docker-run - Trực tuyến trên Đám mây

CHƯƠNG TRÌNH:

TÊN

docker-run - Chạy lệnh trong vùng chứa mới

SYNOPSIS

docker chạy [-a|--gắn[=[]]] [--add-host[=[]]] [--blkio-trọng lượng[=[BLKIO-TRỌNG LƯỢNG]]]
[--blkio-trọng lượng-thiết bị[=[]]] [--cpu-chia sẻ[=0]] [--cap-thêm[=[]]] [- rơi xuống[=[]]]
[--cgroup-mẹ[=CGROUP-PATH]] [--cidfile[=TẬP TIN]] [--cpu-kỳ[=0]] [--cpu-hạn ngạch[=0]]
[--cpuset-cpus[=CPUSET-CPU]] [--cpuset-mems[=CPUSET-MEMS]] [-d|--tách]
[--detach-key[=[]]] [--thiết bị[=[]]] [--thiết bị-đọc-bps[=[]]] [--thiết bị-đọc-iops[=[]]]
[--thiết bị-ghi-bps[=[]]] [--thiết bị-ghi-iops[=[]]] [--dns[=[]]] [--dns-opt[=[]]]
[--dns-tìm kiếm[=[]]] [-e|--env[=[]]] [--điểm vào[=ĐIỂM VÀO]] [--env-tệp[=[]]]
[--phơi ra[=[]]] [- nhóm-thêm[=[]]] [-h|- tên máy chủ[=TÊN MÁY CHỦ]] [--Cứu giúp] [-i|- tương tác]
[--ip[=ĐỊA CHỈ IPv4]] [--ip6[=ĐỊA CHỈ IPv6]] [--ipc[=IPC]] [--sự cách ly[=mặc định]]
[--kernel-bộ nhớ[=KERNEL-BỘ NHỚ]] [-l|--nhãn mác[=[]]] [--label-tệp[=[]]] [- liên kết[=[]]]
[- trình điều khiển nhật ký[=[]]] [--log-opt[=[]]] [-m|--kỉ niệm[=NHỚ]] [--địa chỉ MAC[=ĐỊA CHỈ MAC]]
[- đặt trước bộ nhớ[=LƯU TRỮ BỘ NHỚ]] [--hoán đổi bộ nhớ[=LIMIT]]
[--hoán đổi bộ nhớ[=BỘ NHỚ-SWAPPINESS]] [--Tên[=TÊN]] [--mạng lưới[="cầu"]]
[--net-bí danh[=[]]] [--oom-kill-vô hiệu hóa] [--oom-điểm-adj[=0]] [-P|- xuất bản-tất cả]
[-p|--công bố[=[]]] [- lipid[=[]]] [- đặc quyền] [--chỉ đọc] [--khởi động lại[=KHỞI ĐỘNG LẠI]] [--rm]
[--bảo mật-opt[=[]]] [- tín hiệu dừng[=TÍN HIỆU]] [- kích thước nhỏ gọn[=[]]] [--sig-proxy[=đúng]]
[-t|--tty] [--tmpfs[=[CONTAINER-DIR [: ]]] [-u|--người sử dụng[=USER]] [--ulimit[=[]]]
[--uts[=[]]] [-v|--âm lượng[=[[HOST-DIR:] CONTAINER-DIR [: OPTIONS]]]]
[- trình điều khiển âm lượng[=DRIVER]] [--volumes-từ[=[]]] [-w|--workdir[=HƯỚNG DẪN LÀM VIỆC]] HÌNH ẢNH [COMMAND]
[ARG ...]

MÔ TẢ

Chạy một quy trình trong một vùng chứa mới. docker chạy bắt đầu một quy trình với hệ thống tệp của riêng nó,
mạng riêng của nó và cây quy trình cô lập của riêng nó. HÌNH ẢNH bắt đầu quá trình
có thể xác định các giá trị mặc định liên quan đến quá trình sẽ được chạy trong vùng chứa,
kết nối mạng để phơi bày và hơn thế nữa, nhưng docker chạy trao quyền kiểm soát cuối cùng cho người điều hành hoặc
quản trị viên bắt đầu vùng chứa từ hình ảnh. Vì lý do đó docker chạy có nhiều hơn
tùy chọn hơn bất kỳ lệnh Docker nào khác.

Nếu IMAGE chưa được tải thì docker chạy sẽ kéo IMAGE và tất cả hình ảnh
phụ thuộc, từ kho lưu trữ theo cùng một cách chạy docker kéo IMAGE, trước nó
bắt đầu vùng chứa từ hình ảnh đó.

LỰA CHỌN

-a, --gắn= []
Đính kèm vào STDIN, STDOUT hoặc STDERR.

Ở chế độ nền trước (mặc định khi -d không được chỉ định), docker chạy có thể bắt đầu
xử lý trong vùng chứa và gắn bảng điều khiển vào đầu vào, đầu ra tiêu chuẩn của quy trình,
và lỗi tiêu chuẩn. Nó thậm chí có thể giả vờ là một TTY (đây là điều mà hầu hết các dòng lệnh
thực thi mong đợi) và truyền tín hiệu. Các -a tùy chọn có thể được đặt cho mỗi stdin,
stdout và stderr.

--add-host= []
Thêm ánh xạ từ máy chủ đến IP tùy chỉnh (máy chủ: ip)

Thêm một dòng vào / etc / hosts. Định dạng là tên máy chủ: ip. Các --add-host tùy chọn có thể được thiết lập
nhiều lần.

--blkio-trọng lượng=0
Khối lượng IO (khối lượng tương đối) chấp nhận giá trị khối lượng từ 10 đến 1000.

--blkio-trọng lượng-thiết bị= []
Khối lượng IO (khối lượng thiết bị tương đối, định dạng: DEVICE_NAME: TRỌNG LƯỢNG).

--cpu-chia sẻ=0
Chia sẻ CPU (trọng lượng tương đối)

Theo mặc định, tất cả các vùng chứa có cùng tỷ lệ chu kỳ CPU. Tỷ lệ này có thể là
được sửa đổi bằng cách thay đổi trọng số chia sẻ CPU của vùng chứa so với trọng số của tất cả
các thùng chứa đang chạy khác.

Để sửa đổi tỷ lệ từ mặc định là 1024, hãy sử dụng --cpu-chia sẻ cờ để đặt
trọng số từ 2 trở lên.

Tỷ lệ sẽ chỉ áp dụng khi các quy trình sử dụng nhiều CPU đang chạy. Khi nhiệm vụ trong
một vùng chứa không hoạt động, các vùng chứa khác có thể sử dụng thời gian CPU còn lại. Số tiền thực tế
thời gian của CPU sẽ khác nhau tùy thuộc vào số lượng vùng chứa đang chạy trên hệ thống.

Ví dụ: hãy xem xét ba vùng chứa, một vùng chứa có cpu là 1024 và hai vùng chứa khác có
cài đặt cpu-share là 512. Khi các quy trình trong cả ba vùng chứa cố gắng sử dụng 100%
CPU, vùng chứa đầu tiên sẽ nhận được 50% tổng thời gian CPU. Nếu bạn thêm một phần tư
vùng chứa có cpu-share là 1024, vùng chứa đầu tiên chỉ nhận được 33% CPU. Các
các thùng chứa còn lại nhận 16.5%, 16.5% và 33% CPU.

Trên hệ thống đa lõi, phần chia sẻ thời gian của CPU được phân bổ trên tất cả các lõi CPU. Thậm chí nếu
một vùng chứa được giới hạn dưới 100% thời gian CPU, nó có thể sử dụng 100% mỗi cá nhân
Lõi CPU.

Ví dụ, hãy xem xét một hệ thống có nhiều hơn ba lõi. Nếu bạn bắt đầu một vùng chứa {C0}
với -c = 512 đang chạy một quy trình và một vùng chứa khác {C1} với -c = 1024 chạy hai
các quy trình, điều này có thể dẫn đến sự phân chia CPU như sau:

Bộ chứa PID CPU chia sẻ CPU
100 {C0} 0 100% CPU0
101 {C1} 1 100% CPU1
102 {C1} 2 100% CPU2

--cap-thêm= []
Thêm các tính năng của Linux

- rơi xuống= []
Bỏ qua các khả năng của Linux

--cgroup-mẹ= ""
Đường dẫn đến cgroup mà theo đó cgroup cho vùng chứa sẽ được tạo. Nếu con đường
không phải là tuyệt đối, đường dẫn được coi là tương đối với đường dẫn cgroups của init
tiến trình. Nhóm sẽ được tạo nếu chúng chưa tồn tại.

--cidfile= ""
Ghi ID vùng chứa vào tệp

--cpu-kỳ=0
Giới hạn khoảng thời gian CPU CFS (Bộ lập lịch hoàn toàn công bằng)

Hạn chế mức sử dụng CPU của vùng chứa. Cờ này yêu cầu hạt nhân hạn chế CPU của vùng chứa
sử dụng cho khoảng thời gian bạn chỉ định.

--cpuset-cpus= ""
CPU cho phép thực thi (0-3, 0,1)

--cpuset-mems= ""
Các nút bộ nhớ (MEM) để cho phép thực thi (0-3, 0,1). Chỉ hiệu quả trên NUMA
hệ thống.

Nếu bạn có bốn nút bộ nhớ trên hệ thống của mình (0-3), hãy sử dụng --cpuset-mems = 0,1 sau đó xử lý
trong vùng chứa Docker của bạn sẽ chỉ sử dụng bộ nhớ từ hai nút bộ nhớ đầu tiên.

--cpu-hạn ngạch=0
Giới hạn hạn ngạch CPU CFS (Bộ lập lịch hoàn toàn công bằng)

Hạn chế việc sử dụng CPU của vùng chứa. Theo mặc định, các vùng chứa chạy với tài nguyên CPU đầy đủ.
Cờ này yêu cầu hạt nhân hạn chế việc sử dụng CPU của vùng chứa trong hạn ngạch bạn chỉ định.

-d, --tách=đúng|sai
Chế độ tách biệt: chạy vùng chứa trong nền và in ID vùng chứa mới. Các
mặc định là sai.

Bất cứ lúc nào bạn có thể chạy docker ps trong shell khác để xem danh sách
hộp đựng. Bạn có thể gắn lại vào một thùng chứa tách rời với docker đính kèm. Nếu bạn chọn
chạy một vùng chứa ở chế độ tách rời, sau đó bạn không thể sử dụng -rm tùy chọn.

Khi được gắn ở chế độ tty, bạn có thể tách khỏi vùng chứa (và để nó chạy)
bằng cách sử dụng chuỗi khóa có thể định cấu hình. Trình tự mặc định là CTRL-p CTRL-q. Bạn cấu hình
trình tự phím bằng cách sử dụng --detach-key tùy chọn hoặc một tệp cấu hình. Nhìn thấy
cấu hình-json(5) để biết tài liệu về cách sử dụng tệp cấu hình.

--detach-key= ""
Ghi đè chuỗi khóa để tách vùng chứa. Định dạng là một ký tự đơn [aZ]
or Điều khiển- Ở đâu là một trong những: AZ, @, ^, [, , or _.

--thiết bị= []
Thêm thiết bị lưu trữ vào vùng chứa (ví dụ: --device = / dev / sdc: / dev / xvdc: rwm)

--thiết bị-đọc-bps= []
Giới hạn tốc độ đọc từ một thiết bị (ví dụ --device-read-bps = / dev / sda: 1mb)

--thiết bị-đọc-iops= []
Giới hạn tốc độ đọc từ một thiết bị (ví dụ --device-read-iops = / dev / sda: 1000)

--thiết bị-ghi-bps= []
Giới hạn tốc độ ghi cho một thiết bị (ví dụ --device-write-bps = / dev / sda: 1mb)

--thiết bị-ghi-iops= []
Giới hạn tốc độ ghi trên một thiết bị (ví dụ --device-write-iops = / dev / sda: 1000)

--dns-tìm kiếm= []
Đặt miền tìm kiếm DNS tùy chỉnh (Sử dụng --dns-search =. Nếu bạn không muốn đặt tìm kiếm
miền)

--dns-opt= []
Đặt các tùy chọn DNS tùy chỉnh

--dns= []
Đặt máy chủ DNS tùy chỉnh

Tùy chọn này có thể được sử dụng để ghi đè cấu hình DNS được chuyển đến vùng chứa.
Thông thường, điều này là cần thiết khi cấu hình DNS của máy chủ lưu trữ không hợp lệ cho vùng chứa
(ví dụ: 127.0.0.1). Khi đây là trường hợp --dns cờ là cần thiết cho mỗi lần chạy.

-e, --env= []
Đặt các biến môi trường

Tùy chọn này cho phép bạn chỉ định các biến môi trường tùy ý có sẵn cho
quy trình sẽ được khởi chạy bên trong vùng chứa.

--điểm vào= ""
Ghi đè ENTRYPOINT mặc định của hình ảnh

Tùy chọn này cho phép bạn ghi đè điểm nhập mặc định của hình ảnh được đặt trong
Dockerfile. ENTRYPOINT của một hình ảnh tương tự như COMMAND vì nó chỉ định những gì
có thể thực thi để chạy khi vùng chứa bắt đầu, nhưng nó (có chủ đích) khó hơn
ghi đè. ENTRYPOINT cung cấp cho vùng chứa bản chất hoặc hành vi mặc định của nó, để khi
bạn đặt một ENTRYPOINT, bạn có thể chạy vùng chứa như thể nó là tệp nhị phân đó, hoàn thành với
tùy chọn mặc định và bạn có thể chuyển thêm tùy chọn thông qua COMMAND. Nhưng, đôi khi một
nhà điều hành có thể muốn chạy một cái gì đó khác bên trong vùng chứa, vì vậy bạn có thể ghi đè
ENTRYPOINT mặc định trong thời gian chạy bằng cách sử dụng --điểm vào và một chuỗi để chỉ định
NHẬP VÀO.

--env-tệp= []
Đọc trong một tệp được phân tách bằng dòng của các biến môi trường

--phơi ra= []
Việc để lộ một cổng hoặc một loạt các cổng (ví dụ --expose = 3300-3310) thông báo cho Docker rằng
vùng chứa lắng nghe trên các cổng mạng được chỉ định trong thời gian chạy. Docker sử dụng thông tin này
để kết nối các container bằng cách sử dụng các liên kết và thiết lập chuyển hướng cổng trên hệ thống máy chủ.

- nhóm-thêm= []
Thêm các nhóm bổ sung để chạy như

-h, - tên máy chủ= ""
Tên máy chủ vùng chứa

Đặt tên máy chủ vùng chứa có sẵn bên trong vùng chứa.

--Cứu giúp
In báo cáo sử dụng

-i, - tương tác=đúng|sai
Giữ STDIN mở ngay cả khi không được đính kèm. Mặc định là sai.

Khi được đặt thành true, hãy tiếp tục mở stdin ngay cả khi không được đính kèm. Mặc định này sai.

--ip= ""
Đặt địa chỉ IPv4 cho giao diện của vùng chứa (ví dụ: 172.23.0.9)

Nó chỉ có thể được sử dụng kết hợp với --mạng lưới cho các mạng do người dùng xác định

--ip6= ""
Đặt địa chỉ IPv6 cho giao diện của vùng chứa (ví dụ: 2001: db8 :: 1b99)

Nó chỉ có thể được sử dụng kết hợp với --mạng lưới cho các mạng do người dùng xác định

--ipc= ""
Mặc định là tạo không gian tên IPC riêng (POSIX SysV IPC) cho vùng chứa
'thùng đựng hàng: ': sử dụng lại một vùng chứa khác được chia sẻ
bộ nhớ, semaphores và hàng đợi tin nhắn
'host': sử dụng bộ nhớ được chia sẻ trên máy chủ, semaphores và tin nhắn
hàng đợi bên trong container. Lưu ý: chế độ máy chủ cung cấp cho vùng chứa đầy đủ quyền truy cập cục bộ
bộ nhớ được chia sẻ và do đó được coi là không an toàn.

--sự cách ly="mặc định"
Cách ly chỉ định loại công nghệ cách ly được sử dụng bởi các thùng chứa.

-l, --nhãn mác= []
Đặt siêu dữ liệu trên vùng chứa (ví dụ: --label com.example.key = value)

--kernel-bộ nhớ= ""
Giới hạn bộ nhớ nhân (định dạng: [ ], trong đó đơn vị = b, k, m hoặc g)

Hạn chế bộ nhớ hạt nhân có sẵn trong một vùng chứa. Nếu giới hạn 0 được chỉ định (không
sử dụng --kernel-bộ nhớ), bộ nhớ nhân của vùng chứa không bị giới hạn. Nếu bạn chỉ định một
giới hạn, nó có thể được làm tròn thành bội số của kích thước trang của hệ điều hành và
giá trị có thể rất lớn, hàng triệu nghìn tỷ đồng.

--label-tệp= []
Đọc trong một tệp nhãn được phân cách bằng dòng

- liên kết= []
Thêm liên kết vào một vùng chứa khác ở dạng : bí danh hoặc chỉ trong
trường hợp nào thì bí danh sẽ khớp với tên

Nếu nhà điều hành sử dụng - liên kết khi bắt đầu vùng chứa khách hàng mới, thì khách hàng
container có thể truy cập cổng tiếp xúc thông qua giao diện mạng riêng. Docker sẽ thiết lập
một số biến môi trường trong vùng chứa ứng dụng khách để giúp chỉ ra giao diện nào và
cổng để sử dụng.

- trình điều khiển nhật ký="tệp json|syslog|sunnynald|chính mình|trôi chảy|awslog|nước bắn tung tóe|không ai"
Trình điều khiển ghi nhật ký cho container. Mặc định được xác định bởi daemon - trình điều khiển nhật ký cờ.
Cảnh báo: Các docker các bản ghi lệnh chỉ hoạt động cho tệp json và
sunnynald trình điều khiển ghi nhật ký.

--log-opt= []
Ghi nhật ký các tùy chọn cụ thể của trình điều khiển.

-m, --kỉ niệm= ""
Giới hạn bộ nhớ (định dạng: [ ], trong đó đơn vị = b, k, m hoặc g)

Cho phép bạn giới hạn bộ nhớ có sẵn trong một vùng chứa. Nếu máy chủ hỗ trợ hoán đổi
bộ nhớ, sau đó -m cài đặt bộ nhớ có thể lớn hơn RAM vật lý. Nếu giới hạn 0 là
chỉ định (không sử dụng -m), bộ nhớ của vùng chứa không bị giới hạn. Giới hạn thực tế có thể là
làm tròn thành bội số của kích thước trang của hệ điều hành (giá trị sẽ rất
lớn, đó là hàng triệu nghìn tỷ).

- đặt trước bộ nhớ= ""
Giới hạn mềm của bộ nhớ (định dạng: [ ], trong đó đơn vị = b, k, m hoặc g)

Sau khi thiết lập bảo lưu bộ nhớ, khi hệ thống phát hiện có bộ nhớ cạnh tranh hoặc bộ nhớ thấp,
các container buộc phải hạn chế tiêu thụ để đặt trước. Bạn nên làm điều đó
luôn đặt giá trị bên dưới --kỉ niệm, nếu không, giới hạn cứng sẽ được ưu tiên. Qua
mặc định, đặt trước bộ nhớ sẽ giống như giới hạn bộ nhớ.

--hoán đổi bộ nhớ= "GIỚI HẠN"
Giá trị giới hạn bằng bộ nhớ cộng với hoán đổi. Phải được sử dụng với -m (--kỉ niệm) lá cờ. Các
trao đổi LIMIT phải luôn lớn hơn -m (--kỉ niệm) giá trị.

Định dạng của LIMIT is [ ]. Đơn vị có thể là b (byte), k (kilobyte), m
(megabyte), hoặc g (gigabyte). Nếu bạn không chỉ định một đơn vị, b Được sử dụng. Đặt LIMIT thành -1 đến
cho phép hoán đổi không giới hạn.

--địa chỉ MAC= ""
Địa chỉ MAC của vùng chứa (ví dụ: 92: d0: c6: 0a: 29: 33)

Hãy nhớ rằng địa chỉ MAC trong mạng Ethernet phải là duy nhất. Liên kết cục bộ IPv6
địa chỉ sẽ dựa trên địa chỉ MAC của thiết bị theo RFC4862.

--Tên= ""
Gán tên cho vùng chứa

Người vận hành có thể xác định một vùng chứa theo ba cách:
Mã định danh dài UUID
(“f78375b1c487e03c9438c729345e54db9d20cfa2ac1fc3494b6eb60872e74778”)
Mã nhận dạng ngắn UUID (“f78375b1c487”)
Tên (“jonah”)

Các định danh UUID đến từ daemon Docker và nếu tên không được gán cho
thùng chứa với --Tên thì daemon cũng sẽ tạo ra một tên chuỗi ngẫu nhiên. Tên là
hữu ích khi xác định liên kết (xem - liên kết) (hoặc bất kỳ nơi nào khác mà bạn cần xác định
thùng đựng hàng). Điều này hoạt động cho cả vùng chứa Docker nền và nền trước.

--mạng lưới="cầu"
Đặt chế độ Mạng cho vùng chứa
'bridge': tạo một ngăn xếp mạng trên Docker mặc định
cầu
'none': không có mạng
'thùng đựng hàng: ': sử dụng lại mạng của vùng chứa khác
ngăn xếp
'host': sử dụng ngăn xếp mạng máy chủ Docker. Lưu ý: chủ nhà
chế độ cung cấp cho vùng chứa toàn quyền truy cập vào các dịch vụ hệ thống cục bộ như D-bus và
do đó được coi là không an toàn.
' | ': kết nối với người dùng xác định
mạng

--net-bí danh= []
Thêm bí danh phạm vi mạng cho vùng chứa

--oom-kill-vô hiệu hóa=đúng|sai
Có tắt OOM Killer cho vùng chứa hay không.

--oom-điểm-adj= ""
Điều chỉnh tùy chọn OOM của máy chủ cho các vùng chứa (chấp nhận -1000 đến 1000)

-P, - xuất bản-tất cả=đúng|sai
Xuất bản tất cả các cổng tiếp xúc với các cổng ngẫu nhiên trên giao diện máy chủ. Mặc định là sai.

Khi được đặt thành true, hãy xuất bản tất cả các cổng tiếp xúc với giao diện máy chủ. Mặc định này sai.
Nếu nhà điều hành sử dụng -P (hoặc -p) thì Docker sẽ làm cho cổng tiếp xúc có thể truy cập được trên
máy chủ lưu trữ và các cổng sẽ có sẵn cho bất kỳ máy khách nào có thể tiếp cận máy chủ. Khi sử dụng -P,
Docker sẽ liên kết bất kỳ cổng nào được tiếp xúc với một cổng ngẫu nhiên trên máy chủ lưu trữ trong một không lâu cổng
phạm vi Được định nghĩa bởi / proc / sys / net / ipv4 / ip_local_port_range. Để tìm ánh xạ giữa
các cổng máy chủ và các cổng tiếp xúc, sử dụng docker cổng.

-p, --công bố= []
Xuất bản cổng của vùng chứa hoặc phạm vi cổng lên máy chủ lưu trữ.

Định dạng: ip: hostPort: containerPort | ip :: containerPort | hostPort: containerPort |
containerCảng Cả hostPort và containerPort đều có thể được chỉ định là một loạt các cổng. Khi nào
chỉ định phạm vi cho cả hai, số lượng cổng container trong phạm vi phải khớp với
số lượng cổng máy chủ trong phạm vi. (ví dụ, docker chạy -p 1234-1236: 1222-1224 --Tên
những công việc này -t busybox nhưng không docker chạy -p 1230-1236: 1230-1240 --Tên
RangeContainerPortsLớn hơnRangeHostPorts -t busybox) Với ip: docker chạy -p
127.0.0.1:$HOSTPORT:$CONTAINERPORT --Tên CONTAINER -t hình ảnh Sử dụng docker cổng để xem
ánh xạ thực tế: docker cổng CONTAINER $ CONTAINERPORT

- lipid=chủ nhà
Đặt chế độ PID cho vùng chứa
chủ nhà: sử dụng không gian tên PID của máy chủ lưu trữ bên trong vùng chứa.
Lưu ý: chế độ máy chủ cung cấp cho vùng chứa quyền truy cập đầy đủ vào PID cục bộ và do đó
được coi là không an toàn.

--uts=chủ nhà
Đặt chế độ UTS cho vùng chứa
chủ nhà: sử dụng không gian tên UTS của máy chủ bên trong vùng chứa.
Lưu ý: chế độ máy chủ cung cấp cho vùng chứa quyền truy cập để thay đổi tên máy chủ của máy chủ lưu trữ và
do đó được coi là không an toàn.

- đặc quyền=đúng|sai
Cung cấp các đặc quyền mở rộng cho vùng chứa này. Mặc định là sai.

Theo mặc định, vùng chứa Docker là “không đặc quyền” (= false) và không thể, ví dụ: chạy một
Docker daemon bên trong Docker container. Điều này là do theo mặc định, một vùng chứa không
được phép truy cập vào bất kỳ thiết bị nào. Vùng chứa "đặc quyền" được cấp quyền truy cập vào tất cả các thiết bị.

Khi người điều hành thực hiện docker chạy - đặc quyền, Docker sẽ cho phép truy cập vào tất cả
thiết bị trên máy chủ cũng như đặt một số cấu hình trong AppArmor để cho phép vùng chứa
gần như tất cả cùng một quyền truy cập vào máy chủ lưu trữ như các quá trình chạy bên ngoài vùng chứa trên
chủ nhà.

--chỉ đọc=đúng|sai
Gắn hệ thống tệp gốc của vùng chứa dưới dạng chỉ đọc.

Theo mặc định, một vùng chứa sẽ có hệ thống tệp gốc của nó có thể ghi cho phép các quy trình ghi
tệp ở bất kỳ đâu. Bằng cách chỉ định --chỉ đọc gắn cờ vùng chứa sẽ có gốc
hệ thống tập tin được gắn kết dưới dạng chỉ đọc, cấm mọi hành động ghi.

--khởi động lại="Không"
Chính sách khởi động lại để áp dụng khi một vùng chứa thoát ra (không, khi thất bại [: max-retry], luôn luôn,
trừ khi-dừng lại).

--rm=đúng|sai
Tự động loại bỏ vùng chứa khi nó thoát (không tương thích với -d). Mặc định là
sai.

--bảo mật-opt= []
Tùy chọn bảo mật

"label: user: USER": Đặt người dùng nhãn cho vùng chứa
"label: role: ROLE": Đặt vai trò nhãn cho vùng chứa
"label: type: TYPE": Đặt loại nhãn cho vùng chứa
"label: level: LEVEL": Đặt cấp nhãn cho vùng chứa
"label: vô hiệu hóa": Tắt tính năng giới hạn nhãn cho vùng chứa

- tín hiệu dừng=HẠN MỤC TIÊU
Báo hiệu dừng container. Mặc định là SIGTERM.

- kích thước nhỏ gọn= ""
Kích thước của / dev / shm. Định dạng là .
con số phải lớn hơn 0. Đơn vị là tùy chọn và có thể b (byte), k (kilobyte),
m(megabyte), hoặc g (gigabyte).
Nếu bạn bỏ qua đơn vị, hệ thống sẽ sử dụng byte. Nếu bạn bỏ qua hoàn toàn kích thước, hệ thống
sử dụng 64m.

--sig-proxy=đúng|sai
Proxy đã nhận tín hiệu cho quá trình (chỉ ở chế độ không phải TTY). SIGCHLD, SIGSTOP và
SIGKILL không được hỗ trợ. Mặc định là đúng.

--hoán đổi bộ nhớ= ""
Điều chỉnh hành vi sử dụng bộ nhớ của vùng chứa. Chấp nhận một số nguyên từ 0 đến 100.

-t, --tty=đúng|sai
Phân bổ TTY giả. Mặc định là sai.

Khi được đặt thành true Docker có thể phân bổ một tty giả và đính kèm vào đầu vào tiêu chuẩn của bất kỳ
thùng đựng hàng. Điều này có thể được sử dụng, chẳng hạn, để chạy một trình bao tương tác hữu ích. Các
mặc định là sai.

Sản phẩm -t tùy chọn không tương thích với chuyển hướng của đầu vào tiêu chuẩn ứng dụng khách docker.

--tmpfs= [] Tạo gắn kết tmpfs

Gắn kết một hệ thống tệp tạm thời (tmpfs) gắn vào một thùng chứa, ví dụ:

$ docker chạy -d --tmpfs / Tmp: rw, size = 787448k, mode = 1777 my_image

Lệnh này gắn kết một tmpfs at / Tmp trong thùng chứa. Các tùy chọn gắn kết được hỗ trợ là
giống như mặc định của Linux gắn kết cờ. Nếu bạn không chỉ định bất kỳ tùy chọn nào, hệ thống
sử dụng các tùy chọn sau: rw, noexec, nosuid, nodev, size = 65536k.

-u, --người sử dụng= ""
Đặt tên người dùng hoặc UID được sử dụng và tùy chọn tên nhóm hoặc GID cho các
chỉ huy.

Tất cả các ví dụ sau đều hợp lệ:
--user [người dùng | người dùng: nhóm | uid | uid: gid | người dùng: gid | uid: nhóm]

Không có đối số này, lệnh sẽ được chạy dưới quyền root trong vùng chứa.

--ulimit= []
Bỏ qua các tùy chọn

-v|--âm lượng[=[[HOST-DIR:] CONTAINER-DIR [: OPTIONS]]]
Tạo một liên kết ràng buộc. Nếu bạn chỉ định, -v / HOST-DIR: / CONTAINER-DIR, docker
ràng buộc gắn kết / HOST-DIR trong máy chủ để / CONTAINER-DIR trong Docker
thùng đựng hàng. Nếu 'HOST-DIR' bị bỏ qua, Docker sẽ tự động tạo mới
âm lượng trên máy chủ. Các LỰA CHỌN là một danh sách được phân tách bằng dấu phẩy và có thể là:

· [Rw | ro]

· [Z | Z]

· [[r] đã chia sẻ|[r] nô lệ|[r] riêng tư]

Sản phẩm CONTAINER-DIR phải là một con đường tuyệt đối chẳng hạn như / src / docs. Các HOST-DIR có thể là một
đường dẫn tuyệt đối hoặc một tên giá trị. MỘT tên giá trị phải bắt đầu bằng ký tự chữ và số,
tiếp theo a-z0-9, _ (gạch dưới), . (dấu chấm) hoặc - (gạch nối). Một con đường tuyệt đối bắt đầu bằng
a / (dấu gạch chéo).

Nếu bạn cung cấp một HOST-DIR đó là một đường dẫn tuyệt đối, Docker bind-mount vào đường dẫn bạn
chỉ rõ. Nếu bạn cung cấp một tên, Docker tạo một ổ đĩa được đặt tên bằng cách đó tên. Ví dụ,
bạn có thể chỉ định một trong hai / foo or foo cho một HOST-DIR giá trị. Nếu bạn cung cấp / foo giá trị,
Docker tạo một ràng buộc-mount. Nếu bạn cung cấp foo đặc điểm kỹ thuật, Docker tạo một
âm lượng.

Bạn có thể chỉ định nhiều -v các tùy chọn để gắn một hoặc nhiều giá đỡ vào một vùng chứa. Để sử dụng
các giá đỡ tương tự này trong các vùng chứa khác, chỉ định --volumes-từ tùy chọn cũng có.

Bạn có thể thêm : ro or : rw hậu tố cho một ổ đĩa để gắn nó ở chế độ chỉ đọc hoặc đọc-ghi,
tương ứng. Theo mặc định, các ổ được gắn kết đọc-ghi. Xem các ví dụ.

Các hệ thống ghi nhãn như SELinux yêu cầu các nhãn thích hợp được đặt trên nội dung tập
được gắn vào một thùng chứa. Nếu không có nhãn, hệ thống bảo mật có thể ngăn chặn các quá trình
chạy bên trong vùng chứa từ việc sử dụng nội dung. Theo mặc định, Docker không thay đổi
các nhãn do HĐH đặt.

Để thay đổi nhãn trong ngữ cảnh vùng chứa, bạn có thể thêm một trong hai hậu tố :z or :Z đến
khối lượng gắn kết. Các hậu tố này yêu cầu Docker gắn nhãn lại các đối tượng tệp trên tệp được chia sẻ
khối lượng. Các z tùy chọn cho Docker biết rằng hai vùng chứa chia sẻ nội dung khối lượng. Như một
kết quả là Docker gắn nhãn nội dung bằng nhãn nội dung được chia sẻ. Nhãn khối lượng chia sẻ cho phép
tất cả các vùng chứa để đọc / ghi nội dung. Các Z tùy chọn yêu cầu Docker gắn nhãn nội dung với
một nhãn riêng tư không được chia sẻ. Chỉ vùng chứa hiện tại mới có thể sử dụng một ổ đĩa riêng.

Theo mặc định, khối lượng gắn kết ràng buộc là riêng. Điều đó có nghĩa là bất kỳ gắn kết nào được thực hiện bên trong vùng chứa
sẽ không hiển thị trên máy chủ lưu trữ và ngược lại. Người ta có thể thay đổi hành vi này bằng cách chỉ định một
thuộc tính lan truyền khối lượng gắn kết. Tạo âm lượng chia sẻ gắn kết được thực hiện theo khối lượng đó
vùng chứa bên trong sẽ hiển thị trên máy chủ và ngược lại. Tạo âm lượng nô lệ cho phép
chỉ có một cách lan truyền mount và đó là mount được thực hiện trên máy chủ theo ổ đĩa đó sẽ
có thể nhìn thấy bên trong thùng chứa chứ không phải ngược lại.

Để kiểm soát thuộc tính lan truyền gắn kết của tập, người ta có thể sử dụng : [r] đã chia sẻ, : [r] nô lệ or
: [r] riêng tư cờ tuyên truyền. Thuộc tính truyền bá chỉ có thể được chỉ định cho ràng buộc được gắn kết
tập và không dành cho tập nội bộ hoặc tập đã đặt tên. Để quá trình tuyên truyền gắn kết hoạt động
điểm gắn nguồn (điểm gắn kết nơi gắn dir nguồn) phải có
tính chất lan truyền. Đối với khối lượng được chia sẻ, điểm gắn kết nguồn phải được chia sẻ. Va cho
khối lượng nô lệ, gắn kết nguồn phải được chia sẻ hoặc nô lệ.

Sử dụng df để tìm ra ngàm nguồn và sau đó sử dụng không tìm thấy -o
MỤC TIÊU, DỰ ĐOÁN để tìm ra các thuộc tính lan truyền của nguồn
gắn kết. Nếu như không tìm thấy tiện ích không có sẵn, sau đó người ta có thể xem mục nhập gắn kết cho nguồn
điểm gắn kết trong / proc / self / mountinfo. Nhìn vào không bắt buộc các lĩnh vực và xem có nhân giống nào không
thuộc tính được chỉ định. đã chia sẻ: X nghĩa là gắn kết là chia sẻ, chính chủ: X nghĩa là gắn kết là nô lệ
và nếu không có gì ở đó có nghĩa là gắn kết là riêng.

Để thay đổi thuộc tính lan truyền của điểm gắn kết, hãy sử dụng gắn kết chỉ huy. Ví dụ, nếu một
muốn liên kết thư mục nguồn gắn kết / foo một người có thể làm gắn kết --trói buộc / foo / foo và gắn kết
- làm riêng --make-chia sẻ / foo. Điều này sẽ chuyển đổi / foo thành một chia sẻ điểm gắn kết.
Ngoài ra, người ta có thể thay đổi trực tiếp các thuộc tính lan truyền của gắn kết nguồn. Nói / is
nguồn gắn kết cho / foo, sau đó sử dụng gắn kết --make-chia sẻ / để chuyển đổi / thành một chia sẻ gắn kết.

Chú thích: Khi sử dụng systemd để quản lý việc bắt đầu và dừng của Docker daemon, trong
tệp đơn vị systemd có một tùy chọn để kiểm soát quá trình lan truyền gắn kết cho Docker
chính daemon, được gọi là gắn cờ. Giá trị của cài đặt này có thể khiến Docker không
xem các thay đổi về lan truyền gắn kết được thực hiện trên điểm gắn kết. Ví dụ: nếu giá trị này
is nô lệ, bạn có thể không sử dụng được chia sẻ or được chia sẻ lại sự lan truyền trên một khối lượng.

- trình điều khiển âm lượng= ""
Trình điều khiển âm lượng của container. Trình điều khiển này tạo khối lượng được chỉ định từ
một Dockerfile's ÂM LƯỢNG hướng dẫn hoặc từ docker chạy -v cờ.
Xem docker-volume-tạo(1) để biết chi tiết đầy đủ.

--volumes-từ= []
Gắn khối lượng từ (các) vùng chứa được chỉ định

Gắn các ổ đĩa đã được gắn kết từ một vùng chứa nguồn vào một vùng chứa khác
thùng đựng hàng. Bạn phải cung cấp id vùng chứa của nguồn. Chia sẻ
một khối lượng, sử dụng --volumes-từ tùy chọn khi chạy
vùng chứa đích. Bạn có thể chia sẻ khối lượng ngay cả khi vùng chứa nguồn
không chạy.

Theo mặc định, Docker gắn kết các ổ ở cùng một chế độ (đọc-ghi hoặc
chỉ đọc) khi nó được gắn trong vùng chứa nguồn. Tùy ý, bạn
có thể thay đổi điều này bằng cách thêm container-id với : ro or
: rw từ khóa.

Nếu vị trí của ổ từ vùng chứa nguồn trùng với
dữ liệu nằm trên vùng chứa đích, sau đó ổ đĩa ẩn
dữ liệu đó về mục tiêu.

-w, --workdir= ""
Thư mục làm việc bên trong vùng chứa

Thư mục làm việc mặc định để chạy các tệp nhị phân trong một vùng chứa là thư mục gốc
danh mục (/). Nhà phát triển có thể đặt một mặc định khác với Dockerfile WORKDIR
hướng dẫn. Nhà điều hành có thể ghi đè thư mục làm việc bằng cách sử dụng -w tùy chọn.

Ra Trạng thái

Mã thoát khỏi docker chạy cung cấp thông tin về lý do tại sao vùng chứa không chạy được hoặc
tại sao nó thoát ra. Khi nào docker chạy thoát với mã khác XNUMX, mã thoát theo sau
chroot tiêu chuẩn, xem bên dưới:

125 if các lôi is với phu bến tàu daemon chính nó

$ docker chạy --foo busybox; tiếng vang $?
# cờ được cung cấp nhưng không được xác định: --foo
Xem 'docker run --help'.
125

126 if các chứa lệnh không thể be viện dẫn

$ docker chạy busybox / Etc; tiếng vang $?
# thực thi: "/ Etc": quyền bị từ chối
docker: Phản hồi lỗi từ daemon: Không thể gọi lệnh chứa trong
126

127 if các chứa lệnh không thể be tìm thấy

$ docker chạy busybox foo; echo $?
# execute: "foo": không tìm thấy tệp thực thi trong $ PATH
docker: Phản hồi lỗi từ daemon: Không tìm thấy lệnh chứa hoặc không tồn tại
127

Ra mã of chứa lệnh nếu không thì

$ docker chạy busybox / Bin / sh -c 'lối ra 3'
# 3

VÍ DỤ

Chạy chứa in chỉ đọc chế độ

Trong quá trình phát triển hình ảnh vùng chứa, các vùng chứa thường cần ghi vào nội dung hình ảnh.
Cài đặt các gói vào / usr, Ví dụ. Trong sản xuất, các ứng dụng hiếm khi cần
ghi vào hình ảnh. Các ứng dụng vùng chứa ghi vào các tập nếu chúng cần ghi vào tệp
hệ thống nào cả. Các ứng dụng có thể được bảo mật hơn bằng cách chạy chúng ở chế độ chỉ đọc
bằng cách sử dụng công tắc - chỉ đọc. Điều này bảo vệ hình ảnh vùng chứa khỏi bị sửa đổi. Đọc
chỉ vùng chứa có thể vẫn cần ghi dữ liệu tạm thời. Cách tốt nhất để xử lý điều này là
mount các thư mục tmpfs vào / chạy và / tmp.

# docker run - chỉ đọc --tmpfs / chạy --tmpfs / Tmp -i -t fedora / bin / bash

Phơi bày đăng nhập tin nhắn từ các chứa đến các chủ nhà đăng nhập

Nếu bạn muốn các thư đã đăng nhập trong vùng chứa của mình hiển thị trong máy chủ lưu trữ
syslog / journal thì bạn nên mount thư mục / dev / log vào như sau.

# docker run -v / dev / log: / dev / log -i -t fedora / bin / bash

Từ bên trong vùng chứa, bạn có thể kiểm tra điều này bằng cách gửi thông báo đến nhật ký.

(bash) # logger "Xin chào từ vùng chứa của tôi"

Sau đó thoát ra và kiểm tra nhật ký.

# lối ra

# journalctl -b | grep xin chào

Điều này sẽ liệt kê các tin nhắn được gửi đến trình ghi nhật ký.

Đính kèm đến một or chi tiết từ STDIN, GIỚI THIỆU, STDERR

Nếu bạn không chỉ định -a thì Docker sẽ đính kèm mọi thứ (stdin, stdout, stderr) mà bạn
thay vào đó thích kết nối, như trong:

# docker run -a stdin -a stdout -i -t fedora / bin / bash

Chia sẻ IPC giữa container

Sử dụng shm_server.c có sẵn tại đây: ⟨https: //www.cs.cf.ac.uk/Dave/C/node27.html⟩

Kiểm tra --ipc = máy chủ chế độ:

Máy chủ hiển thị một phân đoạn bộ nhớ được chia sẻ với 7 pid được đính kèm, tình cờ là từ httpd:

$ sudo ips -m

------ Phân đoạn bộ nhớ được chia sẻ --------
key shmid chủ sở hữu perms byte trạng thái nattch
0x01128e25 0 gốc 600 1000 7

Bây giờ, hãy chạy một vùng chứa thông thường và nó KHÔNG nhìn thấy phân đoạn bộ nhớ được chia sẻ một cách chính xác từ
máy chủ:

$ docker run -it shm ipcs -m

------ Phân đoạn bộ nhớ được chia sẻ --------
key shmid chủ sở hữu perms byte trạng thái nattch

Chạy một vùng chứa với cái mới --ipc = máy chủ và bây giờ nó nhìn thấy phân đoạn bộ nhớ được chia sẻ
từ máy chủ httpd:

$ docker run -it --ipc = host shm ipcs -m

------ Phân đoạn bộ nhớ được chia sẻ --------
key shmid chủ sở hữu perms byte trạng thái nattch
0x01128e25 0 gốc 600 1000 7

Kiểm tra --ipc = container: CONTAINERID chế độ:

Bắt đầu một vùng chứa với một chương trình để tạo một phân đoạn bộ nhớ dùng chung:

$ docker chạy -it shm bash
$ sudo shm / shm_server
$ sudo ips -m

------ Phân đoạn bộ nhớ được chia sẻ --------
key shmid chủ sở hữu perms byte trạng thái nattch
0x0000162e 0 gốc 666 27 1

Tạo vùng chứa thứ 2 một cách chính xác không hiển thị phân đoạn bộ nhớ được chia sẻ nào từ vùng chứa thứ nhất:

$ docker chạy shm ipcs -m

------ Phân đoạn bộ nhớ được chia sẻ --------
key shmid chủ sở hữu perms byte trạng thái nattch

Tạo vùng chứa thứ 3 bằng cách sử dụng tùy chọn --ipc = container: CONTAINERID mới, bây giờ nó hiển thị
phân đoạn bộ nhớ được chia sẻ từ đầu tiên:

$ docker run -it --ipc = container: ed735b2264ac shm ipcs -m
$ sudo ips -m

------ Phân đoạn bộ nhớ được chia sẻ --------
key shmid chủ sở hữu perms byte trạng thái nattch
0x0000162e 0 gốc 666 27 1

Liên kết Container

Chú thích: Phần này mô tả liên kết giữa các vùng chứa trên mặc định (cầu nối)
mạng, còn được gọi là "liên kết kế thừa". Sử dụng - liên kết trên các mạng do người dùng xác định, sử dụng
khám phá dựa trên DNS, không thêm các mục nhập vào / Etc / hosts, và không đặt
biến môi trường để khám phá.

Tính năng liên kết cho phép nhiều vùng chứa giao tiếp với nhau. Ví dụ, một
vùng chứa có Dockerfile có cổng 80 có thể chạy và được đặt tên như sau:

# docker run --name = link-test -d -i -t fedora / httpd

Vùng chứa thứ hai, trong trường hợp này được gọi là trình liên kết, có thể giao tiếp với vùng chứa httpd,
được đặt tên là link-test, bằng cách chạy với --link = :

# docker run -t -i --link = link-test: lt --name = linker fedora / bin / bash

Bây giờ trình liên kết vùng chứa được liên kết với kiểm tra liên kết vùng chứa với bí danh lt. Chạy
env lệnh trong vùng chứa trình liên kết hiển thị các biến môi trường
với ngữ cảnh LT (bí danh) (LT_)

# env
HOSTNAME = 668231cb0978
TERM = xterm
LT_PORT_80_TCP = tcp: //172.17.0.3: 80
LT_PORT_80_TCP_PORT = 80
LT_PORT_80_TCP_PROTO = tcp
LT_PORT = tcp: //172.17.0.3: 80
PATH =/ usr / local / sbin:/ usr / local / bin:/ usr / sbin:/ usr / bin:/ sbin:/ thùng rác
NKT = /
LT_NAME = / linker / lt
SHLVL = 1
TRANG CHỦ = /
LT_PORT_80_TCP_ADDR = 172.17.0.3
_=/ usr / bin / env

Khi liên kết hai vùng chứa, Docker sẽ sử dụng các cổng tiếp xúc của vùng chứa để tạo
đường hầm an toàn cho cha mẹ để truy cập.

Nếu một vùng chứa được kết nối với mạng cầu nối mặc định và liên kết với các
thùng chứa, sau đó là thùng chứa của / Etc / hosts tệp được cập nhật với vùng chứa được liên kết
tên.

Chú thích Vì Docker có thể trực tiếp cập nhật vùng chứa / Etc / hosts tập tin, có thể có
các tình huống khi các quy trình bên trong vùng chứa có thể kết thúc việc đọc một sản phẩm trống hoặc
chưa hoàn thiện / Etc / hosts tập tin. Trong hầu hết các trường hợp, việc thử đọc lại lần nữa sẽ sửa lỗi
vấn đề.

Lập bản đồ cổng cho Bên ngoài Sử dụng

Cổng tiếp xúc của một ứng dụng có thể được ánh xạ tới một cổng máy chủ bằng cách sử dụng -p lá cờ. Vì
ví dụ, một cổng httpd 80 có thể được ánh xạ tới cổng máy chủ 8080 bằng cách sử dụng như sau:

# docker run -p 8080: 80 -d -i -t fedora / httpd

Tạo và Gắn kết a Ngày Khối lượng Container

Nhiều ứng dụng yêu cầu chia sẻ dữ liệu liên tục trên nhiều vùng chứa. Docker
cho phép bạn tạo một Vùng chứa khối lượng dữ liệu mà các vùng chứa khác có thể gắn kết từ đó. Vì
ví dụ, tạo một vùng chứa được đặt tên có chứa các thư mục / var / volume1 và / tmp / volume2.
Hình ảnh sẽ cần phải chứa các thư mục này vì vậy một vài hướng dẫn RUN mkdir
có thể được yêu cầu cho hình ảnh dữ liệu fedora của bạn:

# docker run --name = data -v / var / volume1 -v / tmp / volume2 -i -t fedora-data true
# docker run --volumes-from = data --name = fedora-container1 -i -t fedora bash

Nhiều tham số --volumes-from sẽ tập hợp nhiều khối lượng dữ liệu từ nhiều
hộp đựng. Và có thể gắn các ổ đến từ vùng chứa DATA trong
một vùng chứa khác thông qua vùng chứa trung gian fedora-container1, cho phép
trừu tượng nguồn dữ liệu thực tế từ người dùng dữ liệu đó:

# docker run --volumes-from = fedora-container1 --name = fedora-container2 -i -t fedora bash

Gắn kết Bên ngoài Volumes

Để gắn kết một thư mục máy chủ lưu trữ dưới dạng một khối lượng vùng chứa, hãy chỉ định đường dẫn tuyệt đối đến
thư mục và đường dẫn tuyệt đối cho thư mục vùng chứa được phân tách bằng dấu hai chấm:

# docker run -v / var / db: / data1 -i -t fedora bash

Khi sử dụng SELinux, hãy lưu ý rằng máy chủ lưu trữ không có kiến ​​thức về chính sách vùng chứa SELinux.
Do đó, trong ví dụ trên, nếu chính sách SELinux được thực thi, / var / db thư mục là
không thể ghi vào vùng chứa. Thông báo "Quyền bị Từ chối" sẽ xuất hiện và giá trị trung bình:
tin nhắn trong nhật ký hệ thống của máy chủ.

Để giải quyết vấn đề này, tại thời điểm viết trang người này, lệnh sau cần phải
chạy để gắn nhãn loại chính sách SELinux thích hợp vào máy chủ
danh mục:

# chcon -Rt svirt_sandbox_file_t / var / db

Bây giờ, việc ghi vào ổ đĩa / data1 trong vùng chứa sẽ được cho phép và các thay đổi sẽ
cũng được phản ánh trên máy chủ lưu trữ trong / var / db.

Sử dụng thay thế an ninh ghi nhãn

Bạn có thể ghi đè lược đồ ghi nhãn mặc định cho mỗi vùng chứa bằng cách chỉ định
--bảo mật-opt lá cờ. Ví dụ: bạn có thể chỉ định mức MCS / MLS, một yêu cầu đối với MLS
các hệ thống. Chỉ định mức trong lệnh sau cho phép bạn chia sẻ cùng
nội dung giữa các vùng chứa.

# docker run --security-opt label: level: s0: c100, c200 -i -t fedora bash

Một ví dụ MLS có thể là:

# docker run --security-opt label: level: TopSecret -i -t rhel7 bash

Để tắt nhãn bảo mật cho vùng chứa này so với việc chạy với - dễ dãi
cờ, sử dụng lệnh sau:

# docker run --security-opt label: disable -i -t fedora bash

Nếu bạn muốn một chính sách bảo mật chặt chẽ hơn đối với các quy trình trong vùng chứa, bạn có thể chỉ định
một loại thay thế cho vùng chứa. Bạn có thể chạy một vùng chứa chỉ được phép
lắng nghe trên các cổng Apache bằng cách thực hiện lệnh sau:

# docker run --security-opt label: type: svirt_apache_t -i -t centos bash

Lưu ý:

Bạn sẽ phải viết chính sách xác định một svirt_apache_t kiểu.

Cài đặt thiết bị trọng lượng

Nếu bạn muốn thiết lập / dev / sda trọng lượng thiết bị để 200, bạn có thể chỉ định trọng lượng thiết bị bằng cách
--blkio-trọng lượng-thiết bị lá cờ. Sử dụng lệnh sau:

# docker run -it --blkio-weight-device "/ dev / sda: 200" ubuntu

Chỉ định cô lập công nghệ cho chứa (--sự cách ly)

Tùy chọn này hữu ích trong các trường hợp bạn đang chạy vùng chứa Docker trên Microsoft
Các cửa sổ. Các --sự cách ly tùy chọn đặt công nghệ cách ly của vùng chứa. Trên Linux,
hỗ trợ duy nhất là mặc định tùy chọn sử dụng không gian tên Linux. Hai lệnh này
tương đương trên Linux:

$ docker run -d busybox đầu
$ docker run -d - phần đầu của hộp bận rộn mặc địnhisolation

Trên Microsoft Windows, có thể nhận bất kỳ giá trị nào sau đây:

· mặc định: Sử dụng giá trị được chỉ định bởi Docker daemon --exec-opt . Nếu daemon làm
không chỉ định một công nghệ cách ly, Microsoft Windows sử dụng quá trình như mặc định của nó
giá trị.

· quá trình: Chỉ cách ly không gian tên.

· hyperv: Cách ly dựa trên phân vùng siêu giám sát Hyper-V.

Trên thực tế, khi chạy trên Microsoft Windows mà không có daemon bộ tùy chọn, hai cái này
các lệnh tương đương:

$ docker run -d - phần đầu của hộp bận rộn mặc địnhisolation
$ docker run -d - quá trình cách ly busybox top

Nếu bạn đã đặt --exec-opt cô lập = hyperv tùy chọn trên Docker daemon, bất kỳ trong số này
các lệnh cũng dẫn đến hyperv sự cô lập:

$ docker run -d - phần đầu của hộp bận rộn mặc địnhisolation
$ docker run -d --isolation hyperv busybox trên cùng

LỊCH SỬ

Tháng 2014 năm XNUMX, ban đầu được biên soạn bởi William Henry (whenry tại redhat dot com) dựa trên
tài liệu nguồn docker.com và công việc nội bộ. Tháng 2014 năm XNUMX, được cập nhật bởi Sven Dowideit
⟨[email được bảo vệ]⟩ Tháng 2014 năm XNUMX, được cập nhật bởi Sven Dowideit ⟨[email được bảo vệ]⟩
Tháng 2015 năm XNUMX, được cập nhật bởi Sally O'Malley ⟨[email được bảo vệ]⟩

Sử dụng trực tuyến do docker chạy bằng các dịch vụ onworks.net