docker-run - онлайн у хмарі

ПРОГРАМА:

ІМ'Я

docker-run - запустити команду в новому контейнері

СИНТАКСИС

Докер пробіг [-a|--прикріпити[=[]]] [-- add-host[=[]]] [--блкіо-вага[=[BLKIO-ВАГА]]]
[--blkio-weight-device[=[]]] [--спільні ресурси процесора[=0]] [--cap-додати[=[]]] [--cap-drop[=[]]]
[--cgroup-parent[=CGROUP-PATH]] [--cid-файл[=CIDFILE]] [--період процесора[=0]] [-- квота процесора[=0]]
[--cpuset-cpus[=CPUSET-CPU]] [--cpuset-mems[=CPUSET-MEMS]] [-d|--від’єднати]
[--від'ємні ключі[=[]]] [--пристрій[=[]]] [--device-read-bps[=[]]] [--device-read-iops[=[]]]
[--device-write-bps[=[]]] [--device-write-iops[=[]]] [--dns[=[]]] [--dns-opt[=[]]]
[--dns-пошук[=[]]] [-e|-Env[=[]]] [--точка входу[=ТОЧКА ВХОДУ]] [--env-файл[=[]]]
[--викрити[=[]]] [--група-додати[=[]]] [-h|--ім'я хоста[=ІМЯ ГОСПОДА]] [--допомога] [-i|--інтерактивні]
[--ip[=IPv4-АДРЕСА]] [--ip6[=IPv6-АДРЕСА]] [--ipc[=IPC]] [--ізоляція[=дефолт]]
[--ядро-пам'ять[=ЯДРО-ПАМ'ЯТЬ]] [-l|--етикетка[=[]]] [--файл-мітка[=[]]] [--посилання[=[]]]
[--драйвер журналу[=[]]] [--log-opt[=[]]] [-m|--пам'ять[=ПАМ'ЯТЬ]] [--mac-адреса[=MAC-АДРЕСА]]
[--пам'ять-резервування[=ПАМ'ЯТ-БРЕЗЕРВ]] [--зміна пам'яті[=МЕЖА]]
[--зміна пам'яті[=ПАМ'ЯТЬ-ОБМІН]] [--ім'я[=ІМ'Я]] [--net[="міст"]]
[--net-псевдонім[=[]]] [--oom-kill-disable] [--oom-score-adj[=0]] [-P|--опублікувати-все]
[-p|--опублікувати[=[]]] [--під[=[]]] [--привілейований] [--лише для читання] [--перезапустити[=ПЕРЕЗАПУСК]] [--пом]
[--безпека-опт[=[]]] [--стоп-сигнал[=СИГНАЛ]] [--shm-розмір[=[]]] [--sig-проксі[=правда]]
[-t|--tty] [--tmpfs[=[CONTAINER-DIR[: ]]] [-u|--користувач[=USER]] [--ліміт[=[]]]
[--ути[=[]]] [-v|--обсяг[=[[HOST-DIR:]CONTAINER-DIR[:OPTIONS]]]]
[-- драйвер гучності[=ВОДІЙ]] [--обсяги-від[=[]]] [-w|--workdir[=РОБОЧИЙ DIR]] ЗОБРАЖЕННЯ [КОМАНДА]
[ARG...]

ОПИС

Запустіть процес у новому контейнері. Докер пробіг запускає процес із власною файловою системою,
власна мережа та власне ізольоване дерево процесів. ЗОБРАЖЕННЯ, з якого починається процес
може визначати параметри за замовчуванням, пов’язані з процесом, який буде запускатися в контейнері, the
мереж, щоб розкрити, і багато іншого, але Докер пробіг надає остаточний контроль оператору або
адміністратора, який запускає контейнер із зображення. З цієї причини Докер пробіг має більше
параметри, ніж будь-яка інша команда Docker.

Якщо ЗОБРАЖЕННЯ ще не завантажено, тоді Докер пробіг витягне ЗОБРАЖЕННЯ і все зображення
залежностей, із репозиторію так само виконується Докер тягнути ЗОБРАЖЕННЯ, перед ним
запускає контейнер з цього зображення.

ВАРІАНТИ

-a, --прикріпити=[]
Приєднайте до STDIN, STDOUT або STDERR.

У режимі переднього плану (за замовчуванням, коли -d не вказано), Докер пробіг можна запустити
процес у контейнері та приєднайте консоль до стандартного входу, виходу процесу,
і стандартна помилка. Він навіть може видавати себе TTY (це те, що більшість командного рядка
виконувані файли очікують) і передають сигнали. The -a опцію можна встановити для кожного з stdin,
stdout і stderr.

-- add-host=[]
Додайте спеціальне зіставлення між хостом і IP (host:ip)

Додайте рядок до /etc/hosts. Формат ім'я хосту: ip. The -- add-host опцію можна встановити
кілька разів.

--блкіо-вага=0
Вага блоку IO (відносна вага) приймає значення ваги від 10 до 1000.

--blkio-weight-device=[]
Вага блоку IO (відносна вага пристрою, формат: DEVICE_NAME: ВАГА).

--спільні ресурси процесора=0
Частки ЦП (відносна вага)

За замовчуванням усі контейнери отримують однакову частку циклів ЦП. Ця пропорція може бути
змінено шляхом зміни зважування частки ЦП контейнера щодо зважування всіх
інші запущені контейнери.

Щоб змінити пропорцію з 1024 за замовчуванням, скористайтеся --спільні ресурси процесора прапорець, щоб встановити
вага до 2 або вище.

Пропорція застосовуватиметься лише тоді, коли запущені процеси, що інтенсивно витрачають ЦП. Коли завдання в
один контейнер неактивний, інші контейнери можуть використовувати залишок ЦП. Фактична сума
час процесора буде змінюватися залежно від кількості контейнерів, запущених у системі.

Наприклад, розглянемо три контейнери, один з яких має загальну частку процесора 1024, а два інших мають a
налаштування спільного використання процесора 512. Коли процеси в усіх трьох контейнерах намагаються використовувати 100%
ЦП, перший контейнер отримає 50% загального часу ЦП. Якщо додати четвертий
контейнер з часткою процесора 1024, перший контейнер отримує лише 33% ЦП. The
інші контейнери отримують 16.5%, 16.5% і 33% ЦП.

У багатоядерній системі частка часу ЦП розподіляється на всі ядра ЦП. Навіть якщо
контейнер обмежений менш ніж 100% часу процесора, він може використовувати 100% кожного окремого
ядро процесора.

Наприклад, розглянемо систему з більш ніж трьома ядрами. Якщо запустити один контейнер {C0}
з -c=512 запуск одного процесу, а іншого контейнера {C1} з -c=1024 біжить двоє
процесів, це може призвести до такого розподілу часток процесора:

Контейнер PID Спільний ресурс ЦП ЦП
100 {C0} 0 100% CPU0
101 {C1} 1 100% CPU1
102 {C1} 2 100% CPU2

--cap-додати=[]
Додайте можливості Linux

--cap-drop=[]
Відмовтеся від можливостей Linux

--cgroup-parent=""
Шлях до cgroups, під якими буде створено cgroup для контейнера. Якщо шлях
не є абсолютним, шлях вважається відносним до шляху cgroups ініціалізації
процес. Cgroups буде створено, якщо вони ще не існують.

--cid-файл=""
Запишіть ідентифікатор контейнера у файл

--період процесора=0
Обмежте період CPU CFS (повністю справедливий планувальник).

Обмежте використання ЦП контейнера. Цей прапорець повідомляє ядру обмежити процесор контейнера
використання до вказаного вами періоду.

--cpuset-cpus=""
ЦП, у яких можна дозволити виконання (0-3, 0,1)

--cpuset-mems=""
Вузли пам’яті (MEM), в яких можна дозволити виконання (0-3, 0,1). Діє лише на NUMA
систем.

Якщо у вашій системі є чотири вузли пам’яті (0-3), використовуйте --cpuset-mems=0,1 потім процеси
у вашому контейнері Docker використовуватиме пам’ять лише з перших двох вузлів пам’яті.

-- квота процесора=0
Обмежте квоту CPU CFS (Completely Fair Scheduler).

Обмежте використання ЦП контейнера. За замовчуванням контейнери запускаються з повним ресурсом ЦП.
Цей прапорець вказує ядру обмежити використання ЦП контейнера заданою вами квотою.

-d, --від’єднати=правда|false
Відокремлений режим: запустіть контейнер у фоновому режимі та роздрукуйте новий ідентифікатор контейнера. The
за замовчуванням false.

У будь-який момент можна бігти Докер ps в іншій оболонці, щоб переглянути список запущених
контейнери. Ви можете повторно прикріпити до окремого контейнера за допомогою Докер приєднувати. Якщо ви вирішите
запустіть контейнер у відокремленому режимі, тоді ви не зможете використовувати -рм варіант.

Коли ви підключені в режимі tty, ви можете від’єднатися від контейнера (і залишити його працювати)
за допомогою настроюваної послідовності клавіш. Послідовність за замовчуванням CTRL-стор CTRL-q. Ви налаштовуєте
послідовність клавіш за допомогою --від'ємні ключі параметр або файл конфігурації. Побачити
config-json(5) для документації щодо використання файлу конфігурації.

--від'ємні ключі=""
Замінити послідовність клавіш для від’єднання контейнера. Формат – це один символ [aZ]
or ctrl- де є одним з: Арізона, @, ^, [, , or _.

--пристрій=[]
Додайте хост-пристрій до контейнера (наприклад, --device=/dev/sdc:/dev/xvdc:rwm)

--device-read-bps=[]
Обмежте швидкість читання з пристрою (наприклад, --device-read-bps=/dev/sda:1mb)

--device-read-iops=[]
Обмежити швидкість читання з пристрою (наприклад, --device-read-iops=/dev/sda:1000)

--device-write-bps=[]
Обмежте швидкість запису на пристрій (наприклад, --device-write-bps=/dev/sda:1mb)

--device-write-iops=[]
Обмежити швидкість запису пристрою (наприклад, --device-write-iops=/dev/sda:1000)

--dns-пошук=[]
Встановіть користувацькі домени пошуку DNS (використовуйте --dns-search=. якщо ви не хочете встановлювати пошук
домен)

--dns-opt=[]
Встановіть власні параметри DNS

--dns=[]
Налаштуйте власні DNS-сервери

Цей параметр можна використовувати для заміни конфігурації DNS, переданої в контейнер.
Зазвичай це необхідно, коли конфігурація DNS хоста недійсна для контейнера
(наприклад, 127.0.0.1). Коли це так, то --dns прапорці необхідні для кожного запуску.

-e, -Env=[]
Встановіть змінні середовища

Цей параметр дозволяє вказати довільні змінні середовища, доступні для
процес, який буде запущено всередині контейнера.

--точка входу=""
Перезаписати ТОЧКУ ВХОДУ за замовчуванням зображення

Цей параметр дозволяє перезаписати точку входу за замовчуванням для зображення, яке встановлено в файлі
Dockerfile. ТОЧКА ВХОДУ зображення схожа на КОМАНДУ, оскільки вказує що
виконуваний для запуску під час запуску контейнера, але це (навмисно) складніше
перевизначити. ENTRYPOINT надає контейнеру його характер або поведінку за замовчуванням, щоб коли
ви встановлюєте ТОЧКУ ENTRYPOINT, ви можете запускати контейнер так, ніби це двійковий файл разом із
параметри за замовчуванням, і ви можете передати більше параметрів за допомогою COMMAND. Але іноді а
Оператор може захотіти запустити щось інше всередині контейнера, щоб ви могли перевизначити
за замовчуванням ENTRYPOINT під час виконання за допомогою a --точка входу і рядок для визначення нового
ТОЧКА ВХОДУ.

--env-файл=[]
Зчитувати в рядку файл змінних середовища

--викрити=[]
Відкрити порт або діапазон портів (наприклад, --expose=3300-3310) повідомляє Docker, що
контейнер прослуховує вказані мережеві порти під час виконання. Docker використовує цю інформацію
з'єднувати контейнери за допомогою посилань і налаштовувати перенаправлення портів на хост-системі.

--група-додати=[]
Додайте додаткові групи для запуску

-h, --ім'я хоста=""
Ім'я хоста контейнера

Встановлює ім’я хоста контейнера, доступне всередині контейнера.

--допомога
Роздрукувати заяву про використання

-i, --інтерактивні=правда|false
Тримайте STDIN відкритим, навіть якщо він не підключений. За замовчуванням є false.

Якщо встановлено значення true, залишайте stdin відкритим, навіть якщо він не приєднаний. За замовчуванням – false.

--ip=""
Встановлює IPv4-адресу інтерфейсу контейнера (наприклад, 172.23.0.9)

Його можна використовувати тільки в поєднанні з --net для мереж, що визначаються користувачем

--ip6=""
Встановлює IPv6-адресу інтерфейсу контейнера (наприклад, 2001:db8::1b99)

Його можна використовувати тільки в поєднанні з --net для мереж, що визначаються користувачем

--ipc=""
За замовчуванням створюється приватний простір імен IPC (POSIX SysV IPC) для контейнера
'контейнер: ': повторно використовує інший спільний контейнер
пам'ять, семафори та черги повідомлень
'host': використовувати спільну пам'ять хоста, семафори та повідомлення
черги всередині контейнера. Примітка: режим хосту надає контейнеру повний доступ до локального
спільна пам’ять і тому вважається незахищеною.

--ізоляція="дефолт"
Ізоляція визначає тип технології ізоляції, яку використовують контейнери.

-l, --етикетка=[]
Встановити метадані для контейнера (наприклад, --label com.example.key=value)

--ядро-пам'ять=""
Обмеження пам'яті ядра (формат: [ ], де одиниця = b, k, m або g)

Обмежує доступну для контейнера пам'ять ядра. Якщо вказано обмеження 0 (ні
використання --ядро-пам'ять), пам'ять ядра контейнера не обмежена. Якщо вказати a
обмеження, його можна округлити до кратного розміру сторінки операційної системи та
вартість може бути дуже великою, мільйони трильйонів.

--файл-мітка=[]
Прочитайте файл етикеток із роздільниками

--посилання=[]
Додати посилання на інший контейнер у вигляді :alias або просто в
у цьому випадку псевдонім буде відповідати імені

Якщо оператор використовує --посилання при запуску нового клієнтського контейнера, потім клієнта
контейнер може отримати доступ до відкритого порту через інтерфейс приватної мережі. Docker буде встановлено
деякі змінні середовища в клієнтському контейнері, щоб допомогти вказати, який інтерфейс і
порт для використання.

--драйвер журналу="json-файл|системний журнал|журналд|гельф|вільно|awslogs|сплюнк|ніхто"
Драйвер журналу для контейнера. За замовчуванням визначається демон --драйвер журналу прапор
попередження: Докер logs команда працює тільки для json-файл та
журналд драйвери журналу.

--log-opt=[]
Специфічні параметри драйвера журналу.

-m, --пам'ять=""
Обмеження пам'яті (формат: [ ], де одиниця = b, k, m або g)

Дозволяє обмежити доступну для контейнера пам'ять. Якщо хост підтримує swap
пам'ять, потім -m налаштування пам’яті може бути більше, ніж фізична оперативна пам’ять. Якщо межа дорівнює 0
вказано (не використовується -m), пам'ять контейнера не обмежена. Фактична межа може бути
округлюється до кратного розміру сторінки операційної системи (значення буде дуже
великий, це мільйони трильйони).

--пам'ять-резервування=""
М’який ліміт пам’яті (формат: [ ], де одиниця = b, k, m або g)

Після встановлення резервування пам’яті, коли система виявляє боротьбу з пам’яттю або низький рівень пам’яті,
контейнери вимушені обмежити своє споживання до резервування. Отже, ви повинні
завжди встановлюйте значення нижче --пам'ять, інакше жорстке обмеження матиме перевагу. За
за замовчуванням резервування пам’яті буде таким же, як і обмеження пам’яті.

--зміна пам'яті= "LIMIT"
Граничне значення, рівне пам'яті плюс обмін. Необхідно використовувати з -m (--пам'ять) прапор. The
обмін МЕЖА завжди має бути більше ніж -m (--пам'ять) значення.

Формат МЕЖА is [ ]. Одиниця може бути b (байти), k (кілобайти), m
(мегабайти), або g (гігабайти). Якщо ви не вкажете одиницю, b використовується. Установіть LIMIT на -1 до
увімкнути необмежений обмін.

--mac-адреса=""
MAC-адреса контейнера (наприклад, 92:d0:c6:0a:29:33)

Пам’ятайте, що MAC-адреса в мережі Ethernet повинна бути унікальною. Місцеве посилання IPv6
адреса буде заснована на MAC-адресі пристрою відповідно до RFC4862.

--ім'я=""
Призначте назву контейнеру

Оператор може ідентифікувати контейнер трьома способами:
Довгий ідентифікатор UUID
(“f78375b1c487e03c9438c729345e54db9d20cfa2ac1fc3494b6eb60872e74778”)
Короткий ідентифікатор UUID ("f78375b1c487")
Ім'я ("Йона")

Ідентифікатори UUID надходять від демона Docker, і якщо ім’я не призначено до
контейнер с --ім'я тоді демон також згенерує випадкове ім'я рядка. Ім'я є
корисно під час визначення посилань (див --посилання) (або будь-яке інше місце, де потрібно ідентифікувати a
контейнер). Це працює як для фонових, так і для передніх контейнерів Docker.

--net="міст"
Встановіть режим мережі для контейнера
'bridge': створити мережевий стек у стандартному Docker
міст
'none': немає мережі
'контейнер: ': повторно використовувати мережу іншого контейнера
стек
'host': використовуйте мережевий стек хоста Docker. Примітка: господар
режим надає контейнеру повний доступ до локальних системних служб, таких як D-bus і є
тому вважається небезпечним.
' | ': підключення до визначеного користувачем
мережу

--net-псевдонім=[]
Додайте псевдонім для контейнера в межах мережі

--oom-kill-disable=правда|false
Вимкнути OOM Killer для контейнера чи ні.

--oom-score-adj=""
Налаштуйте параметри OOM хоста для контейнерів (приймається від -1000 до 1000)

-P, --опублікувати-все=правда|false
Публікуйте всі відкриті порти у випадкових портах на інтерфейсах хоста. За замовчуванням є false.

Якщо встановлено значення true, публікуйте всі відкриті порти в інтерфейсах хоста. За замовчуванням – false.
Якщо оператор використовує -P (або -p), тоді Docker зробить відкритий порт доступним на
хост, і порти будуть доступні для будь-якого клієнта, який зможе зв’язатися з хостом. При використанні -P,
Docker зв’яже будь-який відкритий порт із випадковим портом на хості в межах файлу ефемерний порт
діапазон визначені /proc/sys/net/ipv4/ip_local_port_range. Щоб знайти відображення між
хост-порти та відкриті порти, використовуйте Докер порт.

-p, --опублікувати=[]
Опублікуйте порт контейнера або діапазон портів на хості.

Формат: ip:hostPort:containerPort | ip::containerPort | hostPort:containerPort |
контейнерПорт І hostPort, і containerPort можна вказати як діапазон портів. Коли
вказуючи діапазони для обох, кількість портів-контейнерів у діапазоні має відповідати
кількість хост-портів у діапазоні. (наприклад, Докер пробіг -p 1234-1236: 1222-1224 --ім'я
це працює -t busybox але не Докер пробіг -p 1230-1236: 1230-1240 --ім'я
RangeContainerPortsBiggerThanRangeHostPorts -t busybox) З ip: Докер пробіг -p
127.0.0.1:$HOSTPORT:$CONTAINERPORT --ім'я CONTAINER -t якийсь образ Скористайтесь Докер порт подивитися
фактичне відображення: Докер порт CONTAINER $CONTAINERPORT

--під=господар
Встановіть режим PID для контейнера
господар: використовувати простір імен PID хоста всередині контейнера.
Примітка: режим хоста надає контейнеру повний доступ до локального PID і тому є
вважається небезпечним.

--ути=господар
Встановіть режим UTS для контейнера
господар: використовуйте простір імен UTS хоста всередині контейнера.
Примітка: режим хосту надає контейнеру доступ до зміни імені хоста та є
тому вважається небезпечним.

--привілейований=правда|false
Надайте розширені привілеї цьому контейнеру. За замовчуванням є false.

За замовчуванням контейнери Docker є «непривілейованими» (=false) і не можуть, наприклад, запускати a
Демон Docker всередині контейнера Docker. Це тому, що за замовчуванням контейнер не є
дозволено отримати доступ до будь-яких пристроїв. «Привілейований» контейнер отримує доступ до всіх пристроїв.

Коли оператор виконує Докер пробіг --привілейований, Docker надасть доступ до всіх
пристроїв на хості, а також налаштувати певну конфігурацію в AppArmor, щоб дозволити контейнер
майже такий же доступ до хоста, як і процеси, що виконуються поза контейнером на
господар.

--лише для читання=правда|false
Змонтуйте кореневу файлову систему контейнера як тільки для читання.

За замовчуванням контейнер буде мати кореневу файлову систему, доступну для запису, що дозволяє процесам записувати
файли в будь-якому місці. Вказавши --лише для читання flag контейнер буде мати свій кореневий
файлова система, змонтована як тільки для читання, що забороняє будь-який запис.

--перезапустити="немає"
Політика перезапуску, яка застосовується, коли контейнер виходить (ні, у разі збою[:max-retry], завжди,
якщо не зупинено).

--пом=правда|false
Автоматично видаляти контейнер, коли він виходить (несумісно з -d). За замовчуванням є
false.

--безпека-опт=[]
Параметри безпеки

"label:user:USER" : Встановіть користувача мітки для контейнера
"label:role:ROLE" : Встановіть роль мітки для контейнера
"label:type:TYPE" : Встановіть тип етикетки для контейнера
"label:level:LEVEL" : Встановіть рівень етикетки для контейнера
"label:disable" : вимкнути обмеження мітки для контейнера

--стоп-сигнал=СИГТЕРМ
Сигнал зупинити контейнер. За замовчуванням – SIGTERM.

--shm-розмір=""
Розмір / dev / shm. Формат такий .
номер має бути більше, ніж 0. Одиниця необов'язкова і може бути b (байти), k (кілобайти),
m(мегабайти), або g (гігабайти).
Якщо ви опустите одиницю, система використовує байти. Якщо ви повністю опустите розмір, система
використовує 64m.

--sig-проксі=правда|false
Проксі отримує сигнали до процесу (лише в режимі без TTY). SIGCHLD, SIGSTOP і
SIGKILL не є проксі. За замовчуванням є правда.

--зміна пам'яті=""
Налаштуйте поведінку підкачки пам'яті контейнера. Приймає ціле число від 0 до 100.

-t, --tty=правда|false
Виділіть псевдо-TTY. За замовчуванням є false.

Якщо встановлено значення true, Docker може виділити псевдо-tty та приєднати до стандартного введення будь-якого
контейнер. Це можна використовувати, наприклад, для запуску одноразової інтерактивної оболонки. The
за замовчуванням false.

Команда -t параметр несумісний із перенаправленням стандартного введення клієнта docker.

--tmpfs=[] Створіть монтування tmpfs

Змонтувати тимчасову файлову систему (tmpfs) змонтувати в контейнер, наприклад:

$ docker run -d --tmpfs / Tmp:rw,size=787448k,mode=1777 моє_зображення

Ця команда монтує a tmpfs at / Tmp всередині контейнера. Підтримувані варіанти кріплення
те саме, що й у Linux за замовчуванням монтувати прапори. Якщо ви не вкажете жодних параметрів, системи
використовує такі параметри: rw,noexec,nosuid,nodev,size=65536k.

-u, --користувач=""
Встановлює використовуване ім’я користувача або UID і, за бажанням, назву групи або GID для вказаного
команда

Усі наступні приклади дійсні:
--user [користувач | користувач: група | uid | uid:gid | користувач: gid | uid:група]

Без цього аргументу команда буде запущена як root у контейнері.

--ліміт=[]
Варіанти Ulimit

-v|--обсяг[=[[HOST-DIR:]CONTAINER-DIR[:OPTIONS]]]
Створіть кріплення для прив’язки. Якщо ви вкажете, -v /HOST-DIR:/CONTAINER-DIR, Докер
кріпильні кріплення /HOST-DIR у хості до /КОНТЕЙНЕР-ДІР в Docker
контейнер. Якщо «HOST-DIR» опущено, Docker автоматично створює новий
гучність на хості. The ВАРІАНТИ є списком, розділеним комами і може бути:

· [rw|ro]

· [z|Z]

· [[r] поділився|[r] раб|[r]приватний]

Команда КОНТЕЙНЕР-ДІР має бути абсолютний шлях, наприклад /src/docs, HOST-DIR може бути
абсолютний шлях або a ім'я значення. А ім'я значення має починатися з буквено-цифрового символу,
подальшою a-z0-9, _ (підкреслення), . (крапка) або - (дефіс). Абсолютний шлях починається з
a / (коса риска).

Якщо ви надаєте а HOST-DIR це абсолютний шлях, Docker підключається до шляху, який ви
уточнити. Якщо ви надаєте а ім'я, Docker створює іменований том ім'я, Наприклад,
ви можете вказати будь-який /foo or Foo для HOST-DIR значення. Якщо ви постачаєте /foo значення,
Docker створює прив'язування. Якщо ви постачаєте Foo специфікації, Docker створює іменований
обсяг.

Можна вказати декілька -v варіанти кріплення одного або кількох кріплень до контейнера. Використовувати
ці ж монтуються в інших контейнерах, вкажіть --обсяги-від варіант також.

Ви можете додати :ро or :rw суфікс до тому, щоб підключити його в режимі лише для читання або читання-запису,
відповідно. За замовчуванням томи монтуються для читання-запису. Дивіться приклади.

Системи маркування, такі як SELinux, вимагають розміщення відповідних міток на вмісті тому
вмонтований в контейнер. Без мітки система безпеки може перешкодити процесам
працює всередині контейнера від використання вмісту. За замовчуванням Docker не змінюється
мітки, встановлені ОС.

Щоб змінити мітку в контексті контейнера, ви можете додати один із двох суфіксів :z or :Z до
кріплення гучності. Ці суфікси наказують Docker перемаркувати об’єкти файлів на спільному ресурсі
томів. The z Параметр повідомляє Docker, що два контейнери спільно використовують вміст тому. Як
В результаті Docker позначає вміст міткою спільного вмісту. Спільні мітки томів дозволяють
всі контейнери для читання/запису вмісту. The Z Параметр вказує Docker позначити вміст
приватна нерозділена марка. Лише поточний контейнер може використовувати приватний том.

За замовчуванням прив’язуються змонтовані томи приватний. Це означає будь-які кріплення, виконані всередині контейнера
не буде видно на хості і навпаки. Цю поведінку можна змінити, вказавши a
властивість поширення монтування обсягу. Виготовлення об’єму загальні монтування, виконані під цим обсягом
внутрішній контейнер буде видно на хості і навпаки. Виготовлення об’єму раб дозволяє
буде лише одностороннє поширення монтування, тобто монтування, зроблені на хості під цим томом
видно всередині контейнера, але не навпаки.

Для керування властивістю поширення монтування обсягу можна використовувати :[r]поділилися, :[r]раб or
:[r]приватний прапор поширення. Властивість розповсюдження можна вказати лише для прив’язки
томів, а не для внутрішніх або іменованих томів. Для роботи монтування
Точка монтування джерела (точка монтування, де монтується вихідний каталог) повинна мати право
властивості поширення. Для спільних томів має бути спільна точка монтування джерела. І для
підпорядковані томи, монтування джерела має бути спільним або підпорядкованим.

Скористайтесь df щоб визначити джерело монтування, а потім використати знахідка -o
ЦІЛЬ, ПОШИРЕННЯ з'ясувати властивості поширення джерела
монтувати. Якщо знахідка утиліта недоступна, то можна подивитися запис монтування для джерела
точка монтування в /proc/self/mountinfo. Подивись на необов'язковий поля і подивіться, чи є якесь поширення
вказуються властивості. поділився: X означає монтування загальні, майстер: X означає монтування раб
і якщо нічого немає, це означає, що mount є приватний.

Щоб змінити властивості розповсюдження точки монтування, використовуйте монтувати команда. Наприклад, якщо один
хоче прив’язати вихідний каталог монтування /foo можна зробити монтувати -- зв'язати /foo /foo та монтувати
--зробити приватним --зробити спільно /foo. Це перетворить /foo в a загальні точка кріплення.
В якості альтернативи можна безпосередньо змінити властивості поширення джерела монтування. Казати / is
джерело кріплення для /foo, потім використовуйте монтувати --зробити спільно / конвертувати / в загальні кріплення.

примітки: Коли використовується systemd для керування запуском та зупинкою демона Docker, у
systemd unit є можливість контролювати поширення монтування для Docker
сам демон, названий MountFlags. Значення цього параметра може призвести до того, що Docker не буде працювати
див. зміни поширення монтування, внесені в точку монтування. Наприклад, якщо це значення
is раб, можливо, ви не зможете використовувати загальні or rs поділився поширення на об'ємі.

-- драйвер гучності=""
Драйвер обсягу контейнера. Цей драйвер створює томи, визначені з
файл Dockerfile ОБСЯГ інструкції або з Докер пробіг -v прапор
Читати docker-volume-create(1) для отримання повної інформації.

--обсяги-від=[]
Змонтувати томи із зазначених контейнерів

Монтує вже змонтовані томи з вихідного контейнера в інший
контейнер. Ви повинні вказати ідентифікатор контейнера джерела. Ділитися
том, використовуйте --обсяги-від варіант під час бігу
цільовий контейнер. Ви можете ділитися томами, навіть якщо вихідний контейнер
не працює.

За замовчуванням Docker монтує томи в тому ж режимі (читання-запис або
тільки для читання), оскільки він змонтований у вихідний контейнер. За бажанням ви
можна змінити це, додавши до id-контейнера суфікс або :ро or
:rw keyword.

Якщо розташування тому з вихідного контейнера перекривається з
дані, що знаходяться в цільовому контейнері, тоді том приховується
ці дані про ціль.

-w, --workdir=""
Робочий каталог всередині контейнера

Робочий каталог за замовчуванням для запуску двійкових файлів у контейнері є кореневим
каталог (/). Розробник може встановити інше за замовчуванням за допомогою Dockerfile WORKDIR
інструкція. Оператор може замінити робочий каталог за допомогою -w варіант.

вихід Статус

Код виходу з Докер пробіг надає інформацію про те, чому не вдалося запустити контейнер або
чому він вийшов. Коли Докер пробіг виходи з ненульовим кодом, коди виходу слідують за
chroot стандарт, див. нижче:

125 if помилка is з Docker демон сам

$ docker run --foo busybox; луна $?
# прапор надано, але не визначено: --foo
Див. «docker run --help».
125

126 if містяться команда не може be викликали

$ docker запустити busybox / Etc; луна $?
# exec: "/ Etc": у дозволі відмовлено
docker: відповідь на помилку від демона: не вдалося викликати команду, що міститься
126

127 if містяться команда не може be знайдений

$ docker запустити busybox foo; луна $?
# exec: "foo": виконуваний файл не знайдено в $PATH
docker: відповідь на помилку від демона: міститься команда не знайдена або не існує
127

вихід код of містяться команда інакше

$ docker запустити busybox / Бен / ш -c 'вихід 3'
# 3

ПРИКЛАДИ

Робота контейнер in тільки для читання режим

Під час розробки зображення контейнера контейнерам часто потрібно записувати вміст зображення.
Встановлення пакетів у / usr, наприклад. У виробництві програми рідко потребують
напишіть до зображення. Контейнерні програми записують у томи, якщо їм потрібно записати у файл
системи взагалі. Додатки можна зробити більш безпечними, запустивши їх у режимі лише для читання
за допомогою перемикача --лише читання. Це захищає зображення контейнерів від змін. Прочитайте
лише контейнерам може знадобитися записувати тимчасові дані. Найкращий спосіб впоратися з цим
змонтувати каталоги tmpfs / бігати та /tmp.

# запуск докера --тільки для читання --tmpfs / бігати --tmpfs / Tmp -і -т федора / bin / bash

Викриття журнал повідомлення від контейнер до господаря журнал

Якщо ви хочете, щоб повідомлення, зареєстровані у вашому контейнері, відображалися в хості
syslog/journal, то вам слід прив'язати монтування каталогу /dev/log наступним чином.

# docker run -v /dev/log:/dev/log -i -t fedora / bin / bash

Зсередини контейнера ви можете перевірити це, надіславши повідомлення в журнал.

(bash)# реєстратор "Привіт з мого контейнера"

Потім вийдіть і перевірте журнал.

# Вхід

# journalctl -b | grep Привіт

Тут має відображатися повідомлення, надіслане реєстратору.

Прикріплення до один or більше від STDIN, STDOUT, STDERR

Якщо ви не вкажете -a, Docker приєднає все (stdin, stdout, stderr), що ви б
натомість подобається підключатися, як у:

# docker run -a stdin -a stdout -i -t fedora / bin / bash

Поділ IPC між containers

Використання shm_server.c доступне тут: ⟨https://www.cs.cf.ac.uk/Dave/C/node27.html⟩

Тестування --ipc=хост режим:

Хост показує сегмент спільної пам'яті з 7 доданими pids, який, випадково, з httpd:

$ sudo ipcs -m

------ Сегменти спільної пам'яті --------
ключ shmid власник perms байтів nattch статус
0x01128e25 0 корінь 600 1000 7

Тепер запустіть звичайний контейнер, і він правильно НЕ бачить сегмент спільної пам’яті
господар:

$ docker run -it shm ipcs -m

------ Сегменти спільної пам'яті --------
ключ shmid власник perms байтів nattch статус

Запустіть контейнер з новим --ipc=хост і тепер він бачить сегмент спільної пам’яті
з хоста httpd:

$ docker run -it --ipc=host shm ipcs -m

------ Сегменти спільної пам'яті --------
ключ shmid власник perms байтів nattch статус
0x01128e25 0 корінь 600 1000 7

Тестування --ipc=контейнер:КОНТЕЙНЕРІД режим:

Запустіть контейнер із програмою для створення сегмента спільної пам’яті:

$ docker run -it shm bash
$ sudo shm/shm_server
$ sudo ipcs -m

------ Сегменти спільної пам'яті --------
ключ shmid власник perms байтів nattch статус
0x0000162e 0 корінь 666 27 1

Створення 2-го контейнера правильно не показує сегмент спільної пам'яті з 1-го контейнера:

$ docker запустити shm ipcs -m

------ Сегменти спільної пам'яті --------
ключ shmid власник perms байтів nattch статус

Створіть 3-й контейнер, використовуючи новий параметр --ipc=container:CONTAINERID, тепер він показує
сегмент спільної пам'яті з першого:

$ docker run -it --ipc=container:ed735b2264ac shm ipcs -m
$ sudo ipcs -m

------ Сегменти спільної пам'яті --------
ключ shmid власник perms байтів nattch статус
0x0000162e 0 корінь 666 27 1

Зв'язуючий Контейнери

примітки: Цей розділ описує зв'язування між контейнерами за замовчуванням (мост)
мережа, також відома як "застарілі посилання". Використання --посилання використання визначених користувачем мереж
відкриття на основі DNS, до якого не додаються записи / Etc / хостів, і не встановлюється
змінні середовища для виявлення.

Функція посилання дозволяє кільком контейнерам спілкуватися один з одним. Наприклад, а
контейнер, файл Dockerfile якого відкрив порт 80, можна запустити і назвати таким чином:

# docker run --name=link-test -d -i -t fedora/httpd

Другий контейнер, у цьому випадку називається компоновщиком, може спілкуватися з контейнером httpd,
з назвою link-test, за допомогою --link= :

# docker run -t -i --link=link-test:lt --name=linker fedora / bin / bash

Тепер компонувальник контейнера пов’язаний з тестом посилання на контейнер за допомогою псевдоніма lt. Запуск
env команда в контейнері компоновщика показує змінні середовища
з контекстом LT (псевдонім) (LT_)

# окр
HOSTNAME=668231cb0978
ТЕРМІН=xтермін
LT_PORT_80_TCP=tcp://172.17.0.3:80
LT_PORT_80_TCP_PORT=80
LT_PORT_80_TCP_PROTO=tcp
LT_PORT=tcp://172.17.0.3:80
ШЛЯХ =/ usr / local / sbin:/ usr / local / bin:/ usr / sbin:/ usr / bin:/ sbin:/ bin
PWD=/
LT_NAME=/linker/lt
SHLVL=1
ДОМАШНЯ=/
LT_PORT_80_TCP_ADDR=172.17.0.3
_=/usr/bin/env

Під час зв’язування двох контейнерів Docker використовуватиме відкриті порти контейнера для створення a
безпечний тунель для батьківського доступу.

Якщо контейнер підключено до мостової мережі за замовчуванням і пов'язаний з іншим
контейнери, потім контейнер / Etc / хостів файл оновлюється за допомогою пов’язаного контейнера
ім'я.

примітки Оскільки Docker може оновлювати контейнер в реальному часі / Etc / хостів файл, може бути
ситуації, коли процеси всередині контейнера можуть закінчитися читанням порожнього або
неповний / Etc / хостів файл. У більшості випадків повторна спроба читання має виправити проблему
проблема.

Карт порти та цінності Зовнішній Використання

Відкритий порт програми можна зіставити з портом хоста за допомогою -p прапор. Для
наприклад, порт httpd 80 можна зіставити з портом хоста 8080, використовуючи наступне:

# docker run -p 8080:80 -d -i -t fedora/httpd

створення та Монтаж a дані Об'єм Контейнер

Багато програм вимагають спільного використання постійних даних у кількох контейнерах. Docker
дозволяє створити контейнер обсягу даних, з якого можна монтувати інші контейнери. Для
Наприклад, створіть іменований контейнер, який містить каталоги /var/volume1 і /tmp/volume2.
Зображення має містити ці каталоги, тому кілька інструкцій RUN mkdir
вам може знадобитися зображення fedora-data:

# docker run --name=data -v /var/volume1 -v /tmp/volume2 -i -t fedora-data true
# запуск докера --volumes-from=data --name=fedora-container1 -i -t fedora bash

Кілька параметрів --volumes-from об’єднають декілька томів даних із кількох
контейнери. І є можливість монтувати томи, які надійшли з контейнера DATA
ще один контейнер через проміжний контейнер fedora-container1, що дозволяє
абстрагувати фактичне джерело даних від користувачів цих даних:

# запуск докера --volumes-from=fedora-container1 --name=fedora-container2 -i -t fedora bash

Монтаж Зовнішній Обсяги

Щоб підключити каталог хоста як том-контейнер, вкажіть абсолютний шлях до
каталог і абсолютний шлях до каталогу контейнера, розділені двокрапкою:

# docker run -v /var/db:/data1 -i -t fedora bash

Використовуючи SELinux, майте на увазі, що хост не знає політики SELinux для контейнерів.
Отже, у наведеному вище прикладі, якщо політика SELinux застосовується, /var/db каталог є
не можна записувати в контейнер. З’явиться повідомлення «Дозволу відмовлено» та avc:
повідомлення в системному журналі хоста.

Щоб обійти це, під час написання цієї сторінки керівництва має бути така команда
запустити, щоб відповідна мітка типу політики SELinux була приєднана до хоста
каталог:

# chcon -Rt svirt_sandbox_file_t /var/db

Тепер запис у том /data1 у контейнері буде дозволено, і зміни будуть внесені
також відображатися на хості в /var/db.

використання альтернатива безпеку маркування

Ви можете змінити схему маркування за замовчуванням для кожного контейнера, вказавши
--безпека-опт прапор. Наприклад, ви можете вказати рівень MCS/MLS, що є вимогою для MLS
системи. Указавши рівень у наступній команді, ви зможете поділитися ним
вміст між контейнерами.

# запуск докера --security-opt label:level:s0:c100,c200 -i -t fedora bash

Прикладом MLS може бути:

# запуск докера --security-opt label:level:TopSecret -i -t rhel7 bash

Щоб вимкнути маркування безпеки для цього контейнера в порівнянні з запуском з --дозвільний
прапорець, скористайтеся такою командою:

# docker run --security-opt label:disable -i -t fedora bash

Якщо вам потрібна більш жорстка політика безпеки для процесів всередині контейнера, ви можете вказати
альтернативний тип для контейнера. Ви можете запустити контейнер, який лише дозволений
прослухайте порти Apache, виконавши таку команду:

# docker run --security-opt label:type:svirt_apache_t -i -t centos bash

Примітка:

Вам доведеться написати політику, яка визначає a svirt_apache_t тип

Установка пристрій вага

Якщо ви хочете встановити / dev / sda вага пристрою до 200, ви можете вказати вагу пристрою за
--blkio-weight-device прапор. Використовуйте таку команду:

# docker run -it --blkio-weight-device "/dev/sda:200" ubuntu

Вказувати ізоляція technology та цінності контейнер (--ізоляція)

Цей параметр корисний у ситуаціях, коли ви використовуєте контейнери Docker на Microsoft
вікна. The --ізоляція параметр встановлює технологію ізоляції контейнера. На Linux,
підтримується лише дефолт параметр, який використовує простір імен Linux. Ці дві команди
еквівалентні в Linux:

$ docker run -d busybox top
$ docker run -d --isolation за замовчуванням busybox top

У Microsoft Windows може приймати будь-яке з цих значень:

· дефолт: Використовуйте значення, визначене демоном Docker --exec-opt , Якщо демон робить
не вказувати технологію ізоляції, яку використовує Microsoft Windows процес як його за замовчуванням
value.

· процес: лише ізоляція простору імен.

· hyperv: ізоляція гіпервізора Hyper-V на основі розділів.

На практиці під час роботи в Microsoft Windows без a демон набір варіантів, ці два
команди еквівалентні:

$ docker run -d --isolation за замовчуванням busybox top
$ docker run -d --ізоляційний процес busybox top

Якщо ви встановили --exec-opt ізоляція=гіперв параметр на Docker демон, будь-який з цих
команди також призводять до hyperv ізоляція:

$ docker run -d --isolation за замовчуванням busybox top
$ docker run -d --isolation hyperv busybox top

ІСТОРІЯ

Квітень 2014 р., спочатку складено Вільямом Генрі (whenry at redhat dot com) на основі
вихідний матеріал docker.com і внутрішня робота. Червень 2014, оновлено Свеном Довідейтом
⟨[захищено електронною поштою]⟩ Липень 2014, оновлено Свеном Довідейтом ⟨[захищено електронною поштою]⟩
Листопад 2015 року, оновлено Саллі О'Меллі ⟨[захищено електронною поштою]⟩

Використовуйте docker-run онлайн за допомогою служб onworks.net