docker-run - クラウドでオンライン

プログラム：

NAME

docker-run - 新しいコンテナでコマンドを実行します

SYNOPSIS

ドッカー ラン [-a|-添付[=[]]][-- ホストの追加[=[]]][--blkio-weight[=[BLKIO-重量]]]
[--blkio-weight-device[=[]]][--cpu-shares[=0]][--cap-add[=[]]][--キャップドロップ[=[]]]
[--cgroup-親[=CGグループパス]][--cidfile[=CIDFファイル]][--cpu-期間[=0]][--cpu クォータ[=0]]
[--cpuset-cpus[=CPUSET-CPUS]][--cpuset-mems[=CPUSET-MEMS]][-d|-デタッチ]
[--デタッチキー[=[]]][- 端末[=[]]][--device-read-bps[=[]]][--device-read-iops[=[]]]
[--device-write-bps[=[]]][--device-write-iops[=[]]][--DNS[=[]]][--dns-opt[=[]]]
[--dns-検索[=[]]][-e|--env[=[]]][- エントリーポイント[=エントリーポイント]][--env ファイル[=[]]]
[- さらす[=[]]][--グループ追加[=[]]][-h|-ホスト名[=ホスト名]][ - 助けて] [-i|- 相互の作用]
[--ip[=IPv4アドレス]][--ip6[=IPv6アドレス]][--ipc[=IPC]][- 分離[=デフォルト]]
[--カーネルメモリ[=カーネルメモリ]][-l|- ラベル[=[]]][--ラベルファイル[=[]]][- リンク[=[]]]
[--ログドライバー[=[]]][--log-opt[=[]]][-m|- メモリー[=MEMORY]][- Macアドレス[=MACアドレス]]
[--メモリ予約[=メモリ予約]][--メモリースワップ[=LIMIT]]
[--メモリスワップネス[=メモリスワップネス]][- 名前[=NAME]][- ネット[="橋"]]
[--net-alias[=[]]][--oom-kill-disable] [--oom-スコア-調整[=0]][-P|--すべて公開]
[-p|- 公開[=[]]][--pid[=[]]][-特権] [-読み取り専用] [- 再起動[=再起動]][--rm]
[--セキュリティオプト[=[]]][--停止信号[=SIGNAL]][--shm サイズ[=[]]][--sig-proxy[=true]]
[-t|--tty] [--tmpfs[=[コンテナディレクトリ[: 】]][-u|- ユーザー[=USER]][--ulimit[=[]]]
[--uts[=[]]][-v|- 音量[=[[ホストディレクトリ:]コンテナディレクトリ[:オプション]]]]
[--ボリュームドライバー[=DRIVER]][--ボリューム-元[=[]]][-w|--workdir[=作業ディレクトリ]] 画像 [コマンド]
[ARG...]

DESCRIPTION

新しいコンテナでプロセスを実行します。 ドッカー ラン 独自のファイル システムを使用してプロセスを開始します。
独自のネットワークと独自の分離されたプロセス ツリー。 プロセスを開始するIMAGE
コンテナ内で実行されるプロセスに関連するデフォルトを定義できます。
公開するネットワークなど、しかし ドッカー ラン 最終的な制御をオペレーターに与えるか、
イメージからコンテナを起動する管理者。 そのため ドッカー ラン もっとあります
他の Docker コマンドよりもオプションが豊富です。

画像がまだロードされていない場合は、 ドッカー ラン IMAGE とすべてのイメージをプルします
実行中の同じ方法でリポジトリから依存関係を取得します ドッカー プル 画像、その前に
そのイメージからコンテナを開始します。

OPTIONS

-a, -添付= []
STDIN、STDOUT、または STDERR に接続します。

フォアグラウンド モード (デフォルトの場合) -d は指定されていません）、 ドッカー ラン 開始できます
コンテナ内でプロセスを実行し、コンソールをプロセスの標準入力、出力、
そして標準誤差。 TTY のふりをすることもできます (これはほとんどのコマンドラインで行われます)
実行可能ファイルは期待されます)、シグナルを渡します。 の -a オプションは標準入力ごとに設定できます。
標準出力と標準エラー出力。

-- ホストの追加= []
カスタムのホストから IP へのマッピング (host:ip) を追加します。

/etc/hosts に行を追加します。 形式はホスト名:ip です。 の -- ホストの追加 オプション設定可能
複数回。

--blkio-weight=0
ブロック IO の重み (相対重み) は、10 ～ 1000 の重み値を受け入れます。

--blkio-weight-device= []
ブロック IO の重み (相対的なデバイスの重み、形式: DEVICE_NAME:体重).

--cpu-shares=0
CPU シェア (相対的な重み)

デフォルトでは、すべてのコンテナーは同じ割合の CPU サイクルを取得します。 この割合は次のようになります。
すべての重み付けに対するコンテナーの CPU シェアの重み付けを変更することで変更されます。
他の実行中のコンテナ。

比率をデフォルトの 1024 から変更するには、 --cpu-shares を設定するフラグ
重み付けを 2 以上にします。

この割合は、CPU 集中型のプロセスが実行されている場合にのみ適用されます。 タスクが入っているとき
XNUMX つのコンテナーがアイドル状態であれば、他のコンテナーは残りの CPU 時間を使用できます。 実際の金額
CPU 時間は、システム上で実行されているコンテナの数によって異なります。

たとえば、1024 つのコンテナがあり、XNUMX つは CPU シェアが XNUMX で、他の XNUMX つは CPU シェアが XNUMX であるとします。
CPU 共有設定は 512。100 つのコンテナーすべてのプロセスが XNUMX% の CPU 共有を使用しようとすると、
CPU の場合、最初のコンテナーは合計 CPU 時間の 50% を受け取ります。 XNUMXつ目を追加すると
CPU シェアが 1024 のコンテナの場合、最初のコンテナは CPU の 33% しか取得しません。 の
残りのコンテナは CPU の 16.5%、16.5%、33% を受け取ります。

マルチコア システムでは、CPU 時間のシェアはすべての CPU コアに分散されます。 たとえ
コンテナーは CPU 時間の 100% 未満に制限されており、各コンテナーの CPU 時間は 100% 使用できます。
CPUコア。

たとえば、XNUMX つ以上のコアを持つシステムを考えてみましょう。 XNUMXつのコンテナを起動すると {C0}
　 -c=512 XNUMX つのプロセスと別のコンテナを実行する {C1} 　 -c=1024 XNUMX人を実行しています
これにより、CPU シェアが次のように分割される可能性があります。

PID コンテナ CPU CPU シェア
100 {C0} 0 CPU100 の 0%
101 {C1} 1 CPU100 の 1%
102 {C1} 2 CPU100 の 2%

--cap-add= []
Linux 機能を追加する

--キャップドロップ= []
Linux 機能を削除する

--cgroup-親=""
コンテナーの cgroup が作成される cgroup へのパス。 パスの場合
は絶対ではありません。パスは init の cgroups パスに対する相対パスであると見なされます。
プロセス。 Cgroup が存在しない場合は作成されます。

--cidfile=""
コンテナIDをファイルに書き込みます

--cpu-期間=0
CPU CFS (Completely Fair Scheduler) 期間を制限する

コンテナーの CPU 使用率を制限します。 このフラグは、コンテナの CPU を制限するようにカーネルに指示します。
指定した期間まで使用できます。

--cpuset-cpus=""
実行を許可する CPU (0 ～ 3、0,1、XNUMX)

--cpuset-mems=""
実行を許可するメモリ ノード (MEM) (0 ～ 3、0,1、XNUMX)。 NUMA でのみ有効
システム。

システム上に 0 つのメモリ ノード (3 ～ XNUMX) がある場合は、次を使用します。 --cpuset-mems=0,1 その後、プロセスを実行します
Docker コンテナ内の は、最初の XNUMX つのメモリ ノードからのメモリのみを使用します。

--cpu クォータ=0
CPU CFS (Completely Fair Scheduler) クォータを制限する

コンテナーの CPU 使用率を制限します。 デフォルトでは、コンテナーは CPU リソースをすべて使用して実行されます。
このフラグは、コンテナの CPU 使用率を指定したクォータに制限するようにカーネルに指示します。

-d, -デタッチ=true|false
分離モード: コンテナーをバックグラウンドで実行し、新しいコンテナー ID を出力します。 の
デフォルトは false.

いつでも実行できます ドッカー ps 他のシェルで、実行中のシェルのリストを表示します。
コンテナ。 切り離されたコンテナに再接続するには、 ドッカー アタッチ。 選択した場合
コンテナをデタッチモードで実行すると、 -rm オプションを選択します。

tty モードで接続されている場合は、コンテナーから切り離すことができます (実行したままにすることもできます)。
構成可能なキー シーケンスを使用します。 デフォルトのシーケンスは次のとおりです CTRL-p CTRL-q。 あなたが設定します
を使用したキー シーケンス --デタッチキー オプションまたは設定ファイル。 見る
設定-json(5) 構成ファイルの使用に関するドキュメントを参照してください。

--デタッチキー=""
コンテナをデタッチするためのキーシーケンスを上書きします。 フォーマットはXNUMX文字です [aZ]
or NS- コラボレー の一つであります： AZ, @, ^, [, , or _.

- 端末= []
ホストデバイスをコンテナに追加します (例: --device=/dev/sdc:/dev/xvdc:rwm)

--device-read-bps= []
デバイスからの読み取り速度を制限する (例: --device-read-bps=/dev/sda:1mb)

--device-read-iops= []
デバイスからの読み取り速度を制限する (例: --device-read-iops=/dev/sda:1000)

--device-write-bps= []
デバイスへの書き込み速度を制限します (例: --device-write-bps=/dev/sda:1mb)

--device-write-iops= []
デバイスの書き込み速度を制限する (例: --device-write-iops=/dev/sda:1000)

--dns-検索= []
カスタム DNS 検索ドメインを設定します (検索を設定したくない場合は、--dns-search= を使用します)
ドメイン）

--dns-opt= []
カスタム DNS オプションを設定する

--DNS= []
カスタムDNSサーバーを設定する

このオプションを使用すると、コンテナに渡される DNS 構成をオーバーライドできます。
通常、これはホストの DNS 構成がコンテナに対して無効な場合に必要です。
(例: 127.0.0.1)。 このような場合、 --DNS flags は実行ごとに必要です。

-e, --env= []
環境変数を設定する

このオプションを使用すると、使用可能な任意の環境変数を指定できます。
コンテナ内で起動されるプロセス。

- エントリーポイント=""
画像のデフォルトのENTRYPOINTを上書きします

このオプションを使用すると、
ドッカーファイル。 画像の ENTRYPOINT は、何を指定するのかを指定するため、COMMAND に似ています。
コンテナの起動時に実行するための実行可能ファイルですが、(意図的に) より困難になります。
オーバーライド。 ENTRYPOINT はコンテナにデフォルトの性質または動作を与えます。
ENTRYPOINT を設定すると、そのバイナリであるかのようにコンテナを実行できます。
デフォルトのオプションのほか、COMMAND 経由でさらにオプションを渡すこともできます。 しかし、時々、
オペレータはコンテナ内で何か他のものを実行したい場合があるため、
を使用して実行時にデフォルトの ENTRYPOINT - エントリーポイント 新しいものを指定する文字列
エントリーポイント。

--env ファイル= []
環境変数の行区切りファイルを読み込みます

- さらす= []
ポートまたはポート範囲 (例: --expose=3300-3310) を公開すると、Docker に次のことが通知されます。
コンテナーは実行時に指定されたネットワーク ポートをリッスンします。 Docker はこの情報を使用します
リンクを使用してコンテナを相互接続し、ホスト システム上でポート リダイレクトを設定します。

--グループ追加= []
実行するグ​​ループを追加する

-h, -ホスト名=""
コンテナのホスト名

コンテナ内で使用できるコンテナのホスト名を設定します。

- 助けて
使用状況ステートメントを印刷する

-i, - 相互の作用=true|false
取り付けられていない場合でも、STDINを開いたままにします。 デフォルトは false.

true に設定すると、接続されていない場合でも stdin を開いたままにします。 デフォルトは false です。

--ip=""
コンテナのインターフェースIPv4アドレスを設定します(例: 172.23.0.9)

と組み合わせてのみ使用できます - ネット ユーザー定義ネットワーク用

--ip6=""
コンテナのインターフェースIPv6アドレスを設定します(例: 2001:db8::1b99)

と組み合わせてのみ使用できます - ネット ユーザー定義ネットワーク用

--ipc=""
デフォルトでは、コンテナーのプライベート IPC 名前空間 (POSIX SysV IPC) が作成されます。
'容器： ': 共有されている別のコンテナを再利用します
メモリ、セマフォ、メッセージキュー
'host': ホストの共有メモリ、セマフォ、メッセージを使用します。
コンテナ内のキュー。 注: ホスト モードでは、コンテナにローカルへの完全なアクセス権が与えられます。
共有メモリであるため、安全ではないと考えられます。

- 分離="デフォルト"
分離は、コンテナーで使用される分離テクノロジーのタイプを指定します。

-l, - ラベル= []
コンテナにメタデータを設定します (例: --label com.example.key=value)

--カーネルメモリ=""
カーネル メモリ制限 (形式: [ ]、単位 = b、k、m、または g)

コンテナが使用できるカーネル メモリを制限します。 制限 0 が指定されている場合 (そうでない場合)
--カーネルメモリ)、コンテナーのカーネル メモリは制限されません。 を指定すると、
制限に達した場合、オペレーティング システムのページ サイズの倍数に切り上げられる場合があります。
価値は非常に大きくなり、数百万兆になる可能性があります。

--ラベルファイル= []
行区切りのラベルファイルを読み取る

- リンク= []
次の形式で別のコンテナへのリンクを追加します。 :エイリアスまたは単にで
この場合、エイリアスは名前と一致します

オペレーターが使用する場合 - リンク 新しいクライアントコンテナを起動するときに、クライアント
コンテナはプライベート ネットワーク インターフェイス経由で公開ポートにアクセスできます。 Docker が設定します
クライアント コンテナ内のいくつかの環境変数は、どのインターフェイスと
使用するポート。

--ログドライバー="json ファイル|syslog|ジャーナル|ゲルフ|流暢|awslog|飛び散る|なし"
コンテナー用のロギングドライバー。 デフォルトはデーモンによって定義されます --ログドライバー フラグ。
警告： ドッカー ログ コマンドは、 json ファイル &
ジャーナル ロギングドライバー。

--log-opt= []
ロギングドライバー固有のオプション。

-m, - メモリー=""
メモリ制限 (形式: [ ]、単位 = b、k、m、または g)

コンテナーで使用できるメモリを制限できます。 ホストがスワップをサポートしている場合
記憶、そして -m メモリ設定は物理 RAM より大きくなる可能性があります。 制限が 0 の場合、
指定（使用しない） -m)、コンテナーのメモリには制限がありません。 実際の制限は次のとおりです。
オペレーティング システムのページ サイズの倍数に切り上げられます (値は非常に大きくなります)
大きい、それは何百万兆にもなります）。

--メモリ予約=""
メモリのソフトリミット (形式: [ ]、単位 = b、k、m、または g)

メモリ予約を設定した後、システムがメモリ競合またはメモリ不足を検出すると、
コンテナは、その消費を予約された範囲内に制限することを余儀なくされます。 それで、あなたはすべきです
常に以下の値を設定してください - メモリーそうでない場合は、ハード制限が優先されます。 による
デフォルトでは、メモリ予約はメモリ制限と同じになります。

--メモリースワップ＝「限界」
メモリとスワップに等しい制限値。 と一緒に使用する必要があります -m (- メモリー） フラグ。 の
swap LIMIT 常により大きい必要があります -m (- メモリー） 価値。

の形式 LIMIT is [ ]。 単位は次のとおりです b (バイト)、 k (キロバイト)、 m
(メガバイト)、または g (ギガバイト)。 単位を指定しない場合は、 b 使用されている。 リミットを次のように設定します -1 〜へ
無制限のスワップを有効にします。

- Macアドレス=""
コンテナの MAC アドレス (例: 92:d0:c6:0a:29:33)

イーサネット ネットワーク内の MAC アドレスは一意である必要があることに注意してください。 IPv6 リンクローカル
アドレスは、RFC4862 に従ってデバイスの MAC アドレスに基づきます。

- 名前=""
コンテナに名前を付ける

オペレーターは次の XNUMX つの方法でコンテナを識別できます。
UUID の長い識別子
(“f78375b1c487e03c9438c729345e54db9d20cfa2ac1fc3494b6eb60872e74778”)
UUID 短い識別子 (「f78375b1c487」)
名前（「ヨナ」）

UUID 識別子は Docker デーモンから取得され、名前が割り当てられていない場合は、
入った容器 - 名前 その後、デーモンはランダムな文字列名も生成します。 名前は
リンクを定義するときに便利です (「 - リンク) (または、特定する必要があるその他の場所
容器）。 これは、バックグラウンドとフォアグラウンドの両方の Docker コンテナーで機能します。

- ネット="ブリッジ"
コンテナのネットワークモードを設定します。
'bridge': デフォルトの Docker 上にネットワーク スタックを作成します。
ブリッジ
'none': ネットワークなし
'容器： ': 別のコンテナのネットワークを再利用します
スタック
'host': Docker ホスト ネットワーク スタックを使用します。 注: ホスト
このモードでは、コンテナに D-bus などのローカル システム サービスへのフル アクセスが与えられます。
したがって、安全ではないと考えられます。
' | ': ユーザー定義に接続します
ネットワーク

--net-alias= []
コンテナにネットワークスコープのエイリアスを追加する

--oom-kill-disable=true|false
コンテナーの OOM Killer を無効にするかどうか。

--oom-スコア-調整=""
コンテナに対するホストの OOM 設定を調整します (-1000 ～ 1000 を受け入れます)

-P, --すべて公開=true|false
公開されているすべてのポートをホスト インターフェイス上のランダムなポートに公開します。 デフォルトは false.

true に設定すると、公開されたすべてのポートがホスト インターフェイスに公開されます。 デフォルトは false です。
オペレーターが -P (または -p) を使用すると、Docker は公開ポートにアクセスできるようにします。
ホストとポートは、ホストに到達できるすべてのクライアントが使用できるようになります。 -P を使用する場合、
Docker は、公開されたポートをホスト上のランダムなポートにバインドします。 はかない ポート
範囲 によって定義されます /proc/sys/net/ipv4/ip_local_port_range。 間のマッピングを見つけるには、
ホストポートと公開ポートを使用するには、 ドッカー ポート.

-p, - 公開= []
コンテナのポートまたはポートの範囲をホストに公開します。

フォーマット： ip:ホストポート:コンテナポート | ip::コンテナポート | ホストポート:コンテナポート |
コンテナポート hostPort とcontainerPort はどちらもポートの範囲として指定できます。 いつ
両方の範囲を指定する場合、範囲内のコンテナ ポートの数は、
範囲内のホスト ポートの数。 （例えば、 ドッカー ラン -p 1234-1236：1222-1224 - 名前
この作品 -t ビジーボックス はなく、 ドッカー ラン -p 1230-1236：1230-1240 - 名前
範囲コンテナポート範囲より大きいホストポート -t ビジーボックス) IP の場合: ドッカー ラン -p
127.0.0.1:$HOSTPORT:$CONTAINERPORT - 名前 コンテナ -t いくつかの画像 　 ドッカー ポート 確認してください
実際のマッピング: ドッカー ポート コンテナ $コンテナポート

--pid=host
コンテナの PID モードを設定する
host: コンテナ内のホストの PID 名前空間を使用します。
注: ホスト モードでは、コンテナにローカル PID へのフル アクセスが与えられるため、
安全ではないと考えられています。

--uts=host
コンテナの UTS モードを設定する
host: コンテナ内のホストの UTS 名前空間を使用します。
注: ホスト モードでは、コンテナにホストのホスト名を変更するアクセス権が与えられます。
したがって、安全ではないと考えられます。

-特権=true|false
このコンテナに拡張権限を与えます。 デフォルトは false.

デフォルトでは、Docker コンテナは「非特権」 (=false) であり、たとえば、
Dockerコンテナ内のDockerデーモン。 これは、デフォルトではコンテナーは
あらゆるデバイスへのアクセスが許可されます。 「特権」コンテナには、すべてのデバイスへのアクセスが与えられます。

オペレーターが実行するとき ドッカー ラン -特権, Docker により、すべてのアクセスが可能になります。
ホスト上のデバイスに加えて、コンテナーを許可するために AppArmor でいくつかの構成を設定します。
ホストへのアクセスは、コンテナの外部で実行されているプロセスとほぼ同じです。
ホスト。

-読み取り専用=true|false
コンテナのルート ファイルシステムを読み取り専用としてマウントします。

デフォルトでは、コンテナのルート ファイルシステムは書き込み可能になり、プロセスが書き込みできるようになります。
どこにでもファイルを保存できます。 を指定することで、 -読み取り専用 コンテナにルートが存在することを示すフラグを立てる
ファイルシステムは読み取り専用としてマウントされており、書き込みは禁止されています。

- 再起動="いいえ"
コンテナーの終了時に適用する再起動ポリシー (いいえ、on-failure[:max-retry]、常に、
停止しない限り)。

--rm=true|false
コンテナーの終了時に自動的に削除します (-d とは互換性がありません)。 デフォルトは
false.

--セキュリティオプト= []
セキュリティオプション

"label:user:USER" : コンテナのラベルユーザーを設定します
"label:role:ROLE" : コンテナのラベルロールを設定します
"label:type:TYPE" : コンテナのラベルタイプを設定します
"label:level:LEVEL" : コンテナのラベル レベルを設定します
"label:disable" : コンテナーのラベル制限をオフにします

--停止信号=シグターム
コンテナを停止する信号を送ります。 デフォルトは SIGTERM です。

--shm サイズ=""
のサイズ / dev / shm。 フォーマットは .
数 よりも大きくなければなりません 0。 ユニットはオプションであり、 b (バイト)、 k (キロバイト)、
m(メガバイト)、または g (ギガバイト)。
単位を省略した場合、システムはバイトを使用します。 サイズを完全に省略すると、システムは
使用されます 64m.

--sig-proxy=true|false
受信信号をプロセスにプロキシします (非 TTY モードのみ)。 SIGCHLD、SIGSTOP、および
SIGKILL はプロキシされません。 デフォルトは true.

--メモリスワップネス=""
コンテナーのメモリ スワップ動作を調整します。 0 から 100 までの整数を受け入れます。

-t, --tty=true|false
疑似TTYを割り当てます。 デフォルトは false.

true に設定すると、Docker は疑似 tty を割り当て、任意の標準入力に接続できます。
容器。 これは、たとえば、使い捨ての対話型シェルを実行するために使用できます。 の
デフォルトはfalseです。

　 -t オプションは、Dockerクライアントの標準入力のリダイレクトと互換性がありません。

--tmpfs=[] tmpfs マウントを作成する

一時ファイルシステムをマウントします (tmpfs) コンテナにマウントします。例:

$ docker run -d --tmpfs / tmpに:rw,size=787448k,mode=1777 my_image

このコマンドは、 tmpfs at / tmpに コンテナの中。 サポートされているマウント オプションは次のとおりです。
Linuxのデフォルトと同じ mount フラグ。 オプションを指定しない場合、システムは
次のオプションを使用します。 rw、noexec、nosuid、nodev、size=65536k.

-u, - ユーザー=""
使用するユーザー名またはUIDを設定し、オプションで、指定したグループ名またはGIDを設定します


次の例はすべて有効です。
--user [user | user：group | uid | uid：gid | user：gid | uid：group]

この引数がないと、コマンドはコンテナ内のrootとして実行されます。

--ulimit= []
Ulimitオプション

-v|- 音量[=[[ホストディレクトリ:]コンテナディレクトリ[:オプション]]]
バインドマウントを作成します。 ご指定いただく場合は、 -v /ホストディレクトリ:/コンテナディレクトリ、ドッカー
バインドマウント /ホストディレクトリ ホスト内で /コンテナディレクトリ ドッカー内で
容器。 「HOST-DIR」を省略した場合、Docker は自動的に新しいディレクトリを作成します。
ホスト上のボリューム。 の OPTIONS はカンマ区切りのリストであり、次のとおりです。

· [rw|ro]

· [z|Z]

・[[r]共有|[r]スレーブ|[r]プライベート]

　 コンテナ-DIR 次のような絶対パスである必要があります /src/docsを選択します。 ホストディレクトリ することができます
絶対パスまたは 名 価値。 あ 名 値は英数字で始まる必要があります。
続い a-z0-9, _ （アンダースコア）、 . （期間）または - （ハイフン）。 絶対パスは次で始まります
a / （スラッシュ）。

を供給する場合、 ホストディレクトリ これは絶対パスです。Docker は指定したパスにバインドマウントします。
特定。 を供給する場合、 名, Dockerはそれによって名前付きボリュームを作成します 名。 例えば、
どちらかを指定できます / foo or foo のために ホストディレクトリ 価値。 を供給する場合、 / foo 値、
Docker はバインドマウントを作成します。 を供給する場合、 foo 仕様に応じて、Docker が名前付きの
ボリューム。

複数指定できます -v コンテナに XNUMX つ以上のマウントをマウントするオプション。 使用するには
これらの同じマウントを他のコンテナーにマウントするには、 --ボリューム-元 オプションも。

あなたが追加することができます :ろ or :rw ボリュームにサフィックスを付けて読み取り専用または読み取り/書き込みモードでマウントします。
それぞれ。 デフォルトでは、ボリュームは読み取り/書き込み可能にマウントされます。 例を参照してください。

SELinux などのラベル付けシステムでは、ボリューム コンテンツに適切なラベルを配置する必要があります
コンテナに取り付けられました。 ラベルがないと、セキュリティ システムによってプロセスが妨げられる可能性があります。
コンテンツを使用することでコンテナ内で実行されます。 デフォルトでは、Docker は変更されません
OSによって設定されたラベル。

コンテナコンテキストでラベルを変更するには、XNUMX つのサフィックスのいずれかを追加できます。 :z or :Z 〜へ
ボリュームマウント。 これらのサフィックスは、共有ファイル上のファイル オブジェクトのラベルを再設定するように Docker に指示します。
ボリューム。 の z オプションは、XNUMX つのコンテナーがボリュームのコンテンツを共有することを Docker に伝えます。 として
その結果、Docker はコンテンツに共有コンテンツ ラベルを付けます。 共有ボリュームラベルを使用すると、
すべてのコンテナがコンテンツを読み取り/書き込みします。 の Z オプションは、Docker にコンテンツにラベルを付けるように指示します。
プライベート非共有ラベル。 現在のコンテナのみがプライベート ボリュームを使用できます。

デフォルトでは、バインドマウントされたボリュームは プライベート。 つまり、コンテナ内で行われるマウントはすべて
ホストでは表示されなくなり、その逆も同様です。 を指定することでこの動作を変更できます。
ボリューム マウントの伝播プロパティ。 ボリュームを作る shared そのボリュームの下で行われたマウント
コンテナ内はホスト上で表示され、その逆も同様です。 ボリュームを作る スレーブ 可能
一方向のマウント伝播のみであり、そのボリュームの下のホスト上でマウントが行われます。
コンテナ内では表示されますが、その逆は表示されません。

ボリュームのマウント伝播プロパティを制御するには、次を使用できます。 :[r]共有, :[r]スレーブ or
:[r]プライベート 伝播フラグ。 伝播プロパティはバインドマウントに対してのみ指定できます
内部ボリュームや名前付きボリュームではなくボリュームです。 マウントの伝播が機能するためには
ソース マウント ポイント (ソース ディレクトリがマウントされているマウント ポイント) には適切な権限が必要です
伝播特性。 共有ボリュームの場合、ソース マウント ポイントを共有する必要があります。 そして、のために
スレーブ ボリュームの場合、ソース マウントは共有またはスレーブのいずれかである必要があります。

　 df ソースマウントを特定してから使用します 見つかりません -o
ターゲット、伝播 ソースの伝播特性を把握する
マウント。 もし 見つかりません ユーティリティが利用できない場合は、ソースのマウント エントリを確認できます。
のマウントポイント / proc / self / mountinfo。 見る 任意 フィールド 伝播があるかどうかを確認してください
プロパティが指定されています。 共有:X マウントが shared, マスター:X マウントが スレーブ
そこに何もない場合は、マウントが存在することを意味します プライベート.

マウント ポイントの伝播プロパティを変更するには、次を使用します。 mount 指示。 たとえば、
マウントソースディレクトリをバインドしたい / foo できる mount - 練る / foo / foo & mount
--プライベートにする --メイク共有 / foo。 これにより、/foo が shared マウントポイント。
あるいは、ソース マウントの伝播プロパティを直接変更することもできます。 言う / is
ソースマウント / foo、次に使用 mount --メイク共有 / 変換する / shared マウント。

Note: systemd を使用して Docker デーモンの開始と停止を管理する場合、
systemd ユニット ファイルには、Docker のマウント伝播を制御するオプションがあります
デーモン自体、と呼ばれる マウントフラグ。 この設定の値により、Docker が機能しなくなる可能性があります。
マウント ポイントで行われたマウント伝播の変更を参照してください。 たとえば、この値の場合、
is スレーブが使用できない場合があります。 shared or 共有 ボリューム上の伝播。

--ボリュームドライバー=""
コンテナのボリュームドライバー。 このドライバーは、次のいずれかで指定されたボリュームを作成します。
Dockerfile の VOLUME 指示または ドッカー ラン -v フラグ。
見る docker-ボリューム-作成(1) 完全な詳細については。

--ボリューム-元= []
指定したコンテナからボリュームをマウントします

すでにマウントされているボリュームをソース コンテナから別のコンテナにマウントします
容器。 ソースのコンテナー ID を指定する必要があります。 共有するには
ボリュームの場合は、 --ボリューム-元 実行時のオプション
ターゲットのコンテナ。 ソースコンテナが異なる場合でもボリュームを共有できます。
実行されていません。

デフォルトでは、Docker はボリュームを同じモード (読み取り/書き込みモードまたは
読み取り専用) は、ソース コンテナーにマウントされているためです。 オプションで、あなたは、
これを変更するには、container-id の末尾に次のいずれかを追加します。 :ろ or
:rw キーワード。

ソースコンテナからのボリュームの位置が重複している場合
データがターゲット コンテナ上に存在する場合、ボリュームは非表示になります
ターゲット上のそのデータ。

-w, --workdir=""
コンテナ内の作業ディレクトリ

コンテナ内でバイナリを実行するためのデフォルトの作業ディレクトリはルートです。
ディレクトリ (/)。 開発者は、Dockerfile WORKDIR を使用して別のデフォルトを設定できます。
命令。 オペレータは、次のコマンドを使用して作業ディレクトリをオーバーライドできます。 -w オプションを選択します。

出口 Status:

からの終了コード ドッカー ラン コンテナが実行に失敗した理由に関する情報を提供するか、
なぜ抜けたのか。 いつ ドッカー ラン ゼロ以外のコードで終了する場合、終了コードは次のとおりです。
chroot 標準、以下を参照してください。

125 if 　 エラー is 　 デッカー デーモン 自体

$ docker run --foo ビジーボックス; エコー$?
# フラグが指定されていますが、定義されていません: --foo
「docker run --help」を参照してください。
125

126 if 　 含まれている command be 呼び出された

$ docker run ビジーボックス の/ etc; エコー$?
# 実行: "の/ etc"： 許可が拒否されました
docker: デーモンからのエラー応答: 含まれているコマンドを呼び出すことができませんでした
126

127 if 　 含まれている command be 発見

$ docker runbusybox foo; エコー$?
# exec: "foo": $PATH に実行可能ファイルが見つかりません
docker: デーモンからのエラー応答: 含まれているコマンドが見つからないか、存在しません
127

出口 コード of 含まれている command さもないと

$ docker run ビジーボックス /bin/sh -c '出口 3'
＃3

例

Running: コンテナ in 読み取り専用の モード

コンテナー イメージの開発中、コンテナーは多くの場合、イメージ コンテンツに書き込む必要があります。
パッケージをインストールする / usr、 例えば。 運用環境では、アプリケーションが次のことを行う必要はほとんどありません。
画像に書き込みます。 コンテナ アプリケーションは、ファイルに書き込む必要がある場合、ボリュームに書き込みます。
システムはまったく。 アプリケーションを読み取り専用モードで実行することで、アプリケーションの安全性を高めることができます
--read-only スイッチを使用します。 これにより、コンテナー イメージが変更されないように保護されます。 読む
一時データを書き込む必要があるのはコンテナだけです。 これに対処する最善の方法は、
tmpfs ディレクトリをマウントします / run および/tmp。

# docker run --read-only --tmpfs / run --tmpfs / tmpに -i -t フェドーラ帽 /bin/bash

公開する ログ メッセージ から 　 コンテナ 〜へ 　 ホストの ログ

コンテナに記録されたメッセージをホストのコンテナに表示したい場合は、
syslog/journal の場合は、次のように /dev/log ディレクトリをバインドマウントする必要があります。

# docker run -v /dev/log:/dev/log -i -t fedora /bin/bash

コンテナ内からログにメッセージを送信することでこれをテストできます。

(bash)# ロガー「コンテナからこんにちは」

次に、終了してジャーナルを確認します。

＃ 出口

#journalctl -b | grep こんにちは

これにより、ロガーに送信されたメッセージがリストされます。

アタッチ 〜へ XNUMXつ or 他には？ から 標準入力、 標準出力、 標準

-a を指定しない場合、Docker は必要なもの (stdin、stdout、stderr) をすべてアタッチします。
代わりに次のように接続します。

# docker run -a stdin -a stdout -i -t fedora /bin/bash

分担 IPC の間に コンテナ

ここで入手できる shm_server.c の使用: ⟨https://www.cs.cf.ac.uk/Dave/C/node27.html⟩

テスト --ipc=ホスト モード：

ホストには 7 つの PID が接続された共有メモリ セグメントが表示されます。これはたまたま httpd からのものです。

$ sudo ipcs -m

------ 共有メモリセグメント --------
キー shmid 所有者がバイトを固定し、ステータスを取得します
0x01128e25 0 ルート 600 1000 7

ここで通常のコンテナを実行しますが、コンテナからの共有メモリセグメントが正しく認識されません。
ザ・ホスト：

$ docker run -it shm ipcs -m

------ 共有メモリセグメント --------
キー shmid 所有者がバイトを固定し、ステータスを取得します

新しいものでコンテナを実行します --ipc=ホスト オプションを選択すると、共有メモリセグメントが表示されるようになります
ホスト httpd から:

$ docker run -it --ipc=host shm ipcs -m

------ 共有メモリセグメント --------
キー shmid 所有者がバイトを固定し、ステータスを取得します
0x01128e25 0 ルート 600 1000 7

テスト --ipc=コンテナ:コンテナID モード：

プログラムでコンテナを起動し、共有メモリ セグメントを作成します。

$ docker run -it shm bash
$ sudo shm/shm_server
$ sudo ipcs -m

------ 共有メモリセグメント --------
キー shmid 所有者がバイトを固定し、ステータスを取得します
0x0000162e 0 ルート 666 27 1

2 番目のコンテナを正しく作成すると、1 番目のコンテナからの共有メモリ セグメントが表示されません。

$ docker run shm ipcs -m

------ 共有メモリセグメント --------
キー shmid 所有者がバイトを固定し、ステータスを取得します

新しい --ipc=container:CONTAINERID オプションを使用して 3 番目のコンテナを作成すると、
最初からの共有メモリセグメント:

$ docker run -it --ipc=container:ed735b2264ac shm ipcs -m
$ sudo ipcs -m

------ 共有メモリセグメント --------
キー shmid 所有者がバイトを固定し、ステータスを取得します
0x0000162e 0 ルート 666 27 1

連結 コンテナ

Note: このセクションでは、デフォルト (ブリッジ) でのコンテナ間のリンクについて説明します。
ネットワーク。「レガシー リンク」とも呼ばれます。 使用する - リンク ユーザー定義のネットワークで使用する
DNS ベースの検出。エントリは追加されません。 /etc/hosts、設定されません
検出用の環境変数。

リンク機能を使用すると、複数のコンテナが相互に通信できるようになります。 たとえば、
Dockerfile がポート 80 を公開しているコンテナーは、次のように実行して名前を付けることができます。

# docker run --name=link-test -d -i -t fedora/httpd

XNUMX 番目のコンテナー (この場合はリンカーと呼ばれます) は httpd コンテナーと通信できます。
link-test という名前で、 --link= :

# docker run -t -i --link=link-test:lt --name=linker fedora /bin/bash

これで、コンテナ リンカーは、エイリアス lt を使用してコンテナ link-test にリンクされました。 を実行する
env リンカコンテナ内のコマンドで環境変数が表示される
LT (エイリアス) コンテキスト (LT_)

# 環境
ホスト名=668231cb0978
TERM=xterm
LT_PORT_80_TCP=tcp://172.17.0.3:80
LT_PORT_80_TCP_PORT=80
LT_PORT_80_TCP_PROTO=tcp
LT_PORT=tcp://172.17.0.3:80
PATH =/ usr / local / sbin:/ usr / local / bin:/ usr / sbin:/ usr / bin:/ sbin:/ binに
PWD=/
LT_NAME=/リンカー/lt
SHLVL=1
ホーム=/
LT_PORT_80_TCP_ADDR=172.17.0.3
_=/ usr / bin / env

XNUMX つのコンテナをリンクする場合、Docker はコンテナの公開ポートを使用して
親がアクセスできる安全なトンネル。

コンテナがデフォルトのブリッジ ネットワークに接続されている場合、 リンク 他との
コンテナ、次にコンテナの /etc/hosts ファイルはリンクされたコンテナの内容で更新されます
名前。

Note Docker はコンテナのライブアップデートを行う可能性があるため、 /etc/hosts ファイルがあるかもしれません
コンテナ内のプロセスが空の、または
不完全 /etc/hosts ファイル。 ほとんどの場合、読み取りを再度試行すると問題が解決されるはずです。
問題。

マッピング ポート for 外部 使用法

アプリケーションの公開ポートは、 -p 国旗。 にとって
たとえば、次のようにして、httpd ポート 80 をホスト ポート 8080 にマッピングできます。

# docker run -p 8080:80 -d -i -t fedora/httpd

作成 & 取り付け a 且つ 音量 コンテナ

多くのアプリケーションでは、複数のコンテナ間で永続データを共有する必要があります。 ドッカー
他のコンテナがマウントできるデータ ボリューム コンテナを作成できます。 のために
たとえば、ディレクトリ /var/volume1 および /tmp/volume2 を含む名前付きコンテナを作成します。
イメージにはこれらのディレクトリが含まれている必要があるため、いくつかの RUN mkdir 命令を実行します。
Fedora-data イメージに必要な場合があります。

# docker run --name=data -v /var/volume1 -v /tmp/volume2 -i -t fedora-data true
# docker run --volumes-from=data --name=fedora-container1 -i -t fedora bash

複数の --volumes-from パラメーターは、複数のデータ ボリュームを複数のデータ ボリュームにまとめます。
コンテナ。 また、DATA コンテナから取得したボリュームをマウントすることもできます。
fedora-container1 中間コンテナを介してさらに別のコンテナを使用すると、
実際のデータ ソースをそのデータのユーザーから抽象化します。

# docker run --volumes-from=fedora-container1 --name=fedora-container2 -i -t fedora bash

取り付け 外部 ボリューム

ホスト ディレクトリをコンテナ ボリュームとしてマウントするには、ホスト ディレクトリへの絶対パスを指定します。
ディレクトリと、コロンで区切られたコンテナ ディレクトリの絶対パス:

# docker run -v /var/db:/data1 -i -t fedora bash

SELinux を使用する場合、ホストはコンテナーの SELinux ポリシーを認識しないことに注意してください。
したがって、上記の例では、SELinux ポリシーが適用されると、 /var/db ディレクトリは
コンテナには書き込みできません。 「許可が拒否されました」というメッセージが表示され、avc:
ホストの syslog 内のメッセージ。

これを回避するには、このマニュアル ページの作成時点では、次のコマンドを実行する必要があります。
適切な SELinux ポリシー タイプ ラベルをホストに付加するために実行します。
ディレクトリ：

# chcon -Rt svirt_sandbox_file_t /var/db

これで、コンテナ内の /data1 ボリュームへの書き込みが許可され、変更が反映されます。
/var/db のホストにも反映されます。

使い方 代替案 セキュリティ ラベリング

を指定することで、各コンテナのデフォルトのラベル付けスキームをオーバーライドできます。
--セキュリティオプト フラグ。 たとえば、MLS の要件である MCS/MLS レベルを指定できます。
システム。 次のコマンドでレベルを指定すると、同じものを共有できます。
コンテナ間のコンテンツ。

# docker run --security-opt label:level:s0:c100,c200 -i -t fedora bash

MLS の例は次のとおりです。

# docker run --security-opt label:level:TopSecret -i -t rhel7 bash

このコンテナのセキュリティラベルを無効にするには、 --寛容
フラグを設定するには、次のコマンドを使用します。

# docker run --security-opt label:disable -i -t fedora bash

コンテナ内のプロセスに対してより厳格なセキュリティ ポリシーが必要な場合は、次のように指定できます。
コンテナの代替タイプ。 のみが許可されているコンテナを実行できます。
次のコマンドを実行して、Apache ポートをリッスンします。

# docker run --security-opt label:type:svirt_apache_t -i -t centos bash

注：

を定義するポリシーを作成する必要があります。 svirt_apache_t タイプ。

設定 デバイス 重量

設定したい場合 / dev / sdaに デバイスの重量まで 200、次のようにデバイスの重量を指定できます。
--blkio-weight-device フラグ。 次のコマンドを使用します。

# docker run -it --blkio-weight-device "/dev/sda:200" ubuntu

指定 分離 テクノロジー for コンテナ （ - 分離）

このオプションは、Microsoft 上で Docker コンテナを実行している場合に便利です。
ウィンドウズ。 の - 分離 オプションはコンテナの分離テクノロジーを設定します。 Linux では、
サポートされているのは デフォルト Linux 名前空間を使用するオプション。 これら XNUMX つのコマンド
Linux では同等です。

$ docker run -d ビジーボックストップ
$ docker run -d --isolation デフォルトのbusyboxトップ

Microsoft Windows では、次のいずれかの値を取得できます。

· デフォルト: Docker デーモンによって指定された値を使用します。 --exec-opt 。 もし デーモン ありません
分離テクノロジを指定しないと、Microsoft Windows が使用します プロセス デフォルトとして
の値です。

· プロセス: 名前空間の分離のみ。

· ハイパーブ: Hyper-V ハイパーバイザーのパーティションベースの分離。

実際には、Microsoft Windows 上で デーモン オプションセット、このXNUMXつ
コマンドは同等です。

$ docker run -d --isolation デフォルトのbusyboxトップ
$ docker run -d --isolation process ビジーボックスのトップ

を設定している場合は、 --exec-opt 分離=hyperv Docker のオプション デーモン、これらのいずれか
コマンドでも次の結果が得られます ハイパーブ 分離：

$ docker run -d --isolation デフォルトのbusyboxトップ
$ docker run -d --isolation hyperv ビジーボックストップ

歴史

2014年XNUMX月、元々はWilliam Henry（redhat dot comのwhenry）によって編集されました。
docker.comのソース資料と内部作業。 2014年XNUMX月、SvenDowideitによって更新されました
⟨[メール保護]⟩ 2014 年 XNUMX 月、Sven Dowideit により更新 ⟨[メール保護]⟩
2015 年 XNUMX 月、サリー・オマリーによる更新 ⟨[メール保護]⟩

onworks.net サービスを使用してオンラインで docker-run を使用する