Ini ialah arahan docker-run yang boleh dijalankan dalam penyedia pengehosan percuma OnWorks menggunakan salah satu daripada berbilang stesen kerja dalam talian percuma kami seperti Ubuntu Online, Fedora Online, emulator dalam talian Windows atau emulator dalam talian MAC OS.
JADUAL:
NAMA
docker-run - Jalankan arahan dalam bekas baharu
SINOPSIS
docker menjalankan [-a|--lampirkan[=[]]] [--tambah-hos[=[]]] [--blkio-berat[=[BLKIO-WEIGHT]]]
[--blkio-berat-peranti[=[]]] [--cpu-kongsi[=0]] [--cap-tambah[=[]]] [--cap-drop[=[]]]
[--cgroup-ibu bapa[=CGROUP-PATH]] [--cidfile[=CIDFILE]] [--cpu-tempoh[=0]] [--cpu-kuota[=0]]
[--cpuset-cpus[=CPUSET-CPUS]] [--cpuset-mems[=CPUSET-MEMS]] [-d|--tanggalkan]
[--tanggalkan-kunci[=[]]] [--peranti[=[]]] [--peranti-baca-bps[=[]]] [--peranti-baca-iop[=[]]]
[--peranti-tulis-bps[=[]]] [--peranti-tulis-iop[=[]]] [--dns[=[]]] [--dns-opt[=[]]]
[--dns-search[=[]]] [-e|--env[=[]]] [--titik masuk[=ENTRYPOINT]] [--env-file[=[]]]
[--mendedahkan[=[]]] [--kumpulan-tambah[=[]]] [-h|--nama hos[=HOSTNAME]] [- membantu] [-i|--interaktif]
[--ip[=IPv4-ALAMAT]] [--ip6[=IPv6-ALAMAT]] [--ipc[=IPC]] [--pengasingan[=lalai]]
[--kernel-memori[=KERNEL-MEMORY]] [-l|--label[=[]]] [--label-fail[=[]]] [--pautan[=[]]]
[--log-pemandu[=[]]] [--log-opt[=[]]] [-m|--ingatan[=MEMORY]] [--alamat MAC[=ALAMAT MAC]]
[--memori-tempahan[=MEMORI-TEMPAHAN]] [--pertukaran-memori[=HAD]]
[--memori-swappiness[=MEMORY-SWAPPINESS]] [--nama[=NAMA]] [--bersih[="jambatan"]]
[--net-alias[=[]]] [--oom-kill-disable] [--oom-skor-adj[=0]] [-P|--terbitkan-semua]
[-p|--menerbitkan[=[]]] [--pid[=[]]] [--keistimewaan] [--baca sahaja] [--mula semula[=RESTART]] [--rm]
[--security-opt[=[]]] [--isyarat-berhenti[=ISYARAT]] [--shm-saiz[=[]]] [--sig-proksi[=benar]]
[-t|--tty] [--tmpfs[=[KONTENA-DIR[: ]]] [-u|--pengguna[=PENGGUNA]] [--ulimit[=[]]]
[--uts[=[]]] [-v|--isipadu[=[[HOST-DIR:]CONTAINER-DIR[:OPTIONS]]]]
[--pemandu-volume[=DRIVER]] [--volume-daripada[=[]]] [-w|--workdir[=WORKDIR]] IMEJ [PERINTAH]
[ARG...]
DESCRIPTION
Jalankan proses dalam bekas baharu. docker menjalankan memulakan proses dengan sistem failnya sendiri,
rangkaiannya sendiri, dan pokok proses terpencilnya sendiri. IMEJ yang memulakan proses
boleh mentakrifkan lalai yang berkaitan dengan proses yang akan dijalankan dalam bekas, the
rangkaian untuk mendedahkan, dan banyak lagi, tetapi docker menjalankan memberikan kawalan akhir kepada pengendali atau
pentadbir yang memulakan bekas dari imej. Untuk tujuan itu docker menjalankan mempunyai lebih banyak
pilihan daripada mana-mana arahan Docker lain.
Jika IMEJ belum dimuatkan maka docker menjalankan akan menarik IMEJ, dan semua imej
dependencies, dari repositori dengan cara yang sama berjalan docker tarik IMEJ, sebelum itu
memulakan bekas dari imej itu.
PILIHAN
-a, --lampirkan=[]
Lampirkan pada STDIN, STDOUT atau STDERR.
Dalam mod latar depan (lalai apabila -d tidak dinyatakan), docker menjalankan boleh memulakan
proses dalam bekas dan pasangkan konsol pada input standard proses, output,
dan ralat piawai. Ia juga boleh berpura-pura menjadi TTY (inilah yang kebanyakan baris perintah
executable expect) dan menyampaikan isyarat. The -a pilihan boleh ditetapkan untuk setiap stdin,
stdout, dan stderr.
--tambah-hos=[]
Tambahkan pemetaan hos-ke-IP tersuai (hos:ip)
Tambahkan baris ke /etc/hosts. Formatnya ialah nama hos:ip. The --tambah-hos pilihan boleh ditetapkan
berkali-kali.
--blkio-berat=0
Berat blok IO (berat relatif) menerima nilai berat antara 10 dan 1000.
--blkio-berat-peranti=[]
Berat IO blok (berat peranti relatif, format: DEVICE_NAME:WEIGHT).
--cpu-kongsi=0
Bahagian CPU (berat relatif)
Secara lalai, semua bekas mendapat bahagian kitaran CPU yang sama. Perkadaran ini boleh
diubah suai dengan menukar pemberat bahagian CPU kontena berbanding pemberat semua
bekas berjalan lain.
Untuk mengubah suai perkadaran daripada lalai 1024, gunakan --cpu-kongsi bendera untuk menetapkan
pemberat kepada 2 atau lebih tinggi.
Perkadaran hanya akan digunakan apabila proses intensif CPU sedang berjalan. Apabila tugas masuk
satu bekas terbiar, bekas lain boleh menggunakan baki masa CPU. Jumlah sebenar
masa CPU akan berbeza-beza bergantung pada bilangan bekas yang berjalan pada sistem.
Sebagai contoh, pertimbangkan tiga bekas, satu mempunyai bahagian cpu 1024 dan dua lagi mempunyai a
tetapan bahagian cpu 512. Apabila proses dalam ketiga-tiga bekas cuba menggunakan 100% daripada
CPU, bekas pertama akan menerima 50% daripada jumlah masa CPU. Jika anda menambah yang keempat
bekas dengan bahagian cpu 1024, bekas pertama hanya mendapat 33% daripada CPU. The
bekas selebihnya menerima 16.5%, 16.5% dan 33% daripada CPU.
Pada sistem berbilang teras, bahagian masa CPU diagihkan ke atas semua teras CPU. Walaupun
bekas dihadkan kepada kurang daripada 100% masa CPU, ia boleh menggunakan 100% setiap individu
teras CPU.
Sebagai contoh, pertimbangkan sistem dengan lebih daripada tiga teras. Jika anda memulakan satu bekas {C0}
bersama -c=512 menjalankan satu proses, dan bekas lain {C1} bersama -c=1024 berlari dua
proses, ini boleh mengakibatkan pembahagian bahagian CPU berikut:
Bahagian CPU bekas PID CPU
100 {C0} 0 100% daripada CPU0
101 {C1} 1 100% daripada CPU1
102 {C1} 2 100% daripada CPU2
--cap-tambah=[]
Tambah keupayaan Linux
--cap-drop=[]
Jatuhkan keupayaan Linux
--cgroup-ibu bapa=""
Laluan ke cgroups di mana cgroup untuk bekas akan dibuat. Jika jalan
tidak mutlak, laluan itu dianggap sebagai relatif kepada laluan cgroups dari init
proses. Cgroups akan dibuat jika mereka belum wujud.
--cidfile=""
Tulis ID bekas pada fail
--cpu-tempoh=0
Hadkan tempoh CPU CFS (Penjadual Sepenuhnya Adil).
Hadkan penggunaan CPU bekas. Bendera ini memberitahu kernel untuk menyekat CPU bekas
penggunaan mengikut tempoh yang anda tentukan.
--cpuset-cpus=""
CPU yang membenarkan pelaksanaan (0-3, 0,1)
--cpuset-mems=""
Nod memori (MEM) yang membenarkan pelaksanaan (0-3, 0,1). Hanya berkesan pada NUMA
sistem.
Jika anda mempunyai empat nod memori pada sistem anda (0-3), gunakan --cpuset-mems=0,1 kemudian proses
dalam bekas Docker anda hanya akan menggunakan memori daripada dua nod memori pertama.
--cpu-kuota=0
Hadkan kuota CPU CFS (Completely Fair Scheduler).
Hadkan penggunaan CPU bekas. Secara lalai, bekas dijalankan dengan sumber CPU penuh.
Bendera ini memberitahu kernel untuk mengehadkan penggunaan CPU bekas kepada kuota yang anda tentukan.
-d, --tanggalkan=benar|palsu
Mod terpisah: jalankan bekas di latar belakang dan cetak ID bekas baharu. The
lalai adalah palsu.
Pada bila-bila masa anda boleh berlari docker ps dalam cangkerang lain untuk melihat senarai larian
bekas. Anda boleh melekat semula pada bekas yang terpisah dengan docker melampirkan. Sekiranya anda memilih untuk
jalankan bekas dalam mod tertanggal, maka anda tidak boleh menggunakan -rm pilihan.
Apabila dilampirkan dalam mod tty, anda boleh tanggalkan daripada bekas (dan biarkan ia berjalan)
menggunakan urutan kunci yang boleh dikonfigurasikan. Urutan lalai ialah CTRL-p CTRL-q. Anda konfigurasikan
urutan kunci menggunakan --tanggalkan-kunci pilihan atau fail konfigurasi. Lihat
config-json(5) untuk dokumentasi menggunakan fail konfigurasi.
--tanggalkan-kunci=""
Gantikan urutan kunci untuk menanggalkan bekas. Format ialah satu aksara [aZ]
or ctrl- di mana adalah salah satu daripada: az, @, ^, [, , or _.
--peranti=[]
Tambahkan peranti hos pada bekas (cth --device=/dev/sdc:/dev/xvdc:rwm)
--peranti-baca-bps=[]
Hadkan kadar bacaan daripada peranti (cth --device-read-bps=/dev/sda:1mb)
--peranti-baca-iop=[]
Hadkan kadar bacaan daripada peranti (cth --device-read-iops=/dev/sda:1000)
--peranti-tulis-bps=[]
Hadkan kadar tulis kepada peranti (cth --device-write-bps=/dev/sda:1mb)
--peranti-tulis-iop=[]
Hadkan kadar tulis peranti aa (cth --device-write-iops=/dev/sda:1000)
--dns-search=[]
Tetapkan domain carian DNS tersuai (Gunakan --dns-search=. jika anda tidak mahu menetapkan carian
domain)
--dns-opt=[]
Tetapkan pilihan DNS tersuai
--dns=[]
Tetapkan pelayan DNS tersuai
Pilihan ini boleh digunakan untuk mengatasi konfigurasi DNS yang dihantar ke bekas.
Biasanya ini diperlukan apabila konfigurasi DNS hos tidak sah untuk bekas
(cth, 127.0.0.1). Apabila ini berlaku --dns bendera diperlukan untuk setiap larian.
-e, --env=[]
Tetapkan pembolehubah persekitaran
Pilihan ini membolehkan anda menentukan pembolehubah persekitaran arbitrari yang tersedia untuk
proses yang akan dilancarkan di dalam bekas.
--titik masuk=""
Tulis ganti ENTRYPOINT lalai imej
Pilihan ini membolehkan anda menulis ganti titik masuk lalai bagi imej yang ditetapkan dalam
Dockerfile. ENTRYPOINT imej adalah serupa dengan COMMAND kerana ia menentukan apa
boleh laksana untuk dijalankan apabila bekas bermula, tetapi ia adalah (sengaja) lebih sukar untuk
mengatasi. ENTRYPOINT memberikan bekas sifat atau tingkah laku lalainya, supaya apabila
anda menetapkan ENTRYPOINT anda boleh menjalankan bekas seolah-olah ia adalah binari itu, lengkap dengan
pilihan lalai, dan anda boleh menghantar lebih banyak pilihan melalui COMMAND. Tetapi, kadang-kadang an
pengendali mungkin mahu menjalankan sesuatu yang lain di dalam bekas, supaya anda boleh mengatasinya
ENTRYPOINT lalai semasa runtime dengan menggunakan a --titik masuk dan rentetan untuk menentukan yang baharu
ENTRYPOINT.
--env-file=[]
Baca dalam baris yang dibatasi fail pembolehubah persekitaran
--mendedahkan=[]
Dedahkan port, atau julat port (cth --expose=3300-3310) memberitahu Docker bahawa
kontena mendengar pada port rangkaian yang ditentukan semasa masa jalan. Docker menggunakan maklumat ini
untuk menyambungkan bekas menggunakan pautan dan untuk menyediakan pengalihan port pada sistem hos.
--kumpulan-tambah=[]
Tambahkan kumpulan tambahan untuk dijalankan sebagai
-h, --nama hos=""
Nama hos bekas
Menetapkan nama hos kontena yang tersedia di dalam bekas.
- membantu
Cetak kenyataan penggunaan
-i, --interaktif=benar|palsu
Pastikan STDIN terbuka walaupun tidak dilekatkan. Lalainya ialah palsu.
Apabila ditetapkan kepada benar, pastikan stdin terbuka walaupun tidak dilampirkan. Lalai adalah palsu.
--ip=""
Menetapkan alamat IPv4 antara muka bekas (cth 172.23.0.9)
Ia hanya boleh digunakan bersama --bersih untuk rangkaian yang ditentukan pengguna
--ip6=""
Menetapkan alamat IPv6 antara muka bekas (cth 2001:db8::1b99)
Ia hanya boleh digunakan bersama --bersih untuk rangkaian yang ditentukan pengguna
--ipc=""
Lalai adalah untuk mencipta ruang nama IPC peribadi (POSIX SysV IPC) untuk bekas
'bekas: ': menggunakan semula bekas lain yang dikongsi
ingatan, semaphore dan baris gilir mesej
'hos': gunakan memori kongsi hos, semaphore dan mesej
beratur di dalam bekas. Nota: mod hos memberikan bekas akses penuh ke setempat
ingatan bersama dan oleh itu dianggap tidak selamat.
--pengasingan="lalai"
Pengasingan menentukan jenis teknologi pengasingan yang digunakan oleh bekas.
-l, --label=[]
Tetapkan metadata pada bekas (cth, --label com.example.key=value)
--kernel-memori=""
Had memori kernel (format: [ ], dengan unit = b, k, m atau g)
Mengekang memori kernel yang tersedia untuk bekas. Jika had 0 dinyatakan (bukan
menggunakan --kernel-memori), memori kernel bekas tidak terhad. Jika anda nyatakan a
had, ia mungkin dibundarkan kepada berbilang saiz halaman sistem pengendalian dan
nilai boleh menjadi sangat besar, berjuta-juta trilion.
--label-fail=[]
Baca dalam satu baris fail yang dibatasi label
--pautan=[]
Tambahkan pautan ke bekas lain dalam bentuk :alias atau hanya dalam
yang mana alias akan sepadan dengan nama
Jika operator menggunakan --pautan apabila memulakan bekas pelanggan baharu, kemudian pelanggan
bekas boleh mengakses port terdedah melalui antara muka rangkaian peribadi. Docker akan ditetapkan
beberapa pembolehubah persekitaran dalam bekas klien untuk membantu menunjukkan antara muka dan
pelabuhan untuk digunakan.
--log-pemandu="json-file|syslog|jurnal|gelf|fasih|awslogs|berpecah|tiada"
Pemandu pembalakan untuk kontena. Lalai ditakrifkan oleh daemon --log-pemandu bendera.
Amaran: Yang docker balak arahan berfungsi hanya untuk json-file and
jurnal pemandu pembalakan.
--log-opt=[]
Pilihan khusus pemacu pembalakan.
-m, --ingatan=""
Had ingatan (format: [ ], dengan unit = b, k, m atau g)
Membolehkan anda mengekang memori yang tersedia pada bekas. Jika hos menyokong swap
ingatan, kemudian -m tetapan memori boleh lebih besar daripada RAM fizikal. Jika had 0 ialah
ditentukan (tidak menggunakan -m), ingatan bekas tidak terhad. Had sebenar mungkin
dibundarkan kepada berbilang saiz halaman sistem pengendalian (nilainya adalah sangat
besar, itu berjuta-juta trilion).
--memori-tempahan=""
Had lembut memori (format: [ ], dengan unit = b, k, m atau g)
Selepas menetapkan tempahan memori, apabila sistem mengesan perbalahan memori atau memori rendah,
kontena terpaksa mengehadkan penggunaannya kepada tempahan mereka. Jadi anda sepatutnya
sentiasa tetapkan nilai di bawah --ingatan, jika tidak had keras akan diutamakan. Oleh
lalai, tempahan memori akan sama dengan had memori.
--pertukaran-memori= "HAD"
Nilai had yang sama dengan memori ditambah swap. Mesti digunakan dengan -m (--ingatan) bendera. The
swap HAD hendaklah sentiasa lebih besar daripada -m (--ingatan) nilai.
Format HAD is [ ]. Unit boleh b (bait), k (kilobait), m
(megabait), atau g (gigabait). Jika anda tidak menentukan unit, b digunakan. Tetapkan LIMIT kepada -1 kepada
dayakan pertukaran tanpa had.
--alamat MAC=""
Alamat MAC bekas (cth 92:d0:c6:0a:29:33)
Ingat bahawa alamat MAC dalam rangkaian Ethernet mestilah unik. Pautan IPv6-tempatan
alamat akan berdasarkan alamat MAC peranti mengikut RFC4862.
--nama=""
Berikan nama pada bekas
Pengendali boleh mengenal pasti bekas dalam tiga cara:
Pengecam panjang UUID
(“f78375b1c487e03c9438c729345e54db9d20cfa2ac1fc3494b6eb60872e74778”)
Pengecam pendek UUID (“f78375b1c487”)
Nama (“jonah”)
Pengecam UUID datang daripada daemon Docker, dan jika nama tidak diberikan kepada
bekas dengan --nama maka daemon juga akan menghasilkan nama rentetan rawak. Namanya ialah
berguna apabila menentukan pautan (lihat --pautan) (atau mana-mana tempat lain yang anda perlukan untuk mengenal pasti a
bekas). Ini berfungsi untuk kedua-dua bekas Docker latar belakang dan latar depan.
--bersih="jambatan"
Tetapkan mod Rangkaian untuk bekas
'jambatan': buat susunan rangkaian pada Docker lalai
jambatan
'tiada': tiada rangkaian
'bekas: ': guna semula rangkaian bekas lain
timbunan
'hos': gunakan timbunan rangkaian hos Docker. Nota: tuan rumah
mod memberikan bekas akses penuh kepada perkhidmatan sistem tempatan seperti D-bas dan adalah
oleh itu dianggap tidak selamat.
' | ': menyambung kepada yang ditentukan pengguna
rangkaian
--net-alias=[]
Tambahkan alias skop rangkaian untuk bekas
--oom-kill-disable=benar|palsu
Sama ada hendak melumpuhkan OOM Killer untuk bekas atau tidak.
--oom-skor-adj=""
Sesuaikan keutamaan OOM hos untuk bekas (menerima -1000 hingga 1000)
-P, --terbitkan-semua=benar|palsu
Terbitkan semua port terdedah kepada port rawak pada antara muka hos. Lalainya ialah palsu.
Apabila ditetapkan kepada benar, terbitkan semua port yang terdedah kepada antara muka hos. Lalai adalah palsu.
Jika pengendali menggunakan -P (atau -p) maka Docker akan menjadikan port terdedah boleh diakses pada
hos dan port akan tersedia kepada mana-mana pelanggan yang boleh mencapai hos. Apabila menggunakan -P,
Docker akan mengikat mana-mana port yang terdedah kepada port rawak pada hos dalam satu tidak kekal pelabuhan
pelbagai ditakrifkan oleh /proc/sys/net/ipv4/ip_local_port_range. Untuk mencari pemetaan antara
port hos dan port terdedah, gunakan docker pelabuhan.
-p, --menerbitkan=[]
Terbitkan port kontena, atau julat port, kepada hos.
Format: ip:hostPort:containerPort | ip::containerPort | hostPort:containerPort |
bekasPort Kedua-dua hostPort dan containerPort boleh ditentukan sebagai julat port. Bila
menentukan julat untuk kedua-duanya, bilangan port kontena dalam julat mesti sepadan dengan
bilangan port hos dalam julat. (cth, docker menjalankan -p 1234-1236: 1222-1224 --nama
thisWorks -t peti sibuk tetapi tidak docker menjalankan -p 1230-1236: 1230-1240 --nama
RangeContainerPortsLebih Besar Daripada RangeHostPorts -t peti sibuk) Dengan ip: docker menjalankan -p
127.0.0.1:$HOSTPORT:$CONTAINERPORT --nama CONTAINER -t beberapa imej Penggunaan docker pelabuhan untuk melihat
pemetaan sebenar: docker pelabuhan CONTAINER $CONTAINERPORT
--pid=tuan rumah
Tetapkan mod PID untuk bekas
tuan rumah: gunakan ruang nama PID hos di dalam bekas.
Nota: mod hos memberikan bekas akses penuh kepada PID tempatan dan oleh itu
dianggap tidak selamat.
--uts=tuan rumah
Tetapkan mod UTS untuk bekas
tuan rumah: gunakan ruang nama UTS hos di dalam bekas.
Nota: mod hos memberikan akses kontena untuk menukar nama hos hos dan adalah
oleh itu dianggap tidak selamat.
--keistimewaan=benar|palsu
Beri keistimewaan lanjutan kepada bekas ini. Lalainya ialah palsu.
Secara lalai, bekas Docker adalah "tidak mempunyai keistimewaan" (=false) dan tidak boleh, sebagai contoh, menjalankan
Daemon Docker di dalam bekas Docker. Ini kerana secara lalai bekas tidak
dibenarkan untuk mengakses mana-mana peranti. Bekas "terutama" diberikan akses kepada semua peranti.
Apabila operator melaksanakan docker menjalankan --keistimewaan, Docker akan membolehkan akses kepada semua
peranti pada hos serta tetapkan beberapa konfigurasi dalam AppArmor untuk membenarkan bekas
hampir semua akses yang sama kepada hos seperti proses yang berjalan di luar bekas pada
tuan rumah.
--baca sahaja=benar|palsu
Lekapkan sistem fail akar bekas sebagai baca sahaja.
Secara lalai, bekas akan mempunyai sistem fail akarnya yang boleh ditulis yang membolehkan proses menulis
fail di mana-mana sahaja. Dengan menyatakan --baca sahaja bendera bekas itu akan mempunyai akarnya
sistem fail dipasang sebagai baca sahaja melarang sebarang penulisan.
--mula semula="tidak"
Mulakan semula dasar untuk digunakan apabila bekas keluar (tidak, apabila gagal[:max-retry], sentiasa,
melainkan dihentikan).
--rm=benar|palsu
Keluarkan bekas secara automatik apabila ia keluar (tidak serasi dengan -d). Lalainya ialah
palsu.
--security-opt=[]
Pilihan Keselamatan
"label:user:USER" : Tetapkan pengguna label untuk bekas
"label:role:ROLE" : Tetapkan peranan label untuk bekas
"label:type:TYPE" : Tetapkan jenis label untuk bekas
"label:level:LEVEL" : Tetapkan tahap label untuk bekas
"label:disable" : Matikan kekangan label untuk bekas
--isyarat-berhenti=TANDATANGAN
Isyarat untuk menghentikan bekas. Lalai ialah SIGTERM.
--shm-saiz=""
Saiz /dev/shm. Formatnya ialah .
nombor mesti lebih besar daripada 0. Unit adalah pilihan dan boleh b (bait), k (kilobait),
m(megabait), atau g (gigabait).
Jika anda meninggalkan unit, sistem menggunakan bait. Jika anda meninggalkan saiz sepenuhnya, sistem
menggunakan 64m.
--sig-proksi=benar|palsu
Proksi menerima isyarat kepada proses (mod bukan TTY sahaja). SIGCHLD, SIGSTOP dan
SIGKILL tidak diproksikan. Lalainya ialah benar.
--memori-swappiness=""
Laraskan gelagat swappiness memori bekas. Menerima integer antara 0 dan 100.
-t, --tty=benar|palsu
Peruntukkan pseudo-TTY. Lalainya ialah palsu.
Apabila ditetapkan kepada Docker benar boleh memperuntukkan pseudo-tty dan melampirkan pada input standard mana-mana
bekas. Ini boleh digunakan, sebagai contoh, untuk menjalankan shell interaktif yang dibuang. The
lalai adalah palsu.
. -t pilihan tidak serasi dengan pengalihan input standard klien docker.
--tmpfs=[] Buat pelekap tmpfs
Lekapkan sistem fail sementara (tmpfs) lekapkan ke dalam bekas, contohnya:
$ docker run -d --tmpfs / tmp:rw,saiz=787448k,mod=1777 my_image
Perintah ini memasang a tmpfs at / tmp dalam bekas. Pilihan pelekap yang disokong ialah
sama seperti lalai Linux mount bendera. Jika anda tidak menyatakan sebarang pilihan, sistem
menggunakan pilihan berikut: rw,noexec,nosuid,nodev,saiz=65536k.
-u, --pengguna=""
Menetapkan nama pengguna atau UID yang digunakan dan secara pilihan nama kumpulan atau GID untuk yang ditentukan
perintah.
Contoh-contoh berikut semuanya sah:
--pengguna [pengguna | pengguna:kumpulan | uid | uid:gid | pengguna:gid | uid:kumpulan ]
Tanpa hujah ini arahan akan dijalankan sebagai akar dalam bekas.
--ulimit=[]
Ulimi pilihan
-v|--isipadu[=[[HOST-DIR:]CONTAINER-DIR[:OPTIONS]]]
Buat pelekap bind. Jika anda nyatakan, -v /HOST-DIR:/CONTAINER-DIR, Docker
mengikat pelekap /HOST-DIR dalam hos ke /KONTENA-DIR dalam Docker
bekas. Jika 'HOST-DIR' diabaikan, Docker mencipta yang baharu secara automatik
kelantangan pada hos. The PILIHAN ialah senarai dihadkan koma dan boleh menjadi:
· [rw|ro]
· [z|Z]
· [[r]dikongsi|[r] hamba|[r] peribadi]
. BEKAS-DIR mestilah jalan mutlak seperti /src/docs. Yang Host-DIR boleh menjadi
laluan mutlak atau a nama nilai. A nama nilai mesti bermula dengan aksara abjad angka,
diikuti oleh a-z0-9, _ (garis bawah), . (tempoh) atau - (sempang). Laluan mutlak bermula dengan
a / (slash ke hadapan).
Jika anda membekalkan a Host-DIR itu adalah laluan mutlak, Docker bind-mounts ke laluan anda
nyatakan. Jika anda membekalkan a nama, Docker mencipta volum bernama dengan itu nama. Sebagai contoh,
anda boleh nyatakan sama ada /foo or foo bagi Host-DIR nilai. Jika anda membekalkan /foo nilai,
Docker mencipta bind-mount. Jika anda membekalkan foo spesifikasi, Docker mencipta nama
kelantangan.
Anda boleh menentukan berbilang -v pilihan untuk memasang satu atau lebih pelekap pada bekas. Untuk menggunakan
lekap yang sama ini dalam bekas lain, nyatakan --volume-daripada pilihan juga.
Anda boleh menambah :ro or :rw akhiran pada volum untuk melekapkannya mod baca sahaja atau baca-tulis,
masing-masing. Secara lalai, volum dipasang baca-tulis. Lihat contoh.
Sistem pelabelan seperti SELinux memerlukan label yang betul diletakkan pada kandungan volum
dipasang ke dalam bekas. Tanpa label, sistem keselamatan mungkin menghalang proses
berjalan di dalam bekas daripada menggunakan kandungan. Secara lalai, Docker tidak berubah
label yang ditetapkan oleh OS.
Untuk menukar label dalam konteks bekas, anda boleh menambah salah satu daripada dua akhiran :z or :Z kepada
lekapan volum. Akhiran ini memberitahu Docker untuk melabelkan semula objek fail pada yang dikongsi
jilid. The z pilihan memberitahu Docker bahawa dua bekas berkongsi kandungan volum. Sebagai
Hasilnya, Docker melabelkan kandungan dengan label kandungan yang dikongsi. Label volum dikongsi membenarkan
semua bekas untuk membaca/menulis kandungan. The Z pilihan memberitahu Docker untuk melabelkan kandungan dengan
label peribadi yang tidak dikongsi. Hanya bekas semasa boleh menggunakan volum peribadi.
Secara lalai bind mounted volumes ialah swasta. Ini bermakna sebarang pemasangan dilakukan di dalam bekas
tidak akan kelihatan pada hos dan begitu juga sebaliknya. Seseorang boleh mengubah tingkah laku ini dengan menyatakan a
sifat penyebaran pelekap isipadu. Membuat kelantangan dikongsi lekapan dilakukan di bawah volum itu
dalam bekas akan kelihatan pada hos dan begitu juga sebaliknya. Membuat kelantangan hamba membolehkan
hanya satu cara pelekapan penyebaran dan itu pelekap dilakukan pada hos di bawah volum itu akan
kelihatan di dalam bekas tetapi bukan sebaliknya.
Untuk mengawal sifat penyebaran pelekap volum seseorang boleh gunakan :[r]dikongsi, :[r]hamba or
:[r]peribadi bendera penyebaran. Propagation property boleh ditentukan hanya untuk bind mounted
jilid dan bukan untuk jilid dalaman atau jilid bernama. Untuk penyebaran gunung berfungsi
titik lekap sumber (titik lekap di mana dir sumber dipasang) mesti mempunyai hak
sifat pembiakan. Untuk volum yang dikongsi, titik lekap sumber perlu dikongsi. Dan untuk
volum hamba, mount sumber harus sama ada dikongsi atau hamba.
Penggunaan df untuk mengetahui lekapan sumber dan kemudian gunakan findmnt -o
SASARAN,PENYEBARAN untuk mengetahui sifat perambatan sumber
lekapkan. Jika findmnt utiliti tidak tersedia, maka seseorang boleh melihat kemasukan gunung untuk sumber
lekapkan titik masuk /proc/self/mountinfo. Lihat pada pilihan bidang dan lihat jika ada penyebaran
hartanah ditentukan. dikongsi:X bermakna gunung adalah dikongsi, tuan:X bermakna gunung adalah hamba
dan jika tiada itu bermakna gunung adalah swasta.
Untuk menukar sifat perambatan penggunaan titik lekap mount perintah. Sebagai contoh, jika satu
mahu mengikat direktori sumber pelekap /foo seseorang boleh buat mount --mengikat /foo /foo and mount
--buat-swasta --buat-kongsi /foo. Ini akan menukar /foo menjadi a dikongsi titik pelekap.
Sebagai alternatif, seseorang boleh secara langsung menukar sifat perambatan lekap sumber. Katakanlah / is
lekap sumber untuk /foo, kemudian gunakan mount --buat-kongsi / untuk menukar / ke dalam dikongsi melekap.
Nota: Apabila menggunakan systemd untuk menguruskan mula dan berhenti daemon Docker, dalam
systemd unit fail terdapat pilihan untuk mengawal penyebaran pelekap untuk Docker
daemon sendiri, dipanggil GunungBendera. Nilai tetapan ini mungkin menyebabkan Docker tidak
lihat perubahan perambatan lekap yang dibuat pada titik lekap. Sebagai contoh, jika nilai ini
is hamba, anda mungkin tidak boleh menggunakan dikongsi or rshared penyebaran pada volum.
--pemandu-volume=""
Pemacu kelantangan kontena. Pemacu ini mencipta volum yang ditentukan sama ada daripada
fail Docker VOLUME arahan atau daripada docker menjalankan -v bendera.
Lihat docker-volume-create(1) untuk maklumat penuh.
--volume-daripada=[]
Lekapkan volum dari bekas yang ditentukan
Melekapkan volum yang telah dipasang dari bekas sumber ke bekas yang lain
bekas. Anda mesti membekalkan id bekas sumber. Untuk berkongsi
kelantangan, gunakan --volume-daripada pilihan semasa berjalan
bekas sasaran. Anda boleh berkongsi volum walaupun bekas sumber
tidak berjalan.
Secara lalai, Docker memasang volum dalam mod yang sama (baca-tulis atau
baca sahaja) kerana ia dipasang dalam bekas sumber. Secara pilihan, anda
boleh mengubahnya dengan membubuhkan bekas-id dengan sama ada :ro or
:rw kata kunci.
Jika lokasi volum daripada bekas sumber bertindih dengan
data berada pada bekas sasaran, kemudian volumnya tersembunyi
bahawa data pada sasaran.
-w, --workdir=""
Direktori kerja di dalam bekas
Direktori kerja lalai untuk menjalankan binari dalam bekas ialah akar
direktori (/). Pembangun boleh menetapkan lalai yang berbeza dengan Dockerfile WORKDIR
arahan. Operator boleh mengatasi direktori kerja dengan menggunakan -w pilihan.
Keluar status
Kod keluar dari docker menjalankan memberikan maklumat tentang sebab bekas itu gagal dijalankan atau
mengapa ia keluar. Bila docker menjalankan keluar dengan kod bukan sifar, kod keluar mengikut
kekacauan standard, lihat di bawah:
125 if yang kesilapan is bersama buruh pelabuhan daemon sendiri
$ docker run --foo busybox; echo $?
# bendera disediakan tetapi tidak ditakrifkan: --foo
Lihat 'docker run --help'.
125
126 if yang terkandung arahan tidak boleh be dipanggil
$ docker run busybox / Etc; echo $?
# eksekutif: "/ Etc": kebenaran ditolak
docker: Respons ralat daripada daemon: Perintah yang terkandung tidak dapat digunakan
126
127 if yang terkandung arahan tidak boleh be ditemui
$ docker run busybox foo; echo $?
# exec: "foo": fail boleh laku tidak ditemui dalam $PATH
docker: Respons ralat daripada daemon: Perintah yang terkandung tidak ditemui atau tidak wujud
127
Keluar kod of terkandung arahan jika tidak,
$ docker run busybox / Bin / sh -c 'keluar 3'
# 3
CONTOH
Berlari bekas in baca sahaja mod
Semasa pembangunan imej kontena, bekas selalunya perlu menulis pada kandungan imej.
Memasang pakej ke dalam / usr, sebagai contoh. Dalam pengeluaran, aplikasi jarang perlu
tulis pada imej. Aplikasi kontena menulis ke jilid jika mereka perlu menulis ke fail
sistem sama sekali. Aplikasi boleh dibuat lebih selamat dengan menjalankannya dalam mod baca sahaja
menggunakan suis --baca sahaja. Ini melindungi imej bekas daripada pengubahsuaian. Baca
hanya bekas mungkin masih perlu menulis data sementara. Cara terbaik untuk menangani perkara ini ialah
lekapkan direktori tmpfs pada / lari dan /tmp.
# docker run --read-only --tmpfs / lari --tmpfs / tmp -i -t fedora / bin / bash
Mendedahkan log mesej dari yang bekas kepada yang tuan rumah log
Jika anda mahu mesej yang dilog masuk ke dalam bekas anda dipaparkan dalam bekas hos
syslog/jurnal maka anda harus mengikat lekapkan direktori /dev/log seperti berikut.
# docker run -v /dev/log:/dev/log -i -t fedora / bin / bash
Dari dalam bekas anda boleh menguji ini dengan menghantar mesej ke log.
(bash)# logger "Helo dari bekas saya"
Kemudian keluar dan semak jurnal.
# keluar
# journalctl -b | grep Hello
Ini harus menyenaraikan mesej yang dihantar kepada pembalak.
Melampirkan kepada 1 or lebih dari STDIN, STDOUT, STDERR
Jika anda tidak menyatakan -a maka Docker akan melampirkan segala-galanya (stdin,stdout,stderr) yang anda akan
suka menyambung sebaliknya, seperti dalam:
# docker run -a stdin -a stdout -i -t fedora / bin / bash
Berkongsi IPC antara bekas
Menggunakan shm_server.c tersedia di sini: ⟨https://www.cs.cf.ac.uk/Dave/C/node27.html⟩
Ujian --ipc=hos mod:
Hos menunjukkan segmen memori dikongsi dengan 7 pid dilampirkan, kebetulan dari httpd:
$ sudo ipcs -m
------ Segmen Memori Dikongsi --------
kunci pemilik shmid perms bait status nattch
0x01128e25 0 punca 600 1000 7
Sekarang jalankan bekas biasa, dan ia TIDAK melihat segmen memori kongsi dengan betul
pengacara itu:
$ docker run -it shm ipcs -m
------ Segmen Memori Dikongsi --------
kunci pemilik shmid perms bait status nattch
Jalankan bekas dengan yang baharu --ipc=hos pilihan, dan ia kini melihat segmen memori yang dikongsi
daripada hos httpd:
$ docker run -it --ipc=host shm ipcs -m
------ Segmen Memori Dikongsi --------
kunci pemilik shmid perms bait status nattch
0x01128e25 0 punca 600 1000 7
Ujian --ipc=bekas:CONTAINERID mod:
Mulakan bekas dengan program untuk mencipta segmen memori yang dikongsi:
$ docker run -it shm bash
$ sudo shm/shm_server
$ sudo ipcs -m
------ Segmen Memori Dikongsi --------
kunci pemilik shmid perms bait status nattch
0x0000162e 0 punca 666 27 1
Cipta bekas ke-2 dengan betul tidak menunjukkan segmen memori dikongsi daripada bekas pertama:
$ docker run shm ipcs -m
------ Segmen Memori Dikongsi --------
kunci pemilik shmid perms bait status nattch
Buat bekas ke-3 menggunakan pilihan --ipc=container:CONTAINERID baharu, kini ia menunjukkan
segmen memori yang dikongsi dari yang pertama:
$ docker run -it --ipc=container:ed735b2264ac shm ipcs -m
$ sudo ipcs -m
------ Segmen Memori Dikongsi --------
kunci pemilik shmid perms bait status nattch
0x0000162e 0 punca 666 27 1
Menghubungkan Bekas
Nota: Bahagian ini menerangkan pemautan antara bekas pada lalai (jambatan)
rangkaian, juga dikenali sebagai "pautan warisan". menggunakan --pautan pada penggunaan rangkaian yang ditentukan pengguna
penemuan berasaskan DNS, yang tidak menambah entri kepada / Etc / tuan rumah, dan tidak ditetapkan
pembolehubah persekitaran untuk penemuan.
Ciri pautan membolehkan berbilang bekas untuk berkomunikasi antara satu sama lain. Contohnya, a
bekas yang Dockerfilenya telah mendedahkan port 80 boleh dijalankan dan dinamakan seperti berikut:
# docker run --name=link-test -d -i -t fedora/httpd
Bekas kedua, dalam kes ini dipanggil penghubung, boleh berkomunikasi dengan bekas httpd,
dinamakan pautan-ujian, dengan menjalankan dengan --pautan= :
# docker run -t -i --link=link-test:lt --name=linker fedora / bin / bash
Sekarang pemaut kontena dipautkan ke ujian pautan kontena dengan alias lt. Menjalankan
env arahan dalam bekas pemaut menunjukkan pembolehubah persekitaran
dengan konteks LT (alias) (LT_)
# env
HOSTNAME=668231cb0978
TERMA=xterm
LT_PORT_80_TCP=tcp://172.17.0.3:80
LT_PORT_80_TCP_PORT=80
LT_PORT_80_TCP_PROTO=tcp
LT_PORT=tcp://172.17.0.3:80
LALUAN=/ usr / tempatan / sbin:/ usr / local / bin:/ usr / sbin:/ usr / bin:/ sbin:/ bin
PWD=/
LT_NAME=/linker/lt
SHLVL=1
RUMAH=/
LT_PORT_80_TCP_ADDR=172.17.0.3
_=/usr/bin/env
Apabila memautkan dua bekas Docker akan menggunakan port terdedah bekas untuk membuat a
terowong selamat untuk diakses oleh ibu bapa.
Jika bekas disambungkan ke rangkaian jambatan lalai dan dikaitkan dengan lain-lain
bekas, kemudian bekas itu / Etc / tuan rumah fail dikemas kini dengan bekas yang dipautkan
nama.
Nota Memandangkan Docker boleh mengemas kini kontena secara langsung / Etc / tuan rumah fail, mungkin ada
situasi apabila proses di dalam bekas boleh berakhir membaca kosong atau
tidak lengkap / Etc / tuan rumah fail. Dalam kebanyakan kes, mencuba semula bacaan semula harus membetulkan
masalah.
Pemetaan pelabuhan Untuk luar Penggunaan
Port terdedah aplikasi boleh dipetakan ke port hos menggunakan -p bendera. Untuk
contoh, port httpd 80 boleh dipetakan ke port hos 8080 menggunakan yang berikut:
# larian buruh pelabuhan -p 8080:80 -d -i -t fedora/httpd
mewujudkan and Mounting a Tarikh jumlah Bekas
Banyak aplikasi memerlukan perkongsian data berterusan merentas beberapa bekas. Docker
membolehkan anda mencipta Bekas Isipadu Data yang boleh digunakan oleh bekas lain. Untuk
contoh, buat bekas bernama yang mengandungi direktori /var/volume1 dan /tmp/volume2.
Imej itu perlu mengandungi direktori ini supaya beberapa arahan RUN mkdir
mungkin diperlukan untuk anda imej fedora-data:
# docker run --name=data -v /var/volume1 -v /tmp/volume2 -i -t fedora-data true
# docker run --volumes-from=data --name=fedora-container1 -i -t fedora bash
Berbilang --volumes-from parameter akan menghimpunkan berbilang volum data daripada berbilang
bekas. Dan mungkin untuk melekapkan volum yang datang dari bekas DATA ke dalam
satu lagi bekas melalui bekas perantara fedora-container1, membenarkan
abstrak sumber data sebenar daripada pengguna data tersebut:
# docker run --volumes-from=fedora-container1 --name=fedora-container2 -i -t fedora bash
Mounting luar Jilid
Untuk melekapkan direktori hos sebagai volum kontena, nyatakan laluan mutlak ke
direktori dan laluan mutlak untuk direktori kontena yang dipisahkan oleh titik bertindih:
# docker run -v /var/db:/data1 -i -t fedora bash
Apabila menggunakan SELinux, maklum bahawa hos tidak mempunyai pengetahuan tentang dasar SELinux bekas.
Oleh itu, dalam contoh di atas, jika dasar SELinux dikuatkuasakan, the /var/db direktori ialah
tidak boleh ditulis pada bekas. Mesej "Kebenaran Ditolak" akan berlaku dan avc:
mesej dalam syslog hos.
Untuk mengatasinya, pada masa menulis halaman manual ini, arahan berikut perlu
jalankan supaya label jenis dasar SELinux yang betul dilampirkan pada hos
direktori:
# chcon -Rt svirt_sandbox_file_t /var/db
Sekarang, menulis ke volum /data1 dalam bekas akan dibenarkan dan perubahan akan dibenarkan
juga dapat dilihat pada hos dalam /var/db.
Menggunakan alternatif keselamatan pelabelan
Anda boleh mengatasi skema pelabelan lalai untuk setiap bekas dengan menentukan
--security-opt bendera. Sebagai contoh, anda boleh menentukan tahap MCS/MLS, keperluan untuk MLS
sistem. Menentukan tahap dalam arahan berikut membolehkan anda berkongsi perkara yang sama
kandungan antara bekas.
# docker run --security-opt label:level:s0:c100,c200 -i -t fedora bash
Contoh MLS mungkin:
# docker run --security-opt label:level:TopSecret -i -t rhel7 bash
Untuk melumpuhkan pelabelan keselamatan untuk bekas ini berbanding berjalan dengan --permisif
bendera, gunakan arahan berikut:
# docker run --security-opt label:disable -i -t fedora bash
Jika anda mahukan dasar keselamatan yang lebih ketat pada proses dalam bekas, anda boleh menentukan
jenis ganti untuk bekas. Anda boleh menjalankan bekas yang hanya dibenarkan
dengar pada port Apache dengan melaksanakan arahan berikut:
# docker run --security-opt label:type:svirt_apache_t -i -t centos bash
Catatan:
Anda perlu menulis penentuan dasar a svirt_apache_t jenis.
Menetapkan peranti berat
Jika anda ingin menetapkan / Dev / literasi berat peranti ke 200, anda boleh menentukan berat peranti dengan
--blkio-berat-peranti bendera. Gunakan arahan berikut:
# docker run -it --blkio-weight-device "/dev/sda:200" ubuntu
Tentukan pengasingan teknologi Untuk bekas (--pengasingan)
Pilihan ini berguna dalam situasi di mana anda menjalankan bekas Docker pada Microsoft
Windows. The --pengasingan pilihan menetapkan teknologi pengasingan bekas. Di Linux,
yang disokong hanyalah lalai pilihan yang menggunakan ruang nama Linux. Dua perintah ini
adalah setara di Linux:
$ docker run -d busybox top
$ docker run -d --isolation default busybox top
Pada Microsoft Windows, boleh mengambil mana-mana nilai ini:
· lalai: Gunakan nilai yang ditentukan oleh daemon Docker --exec-opt . Jika daemon tidak
tidak menyatakan teknologi pengasingan, Microsoft Windows menggunakan proses sebagai lalainya
nilai.
· proses: Pengasingan ruang nama sahaja.
· hiper: Pengasingan berasaskan partition hyper-V hypervisor.
Dalam amalan, apabila berjalan pada Microsoft Windows tanpa a daemon set pilihan, dua ini
arahan adalah setara:
$ docker run -d --isolation default busybox top
$ docker run -d --isolation process busybox top
Jika anda telah menetapkan --exec-opt pengasingan=hiperv pilihan pada Docker daemon, mana-mana daripada ini
arahan juga terhasil hiper pengasingan:
$ docker run -d --isolation default busybox top
$ docker run -d --isolation hyperv busybox top
SEJARAH
April 2014, Asalnya disusun oleh William Henry (whenry di redhat dot com) berdasarkan
bahan sumber dan kerja dalaman docker.com. Jun 2014, dikemas kini oleh Sven Dowideit
⟨[e-mel dilindungi]⟩ Julai 2014, dikemas kini oleh Sven Dowideit ⟨[e-mel dilindungi]⟩
November 2015, dikemas kini oleh Sally O'Malley ⟨[e-mel dilindungi]⟩
Gunakan docker-run dalam talian menggunakan perkhidmatan onworks.net
