Dit is de opdracht docker-run die kan worden uitgevoerd in de gratis hostingprovider van OnWorks met behulp van een van onze meerdere gratis online werkstations zoals Ubuntu Online, Fedora Online, Windows online emulator of MAC OS online emulator
PROGRAMMA:
NAAM
docker-run - Voer een opdracht uit in een nieuwe container
KORTE INHOUD
havenarbeider lopen [-a|--bijvoegen[=[],--add-host[=[],--blkio-gewicht[=[BLKIO-GEWICHT]]]
[--blkio-gewicht-apparaat[=[],--cpu-aandelen[=0,--cap-toevoegen[=[],--cap-drop[=[]]]
[--cgroup-ouder[=CGROUP-PAD,--cidbestand[=CIDFIEL,--cpu-periode[=0,--cpu-quotum[=0]]
[--cpuset-cpu's[=CPUSET-CPU,--cpuset-mems[=CPUSET-MEMS,-d|--losmaken]
[--detach-toetsen[=[],--apparaat[=[],--apparaat-lees-bps[=[],--apparaat-lees-iops[=[]]]
[--apparaat-schrijf-bps[=[],--apparaat-schrijf-iops[=[],--dns[=[],--dns-opt[=[]]]
[--dns-zoeken[=[],-e|--omg[=[],--ingangspunt[=INGANGSPUNT,--env-bestand[=[]]]
[--blootstellen[=[],--groep-toevoegen[=[],-h|--hostnaam[=HOSTNAME,--help] [-i|--interactief]
[--ik p[=IPv4-ADRES,--ip6[=IPv6-ADRES,--ipv[=IPC,--isolatie[=verzuim]]
[--kernel-geheugen[=KERNEL-GEHEUGEN,-l|--etiket[=[],--label-bestand[=[],--koppeling[=[]]]
[--log-stuurprogramma[=[],--log-opt[=[],-m|--geheugen[=GEHEUGEN,--Mac adres[=MAC ADRES]]
[--geheugen-reservering[=GEHEUGEN-RESERVERING,--geheugen-swap[=LIMIT]]
[--geheugen-swappiness[=GEHEUGENVERWISSELING,--naam[=NAAM,--netto[="brug"]]
[--net-alias[=[],--oom-kill-uitschakelen] [--oom-score-adj[=0,-P|--alles publiceren]
[-p|--publiceren[=[],--pid[=[],--bevoorrechte] [--alleen lezen] [--herstarten[=HERSTARTEN,--rm]
[--beveiliging-opt[=[],--stop-signaal[=SIGNAAL,--shm-maat[=[],--sig-proxy[=waar]]
[-t|--tty] [--tmpfs[=[CONTAINER-DIR[: ],-u|--gebruiker[=GEBRUIKER,--ulimit[=[]]]
[--uts[=[],-v|--volume[=[[HOST-DIR:]CONTAINER-DIR[:OPTIES]]]]
[--volume-stuurprogramma[=DRIVER,--volumes-van[=[],-w|--werkmap[=WERKDIR]] AFBEELDING [COMMANDO]
[ARG...]
PRODUCTBESCHRIJVING
Voer een proces uit in een nieuwe container. havenarbeider lopen start een proces met zijn eigen bestandssysteem,
zijn eigen netwerk en zijn eigen geïsoleerde procesboom. Het BEELD dat het proces start
kan standaardinstellingen definiëren met betrekking tot het proces dat in de container wordt uitgevoerd, de
netwerken om bloot te leggen, en meer, maar havenarbeider lopen geeft de laatste controle aan de operator of
beheerder die de container start vanuit de afbeelding. Om die reden havenarbeider lopen heeft meer
opties dan enig ander Docker-commando.
Als de IMAGE nog niet is geladen, dan havenarbeider lopen trekt de IMAGE en alle afbeeldingen
afhankelijkheden, vanuit de repository op dezelfde manier uitgevoerd havenarbeider trek BEELD, ervoor
start de container vanuit die afbeelding.
OPTIES
-a, --bijvoegen=[]
Bevestig aan STDIN, STDOUT of STDERR.
In de voorgrondmodus (de standaard wanneer -d is niet gespecificeerd), havenarbeider lopen kan het
proces in de container en bevestig de console aan de standaard invoer, uitvoer,
en standaardfout. Het kan zelfs doen alsof het een TTY is (dit is wat de meeste commandoregel)
uitvoerbare bestanden verwachten) en signalen doorgeven. De -a optie kan worden ingesteld voor elk van stdin,
stdout en stderr.
--add-host=[]
Een aangepaste host-naar-IP-toewijzing toevoegen (host:ip)
Voeg een regel toe aan /etc/hosts. Het formaat is hostnaam:ip. De --add-host optie kan worden ingesteld
meerdere keren.
--blkio-gewicht=0
Blok-IO-gewicht (relatief gewicht) accepteert een gewichtswaarde tussen 10 en 1000.
--blkio-gewicht-apparaat=[]
Blok-IO-gewicht (relatief apparaatgewicht, formaat: DEVICE_NAME:GEWICHT).
--cpu-aandelen=0
CPU-aandelen (relatief gewicht)
Standaard krijgen alle containers hetzelfde aandeel CPU-cycli. Dit aandeel kan
gewijzigd door de weging van het CPU-aandeel van de container te wijzigen ten opzichte van de weging van alles
andere lopende containers.
Om de verhouding van de standaardwaarde van 1024 te wijzigen, gebruikt u de --cpu-aandelen vlag om de . in te stellen
weging naar 2 of hoger.
De verhouding is alleen van toepassing wanneer CPU-intensieve processen worden uitgevoerd. Wanneer taken in
één container is inactief, andere containers kunnen de overgebleven CPU-tijd gebruiken. Het werkelijke bedrag
van de CPU-tijd is afhankelijk van het aantal containers dat op het systeem draait.
Beschouw bijvoorbeeld drie containers, één heeft een cpu-share van 1024 en twee andere hebben een
cpu-share-instelling van 512. Wanneer processen in alle drie de containers proberen 100% van . te gebruiken
CPU zou de eerste container 50% van de totale CPU-tijd krijgen. Als je een vierde toevoegt
container met een cpu-share van 1024, krijgt de eerste container slechts 33% van de CPU. De
overige containers ontvangen 16.5%, 16.5% en 33% van de CPU.
Op een multi-coresysteem worden de aandelen van de CPU-tijd verdeeld over alle CPU-cores. Zelfs als
een container is beperkt tot minder dan 100% van de CPU-tijd, het kan 100% van elk individu gebruiken
CPU-kern.
Denk bijvoorbeeld aan een systeem met meer dan drie cores. Als u één container start: {C0}
Met -c=512 één proces en een andere container uitvoeren {C1} Met -c=1024 twee rennen
processen, kan dit resulteren in de volgende verdeling van CPU-shares:
PID-container CPU CPU-aandeel
100 {C0} 0 100% van CPU0
101 {C1} 1 100% van CPU1
102 {C1} 2 100% van CPU2
--cap-toevoegen=[]
Linux-mogelijkheden toevoegen
--cap-drop=[]
Laat Linux-mogelijkheden vallen
--cgroup-ouder=""
Pad naar cgroups waaronder de cgroup voor de container wordt aangemaakt. Als het pad
is niet absoluut, het pad wordt beschouwd als relatief aan het cgroups-pad van de init
Verwerken. C-groepen worden aangemaakt als ze nog niet bestaan.
--cidbestand=""
Schrijf de container-ID naar het bestand
--cpu-periode=0
Beperk de CPU CFS (Completely Fair Scheduler) periode
Beperk het CPU-gebruik van de container. Deze vlag vertelt de kernel om de CPU van de container te beperken
gebruik tot de periode die u opgeeft.
--cpuset-cpu's=""
CPU's waarin uitvoering mogelijk is (0-3, 0,1)
--cpuset-mems=""
Geheugenknooppunten (MEM's) waarin uitvoering mogelijk is (0-3, 0,1). Alleen geldig op NUMA
systemen.
Als u vier geheugenknooppunten op uw systeem hebt (0-3), gebruik dan --cpuset-mems=0,1 dan verwerkt
in uw Docker-container gebruikt alleen geheugen van de eerste twee geheugenknooppunten.
--cpu-quotum=0
Beperk het CPU CFS-quotum (Completely Fair Scheduler)
Beperk het CPU-gebruik van de container. Standaard worden containers uitgevoerd met de volledige CPU-resource.
Deze vlag vertelt de kernel om het CPU-gebruik van de container te beperken tot het quotum dat u opgeeft.
-d, --losmaken=waar|vals
Vrijstaande modus: voer de container op de achtergrond uit en druk de nieuwe container-ID af. De
standaard is vals.
Je kunt op elk moment rennen havenarbeider ps in de andere shell om een lijst van de running . te bekijken
containers. U kunt deze weer vastmaken aan een vrijstaande container met havenarbeider hechten. Als je ervoor kiest
voer een container uit in de ontkoppelde modus, dan kunt u de . niet gebruiken -rm optie.
Wanneer bevestigd in de tty-modus, kunt u deze loskoppelen van de container (en deze laten draaien)
met behulp van een configureerbare toetsenreeks. De standaardvolgorde is CTRL-p CTRL-q. Jij configureert
de toetsenreeks met behulp van de --detach-toetsen optie of een configuratiebestand. Zien
configuratie-json(5) voor documentatie over het gebruik van een configuratiebestand.
--detach-toetsen=""
Overschrijf de toetsenreeks voor het loskoppelen van een container. Formaat is een enkel teken [aZ]
or ctrl- WAAR is een van: AZ, @, ^, [, , or _.
--apparaat=[]
Voeg een hostapparaat toe aan de container (bijv. --device=/dev/sdc:/dev/xvdc:rwm)
--apparaat-lees-bps=[]
Beperk de leessnelheid van een apparaat (bijv. --device-read-bps=/dev/sda:1mb)
--apparaat-lees-iops=[]
Beperk de leessnelheid van een apparaat (bijv. --device-read-iops=/dev/sda:1000)
--apparaat-schrijf-bps=[]
Beperk de schrijfsnelheid tot een apparaat (bijv. --device-write-bps=/dev/sda:1mb)
--apparaat-schrijf-iops=[]
Beperk de schrijfsnelheid van een apparaat (bijv. --device-write-iops=/dev/sda:1000)
--dns-zoeken=[]
Stel aangepaste DNS-zoekdomeinen in (gebruik --dns-search=. als u de zoekopdracht niet wilt instellen)
domein)
--dns-opt=[]
Aangepaste DNS-opties instellen
--dns=[]
Aangepaste DNS-servers instellen
Deze optie kan worden gebruikt om de DNS-configuratie die aan de container is doorgegeven, te overschrijven.
Meestal is dit nodig wanneer de host-DNS-configuratie ongeldig is voor de container
(bijv. 127.0.0.1). Wanneer dit het geval is, --dns vlaggen is nodig voor elke run.
-e, --omg=[]
Omgevingsvariabelen instellen
Met deze optie kunt u willekeurige omgevingsvariabelen specificeren die beschikbaar zijn voor:
het proces dat in de container wordt gestart.
--ingangspunt=""
Overschrijf het standaard ENTRYPOINT van de afbeelding
Met deze optie kunt u het standaard ingangspunt van de afbeelding die is ingesteld in de
Dockerbestand. Het ENTRYPOINT van een afbeelding is vergelijkbaar met een COMMAND omdat het specificeert wat
uitvoerbaar om te draaien wanneer de container start, maar het is (met opzet) moeilijker om
overschrijven. Het ENTRYPOINT geeft een container zijn standaard karakter of gedrag, zodat wanneer
je stelt een ENTRYPOINT in, je kunt de container uitvoeren alsof het dat binaire bestand is, compleet met
standaardopties, en u kunt meer opties doorgeven via de COMMANDO. Maar soms een
operator wil misschien iets anders in de container uitvoeren, zodat u de . kunt overschrijven
standaard ENTRYPOINT tijdens runtime met behulp van a --ingangspunt en een tekenreeks om de nieuwe . te specificeren
INGANGSPUNT.
--env-bestand=[]
Een door regels gescheiden bestand van omgevingsvariabelen inlezen
--blootstellen=[]
Expose een poort, of een reeks poorten (bijv. --expose=3300-3310) informeert Docker dat de
container luistert tijdens runtime naar de opgegeven netwerkpoorten. Docker gebruikt deze informatie
om containers met elkaar te verbinden door middel van koppelingen en om poortomleiding op het hostsysteem in te stellen.
--groep-toevoegen=[]
Voeg extra groepen toe om uit te voeren als
-h, --hostnaam=""
Hostnaam van container
Stelt de hostnaam van de container in die beschikbaar is in de container.
--help
Gebruiksverklaring afdrukken
-i, --interactief=waar|vals
Houd STDIN open, zelfs als deze niet is aangesloten. De standaard is vals.
Als dit is ingesteld op waar, houdt u stdin open, zelfs als het niet is aangesloten. De standaardwaarde is onwaar.
--ik p=""
Stelt het IPv4-adres van de interface van de container in (bijv. 172.23.0.9)
Het kan alleen worden gebruikt in combinatie met: --netto voor door de gebruiker gedefinieerde netwerken
--ip6=""
Stelt het IPv6-adres van de interface van de container in (bijv. 2001:db8::1b99)
Het kan alleen worden gebruikt in combinatie met: --netto voor door de gebruiker gedefinieerde netwerken
--ipv=""
Standaard is het maken van een privé IPC-naamruimte (POSIX SysV IPC) voor de container
'container: ': hergebruikt een andere gedeelde container
geheugen, semaforen en berichtenwachtrijen
'host': gebruik het gedeelde geheugen van de host, semaforen en bericht
wachtrijen in de container. Opmerking: de hostmodus geeft de container volledige toegang tot local
gedeeld geheugen en wordt daarom als onveilig beschouwd.
--isolatie="verzuim"
Isolatie specificeert het type isolatietechnologie dat door containers wordt gebruikt.
-l, --etiket=[]
Stel metadata in op de container (bijv. --label com.example.key=value)
--kernel-geheugen=""
Kernelgeheugenlimiet (formaat: [ ], waarbij eenheid = b, k, m of g)
Beperkt het beschikbare kernelgeheugen voor een container. Als een limiet van 0 is opgegeven (niet
gebruik --kernel-geheugen), is het kernelgeheugen van de container niet beperkt. Als u een specificeert
limiet kan worden afgerond op een veelvoud van de paginagrootte van het besturingssysteem en de
waarde kan zeer groot zijn, miljoenen biljoenen.
--label-bestand=[]
Een door regels gescheiden bestand met labels lezen
--koppeling=[]
Voeg een link toe aan een andere container in de vorm van :alias of gewoon in
in welk geval de alias overeenkomt met de naam
Als de operator --koppeling bij het starten van de nieuwe clientcontainer, dan is de client
container heeft toegang tot de blootgestelde poort via een privénetwerkinterface. Docker zal instellen
enkele omgevingsvariabelen in de clientcontainer om aan te geven welke interface en
poort te gebruiken.
--log-stuurprogramma="json-bestand|syslog|journaal|gelul|vloeiend|awslogs|Splunk|geen"
Logging-stuurprogramma voor container. Standaard wordt gedefinieerd door daemon --log-stuurprogramma vlag.
waarschuwing: de havenarbeider logs commando werkt alleen voor de json-bestand en
journaal stuurprogramma's loggen.
--log-opt=[]
Logging driver specifieke opties.
-m, --geheugen=""
Geheugenlimiet (formaat: [ ], waarbij eenheid = b, k, m of g)
Hiermee kunt u het beschikbare geheugen voor een container beperken. Als de host swap ondersteunt
geheugen, dan de -m geheugeninstelling kan groter zijn dan fysiek RAM. Als een limiet van 0 is
gespecificeerd (niet gebruikend) -m), is het geheugen van de container niet beperkt. De werkelijke limiet kan zijn:
afgerond op een veelvoud van de paginagrootte van het besturingssysteem (de waarde zou zeer
groot, dat zijn miljoenen biljoenen).
--geheugen-reservering=""
Geheugen zachte limiet (formaat: [ ], waarbij eenheid = b, k, m of g)
Na het instellen van geheugenreservering, wanneer het systeem geheugenconflict of weinig geheugen detecteert,
containers worden gedwongen hun verbruik te beperken tot hun reservering. Dus je zou moeten
stel altijd onderstaande waarde in --geheugen, anders heeft de harde limiet voorrang. Door
standaard is de geheugenreservering hetzelfde als de geheugenlimiet.
--geheugen-swap="LIMIET"
Een grenswaarde gelijk aan geheugen plus swap. Moet worden gebruikt met de -m (--geheugen) vlag. De
ruilen LIMIT moet altijd groter zijn dan -m (--geheugen) waarde.
Het formaat van LIMIT is [ ]. Eenheid kan zijn b (byte), k (kilobytes), m
(megabytes), of g (gigabyte). Als u geen eenheid opgeeft, b is gebruikt. Stel LIMIET in op -1 naar
onbeperkt wisselen inschakelen.
--Mac adres=""
Container MAC-adres (bijv. 92:d0:c6:0a:29:33)
Onthoud dat het MAC-adres in een Ethernet-netwerk uniek moet zijn. De IPv6 link-local
adres wordt gebaseerd op het MAC-adres van het apparaat volgens RFC4862.
--naam=""
Wijs een naam toe aan de container
De operator kan een container op drie manieren identificeren:
UUID lange identifier
(“f78375b1c487e03c9438c729345e54db9d20cfa2ac1fc3494b6eb60872e74778”)
UUID korte identifier (“f78375b1c487”)
Naam (“Jona”)
De UUID-ID's komen van de Docker-daemon en als er geen naam is toegewezen aan de
container met --naam dan zal de daemon ook een willekeurige stringnaam genereren. De naam is
handig bij het definiëren van links (zie --koppeling) (of een andere plaats waar u een moet identificeren
container). Dit werkt voor Docker-containers op de achtergrond en op de voorgrond.
--netto="brug"
Stel de netwerkmodus in voor de container
'bridge': maak een netwerkstack op de standaard Docker
brug
'geen': geen netwerken
'container: ': hergebruik het netwerk van een andere container
stack
'host': gebruik de Docker-hostnetwerkstack. Opmerking: de gastheer
modus geeft de container volledige toegang tot lokale systeemdiensten zoals D-bus en is
daarom als onzeker beschouwd.
' | ': verbinding maken met een door de gebruiker gedefinieerde
netwerk
--net-alias=[]
Alias met netwerkbereik toevoegen voor de container
--oom-kill-uitschakelen=waar|vals
Of OOM Killer voor de container moet worden uitgeschakeld of niet.
--oom-score-adj=""
Stem de OOM-voorkeuren van de host af voor containers (accepteert -1000 tot 1000)
-P, --alles publiceren=waar|vals
Publiceer alle blootgestelde poorten naar willekeurige poorten op de hostinterfaces. De standaard is vals.
Indien ingesteld op true publiceert u alle blootgestelde poorten naar de hostinterfaces. De standaardwaarde is onwaar.
Als de operator -P (of -p) gebruikt, maakt Docker de blootgestelde poort toegankelijk op de
host en de poorten zijn beschikbaar voor elke client die de host kan bereiken. Bij gebruik van -P,
Docker zal elke blootgestelde poort binden aan een willekeurige poort op de host binnen een kortstondig port
reeks gedefinieerd door /proc/sys/net/ipv4/ip_local_port_range. Om de toewijzing tussen de . te vinden
hostpoorten en de blootgestelde poorten, gebruik havenarbeider port.
-p, --publiceren=[]
Publiceer de poort van een container, of het bereik van poorten, naar de host.
Formaat: ip:hostPort:containerPort | ip::containerPort | hostpoort: containerpoort |
containerPoort Zowel hostPort als containerPort kunnen worden opgegeven als een reeks poorten. Wanneer
het specificeren van bereiken voor beide, het aantal containerpoorten in het bereik moet overeenkomen met de
aantal hostpoorten in het bereik. (bijv. havenarbeider lopen -p 1234-1236: 1222-1224 --naam
dit werkt -t busybox maar niet havenarbeider lopen -p 1230-1236: 1230-1240 --naam
BereikContainerPoortenBiggerThanBereikHostPoorten -t busybox) Met ip: havenarbeider lopen -p
127.0.0.1:$HOSTPOORT:$CONTAINERPOORT --naam CONTAINER -t een of ander beeld Te gebruiken havenarbeider port zien
de eigenlijke toewijzing: havenarbeider port CONTAINER $CONTAINERPORT
--pid=gastheer
Stel de PID-modus voor de container in
gastheer: gebruik de PID-naamruimte van de host in de container.
Opmerking: de hostmodus geeft de container volledige toegang tot de lokale PID en is daarom:
als onzeker beschouwd.
--uts=gastheer
Stel de UTS-modus in voor de container
gastheer: gebruik de UTS-naamruimte van de host in de container.
Opmerking: de hostmodus geeft de container toegang tot het wijzigen van de hostnaam van de host en is
daarom als onzeker beschouwd.
--bevoorrechte=waar|vals
Geef uitgebreide bevoegdheden aan deze container. De standaard is vals.
Docker-containers zijn standaard "unprivileged" (=false) en kunnen bijvoorbeeld geen a
Docker-daemon in de Docker-container. Dit komt omdat een container standaard niet is
toegang hebben tot alle apparaten. Een “geprivilegieerde” container krijgt toegang tot alle apparaten.
Wanneer de operator uitvoert havenarbeider lopen --bevoorrechte, Docker geeft toegang tot iedereen
apparaten op de host en stel een configuratie in AppArmor in om de container toe te staan
bijna allemaal dezelfde toegang tot de host als processen die buiten een container op de
gastheer.
--alleen lezen=waar|vals
Koppel het rootbestandssysteem van de container als alleen-lezen.
Standaard zal een container zijn rootbestandssysteem beschrijfbaar hebben, waardoor processen kunnen schrijven
bestanden overal. Door het specificeren van de --alleen lezen vlag de container zal zijn root hebben
bestandssysteem gemount als alleen-lezen en verbiedt schrijven.
--herstarten="geen"
Herstartbeleid om toe te passen wanneer een container wordt afgesloten (nee, bij falen[:max-retry], altijd,
tenzij gestopt).
--rm=waar|vals
Verwijder automatisch de container wanneer deze wordt afgesloten (incompatibel met -d). De standaard is
vals.
--beveiliging-opt=[]
Beveiligingsopties
"label:user:USER" : Stel de labelgebruiker in voor de container
"label:role:ROLE" : Stel de labelrol voor de container in
"label:type:TYPE" : Stel het labeltype voor de container in
"label:level:LEVEL" : Stel het labelniveau voor de container in
"label:disable" : labelopsluiting voor de container uitschakelen
--stop-signaal=SIGTERM
Signaal om een container te stoppen. Standaard is SIGTERM.
--shm-maat=""
De grootte van /dev/shm. Het formaat is .
aantal moet groter zijn dan 0. Eenheid is optioneel en kan worden b (byte), k (kilobytes),
m(megabytes), of g (gigabyte).
Als u de eenheid weglaat, gebruikt het systeem bytes. Als u de maat volledig weglaat, wordt het systeem
toepassingen 64m.
--sig-proxy=waar|vals
Proxy ontvangen signalen naar het proces (alleen niet-TTY-modus). SIGCHLD, SIGSTOP en
SIGKILL zijn niet gemachtigd. De standaard is waar.
--geheugen-swappiness=""
Stem het geheugenwisselgedrag van een container af. Accepteert een geheel getal tussen 0 en 100.
-t, --tty=waar|vals
Wijs een pseudo-TTY toe. De standaard is vals.
Indien ingesteld op true kan Docker een pseudo-tty toewijzen en koppelen aan de standaardinvoer van elke
container. Dit kan bijvoorbeeld worden gebruikt om een wegwerp interactieve shell uit te voeren. De
standaard is onwaar.
De -t optie is niet compatibel met een omleiding van de standaardinvoer van de docker-client.
--tmpfs=[] Maak een tmpfs-mount
Koppel een tijdelijk bestandssysteem (tmpfs) monteren in een container, bijvoorbeeld:
$ docker-run -d --tmpfs / tmp:rw,size=787448k,mode=1777 mijn_afbeelding
Deze opdracht mounts a tmpfs at / tmp binnen de container. De ondersteunde mount-opties zijn:
hetzelfde als de Linux-standaard monteren vlaggen. Als u geen opties opgeeft, worden de systemen
maakt gebruik van de volgende opties: rw,noexec,nosuid,nodev,grootte=65536k.
-u, --gebruiker=""
Stelt de gebruikersnaam of UID in die wordt gebruikt en optioneel de groepsnaam of GID voor de opgegeven
opdracht.
De volgende voorbeelden zijn allemaal geldig:
--gebruiker [gebruiker | gebruiker:groep | uid | uid:gid | gebruiker:gid | uid:groep ]
Zonder dit argument wordt het commando uitgevoerd als root in de container.
--ulimit=[]
Ulimit opties
-v|--volume[=[[HOST-DIR:]CONTAINER-DIR[:OPTIES]]]
Maak een bind-mount. Als u opgeeft, -v /HOST-DIR:/CONTAINER-DIR, Dokker
binden mounts /HOST-DIR in de gastheer om /CONTAINER-DIR in de Docker
container. Als 'HOST-DIR' wordt weggelaten, maakt Docker automatisch de nieuwe
volume op de host. De OPTIES zijn een door komma's gescheiden lijst en kunnen zijn:
· [rw|ro]
· [z|Z]
· [[r]gedeeld|[r]slaaf|[r]privé]
De CONTAINER-DIR moet een absoluut pad zijn zoals /src/docs. De HOST-DIR kan een zijn
absoluut pad of a naam waarde. EEN naam waarde moet beginnen met een alfanumeriek teken,
gevolgd door a-z0-9, _ (laag streepje), . (periode) of - (koppelteken). Een absoluut pad begint met
a / (schuine streep naar voren).
Als u een HOST-DIR dat is een absoluut pad, Docker bind-mounts aan het pad dat u
specificeren. Als u een naam, Docker maakt daarmee een benoemd volume naam. Bijvoorbeeld,
u kunt ofwel specificeren /foe or foo voor een HOST-DIR waarde. Als u de /foe waarde,
Docker maakt een bind-mount. Als u de foo specificatie, Docker maakt een benoemde
volume.
U kunt meerdere opgeven -v opties om een of meer mounts op een container te monteren. Gebruiken
deze zelfde mounts in andere containers, specificeer de --volumes-van optie ook.
U kunt toevoegen : ro or :rw achtervoegsel aan een volume om het alleen-lezen of lezen-schrijven te koppelen,
respectievelijk. Standaard zijn de volumes read-write aangekoppeld. Zie voorbeelden.
Labelsystemen zoals SELinux vereisen dat de juiste labels op volume-inhoud worden geplaatst
gemonteerd in een container. Zonder label kan het beveiligingssysteem de processen verhinderen
die in de container wordt uitgevoerd om de inhoud te gebruiken. Docker verandert standaard niet
de labels die door het besturingssysteem zijn ingesteld.
Om een label in de containercontext te wijzigen, kunt u een van de twee achtervoegsels toevoegen :z or :Z naar
de volumemontage. Deze achtervoegsels vertellen Docker om bestandsobjecten op de gedeelde
volumes. De z optie vertelt Docker dat twee containers de volume-inhoud delen. Als een
resultaat, labelt Docker de inhoud met een gedeelde inhoudslabel. Gedeelde volumelabels toestaan
alle containers om inhoud te lezen/schrijven. De Z optie vertelt Docker om de inhoud te labelen met
een niet-gedeeld privélabel. Alleen de huidige container kan een privévolume gebruiken.
Standaard zijn bind gekoppelde volumes: privaat. Dat betekent dat alle montages in de container zijn gedaan
zal niet zichtbaar zijn op host en vice-a-versa. Men kan dit gedrag veranderen door a . op te geven
volume mount propagatie eigenschap. Een volume maken gedeeld mounts gedaan onder dat volume
inside container zal zichtbaar zijn op host en vice-a-versa. Een volume maken slaaf maakt
slechts op één manier mount-propagatie en dat is dat mounts op host onder dat volume worden uitgevoerd
zichtbaar in de container maar niet andersom.
Om de eigenschap van de mount-propagatie van het volume te regelen, kan men gebruiken :[r]gedeeld, :[r]slaaf or
:[r]privé propagatie vlag. Propagatie-eigenschap kan alleen worden opgegeven voor aangekoppelde binding
volumes en niet voor interne volumes of benoemde volumes. Om de voortplanting van de mount te laten werken
source mount point (mount point waar source dir op gemount is) moet recht hebben
voortplantingseigenschappen. Voor gedeelde volumes moet het bronkoppelpunt worden gedeeld. En voor
slave volumes, source mount moet ofwel gedeeld of slave zijn.
Te gebruiken df om de bronbevestiging te achterhalen en vervolgens te gebruiken vondst -o
DOEL, PROPAGATIE om propagatie-eigenschappen van de bron te achterhalen
monteren. Indien vondst hulpprogramma niet beschikbaar is, dan kan men kijken naar mount entry voor source
aankoppelpunt in / proc / zelf / mountinfo. Kijk naar optioneel velden en kijk of er sprake is van verspreiding
eigenschappen zijn opgegeven. gedeeld:X betekent mount is gedeeld, meester:X betekent mount is slaaf
en als er niets is, betekent dat mount is privaat.
Om de propagatie-eigenschappen van een koppelpunt te wijzigen, gebruik monteren opdracht. Bijvoorbeeld, als een
wil de mount-bronmap binden /foe men kan doen monteren --binden /foe /foe en monteren
--Maak prive --maak-gedeeld /foe. Dit zal /foo omzetten in a gedeeld koppelpunt.
Als alternatief kan men de propagatie-eigenschappen van source mount direct wijzigen. Zeggen / is
source mount voor /foe, gebruik dan monteren --maak-gedeeld / converteren / een gedeeld monteren.
Note: Bij gebruik van systemd om het starten en stoppen van de Docker-daemon te beheren, in de
systemd unit-bestand is er een optie om de mount-propagatie voor de Docker te regelen
daemon zelf, genaamd MountVlaggen. De waarde van deze instelling kan ertoe leiden dat Docker niet
zie mount propagatie wijzigingen aangebracht op het mount punt. Als deze waarde bijvoorbeeld
is slaaf, kunt u mogelijk geen gebruik maken van de gedeeld or rgedeeld voortplanting op een volume.
--volume-stuurprogramma=""
De volumedriver van de container. Dit stuurprogramma maakt volumes die zijn gespecificeerd vanuit:
een Dockerfile's VOLUME instructie of van de havenarbeider lopen -v vlag.
Bekijk docker-volume-maken(1) voor meer informatie.
--volumes-van=[]
Koppel volumes van de opgegeven container(s)
Koppelt reeds gekoppelde volumes van een broncontainer naar een andere
container. U moet de container-id van de bron opgeven. Delen
een volume, gebruik de --volumes-van optie tijdens hardlopen
de doelcontainer. U kunt volumes delen, zelfs als de broncontainer
is niet aan het rennen.
Docker koppelt de volumes standaard in dezelfde modus (lezen-schrijven of
alleen-lezen) zoals het is aangekoppeld in de broncontainer. Optioneel, u
kan dit veranderen door het achtervoegsel van de container-id met ofwel de : ro or
:rw trefwoord.
Als de locatie van het volume van de broncontainer overlapt met
gegevens die zich op een doelcontainer bevinden, wordt het volume verborgen
die gegevens op het doel.
-w, --werkmap=""
Werkmap in de container
De standaard werkmap voor het uitvoeren van binaire bestanden binnen een container is de root
map (/). De ontwikkelaar kan een andere standaard instellen met de Dockerfile WORKDIR
instructie. De operator kan de werkdirectory overschrijven met behulp van de -w optie.
afrit Status
De exit-code van havenarbeider lopen geeft informatie over waarom de container niet kon worden uitgevoerd of
waarom het is uitgegaan. Wanneer havenarbeider lopen uitgangen met een niet-nulcode, de exitcodes volgen de
chroot standaard, zie hieronder:
125 if de fout is Met havenarbeider demon zelf
$ docker run --foo busybox; echo $?
# vlag geleverd maar niet gedefinieerd: --foo
Zie 'docker run --help'.
125
126 if de bevatte commando kan niet be ingeroepen
$ docker voert busybox uit / Etc; echo $?
#exec: "/ Etc": toestemming geweigerd
docker: Foutreactie van daemon: Opgenomen commando kon niet worden aangeroepen
126
127 if de bevatte commando kan niet be gevonden
$ docker runt busybox foo; echo $?
# exec: "foo": uitvoerbaar bestand niet gevonden in $PATH
docker: foutreactie van daemon: bevatte opdracht niet gevonden of bestaat niet
127
afrit code of bevatte commando anders-
$ docker voert busybox uit / Bin / sh -c 'uitgang 3'
# 3
Voorbeelden
Hardlopen houder in alleen-lezen mode
Tijdens de ontwikkeling van containerimages moeten containers vaak naar de afbeeldingsinhoud schrijven.
Pakketten installeren in / usr, bijvoorbeeld. In productie hoeven toepassingen zelden:
schrijf naar de afbeelding. Containertoepassingen schrijven naar volumes als ze naar een bestand moeten schrijven
systemen helemaal niet. Toepassingen kunnen veiliger worden gemaakt door ze in de alleen-lezen modus uit te voeren
met behulp van de --read-only schakelaar. Dit beschermt de containerafbeelding tegen wijziging. Lezen
alleen containers moeten mogelijk nog tijdelijke gegevens schrijven. De beste manier om hiermee om te gaan is om
tmpfs-mappen aankoppelen op /rennen en /tmp.
# docker run --alleen-lezen --tmpfs /rennen --tmpfs / tmp -i -t gleufhoed / bin / bash
Het ontmaskeren van inloggen berichten oppompen van de houder naar de gastheer inloggen
Als u wilt dat berichten die in uw container zijn ingelogd, worden weergegeven in de host's
syslog/journal, dan moet je mount de /dev/log directory als volgt binden.
# docker run -v /dev/log:/dev/log -i -t fedora / bin / bash
Vanuit de container kun je dit testen door een bericht naar het logboek te sturen.
(bash)# logger "Hallo vanuit mijn container"
Sluit dan af en controleer het journaal.
# Uitgang
# journalctl -b | grep Hallo
Dit zou het bericht moeten weergeven dat naar de logger is verzonden.
Vastmaken naar een or meer oppompen van STDIN, STDOUT, STDERR
Als u geen -a opgeeft, voegt Docker alles toe (stdin,stdout,stderr) dat u zou willen
wil in plaats daarvan verbinding maken, zoals in:
# docker run -a stdin -a stdout -i -t fedora / bin / bash
Delen IPC tussen containers
Met behulp van shm_server.c beschikbaar hier: ⟨https://www.cs.cf.ac.uk/Dave/C/node27.html⟩
Testen --ipc=host modus:
Host toont een gedeeld geheugensegment met 7 pids, die toevallig van httpd zijn:
$ sudo ipcs-m
------ Gedeelde geheugensegmenten --------
sleutel shmid eigenaar perms bytes nattch status
0x01128e25 0 wortel 600 1000 7
Voer nu een gewone container uit en deze ziet het gedeelde geheugensegment NIET correct van
de gastheer:
$ docker run -it shm ipcs -m
------ Gedeelde geheugensegmenten --------
sleutel shmid eigenaar perms bytes nattch status
Voer een container uit met de nieuwe --ipc=host optie, en het ziet nu het gedeelde geheugensegment
van de host-httpd:
$ docker run -it --ipc=host shm ipcs -m
------ Gedeelde geheugensegmenten --------
sleutel shmid eigenaar perms bytes nattch status
0x01128e25 0 wortel 600 1000 7
Testen --ipc=container:CONTAINERID modus:
Start een container met een programma om een gedeeld geheugensegment te maken:
$ docker run -it shm bash
$ sudo shm/shm_server
$ sudo ipcs-m
------ Gedeelde geheugensegmenten --------
sleutel shmid eigenaar perms bytes nattch status
0x0000162e 0 wortel 666 27 1
Maak een 2e container correct toont geen gedeeld geheugensegment van de 1e container:
$ docker voert shm ipcs -m uit
------ Gedeelde geheugensegmenten --------
sleutel shmid eigenaar perms bytes nattch status
Maak een 3e container met de nieuwe --ipc=container:CONTAINERID optie, nu toont het de
gedeeld geheugensegment vanaf het eerste:
$ docker run -it --ipc=container:ed735b2264ac shm ipcs -m
$ sudo ipcs-m
------ Gedeelde geheugensegmenten --------
sleutel shmid eigenaar perms bytes nattch status
0x0000162e 0 wortel 666 27 1
Koppelen containers
Note: Deze sectie beschrijft het koppelen tussen containers op de standaard (bridge)
netwerk, ook wel bekend als "legacy links". Gebruik makend van --koppeling op door de gebruiker gedefinieerde netwerken gebruikt
de op DNS gebaseerde ontdekking, die geen vermeldingen toevoegt aan / Etc / hosts, en wordt niet ingesteld
omgevingsvariabelen voor ontdekking.
Door de koppelingsfunctie kunnen meerdere containers met elkaar communiceren. Bijvoorbeeld, een
container waarvan Dockerfile poort 80 heeft blootgelegd, kan als volgt worden uitgevoerd en benoemd:
# docker run --name=link-test -d -i -t fedora/httpd
Een tweede container, in dit geval linker genoemd, kan communiceren met de httpd-container,
benoemde link-test, door uit te voeren met de --link= :
# docker run -t -i --link=link-test:lt --name=linker fedora / bin / bash
Nu is de containerlinker gekoppeld aan de containerlink-test met de alias lt. het runnen van de
env commando in de linker container toont omgevingsvariabelen
met de LT (alias) context (LT_)
# omgeving
HOSTNAAM=668231cb0978
TERM=xtermijn
LT_PORT_80_TCP=tcp://172.17.0.3:80
LT_PORT_80_TCP_PORT=80
LT_PORT_80_TCP_PROTO=tcp
LT_PORT=tcp://172.17.0.3:80
PAD=/ usr / local / sbin:/ Usr / local / bin:/ usr / sbin:/ Usr / bin:/ sbin:/ bin
PWD=/
LT_NAME=/linker/lt
SHLVL=1
THUIS=/
LT_PORT_80_TCP_ADDR=172.17.0.3
_=/usr/bin/env
Bij het koppelen van twee containers zal Docker de blootgestelde poorten van de container gebruiken om een
beveiligde tunnel voor de ouder om toegang te krijgen.
Als een container is aangesloten op het standaard bridge-netwerk en gekoppeld met andere
containers, dan is de container / Etc / hosts bestand wordt bijgewerkt met de gekoppelde container
naam.
Note Aangezien Docker de container live kan updaten / Etc / hosts bestand, is er misschien
situaties waarin processen in de container kunnen leiden tot het lezen van een lege of
incompleet / Etc / hosts het dossier. In de meeste gevallen zou het opnieuw proberen van het lezen de moeten oplossen
probleem.
Mapping poorten For Extern Gebruik
De blootgestelde poort van een toepassing kan worden toegewezen aan een hostpoort met behulp van de -p vlag. Voor
een httpd-poort 80 kan bijvoorbeeld worden toegewezen aan de hostpoort 8080 met behulp van het volgende:
# docker run -p 8080:80 -d -i -t fedora/httpd
Wij creëren en Montage a Data Volume Containers
Veel applicaties vereisen het delen van persistente gegevens over meerdere containers. Docker
stelt u in staat een gegevensvolumecontainer te maken waaruit andere containers kunnen worden gekoppeld. Voor
maak bijvoorbeeld een benoemde container die de mappen /var/volume1 en /tmp/volume2 bevat.
De afbeelding moet deze mappen bevatten, dus een paar RUN mkdir-instructies
kan nodig zijn voor je fedora-data afbeelding:
# docker run --name=data -v /var/volume1 -v /tmp/volume2 -i -t fedora-data true
# docker run --volumes-from=data --name=fedora-container1 -i -t fedora bash
Meerdere --volumes-from parameters zullen meerdere datavolumes van meerdere samenbrengen
containers. En het is mogelijk om de volumes die uit de DATA-container kwamen te mounten in
nog een andere container via de fedora-container1 intermediaire container, waardoor
de feitelijke gegevensbron abstraheren van gebruikers van die gegevens:
# docker run --volumes-from=fedora-container1 --name=fedora-container2 -i -t fedora bash
Montage Extern Volumes
Om een hostdirectory als een containervolume aan te koppelen, specificeert u het absolute pad naar de
directory en het absolute pad voor de containerdirectory, gescheiden door een dubbele punt:
# docker run -v /var/db:/data1 -i -t fedora bash
Wanneer je SELinux gebruikt, wees je ervan bewust dat de host geen kennis heeft van het container SELinux-beleid.
Daarom, in het bovenstaande voorbeeld, als het SELinux-beleid wordt afgedwongen, /var/db map is
niet beschrijfbaar naar de container. Er verschijnt een bericht "Toestemming geweigerd" en een avc:
bericht in het syslog van de host.
Om dit te omzeilen, moet op het moment van schrijven van deze man-pagina het volgende commando zijn:
uitvoeren om het juiste SELinux-beleidstypelabel aan de host te koppelen
directory:
# chcon -Rt svirt_sandbox_file_t /var/db
Nu is schrijven naar het /data1-volume in de container toegestaan en de wijzigingen zullen
ook worden weergegeven op de host in /var/db.
gebruik alternatief veiligheid etikettering
U kunt het standaard etiketteringsschema voor elke container overschrijven door de
--beveiliging-opt vlag. U kunt bijvoorbeeld het MCS/MLS-niveau specificeren, een vereiste voor MLS
systemen. Door het niveau in de volgende opdracht op te geven, kunt u hetzelfde delen
inhoud tussen containers.
# docker run --security-opt label:level:s0:c100,c200 -i -t fedora bash
Een MLS-voorbeeld zou kunnen zijn:
# docker run --security-opt label:level:TopSecret -i -t rhel7 bash
Om de beveiligingslabels voor deze container uit te schakelen in plaats van te draaien met de --toegeeflijk
vlag, gebruik dan de volgende opdracht:
# docker run --security-opt label:disable -i -t fedora bash
Als u een strenger beveiligingsbeleid wilt voor de processen binnen een container, kunt u specificeren:
een alternatief type voor de container. Je zou een container kunnen draaien die alleen is toegestaan om:
luister op Apache-poorten door de volgende opdracht uit te voeren:
# docker run --security-opt label:type:svirt_apache_t -i -t centos bash
Opmerking:
Je zou een beleid moeten schrijven dat een svirt_apache_t type.
omgeving apparaat gewicht
Als u wilt instellen / Dev / sda apparaat gewicht naar 200, kunt u het apparaatgewicht specificeren door:
--blkio-gewicht-apparaat vlag. Gebruik de volgende opdracht:
# docker run -it --blkio-weight-device "/dev/sda:200" ubuntu
Specificeren isolatie technologie For houder (--isolatie)
Deze optie is handig in situaties waarin u Docker-containers op Microsoft gebruikt
Ramen. De --isolatie optie stelt de isolatietechnologie van een container in. op Linux,
de enige ondersteunde is de verzuim optie die gebruikmaakt van Linux-naamruimten. Deze twee commando's
zijn equivalent op Linux:
$ docker run -d busybox top
$ docker run -d --isolation standaard busybox top
Kan in Microsoft Windows elk van deze waarden aannemen:
· verzuim: Gebruik de waarde gespecificeerd door de Docker daemon's --exec-opt . Indien de demon doet
geen isolatietechnologie specificeren, gebruikt Microsoft Windows als standaard
waarde.
· : Alleen naamruimte-isolatie.
· hyperv: Hyper-V hypervisor-partitie-gebaseerde isolatie.
In de praktijk, bij het draaien op Microsoft Windows zonder a demon optieset, deze twee
commando's zijn equivalent:
$ docker run -d --isolation standaard busybox top
$ docker run -d --isolatieproces busybox top
Als u de --exec-opt isolatie=hyperv optie op de Docker demon, een van deze
commando's resulteren ook in hyperv isolatie:
$ docker run -d --isolation standaard busybox top
$ docker run -d --isolation hyperv busybox top
GESCHIEDENIS
April 2014, oorspronkelijk samengesteld door William Henry (whenry op redhat dot com) op basis van:
docker.com bronmateriaal en intern werk. Juni 2014, bijgewerkt door Sven Dowideit
⟨[e-mail beveiligd]⟩ Juli 2014, bijgewerkt door Sven Dowideit ⟨[e-mail beveiligd]⟩
November 2015, bijgewerkt door Sally O'Malley ⟨[e-mail beveiligd]⟩
Docker-run online gebruiken met onworks.net-services
