CLI
Практические примеры использования docker
Link: https://blog.ropnop.com/docker-for-pentesters/
Запуск контейнера
Общий вид
docker run -d --name имя_контейнера имя_образа
-d - запуск в автономном режиме
--name - имя контейнера
в конце - имя_образаПримеры
docker run --rm -i -t --entrypoint=/bin/bash
docker run --name имя_контейнера -d -p 80:80 имя_образа
Запуск нового контейнера с проброшенным портом (слева - порт сервиса, справа - через какой порт будут уходить сообщения)
Отправка команды терминалу в контейнер:
docker exec -it <container_id> <Команда>
-i - Оставить STDIN открытым, даже если контейнер запущен в неприкрепленном режиме
-t, -tty - Запустить псевдотерминалРабота с контейнерами
Запущенные контейнеры:
docker psУдалить контейнер:
docker rm -f имя_контейнераРабота с файлами внутри контейнера: чтобы заменить какой-нибудь файл в контейнере, используется команда docker cp. Она копирует файл из локальной файловой системы в контейнер:
docker cp qa_nginx:/etc/nginx/nginx.conf /tmp/nginx.confГде qa_nginx и /etc/nginx/nginx.conf — имя контейнера и путь к скачиваемому файлу из контейнера, соответственно, а /tmp/nginx.conf путь до нового файла в текущей операционной системе.
Остановить контейнер
docker stop qa_nginxУдалить все контейнеры, которые остановлены
docker container pruneСохранение изменений в контейнере
Если мы удалим наш контейнер и вновь его запустим, то все наши изменения, сделанные через консоль, исчезнут. Чтобы сохранить изменения используется команда docker commit:
docker commit 2404abeecf66 nginx_mc
Данная команда создаст новый образ nginx_mc,
в котором будет уже установленный редактор mc.
Здесь 2404abeecf66 - id контейнера, который можно узнать выполнив команду docker ps.Работа с образами
Список установленных образов:
docker image lsУстановить образ из репозитория:
docker pull <repo>Можно установить образ из tar-архива (gz/gzip/tgz..):
docker load -i <some_image>.tar[.gz]Удалить образ:
docker image rm <image_id>Volumes
Подключение разделов в процессе запуска контейнера (например, если надо передать какие-то файлы на обработку):
docker run --rm -it -v /path/to/dir/on/home:/path/to/dir/on/container ...Можно устанавливать права сразу:
... -v /path1:/path2:ro ...Работа с логами
Посмотреть логи
docker logs <container_name>
--timestamps - писать время
--since ГГГГ-ММ-ДД
--since ГГГГ-ММ-ДДТЧЧ (ex: 2018-01-30Т11:00)
--tail N - последние n строк
-f, --follow - непрерывный вывод
Узнать, где лежат:
docker inspect --format='{{.LogPath}}' <container_name>
Информация о занимаемом объеме памяти
docker system df - disk usage
docker system infoОграничение сети
docker run --rm -it --network none myimage ...Другие сетевые адаптеры (можно делать свои):
bridge — сеть между контейнерами на одном хосте (default)
overlay — сеть между контейнерами на разных хостах
macvlan —
...
none
Перенос директории с образами в новую папку
Ограничение общих ресурсов
Есть такая проблема. Пусть есть несколько контейнеров, запущенных на одной машине. В случае, если один контейнер выедает все ресурсы (например озу), то от этого падают все контейнеры. Такое поведение не приемлемо, если есть контейнеры критичные и которые by design не могут выжирать столько ресурсов.
Решение — разделять важные и о не очень контейнеры на cgroups
У докера есть опция —cgroup-parent — ты можешь сделать цгруппу где ограничить общую память до 14 ГБ, а потом внутри запускать безлимитные контейнеры, например (или выставить дополнительные лимиты для контейнеров внутри).
или сделать то же самое через systemd
https://stackoverflow.com/questions/46408673/docker-17-06-ce-default-container-memory-limit-on-shared-host-resources/46557336#46557336 Например вот ответ где объясняется как.
Papers and notes
Подробная документация: https://docs.docker.com/engine/reference/ Работа с Docker: https://community.vscale.io/hc/ru/community/posts/211783625-Основы-работы-с-Docker
Last updated
Was this helpful?