目录搜索
ComposeAbout versions and upgrading (Compose)ASP.NET Core + SQL Server on Linux (Compose)CLI environment variables (Compose)Command-line completion (Compose)Compose(组成)Compose command-line reference(组合命令行参考)Control startup order (Compose)Django and PostgreSQL (Compose)Docker stacks and distributed application bundles (Compose)docker-compose build(docker-compose构建)docker-compose bundledocker-compose configdocker-compose createdocker-compose downdocker-compose eventsdocker-compose execdocker-compose helpdocker-compose imagesdocker-compose killdocker-compose logsdocker-compose pausedocker-compose portdocker-compose psdocker-compose pulldocker-compose pushdocker-compose restartdocker-compose rmdocker-compose rundocker-compose scaledocker-compose startdocker-compose stopdocker-compose topdocker-compose unpausedocker-compose upEnvironment file (Compose)Environment variables in ComposeExtend services in ComposeFrequently asked questions (Compose)Getting started (Compose)Install ComposeLink environment variables (deprecated) (Compose)Networking in ComposeOverview of Docker ComposeOverview of docker-compose CLIQuickstart: Compose and WordPressRails and PostgreSQL (Compose)Sample apps with ComposeUsing Compose in productionUsing Compose with SwarmEngine.NET Core application (Engine)About images, containers, and storage drivers (Engine)Add nodes to the swarm (Engine)Apply custom metadata (Engine)Apply rolling updates (Engine)apt-cacher-ngBest practices for writing Dockerfiles (Engine)Binaries (Engine)Bind container ports to the host (Engine)Breaking changes (Engine)Build your own bridge (Engine)Configure container DNS (Engine)Configure container DNS in user-defined networks (Engine)CouchDB (Engine)Create a base image (Engine)Create a swarm (Engine)Customize the docker0 bridge (Engine)Debian (Engine)Default bridge networkDelete the service (Engine)Deploy a service (Engine)Deploy services to a swarm (Engine)Deprecated Engine featuresDocker container networking (Engine)Docker overview (Engine)Docker run reference (Engine)Dockerfile reference (Engine)Dockerize an applicationDrain a node (Engine)EngineFAQ (Engine)Fedora (Engine)Get started (Engine)Get started with macvlan network driver (Engine)Get started with multi-host networking (Engine)How nodes work (Engine)How services work (Engine)Image management (Engine)Inspect the service (Engine)Install Docker (Engine)IPv6 with Docker (Engine)Join nodes to a swarm (Engine)Legacy container links (Engine)Lock your swarm (Engine)Manage nodes in a swarm (Engine)Manage sensitive data with Docker secrets (Engine)Manage swarm security with PKI (Engine)Manage swarm service networks (Engine)Migrate to Engine 1.10Optional Linux post-installation steps (Engine)Overview (Engine)PostgreSQL (Engine)Raft consensus in swarm mode (Engine)Riak (Engine)Run Docker Engine in swarm modeScale the service (Engine)SDKs (Engine)Select a storage driver (Engine)Set up for the tutorial (Engine)SSHd (Engine)Storage driver overview (Engine)Store service configuration data (Engine)Swarm administration guide (Engine)Swarm mode key concepts (Engine)Swarm mode overlay network security model (Engine)Swarm mode overview (Engine)Understand container communication (Engine)Use multi-stage builds (Engine)Use swarm mode routing mesh (Engine)Use the AUFS storage driver (Engine)Use the Btrfs storage driver (Engine)Use the Device mapper storage driver (Engine)Use the OverlayFS storage driver (Engine)Use the VFS storage driver (Engine)Use the ZFS storage driver (Engine)Engine: Admin GuideAmazon CloudWatch logs logging driver (Engine)Bind mounts (Engine)Collect Docker metrics with Prometheus (Engine)Configuring and running Docker (Engine)Configuring logging drivers (Engine)Control and configure Docker with systemd (Engine)ETW logging driver (Engine)Fluentd logging driver (Engine)Format command and log output (Engine)Google Cloud logging driver (Engine)Graylog Extended Format (GELF) logging driver (Engine)Journald logging driver (Engine)JSON File logging driver (Engine)Keep containers alive during daemon downtime (Engine)Limit a container's resources (Engine)Link via an ambassador container (Engine)Log tags for logging driver (Engine)Logentries logging driver (Engine)PowerShell DSC usage (Engine)Prune unused Docker objects (Engine)Run multiple services in a container (Engine)Runtime metrics (Engine)Splunk logging driver (Engine)Start containers automatically (Engine)Storage overview (Engine)Syslog logging driver (Engine)tmpfs mountsTroubleshoot volume problems (Engine)Use a logging driver plugin (Engine)Using Ansible (Engine)Using Chef (Engine)Using Puppet (Engine)View a container's logs (Engine)Volumes (Engine)Engine: CLIDaemon CLI reference (dockerd) (Engine)dockerdocker attachdocker builddocker checkpointdocker checkpoint createdocker checkpoint lsdocker checkpoint rmdocker commitdocker configdocker config createdocker config inspectdocker config lsdocker config rmdocker containerdocker container attachdocker container commitdocker container cpdocker container createdocker container diffdocker container execdocker container exportdocker container inspectdocker container killdocker container logsdocker container lsdocker container pausedocker container portdocker container prunedocker container renamedocker container restartdocker container rmdocker container rundocker container startdocker container statsdocker container stopdocker container topdocker container unpausedocker container updatedocker container waitdocker cpdocker createdocker deploydocker diffdocker eventsdocker execdocker exportdocker historydocker imagedocker image builddocker image historydocker image importdocker image inspectdocker image loaddocker image lsdocker image prunedocker image pulldocker image pushdocker image rmdocker image savedocker image tagdocker imagesdocker importdocker infodocker inspectdocker killdocker loaddocker logindocker logoutdocker logsdocker networkdocker network connectdocker network createdocker network disconnectdocker network inspectdocker network lsdocker network prunedocker network rmdocker nodedocker node demotedocker node inspectdocker node lsdocker node promotedocker node psdocker node rmdocker node updatedocker pausedocker plugindocker plugin createdocker plugin disabledocker plugin enabledocker plugin inspectdocker plugin installdocker plugin lsdocker plugin pushdocker plugin rmdocker plugin setdocker plugin upgradedocker portdocker psdocker pulldocker pushdocker renamedocker restartdocker rmdocker rmidocker rundocker savedocker searchdocker secretdocker secret createdocker secret inspectdocker secret lsdocker secret rmdocker servicedocker service createdocker service inspectdocker service logsdocker service lsdocker service psdocker service rmdocker service scaledocker service updatedocker stackdocker stack deploydocker stack lsdocker stack psdocker stack rmdocker stack servicesdocker startdocker statsdocker stopdocker swarmdocker swarm cadocker swarm initdocker swarm joindocker swarm join-tokendocker swarm leavedocker swarm unlockdocker swarm unlock-keydocker swarm updatedocker systemdocker system dfdocker system eventsdocker system infodocker system prunedocker tagdocker topdocker unpausedocker updatedocker versiondocker volumedocker volume createdocker volume inspectdocker volume lsdocker volume prunedocker volume rmdocker waitUse the Docker command line (Engine)Engine: ExtendAccess authorization plugin (Engine)Docker log driver pluginsDocker network driver plugins (Engine)Extending Engine with pluginsManaged plugin system (Engine)Plugin configuration (Engine)Plugins API (Engine)Volume plugins (Engine)Engine: SecurityAppArmor security profiles for Docker (Engine)Automation with content trust (Engine)Content trust in Docker (Engine)Delegations for content trust (Engine)Deploying Notary (Engine)Docker security (Engine)Docker security non-events (Engine)Isolate containers with a user namespace (Engine)Manage keys for content trust (Engine)Play in a content trust sandbox (Engine)Protect the Docker daemon socket (Engine)Seccomp security profiles for Docker (Engine)Secure EngineUse trusted imagesUsing certificates for repository client verification (Engine)Engine: TutorialsEngine tutorialsNetwork containers (Engine)Get StartedPart 1: OrientationPart 2: ContainersPart 3: ServicesPart 4: SwarmsPart 5: StacksPart 6: Deploy your appMachineAmazon Web Services (Machine)Digital Ocean (Machine)docker-machine activedocker-machine configdocker-machine createdocker-machine envdocker-machine helpdocker-machine inspectdocker-machine ipdocker-machine killdocker-machine lsdocker-machine provisiondocker-machine regenerate-certsdocker-machine restartdocker-machine rmdocker-machine scpdocker-machine sshdocker-machine startdocker-machine statusdocker-machine stopdocker-machine upgradedocker-machine urlDriver options and operating system defaults (Machine)Drivers overview (Machine)Exoscale (Machine)Generic (Machine)Get started with a local VM (Machine)Google Compute Engine (Machine)IBM Softlayer (Machine)Install MachineMachineMachine CLI overviewMachine command-line completionMachine concepts and helpMachine overviewMicrosoft Azure (Machine)Microsoft Hyper-V (Machine)Migrate from Boot2Docker to MachineOpenStack (Machine)Oracle VirtualBox (Machine)Provision AWS EC2 instances (Machine)Provision Digital Ocean Droplets (Machine)Provision hosts in the cloud (Machine)Rackspace (Machine)VMware Fusion (Machine)VMware vCloud Air (Machine)VMware vSphere (Machine)NotaryClient configuration (Notary)Common Server and signer configurations (Notary)Getting started with NotaryNotary changelogNotary configuration filesRunning a Notary serviceServer configuration (Notary)Signer configuration (Notary)Understand the service architecture (Notary)Use the Notary client
文字

描述

在新容器中运行命令

用法

docker run [OPTIONS] IMAGE [COMMAND] [ARG...]

选项

名字,简写

默认

描述

--add-host


添加自定义的主机到IP映射(主机:IP)

--attach, -a


附加到STDIN,STDOUT或STDERR

--blkio-weight

0

阻止IO(相对权重),介于10和1000之间,或0禁用(默认值为0)

--blkio-weight-device


块IO重量(相对设备重量)

--cap-add


添加Linux功能

--cap-drop


删除Linux功能

--cgroup-parent


容器的可选父cgroup

--cidfile


将容器ID写入文件

--cpu-count

0

CPU数量(仅限Windows)

--cpu-percent

0

CPU百分比(仅限Windows)

--cpu-period

0

限制CPU CFS(完全公平调度程序)期间

--cpu-quota

0

限制CPU CFS(完全公平调度程序)配额

--cpu-rt-period

0

限制CPU实时周期(以微秒为单位)

--cpu-rt-runtime

0

以微秒为单位限制CPU实时运行时间

--cpu-shares,-c

0

CPU份额(相对重量)

--cpus


CPU数量

--cpuset-cpus


允许执行的CPU(0-3,0,1)

--cpuset-MEMS


允许执行的MEM(0-3,0,1)

--detach,-d

false

在后台运行容器并打印容器ID

--detach-keys


覆盖分离容器的键序列

--device


将主机设备添加到容器

--device-cgroup-rule


将规则添加到cgroup允许的设备列表

--device-read-bps


限制设备的读取速率(每秒字节数)

--device-read-iops


限制设备的读取速率(每秒IO)

-device-write-bps


限制写入速率(每秒字节数)到设备

--device-write-iops


限制写入速率(每秒IO)到设备

--disable-content-trust

true

跳过图像验证

--dns


设置自定义DNS服务器

--dns-OPT


设置DNS选项

--dns-option


设置DNS选项

--dns-search


设置自定义DNS搜索域

--entrypoint


覆盖图像的默认入口点

--env,-e


设置环境变量

--env-file


读入环境变量文件

--expose


公开一个端口或一系列端口

--group-add


添加其他群组加入

--health-cmd


运行以检查运行状况的命令

--health-interval

0

运行检查之间的时间(ms | s | m | h)(默认为0)

--health-retries

0

需要报告不健康的连续失败

--health-start-period

0

启动健康重试倒数前,容器初始化的开始时间段(ms | s | m | h)(默认为0)

--health-timeout

0

允许一次检查运行的最长时间(ms | s | m | h)(默认值为0)

--help

false

打印用法

--hostname,-h


容器主机名称

--init

false

在容器中运行一个转发信号并收集进程的init

---interactive, -i

false

即使没有连接,也要保持STDIN打开

--io-MaxBandwidth

0

系统驱动器的最大IO带宽限制(仅限Windows)

--io-maxiops

0

系统驱动器的最大IOps限制(仅限Windows)

--ip


IPv4地址(例如172.30.100.104)

--ip6


IPv6地址(例如,2001:db8 :: 33)

--ipc


IPC命名空间使用

--isolation


容器隔离技术

--kernel-memory

0

内核内存限制

--label, -l


在容器上设置元数据

--label-file


阅读标签的行分隔文件

--link


将链接添加到其他容器

--link-local-ip


Container IPv4 / IPv6链路本地地址

--log-driver


记录容器的驱动程序

--log-OPT


日志驱动选项

- MAC地址


容器MAC地址(例如,92:d0:c6:0a:29:33)

--memory, -m

0

内存限制

--memory-reservation

0

内存软限制

--memory-swap

0

交换限制等于内存加交换:'-1'以启用无限交换

--memory-swappiness

-1

调整容器内存swappiness(0到100)

--mount


将文件系统挂载附加到容器

--name


为容器分配一个名称

--net

默认

将容器连接到网络

--net-alias


为容器添加网络范围的别名

--network

默认

将容器连接到网络

--network-alias


为容器添加网络范围的别名

--no-healthcheck

false

禁用任何容器指定的HEALTHCHECK

--oom-kill-disable

false

禁用OOM杀手

--oom-score-adj

0

调整主机的OOM首选项(从-1000到1000)

--pid


要使用的PID名称空间

--pids-limit

0

调整容器匹配限制(无限制地设置-1)

--privileged

false

给这个容器赋予扩展权限

--publish,-p


将容器的端口发布到主机

--publish-all,-P

false

将所有暴露的端口发布到随机端口

--read-only

false

将容器的根文件系统挂载为只读

--read-only

no

重新启动策略以在容器退出时应用

--restart

false

当容器退出时自动移除容器

--rm


运行时用于此容器

--security-OPT


安全选项

--shm-size

0

/ dev / shm的大小

--sig-proxy

true

代理接收到进程的信号

--stop-signal

SIGTERM

停止容器的信号

--stop-timeout

0

超时(以秒为单位)停止容器

--storage-OPT


容器的存储驱动程序选项

--sysctl

map[]

Sysctl选项

--tmpfs


挂载一个tmpfs目录

--tty, -t

false

分配一个伪TTY

--ulimit


Ulimit选项

--user,-u


用户名或UID(格式:<名称| uid>:<组| gid>)

--userns


要使用的用户名称空间

--uts


UTS命名空间使用

--volume, -v


绑定安装一个卷

--volume-driver


容器的可选卷驱动程序

--volumes-from


从指定容器装载卷

--workdir,-w


容器内的工作目录

父命令

命令

描述

docker

Docker CLI的基本命令。

扩展描述

docker run命令首先在指定的映像上创建一个可写容器层,然后使用指定的命令启动它。 也就是说,码头运行等同于API / containers / create then / containers /(id)/ start。 使用docker start可以重新启动已停止的容器,并保持原来的所有更改不变。 请参阅docker ps -a查看所有容器的列表。

docker run命令可以在组合使用docker commit,以改变一个容器中运行的命令docker run在Docker运行参考中还有其他详细信息。

有关将容器连接到网络的信息,请参阅“ Docker网络概述 ”。

例子

分配名称并分配伪TTY(-name,-it)

$ docker run --name test -it debian

root@d6c0fe130dba:/# exit 13$ echo $?13$ docker ps -a | grep test
d6c0fe130dba        debian:7            "/bin/bash"         26 seconds ago      Exited (13) 17 seconds ago                         test

这个例子使用debian:latest image运行一个名为test的容器。 -it指示Docker分配连接到容器stdin的伪TTY; 在容器中创建一个交互式bash shell。 在该示例中,通过输入exit 13退出bash shell。此退出代码被传递给docker run的调用者,并记录在测试容器的元数据中。

捕获容器ID(-cidfile)

$ docker run --cidfile /tmp/docker_test.cid ubuntu echo "test"

这将创建一个容器并打印测试到控制台。 cidfile标志使得Docker尝试创建一个新文件并将容器ID写入它。 如果文件已经存在,Docker会返回一个错误。 Docker运行退出时,Docker将关闭此文件。

完整的容器功能(-privileged)

$ docker run -t -i --rm ubuntu bash
root@bc338942ef20:/# mount -t tmpfs none /mnt
mount: permission denied

这是行不通的,因为默认情况下,大多数具有潜在危险的内核功能都被丢弃; 包括cap_sys_admin(这是安装文件系统所必需的)。 但是, - 特权标志将允许它运行:

$ docker run -t -i --privileged ubuntu bash
root@50e3f57e16e6:/# mount -t tmpfs none /mnt
root@50e3f57e16e6:/# df -h
Filesystem      Size  Used Avail Use% Mounted on
none            1.9G     0  1.9G   0% /mnt

--privileged标志为容器提供了所有功能,并且还提升了devicecgroup控制器执行的所有限制。换句话说,容器可以做主机可以做的几乎所有事情。这个标志存在允许特殊的用例,比如在Docker中运行Docker。

设置工作目录(-w)

$ docker  run -w /path/to/dir/ -i -t  ubuntu pwd

-w让里面定目录正在执行的命令,如/path/to/dir/。如果路径不存在,它将在容器内创建。

为每个容器设置存储驱动器选项

$ docker run -it --storage-opt size=120G fedora /bin/bash

这个(大小)将允许在创建时将容器rootfs大小设置为120G。 此选项仅适用于devicemapper,btrfs,overlay2,windowsfilter和zfs图形驱动程序。 对于devicemapper,btrfs,windowsfilter和zfs图形驱动程序,用户无法传递小于默认基本大小的大小。 对于overlay2存储驱动程序,只有当后备fs为xfs并使用pquota安装选项安装时,size选项才可用。 在这些条件下,用户可以通过任何小于支持fs大小的大小。

装载tmpfs(-tmpfs)

$ docker run -d --tmpfs /run:rw,noexec,nosuid,size=65536k my_image

--tmpfs标志将空tmpfs与rw,noexec,nosuid,size = 65536k选项一起装载到容器中。

装入卷(-v,只读)

$ docker  run  -v `pwd`:`pwd` -w `pwd` -i -t  ubuntu pwd

-v标志将当前工作目录挂载到容器中。 -w让命令在当前工作目录内执行,方法是将目录更改为由pwd返回的值。 所以这个组合使用容器执行命令,但在当前工作目录中执行。

$ docker run -v /doesnt/exist:/foo -w /foo -i -t ubuntu bash

当绑定安装卷的主机目录不存在时,Docker会自动在主机上为您创建此目录。在上面的例子中,Docker将/doesnt/exist在启动容器之前创建文件夹。

$ docker run --read-only -v /icanwrite busybox touch /icanwrite/here

体积可以与--read-only结合使用来控制容器写入文件的位置。 -read-only标志将容器的根文件系统装载为只读,禁止写入容器指定体积以外的位置。

$ docker run -t -i -v /var/run/docker.sock:/var/run/docker.sock -v /path/to/static-docker-binary:/usr/bin/docker busybox sh

通过绑定docker unix套接字和静态链接的docker二进制文件(请参阅获取linux二进制文件),您可以赋予容器完全访问权限,以创建和操作主机的Docker守护进程。

在Windows上,路径必须使用Windows风格的语义来指定。

PS C:\> docker run -v c:\foo:c:\dest microsoft/nanoserver cmd /s /c type c:\dest\somefile.txt
Contents of file

PS C:\> docker run -v c:\foo:d: microsoft/nanoserver cmd /s /c type d:\somefile.txt
Contents of file

使用基于Windows的容器时,以下示例将失败,因为容器内的卷的目的地或绑定装入必须是以下之一:不存在或空目录; 或C:以外的驱动器。此外,绑定挂载的源必须是本地目录,而不是文件。

net use z: \\remotemachine\share
docker run -v z:\foo:c:\dest ...docker run -v \\uncpath\to\directory:c:\dest ...docker run -v c:\foo\somefile.txt:c:\dest ...docker run -v c:\foo:c: ...docker run -v c:\foo:c:\existing-directory-with-contents ...

有关体积的深入信息,请参阅管理容器中的数据

使用-mount标志添加绑定挂载或卷

--mount标志允许您tmpfs在容器中安装卷,主机目录和挂载。

--mount标志支持-vor 标志支持的大多数选项--volume,但使用不同的语法。有关的深度信息--mount的标志,和之间的比较--volume--mount,请参考服务创建命令参考。

即使没有计划反对--volume,建议使用--mount

例子:

$ docker run --read-only --mount type=volume,target=/icanwrite busybox touch /icanwrite/here
$ docker run -t -i --mount type=bind,src=/data,dst=/data busybox sh

发布或公开端口(-p,-expose)

$ docker run -p 127.0.0.1:80:8080 ubuntu bash

这将容器的端口8080绑定到主机的127.0.0.1上的端口80。 Docker用户指南详细解释了如何操作Docker中的端口。

$ docker run --expose 80 ubuntu bash

这暴露80容器的端口而不将端口发布到主机系统的接口。

设置环境变量(-e,-env,-env-file)

$ docker run -e MYVAR1 --env MYVAR2=foo --env-file ./env.list ubuntu bash

使用-e--env--env-file标志设置在容器简单(非数组)环境变量,你正在运行,或覆盖在你运行图像的Dockerfile中定义的变量。

您可以在运行容器时定义变量及其值:

$ docker run --env VAR1=value1 --env VAR2=value2 ubuntu env | grep VAR
VAR1=value1
VAR2=value2

您也可以使用您已经导出到本地环境的变量:

export VAR1=value1export VAR2=value2

$ docker run --env VAR1 --env VAR2 ubuntu env | grep VAR
VAR1=value1
VAR2=value2

在运行该命令时,Docker CLI客户端将检查变量在本地环境中的值并将其传递给容器。 如果提供了no =并且该变量未在本地环境中导出,则该变量将不会在容器中进行设置。

您也可以从文件加载环境变量。该文件应该使用语法<variable>=value(将变量设置为给定值)或<variable>(从本地环境获取值)以及#注释。

$ cat env.list
# This is a comment
VAR1=value1
VAR2=value2
USER

$ docker run --env-file env.list ubuntu env | grep VAR
VAR1=value1
VAR2=value2
USER=denis

在容器上设置元数据(-l,-label,-label-file)

标签是key=value将元数据应用于容器的一对。用两个标签标注容器:

$ docker run -l my-label --label com.example.foo=bar ubuntu bash

my-label键不指定值,因此标签默认为空字符串(“”)。 要添加多个标签,请重复标签标志(-l或--label)。

key =值必须是唯一的,以避免覆盖标签值。 如果您使用相同的键但指定了不同的值,则每个后续值都会覆盖前一个值。 Docker使用您提供的最后一个key =值。

使用该--label-file标志从文件加载多个标签。用EOL标记分隔文件中的每个标签。下面的示例从当前目录中的标签文件加载标签:

$ docker run --label-file ./labels ubuntu bash

标签文件格式与加载环境变量的格式类似。(与环境变量不同,标签对容器内运行的进程不可见。)以下示例说明了标签文件格式:

com.example.label1="a label"# this is a comment
com.example.label2=another\ label
com.example.label3

您可以通过提供多个--label-file标志来加载多个标签文件。

有关使用标签的更多信息,请参阅Docker用户指南中的标签 -  Docker中的自定义元数据

将容器连接到网络( - 网络)

在启动容器时,使用--network标志将其连接到网络。 这将busybox容器添加到my-net网络。

$ docker run -itd --network=my-net busybox

在用户定义的网络上启动容器时,也可以使用--ip和--ip6标志选择容器的IP地址。

$ docker run -itd --network=my-net --ip=10.10.9.75 busybox

如果要将正在运行的容器添加到网络,请使用docker network connect子命令。

您可以将多个容器连接到同一个网络。一旦连接,容器可以很容易地通信,只需要另一个容器的IP地址或名称。对于overlay支持多主机连接的网络或自定义插件,连接到相同多主机网络但从不同引擎启动的容器也可以通过这种方式进行通信。

注意:服务发现在默认网桥上不可用。容器默认通过IP地址进行通信。要通过名称进行交流,他们必须联系起来。

您可以使用该docker network disconnect命令从网络断开容器。

从容器中装入卷(-volumes-from)

$ docker run --volumes-from 777f7dc92da7 --volumes-from ba8c0c54f0f2:ro -i -t ubuntu pwd

--volumes-from标志会从引用的容器中装入所有定义的卷。 容器可以通过重复-volumes-from参数来指定。 容器ID可以选择性地添加后缀:ro或:rw以分别将卷挂载到只读或读写模式。 默认情况下,卷以相同模式(读写或只读)作为参考容器装入。

像SELinux这样的标签系统要求在安装到容器中的卷内容上放置正确的标签。如果没有标签,安全系统可能会阻止容器内运行的进程使用内容。默认情况下,Docker不会更改OS设置的标签。

要更改容器上下文中的标签,可以添加两个后缀中的任意一个:z或添加:Z到卷装载。这些后缀告诉Docker重新标记共享卷上的文件对象。该z选项告诉Docker两个容器共享卷内容。因此,Docker使用共享内容标签来标记内容。共享卷标允许所有容器读取/写入内容。该Z选项告诉Docker使用私有非共享标签标记内容。只有当前容器可以使用私人卷。

附加到STDIN / STDOUT / STDERR(-a)

-a标志告诉码头运行绑定到容器的STDIN,STDOUT或STDERR。 这可以根据需要操作输出和输入。

$ echo "test" | docker run -i -a stdin ubuntu cat -

这将数据通过管道传输到容器中,并通过仅附加到容器的STDIN来打印容器的ID。

$ docker run -a stderr ubuntu echo test

这不会打印任何东西,除非出现错误,因为我们只附加到容器的STDERR。 容器的日志仍然存储了写入STDERR和STDOUT的内容。

$ cat somefile | docker run -i -a stdin mybuilder dobuild

这是如何将文件传输到容器中以便构建的。构建完成后将打印容器的ID,并可使用检索构建日志docker logs。如果您需要将文件或其他内容传输到容器中,并在容器运行完毕后检索容器的ID,这非常有用。

将主机设备添加到容器(-device)

$ docker run --device=/dev/sdc:/dev/xvdc \             --device=/dev/sdd --device=/dev/zero:/dev/nulo \             -i -t \
             ubuntu ls -l /dev/{xvdc,sdd,nulo}brw-rw---- 1 root disk 8, 2 Feb  9 16:05 /dev/xvdc
brw-rw---- 1 root disk 8, 3 Feb  9 16:05 /dev/sdd
crw-rw-rw- 1 root root 1, 5 Feb  9 16:05 /dev/nulo

通常需要将设备直接暴露于容器。 --device选项启用该选项。 例如,一个特定的块存储设备或循环设备或音频设备可以被添加到另一个没有特权的容器(没有 - - 特权标志),并让应用程序直接访问它。

默认情况下,容器将能够读取,写入和mknod这些设备。 这可以使用第三个覆盖:每个设备标志的rwm选项集:

$ docker run --device=/dev/sda:/dev/xvdc --rm -it ubuntu fdisk  /dev/xvdcCommand (m for help): q
$ docker run --device=/dev/sda:/dev/xvdc:r --rm -it ubuntu fdisk  /dev/xvdc
You will not be able to write the partition table.Command (m for help): q

$ docker run --device=/dev/sda:/dev/xvdc:rw --rm -it ubuntu fdisk  /dev/xvdcCommand (m for help): q

$ docker run --device=/dev/sda:/dev/xvdc:m --rm -it ubuntu fdisk  /dev/xvdc
fdisk: unable to open /dev/xvdc: Operation not permitted

注意: - 设备不能安全地用于临时设备。 使用--device不能将不可用的块设备添加到不受信任的容器中。

重新启动策略(-restart)

使用Docker's --restart来指定容器的重新启动策略。重新启动策略控制Docker守护程序在退出后是否重新启动容器。Docker支持以下重启策略:

政策

结果

没有

退出时不要自动重启容器。这是默认设置。

失败

仅在容器以非零退出状态退出时才能重新启动。或者,限制Docker守护程序尝试重新启动的次数。

总是

不管退出状态如何,始终重新启动容器。当你总是指定时,Docker守护进程将尝试无限期地重启容器。无论容器的当前状态如何,容器也将始终在守护进程启动时启动。

$ docker run --restart=always redis

这将运行redis容器,其重启策略始终如此,如果容器退出,Docker将重新启动它。

有关重新启动策略的更多详细信息,请参阅Docker运行参考页的重新启动策略(-restart)部分。

将条目添加到容器主机文件(-add-host)

您可以使用一个或多个--add-host标志将其他主机添加到容器的/ etc / hosts文件中。 本示例为名为docker的主机添加一个静态地址:

$ docker run --add-host=docker:10.180.0.1 --rm -it debian

root@f38c87f2a42d:/# ping docker
PING docker (10.180.0.1): 48 data bytes56 bytes from 10.180.0.1: icmp_seq=0 ttl=254 time=7.600 ms56 bytes from 10.180.0.1: icmp_seq=1 ttl=254 time=30.705 ms^C--- docker ping statistics ---2 packets transmitted, 2 packets received, 0% packet loss
round-trip min/avg/max/stddev = 7.600/19.152/30.705/11.553 ms

有时您需要从容器内连接到Docker主机。 要启用此功能,请使用--add-host标志将Docker主机的IP地址传递给容器。 要查找主机地址,请使用ip addr show命令。

您传递的标志ip addr show取决于您的容器中是使用IPv4还是IPv6网络。使用以下标志为名为以下内容的网络设备检索IPv4地址eth0

$ HOSTIP=`ip -4 addr show scope global dev eth0 | grep inet | awk '{print \$2}' | cut -d / -f 1`$ docker run  --add-host=docker:${HOSTIP} --rm -it debian

对于IPv6,使用-6标志而不是-4标志。 对于其他网络设备,请将eth0替换为正确的设备名称(例如桥设备的docker0)。

在容器中设置ulimits(-ulimit)

由于在容器中设置ulimit设置需要默认容器中不具备的额外特权,因此可以使用--ulimit标志来设置它们。 --ulimit指定软限制和硬限制,例如:<type>=<soft limit>[:<hard limit>],例如:

$ docker run --ulimit nofile=1024:1024 --rm debian sh -c "ulimit -n"1024

注意:如果您不提供硬限制,则软限制将用于这两个值。 如果没有设置ulimits,它们将从守护程序中设置的默认ulimits继承。 因为现在选项被禁用。 换句话说,不支持以下脚本:

  $ docker run -it --ulimit as = 1024 fedora / bin / bash`

这些值syscall在设置时会发送到适当的位置。Docker不执行任何字节转换。设置这些值时请考虑这一点。

对于nproc的用法

请小心使用ulimit标志设置nproc,因为nproc是由Linux设计的,用于设置用户可用的最大进程数,而不是容器。 例如,使用守护进程用户启动四个容器:

$ docker run -d -u daemon --ulimit nproc=3 busybox top

$ docker run -d -u daemon --ulimit nproc=3 busybox top

$ docker run -d -u daemon --ulimit nproc=3 busybox top

$ docker run -d -u daemon --ulimit nproc=3 busybox top

第四个容器失败并报告“8系统错误:资源暂时不可用”错误。 这会失败,因为调用者将nproc设置为3,导致前三个容器使用为守护程序用户设置的三个进程配额。

停止带有信号的容器(-stop-signal)

--stop-signal标志设置将被发送到容器的系统呼叫信号以退出。这个信号可以是一个有效的无符号数字,与内核syscall表中的位置相匹配,例如9,或者SIGNAME格式的信号名称,例如SIGKILL。

可选的安全选项(-security-opt)

在Windows上,此标志可用于指定credentialspec选项。 credentialspec必须采用格式file://spec.txt或registry:// keyname。

停止容器超时(-stop-timeout)

--stop-timeout标志设置将发送给容器退出的预定义(请参阅 - 停止信号)系统调用信号的超时(以秒为单位)。 超时后,容器将被SIGKILL杀死。

指定容器的隔离技术(隔离)

在Windows上运行Docker容器的情况下,此选项很有用。该--isolation <value>选项设置容器的隔离技术。在Linux上,唯一支持的是default使用Linux命名空间的选项。这两个命令在Linux上是等效的:

$ docker run -d busybox top
$ docker run -d --isolation default busybox top

在Windows上,--isolation可以采用以下值之一:

描述

默认

使用Docker守护进程的--exec-opt或系统默认值(请参见下文)指定的值。

处理

共享内核命名空间隔离(Windows客户端操作系统不支持)。

Hyper-V的

基于Hyper-V管理程序分区的隔离。

Windows服务器操作系统上的默认隔离是过程。 Windows客户端操作系统上的默认(且仅支持)隔离是hyperv。 尝试使用--isolation过程在客户端操作系统上启动容器将失败。

在Windows服务器上,假设使用默认配置,这些命令是等效的并导致进程隔离:

PS C:\> docker run -d microsoft/nanoserver powershell echo process
PS C:\> docker run -d --isolation default microsoft/nanoserver powershell echo process
PS C:\> docker run -d --isolation process microsoft/nanoserver powershell echo process

如果您在Docker守护进程上设置了--exec-opt isolation = hyperv选项,或者针对基于Windows客户端的守护进程运行,则这些命令是等效的,并导致超级隔离:

PS C:\> docker run -d microsoft/nanoserver powershell echo hyperv
PS C:\> docker run -d --isolation default microsoft/nanoserver powershell echo hyperv
PS C:\> docker run -d --isolation hyperv microsoft/nanoserver powershell echo hyperv

指定容器可用内存的硬限制(-m,-memory)

这些参数始终设置容器可用内存的上限。在Linux上,这是在cgroup上设置的,容器中的应用程序可以通过查询/sys/fs/cgroup/memory/memory.limit_in_bytes来查询它。

在Windows上,这将根据使用的隔离类型对容器产生不同的影响。

  • 有了process隔离,Windows将报告主机系统的全部内存,而不是对容器docker运行的应用程序的限制运行-it -m 2GB --isolation =进程microsoft / nanoserver powershell Get-ComputerInfo *内存* CsTotalPhysicalMemory:17064509440 CsPhyicallyInstalledMemory: 16777216 OsTotalVisibleMemorySize:16664560 OsFreePhysicalMemory:14646720 OsTotalVirtualMemorySize:19154928 OsFreeVirtualMemory:17197440 OsInUseVirtualMemory:1957488 OsMaxProcessMemorySize:137438953344

  • hyperv隔离的情况下,Windows将创建一个足够容纳内存限制的实用程序虚拟机,以及承载容器所需的最小操作系统。该大小报告为“总物理内存”。docker run -it -m 2GB --isolation = hyperv microsoft / nanoserver powershell Get-ComputerInfo * memory * CsTotalPhysicalMemory:2683355136 CsPhyicallyInstalledMemory:OsTotalVisibleMemorySize:2620464 OsFreePhysicalMemory:2306552 OsTotalVirtualMemorySize:2620464 OsFreeVirtualMemory:2356692 OsInUseVirtualMemory:263772 OsMaxProcessMemorySize:137438953344

在运行时配置名称空间内核参数(sysctl)

所述--sysctl容器中的命名空间的内核参数(的sysctl)集。例如,要打开容器网络名称空间中的IP转发,请运行以下命令:

$ docker run --sysctl net.ipv4.ip_forward=1 someimage

注意:并非所有sysctl都是命名空间。Docker不支持更改也修改主机系统的容器内部的sysctls。随着内核的发展,我们期望看到更多的sysctl变成命名空间。

目前支持的sysctls

  • IPC Namespace:kernel.msgmax,kernel.msgmnb,kernel.msgmni,kernel.sem,kernel.shmall,kernel.shmmax,kernel.shmmni,kernel.shm_rmid_forced以fs.mqueue开头的系统*如果使用这个--ipc=host选项,这些sysctl将不会允许。

  • Network Namespace:以net开头的Sysctls *如果--network=host使用这些sysctl 的选项将不被允许。

上一篇:下一篇: