一.docker 是什么：

2.安装docker

系统：ubuntu16.04

使用脚本自动安装

Docker 官网为了简化安装流程，提供了一套安装脚本，Ubuntu系统可以使用这套脚本进行安装

curl -sSL https://get.docker.com/ | sh

执行这个命令后，脚本就会自动的将一切准备工作做好，并把Docker install 系统中；不过在国内咱们要考虑的问题自然是 墙(翻墙安装); 如果没有翻墙条件的朋友建议使用阿里提供的安装脚本

curl -sS http://acs-public-mirror.oss-cn-hangzhou.aliyuncs.com/docker-engine/internet | sh -

本人只用第一步就安装成功了，所以后面的步骤就没有记录.
相关参考网站：https://zhuanlan.zhihu.com/p/26549008

更新源

sudo apt-get update

确保apt能使用https方式工作，已经安装ca证书

sudo apt-get install apt-transport-https ca-certificates
显示正确为如下情况：

image.png

测试：

sudo docker run hello-world

使用hello-world进行测试，运行该命令时开始会报错，提示image not found，因为下载还没完成。耐心等就好了。

image.png

参考网站：http://www.jianshu.com/p/a12558da034e

3.docker常用命令详解

根据自己的理解，总的来说分为以下几种：

容器生命周本期管理 — docker [run|start|stop|restart|kill|rm|pause|unpause]
容器操作运维 — docker [ps|inspect|top|attach|events|logs|wait|export|port]
容器rootfs命令 — docker [commit|cp|diff]
镜像仓库 — docker [login|pull|push|search]
本地镜像管理 — docker [images|rmi|tag|build|history|save|import]
其他命令 — docker [info|version]

2. 在docker index中搜索image（search）

Usage: docker search TERM
# docker search seanlo
NAME                DESCRIPTION           STARS     OFFICIAL   AUTOMATED
seanloook/centos6   sean's docker repos         0
搜索的范围是官方镜像和所有个人公共镜像。NAME列的 / 后面是仓库的名字。

3. 从docker registry server 中下拉image或repository（pull）

Usage: docker pull [OPTIONS] NAME[:TAG]

# docker pull centos

上面的命令需要注意，在docker v1.2版本以前，会下载官方镜像的centos仓库里的所有镜像，而从v.13开始官方文档里的说明变了：will pull the centos:latest image, its intermediate layers and any aliases of the same id，也就是只会下载tag为latest的镜像（以及同一images id的其他tag）。
也可以明确指定具体的镜像：

# docker pull centos:centos6

当然也可以从某个人的公共仓库（包括自己是私人仓库）拉取，形如docker pull username/repository<:tag_name> ：

# docker pull seanlook/centos:centos6

如果你没有网络，或者从其他私服获取镜像，形如docker pull registry.domain.com:5000/repos:<tag_name>

# docker pull dl.dockerpool.com:5000/mongo:latest

4. 推送一个image或repository到registry（push）

与上面的pull对应，可以推送到Docker Hub的Public、Private以及私服，但不能推送到Top Level Repository。

# docker push seanlook/mongo
# docker push registry.tp-link.net:5000/mongo:2014-10-27

registry.tp-link.net也可以写成IP，172.29.88.222。
在repository不存在的情况下，命令行下push上去的会为我们创建为私有库，然而通过浏览器创建的默认为公共库。

5.1 使用image创建container并执行相应命令，然后停止

# docker run ubuntu echo "hello world"
hello word

这是最简单的方式，跟在本地直接执行echo 'hello world' 几乎感觉不出任何区别，而实际上它会从本地ubuntu:latest镜像启动到一个容器，并执行打印命令后退出（docker ps -l可查看）。需要注意的是，默认有一个--rm=true参数，即完成操作后停止容器并从文件系统移除。因为Docker的容器实在太轻量级了，很多时候用户都是随时删除和新创建容器。
容器启动后会自动随机生成一个CONTAINER ID，这个ID在后面commit命令后可以变为IMAGE ID

使用image创建container并进入交互模式, login shell是/bin/bash

# docker run -i -t --name mytest centos:centos6 /bin/bash
bash-4.1#

上面的--name参数可以指定启动后的容器名字，如果不指定则docker会帮我们取一个名字。镜像centos:centos6也可以用***IMAGE ID ***(68edf809afe7) 代替），并且会启动一个伪终端，但通过ps或top命令我们却只能看到一两个进程，因为容器的核心是所执行的应用程序，所需要的资源都是应用程序运行所必需的，除此之外，并没有其它的资源，可见Docker对资源的利用率极高。此时使用exit或Ctrl+D退出后，这个容器也就消失了（消失后的容器并没有完全删除？）
（那么多个TAG不同而IMAGE ID相同的的镜像究竟会运行以哪一个TAG启动呢

5.2 运行出一个container放到后台运行

# docker run -d ubuntu /bin/sh -c "while true; do echo hello world; sleep 2; done"
ae60c4b642058fefcc61ada85a610914bed9f5df0e2aa147100eab85cea785dc

它将直接把启动的container挂起放在后台运行（这才叫saas），并且会输出一个CONTAINER ID，通过docker ps可以看到这个容器的信息，可在container外面查看它的输出docker logs ae60c4b64205，也可以通过docker attach ae60c4b64205连接到这个正在运行的终端，此时在Ctrl+C退出container就消失了，按ctrl-p ctrl-q可以退出到宿主机，而保持container仍然在运行
另外，如果-d启动但后面的命令执行完就结束了，如/bin/bash、echo test，则container做完该做的时候依然会终止。而且-d不能与--rm同时使用
可以通过这种方式来运行memcached、apache等。

5.3 映射host到container的端口和目录

映射主机到容器的端口是很有用的，比如在container中运行memcached，端口为11211，运行容器的host可以连接container的 internel_ip:11211 访问，如果有从其他主机访问memcached需求那就可以通过-p选项，形如-p <host_port:contain_port>，存在以下几种写法：

-p 11211:11211 这个即是默认情况下，绑定主机所有网卡（0.0.0.0）的11211端口到容器的11211端口上
-p 127.0.0.1:11211:11211 只绑定localhost这个接口的11211端口
-p 127.0.0.1::5000
-p 127.0.0.1:80:8080

目录映射其实是“绑定挂载”host的路径到container的目录，这对于内外传送文件比较方便，在搭建私服那一节，为了避免私服container停止以后保存的images不被删除，就要把提交的images保存到挂载的主机目录下。使用比较简单，-v <host_path:container_path>，绑定多个目录时再加-v。

-v /tmp/docker:/tmp/docker

另外在两个container之间建立联系可用--link，详见高级部分或官方文档。
下面是一个例子：

# docker run --name nginx_test \
> -v /tmp/docker:/usr/share/nginx/html:ro \
> -p 80:80 -d \
> nginx:1.7.6

在主机的/tmp/docker下建立index.html，就可以通过http://localhost:80/
或
http://host-ip:80
访问了。

6. 将一个container固化为一个新的image（commit）

当我们在制作自己的镜像的时候，会在container中安装一些工具、修改配置，如果不做commit保存起来，那么container停止以后再启动，这些更改就消失了。

docker commit <container> [repo:tag]

后面的repo:tag可选
只能提交正在运行的container，即通过docker ps可以看见的容器，
查看刚运行过的容器

# docker ps -l
CONTAINER ID   IMAGE     COMMAND      CREATED       STATUS        PORTS   NAMES
c9fdf26326c9   nginx:1   nginx -g..   3 hours ago   Exited (0)..     nginx_test

启动一个已存在的容器（run是从image新建容器后再启动），以下也可以使用docker start nginx_test代替  
[root@hostname docker]# docker start c9fdf26326c9
c9fdf26326c9


docker run -i -t --sig-proxy=false 21ffe545748baf /bin/bash
nginx服务没有启动


# docker commit -m "some tools installed" fcbd0a5348ca seanlook/ubuntu:14.10_tutorial
fe022762070b09866eaab47bc943ccb796e53f3f416abf3f2327481b446a9503

-a "seanlook7@gmail.com"
请注意，当你反复去commit一个容器的时候，每次都会得到一个新的IMAGE ID，假如后面的repository:tag 没有变，通过docker images'可以看到，之前提交的那份镜像的repository:tag'就会变成<none>:<none>，所以尽量避免反复提交。
另外，观察以下几点:

<div>

<div>e</div>
<div>e</div>
<div>e</div>
</div>

• commit container只会pause住容器，这是为了保证容器文件系统的一致性，但不会stop。如果你要对这个容器继续做其他修改：

  • 你可以重新提交得到新image2，删除次新的image1
  • 也可以关闭容器用新image1启动，继续修改，提交image2后删除image1
  • 当然这样会很痛苦，所以一般是采用Dockerfile来build得到最终image，参考[]

• 虽然产生了一个新的image，并且你可以看到大小有100MB，但从commit过程很快就可以知道实际上它并没有独立占用100MB的硬盘空间，而只是在旧镜像的基础上修改，它们共享大部分公共的“片”。

1. 开启/停止/重启container（start/stop/restart）

容器可以通过run新建一个来运行，也可以重新start已经停止的container，但start不能够再指定容器启动时运行的指令，因为docker只能有一个前台进程。
容器stop（或Ctrl+D）时，会在保存当前容器的状态之后退出，下次start时保有上次关闭时更改。而且每次进入attach进去的界面是一样的，与第一次run启动或commit提交的时刻相同。

CONTAINER_ID=$(docker start <containner_id>)
docker stop $CONTAINER_ID
docker restart $CONTAINER_ID

关于这几个命令可以通过一个完整的实例使用：docker如何创建一个运行后台进程的容器并同时提供shell终端。

2. 连接到正在运行中的container（attach）

要attach上去的容器必须正在运行，可以同时连接上同一个container来共享屏幕（与screen命令的attach类似）。
官方文档中说attach后可以通过CTRL-C来detach，但实际上经过我的测试，如果container当前在运行bash，CTRL-C自然是当前行的输入，没有退出；如果container当前正在前台运行进程，如输出nginx的access.log日志，CTRL-C不仅会导致退出容器，而且还stop了。这不是我们想要的，detach的意思按理应该是脱离容器终端，但容器依然运行。好在attach是可以带上--sig-proxy=false来确保CTRL-D或CTRL-C不会关闭容器。

# docker attach --sig-proxy=false $CONTAINER_ID

3. 查看image或container的底层信息（inspect）

inspect的对象可以是image、运行中的container和停止的container。
查看容器的内部IP

# docker inspect --format='{{.NetworkSettings.IPAddress}}' $CONTAINER_ID
172.17.42.35

4. 删除一个或多个container、image（rm、rmi）

你可能在使用过程中会build或commit许多镜像，无用的镜像需要删除。但删除这些镜像是有一些条件的：
同一个IMAGE ID可能会有多个TAG（可能还在不同的仓库），首先你要根据这些 image names 来删除标签，当删除最后一个tag的时候就会自动删除镜像；
承上，如果要删除的多个IMAGE NAME在同一个REPOSITORY，可以通过docker rmi <image_id>来同时删除剩下的TAG；若在不同Repo则还是需要手动逐个删除TAG；
还存在由这个镜像启动的container时（即便已经停止），也无法删除镜像；
TO-DO
如何查看镜像与容器的依存关系
删除容器

docker rm <container_id/contaner_name>

删除所有停止的容器
docker rm $(docker ps -a -q)

删除镜像

docker rmi <image_id/image_name ...>

下面是一个完整的示例：

# docker images            <==
ubuntu            13.10        195eb90b5349       4 months ago       184.6 MB
ubuntu            saucy        195eb90b5349       4 months ago       184.6 MB
seanlook/ubuntu   rm_test      195eb90b5349       4 months ago       184.6 MB

使用195eb90b5349启动、停止一个容器后，删除这个镜像
# docker rmi 195eb90b5349
Error response from daemon: Conflict, cannot delete image 195eb90b5349 because it is 
tagged in multiple repositories, use -f to force
2014/11/04 14:19:00 Error: failed to remove one or more images

删除seanlook仓库中的tag     <==
# docker rmi seanlook/ubuntu:rm_test
Untagged: seanlook/ubuntu:rm_test

现在删除镜像，还会由于container的存在不能rmi
# docker rmi 195eb90b5349
Error response from daemon: Conflict, cannot delete 195eb90b5349 because the 
 container eef3648a6e77 is using it, use -f to force
2014/11/04 14:24:15 Error: failed to remove one or more images

先删除由这个镜像启动的容器    <==
# docker rm eef3648a6e77

删除镜像                    <==
# docker rmi 195eb90b5349
Deleted: 195eb90b534950d334188c3627f860fbdf898e224d8a0a11ec54ff453175e081
Deleted: 209ea56fda6dc2fb013e4d1e40cb678b2af91d1b54a71529f7df0bd867adc961
Deleted: 0f4aac48388f5d65a725ccf8e7caada42f136026c566528a5ee9b02467dac90a
Deleted: fae16849ebe23b48f2bedcc08aaabd45408c62b531ffd8d3088592043d5e7364
Deleted: f127542f0b6191e99bb015b672f5cf48fa79d974784ac8090b11aeac184eaaff

注意，上面的删除过程我所举的例子比较特殊——镜像被tag在多个仓库，也有启动过的容器。按照<==指示的顺序进行即可。

Docker 容器镜像删除

1.停止所有的container，这样才能够删除其中的images：

docker stop $(docker ps -a -q)

如果想要删除所有container的话再加一个指令：


docker rm $(docker ps -a -q)

2.查看当前有些什么images

docker images

3.删除images，通过image的id来指定删除谁

docker rmi <image id>

想要删除untagged images，也就是那些id为<None>的image的话可以用

docker rmi $(docker images | grep "^<none>" | awk "{print $3}")

要删除全部image的话

docker rmi $(docker images -q)

5. docker build 使用此配置生成新的image

build命令可以从Dockerfile和上下文来创建镜像：
docker build [OPTIONS] PATH | URL | -
上面的PATH或URL中的文件被称作上下文，build image的过程会先把这些文件传送到docker的服务端来进行的。
如果PATH直接就是一个单独的Dockerfile文件则可以不需要上下文；如果URL是一个Git仓库地址，那么创建image的过程中会自动git clone一份到本机的临时目录，它就成为了本次build的上下文。无论指定的PATH是什么，Dockerfile是至关重要的，请参考Dockerfile Reference。
请看下面的例子：

# cat Dockerfile 
FROM seanlook/nginx:bash_vim
EXPOSE 80
ENTRYPOINT /usr/sbin/nginx -c /etc/nginx/nginx.conf && /bin/bash

# docker build -t seanlook/nginx:bash_vim_Df .
Sending build context to Docker daemon 73.45 MB
Sending build context to Docker daemon 
Step 0 : FROM seanlook/nginx:bash_vim
 ---> aa8516fa0bb7
Step 1 : EXPOSE 80
 ---> Using cache
 ---> fece07e2b515
Step 2 : ENTRYPOINT /usr/sbin/nginx -c /etc/nginx/nginx.conf && /bin/bash
 ---> Running in e08963fd5afb
 ---> d9bbd13f5066
Removing intermediate container e08963fd5afb
Successfully built d9bbd13f5066

上面的PATH为.，所以在当前目录下的所有文件（不包括.dockerignore中的）将会被tar打包并传送到docker daemon（一般在本机），从输出我们可以到Sending build context...，最后有个Removing intermediate container的过程，可以通过--rm=false来保留容器。
TO-DO
docker build github.com/creack/docker-firefox失败。

6. 给镜像打上标签（tag）
   tag的作用主要有两点：一是为镜像起一个容易理解的名字，二是可以通过docker tag来重新指定镜像的仓库，这样在push时自动提交到仓库。

将同一IMAGE_ID的所有tag，合并为一个新的
# docker tag 195eb90b5349 seanlook/ubuntu:rm_test

新建一个tag，保留旧的那条记录
# docker tag Registry/Repos:Tag New_Registry/New_Repos:New_Tag

7. 查看容器的信息container（ps）

docker ps命令可以查看容器的CONTAINER ID、NAME、IMAGE NAME、端口开启及绑定、容器启动后执行的COMMNAD。经常通过ps来找到CONTAINER_ID。
docker ps 默认显示当前正在运行中的container
docker ps -a查看包括已经停止的所有容器
docker ps -l显示最新启动的一个容器（包括已停止的）
*** -q, --quiet=false Only show numeric IDs#显示所有镜像容器的id号

8. 查看容器中正在运行的进程（top）

容器运行时不一定有/bin/bash终端来交互执行top命令，查看container中正在运行的进程，况且还不一定有top命令，这是docker top <container_id/container_name>就很有用了。实际上在host上使用ps -ef|grep docker也可以看到一组类似的进程信息，把container里的进程看成是host上启动docker的子进程就对了。

9. 其他命令
   docker还有一些如login、cp、logs、export、import、load、kill等不是很常用的命令。

参考网站

Docker

我们通过docker的两个参数 -i -t，让docker运行的容器实现"对话"的能力

• -t:在新容器内指定一个伪终端或终端。
-t ：指定要创建的目标镜像名
• -i:允许你对容器内的标准输入 (STDIN) 进行交互。
我们还要将其启动在后台（Daemonized），加上-d参数。
-d: 后台运行容器，并返回容器ID
sudo docker rm $(docker ps -a -q)：删除所有容器

删除seanlook仓库中的tag <== # docker rmi seanlook/ubuntu:rm_test Untagged: seanlook/ubuntu:rm_test

创建自定义镜像的文件。它通常分为四部分：基础镜像信息，维护者信息，镜像操作指令和容器启动时的指令

使用URL github.com/creack/docker-firefox 的 Dockerfile 创建镜像。
docker build github.com/creack/docker-firefox

git clone https://github.com/sameersbn/docker-gitlab.git
cd docker-gitlab
docker build --tag="$USER/gitlab" .

其它 docker build 的用法
直接用 Git repo 进行构建
或许你已经注意到了，docker build 还支持从 URL 构建，比如可以直接从 Git repo 中构建：
docker build http://server/context.tar.gz
如果所给出的 URL 不是个 Git repo，而是个 tar 压缩包，那么 Docker 引擎会下载这个包，并自动解压缩，以其作为上下文，开始构建。
从标准输入中读取 Dockerfile 进行构建
docker build - < Dockerfile
或
cat Dockerfile | docker build -
如果标准输入传入的是文本文件，则将其视为 Dockerfile，并开始构建。这种形式由于直接从标准输入中读取 Dockerfile 的内容，它没有上下文，因此不可以像其他方法那样可以将本地文件 COPY 进镜像之类的事情。
从标准输入中读取上下文压缩包进行构建
$ docker build - < context.tar.gz
如果发现标准输入的文件格式是 gzip、bzip2 以及 xz 的话，将会使其为上下文压缩包，直接将其展开，将里面视为上下文，并开始构建。

譬如我要启动一个CentOS容器，宿主机的/test目录挂载到容器的/soft目录，可通过以下方式指定：

docker run -it -v /test:/soft centos /bin/bash

这样在容器启动后，容器内会自动创建/soft的目录。通过这种方式，我们可以明确一点，即-v参数中，冒号":"前面的目录是宿主机目录，后面的目录是容器内目录。

docker run :

Usage: docker run [OPTIONS] IMAGE [COMMAND] [ARG...]
-d, --detach=false 指定容器运行于前台还是后台，默认为false
-i, --interactive=false 打开STDIN，用于控制台交互
-t, --tty=false 分配tty设备，该可以支持终端登录，默认为false
-u, --user="" 指定容器的用户
-a, --attach=[] 登录容器（必须是以docker run -d启动的容器）
-w, --workdir="" 指定容器的工作目录
-c, --cpu-shares=0 设置容器CPU权重，在CPU共享场景使用
-e, --env=[] 指定环境变量，容器中可以使用该环境变量
-m, --memory="" 指定容器的内存上限
-P, --publish-all=false 指定容器暴露的端口
-p, --publish=[] 指定容器暴露的端口
-h, --hostname="" 指定容器的主机名
-v, --volume=[] 给容器挂载存储卷，挂载到容器的某个目录
--volumes-from=[] 给容器挂载其他容器上的卷，挂载到容器的某个目录
--cap-add=[] 添加权限，权限清单详见：http://linux.die.net/man/7/capabilities
--cap-drop=[] 删除权限，权限清单详见：http://linux.die.net/man/7/capabilities
--cidfile="" 运行容器后，在指定文件中写入容器PID值，一种典型的监控系统用法
--cpuset="" 设置容器可以使用哪些CPU，此参数可以用来容器独占CPU
--device=[] 添加主机设备给容器，相当于设备直通
--dns=[] 指定容器的dns服务器
--dns-search=[] 指定容器的dns搜索域名，写入到容器的/etc/resolv.conf文件
--entrypoint="" 覆盖image的入口点
--env-file=[] 指定环境变量文件，文件格式为每行一个环境变量
--expose=[] 指定容器暴露的端口，即修改镜像的暴露端口
--link=[] 指定容器间的关联，使用其他容器的IP、env等信息
--lxc-conf=[] 指定容器的配置文件，只有在指定--exec-driver=lxc时使用
--name="" 指定容器名字，后续可以通过名字进行容器管理，links特性需要使用名字
--net="bridge" 容器网络设置:
bridge 使用docker daemon指定的网桥
host //容器使用主机的网络
container:NAME_or_ID >//使用其他容器的网路，共享IP和PORT等网络资源
none 容器使用自己的网络（类似--net=bridge），但是不进行配置
--privileged=false 指定容器是否为特权容器，特权容器拥有所有的capabilities
--restart="no" 指定容器停止后的重启策略:
no：容器退出时不重启
on-failure：容器故障退出（返回值非零）时重启
always：容器退出时总是重启
--rm=false 指定容器停止后自动删除容器(不支持以docker run -d启动的容器)
--sig-proxy=true 设置由代理接受并处理信号，但是SIGCHLD、SIGSTOP和SIGKILL不能被代理
-h "mars": 指定容器的hostname；
-p <宿主端口>:<容器端口> 区分开来。-p，是映射宿主端口和容器端口
--name="nginx-lb": 为容器指定一个名称

docker挂载目录：

Docker容器启动的时候，如果要挂载宿主机的一个目录，可以用-v参数指定。
譬如我要启动一个CentOS容器，宿主机的/test目录挂载到容器的/soft目录，可通过以下方式指定：

docker run -it -v /test:/soft centos /bin/bash

这样在容器启动后，容器内会自动创建/soft的目录。通过这种方式，我们可以明确一点，即-v参数中，冒号":"前面的目录是宿主机目录，后面的目录是容器内目录。
貌似简单，其实不然，下面我们来验证一下：
一、容器目录不可以为相对路径

[root@localhost ~]# docker run -it -v /test:soft
centos /bin/bash
invalid value "/test:soft" for flag -v: soft is not an absolute path
See 'docker run --help'.

直接报错，提示soft不是一个绝对路径，所谓的绝对路径，必须以下斜线“/”开头。

docker run参数:

-p IP:host_port:container_port 或 -p IP::port
配置网络访问域名(ip)和端口转发容器端口
监听主机的指定域名端口转发到容器的端口

四.添加到用户组（可选项）

1.添加到用户组（so easy）

sudo groupadd docker
sudo usermod -aG docker $USER

注销系统重新进入系统，就可以直接使用docker开头了。

2.如果不添加到用户组会发生什么呢？

如果直接运行:

docker run hello-world

你会发现下面的错误:

Got permission denied while trying to connect to the Docker daemon socket at unix:///var/run/docker.sock: Get http://%2Fvar%2Frun%2Fdocker.sock/v1.30/containers/json: dial unix /var/run/docker.sock: connect: permission denied

这是因为：

docker守护程序绑定到Unix套接字而不是TCP端口。默认情况下，Unix套接字由用户root拥有，其他用户只能使用sudo访问它。 docker守护程序始终以root用户身份运行。 如果您不想在使用docker命令时使用sudo，请创建名为docker的Unix组，并将用户添加到该组。当docker守护进程启动时，它会使Docker组的Unix套接字的所有权读/写。

3.docker 普通用户，加入docker用户组

普通用户，加入docker用户组，去掉sudo

操作顺序:

sudo cat /etc/group | grep docker
如果不存在docker组，可以添加sudo groupadd docker
添加当前用户到docker组，sudo gpasswd -a ${USER} docker
重启docker服务,sudo systemctl restart docker
如果权限不够，sudo chmod a+rw /var/run/docker.sock

Docker私有仓库搭建

http://blog.csdn.net/wangtaoking1/article/details/44180901
参考网站：https://yeasy.gitbooks.io/docker_practice/content/container/enter.html
http://www.sklinux.com/1394
FTP_SVN_DNS_LINUX服务器维护_搭建web云服务器安全配置
­.video-wrap{position:relative;width:100%;padding:0}.video-wrap embed, .video-wrap object, .video-wrap iframe{position:absolute;top:0;left:0;width:100%;height:100%}

jQuery(document).ready(function(("#wrapper").vids();});

如何打开多个终端进入Docker容器

Docker容器运行后，如何进入容器进行操作呢？起初我是用SSH。如果只启动一个容器，用SSH还能应付，只需要将容器的22端口映射到本机的一个端口即可。当我启动了五个容器后，每个容器默认是没有配置SSH Server的，安装配置SSHD，映射容器SSH端口，实在是麻烦。 我发现很多Docker镜像都是没有安装SSHD服务的，难道有其他方法进入Docker容器？有很多种方法，包括使用 docker attach 命令或 nsenter 工具等。使用 attach 命令有时候并不方便。当多个窗口同时 attach 到同一个容器的时候，所有窗口都会同步显示。nsenter 可以访问另一个进程的名字空间。为了连接到容器，你还需要找到容器的第一个进程的 PID，可以通过下面的命令获取。PID= nsenter –target wget -P ~ https://github.com/yeasy/docker_practice/raw/master/_local/.bashrc_docker; echo docker-enter <container>
附.bashrc_docker文件内容：# Some useful commands to use docker.# Author: yeasy@github# Created:2014-09-25
alias docker-pid=”sudo docker inspect –format ‘{{.State.Pid}}’”alias docker-ip=”sudo docker inspect –format ‘{{ .NetworkSettings.IPAddress }}’”

the implementation refs from https://github.com/jpetazzo/nsenter/blob/master/docker-enterfunction docker-enter() {if [ -e 0")/nsenter ]; then# with boot2docker, nsenter is not in the PATH but it is in the same folderNSENTER=0″)/nsenterelseNSENTER=nsenterfi[ -z "$NSENTER" ] && echo “WARN Cannot find nsenter” && return

if [ -z "0″` CONTAINER [COMMAND [ARG]…]”echo “”echo “Enters the Docker CONTAINER and executes the specified COMMAND.”echo “If COMMAND is not specified, runs an interactive shell in CONTAINER.”elsePID=1″)if [ -z "PID –mount –uts –ipc –net –pid”
if [ -z "NSENTER “NSENTER –target NSENTER –target @fifi}

Dockerfile:

RUN命令会在上面指定的镜像里执行任何命令

RUN apt-get update
RUN apt-get install -y nginx

7.6 ADD

<pre>ADD <src>... <dest></pre>

ADD复制本地主机文件、目录或者远程文件 URLS 从 并且添加到容器指定路径中 。

支持通过 GO 的正则模糊匹配，具体规则可参见 Go filepath.Match

ADD hom* /mydir/        # adds all files starting with "hom"
ADD hom?.txt /mydir/    # ? is replaced with any single character

• 路径必须是绝对路径，如果 不存在，会自动创建对应目录
• 路径必须是 Dockerfile 所在路径的相对路径
• 如果是一个目录，只会复制目录下的内容，而目录本身则不会被复制

1. COPY指令

COPY指令能够将构建命令所在的主机本地的文件或目录，复制到镜像文件系统。
CMD exec /bin/bash -c "/etc/init.d/xinetd start; trap : TERM INT; sleep infinity & wait"
当执行系统命令的时候，才会加-c

trap 的使用

1、运行格式

trap命令的参数分为两部分，前一部分是接收到指定信号时将要采取的行动，后一部分是要处理的信号名。

trap command signal

它有三种形式分别对应三种不同的信号回应方式。

第一种：

trap "commands" signal-list

当脚本收到signal-list清单内列出的信号时，trap命令执行双引号中的命令。

第二种：

trap signal-list

trap不指定任何命令，接受信号的默认操作，默认操作是结束进程的运行。

第三种：

trap " " signal-list

trap命令指定一个空命令串，允许忽视信号，我们用到的就是这一种。

CMD exec /bin/bash -c "/etc/init.d/xinetd start; trap : TERM INT; sleep infinity & wait" 

HUP     1    终端断线
INT       2    中断（同 Ctrl + C）
QUIT    3    退出（同 Ctrl + \）
TERM    15    终止
KILL      9    强制终止
CONT   18    继续（与STOP相反， fg/bg命令）
STOP    19    暂停（同 Ctrl + Z）

sleep命令常用于在Linux shell脚本中延迟时间。

永久等待 sleep infinity¶

有时写了一个sh文件后需要保持这个sh的运行，就用sleep永久等待好咯

sleep infinity

wait

wait是用来阻塞当前进程的执行，直至指定的子进程执行结束后，才继续执行。使用wait可以在bash脚本“多进程”执行模式下，起到一些特殊控制的作用。

使用格式

wait [进程号 或 作业号]
eg：wait 23 or wait %1
备注：
如果wait后面不带任何的进程号或作业号，那么wait会阻塞当前进程的执行，直至当前进程的所有子进程都执行结束后，才继续执行。

#！/bin/sh  
echo “1”  
sleep 5&  
echo “3”  
echo “4”  
wait  #会等待wait所在bash上的所有子进程的执行结束，本例中就是sleep 5这句  
echo”5”

EXPOSE

EXPOSE <port> [<port>...]

告诉 Docker 服务端容器对外映射的本地端口，需要在 docker run 的时候使用-p或者-P选项生效。

【docker】查看docker容器或镜像的详细信息命令，查看docker中正在运行的容器的挂载位置

命令：
docker inspect f257d69e0035</pre>
格式：
docker inspect 容积或镜像ID</pre>
首先，docker ps获取简要信息

image

参考网站：

pwndocker :https://github.com/skysider/pwndocker

Docker —— 从入门到实践：https://yeasy.gitbooks.io/docker_practice/content/install/ubuntu.html
我眼中的 Docker（二）Image：http://blog.csdn.net/jcjc918/article/details/46500031
非常详细的资料：https://www.cnblogs.com/LinuxSuDa/p/6408364.html
有货：https://segmentfault.com/a/1190000007652344
docker /web-docker练习网站：https://github.com/imagemlt/CTF_web_dockers
git报错--RPC failed; curl 18 transfer closed with outstanding read data remaining：
https://blog.csdn.net/IT_liuchengli/article/details/77040806
docker ctf环境详解：
http://www.k0rz3n.com/2018/05/17/%E6%90%AD%E5%BB%BAdocker%E7%9A%84%20CTF%20getshell%E7%8E%AF%E5%A2%83/
daocker非常实用网站：
https://yeasy.gitbooks.io/docker_practice/introduction/