docker-run - آنلاین در ابر

برنامه:

نام

docker-run - یک دستور را در یک ظرف جدید اجرا کنید

خلاصه

داکتر اجرا [-a|-- ضمیمه کردن[=[]]] [--افزودن-میزبان[=[]]] [--بلکیو وزن[=[BLKIO-WEIGHT]]]
[---bkio-weight-دستگاه[=[]]] [--cpu-share[=0]] [--cap-add[=[]]] [--کلاه انداختن[=[]]]
[--cgroup-parent[=CGROUP-PATH]] [--cidfile[=CIDFILE]] [--cpu-period[=0]] [--cpu- سهمیه[=0]]
[--cpuset-cpus[=CPUSET-CPUS]] [--cpuset-mems[=CPUSET-MEMS]] [-d|-- جدا کردن]
[- کلیدها را جدا کنید[=[]]] [--دستگاه[=[]]] [--device-read-bps[=[]]] [--device-read-iops[=[]]]
[--device-write-bps[=[]]] [--device-write-iops[=[]]] [--dns[=[]]] [--dns-opt[=[]]]
[--dns-جستجو[=[]]] [-e|-- env[=[]]] [--نقطه ورود[=نقطه ورود]] [--env-file[=[]]]
[--در معرض گذاشتن[=[]]] [--گروه-افزودن[=[]]] [-h|-- نام میزبان[=نام خانوادگی]] [--کمک] [-i|--در ارتباط بودن]
[-IP[=IPv4-ADDRESS]] [--ip6[=IPv6-ADDRESS]] [--ipc[=IPC]] [-- انزوا[=به طور پیش فرض]]
[-- هسته حافظه[=هسته-حافظه]] [-l|--برچسب[=[]]] [--label-file[=[]]] [--ارتباط دادن[=[]]]
[---log-driver[=[]]] [--log-opt[=[]]] [-m|-- حافظه[=حافظه]] [---مک آدرس[=مک آدرس]]
[--حافظه-رزرو[=حافظه-رزرو]] [- تعویض حافظه[=محدود]]
[- تعویض حافظه[=MEMORY-SWAPPINESS]] [--نام[=نام]] [--خالص[="پل"]]
[--net-نام مستعار[=[]]] [--oom-kill-disable] [--oom-score-adj[=0]] [-P|--انتشار-همه]
[-p|--انتشار[=[]]] [-پید[=[]]] [-- ممتاز] [--فقط خواندنی] [-- راه اندازی مجدد[=دوباره راه اندازی کنید]] [--rm]
[-- امنیتی-انتخاب[=[]]] [- سیگنال توقف[=علامت]] [--shm-اندازه[=[]]] [--sig-proxy[=درست]]
[-t|--tty] [--tmpfs[=[CONTAINER-DIR[: ]]] [-u|--کاربر[=USER]] [-- حد نصاب[=[]]]
[-- uts[=[]]] [-v|--جلد[=[[HOST-DIR:]CONTAINER-DIR[:OPTIONS]]]]
[- درایور حجم[=DRIVER]] [--جلد-از[=[]]] [-w|--workdir[=WORKDIR]] تصویر [فرمان]
[ARG...]

شرح

یک فرآیند را در یک ظرف جدید اجرا کنید. داکتر اجرا فرآیندی را با سیستم فایل خود شروع می کند،
شبکه خودش و درخت فرآیند جدا شده خودش. IMAGE که فرآیند را شروع می کند
ممکن است پیش فرض های مربوط به فرآیندی را که در کانتینر اجرا می شود، تعریف کند
شبکه برای افشای، و بیشتر، اما داکتر اجرا کنترل نهایی را به اپراتور می دهد یا
مدیری که ظرف را از تصویر شروع می کند. به آن دلیل داکتر اجرا بیشتر داشتن
گزینه هایی نسبت به هر دستور دیگر Docker.

اگر IMAGE قبلاً بارگذاری نشده باشد، پس داکتر اجرا IMAGE و تمام تصویر را می کشد
وابستگی ها، از مخزن به همان شیوه اجرا می شوند داکتر کشیدن تصویر، قبل از آن
ظرف را از آن تصویر شروع می کند.

OPTIONS

-a, -- ضمیمه کردن=[]
به STDIN، STDOUT یا STDERR وصل کنید.

در حالت پیش زمینه (پیش فرض زمانی که -d مشخص نشده است) داکتر اجرا می تواند شروع کند
در کانتینر پردازش کنید و کنسول را به ورودی، خروجی استاندارد فرآیند متصل کنید،
و خطای استاندارد حتی می تواند وانمود کند که یک TTY است (این همان چیزی است که بیشتر خط فرمان است
اجرائی ها انتظار دارند) و سیگنال ها را ارسال می کنند. در -a گزینه را می توان برای هر یک از stdin تنظیم کرد،
stdout و stderr.

--افزودن-میزبان=[]
اضافه کردن یک نگاشت میزبان به IP سفارشی (host:ip)

یک خط به /etc/hosts اضافه کنید. فرمت Hostname:ip است. در --افزودن-میزبان گزینه قابل تنظیم است
چندین بار.

--بلکیو وزن=0
وزن بلوک IO (وزن نسبی) مقدار وزنی بین 10 تا 1000 را می پذیرد.

---bkio-weight-دستگاه=[]
وزن IO را مسدود کنید (وزن نسبی دستگاه، قالب: DEVICE_NAME:WEIGHT).

--cpu-share=0
سهم CPU (وزن نسبی)

به طور پیش فرض، همه کانتینرها نسبت یکسانی از چرخه های CPU را دریافت می کنند. این نسبت می تواند باشد
با تغییر وزن سهم CPU کانتینر نسبت به وزن همه اصلاح شده است
سایر ظروف در حال اجرا

برای تغییر نسبت از پیش فرض 1024، از --cpu-share پرچم برای تنظیم
وزن به 2 یا بالاتر.

این نسبت فقط زمانی اعمال می شود که فرآیندهای فشرده CPU در حال اجرا باشند. هنگامی که وظایف در
یک ظرف بیکار است، سایر کانتینرها می توانند از زمان باقیمانده CPU استفاده کنند. مقدار واقعی
زمان CPU بسته به تعداد کانتینرهای در حال اجرا بر روی سیستم متفاوت خواهد بود.

به عنوان مثال، سه کانتینر را در نظر بگیرید، یکی دارای سهم cpu 1024 و دو کانتینر دیگر دارای یک
تنظیم اشتراک cpu 512. زمانی که فرآیندها در هر سه کانتینر سعی می کنند از 100٪ استفاده کنند.
CPU، اولین ظرف 50٪ از کل زمان CPU را دریافت می کند. اگر چهارمی اضافه کنید
ظرفی با سهم cpu 1024، اولین کانتینر تنها 33 درصد از CPU را دریافت می کند. در
کانتینرهای باقی مانده 16.5٪، 16.5٪ و 33٪ از CPU را دریافت می کنند.

در یک سیستم چند هسته ای، سهم زمان CPU بر روی تمام هسته های CPU توزیع می شود. حتی اگر
یک ظرف به کمتر از 100٪ زمان CPU محدود است، می تواند 100٪ از هر فرد استفاده کند.
هسته CPU

به عنوان مثال، سیستمی با بیش از سه هسته را در نظر بگیرید. اگر یک ظرف را شروع کنید {C0}
با -c=512 اجرای یک فرآیند و یک ظرف دیگر {C1} با -c=1024 دویدن
فرآیندها، این می تواند منجر به تقسیم ذیل از سهام CPU شود:

اشتراک CPU کانتینر PID
100 {C0} 0 100% CPU0
101 {C1} 1 100% CPU1
102 {C1} 2 100% CPU2

--cap-add=[]
قابلیت های لینوکس را اضافه کنید

--کلاه انداختن=[]
قابلیت های لینوکس را کنار بگذارید

--cgroup-parent""
مسیری به cgroup هایی که تحت آن cgroup برای کانتینر ایجاد می شود. اگر مسیر
مطلق نیست، مسیر نسبت به مسیر cgroup های init در نظر گرفته می شود
روند. اگر Cgroup ها وجود نداشته باشند ایجاد می شوند.

--cidfile""
شناسه کانتینر را در فایل بنویسید

--cpu-period=0
دوره CPU CFS (زمانبندی کاملا منصفانه) را محدود کنید

استفاده از CPU ظرف را محدود کنید. این پرچم به هسته می گوید که CPU کانتینر را محدود کند
استفاده به دوره ای که شما مشخص می کنید.

--cpuset-cpus""
CPUهایی که در آنها امکان اجرا وجود دارد (0-3، 0,1،XNUMX)

--cpuset-mems""
گره های حافظه (MEMs) که در آنها امکان اجرا وجود دارد (0-3، 0,1،XNUMX). فقط روی NUMA موثر است
سیستم.

اگر چهار گره حافظه در سیستم خود دارید (0-3)، استفاده کنید --cpuset-mems=0,1،XNUMX سپس پردازش می کند
در ظرف Docker شما فقط از حافظه دو گره حافظه اول استفاده می کند.

--cpu- سهمیه=0
سهمیه CPU CFS (Clotely Fair Scheduler) را محدود کنید

استفاده از CPU ظرف را محدود کنید. به طور پیش فرض، کانتینرها با منبع کامل CPU اجرا می شوند.
این پرچم به هسته می گوید که استفاده از CPU ظرف را به سهمیه ای که شما مشخص کرده اید محدود کند.

-d, -- جدا کردن=درست|غلط
حالت جدا: کانتینر را در پس‌زمینه اجرا کنید و شناسه کانتینر جدید را چاپ کنید. در
پیش فرض است غلط.

در هر زمانی می توانید بدوید داکتر ps در پوسته دیگر برای مشاهده لیستی از موارد در حال اجرا
ظروف می توانید دوباره به ظرف جدا شده وصل کنید داکتر ضمیمه کردن. اگر شما انتخاب کنید
یک ظرف را در حالت جدا شده اجرا کنید، سپس نمی توانید از آن استفاده کنید -رم گزینه.

هنگامی که در حالت tty وصل می‌شوید، می‌توانید از ظرف جدا شوید (و بگذارید در حال اجرا باشد)
با استفاده از یک دنباله کلید قابل تنظیم دنباله پیش فرض است CTRL-p CTRL-q. شما پیکربندی کنید
دنباله کلید با استفاده از - کلیدها را جدا کنید گزینه یا یک فایل پیکربندی دیدن
config-json(5) برای مستندات استفاده از یک فایل پیکربندی.

- کلیدها را جدا کنید""
دنباله کلیدی برای جدا کردن ظرف را نادیده بگیرید. قالب یک کاراکتر است [aZ]
or ctrl- جایی که یکی از: آز, @, ^, [, , or _.

--دستگاه=[]
یک دستگاه میزبان به ظرف اضافه کنید (به عنوان مثال --device=/dev/sdc:/dev/xvdc:rwm)

--device-read-bps=[]
محدود کردن سرعت خواندن از یک دستگاه (به عنوان مثال --device-read-bps=/dev/sda:1mb)

--device-read-iops=[]
محدود کردن سرعت خواندن از یک دستگاه (به عنوان مثال --device-read-iops=/dev/sda:1000)

--device-write-bps=[]
محدود کردن سرعت نوشتن در یک دستگاه (به عنوان مثال --device-write-bps=/dev/sda:1mb)

--device-write-iops=[]
محدودیت سرعت نوشتن دستگاه (به عنوان مثال --device-write-iops=/dev/sda:1000)

--dns-جستجو=[]
دامنه‌های جستجوی DNS سفارشی را تنظیم کنید (اگر نمی‌خواهید جستجو را تنظیم کنید، از --dns-search=. استفاده کنید.
دامنه)

--dns-opt=[]
گزینه های DNS سفارشی را تنظیم کنید

--dns=[]
سرورهای DNS سفارشی را تنظیم کنید

از این گزینه می توان برای نادیده گرفتن پیکربندی DNS ارسال شده به کانتینر استفاده کرد.
معمولاً زمانی که پیکربندی DNS میزبان برای کانتینر نامعتبر است، این امر ضروری است
(به عنوان مثال، 127.0.0.1). هنگامی که این مورد است --dns پرچم برای هر اجرا لازم است.

-e, -- env=[]
تنظیم متغیرهای محیطی

این گزینه به شما اجازه می دهد تا متغیرهای محیطی دلخواه را که برای آنها در دسترس هستند را مشخص کنید
فرآیندی که در داخل کانتینر راه اندازی می شود.

--نقطه ورود""
ENTRYPOINT پیش فرض تصویر را بازنویسی کنید

این گزینه به شما امکان می‌دهد نقطه ورودی پیش‌فرض تصویری که در آن تنظیم شده است را بازنویسی کنید
Dockerfile. ENTRYPOINT یک تصویر شبیه به یک فرمان است زیرا مشخص می کند که چه چیزی
قابل اجرا برای اجرا در هنگام شروع کانتینر، اما (عمدا) دشوارتر است
لغو کردن ENTRYPOINT به یک ظرف ماهیت یا رفتار پیش‌فرض آن را می‌دهد، به طوری که وقتی
شما یک ENTRYPOINT تنظیم می کنید، می توانید کانتینر را طوری اجرا کنید که انگار باینری است، کامل با
گزینه های پیش فرض، و شما می توانید گزینه های بیشتری را از طریق COMMAND ارسال کنید. اما، گاهی اوقات یک
ممکن است اپراتور بخواهد چیز دیگری را در داخل کانتینر اجرا کند، بنابراین شما می توانید آن را لغو کنید
ENTRYPOINT پیش فرض در زمان اجرا با استفاده از a --نقطه ورود و یک رشته برای مشخص کردن جدید
نقطه ورود.

--env-file=[]
در یک خط فایل محدود متغیرهای محیطی را بخوانید

--در معرض گذاشتن=[]
در معرض دید یک پورت یا محدوده ای از پورت ها (مثلا --expose=3300-3310) به Docker اطلاع می دهد که
ظرف در زمان اجرا به پورت های شبکه مشخص شده گوش می دهد. داکر از این اطلاعات استفاده می کند
برای اتصال کانتینرها با استفاده از پیوندها و راه اندازی تغییر مسیر پورت در سیستم میزبان.

--گروه-افزودن=[]
گروه های اضافی را برای اجرا اضافه کنید

-h, -- نام میزبان""
نام میزبان کانتینر

نام میزبان کانتینر را که در داخل کانتینر موجود است را تنظیم می کند.

--کمک
بیانیه استفاده چاپ

-i, --در ارتباط بودن=درست|غلط
STDIN را حتی اگر متصل نیست باز نگه دارید. پیش فرض است غلط.

وقتی روی true تنظیم شد، stdin را باز نگه دارید، حتی اگر ضمیمه نشده باشد. حالت پیش فرض غلط است.

-IP""
آدرس IPv4 رابط کانتینر را تنظیم می کند (به عنوان مثال 172.23.0.9)

فقط می توان از آن در ارتباط استفاده کرد --خالص برای شبکه های تعریف شده توسط کاربر

--ip6""
آدرس IPv6 رابط کانتینر را تنظیم می کند (به عنوان مثال 2001:db8::1b99)

فقط می توان از آن در ارتباط استفاده کرد --خالص برای شبکه های تعریف شده توسط کاربر

--ipc""
پیش فرض ایجاد یک فضای نام IPC خصوصی (POSIX SysV IPC) برای کانتینر است
ظرف: ': از کانتینر دیگر به اشتراک گذاشته شده مجدد استفاده می کند
حافظه، سمافورها و صف های پیام
"میزبان": از حافظه مشترک میزبان، سمافورها و پیام استفاده کنید
صف های داخل کانتینر توجه: حالت میزبان به کانتینر دسترسی کامل به محلی می دهد
حافظه مشترک دارد و بنابراین ناامن تلقی می شود.

-- انزوا="به طور پیش فرض"
Isolation نوع فناوری جداسازی مورد استفاده توسط کانتینرها را مشخص می کند.

-l, --برچسب=[]
متادیتا را روی ظرف تنظیم کنید (مثلاً --label com.example.key=value)

-- هسته حافظه""
محدودیت حافظه هسته (فرمت: [ ]، که در آن واحد = b، k، m یا g)

حافظه هسته در دسترس یک کانتینر را محدود می کند. اگر محدودیت 0 مشخص شده باشد (نه
با استفاده از -- هسته حافظه)، حافظه هسته کانتینر محدود نیست. اگر الف را مشخص کنید
ممکن است به چند برابر اندازه صفحه سیستم عامل و مقدار آن گرد شود
ارزش می تواند بسیار بزرگ باشد، میلیون ها تریلیون.

--label-file=[]
در یک فایل خط جدا شده از برچسب ها بخوانید

--ارتباط دادن=[]
پیوند را به یک ظرف دیگر در قالب اضافه کنید : مستعار یا فقط که در
در این صورت نام مستعار با نام مطابقت دارد

اگر اپراتور استفاده کند --ارتباط دادن هنگام راه اندازی کانتینر مشتری جدید، سپس مشتری
کانتینر می تواند از طریق یک رابط شبکه خصوصی به پورت در معرض دید دسترسی پیدا کند. داکر تنظیم خواهد شد
برخی از متغیرهای محیطی در کانتینر مشتری برای کمک به نشان دادن کدام رابط و
پورت برای استفاده

---log-driver="فایل json|syslog|ژورنالی|gelf|روان|awslogs|چرخیده|هیچ"
درایور ورود به سیستم برای کانتینر. پیش فرض توسط دیمون تعریف می شود ---log-driver پرچم.
هشداراز: داکتر سیاهههای مربوط دستور فقط برای فایل json و
ژورنالی درایورهای ورود به سیستم

--log-opt=[]
ورود به سیستم گزینه های خاص درایور

-m, -- حافظه""
محدودیت حافظه (فرمت: [ ]، که در آن واحد = b، k، m یا g)

به شما امکان می دهد حافظه موجود را در یک ظرف محدود کنید. اگر هاست از swap پشتیبانی کند
حافظه، سپس -m تنظیم حافظه می تواند بزرگتر از RAM فیزیکی باشد. اگر حد 0 باشد
مشخص شده (عدم استفاده -m)، حافظه ظرف محدود نیست. حد واقعی ممکن است باشد
گرد شده تا مضربی از اندازه صفحه سیستم عامل (مقدار بسیار زیاد است
بزرگ، این میلیون ها تریلیون است).

--حافظه-رزرو""
محدودیت نرم افزاری حافظه (فرمت: [ ]، که در آن واحد = b، k، m یا g)

پس از تنظیم رزرو حافظه، هنگامی که سیستم اختلاف حافظه یا حافظه کم را تشخیص داد،
کانتینرها مجبورند مصرف خود را به رزرو خود محدود کنند. بنابرین تو باید
همیشه مقدار زیر را تنظیم کنید -- حافظه، در غیر این صورت حد سخت مقدم است. توسط
به طور پیش فرض، ذخیره حافظه مانند محدودیت حافظه خواهد بود.

- تعویض حافظه"LIMIT"
مقدار حدی برابر با حافظه به علاوه تعویض. باید با استفاده شود -m (-- حافظه) پرچم. در
مبادله محدود همیشه باید بزرگتر از -m (-- حافظه) ارزش.

قالب محدود is [ ]. واحد می تواند باشد b (بایت) k (کیلو بایت) m
(مگابایت)، یا g (گیگابایت). اگر واحدی را مشخص نکنید، b استفاده می شود. LIMIT را روی -1 به
تعویض نامحدود را فعال کنید

---مک آدرس""
آدرس MAC کانتینر (به عنوان مثال 92:d0:c6:0a:29:33)

به یاد داشته باشید که آدرس MAC در یک شبکه اترنت باید منحصر به فرد باشد. پیوند محلی IPv6
آدرس بر اساس آدرس MAC دستگاه مطابق با RFC4862 خواهد بود.

--نام""
یک نام به ظرف اختصاص دهید

اپراتور می تواند ظرف را به سه روش شناسایی کند:
شناسه طولانی UUID
(“f78375b1c487e03c9438c729345e54db9d20cfa2ac1fc3494b6eb60872e74778”)
شناسه کوتاه UUID ("f78375b1c487")
نام ("جونا")

شناسه‌های UUID از Daemon Docker می‌آیند و اگر نامی به
ظرف با --نام سپس دیمون یک نام رشته تصادفی ایجاد می کند. نام است
هنگام تعریف پیوندها مفید است (نگاه کنید به --ارتباط دادن) (یا هر مکان دیگری که باید a
ظرف). این هم برای کانتینرهای Docker پس زمینه و پیش زمینه کار می کند.

--خالص="پل"
حالت شبکه را برای کانتینر تنظیم کنید
'bridge': یک پشته شبکه در Docker پیش فرض ایجاد کنید
پل
"هیچ": بدون شبکه
ظرف: ': استفاده مجدد از شبکه کانتینری دیگر
پشته
"میزبان": از پشته شبکه میزبان Docker استفاده کنید. توجه: میزبان
حالت به کانتینر دسترسی کامل به خدمات سیستم محلی مانند D-bus می دهد و می باشد
بنابراین ناامن در نظر گرفته می شود.
' | ': اتصال به یک کاربر تعریف شده
شبکه

--net-نام مستعار=[]
نام مستعار محدوده شبکه را برای ظرف اضافه کنید

--oom-kill-disable=درست|غلط
اینکه آیا OOM Killer برای کانتینر غیرفعال شود یا خیر.

--oom-score-adj""
تنظیمات برگزیده OOM میزبان را برای کانتینرها تنظیم کنید (1000- تا 1000 را می پذیرد)

-P, --انتشار-همه=درست|غلط
همه پورت‌های در معرض را در پورت‌های تصادفی در رابط‌های میزبان منتشر کنید. پیش فرض است غلط.

وقتی روی true تنظیم شود، همه پورت های در معرض دید رابط های میزبان را منتشر کنید. حالت پیش فرض غلط است.
اگر اپراتور از -P (یا -p) استفاده کند، Docker پورت در معرض دید را در دسترس قرار می دهد
هاست و پورت ها برای هر مشتری که بتواند به هاست دسترسی پیدا کند در دسترس خواهد بود. هنگام استفاده از -P،
Docker هر پورت در معرض دید را به یک پورت تصادفی در میزبان در یک متصل می کند زود گذر بندر
محدوده تعریف شده توسط /proc/sys/net/ipv4/ip_local_port_range. برای پیدا کردن نقشه بین
پورت های میزبان و پورت های در معرض، استفاده کنید داکتر بندر.

-p, --انتشار=[]
پورت کانتینر یا محدوده پورت ها را برای میزبان منتشر کنید.

فرمت: ip:hostPort:containerPort | ip::containerPort | hostPort:containerPort |
کانتینر هر دو hostPort و containerPort را می توان به عنوان یک محدوده از پورت ها مشخص کرد. چه زمانی
با تعیین محدوده برای هر دو، تعداد پورت های کانتینر در محدوده باید با آن مطابقت داشته باشد
تعداد پورت های میزبان در محدوده (به عنوان مثال، داکتر اجرا -p 1234-1236: 1222-1224 --نام
این کارها -t busybox اما نه داکتر اجرا -p 1230-1236: 1230-1240 --نام
RangeContainerPortsبزرگتر ازRangeHostPorts -t busybox) با آی پی: داکتر اجرا -p
127.0.0.1:$HOSTPORT:$CONTAINERPORT --نام مخزن -t تصویری استفاده کنید داکتر بندر برای دیدن
نقشه برداری واقعی: داکتر بندر مخزن $CONTAINERPORT

-پید=میزبان
حالت PID را برای ظرف تنظیم کنید
میزبان: از فضای نام PID میزبان در داخل کانتینر استفاده کنید.
توجه: حالت میزبان به کانتینر دسترسی کامل به PID محلی می دهد و بنابراین
ناامن محسوب می شود.

-- uts=میزبان
حالت UTS را برای ظرف تنظیم کنید
میزبان: از فضای نام UTS میزبان در داخل کانتینر استفاده کنید.
توجه: حالت میزبان به کانتینر دسترسی به تغییر نام میزبان میزبان می دهد و می باشد
بنابراین ناامن در نظر گرفته می شود.

-- ممتاز=درست|غلط
به این کانتینر امتیازات گسترده بدهید. پیش فرض است غلط.

به‌طور پیش‌فرض، کانتینرهای Docker «بدون امتیاز» (=نادرست) هستند و نمی‌توانند، برای مثال، یک
داکر دیمون داخل کانتینر داکر. این به این دلیل است که به طور پیش فرض یک کانتینر وجود ندارد
اجازه دسترسی به هر دستگاه یک کانتینر «ممتاز» به همه دستگاه‌ها دسترسی دارد.

هنگامی که اپراتور اجرا می کند داکتر اجرا -- ممتاز، Docker دسترسی به همه را فعال می کند
دستگاه‌های روی میزبان و همچنین تنظیماتی را در AppArmor تنظیم کنید تا به ظرف اجازه دهد
تقریباً همه دسترسی به هاست مانند فرآیندهای در حال اجرا در خارج از یک کانتینر روی
میزبان

--فقط خواندنی=درست|غلط
سیستم فایل ریشه کانتینر را به صورت فقط خواندنی سوار کنید.

به‌طور پیش‌فرض، یک کانتینر دارای سیستم فایل ریشه‌ای قابل نوشتن است که به فرآیندها امکان نوشتن را می‌دهد
فایل ها در هر جایی با مشخص کردن --فقط خواندنی پرچم کانتینر ریشه خود را خواهد داشت
سیستم فایل به صورت فقط خواندنی نصب شده و هرگونه نوشتن را ممنوع می کند.

-- راه اندازی مجدد="نه"
خط مشی را مجدداً راه اندازی کنید تا هنگام خروج کانتینر اعمال شود (نه، در صورت شکست[:max-retry]، همیشه،
مگر اینکه متوقف شود).

--rm=درست|غلط
پس از خروج ظرف، به طور خودکار آن را بردارید (ناسازگار با -d). پیش فرض است
غلط.

-- امنیتی-انتخاب=[]
گزینه های امنیتی

"label:user:USER" : کاربر برچسب را برای ظرف تنظیم کنید
"label:role:ROLE" : نقش برچسب را برای ظرف تنظیم کنید
"label:type:TYPE" : نوع برچسب را برای ظرف تنظیم کنید
"label:level:LEVEL" : سطح برچسب را برای ظرف تنظیم کنید
"label:disable" : محصور کردن برچسب را برای ظرف خاموش کنید

- سیگنال توقف=مدت هدف
سیگنال توقف یک کانتینر پیش فرض SIGTERM است.

--shm-اندازه""
اندازه /dev/shm. فرمت است .
عدد باید بزرگتر باشد 0. واحد اختیاری است و می تواند باشد b (بایت) k (کیلو بایت)
m(مگابایت)، یا g (گیگابایت).
اگر واحد را حذف کنید، سیستم از بایت استفاده می کند. اگر اندازه را به طور کامل حذف کنید، سیستم
استفاده 64m.

--sig-proxy=درست|غلط
پروکسی سیگنال هایی را به فرآیند دریافت کرد (فقط حالت غیر TTY). SIGCHLD، SIGSTOP، و
SIGKILL پروکسی نیستند. پیش فرض است درست.

- تعویض حافظه""
رفتار تعویض حافظه ظرف را تنظیم کنید. عدد صحیح بین 0 تا 100 را می پذیرد.

-t, --tty=درست|غلط
یک شبه TTY اختصاص دهید. پیش فرض است غلط.

هنگامی که روی true تنظیم شود، Docker می تواند یک شبه tty را اختصاص دهد و به ورودی استاندارد هر کدام متصل شود
ظرف این را می توان به عنوان مثال برای اجرای یک پوسته تعاملی دور ریختنی استفاده کرد. در
پیش فرض نادرست است.

La -t گزینه با تغییر مسیر ورودی استاندارد مشتری docker ناسازگار است.

--tmpfs=[] یک mount tmpfs ایجاد کنید

نصب یک فایل سیستم موقت (tmpfs) در یک ظرف سوار کنید، به عنوان مثال:

$ docker اجرا -d --tmpfs دایرکتوری / tmp:rw,size=787448k,mode=1777 my_image

این دستور a را سوار می کند tmpfs at دایرکتوری / tmp داخل ظرف گزینه های نصب پشتیبانی شده هستند
همان پیش فرض لینوکس است استقرار (mount) پرچم ها اگر هیچ گزینه ای را مشخص نکنید، سیستم ها
از گزینه های زیر استفاده می کند: rw,noexec,nosuid,nodev,size=65536k.

-u, --کاربر""
نام کاربری یا UID مورد استفاده و به صورت اختیاری نام گروه یا GID را برای موارد مشخص شده تنظیم می کند
فرمان

نمونه های زیر همگی معتبر هستند:
--user [کاربر | کاربر:گروه | uid | uid:gid | user:gid | uid:group ]

بدون این آرگومان دستور به صورت root در کانتینر اجرا می شود.

-- حد نصاب=[]
گزینه های Ulimit

-v|--جلد[=[[HOST-DIR:]CONTAINER-DIR[:OPTIONS]]]
یک پایه اتصال ایجاد کنید. اگر مشخص کنید، -v /HOST-DIR:/CONTAINER-DIR، داکر
پایه های اتصال /HOST-DIR در میزبان به /CONTAINER-DIR در داکر
ظرف اگر "HOST-DIR" حذف شود، Docker به طور خودکار جدید را ایجاد می کند
حجم روی میزبان در OPTIONS یک لیست محدود شده با کاما هستند و می توانند:

· [rw|ro]

· [z|Z]

· [[r] به اشتراک گذاشته شد|[r] برده|[r] خصوصی]

La کانتینر-مدیر باید یک مسیر مطلق مانند /src/docs. میزبان-مدیر می تواند باشد
مسیر مطلق یا الف نام ارزش. آ نام مقدار باید با یک کاراکتر الفبایی شروع شود،
و پس از آن a-z0-9, _ (تاکید) . (دوره) یا - (خط ربط). یک مسیر مطلق با شروع می شود
a / (اسلش به جلو).

اگر شما یک میزبان-مدیر که یک مسیر مطلق است، داکر به مسیری که شما متصل می شود متصل می شود
مشخص كردن. اگر شما یک نام، داکر یک حجم نامگذاری شده توسط آن ایجاد می کند نام. مثلا،
می توانید یکی را مشخص کنید /فو or فو برای میزبان-مدیر ارزش. اگر شما عرضه کنید /فو مقدار،
Docker یک bind-mount ایجاد می کند. اگر شما عرضه کنید فو مشخصات، داکر یک نام ایجاد می کند
جلد.

می توانید چندگانه را مشخص کنید -v گزینه هایی برای نصب یک یا چند پایه به یک ظرف. برای استفاده
همین مانت ها را در ظروف دیگر مشخص کنید --جلد-از گزینه نیز

شما می توانید اضافه کنید :ro or :rw پسوند یک حجم برای نصب آن در حالت فقط خواندنی یا خواندنی-نوشتنی،
به ترتیب. به‌طور پیش‌فرض، حجم‌ها برای خواندن و نوشتن نصب می‌شوند. نمونه ها را ببینید.

سیستم‌های برچسب‌گذاری مانند SELinux مستلزم این هستند که برچسب‌های مناسب روی محتوای حجمی گذاشته شوند
در یک ظرف نصب شده است. بدون برچسب، سیستم امنیتی ممکن است از فرآیندها جلوگیری کند
در حال اجرا در داخل ظرف از استفاده از محتوا. به طور پیش فرض، Docker تغییر نمی کند
برچسب های تنظیم شده توسط سیستم عامل

برای تغییر یک برچسب در زمینه ظرف، می توانید یکی از دو پسوند را اضافه کنید :z or :Z به
پایه تنظیم صدا این پسوندها به Docker می‌گویند که اشیاء فایل را روی اشتراک‌گذاری مجدد برچسب‌گذاری کند
جلدها در z گزینه به Docker می گوید که دو کانتینر محتوای حجم را به اشتراک می گذارند. به عنوان یک
در نتیجه، داکر محتوا را با یک برچسب محتوای مشترک برچسب گذاری می کند. برچسب‌های حجم مشترک اجازه می‌دهند
همه ظروف برای خواندن/نوشتن محتوا. در Z گزینه به Docker می گوید که محتوا را با برچسب برچسب گذاری کند
یک برچسب خصوصی به اشتراک گذاشته نشده فقط ظرف فعلی می تواند از یک حجم خصوصی استفاده کند.

به‌طور پیش‌فرض حجم‌های نصب‌شده bind هستند خصوصی. این بدان معناست که هرگونه نصب در داخل ظرف انجام شده است
روی هاست قابل مشاهده نخواهد بود و بالعکس. می توان این رفتار را با مشخص کردن a تغییر داد
خاصیت انتشار مونت حجمی ساخت حجم به اشتراک گذاشته شده مانت های زیر آن حجم انجام شده است
داخل ظرف روی هاست و بالعکس قابل مشاهده خواهد بود. ساخت حجم برده را قادر می سازد
انتشار mount تنها یک طرفه است و آن مانت هایی است که در هاست تحت آن حجم انجام می شود
در داخل ظرف قابل مشاهده است اما نه برعکس.

برای کنترل ویژگی انتشار mount حجم می توان از آن استفاده کرد :[r] به اشتراک گذاشته شد, :[r] برده or
:[r]خصوصی پرچم انتشار ویژگی انتشار فقط برای bind mount شده قابل تعیین است
جلدها و نه برای مجلدهای داخلی یا مجلدهای نامگذاری شده. برای اینکه تکثیر مونت کار کند
نقطه اتصال منبع (نقطه سوار شدن جایی که منبع dir روی آن نصب شده است) باید درست باشد
خواص انتشار برای حجم های مشترک، نقطه اتصال منبع باید به اشتراک گذاشته شود. و برای
حجم های برده، مانت منبع باید یا به اشتراک گذاشته شود یا برده.

استفاده کنید df برای کشف منبع نصب و سپس استفاده از پیدا کردن -o
هدف، انتشار برای کشف خواص انتشار منبع
کوه. اگر پیدا کردن ابزار در دسترس نیست، سپس می توان به ورودی mount برای منبع نگاه کرد
نقطه سوار شدن در /proc/self/mountinfo. نگاه کن اختیاری زمینه و ببینید آیا تبلیغی وجود دارد یا خیر
خواص مشخص شده است. به اشتراک گذاشته شده: X به معنی کوه است به اشتراک گذاشته شده, استاد:X به معنی کوه است برده
و اگر چیزی وجود نداشته باشد به این معنی است که کوه وجود دارد خصوصی.

برای تغییر ویژگی های انتشار یک نقطه کوه استفاده کنید استقرار (mount) فرمان به عنوان مثال، اگر یکی
می خواهد دایرکتوری منبع mount را متصل کند /فو یکی می تواند انجام دهد استقرار (mount) --بستن /فو /فو و استقرار (mount)
--شخصی سازی -- به اشتراک گذاشته شود /فو. این /foo را به a تبدیل می کند به اشتراک گذاشته شده نقطه سوار شدن
از طرف دیگر می‌توان مستقیماً ویژگی‌های انتشار پایه منبع را تغییر داد. گفتن / is
نصب منبع برای /فو، سپس استفاده کنید استقرار (mount) -- به اشتراک گذاشته شود / برای تبدیل / به به اشتراک گذاشته شده کوه.

توجه داشته باشید: هنگام استفاده از systemd برای مدیریت شروع و توقف داکر دیمون، در
فایل unit systemd گزینه ای برای کنترل انتشار mount برای Docker وجود دارد
خود دیمون نامیده می شود Mount Flags. مقدار این تنظیم ممکن است باعث شود Docker این کار را انجام ندهد
تغییرات انتشار mount را در نقطه نصب مشاهده کنید. به عنوان مثال، اگر این مقدار
is برده، ممکن است نتوانید از آن استفاده کنید به اشتراک گذاشته شده or را به اشتراک گذاشت انتشار بر روی یک حجم

- درایور حجم""
درایور حجم کانتینر. این درایور حجم های مشخص شده را ایجاد می کند
یک Dockerfile VOLUME دستورالعمل یا از داکتر اجرا -v پرچم.
دیدن docker-volume-create(1) برای جزئیات کامل.

--جلد-از=[]
نصب حجم ها از ظرف(های) مشخص شده

حجم‌های قبلاً نصب‌شده را از یک محفظه منبع روی ظرف دیگری سوار می‌کند
ظرف باید شناسه کانتینر منبع را تهیه کنید. برای به اشتراک گذاشتن
یک حجم، استفاده کنید --جلد-از گزینه هنگام اجرا
ظرف مورد نظر شما می توانید حجم ها را به اشتراک بگذارید حتی اگر ظرف منبع باشد
در حال اجرا نیست.

به‌طور پیش‌فرض، Docker ولوم‌ها را در حالت مشابه (خواندن-نوشتن یا
فقط خواندنی) همانطور که در محفظه منبع نصب شده است. اختیاری، شما
می توانید این مورد را با پسوند container-id با یکی از اینها تغییر دهید :ro or
:rw کلمه کلیدی.

اگر محل حجم از ظرف منبع با
داده های موجود در یک ظرف مورد نظر، سپس حجم پنهان می شود
که داده ها روی هدف

-w, --workdir""
دایرکتوری کار در داخل کانتینر

دایرکتوری کاری پیش فرض برای اجرای باینری ها در یک کانتینر، root است
فهرست راهنما (/). توسعه‌دهنده می‌تواند پیش‌فرض دیگری را با Dockerfile WORKDIR تنظیم کند
دستورالعمل اپراتور می تواند دایرکتوری کاری را با استفاده از -w گزینه.

خروج وضعیت

کد خروج از داکتر اجرا اطلاعاتی در مورد اینکه چرا کانتینر اجرا نشد یا می دهد
چرا خارج شد چه زمانی داکتر اجرا با یک کد غیر صفر خارج می شود، کدهای خروج از آن پیروی می کنند
خرد استاندارد، زیر را ببینید:

125 if la خطا is با کارگر بارانداز روح پلید خود

$ docker run --foo busybox; اکو $؟
# پرچم ارائه شده اما تعریف نشده است: --foo
به "Docker run -- help" مراجعه کنید.
125

126 if la موجود فرمان نمی توان be استناد کرد

$ docker busybox را اجرا کنید /و غیره; اکو $؟
# exec: "/و غیره«: اجازه رد شد
docker: پاسخ خطا از دیمون: فرمان حاوی نمی تواند فراخوانی شود
126

127 if la موجود فرمان نمی توان be یافت

$ docker run busybox foo; اکو $؟
# exec: "foo": فایل اجرایی در $PATH یافت نشد
docker: پاسخ خطا از دیمون: فرمان حاوی یافت نشد یا وجود ندارد
127

خروج رمز of موجود فرمان در غیر این صورت

$ docker busybox را اجرا کنید / بن / شل -c 'خروج 3'
# 3

مثال ها

محل دویدن و پیاده روی ظرف in فقط خواندنی حالت

در طول توسعه تصویر کانتینر، کانتینرها اغلب باید روی محتوای تصویر بنویسند.
نصب بسته ها در / usr، مثلا. در تولید، برنامه ها به ندرت نیاز دارند
روی تصویر بنویسید برنامه های کانتینری در صورت نیاز به نوشتن در فایل، روی حجم ها می نویسند
اصلا سیستم ها با اجرای برنامه ها در حالت فقط خواندنی می توان امنیت بیشتری ایجاد کرد
با استفاده از سوئیچ ---فقط خواندنی. این از تصویر کانتینرها در برابر تغییر محافظت می کند. خواندن
فقط کانتینرها ممکن است هنوز نیاز به نوشتن داده های موقت داشته باشند. بهترین راه برای رسیدگی به این است
دایرکتوری های tmpfs را سوار کنید / اجرا کن و /tmp.

# docker اجرا --tmpfs فقط خواندنی / اجرا کن --tmpfs دایرکتوری / tmp -i -t فدورا / bin / bash

افشای ورود به سیستم پیام از جانب la ظرف به la میزبان ورود به سیستم

اگر می خواهید پیام هایی که در کانتینر شما وارد شده اند در میزبان نمایش داده شوند
syslog/journal سپس باید دایرکتوری /dev/log را به صورت زیر متصل کنید.

# docker -v /dev/log:/dev/log -i -t فدورا را اجرا کنید / bin / bash

از داخل کانتینر می توانید با ارسال یک پیام به گزارش این مورد را تست کنید.

(bash)# logger "سلام از ظرف من"

سپس خارج شوید و ژورنال را بررسی کنید.

# خروج

# journalctl -b | grep سلام

این باید پیام ارسال شده به لاگر را فهرست کند.

پیوست کردن به یک or بیش از جانب STDIN، STDOUT، STDERR

اگر -a را مشخص نکنید، Docker همه چیزهایی (stdin,stdout,stderr) را که می خواهید پیوست می کند.
دوست دارم به جای آن وصل شوم، مانند:

# docker run -a stdin -a stdout -i -t فدورا / bin / bash

اشتراک IPC میان ظروف

با استفاده از shm_server.c موجود در اینجا: ⟨https://www.cs.cf.ac.uk/Dave/C/node27.html⟩

تست --ipc=میزبان حالت:

میزبان یک بخش حافظه مشترک با 7 پید متصل را نشان می دهد که اتفاقاً از httpd است:

$ sudo ipcs -m

------ بخش های حافظه مشترک --------
مالک کلید shmid وضعیت nattch را بایت می دهد
0x01128e25 0 ریشه 600 1000 7

اکنون یک کانتینر معمولی را اجرا کنید، و بخش حافظه مشترک را به درستی نمی بیند
میزبان:

$ docker run -it shm ipcs -m

------ بخش های حافظه مشترک --------
مالک کلید shmid وضعیت nattch را بایت می دهد

یک ظرف با جدید اجرا کنید --ipc=میزبان گزینه، و اکنون بخش حافظه مشترک را می بیند
از میزبان httpd:

$ docker run -it --ipc=host shm ipcs -m

------ بخش های حافظه مشترک --------
مالک کلید shmid وضعیت nattch را بایت می دهد
0x01128e25 0 ریشه 600 1000 7

تست --ipc=container:CONTAINERID حالت:

یک ظرف را با یک برنامه برای ایجاد یک بخش حافظه مشترک شروع کنید:

$ docker run -it shm bash
$ sudo shm/shm_server
$ sudo ipcs -m

------ بخش های حافظه مشترک --------
مالک کلید shmid وضعیت nattch را بایت می دهد
0x0000162e 0 ریشه 666 27 1

ایجاد کانتینر دوم به درستی هیچ بخش حافظه مشترکی را از ظرف اول نشان نمی دهد:

$ docker اجرا shm ipcs -m

------ بخش های حافظه مشترک --------
مالک کلید shmid وضعیت nattch را بایت می دهد

با استفاده از گزینه جدید --ipc=container:CONTAINERID یک کانتینر سوم ایجاد کنید، اکنون نشان می دهد
بخش حافظه مشترک از اول:

$ docker run -it --ipc=container:ed735b2264ac shm ipcs -m
$ sudo ipcs -m

------ بخش های حافظه مشترک --------
مالک کلید shmid وضعیت nattch را بایت می دهد
0x0000162e 0 ریشه 666 27 1

لینک ظروف

توجه داشته باشید: این بخش پیوند بین کانتینرها را در حالت پیش فرض (پل) توضیح می دهد.
شبکه، همچنین به عنوان "پیوندهای میراث" شناخته می شود. استفاده كردن --ارتباط دادن در استفاده از شبکه های تعریف شده توسط کاربر
کشف مبتنی بر DNS، که ورودی‌هایی را به آن اضافه نمی‌کند / غیره / میزبان، و تنظیم نمی شود
متغیرهای محیطی برای کشف

ویژگی پیوند به چندین کانتینر اجازه می دهد تا با یکدیگر ارتباط برقرار کنند. به عنوان مثال، یک
کانتینری که Dockerfile آن پورت 80 را در معرض دید قرار داده است را می توان به صورت زیر اجرا کرد و نامگذاری کرد:

# docker run --name=link-test -d -i -t fedora/httpd

یک کانتینر دوم که در این مورد لینکر نامیده می شود، می تواند با کانتینر httpd ارتباط برقرار کند.
به نام link-test، با اجرا کردن با --لینک= :

# docker run -t -i --link=link-test:lt --name=linker fedora / bin / bash

اکنون پیوند دهنده کانتینر با نام مستعار lt به آزمایش پیوند کانتینر پیوند داده شده است. در حال اجرا
env دستور در کانتینر لینکر متغیرهای محیط را نشان می دهد
با زمینه LT (نام مستعار)آن_)

# env
HOSTNAME=668231cb0978
TERM=xterm
LT_PORT_80_TCP=tcp://172.17.0.3:80
LT_PORT_80_TCP_PORT=80
LT_PORT_80_TCP_PROTO=tcp
LT_PORT=tcp://172.17.0.3:80
PATH=/ usr / local / sbin:/ usr / local / bin:/ usr / sbin:/ usr / bin:/ sbin:/ صندوقچه
PWD=/
LT_NAME=/linker/lt
SHLVL=1
HOME=/
LT_PORT_80_TCP_ADDR=172.17.0.3
_=/usr/bin/env

هنگام اتصال دو کانتینر، داکر از پورت های در معرض کانتینر برای ایجاد یک استفاده می کند
تونل امن برای دسترسی والدین

اگر یک کانتینر به شبکه پل پیش فرض متصل باشد و مرتبط با دیگران
ظروف، سپس ظرف / غیره / میزبان فایل با کانتینر مرتبط به روز می شود
نام.

توجه داشته باشید از آنجایی که Docker ممکن است به صورت زنده کانتینر را به روز کند / غیره / میزبان فایل، ممکن است وجود داشته باشد
شرایطی که فرآیندهای داخل ظرف می توانند به خواندن یک یا خالی ختم شوند
ناقص است / غیره / میزبان فایل. در بیشتر موارد، خواندن مجدد باید مشکل را برطرف کند
مشکل.

نقشه برداری بنادر برای خارجی استفاده

پورت در معرض یک برنامه کاربردی را می توان با استفاده از درگاه میزبان نگاشت کرد -p پرچم. برای
به عنوان مثال، یک پورت httpd 80 را می توان با استفاده از موارد زیر به پورت میزبان 8080 نگاشت:

# docker run -p 8080:80 -d -i -t fedora/httpd

ایجاد و پایه a داده ها حجم ظرف

بسیاری از برنامه ها به اشتراک گذاری داده های پایدار در چندین کانتینر نیاز دارند. داکر
به شما امکان می دهد یک محفظه حجم داده ایجاد کنید که سایر کانتینرها بتوانند از آن سوار شوند. برای
به عنوان مثال، یک کانتینر با نام ایجاد کنید که حاوی دایرکتوری های /var/volume1 و /tmp/volume2 باشد.
تصویر باید حاوی این دایرکتوری ها باشد، بنابراین چند دستورالعمل mkdir را اجرا کنید
ممکن است برای شما تصویر فدورا داده لازم باشد:

# docker run --name=data -v /var/volume1 -v /tmp/volume2 -i -t fedora-data true
# docker run --volumes-from=data --name=fedora-container1 -i -t fedora bash

پارامترهای چندگانه --volumes-f از چندین حجم داده را با هم جمع می کند
ظروف و این امکان وجود دارد که حجم‌هایی را که از کانتینر DATA آمده‌اند نصب کنید
یک ظرف دیگر از طریق محفظه واسطه فدورا-کانتینر1 که اجازه می دهد
انتزاع منبع داده واقعی از کاربران آن داده:

# docker run --volumes-from=fedora-container1 --name=fedora-container2 -i -t fedora bash

پایه خارجی جلد

برای سوار کردن یک فهرست میزبان به عنوان یک حجم ظرف، مسیر مطلق را مشخص کنید
دایرکتوری و مسیر مطلق دایرکتوری کانتینر که با دو نقطه جدا شده است:

# docker run -v /var/db:/data1 -i -t fedora bash

هنگام استفاده از SELinux، توجه داشته باشید که میزبان هیچ اطلاعی از خط مشی SELinux کانتینر ندارد.
بنابراین، در مثال بالا، اگر سیاست SELinux اجرا شود، /var/db دایرکتوری است
قابل نوشتن در ظرف نیست. یک پیام "مجوز رد شد" ظاهر می شود و یک avc:
پیام در syslog میزبان.

برای حل این مشکل، در زمان نوشتن این صفحه man، دستور زیر باید باشد
اجرا کنید تا برچسب نوع سیاست SELinux مناسب به هاست متصل شود
دایرکتوری:

# chcon -Rt svirt_sandbox_file_t /var/db

اکنون نوشتن در حجم /data1 در ظرف مجاز خواهد بود و تغییرات انجام می شود
همچنین بر روی میزبان در /var/db منعکس شود.

با استفاده از جایگزین تیم امنیت لاتاری برچسب

شما می توانید طرح برچسب گذاری پیش فرض را برای هر ظرف با مشخص کردن آن لغو کنید
-- امنیتی-انتخاب پرچم. به عنوان مثال، شما می توانید سطح MCS/MLS را که یک مورد نیاز برای MLS است، مشخص کنید
سیستم های. تعیین سطح در دستور زیر به شما امکان می دهد تا همان سطح را به اشتراک بگذارید
محتوای بین ظروف

# docker run --security-opt label:level:s0:c100,c200 -i -t fedora bash

یک مثال MLS ممکن است این باشد:

# docker run --security-opt label:level:TopSecret -i -t rhel7 bash

برای غیرفعال کردن برچسب امنیتی برای این کانتینر در مقابل اجرای با -- مجاز
flag، از دستور زیر استفاده کنید:

# docker run --security-opt label:disable -i -t fedora bash

اگر می‌خواهید یک سیاست امنیتی سخت‌گیرانه‌تر در مورد فرآیندهای درون یک کانتینر داشته باشید، می‌توانید آن را مشخص کنید
یک نوع جایگزین برای ظرف. می توانید ظرفی را اجرا کنید که فقط مجاز است
با اجرای دستور زیر به پورت های آپاچی گوش دهید:

# docker run --security-opt label:type:svirt_apache_t -i -t centos bash

توجه داشته باشید:

شما باید خط مشی را برای تعریف a بنویسید svirt_apache_t تایپ کنید

محیط دستگاه وزن

اگر می خواهید تنظیم کنید / dev / sda و وزن دستگاه به 200، می توانید وزن دستگاه را بر اساس تعیین کنید
---bkio-weight-دستگاه پرچم. از دستور زیر استفاده کنید:

# docker run -it --blkio-weight-device "/dev/sda:200" ubuntu

مشخص کردن انزوا تکنولوژی ها برای ظرف (--ایزوله)

این گزینه در شرایطی که در حال اجرای کانتینرهای Docker در مایکروسافت هستید مفید است
پنجره ها. در -- انزوا گزینه فناوری جداسازی یک ظرف را تنظیم می کند. در لینوکس،
تنها پشتیبانی شده است به طور پیش فرض گزینه ای که از فضاهای نام لینوکس استفاده می کند. این دو دستور
در لینوکس معادل هستند:

$ docker run -d busybox top
$ docker run -d --isolation بالای busybox پیش فرض

در مایکروسافت ویندوز، می توانید هر یک از این مقادیر را بگیرید:

· به طور پیش فرض: از مقدار مشخص شده توسط Daemon Docker استفاده کنید --exec-opt . اگر روح پلید میکند
مایکروسافت ویندوز از فناوری جداسازی استفاده می کند روند به عنوان پیش فرض آن
ارزش.

· روند: فقط جداسازی فضای نام.

· hyperv: جداسازی مبتنی بر پارتیشن Hyper-V Hypervisor.

در عمل، هنگام اجرا بر روی ویندوز مایکروسافت بدون A روح پلید مجموعه گزینه، این دو
دستورات معادل هستند:

$ docker run -d --isolation بالای busybox پیش فرض
$ docker run -d --process isolation busybox top

اگر شما تنظیم کرده اید --exec-opt انزوا=hyperv گزینه روی داکر روح پلید، هرکدام از این ها
دستورات نیز منجر می شود hyperv انزوا:

$ docker run -d --isolation بالای busybox پیش فرض
$ docker run -d --isolation hyperv busybox top

تاریخچه

آوریل 2014، در اصل توسط ویلیام هنری (whenry at redhat dot com) بر اساس
منبع منبع و کار داخلی docker.com. ژوئن 2014، به روز شده توسط Sven Dowideit
⟨[ایمیل محافظت شده]⟩ جولای 2014، به روز شده توسط Sven Dowideit ⟨[ایمیل محافظت شده]⟩
نوامبر 2015، به روز شده توسط سالی اومالی ⟨[ایمیل محافظت شده]⟩

با استفاده از خدمات onworks.net از docker-run آنلاین استفاده کنید