The Mirages

1.  对于操作者独占性的设定：
    1.  前台或者后台运行
    2.  容器的定义
    3.  网络的设定
    4.  容器在CPU和内存中的运行时间
    5.  运行特权和LXC配置
2.  在操作者和开发者之间的共享设定，操作者可以覆盖掉开发者在build镜像的时候的默认设置。

同时docker run \[OPTIONS\]给予操作者在整个运行时间内完全的控制，允许他们覆盖所有的由开发者在docker build时候定义的默认设置和几乎所有Docker自身的默认设置。   **操作者独占性的选项** 只有操作者（执行docker run的那个人）才可以设置下列选项.

*   前台和后台
    *   后台（-d）
    *   前台
*   容器定义
    *   容器的名字（-name）
    *   PID等价
*   网络设定
*   清理删除(-rm)
*   容器运行时的CPU和内存占用
*   特权和LXC配置

**前台和后台** 当你开启一个Docker容器运行时，就必须要先确定容器是否以"detached"模式运行在后台还是默认的在前台运行。 ```c
 -d=false:Detached mode:Run container in the background,printnew container id 
``` 后台(-d) 在后台模式(-d=true 或者就 -d), 所有的IO必须通过网络连接或者共享卷来执行，因为容器在后台运行的时候就不再监听命令行。有可以通过执行_docker attach_重新连上在后台执行的容器。如果你选择运行一个容器在后台模式，那你就不能使用--rm选项了。 前台 在前台模式（默认-d是不被指定的）。 docker run可以在容器里开启一个进程同时你可以通过console来获得进程的标准输入(stdin)，输出(stdout)和标准错误(stderr)。它甚至可以伪装成TTY和传递信号。 所有这些的配置方法如下： ```c
 -a=\[\] : Attach to \`\`stdin\`\`, \`\`stdout\`\` and/or \`\`stderr\`\` -t=false : Allocate a pseudo-tty --sig-proxy=true: Proxify all received signal to the process (even in non-tty mode) -i=false : Keep STDIN open even if not attached 
``` 如果你没有特别指定 -a 那Docker_[将获取所有（stdin, stdout,stderr）](https://github.com/dotcloud/docker/blob/75a7f4d90cde0295bcfb7213004abce8d4779b75/commands.go#L1797)_。你可以指定这3种标准流中其中一个你想连接替代的： ```c
 $ docker run -a stdin -a stdout -i -t ubuntu /bin/bash 
``` 对于交互式的进程（如shell）你通常希望指定一个长久的标准输入（stdin）,所以你可以同时使用 -i -t 在大部分的交换式的情况。 **容器定义** 名字（-name） 我们可以通过三种方式来定义一个容器

*   UUID长定义("f78375b1c487e03c9438c729345e54db9d20cfa2ac1fc3494b6eb60872e74778")
*   UUID短定义("f78375b1c487")
*   名字（"evil_ptolemy"）

UUID标识是来自于Docker的守护进程，如果你不通过 --name 来分配一个名字给容器，那么守护进程就会产生一个随机的字段名。名字可以成为给容器添加含义一个便利的方式，因为你可以在定义 _[links](http://docs.docker.io/use/working_with_links_names/#working-with-links-names)_ 的时候使用这个名字。这个工作适合给前台和后台容器。 PID等价 为了更自动化，你可以让Docker写入你选择的容器的ID到一个文件中。这就跟一些程序会写入它们的进程ID到到一个文件中（就跟你看到的PID文件一样） ```c
 --cidfile="": Write the container ID to the file 
``` **网络设定** ```c
 --dns=\[\] : Set custom dns servers for the container --net="bridge": Set the Network mode for the container ('bridge': creates a new network stack for the container on the docker bridge, 'none': no networking for this container, 'container:<name|id>': reuses another container network stack), 'host': use the host network stack inside the container --net="bridge" Set the Network mode for the container 'bridge': creates a new network stack for the container on the docker bridge 'none': no networking for this container 'container:<name|id>': reuses another container network stack 'host': use the host network stack inside the contaner 
``` 默认，所有的容器都会默认启用网络连接，然后它会跟外部进行连接。操作者可以通过docker run --net none来完全禁止网络连接包括所有进入和出去的网络连接。这样你就只能通过文件或者STDIN/STDOUT来处理IO了。 你的容器默认将使用跟host相同的DNS服务器，除非你通过 --dns 来指定。 支持的网络连接模式：

*   none： 在容器内没有网络连接。
*   bridge： （默认的）通过桥接到网卡来连接容器。
*   host： 使用容器内部的网络
*   container： 使用另外一个容器的网络。

Mode： none 通过设置网络连接模式为none，那一个容器将不能访问任何的外部路由。容器将仍旧拥有和启用一个loopback接口在容器内，它没有任何路由到外部访问。 Mode： bridge 通过设置网络连接模式为bridge，那将使用默认的docker网络连接设定。将会在主机上建立一个桥接网卡，通常命名为docker0， 同时会为容器创建一组虚拟网卡。虚拟网卡一边是为了保持与主机的桥接网卡的连接，另一边在容器内部建立一个loopback网卡。容器将为桥接网卡分配一个IP，同时所有的去到容器的网络流量都经过这个桥接网卡。 Mode: host 通过设置网络连接模式为host，那容器将会共享到所有对容器有效的host的网络堆栈和网卡。容器的hostname将跟匹配到主机系统的hostname中。当共享使用主机的网卡堆栈的时候，发布容器的端口和连接跟其他容器将不能运行。 Mode： container 通过设置网络连接模式为container， 一个容器将与其他容器之间共享网络堆栈。其他容器的名字必须以 --net container:n<name|id> 这样的格式提供。   下面这个例子是在一个redis容器中运行redis server并绑定到IP到localhost，然后使用redis-cli通过localhost网卡来连接redis server ```c
 $ docker run -d --name redis example/redis --bind 127.0.0.1 $ # use the redis container's network stack to access localhost $ docker run --rm -ti --net container:redis example/redis-cli -h 127.0.0.1 
``` **清理(-rm)** 默认一个容器的文件系统将继续存留就算容器已经退出。这会让debug更简单（因为你可以查看最后的状态），默认也会保留你的数据。但是当你运行一些短暂的前台命令，容器的文件系统就可能越来越大。如果你想要像Docker一样自动清理容器以及在容器退出后自动删除，你可以增加 --rm 标记。 ```c
 --rm=false: Automatically remove the container when it exits (incompatible with -d) 
``` **容器的CPU和内存占用** 操作者可以调整容器的性能参数： ```c
 -m="": Memory limit (format: , where unit = b, k, m or g) -c=0 : CPU shares (relative weight) 
``` 操作者可以通过docker run -m来方便的限定容器的内存使用。如果主机支持swap的话，那 -m 内存设定就可以超过物理内存大小。 类似的操作者可以通过 -c 来增加容器的优先级。默认所有容器都运行在相同优先级上，得到相同的比例的CPU周期。但是你可以在docker启动这些容器的时候告诉内核给予更多的cpu分配。 **运行特权和LXC配置** ```c
 --privileged=false: Give extended privileges to this container --lxc-conf=\[\]: (lxc exec-driver only) Add custom lxc options --lxc-conf="lxc.cgroup.cpuset.cpus = 0,1" 
``` 默认Docker容器是在非特权模式下的。我们不能在一个Docker容器中运行一个Docker守护进程。因为默认一个容器是不能被允许访问任何设备的，但是一个特权的容器是可以允许访问所有设备的（参见[lxc-template.go](https://github.com/dotcloud/docker/blob/master/execdriver/lxc/lxc_template.go)和[cgroups devices](https://www.kernel.org/doc/Documentation/cgroups/devices.txt)） 当操作者执行docker run --privileged，Docker将启用允许访问主机上的所有设备，也会在AppArmor（Linux安全模块）进行设置来允许容器访问主机上的其他进程。 如果Docker守护进程是使用lxc exec-driver(docker -d --exec-driver=lxc)来启动的, 操作者就可以通过一个或者过多--lxc-conf参数来指定LXC的选项。这些参数会覆盖掉来源于lxc-template.go参数设定。 注：在将来一个主机的host守护进程可能不再使用LXC，但实现这些特性配置跟直接使用LXC是类似的对于操作者而言。 **修改Dockerfile镜像的默认设置** 当一个开发者通过Dockerfile来build一个镜像或者他提交的时候的，开发者可以设定很多的默认参数在镜像作为一个容器启动的时候生效。 4个Dockerfile的命令是不能在运行时修改的： FROM, MAINTAINER, RUN 以及 ADD。其他的很多我们都可以通过docker run来进行修改。我们将仔细检查那些设定是开发者可能在Dockerfile内做的以及如何操作可以修改这些设定。

*   CMD(默认的命令或选项)
*   ENTRYPOINT（在运行时默认哪些命令执行）
*   EXPOSE（进入端口）
*   ENV（环境变量）
*   VOLUME(共享的文件系统)
*   USER
*   WORKDIR

**CMD(默认的命令或选项)** 在Docker命令行回调可选的command ```c
 $ docker run \[OPTIONS\] IMAGE\[:TAG\] \[COMMAND\] \[ARG...\] 
``` 这个命令是可选的，因为创建了这个镜像的人可能已经使用Dockerfile CMD 提供了默认的的 COMMAND。因此操作者只需要指定新的 COMMAND 就可以覆盖掉老的 CMD。 如果镜像已经指定了一个ENTRYPOINT，那CMD或者COMMAND将作为ENTRYPOINT的附属参数。 **ENTRYPOINT（在运行时默认哪些命令执行）** ```c
 --entrypoint="": Overwrite the default entrypoint set by the image 
``` 一个镜像ENTRYPOINT的类似于一个COMMAND,因为它指定了在容器启动时那些程序启动，但是它很难被覆盖掉。ENTRYPOINT给了一个容器它的默认行为和本质，所以你设定的ENTRYPOINT是你能在容器内运行的犹如一个二进制的文件一样拥有完整和默认的选项， 你可以通过COMMAND设置更多的选项。但是有事一些操作者可能希望不再容器内部运行一些程序，所以你可以在运行时通过指定新的ENTRYPOINT来覆盖掉默认的ENTRYPOINT。这里是一个如何运行一个shell在容器已经被设定为了自动运行一些程序除了（/usr/bin/redis-server） ```c
 $ docker run -i -t --entrypoint /bin/bash example/redis 
``` 或者其他两个例子是如何给ENTRYPOINT设置更多的参数： ```c
 $ docker run -i -t --entrypoint /bin/bash example/redis -c ls -l $ docker run -i -t --entrypoint /usr/bin/redis-cli example/redis --help 
``` **EXPOSE（进入端口）**  Dockerfile没有在网络连接部分提供很多控制，只提供EXPOSE命令来给操作者一个示意哪些进入的端口可能提供服务。下面这个选项会覆盖掉默认Dockerfile的设置： ```c
 --expose=\[\]: Expose a port from the container without publishing it to your host -P=false : Publish all exposed ports to the host interfaces -p=\[\] : Publish a container᾿s port to the host (format: ip:hostPort:containerPort | ip::containerPort | hostPort:containerPort) (use 'docker port' to see the actual mapping) --link="" : Add link to another container (name:alias) 
``` 如之前提到的，EXPOSE（和 --expose）使在容器内的端口对于进入的连接是有效的。在容器内部的端口（服务监听的端口）不必跟在容器外部的端口号（用户连接的端口）一致，所以在容器内部你可以是一个HTTP服务监听者80端口（所以你使用EXPOSE 80在Dockerfile中），但是容器外部的端口可能是42800. 通过操作者执行--expose或者开发者定义EXPOSE都可以帮助一个客户端容器到达服务器端容器的内部端口，操作者有三种方法开启服务器端容器通过-P或者-p，或者用--link启动客户端容器。 如果操作者使用-P或者-p那Docker将使主机上映射的端口是可访问的同时端口对于期望到达主机的客户端也都是有效的。我们使用docker port来发现主机端口和容器内部端口的映射。 如果操作者在启动客户端容器的时候使用--link,那客户端容器就可以通过私有网络端口访问映射端口。Docker将客户端容器设置一些环境变量来指明哪个网卡和端口可以使用。   **ENV（环境变量）** 操作者可以通过-e参数来设置容器内的环境变量，设置可以覆盖掉开发者在Dockerfile里使用ENV定义的环境变量： ```c
 $ docker run -e "deep=purple" --rm ubuntu /bin/bash -c export declare -x HOME="/" declare -x HOSTNAME="85bc26a0e200" declare -x OLDPWD declare -x PATH="/usr/local/sbin:/usr/local/bin:/usr/sbin:/usr/bin:/sbin:/bin" declare -x PWD="/" declare -x SHLVL="1" declare -x container="lxc" declare -x deep="purple" 
``` 类似的操作者可以用-h来制定hostname。 --link name:alias同样可以设置环境变量，使用alias在容器内定义环境变量将给那些连接到这个服务容器一些IP和端口信息。让我们想象一个容器运行着Redis： ```c
 # Start the service container, named redis-name $ docker run -d --name redis-name dockerfiles/redis 4241164edf6f5aca5b0e9e4c9eccd899b0b8080c64c0cd26efe02166c73208f3 # The redis-name container exposed port 6379 $ docker ps CONTAINER ID IMAGE COMMAND CREATED STATUS PORTS NAMES 4241164edf6f $ dockerfiles/redis:latest /redis-stable/src/re 5 seconds ago Up 4 seconds 6379/tcp redis-name # Note that there are no public ports exposed since we didn᾿t use -p or -P $ docker port 4241164edf6f 6379 2014/01/25 00:55:38 Error: No public port '6379' published for 4241164edf6f 
``` 你可以通过 --link 得到Redis容器的映射端口的相关信息.  选择一个构成有效环境变量的作为别名。 ```c
 $ docker run --rm --link redis-name:redis_alias --entrypoint /bin/bash dockerfiles/redis -c export declare -x HOME="/" declare -x HOSTNAME="acda7f7b1cdc" declare -x OLDPWD declare -x PATH="/usr/local/sbin:/usr/local/bin:/usr/sbin:/usr/bin:/sbin:/bin" declare -x PWD="/" declare -x REDIS_ALIAS_NAME="/distracted_wright/redis" declare -x REDIS_ALIAS_PORT="tcp://172.17.0.32:6379" declare -x REDIS_ALIAS_PORT_6379_TCP="tcp://172.17.0.32:6379" declare -x REDIS_ALIAS_PORT_6379_TCP_ADDR="172.17.0.32" declare -x REDIS_ALIAS_PORT_6379_TCP_PORT="6379" declare -x REDIS_ALIAS_PORT_6379_TCP_PROTO="tcp" declare -x SHLVL="1" declare -x container="lxc" 
``` 同时我们使用这些信息从其他容器作为客户端连接过来： ```c
 $ docker run -i -t --rm --link redis-name:redis_alias --entrypoint /bin/bash dockerfiles/redis -c '/redis-stable/src/redis-cli -h $REDIS_ALIAS_PORT_6379_TCP_ADDR -p $REDIS_ALIAS_PORT_6379_TCP_PORT' 172.17.0.32:6379> 
``` Docker将映射一个私有IP成为一个已连接的容器的别名，这是通过修改/etc/hosts来实现的。我们通过这个机制就可以使用别名来与一个以连接的容器进行通信。 ```c
 $ docker run -d --name servicename busybox sleep 30 $ docker run -i -t --link servicename:servicealias busybox ping -c 1 servicealias 
```   **卷（共享的文件系统）** ```c
 -v=\[\]: Create a bind mount with: \[host-dir\]:\[container-dir\]:\[rw|ro\]. If "container-dir" is missing, then docker creates a new volume. --volumes-from="": Mount all volumes from the given container(s) 
``` volumes 命令足够复杂到它拥有自己的文档[_Share Directories via Volumes_](http://docs.docker.io/use/working_with_volumes/#volume-def). 一个开发者可以定义一个或者多个卷的关联在一个镜像中， 但是只有操作者可以给予一个容器访问另外一个容器的权限（或一个容器访问在主机上挂载的卷）   **用户** 容器默认的用户是root(id=0), 但是如果开发者创建了额外的用户，那些用户也可以访问。开发者可以设置一个默认用户来运行第一个进程通过Dockerfile USER 命令，但是操作者可以覆盖它： ```c
 -u="": Username or UID 
```   **工作目录 ** 一个容器内的默认工作目录是根目录(/), 但是开发者可以设定一个不同的默认目录通过Dockerfile WORKDIR 命令设置。 操作者同样也可以覆盖掉这个： ```c
 -w="": Working directory inside the container