Это команда docker-run, которую можно запустить в бесплатном хостинг-провайдере OnWorks, используя одну из наших многочисленных бесплатных онлайн-рабочих станций, таких как Ubuntu Online, Fedora Online, онлайн-эмулятор Windows или онлайн-эмулятор MAC OS.
ПРОГРАММА:
ИМЯ
docker-run - Запускает команду в новом контейнере
СИНТАКСИС
докер пробег [-a|--прикреплять[=[]]] [--добавить хост[=[]]] [--blkio-вес[=[BLKIO-ВЕС]]]
[--blkio-вес-устройство[=[]]] [--cpu-share[=0]] [--cap-добавить[=[]]] [--cap-drop[=[]]]
[--cgroup-родитель[=CGROUP-ПУТЬ]] [--cidfile[=СИДФАЙЛ]] [--cpu-период[=0]] [--cpu-quota[=0]]
[--cpuset-процессор[=CPUSET-ЦП]] [--cpuset-mems[=CPUSET-MEMS]] [-d|--отсоединить]
[--detach-ключи[=[]]] [--устройство[=[]]] [- устройство-чтение-бит / с[=[]]] [- устройство-чтение-iops[=[]]]
[- устройство-запись-бит / с[=[]]] [- устройство-запись-iops[=[]]] [--dns[=[]]] [--dns-опт[=[]]]
[--dns-поиск[=[]]] [-e|--env[=[]]] [--входная точка[=ТОЧКА ВХОДА]] [--env-файл[=[]]]
[--разоблачать[=[]]] [--группа-добавить[=[]]] [-h|--имя хоста[=HOSTNAME]] [--Помогите] [-i|- интерактивный]
[--ip[=IPv4-АДРЕС]] [--ip6[=IPv6-АДРЕС]] [--ipc[=IPC]] [--изоляция[=по умолчанию]]
[--ядро-память[=ЯДРО-ПАМЯТЬ]] [-l|--метка[=[]]] [--label-файл[=[]]] [--ссылка[=[]]]
[--log-драйвер[=[]]] [--log-opt[=[]]] [-m|--объем памяти[=ПАМЯТЬ]] [--MAC-адрес[=MAC-АДРЕС]]
[- резервирование памяти[=ПАМЯТЬ-БРОНИРОВАНИЕ]] [--память-своп[=ОГРАНИЧЕНИЯ]]
[- замена памяти[=ПАМЯТЬ-ПОДМЕНА]] [--имя[=ИМЯ]] [--сеть[="мост"]]
[--net-псевдоним[=[]]] [--oom-kill-отключить] [--oom-счет-adj[=0]] [-P|- опубликовать все]
[-p|--публиковать[=[]]] [--пид[=[]]] [- привилегированный] [- только чтение] [--рестарт[=RESTART]] [--рм]
[--security-opt[=[]]] [- стоп-сигнал[=СИГНАЛ]] [--shm-размер[=[]]] [--sig-прокси[=правда]]
[-t|--tty] [--tmpfs[=[CONTAINER-DIR [: ]]] [-u|--Пользователь[=USER]] [- предел[=[]]]
[- орехи[=[]]] [-v|--объем[=[[HOST-DIR:] CONTAINER-DIR [: OPTIONS]]]]
[--volume-драйвер[=ВОДИТЕЛЬ]] [--volumes-от[=[]]] [-w|--workdir[=РАБОЧИЙКАТАЛОГ]] ИЗОБРАЖЕНИЕ [КОМАНДА]
[ARG ...]
ОПИСАНИЕ
Запустить процесс в новом контейнере. докер пробег запускает процесс с собственной файловой системой,
собственная сеть и собственное изолированное дерево процессов. ИЗОБРАЖЕНИЕ, с которого начинается процесс
может определять значения по умолчанию, связанные с процессом, который будет запущен в контейнере,
сети для разоблачения и многое другое, но докер пробег дает окончательный контроль оператору или
администратор, запускающий контейнер из образа. По этой причине докер пробег имеет больше
параметров, чем любая другая команда Docker.
Если ИЗОБРАЖЕНИЕ еще не загружено, тогда докер пробег потянет ИЗОБРАЖЕНИЕ, и все изображение
зависимости, из репозитория аналогично запускаемым докер тянуть ИЗОБРАЖЕНИЕ, перед ним
запускает контейнер с этого образа.
ДОПОЛНИТЕЛЬНЫЕ УСЛУГИ, НЕ ВКЛЮЧЕННЫЕ В ПАКЕТ
-a, --прикреплятьзнак равно
Присоединитесь к STDIN, STDOUT или STDERR.
В режиме переднего плана (по умолчанию, когда -d не указано), докер пробег может начать
процесса в контейнере и присоедините консоль к стандартному вводу, выводу процесса,
и стандартная ошибка. Он даже может притвориться TTY (это то, что большинство команд
исполняемые файлы ожидают) и передают сигналы. В -a опция может быть установлена для каждого из stdin,
stdout и stderr.
--добавить хостзнак равно
Добавьте настраиваемое сопоставление хоста с IP (хост: ip)
Добавьте строку в / etc / hosts. Формат: имя хоста: ip. В --добавить хост опция может быть установлена
много раз.
--blkio-вес=0
Вес блока ввода-вывода (относительный вес) принимает значение веса от 10 до 1000.
--blkio-вес-устройствознак равно
Вес блока ввода-вывода (относительный вес устройства, формат: DEVICE_NAME: WEIGHT).
--cpu-share=0
Доли ЦП (относительный вес)
По умолчанию все контейнеры получают одинаковую долю циклов ЦП. Эта пропорция может быть
изменен путем изменения веса доли ЦП контейнера относительно веса всех
другие работающие контейнеры.
Чтобы изменить пропорцию от 1024 по умолчанию, используйте --cpu-share флаг, чтобы установить
взвешивание до 2 или выше.
Пропорция будет применяться только тогда, когда запущены процессы, интенсивно использующие ЦП. Когда задачи в
один контейнер простаивает, другие контейнеры могут использовать оставшееся время ЦП. Фактическая сумма
процессорного времени будет зависеть от количества контейнеров, запущенных в системе.
Например, рассмотрим три контейнера, один из которых имеет долю ЦП 1024, а два других -
cpu-share равным 512. Когда процессы во всех трех контейнерах пытаются использовать 100%
ЦП, первый контейнер получит 50% от общего времени ЦП. Если добавить четвертый
контейнер с долей процессора 1024, первый контейнер получает только 33% ЦП. В
остальные контейнеры получают 16.5%, 16.5% и 33% ЦП.
В многоядерной системе доли процессорного времени распределяются по всем ядрам процессора. Даже если
контейнер ограничен менее 100% процессорного времени, он может использовать 100% каждого отдельного
Ядро процессора.
Например, рассмотрим систему с более чем тремя ядрами. Если запустить один контейнер {С0}
-c = 512 запущен один процесс и другой контейнер {С1} -c = 1024 работает два
процессов, это может привести к следующему разделению долей ЦП:
PID-контейнер ЦП Доля ЦП
100 {C0} 0 100% CPU0
101 {C1} 1 100% CPU1
102 {C1} 2 100% CPU2
--cap-добавитьзнак равно
Добавить возможности Linux
--cap-dropзнак равно
Откажитесь от возможностей Linux
--cgroup-родительзнак равно
Путь к контрольным группам, в которых будет создана контрольная группа для контейнера. Если путь
не является абсолютным, путь считается относительным к пути cgroups инициализации
процесс. Cgroups будут созданы, если они еще не существуют.
--cidfileзнак равно
Запишите идентификатор контейнера в файл
--cpu-период=0
Ограничьте период CPU CFS (полностью справедливый планировщик)
Ограничьте использование ЦП контейнера. Этот флаг указывает ядру ограничить процессор контейнера.
использования до указанного вами периода.
--cpuset-процессорзнак равно
ЦП, в которых разрешено выполнение (0-3, 0,1)
--cpuset-memsзнак равно
Узлы памяти (MEM), в которых разрешено выполнение (0–3, 0,1). Действует только на NUMA
систем.
Если в вашей системе четыре узла памяти (0-3), используйте --cpuset-mems = 0,1 затем обрабатывает
в вашем контейнере Docker будет использовать память только из первых двух узлов памяти.
--cpu-quota=0
Ограничьте квоту CPU CFS (полностью справедливый планировщик)
Ограничьте использование ЦП контейнера. По умолчанию контейнеры работают с полным ресурсом ЦП.
Этот флаг указывает ядру ограничить использование ЦП контейнером указанной вами квотой.
-d, --отсоединить=правда|ложный
Отсоединенный режим: запустите контейнер в фоновом режиме и распечатайте новый идентификатор контейнера. В
по умолчанию ложный.
В любой момент ты можешь бежать докер ps в другой оболочке, чтобы просмотреть список запущенных
контейнеры. Вы можете повторно присоединиться к отдельному контейнеру с помощью докер прикреплять, Если вы решите
запустить контейнер в автономном режиме, тогда вы не сможете использовать -rm опцию.
При подключении в режиме tty вы можете отсоединиться от контейнера (и оставить его включенным)
используя настраиваемую последовательность клавиш. Последовательность по умолчанию: CTRL-р CTRL+q. Вы настраиваете
последовательность клавиш с помощью --detach-ключи вариант или файл конфигурации. Видеть
конфиг-json(5) для документации по использованию файла конфигурации.
--detach-ключизнак равно
Отмените последовательность клавиш для отсоединения контейнера. Формат - одиночный символ [aZ]
or ctrl- в котором один из: Аризона, @, ^, [, , or _.
--устройствознак равно
Добавьте хост-устройство в контейнер (например, --device = / dev / sdc: / dev / xvdc: rwm)
- устройство-чтение-бит / сзнак равно
Ограничить скорость чтения с устройства (например, --device-read-bps = / dev / sda: 1 МБ)
- устройство-чтение-iopsзнак равно
Ограничить скорость чтения с устройства (например, --device-read-iops = / dev / sda: 1000)
- устройство-запись-бит / сзнак равно
Ограничить скорость записи на устройство (например, --device-write-bps = / dev / sda: 1 МБ)
- устройство-запись-iopsзнак равно
Ограничить скорость записи для устройства (например, --device-write-iops = / dev / sda: 1000)
--dns-поискзнак равно
Установите пользовательские домены поиска DNS (используйте --dns-search =., Если вы не хотите устанавливать поиск
домен)
--dns-оптзнак равно
Установите собственные параметры DNS
--dnsзнак равно
Настроить собственные DNS-серверы
Этот параметр можно использовать для переопределения конфигурации DNS, переданной в контейнер.
Обычно это необходимо, когда конфигурация DNS хоста недопустима для контейнера.
(например, 127.0.0.1). В этом случае --dns flags необходим для каждого запуска.
-e, --envзнак равно
Установить переменные среды
Этот параметр позволяет указать произвольные переменные среды, доступные для
процесс, который будет запущен внутри контейнера.
--входная точказнак равно
Перезаписать ENTRYPOINT изображения по умолчанию
Этот параметр позволяет перезаписать точку входа изображения по умолчанию, установленную в
Dockerfile. ENTRYPOINT изображения похож на КОМАНДУ, потому что он указывает, что
исполняемый файл для запуска при запуске контейнера, но (намеренно) сложнее
переопределить. ENTRYPOINT дает контейнеру характер или поведение по умолчанию, так что когда
вы устанавливаете ENTRYPOINT, вы можете запустить контейнер, как если бы это был этот двоичный файл, в комплекте с
параметры по умолчанию, и вы можете передать дополнительные параметры через КОМАНДУ. Но иногда
оператор может захотеть запустить что-то еще внутри контейнера, поэтому вы можете переопределить
ENTRYPOINT по умолчанию во время выполнения с использованием --входная точка и строка для указания нового
ВХОДНАЯ ТОЧКА.
--env-файлзнак равно
Прочитать файл переменных среды с разделителями в виде строк
--разоблачатьзнак равно
Открытие порта или диапазона портов (например, --expose = 3300-3310) сообщает Docker, что
контейнер прослушивает указанные сетевые порты во время выполнения. Докер использует эту информацию
для соединения контейнеров с помощью ссылок и для настройки перенаправления портов в хост-системе.
--группа-добавитьзнак равно
Добавить дополнительные группы для запуска от имени
-h, --имя хостазнак равно
Имя хоста контейнера
Устанавливает имя хоста контейнера, доступное внутри контейнера.
--Помогите
Распечатать заявление об использовании
-i, - интерактивный=правда|ложный
Держите STDIN открытым, даже если он не подключен. По умолчанию ложный.
Если установлено значение true, оставьте stdin открытым, даже если он не подключен. По умолчанию - false.
--ipзнак равно
Устанавливает IPv4-адрес интерфейса контейнера (например, 172.23.0.9)
Его можно использовать только вместе с --сеть для пользовательских сетей
--ip6знак равно
Устанавливает IPv6-адрес интерфейса контейнера (например, 2001: db8 :: 1b99)
Его можно использовать только вместе с --сеть для пользовательских сетей
--ipcзнак равно
По умолчанию создается частное пространство имен IPC (POSIX SysV IPC) для контейнера.
'контейнер: ': повторно использует другой общий контейнер
память, семафоры и очереди сообщений
'host': использовать разделяемую память хоста, семафоры и сообщение
очереди внутри контейнера. Примечание: режим хоста дает контейнеру полный доступ к локальному
разделяемая память и поэтому считается небезопасной.
--изоляция="по умолчанию"
Изоляция определяет тип технологии изоляции, используемой контейнерами.
-l, --метказнак равно
Установите метаданные в контейнере (например, --label com.example.key = value)
--ядро-памятьзнак равно
Ограничение памяти ядра (формат: [ ], где unit = b, k, m или g)
Ограничивает доступную для контейнера память ядра. Если указан предел 0 (не
через --ядро-память), память ядра контейнера не ограничена. Если вы укажете
предел, его можно округлить до кратного размера страницы операционной системы и
Стоимость может быть очень большой, миллионы триллионов.
--label-файлзнак равно
Прочитать файл этикеток с разделителями
--ссылказнак равно
Добавьте ссылку на другой контейнер в виде : псевдоним или просто в
в этом случае псевдоним будет соответствовать имени
Если оператор использует --ссылка при запуске нового клиентского контейнера клиент
контейнер может получить доступ к открытому порту через частный сетевой интерфейс. Докер установит
некоторые переменные среды в клиентском контейнере, чтобы помочь указать, какой интерфейс и
порт для использования.
--log-драйвер="json-файл|системный журнал|журнал|гельф|свободно|авслоги|расплескать|никто"
Драйвер регистрации для контейнера. По умолчанию определяется демон --log-драйвер флаг.
Предупреждение: докер бревна команда работает только для json-файл и
журнал ведение журнала драйверов.
--log-optзнак равно
Ведение журнала конкретных параметров драйвера.
-m, --объем памятизнак равно
Ограничение памяти (формат: [ ], где unit = b, k, m или g)
Позволяет ограничить объем памяти, доступной для контейнера. Если хост поддерживает своп
память, затем -m установка памяти может быть больше, чем физическая RAM. Если предел 0
указано (не используется -m) объем памяти контейнера не ограничен. Фактический предел может быть
округляется до кратного размера страницы операционной системы (значение будет очень
большой, это миллионы триллионов).
- резервирование памятизнак равно
Мягкое ограничение памяти (формат: [ ], где unit = b, k, m или g)
После настройки резервирования памяти, когда система обнаруживает конфликт памяти или нехватку памяти,
контейнеры вынуждены ограничивать свое потребление до их резервирования. Так что тебе следует
всегда устанавливайте значение ниже --объем памяти, в противном случае жесткое ограничение будет иметь приоритет. К
по умолчанию резервирование памяти будет таким же, как и ограничение памяти.
--память-своп= "ПРЕДЕЛ"
Предельное значение, равное памяти плюс своп. Должен использоваться с -m (--объем памяти) флаг. В
обмен ОГРАНИЧЕНИЯ всегда должен быть больше, чем -m (--объем памяти) ценить.
Формат ОГРАНИЧЕНИЯ is [ ]. Единица может быть b (байты), k (килобайты), m
(мегабайты) или g (гигабайты). Если вы не укажете единицу измерения, b используется. Установите LIMIT на -1 в
включить неограниченный своп.
--MAC-адресзнак равно
MAC-адрес контейнера (например, 92: d0: c6: 0a: 29: 33)
Помните, что MAC-адрес в сети Ethernet должен быть уникальным. Локальная ссылка IPv6
адрес будет основан на MAC-адресе устройства в соответствии с RFC4862.
--имязнак равно
Присвойте имя контейнеру
Оператор может идентифицировать контейнер тремя способами:
Длинный идентификатор UUID
(“f78375b1c487e03c9438c729345e54db9d20cfa2ac1fc3494b6eb60872e74778”)
Короткий идентификатор UUID («f78375b1c487»)
Имя («иона»)
Идентификаторы UUID поступают от демона Docker, и если имя не присвоено
контейнер с --имя тогда демон также сгенерирует случайное строковое имя. Имя
полезно при определении ссылок (см. --ссылка) (или в любом другом месте, где необходимо идентифицировать
контейнер). Это работает как для фоновых, так и для передних контейнеров Docker.
--сеть="мост"
Установите сетевой режим для контейнера
'мост': создать сетевой стек в Docker по умолчанию
мост
'none': нет сети
'контейнер: ': повторно использовать сеть другого контейнера
стек
'host': использовать сетевой стек хоста Docker. Примечание: хост
режим предоставляет контейнеру полный доступ к локальным системным службам, таким как D-bus, и
поэтому считается небезопасным.
' | ': подключиться к определенному пользователем
сеть
--net-псевдонимзнак равно
Добавить псевдоним в сетевой области для контейнера
--oom-kill-отключить=правда|ложный
Отключить OOM Killer для контейнера или нет.
--oom-счет-adjзнак равно
Настройте параметры OOM хоста для контейнеров (принимает от -1000 до 1000)
-P, - опубликовать все=правда|ложный
Опубликуйте все открытые порты для случайных портов на интерфейсах хоста. По умолчанию ложный.
Если установлено значение true, опубликуйте все открытые порты на интерфейсах хоста. По умолчанию - false.
Если оператор использует -P (или -p), тогда Docker сделает открытый порт доступным на
host, а порты будут доступны любому клиенту, который может связаться с хостом. При использовании -P,
Docker свяжет любой открытый порт со случайным портом на хосте в пределах эфемерный порт
ассортимент определяется / proc / sys / net / ipv4 / ip_local_port_range. Чтобы найти соответствие между
порты хоста и открытые порты используйте докер порт.
-p, --публиковатьзнак равно
Опубликуйте порт контейнера или диапазон портов на хосте.
Формат: ip: hostPort: containerPort | ip :: containerPort | hostPort: containerPort |
контейнерПорт И hostPort, и containerPort можно указать как диапазон портов. Когда
указав диапазоны для обоих, количество портов контейнера в диапазоне должно соответствовать
количество портов хоста в диапазоне. (например, докер пробег -p 1234-1236: 1222-1224 --имя
это работает -t BusyBox но не докер пробег -p 1230-1236: 1230-1240 --имя
RangeContainerPortsBiggerThanRangeHostPorts -t BusyBox) С ip: докер пробег -p
127.0.0.1:$HOSTPORT:$CONTAINERPORT --имя КОНТЕЙНЕР -t какой-то образ Используйте докер порт видеть
фактическое отображение: докер порт КОНТЕЙНЕР $ КОНТЕЙНЕРПОРТ
--пид=кашель
Установите режим PID для контейнера
кашель: использовать пространство имен PID хоста внутри контейнера.
Примечание: режим хоста дает контейнеру полный доступ к локальному PID и, следовательно,
считается небезопасным.
- орехи=кашель
Установите режим UTS для контейнера
кашель: использовать пространство имен UTS хоста внутри контейнера.
Примечание: режим хоста дает контейнеру доступ к изменению имени хоста и является
поэтому считается небезопасным.
- привилегированный=правда|ложный
Предоставьте этому контейнеру расширенные привилегии. По умолчанию ложный.
По умолчанию контейнеры Docker являются «непривилегированными» (= false) и не могут, например, запускать
Демон Docker внутри контейнера Docker. Это потому, что по умолчанию контейнер не
разрешен доступ к любым устройствам. «Привилегированному» контейнеру предоставляется доступ ко всем устройствам.
Когда оператор выполняет докер пробег - привилегированный, Docker предоставит доступ ко всем
устройств на хосте, а также задайте некоторую конфигурацию в AppArmor, чтобы позволить контейнеру
почти все тот же доступ к хосту, что и процессы, запущенные вне контейнера на
хост.
- только чтение=правда|ложный
Смонтируйте корневую файловую систему контейнера как доступную только для чтения.
По умолчанию у контейнера будет корневая файловая система с возможностью записи, позволяющая процессам писать
файлы где угодно. Указав - только чтение отметьте, что у контейнера будет корень
файловая система смонтирована как доступная только для чтения, запрещающая любую запись.
--рестарт="нет"
Политика перезапуска для применения при выходе из контейнера (нет, при ошибке [: max-retry], всегда,
если-не остановил).
--рм=правда|ложный
Автоматически удалять контейнер при выходе (несовместимо с -d). По умолчанию
ложный.
--security-optзнак равно
параметры безопасности
"label: user: USER": установить пользователя ярлыка для контейнера.
"label: role: ROLE": установить роль метки для контейнера.
"label: type: TYPE": установите тип ярлыка для контейнера.
"label: level: LEVEL": установите уровень ярлыка для контейнера.
"label: disable": отключить ограничение ярлыка для контейнера.
- стоп-сигнал=СИГТЕРМ
Сигнал об остановке контейнера. По умолчанию SIGTERM.
--shm-размерзнак равно
Размер / dev / shm. Формат .
номер должно быть больше, чем 0. Единица не является обязательной и может быть b (байты), k (килобайты),
m(мегабайты) или g (гигабайты).
Если вы не укажете единицу измерения, система использует байты. Если вы полностью опустите размер, система
использования 64m.
--sig-прокси=правда|ложный
Прокси-сервер получил сигналы процессу (только в режиме без телетайпа). SIGCHLD, SIGSTOP и
SIGKILL не проксируются. По умолчанию правда.
- замена памятизнак равно
Настройте поведение контейнера подкачки памяти. Принимает целое число от 0 до 100.
-t, --tty=правда|ложный
Назначьте псевдо-TTY. По умолчанию ложный.
Если задано значение true, Docker может выделить псевдотерминал и присоединиться к стандартному вводу любого
контейнер. Это можно использовать, например, для запуска одноразовой интерактивной оболочки. В
по умолчанию - ложь.
Ассоциация -t опция несовместима с перенаправлением стандартного ввода докер-клиента.
--tmpfs= [] Создать монтирование tmpfs
Смонтировать временную файловую систему (TMPFS) смонтировать в контейнер, например:
$ докер запустить -d --tmpfs / Tmp: rw, size = 787448k, mode = 1777 my_image
Эта команда монтирует TMPFS at / Tmp внутри контейнера. Поддерживаемые варианты крепления:
то же, что и Linux по умолчанию монтировать флаги. Если вы не укажете никаких опций, системы
использует следующие параметры: rw, noexec, nosuid, nodev, размер = 65536 КБ.
-u, --Пользовательзнак равно
Устанавливает используемое имя пользователя или UID и, необязательно, имя группы или GID для указанного
команда.
Все следующие примеры действительны:
--user [пользователь | пользователь: группа | uid | uid: gid | пользователь: gid | uid: group]
Без этого аргумента команда будет запущена в контейнере от имени пользователя root.
- пределзнак равно
Параметры Ulimit
-v|--объем[=[[HOST-DIR:] CONTAINER-DIR [: OPTIONS]]]
Создайте привязное крепление. Если вы укажете, -v / HOST-DIR: / CONTAINER-DIR, Докер
привязать крепления / HOST-DIR в хосте, чтобы / КОНТЕЙНЕР-DIR в докере
контейнер. Если HOST-DIR опущен, Docker автоматически создает новый
громкость на хосте. В ДОПОЛНИТЕЛЬНЫЕ УСЛУГИ, НЕ ВКЛЮЧЕННЫЕ В ПАКЕТ представляют собой список, разделенный запятыми, и могут быть:
· [Rw | ro]
· [Z | Z]
· [[r] поделился|[r] раб|[r] частный]
Ассоциация КОНТЕЙНЕР-DIR должен быть абсолютным путем, например / src / docs, ВЕДУЩИЙ может быть
абсолютный путь или имя значение. А имя значение должно начинаться с буквенно-цифрового символа,
последующей а-я0-9, _ (нижнее подчеркивание), . (период) или - (дефис). Абсолютный путь начинается с
a / (косая черта).
Если вы поставите ВЕДУЩИЙ это абсолютный путь, Docker подключается к пути, который вы
указать. Если вы поставите имя, Docker создает именованный том с помощью этого имя, Например,
вы можете указать либо / foo or Foo для ВЕДУЩИЙ ценить. Если вы поставите / foo стоимость,
Докер создает привязку-монтирование. Если вы поставите Foo спецификации, Docker создает именованный
Объем.
Вы можете указать несколько -v варианты крепления одного или нескольких креплений к контейнеру. Использовать
эти же крепления в других контейнерах, укажите --volumes-от вариант тоже.
Вы можете добавить : ro or : rw суффикс к тому, чтобы смонтировать его в режиме только для чтения или чтения-записи,
соответственно. По умолчанию тома монтируются для чтения и записи. См. Примеры.
Системы маркировки, такие как SELinux, требуют, чтобы на объемном содержимом были размещены соответствующие метки.
монтируется в контейнер. Без метки система безопасности может предотвратить процессы
работает внутри контейнера от использования содержимого. По умолчанию Docker не меняется
метки, установленные ОС.
Чтобы изменить метку в контексте контейнера, вы можете добавить любой из двух суффиксов :z or :Z в
крепление тома. Эти суффиксы говорят Docker, что нужно изменить метку файловых объектов на общей
тома. В z опция сообщает Docker, что два контейнера совместно используют содержимое тома. Как
В результате Docker помечает содержимое меткой общего содержимого. Метки общих томов позволяют
все контейнеры для чтения / записи содержимого. В Z опция указывает Docker пометить контент с помощью
частный неразделенный лейбл. Только текущий контейнер может использовать частный том.
По умолчанию подключаемые тома частная. Это означает, что любые крепления, выполненные внутри контейнера
не будет отображаться на хосте и наоборот. Это поведение можно изменить, указав
свойство распространения при монтировании тома. Изготовление тома общие монтировки, сделанные под этим томом
внутренний контейнер будет виден на хосте и наоборот. Изготовление тома раб позволяет
только одностороннее распространение монтирования, то есть монтирование, выполненное на хосте под этим томом, будет
виден внутри контейнера, но не наоборот.
Чтобы управлять свойством распространения монтирования тома, можно использовать : [r] поделился, : [r] раб or
: [r] частный флаг распространения. Свойство распространения можно указать только для смонтированной привязки
тома, а не для внутренних томов или именованных томов. Для работы разводки монтировки
исходная точка монтирования (точка монтирования, на которой монтируется исходный каталог) должна иметь право
свойства размножения. Для общих томов необходимо использовать общую точку монтирования. И для
ведомые тома, исходное монтирование должно быть либо общим, либо ведомым.
Используйте df чтобы выяснить источник монтирования, а затем используйте найти -o
ЦЕЛЬ, РАСПРОСТРАНЕНИЕ выяснить свойства распространения источника
устанавливать. Если найти утилита недоступна, тогда можно посмотреть запись монтирования для источника
точка монтирования в / proc / self / mountinfo, смотреть на необязательный поля и посмотреть, есть ли пропаганда
свойства указаны. поделился: X означает крепление общие, мастер: X означает крепление раб
и если там ничего нет, значит, крепление частная.
Чтобы изменить свойства распространения точки монтирования, используйте монтировать команда. Например, если один
хочет привязать исходный каталог монтирования / foo можно сделать монтировать --связывать / foo / foo и монтировать
--сделать частный --make-shared / foo. Это преобразует / foo в общие Точка монтирования.
В качестве альтернативы можно напрямую изменить свойства распространения монтирования источника. Сказать / is
источник крепления для / fooзатем используйте монтировать --make-shared / преобразовать / в общие крепление.
Внимание: При использовании systemd для управления запуском и остановкой демона Docker в
systemd unit file есть возможность контролировать распространение монтирования для Docker
сам демон, названный МаунтФлаги. Значение этого параметра может привести к тому, что Docker не будет
см. изменения распространения монтирования, внесенные в точку монтирования. Например, если это значение
is раб, возможно, вы не сможете использовать общие or поделился распространение по объему.
--volume-драйверзнак равно
Драйвер объема контейнера. Этот драйвер создает тома, указанные либо из
файл Dockerfile КОЛИЧЕСТВО инструкции или из докер пробег -v флаг.
Читать Докер-том-создать(1) для получения полной информации.
--volumes-отзнак равно
Смонтировать тома из указанного контейнера (ов)
Монтирует уже смонтированные тома из исходного контейнера на другой
контейнер. Вы должны указать идентификатор контейнера источника. Делиться
том, используйте --volumes-от вариант при запуске
целевой контейнер. Вы можете делиться томами, даже если исходный контейнер
не работает
По умолчанию Docker монтирует тома в одном режиме (чтение-запись или
только для чтения), поскольку он установлен в исходном контейнере. При желании вы
это можно изменить, добавив к идентификатору контейнера суффикс : ro or
: rw ключевое слово.
Если расположение тома из исходного контейнера перекрывается с
данные, находящиеся в целевом контейнере, то том скрывается
эти данные о цели.
-w, --workdirзнак равно
Рабочий каталог внутри контейнера
Рабочий каталог по умолчанию для запуска двоичных файлов в контейнере - это корневой каталог.
каталог (/). Разработчик может установить другое значение по умолчанию с помощью Dockerfile WORKDIR.
инструкция. Оператор может переопределить рабочий каталог, используя -w опцию.
Выход Статус:
Код выхода из докер пробег дает информацию о том, почему не удалось запустить контейнер, или
почему он вышел. Когда докер пробег выходит с ненулевым кодом, коды выхода следуют за
корневой стандарт, см. ниже:
125 if домен ошибка is Docker демон саму трезвость
$ docker run --foo busybox; эхо $?
# флаг предоставлен, но не определен: --foo
См. Docker run --help.
125
126 if домен содержащегося команду не могу be вызывается
$ docker запустить busybox / и т.д.; эхо $?
# exec: "/ и т.д.": доступ запрещен
докер: ответ об ошибке от демона: не удалось вызвать содержащуюся команду
126
127 if домен содержащегося команду не могу be найденный
$ docker run busybox foo; эхо $?
# exec: "foo": исполняемый файл не найден в $ PATH
docker: ответ об ошибке от демона: содержащаяся команда не найдена или не существует
127
Выход код of содержащегося команду в противном случае
$ docker запустить busybox / Бен / ш -c 'выход 3'
# 3
ПРИМЕРЫ
Бег контейнер in только для чтения Режим
Во время разработки образа контейнера контейнерам часто требуется запись в содержимое образа.
Установка пакетов в / USR, Например. В производственной среде приложениям редко требуется
написать в образ. Приложения-контейнеры записывают в тома, если им нужно записать в файл
системы вообще. Приложения можно сделать более безопасными, запустив их в режиме только для чтения.
с помощью переключателя --read-only. Это защищает образ контейнера от модификации. Читать
только контейнеры могут по-прежнему нуждаться в записи временных данных. Лучший способ справиться с этим -
смонтировать каталоги tmpfs на / бежать и / tmp.
# запуск докера --только для чтения --tmpfs / бежать --tmpfs / Tmp -i -t шляпа / bin / bash
Разоблачение журнал Сообщения от домен контейнер в домен хозяина журнал
Если вы хотите, чтобы сообщения, зарегистрированные в вашем контейнере, отображались в
syslog / journal, вы должны связать монтирование каталога / dev / log следующим образом.
# docker run -v / dev / log: / dev / log -i -t fedora / bin / bash
Вы можете проверить это внутри контейнера, отправив сообщение в журнал.
(bash) # logger "Привет из моего контейнера"
Затем выйдите и проверьте журнал.
# Выход
# journalctl -b | grep Привет
В нем должно быть указано сообщение, отправленное регистратору.
Прикрепление в one or БОЛЕЕ от СТАНДАРТ, СТАНДАРТНЫЙ ВЫХОД, СТДЕРР
Если вы не укажете -a, тогда Docker прикрепит все (stdin, stdout, stderr), что вы
хотел бы вместо этого подключиться, как в:
# docker run -a stdin -a stdout -i -t Fedora / bin / bash
разделение IPC между контейнеры
Использование shm_server.c, доступного здесь: ⟨https: //www.cs.cf.ac.uk/Dave/C/node27.html⟩
Тестирование --ipc = хост Режим:
Хост показывает сегмент разделяемой памяти с 7 подключенными pid, происходит из httpd:
$ судо ipcs -m
------ Сегменты общей памяти --------
ключ shmid владелец perms байт статус nattch
0x01128e25 0 корень 600 1000 7
Теперь запустите обычный контейнер, и он правильно НЕ видит сегмент разделяемой памяти из
гостья:
$ docker run -it shm ipcs -m
------ Сегменты общей памяти --------
ключ shmid владелец perms байт статус nattch
Запустите контейнер с новым --ipc = хост вариант, и теперь он видит сегмент разделяемой памяти
с хоста httpd:
$ docker run -it --ipc = host shm ipcs -m
------ Сегменты общей памяти --------
ключ shmid владелец perms байт статус nattch
0x01128e25 0 корень 600 1000 7
Тестирование --ipc = container: КОНТЕЙНЕРИД Режим:
Запустите контейнер с программой для создания сегмента разделяемой памяти:
$ docker run -it shm bash
$ sudo shm / shm_server
$ судо ipcs -m
------ Сегменты общей памяти --------
ключ shmid владелец perms байт статус nattch
0x0000162e 0 корень 666 27 1
Создание 2-го контейнера правильно показывает отсутствие сегмента разделяемой памяти из 1-го контейнера:
$ docker запустить shm ipcs -m
------ Сегменты общей памяти --------
ключ shmid владелец perms байт статус nattch
Создайте третий контейнер, используя новую опцию --ipc = container: CONTAINERID, теперь он показывает
сегмент разделяемой памяти с первого:
$ docker run -it --ipc = контейнер: ed735b2264ac shm ipcs -m
$ судо ipcs -m
------ Сегменты общей памяти --------
ключ shmid владелец perms байт статус nattch
0x0000162e 0 корень 666 27 1
Связывающий Контейнеры
Внимание: В этом разделе описывается связь между контейнерами по умолчанию (мост)
сеть, также известная как «устаревшие ссылки». С использованием --ссылка в пользовательских сетях использует
обнаружение на основе DNS, которое не добавляет записи в / Etc / хостов, и не устанавливает
переменные среды для обнаружения.
Функция связи позволяет нескольким контейнерам связываться друг с другом. Например,
контейнер, в Dockerfile которого открыт порт 80, можно запустить и назвать следующим образом:
# запуск докера --name = link-test -d -i -t fedora / httpd
Второй контейнер, в данном случае называемый компоновщиком, может связываться с контейнером httpd,
с именем link-test, запустив --link = :
# docker run -t -i --link = link-test: lt --name = компоновщик Fedora / bin / bash
Теперь компоновщик контейнера связан с тестом ссылки контейнера с псевдонимом lt. Запуск
окр команда в контейнере компоновщика показывает переменные среды
с LT (псевдонимом) контекстом (LT_)
# окружение
HOSTNAME = 668231cb0978
TERM = xterm
LT_PORT_80_TCP = tcp: //172.17.0.3: 80
LT_PORT_80_TCP_PORT = 80
LT_PORT_80_TCP_PROTO = TCP
LT_PORT = tcp: //172.17.0.3: 80
PATH =/ usr / местные / sbin:/ USR / местные / бен:/ usr / sbin:/ USR / бен:/ SBIN:/ бен
PWD = /
LT_NAME = / linker / lt
SHLVL = 1
ГЛАВНАЯ = /
LT_PORT_80_TCP_ADDR = 172.17.0.3
_=/ usr / bin / env
При связывании двух контейнеров Docker будет использовать открытые порты контейнера для создания
безопасный туннель для родительского доступа.
Если контейнер подключен к сети моста по умолчанию и связанный с другими
контейнеры, затем контейнер / Etc / хостов файл обновляется с помощью связанного контейнера
имя.
Внимание Поскольку Docker может вживую обновлять контейнер / Etc / хостов файл, может быть
ситуации, когда процессы внутри контейнера могут закончить чтение пустым или
неполный / Etc / хостов файл. В большинстве случаев повторная попытка чтения должна исправить
проблемы.
Карт Порты для Внешний Применение
Открытый порт приложения может быть сопоставлен с портом хоста с помощью -p флаг. Для
Например, порт 80 httpd можно сопоставить с портом хоста 8080, используя следующее:
# docker run -p 8080: 80 -d -i -t fedora / httpd
Создающий и Исполнение a Данные Объём Container
Многие приложения требуют совместного использования постоянных данных в нескольких контейнерах. Докер
позволяет создать контейнер тома данных, из которого могут монтироваться другие контейнеры. Для
Например, создайте именованный контейнер, содержащий каталоги / var / volume1 и / tmp / volume2.
Образ должен содержать эти каталоги, поэтому пара инструкций RUN mkdir
вам может потребоваться изображение fedora-data:
# docker run --name = data -v / var / volume1 -v / tmp / volume2 -i -t fedora-data true
# запуск докера --volumes-from = data --name = fedora-container1 -i -t fedora bash
Несколько параметров --volumes-from объединят несколько томов данных из нескольких
контейнеры. И можно смонтировать тома, пришедшие из контейнера DATA, в
еще один контейнер через промежуточный контейнер fedora-container1, позволяющий
абстрагируйте фактический источник данных от пользователей этих данных:
# запуск докера --volumes-from = fedora-container1 --name = fedora-container2 -i -t fedora bash
Исполнение Внешний Объемы
Чтобы смонтировать каталог хоста как том контейнера, укажите абсолютный путь к
каталог и абсолютный путь к каталогу контейнера, разделенные двоеточием:
# docker run -v / var / db: / data1 -i -t fedora bash
При использовании SELinux помните, что хост ничего не знает о политике SELinux контейнера.
Следовательно, в приведенном выше примере, если применяется политика SELinux, / var / db каталог
не записывается в контейнер. Появится сообщение «Permission Denied» и avc:
сообщение в системном журнале хоста.
Чтобы обойти это, на момент написания этой справочной страницы необходимо выполнить следующую команду:
запустить, чтобы к хосту была прикреплена соответствующая метка типа политики SELinux
каталог:
# chcon -Rt svirt_sandbox_file_t / var / db
Теперь запись в том / data1 в контейнере будет разрешена, и изменения будут
также отражаться на хосте в / var / db.
. альтернатива безопасность маркировка
Вы можете переопределить схему маркировки по умолчанию для каждого контейнера, указав
--security-opt флаг. Например, вы можете указать уровень MCS / MLS, что является требованием для MLS.
системы. Указание уровня в следующей команде позволяет вам делиться одним и тем же
содержимое между контейнерами.
# docker run --security-opt label: level: s0: c100, c200 -i -t fedora bash
Примером MLS может быть:
# docker run --security-opt label: level: TopSecret -i -t rhel7 bash
Чтобы отключить маркировку безопасности для этого контейнера по сравнению с запуском с - разрешительный
флаг, используйте следующую команду:
# docker run --security-opt label: disable -i -t fedora bash
Если вам нужна более жесткая политика безопасности для процессов в контейнере, вы можете указать
альтернативный тип контейнера. Вы можете запустить контейнер, которому разрешено только
прослушивать порты Apache, выполнив следующую команду:
# docker run --security-opt label: type: svirt_apache_t -i -t centos bash
Примечание:
Вам нужно будет написать политику, определяющую svirt_apache_t тип.
настройка устройство вес
Если вы хотите установить / Dev / ПДД вес устройства до 200, вы можете указать вес устройства с помощью
--blkio-вес-устройство флаг. Используйте следующую команду:
# docker run -it --blkio-weight-device "/ dev / sda: 200" ubuntu
Указывать изоляция technology для контейнер (--изоляция)
Этот параметр полезен в ситуациях, когда вы запускаете контейнеры Docker в Microsoft.
Windows. В --изоляция опция устанавливает технологию изоляции контейнера. В Linux
единственное поддерживаемое по умолчанию вариант, который использует пространства имен Linux. Эти две команды
эквивалентны в Linux:
$ docker run -d busybox наверху
$ docker run -d --isolation по умолчанию busybox top
В Microsoft Windows может принимать любое из этих значений:
· по умолчанию: Использовать значение, указанное демоном Docker --exec-опт , Если демон приносит
не указывать технологию изоляции, Microsoft Windows использует процесс по умолчанию
значения.
· процесс: Только изоляция пространства имен.
· гипервизор: Изоляция гипервизора Hyper-V на основе разделов.
На практике при работе в Microsoft Windows без демон набор опций, эти два
команды эквивалентны:
$ docker run -d --isolation по умолчанию busybox top
$ docker run -d --isolation процесс busybox top
Если вы установили --exec-опт изоляция = гипервизор опция в Docker демон, любой из этих
команды также приводят к гипервизор изоляция:
$ docker run -d --isolation по умолчанию busybox top
$ docker run -d --isolation hyperv busybox наверх
ИСТОРИЯ
Апрель 2014 г. Первоначально составлено Уильямом Генри (когда-то в redhat dot com) на основе
docker.com исходный материал и внутренняя работа. Июнь 2014 г., обновлено Свеном Довидейт
⟨[электронная почта защищена]⟩ Июль 2014 г., обновлено Sven Dowideit ⟨[электронная почта защищена]⟩
Ноябрь 2015 г., обновлено Салли О'Мэлли ⟨[электронная почта защищена]⟩
Используйте docker-run онлайн с помощью сервисов onworks.net
