GEWICHT]]]
[--blkio-Gewichtsgerät[=[]]] [--cpu-anteile[=0]] [--cap-add[=[]]] [--cap-drop[=[]]]
[--cgroup-parent[=CGROUP-PFAD]] [--cidfile[=CID-DATEI]] [--CPU-Periode[=0]] [--CPU-Quote[=0]]
[--cpuset-cpus[=CPUSET-CPU]] [--cpuset-speicher[=CPUSET-MEMS]] [-d|--ablösen]
[--Schlüssel abtrennen[=[]]] [--Gerät[=[]]] [--device-read-bps[=[]]] [--device-read-iops[=[]]]
[--device-write-bps[=[]]] [--device-write-iops[=[]]] [- DNS[=[]]] [--dns-opt[=[]]]
[--dns-suche[=[]]] [-e|--env[=[]]] [--Einstiegspunkt[=EINSTIEGSPUNKT]] [--env-Datei[=[]]]
[--aufdecken[=[]]] [--group-add[=[]]] [-h|- Hostname[=HOSTNAME]] [--help] [-i|--interaktiv]
[--ip[=IPv4-ADRESSE]] [--ip6[=IPv6-ADRESSE]] [--ipc[=IPC]] [--Isolation[=Standard]]
[--Kernel-Speicher[=KERNEL-SPEICHER]] [-l|--Etikett[=[]]] [--label-Datei[=[]]] [--Verknüpfung[=[]]]
[--log-Treiber[=[]]] [--log-opt[=[]]] [-m|--Erinnerung[=SPEICHER]] [--MAC-Adresse[=MAC-ADRESSE]]
[--Memory-Reservierung[=SPEICHER-RESERVIERUNG]] [--Memory-Swap[=LIMIT]]
[--Speichertausch[=SPEICHER-SWAPPINESS]] [--Name[=NAME/FUNKTION]] [--Netz[="Brücke"]]
[--net-alias[=[]]] [--oom-kill-disable] [--oom-score-adj[=0]] [-P|--publish-all]
[-p|--veröffentlichen[=[]]] [--pid[=[]]] [--privilegiert] [--schreibgeschützt] [--neu starten[=NEUSTART]] [--rm]
[--security-opt[=[]]] [--Stopp-Signal[=SIGNAL]] [--shm-größe[=[]]] [--sig-proxy[=was immer dies auch sein sollte.]]
[-t|--tty] [--tmpfs[=[BEHÄLTER-DIR[: ]]] [-u|--Benutzer[=USER]] [--ulimit[=[]]]
[--uts[=[]]] [-v|--Volumen[=[[HOST-VERZ:]CONTAINER-VERZ[:OPTIONEN]]]]
[--volume-driver[=DRIVER]] [--Bände-von[=[]]] [-w|--workdir[=ARBEITSVERZEICHNIS]] BILD [BEFEHL]
[ARG...]
BESCHREIBUNG
Führen Sie einen Prozess in einem neuen Container aus. Docker Lauf startet einen Prozess mit eigenem Dateisystem,
seine eigene Vernetzung und seinen eigenen isolierten Prozessbaum. Das BILD, das den Prozess startet
kann Standardwerte für den Prozess definieren, der im Container ausgeführt wird
Networking zu enthüllen und mehr, aber Docker Lauf gibt dem Bediener die letzte Kontrolle oder
Administrator, der den Container aus dem Image startet. Deshalb Docker Lauf hat mehr
Optionen als jeder andere Docker-Befehl.
Wenn das BILD noch nicht geladen ist, dann Docker Lauf wird das BILD und alle Bilder ziehen
Abhängigkeiten, vom Repository auf die gleiche Weise ausgeführt Docker ziehen BILD, davor
startet den Container von diesem Image.
OPTIONAL
-a, --anfügen= []
An STDIN, STDOUT oder STDERR anhängen.
Im Vordergrundmodus (die Standardeinstellung, wenn -d ist nicht angegeben), Docker Lauf kann das starten
Prozess im Container und hängen Sie die Konsole an die Standardeingabe, -ausgabe,
und Standardfehler. Es kann sogar so tun, als wäre es ein TTY (das ist es, was die meisten Kommandozeilen
ausführbare Dateien erwarten) und Signale weitergeben. Die -a Option kann für jeden von stdin gesetzt werden,
stdout und stderr.
--add-host= []
Hinzufügen einer benutzerdefinierten Host-zu-IP-Zuordnung (host:ip)
Fügen Sie eine Zeile zu /etc/hosts hinzu. Das Format ist hostname:ip. Die --add-host Option kann eingestellt werden
mehrmals.
--blkio-Gewicht=0
Block-IO-Gewicht (relatives Gewicht) akzeptiert einen Gewichtswert zwischen 10 und 1000.
--blkio-Gewichtsgerät= []
Block-IO-Gewicht (relatives Gerätegewicht, Format: DEVICE_NAME:GEWICHT).
--cpu-anteile=0
CPU-Anteile (relatives Gewicht)
Standardmäßig erhalten alle Container den gleichen Anteil an CPU-Zyklen. Dieser Anteil kann
geändert, indem die CPU-Anteilgewichtung des Containers relativ zur Gewichtung aller geändert wird
andere laufende Container.
Um das Verhältnis vom Standardwert von 1024 zu ändern, verwenden Sie die --cpu-anteile Flag zum Setzen der
Gewichtung auf 2 oder höher.
Der Anteil gilt nur, wenn CPU-intensive Prozesse ausgeführt werden. Wenn Aufgaben in
ein Container ist im Leerlauf, andere Container können die übrig gebliebene CPU-Zeit nutzen. Der tatsächliche Betrag
der CPU-Zeit hängt von der Anzahl der Container ab, die auf dem System ausgeführt werden.
Betrachten Sie zum Beispiel drei Container, einer hat einen CPU-Anteil von 1024 und zwei andere haben a
CPU-Share-Einstellung von 512. Wenn Prozesse in allen drei Containern versuchen, 100 % von
CPU, der erste Container würde 50 % der gesamten CPU-Zeit erhalten. Wenn du ein viertes hinzufügst
Container mit einem CPU-Anteil von 1024 erhält der erste Container nur 33% der CPU. Die
verbleibende Container erhalten 16.5%, 16.5% und 33% der CPU.
Auf einem Multi-Core-System werden die Anteile der CPU-Zeit auf alle CPU-Kerne verteilt. Selbst wenn
ein Container ist auf weniger als 100 % der CPU-Zeit beschränkt, er kann 100 % jedes Einzelnen verwenden
CPU-Kern.
Betrachten Sie beispielsweise ein System mit mehr als drei Kernen. Wenn Sie einen Container starten {C0}
mit -c=512 einen Prozess und einen anderen Container ausführen {C1} mit -c=1024 zu zweit laufen
Prozessen kann dies zu folgender Aufteilung der CPU-Anteile führen:
PID-Container CPU CPU-Anteil
100 {C0} 0 100 % von CPU0
101 {C1} 1 100 % von CPU1
102 {C1} 2 100 % von CPU2
--cap-add= []
Linux-Funktionen hinzufügen
--cap-drop= []
Linux-Funktionen löschen
--cgroup-parent=""
Pfad zu Kontrollgruppen, unter denen die Kontrollgruppe für den Container erstellt wird. Wenn der Weg
nicht absolut ist, wird der Pfad als relativ zum cgroups-Pfad der init betrachtet
Prozess. Gruppen werden erstellt, wenn sie noch nicht vorhanden sind.
--cidfile=""
Schreiben Sie die Container-ID in die Datei
--CPU-Periode=0
Begrenzen Sie den CPU-CFS-Zeitraum (Completely Fair Scheduler)
Begrenzen Sie die CPU-Auslastung des Containers. Dieses Flag weist den Kernel an, die CPU des Containers einzuschränken
Nutzung auf den von Ihnen angegebenen Zeitraum.
--cpuset-cpus=""
CPUs, in denen die Ausführung möglich ist (0-3, 0,1)
--cpuset-speicher=""
Speicherknoten (MEMs), in denen die Ausführung ermöglicht wird (0-3, 0,1). Nur wirksam auf NUMA
Systemen.
Wenn Ihr System über vier Speicherknoten (0-3) verfügt, verwenden Sie --cpuset-mems=0,1 dann verarbeitet
in Ihrem Docker-Container verwendet nur den Speicher der ersten beiden Speicherknoten.
--CPU-Quote=0
Begrenzen Sie die CPU-CFS-Quote (Completely Fair Scheduler)
Begrenzen Sie die CPU-Auslastung des Containers. Container werden standardmäßig mit der vollen CPU-Ressource ausgeführt.
Dieses Flag weist den Kernel an, die CPU-Auslastung des Containers auf das von Ihnen angegebene Kontingent zu beschränken.
-d, --ablösen=was immer dies auch sein sollte.|falsch
Getrennter Modus: Führen Sie den Container im Hintergrund aus und drucken Sie die neue Container-ID. Die
Standard ist falsch.
Du kannst jederzeit laufen Docker ps in der anderen Shell, um eine Liste der laufenden
Behälter. Sie können einen abgetrennten Behälter mit . wieder anbringen Docker anhängen. Wenn Sie möchten
Führen Sie einen Container im getrennten Modus aus, dann können Sie den -rm .
Wenn Sie im tty-Modus angehängt sind, können Sie sich vom Container trennen (und ihn laufen lassen).
über eine konfigurierbare Tastenfolge. Die Standardsequenz ist STRG-p STRG-q. Sie konfigurieren
die Tastenfolge mit dem --Schlüssel abtrennen Option oder eine Konfigurationsdatei. Sehen
config-json(5) für die Dokumentation zur Verwendung einer Konfigurationsdatei.
--Schlüssel abtrennen=""
Überschreiben Sie die Tastenfolge zum Trennen eines Containers. Format ist ein einzelnes Zeichen [aZ]
or Strg- woher ist einer von: AZ, @, ^, [, , or _.
--Gerät= []
Fügen Sie dem Container ein Hostgerät hinzu (zB --device=/dev/sdc:/dev/xvdc:rwm)
--device-read-bps= []
Leserate von einem Gerät begrenzen (zB --device-read-bps=/dev/sda:1mb)
--device-read-iops= []
Leserate von einem Gerät begrenzen (zB --device-read-iops=/dev/sda:1000)
--device-write-bps= []
Schreibrate auf ein Gerät beschränken (zB --device-write-bps=/dev/sda:1mb)
--device-write-iops= []
Schreibrate eines Geräts begrenzen (zB --device-write-iops=/dev/sda:1000)
--dns-suche= []
Legen Sie benutzerdefinierte DNS-Suchdomänen fest (Verwenden Sie --dns-search=. wenn Sie die Suche nicht einstellen möchten
Domain)
--dns-opt= []
Benutzerdefinierte DNS-Optionen festlegen
- DNS= []
Benutzerdefinierte DNS-Server einrichten
Diese Option kann verwendet werden, um die an den Container übergebene DNS-Konfiguration zu überschreiben.
Dies ist normalerweise erforderlich, wenn die Host-DNS-Konfiguration für den Container ungültig ist
(zB 127.0.0.1). Wenn dies der Fall ist, - DNS Flags ist für jeden Lauf notwendig.
-e, --env= []
Umgebungsvariablen festlegen
Mit dieser Option können Sie beliebige Umgebungsvariablen angeben, die verfügbar sind für
der Prozess, der innerhalb des Containers gestartet wird.
--Einstiegspunkt=""
Überschreiben Sie den Standard-ENTRYPOINT des Bildes
Mit dieser Option können Sie den Standard-Einstiegspunkt des Bildes überschreiben, der im
Docker-Datei. Der ENTRYPOINT eines Bildes ähnelt einem COMMAND, da er festlegt, was
ausführbar, wenn der Container gestartet wird, aber es ist (absichtlich) schwieriger zu
überschreiben. Der ENTRYPOINT gibt einem Container seine Standardnatur oder sein Standardverhalten, sodass wenn
Wenn Sie einen ENTRYPOINT setzen, können Sie den Container so ausführen, als wäre er diese Binärdatei, komplett mit
Standardoptionen, und Sie können weitere Optionen über den Befehl COMMAND übergeben. Aber manchmal ein
Operator möchte möglicherweise etwas anderes im Container ausführen, damit Sie die
Standard-ENTRYPOINT zur Laufzeit mit a --Einstiegspunkt und eine Zeichenfolge zur Angabe des neuen
EINSTIEGSPUNKT.
--env-Datei= []
Einlesen einer zeilengetrennten Datei mit Umgebungsvariablen
--aufdecken= []
Offenlegen eines Ports oder einer Reihe von Ports (z. B. --expose=3300-3310) informiert Docker, dass die
container lauscht zur Laufzeit an den angegebenen Netzwerkports. Docker verwendet diese Informationen
Container über Links miteinander zu verbinden und Port-Umleitung auf dem Host-System einzurichten.
--group-add= []
Fügen Sie zusätzliche Gruppen hinzu, die ausgeführt werden sollen als
-h, - Hostname=""
Container-Hostname
Legt den Container-Hostnamen fest, der im Container verfügbar ist.
--help
Nutzungserklärung drucken
-i, --interaktiv=was immer dies auch sein sollte.|falsch
Halten Sie STDIN offen, auch wenn es nicht angeschlossen ist. Die Standardeinstellung ist falsch.
Wenn auf "true" gesetzt, lassen Sie stdin geöffnet, auch wenn es nicht angehängt ist. Der Standardwert ist falsch.
--ip=""
Setzt die IPv4-Adresse der Schnittstelle des Containers (zB 172.23.0.9)
Nur in Verbindung mit --Netz für benutzerdefinierte Netzwerke
--ip6=""
Setzt die IPv6-Adresse des Containers (zB 2001:db8::1b99)
Nur in Verbindung mit --Netz für benutzerdefinierte Netzwerke
--ipc=""
Standardmäßig wird ein privater IPC-Namensraum (POSIX SysV IPC) für den Container erstellt
'Container: ': verwendet einen anderen freigegebenen Container wieder
Speicher, Semaphoren und Nachrichtenwarteschlangen
'host': Verwenden Sie den gemeinsam genutzten Speicher des Hosts, die Semaphoren und die Nachricht
Warteschlangen im Container. Hinweis: Der Host-Modus gewährt dem Container vollen Zugriff auf local
Shared Memory und gilt daher als unsicher.
--Isolation="Standard"
Isolation gibt die Art der Isolationstechnologie an, die von Containern verwendet wird.
-l, --Etikett= []
Metadaten für den Container festlegen (z. B. --label com.example.key=value)
--Kernel-Speicher=""
Kernel-Speicherlimit (Format: [ ], wobei Einheit = b, k, m oder g)
Beschränkt den für einen Container verfügbaren Kernel-Speicher. Wenn ein Grenzwert von 0 angegeben ist (nicht
Verwendung von --Kernel-Speicher) ist der Kernelspeicher des Containers nicht begrenzt. Wenn Sie a angeben
kann auf ein Vielfaches der Seitengröße des Betriebssystems aufgerundet werden und die
Wert kann sehr groß sein, Millionen von Billionen.
--label-Datei= []
Einlesen einer zeilengetrennten Datei mit Etiketten
--Verknüpfung= []
Link zu einem anderen Container in Form von . hinzufügen :alias oder einfach in
In diesem Fall stimmt der Alias mit dem Namen überein
Wenn der Betreiber --Verknüpfung beim Starten des neuen Client-Containers wird der Client
Container kann über eine private Netzwerkschnittstelle auf den exponierten Port zugreifen. Docker wird eingestellt
einige Umgebungsvariablen im Client-Container, um anzugeben, welche Schnittstelle und
Port zu verwenden.
--log-Treiber="json-Datei|syslog|Journald|Gelf|fließend|AWSlogs|splunk|keine"
Protokollierungstreiber für Container. Standard wird vom Daemon definiert --log-Treiber Flagge.
Warnung: das Docker Protokolle Befehl funktioniert nur für die json-Datei und
Journald Protokollierung von Treibern.
--log-opt= []
Protokollierung treiberspezifischer Optionen.
-m, --Erinnerung=""
Speicherlimit (Format: [ ], wobei Einheit = b, k, m oder g)
Ermöglicht Ihnen, den für einen Container verfügbaren Speicher einzuschränken. Wenn der Host Swap unterstützt
Erinnerung, dann die -m Die Speichereinstellung kann größer sein als der physische RAM. Wenn ein Grenzwert von 0 ist
angegeben (nicht verwenden -m) ist der Speicher des Containers nicht begrenzt. Die tatsächliche Grenze kann sein
auf ein Vielfaches der Seitengröße des Betriebssystems aufgerundet (der Wert wäre sehr
groß, das sind Millionen von Billionen).
--Memory-Reservierung=""
Speicher-Softlimit (Format: [ ], wobei Einheit = b, k, m oder g)
Wenn das System nach dem Einstellen der Speicherreservierung einen Speicherkonflikt oder wenig Speicher erkennt,
Container sind gezwungen, ihren Verbrauch auf ihre Reservierung zu beschränken. Also sollten Sie
immer den Wert unten einstellen --Erinnerung, andernfalls hat die harte Grenze Vorrang. Von
Standardmäßig entspricht die Speicherreservierung dem Speicherlimit.
--Memory-Swap="GRENZE"
Ein Grenzwert gleich Speicher plus Swap. Muss mit dem verwendet werden -m (--Erinnerung) Flagge. Die
tauschen LIMIT sollte immer größer sein als -m (--Erinnerung) Wert.
Das Format von LIMIT is [ ]. Einheit kann sein b (Byte), k (Kilobyte), m
(Megabyte), oder g (Gigabyte). Wenn Sie keine Einheit angeben, b wird genutzt. LIMIT auf setzen -1 zu
unbegrenzten Tausch aktivieren.
--MAC-Adresse=""
Container-MAC-Adresse (zB 92:d0:c6:0a:29:33)
Denken Sie daran, dass die MAC-Adresse in einem Ethernet-Netzwerk eindeutig sein muss. Das IPv6 Link-Local
Die Adresse basiert auf der MAC-Adresse des Geräts gemäß RFC4862.
--Name=""
Weisen Sie dem Container einen Namen zu
Der Bediener kann einen Container auf drei Arten identifizieren:
Lange UUID-Kennung
(“f78375b1c487e03c9438c729345e54db9d20cfa2ac1fc3494b6eb60872e74778”)
UUID-Kurzkennung („f78375b1c487“)
Name („jonah“)
Die UUID-Bezeichner stammen vom Docker-Daemon, und wenn dem . kein Name zugewiesen ist
Behälter mit --Name dann generiert der Daemon auch einen zufälligen Stringnamen. Der Name ist
nützlich beim Definieren von Links (siehe --Verknüpfung) (oder jeder andere Ort, an dem Sie einen identifizieren müssen)
Container). Dies funktioniert sowohl für Docker-Container im Hintergrund als auch im Vordergrund.
--Netz="Brücke"
Stellen Sie den Netzwerkmodus für den Container ein
'bridge': Erstellen Sie einen Netzwerk-Stack auf dem Standard-Docker
Brücke
'none': keine Vernetzung
'Container: ': Netzwerk eines anderen Containers wiederverwenden
Stapel
'host': Verwenden Sie den Docker-Host-Netzwerkstack. Hinweis: der Gastgeber
Modus gibt dem Container vollen Zugriff auf lokale Systemdienste wie D-Bus und is
daher als unsicher angesehen.
' | ': mit einem benutzerdefinierten verbinden
Netzwerk
--net-alias= []
Fügen Sie einen netzwerkbezogenen Alias für den Container hinzu
--oom-kill-disable=was immer dies auch sein sollte.|falsch
Ob OOM Killer für den Container deaktiviert werden soll oder nicht.
--oom-score-adj=""
Optimieren der OOM-Einstellungen des Hosts für Container (akzeptiert -1000 bis 1000)
-P, --publish-all=was immer dies auch sein sollte.|falsch
Veröffentlichen Sie alle exponierten Ports an zufälligen Ports auf den Hostschnittstellen. Die Standardeinstellung ist falsch.
Wenn auf "true" gesetzt, veröffentlichen Sie alle exponierten Ports auf den Hostschnittstellen. Der Standardwert ist falsch.
Wenn der Operator -P (oder -p) verwendet, macht Docker den exponierten Port auf dem
host und die Ports stehen jedem Client zur Verfügung, der den Host erreichen kann. Bei Verwendung von -P,
Docker bindet jeden exponierten Port innerhalb eines Zeitraums an einen zufälligen Port auf dem Host flüchtig port
Angebot definiert von /proc/sys/net/ipv4/ip_local_port_range. Um die Zuordnung zwischen den zu finden
Host-Ports und die exponierten Ports verwenden Docker port .
-p, --veröffentlichen= []
Veröffentlichen Sie den Port eines Containers oder einen Portbereich auf dem Host.
Format: ip:hostPort:containerPort | ip::containerPort | hostPort:ContainerPort |
ContainerPort Sowohl hostPort als auch containerPort können als Portbereich angegeben werden. Wann
Wenn Sie Bereiche für beide angeben, muss die Anzahl der Containerhäfen im Bereich mit der
Anzahl der Host-Ports im Bereich. (z.B, Docker Lauf -p 1234-1236: 1222-1224 --Name
das funktioniert -t busybox aber nicht Docker Lauf -p 1230-1236: 1230-1240 --Name
BereichContainerPortsGrößer alsBereichHostPorts -t busybox) Mit IP: Docker Lauf -p
127.0.0.1:$HOSTPORT:$CONTAINERPORT --Name BEHÄLTER -t ein Bild Verwenden Sie die Docker port um zu sehen,
die eigentliche Zuordnung: Docker port BEHÄLTER $CONTAINERPORT
--pid=Gastgeber
Stellen Sie den PID-Modus für den Container ein
Gastgeber: Verwenden Sie den PID-Namespace des Hosts im Container.
Hinweis: Der Host-Modus gibt dem Container vollen Zugriff auf die lokale PID und ist daher
als unsicher angesehen.
--uts=Gastgeber
Stellen Sie den UTS-Modus für den Container ein
Gastgeber: Verwenden Sie den UTS-Namespace des Hosts im Container.
Hinweis: Der Hostmodus gibt dem Container Zugriff zum Ändern des Hostnamens des Hosts und ist
daher als unsicher angesehen.
--privilegiert=was immer dies auch sein sollte.|falsch
Erteilen Sie diesem Container erweiterte Berechtigungen. Die Standardeinstellung ist falsch.
Standardmäßig sind Docker-Container „unprivilegiert“ (=false) und können z
Docker-Daemon im Docker-Container. Dies liegt daran, dass ein Container standardmäßig nicht
auf alle Geräte zugreifen dürfen. Ein „privilegierter“ Container erhält Zugriff auf alle Geräte.
Wenn der Operator ausführt Docker Lauf --privilegiert, Docker ermöglicht den Zugriff auf alle
Geräte auf dem Host und legen Sie einige Konfigurationen in AppArmor fest, um den Container zuzulassen
fast der gleiche Zugriff auf den Host wie Prozesse, die außerhalb eines Containers auf dem
Gastgeber.
--schreibgeschützt=was immer dies auch sein sollte.|falsch
Mounten Sie das Root-Dateisystem des Containers als schreibgeschützt.
Standardmäßig ist das Root-Dateisystem eines Containers beschreibbar, sodass Prozesse schreiben können
Dateien überall. Durch die Angabe der --schreibgeschützt markieren, dass der Container seine Wurzel haben wird
Dateisystem als schreibgeschützt eingehängt, das jegliche Schreibvorgänge verbietet.
--neu starten="nicht"
Neustartrichtlinie, die angewendet werden soll, wenn ein Container beendet wird (no, on-failure[:max-retry], immer,
es sei denn-gestoppt).
--rm=was immer dies auch sein sollte.|falsch
Den Container automatisch entfernen, wenn er beendet wird (inkompatibel mit -d). Die Standardeinstellung ist
falsch.
--security-opt= []
Security Options
"label:user:USER" : Setzt den Label-Benutzer für den Container
"label:role:ROLE" : Legen Sie die Label-Rolle für den Container fest
"label:type:TYPE" : Legen Sie den Etikettentyp für den Container fest
"label:level:LEVEL" : Setzt den Labellevel für den Container
"label:disable": Deaktivieren Sie die Etikettenbeschränkung für den Container
--Stopp-Signal=ZIELLAUFZEIT
Signal zum Anhalten eines Containers. Standard ist SIGTERM.
--shm-größe=""
Größe von / dev / shm. Das Format ist .
Anzahl muss größer sein als 0. Einheit ist optional und kann sein b (Byte), k (Kilobyte),
m(Megabyte), oder g (Gigabyte).
Wenn Sie die Einheit weglassen, verwendet das System Bytes. Wenn Sie die Größe ganz weglassen, wird das System
verwendet 64m.
--sig-proxy=was immer dies auch sein sollte.|falsch
Proxy empfangener Signale an den Prozess (nur Nicht-TTY-Modus). SIGCHLD, SIGSTOP und
SIGKILL werden nicht bevollmächtigt. Die Standardeinstellung ist was immer dies auch sein sollte..
--Speichertausch=""
Optimieren Sie das Speicherauslagerungsverhalten eines Containers. Akzeptiert eine ganze Zahl zwischen 0 und 100.
-t, --tty=was immer dies auch sein sollte.|falsch
Weisen Sie ein Pseudo-TTY zu. Die Standardeinstellung ist falsch.
Wenn es auf true gesetzt ist, kann Docker ein Pseudo-Tty zuweisen und an die Standardeingabe von jedem anhängen
Container. Dies kann beispielsweise verwendet werden, um eine interaktive Wegwerf-Shell auszuführen. Die
Standard ist falsch.
Das -t Option ist mit einer Umleitung der Docker-Client-Standardeingabe nicht kompatibel.
--tmpfs=[] Erstelle ein tmpfs-Mount
Mounten Sie ein temporäres Dateisystem (tmpfs) in einen Container einhängen, zum Beispiel:
$ docker run -d --tmpfs / Tmp:rw,size=787448k,mode=1777 my_image
Dieser Befehl mountet a tmpfs at / Tmp innerhalb des Behälters. Die unterstützten Mount-Optionen sind
das gleiche wie der Linux-Standard montieren Flaggen. Wenn Sie keine Optionen angeben, werden die Systeme
verwendet die folgenden Optionen: rw,noexec,nosuid,nodev,size=65536k.
-u, --Benutzer=""
Setzt den verwendeten Benutzernamen oder die verwendete UID und optional den Gruppennamen oder die GID für das angegebene
Befehl.
Die folgenden Beispiele sind alle gültig:
--user [Benutzer | Benutzer:Gruppe | Uid | uid:gid | user:gid | UID:Gruppe]
Ohne dieses Argument wird der Befehl als Root im Container ausgeführt.
--ulimit= []
Ulimit-Optionen
-v|--Volumen[=[[HOST-VERZ:]CONTAINER-VERZ[:OPTIONEN]]]
Erstellen Sie einen Bindungsmount. Wenn Sie angeben, -v /HOST-DIR:/CONTAINER-DIR, Hafenmeister
Reittiere binden /HOST-VERZEICHNIS im Wirt zu /BEHÄLTER-VERZEICHNIS im Docker
Container. Wenn 'HOST-DIR' weggelassen wird, erstellt Docker automatisch das neue
Lautstärke auf dem Host. Die OPTIONAL sind eine durch Kommas getrennte Liste und können sein:
· [rw|ro]
· [z|Z]
· [[r]geteilt|[r]Sklave|[r]privat]
Das BEHÄLTER-VERZEICHNIS muss ein absoluter Pfad sein wie /src/docsdem „Vermischten Geschmack“. Seine HOST-VERZEICHNIS kann ein sein
absoluter Pfad oder a Name Wert. EIN Name Wert muss mit einem alphanumerischen Zeichen beginnen,
gefolgt von a-z0-9, _ (unterstreichen), . (Punkt) oder - (Bindestrich). Ein absoluter Weg beginnt mit
a / (Schrägstrich).
Wenn Sie a HOST-VERZEICHNIS das ist ein absoluter Pfad, Docker bindet sich an den Pfad an, den Sie haben
angeben. Wenn Sie a . liefern Name, Docker erstellt dadurch ein benanntes Volume Name. Beispielsweise,
du kannst entweder angeben / foo or foo für eine HOST-VERZEICHNIS Wert. Wenn Sie die / foo Wert,
Docker erstellt einen Bind-Mount. Wenn Sie die foo Spezifikation erstellt Docker eine benannte
Volumen.
Sie können mehrere angeben -v Optionen zum Mounten eines oder mehrerer Mounts in einen Container. Benutzen
diese gleichen Mounts in anderen Containern, geben Sie die --Bände-von Option auch.
Sie können hinzufügen : ro or :rw Suffix an ein Volume, um es im Read-Only- oder Read-Write-Modus zu mounten,
bzw. Standardmäßig sind die Volumes mit Lese-/Schreibzugriff gemountet. Siehe Beispiele.
Kennzeichnungssysteme wie SELinux erfordern, dass die Datenträgerinhalte mit den richtigen Kennzeichnungen versehen werden
in einen Behälter montiert. Ohne Etikett kann das Sicherheitssystem die Prozesse verhindern
innerhalb des Containers ausgeführt wird, um den Inhalt zu verwenden. Docker ändert sich standardmäßig nicht
die vom Betriebssystem gesetzten Labels.
Um ein Label im Containerkontext zu ändern, können Sie eines von zwei Suffixen hinzufügen :z or :Z zu
das Volume mounten. Diese Suffixe weisen Docker an, Dateiobjekte auf dem freigegebenen umzubenennen
Bände. Die z Option teilt Docker mit, dass sich zwei Container den Volume-Inhalt teilen. Als ein
Als Ergebnis kennzeichnet Docker den Inhalt mit einem freigegebenen Inhaltslabel. Labels für freigegebene Volumes zulassen
alle Container zum Lesen/Schreiben von Inhalten. Die Z Option weist Docker an, den Inhalt mit zu kennzeichnen
ein privates, nicht geteiltes Label. Nur der aktuelle Container kann ein privates Volume verwenden.
Standardmäßig sind gebundene Volumes privat. Das bedeutet, dass alle Mounts im Container durchgeführt werden
wird auf dem Host nicht sichtbar sein und umgekehrt. Man kann dieses Verhalten ändern, indem man a
Volume-Mount-Ausbreitungseigenschaft. Ein Volumen machen von Locals geführtes Mounts unter diesem Volume gemacht
Der innere Container ist auf dem Host sichtbar und umgekehrt. Ein Volumen machen Sklave ermöglicht
nur eine Einweg-Mount-Verbreitung und das sind Mounts, die auf dem Host unter diesem Volume ausgeführt werden
innerhalb des Containers sichtbar, aber nicht umgekehrt.
Um die Mount-Ausbreitungseigenschaft von Volumes zu steuern, kann man verwenden :[r]geteilt, :[r]Sklave or
:[r]privat Ausbreitungsflagge. Die Propagation-Eigenschaft kann nur für gebundene Mounts angegeben werden
Volumes und nicht für interne Volumes oder benannte Volumes. Damit die Mount-Ausbreitung funktioniert
Quell-Mount-Punkt (Mount-Punkt, auf dem das Quellverzeichnis eingehängt ist) muss das Recht haben
Ausbreitungseigenschaften. Bei freigegebenen Datenträgern muss der Quellmountpunkt freigegeben werden. Und für
Slave-Volumes muss der Quellenmount entweder Shared oder Slave sein.
Verwenden Sie die df um den Quell-Mount herauszufinden und dann zu verwenden finden -o
ZIEL,VERBREITUNG um die Ausbreitungseigenschaften der Quelle herauszufinden
montieren. Wenn finden Dienstprogramm nicht verfügbar ist, kann man sich den Mount-Eintrag für die Quelle ansehen
Mount-Punkt in /proc/self/mountinfo. Ansehen optional Felder und sehen Sie, ob es eine Verbreitung gibt
Eigenschaften angegeben sind. geteilt:X bedeutet Reittier ist von Locals geführtes, Meister: X bedeutet Reittier ist Sklave
und wenn nichts da ist, bedeutet das, dass Mount ist privat.
Um die Weitergabeeigenschaften eines Mount-Punkts zu ändern, verwenden Sie montieren Befehl. Zum Beispiel, wenn man
möchte das Mount-Quellverzeichnis binden / foo man kann tun montieren --binden / foo / foo und montieren
--privatisieren --make-shared / foo. Dadurch wird /foo in a . umgewandelt von Locals geführtes Einhängepunkt.
Alternativ kann man die Ausbreitungseigenschaften des Quellmounts direkt ändern. Sagen / is
Quellhalterung für / foo, dann benutze montieren --make-shared / umwandeln / in ein von Locals geführtes montieren.
Note: Wenn Sie systemd verwenden, um den Start und das Stoppen des Docker-Daemons zu verwalten, im
systemd-Unit-Datei gibt es eine Option, um die Mount-Ausbreitung für den Docker zu steuern
Dämon selbst, genannt MountFlags. Der Wert dieser Einstellung kann dazu führen, dass Docker nicht
Siehe Mount-Propagation-Änderungen, die am Mount-Punkt vorgenommen wurden. Zum Beispiel, wenn dieser Wert
is Sklave, können Sie die möglicherweise nicht verwenden von Locals geführtes or geteilt Ausbreitung auf einem Volumen.
--volume-driver=""
Volume-Treiber des Containers. Dieser Treiber erstellt Volumes, die entweder von
ein Dockerfiles VOLUME Anweisung oder von der Docker Lauf -v Flagge.
See Docker-Volume-Erstellen(1) für weitere Informationen.
--Bände-von= []
Mounten von Volumes aus den angegebenen Containern
Mountet bereits gemountete Volumes von einem Quellcontainer auf einen anderen
Container. Sie müssen die Container-ID der Quelle angeben. Teilen
ein Volumen, verwenden Sie die --Bände-von Option beim Laufen
der Zielcontainer. Sie können Volumes freigeben, auch wenn der Quellcontainer
Läuft nicht.
Standardmäßig mountet Docker die Volumes im gleichen Modus (Lese-Schreib- oder
schreibgeschützt), da es im Quellcontainer eingehängt ist. Optional können Sie
können Sie dies ändern, indem Sie die Container-ID entweder mit dem anhängen : ro or
:rw Stichwort.
Überlappt sich die Position des Volumes aus dem Quellcontainer mit
Daten, die sich auf einem Zielcontainer befinden, dann wird das Volume ausgeblendet
diese Daten über das Ziel.
-w, --workdir=""
Arbeitsverzeichnis im Container
Das Standardarbeitsverzeichnis zum Ausführen von Binärdateien in einem Container ist das Root
Verzeichnis (/). Der Entwickler kann mit dem Dockerfile WORKDIR . einen anderen Standard setzen
Anweisung. Der Bediener kann das Arbeitsverzeichnis überschreiben, indem er den -w .
Beenden Status
Der Exit-Code von Docker Lauf gibt Auskunft darüber, warum der Container nicht ausgeführt werden konnte oder
warum es ausgegangen ist. Wann Docker Lauf Beendet mit einem Nicht-Null-Code, die Beendigungscodes folgen dem
Chroot Standard, siehe unten:
125 if Fehler is mit Docker Daemon selbst
$ docker run --foo busybox; Echo $?
# Flag bereitgestellt, aber nicht definiert: --foo
Siehe 'docker run --help'.
125
126 if enthalten Befehl kann keine be aufgerufen
$ Docker führt Busybox aus / Etc; Echo $?
#exec: "/ Etc": Erlaubnis verweigert
docker: Fehlerantwort vom Daemon: Enthaltener Befehl konnte nicht aufgerufen werden
126
127 if enthalten Befehl kann keine be gefunden
$ docker starte busybox foo; Echo $?
# exec: "foo": ausführbare Datei in $PATH nicht gefunden
docker: Fehlerantwort vom Daemon: Enthaltener Befehl nicht gefunden oder existiert nicht
127
Beenden Code of enthalten Befehl Andernfalls
$ Docker führt Busybox aus / Bin / sh -c 'Ausgang 3'
# 3
Beispiele:
Laufen Container in read-only Modus
Während der Container-Image-Entwicklung müssen Container häufig in den Image-Inhalt schreiben.
Pakete installieren in / usr, zum Beispiel. In der Produktion müssen Anwendungen selten
schreibe ins Bild. Containeranwendungen schreiben auf Volumes, wenn sie in eine Datei schreiben müssen
Systeme überhaupt. Anwendungen können sicherer gemacht werden, indem sie im schreibgeschützten Modus ausgeführt werden
mit dem --read-only-Schalter. Dadurch wird das Container-Image vor Änderungen geschützt. Lesen
nur Container müssen möglicherweise noch temporäre Daten schreiben. Der beste Weg, damit umzugehen, ist,
tmpfs-Verzeichnisse einhängen /Lauf und /tmp.
# Docker run --read-only --tmpfs /Lauf --tmpfs / Tmp -i -t Fedora / bin / bash
Offenlegen Log Nachrichten für Container zu des Gastgebers Log
Wenn Sie möchten, dass Nachrichten, die in Ihrem Container angemeldet sind, im . des Hosts angezeigt werden
syslog/journal, dann sollten Sie das /dev/log-Verzeichnis wie folgt einhängen.
# docker run -v /dev/log:/dev/log -i -t Fedora / bin / bash
Aus dem Container heraus können Sie dies testen, indem Sie eine Nachricht an das Protokoll senden.
(bash)# logger "Hallo aus meinem Container"
Beenden Sie dann und überprüfen Sie das Journal.
# Ausfahrt
# journalctl -b | grep Hallo
Dies sollte die an den Logger gesendete Nachricht auflisten.
Anfügen zu dank One or mehr für STDIN, STDOUT, STDERR
Wenn Sie -a nicht angeben, hängt Docker alles (stdin,stdout,stderr) an, das Sie
möchte stattdessen eine Verbindung herstellen, wie in:
# docker run -a stdin -a stdout -i -t Fedora / bin / bash
Teilen IPC zwischen Behälter
Mit shm_server.c hier verfügbar: ⟨https://www.cs.cf.ac.uk/Dave/C/node27.html⟩
Testen --ipc=Host Modus:
Host zeigt ein Shared-Memory-Segment mit 7 angehängten PIDs, das zufällig von httpd stammt:
$ sudo ipcs -m
------ Shared Memory-Segmente --------
key shmid besitzer perms bytes nattch status
0x01128e25 0 Wurzel 600 1000 7
Führen Sie nun einen regulären Container aus, der das Shared-Memory-Segment von
der Wirt:
$ docker run -it shm ipcs -m
------ Shared Memory-Segmente --------
key shmid besitzer perms bytes nattch status
Führen Sie einen Container mit dem neuen aus --ipc=Host Option, und es sieht jetzt das Shared Memory-Segment
vom Host httpd:
$ docker run -it --ipc=host shm ipcs -m
------ Shared Memory-Segmente --------
key shmid besitzer perms bytes nattch status
0x01128e25 0 Wurzel 600 1000 7
Testen --ipc=container:CONTAINERID Modus:
Starten Sie einen Container mit einem Programm, um ein Shared-Memory-Segment zu erstellen:
$ docker run -it shm bash
$ sudo shm/shm_server
$ sudo ipcs -m
------ Shared Memory-Segmente --------
key shmid besitzer perms bytes nattch status
0x0000162e 0 Wurzel 666 27 1
2. Container erstellen zeigt korrekt kein Shared-Memory-Segment vom 1. Container an:
$ docker führe shm ipcs -m aus
------ Shared Memory-Segmente --------
key shmid besitzer perms bytes nattch status
Erstellen Sie einen dritten Container mit der neuen Option --ipc=container:CONTAINERID
Shared-Memory-Segment aus dem ersten:
$ docker run -it --ipc=container:ed735b2264ac shm ipcs -m
$ sudo ipcs -m
------ Shared Memory-Segmente --------
key shmid besitzer perms bytes nattch status
0x0000162e 0 Wurzel 666 27 1
Linking Behälter
Note: In diesem Abschnitt wird die Verknüpfung zwischen Containern im Standard (Bridge) beschrieben.
Netzwerk, auch bekannt als "Legacy-Links". Verwenden von --Verknüpfung auf benutzerdefinierten Netzwerken verwendet
die DNS-basierte Erkennung, die keine Einträge hinzufügt / Etc / hosts, und setzt nicht
Umgebungsvariablen für die Erkennung.
Die Link-Funktion ermöglicht die Kommunikation mehrerer Container miteinander. Zum Beispiel a
Container, dessen Dockerfile Port 80 offengelegt hat, kann wie folgt ausgeführt und benannt werden:
# docker run --name=link-test -d -i -t fedora/httpd
Ein zweiter Container, in diesem Fall Linker genannt, kann mit dem httpd-Container kommunizieren,
benannter Link-Test, indem Sie mit dem --link= :
# docker run -t -i --link=link-test:lt --name=linker Fedora / bin / bash
Nun wird der Container-Linker mit dem Alias lt mit container link-test verknüpft. Ausführen der
env Befehl im Linker-Container zeigt Umgebungsvariablen an
mit dem LT (Alias) Kontext (LT_)
# env
HOSTNAME=668231cb0978
BEGRIFF=xterm
LT_PORT_80_TCP=tcp://172.17.0.3:80
LT_PORT_80_TCP_PORT=80
LT_PORT_80_TCP_PROTO=TCP
LT_PORT=tcp://172.17.0.3:80
PFAD=/ usr / local / sbin:/ usr / local / bin:/ usr / sbin:/ usr / bin:/ sbin:/Behälter
PWD=/
LT_NAME=/linker/lt
SHLVL = 1
STARTSEITE=/
LT_PORT_80_TCP_ADDR=172.17.0.3
_=/usr/bin/env
Beim Verknüpfen von zwei Containern verwendet Docker die exponierten Ports des Containers, um eine
sicherer Tunnel für den Zugriff der Eltern.
Wenn ein Container mit dem Standard-Bridge-Netzwerk verbunden ist und verknüpft mit anderen
Container, dann ist der Container / Etc / hosts Datei wird mit dem verknüpften Container aktualisiert
Namen.
Note Da Docker die Container live aktualisieren kann / Etc / hosts Datei, kann es sein
Situationen, in denen Prozesse innerhalb des Containers am Ende ein leeres oder
unvollständig / Etc / hosts Datei. In den meisten Fällen sollte ein erneuter Leseversuch das Problem beheben
Problem.
Mapping Ports für Extern Anwendungsbereich
Der exponierte Port einer Anwendung kann einem Host-Port zugeordnet werden, indem die -p Flagge. Zum
Beispielsweise kann ein httpd-Port 80 dem Host-Port 8080 wie folgt zugeordnet werden:
# docker run -p 8080:80 -d -i -t Fedora/httpd
Erstellen und Montage a Datum Volume Container
Viele Anwendungen erfordern die gemeinsame Nutzung persistenter Daten über mehrere Container. Docker
ermöglicht es Ihnen, einen Datenvolumen-Container zu erstellen, von dem andere Container mounten können. Zum
Erstellen Sie beispielsweise einen benannten Container, der die Verzeichnisse /var/volume1 und /tmp/volume2 enthält.
Das Image muss diese Verzeichnisse enthalten, also ein paar RUN mkdir-Anweisungen
möglicherweise für Ihr Fedora-Daten-Image erforderlich:
# docker run --name=data -v /var/volume1 -v /tmp/volume2 -i -t fedora-data true
# Docker run --volumes-from=data --name=fedora-container1 -i -t Fedora Bash
Mehrere Parameter --volumes-from werden mehrere Datenvolumes aus mehreren zusammenführen
Behälter. Und es ist möglich, die Volumes zu mounten, die aus dem DATA-Container kamen in
ein weiterer Container über den Zwischencontainer fedora-container1, der es ermöglicht,
die tatsächliche Datenquelle von den Nutzern dieser Daten abstrahieren:
# docker run --volumes-from=fedora-container1 --name=fedora-container2 -i -t fedora-bash
Montage Extern Volumes
Um ein Hostverzeichnis als Container-Volume zu mounten, geben Sie den absoluten Pfad zum
Verzeichnis und den absoluten Pfad für das Containerverzeichnis durch einen Doppelpunkt getrennt:
# docker run -v /var/db:/data1 -i -t Fedora-Bash
Beachten Sie bei der Verwendung von SELinux, dass der Host keine Kenntnis der SELinux-Richtlinie des Containers hat.
Daher wird im obigen Beispiel, wenn die SELinux-Richtlinie erzwungen wird, die /var/db Verzeichnis ist
nicht auf den Container beschreibbar. Die Meldung "Berechtigung verweigert" wird angezeigt und ein Avc:
Nachricht im Syslog des Hosts.
Um dies zu umgehen, muss zum Zeitpunkt des Schreibens dieser Manpage der folgende Befehl eingegeben werden:
ausführen, damit die richtige SELinux-Richtlinientypbezeichnung an den Host angehängt wird
Verzeichnis:
# chcon -Rt svirt_sandbox_file_t /var/db
Jetzt wird das Schreiben auf das Volume /data1 im Container erlaubt und die Änderungen werden
auch auf dem Host in /var/db reflektiert werden.
Die richtigen Alternative Sicherheitdienst Beschriftung
Sie können das Standard-Beschriftungsschema für jeden Container überschreiben, indem Sie das
--security-opt Flagge. Sie können beispielsweise den MCS/MLS-Level angeben, eine Voraussetzung für MLS
Systeme. Wenn Sie die Ebene im folgenden Befehl angeben, können Sie dieselbe teilen
Inhalt zwischen Containern.
# docker run --security-opt label:level:s0:c100,c200 -i -t Fedora Bash
Ein MLS-Beispiel könnte sein:
# docker run --security-opt label:level:TopSecret -i -t rhel7 bash
So deaktivieren Sie die Sicherheitskennzeichnung für diesen Container im Vergleich zur Ausführung mit dem --permissiv
Flag verwenden Sie den folgenden Befehl:
# docker run --security-opt label:disable -i -t Fedora Bash
Wenn Sie eine strengere Sicherheitsrichtlinie für die Prozesse innerhalb eines Containers wünschen, können Sie Folgendes angeben:
ein alternativer Typ für den Container. Sie könnten einen Container ausführen, der nur zulässig ist
Hören Sie auf Apache-Ports, indem Sie den folgenden Befehl ausführen:
# docker run --security-opt label:type:svirt_apache_t -i -t centos bash
Hinweis:
Sie müssten eine Richtlinie schreiben, die a . definiert svirt_apache_t Art.
Rahmen Gerät Gewicht
Wenn Sie einstellen möchten / Dev / sda Gerätegewicht zu 200, können Sie das Gerätegewicht angeben durch
--blkio-Gewichtsgerät Flagge. Verwenden Sie den folgenden Befehl:
# docker run -it --blkio-weight-device "/dev/sda:200" ubuntu
Angeben Isolierung Technologie für Container (--Isolation)
Diese Option ist in Situationen nützlich, in denen Sie Docker-Container auf Microsoft ausführen
Fenster. Die --Isolation Option legt die Isolationstechnologie eines Containers fest. Unter Linux,
das einzige unterstützte ist das Standard Option, die Linux-Namespaces verwendet. Diese beiden Befehle
sind unter Linux gleichwertig:
$ docker run -d busybox oben
$ docker run -d --isolation default busybox top
Kann unter Microsoft Windows einen dieser Werte annehmen:
· Standard: Verwenden Sie den vom Docker-Daemon angegebenen Wert --exec-opt . Wenn der Daemon die
keine Isolationstechnologie angeben, Microsoft Windows verwendet Prozessdefinierung als Standardeinstellung
Wert.
· Prozessdefinierung: Nur Namespace-Isolation.
· hyperv: Hyper-V-Hypervisor-Partitionsbasierte Isolierung.
In der Praxis unter Microsoft Windows ohne a Daemon Optionssatz, diese beiden
Befehle sind äquivalent:
$ docker run -d --isolation default busybox top
$ docker run -d --isolation Process Busybox Top
Wenn Sie die eingestellt haben --exec-opt Isolation=hyperv Option auf dem Docker Daemon, irgendwelche von diesen
Befehle führen auch zu hyperv Isolation:
$ docker run -d --isolation default busybox top
$ docker run -d --isolation hyperv busybox top
GESCHICHTE
April 2014, ursprünglich zusammengestellt von William Henry (Whenry at redhat dot com) basierend auf
Quellmaterial und interne Arbeit von docker.com. Juni 2014, aktualisiert von Sven Dowideit
⟨[E-Mail geschützt] ⟩ Juli 2014, aktualisiert von Sven Dowideit ⟨[E-Mail geschützt] ⟩
November 2015, aktualisiert von Sally O'Malley ⟨[E-Mail geschützt] ⟩
Verwenden Sie docker-run online mit den onworks.net-Diensten
