目录
一、容器操作命令
1、创建容器
2、删除容器以及停止容器运行
3、查看容器的运行状态
4、查看容器的详细信息
5、将容器的文件传输到宿主机以及将宿主机的文件传输到容器中
6、批量删除容器
7、进入容器
二、容器的迁移
1、先在容器中创建测试文件
2、将容器存储为一个镜像文件并传输给另一个主机
3、接收文件 并导入镜像,创建容器并启动容器
三、docker run
1、验证pid为1的程序与容器状态的关联性
2、docker run的运行过程
3、认识docker run命令的好处
四、docker抓包操作
#容器创建:就是将镜像加载到容器的过程。
新创建的容器默认处于停止状态,不运行任何程序,需要在其中发起一个进程来启动容器。
格式:docker create [选项] 镜像
常用选项:
-i:让容器开启标准输入接受用户输入命令
-t:让 Docker 分配一个伪终端 tty
-it :合起来实现和容器交互的作用,运行一个交互式会话 shell
docker create -it nginx:latest /bin/bash
#查看容器的运行状态
docker ps -a #-a 选项可以显示所有的容器
CONTAINER ID IMAGE COMMAND CREATED STATUS PORTS NAMES
8b0a7be0ff58 nginx:latest "/docker-entrypoint.…" 57 seconds ago Created inspiring_swanson
容器的ID号 加载的镜像 运行的程序 创建时间 当前的状态 端口映射 名称
镜像是容器的基础
docker ps -a ##查看所有
docker ps ##只看运行中的容器状态
docker ps -a -q ##返回所有容器的id号
[root@localhost ~]#docker ps
CONTAINER ID IMAGE COMMAND CREATED STATUS PORTS NAMES
072f997f0631 soscscs/myapp:v1 "nginx -g 'daemon of…" 21 minutes ago Up 21 minutes 80/tcp test01
##查看容器的详细信息
[root@localhost ~]#docker inspect 072f997f0631
[root@localhost ns]#docker inspect e8270476230c|grep id
[root@localhost ns]#ps aux |grep 4274
#复制到容器中
[root@localhost opt]#docker cp /opt/test.txt 79720a19adea:/mnt/
[root@localhost opt]#docker cp /opt/lxy/ 79720a19adea:/mnt/
#从容器复制文件到主机
[root@localhost opt]#docker cp 79720a19adea:/mnt/haha/ /opt
有个很重要的概念 容器的内容都是临时存放的,一旦关闭,那么就会永久删除,所以传输文件这个操作需要在容器为运行状态下完成
格式:docker rm [-f] 容器ID/名称
docker stop 08ec23f245f7
docker rm 08ec23f245f7 #删除已经终止状态的容器
docker rm -f 08ec23f245f7 #强制删除正在运行的容器
docker ps -a | awk 'NR>=2{print "docker stop "$1}' | bash #批量停止容器
docker ps -a | awk 'NR>=2{print $1}'| xargs docker stop
docker ps -a | awk 'NR>=2{print "docker rm "$1}' | bash #批量删除所有容器
docker ps -a | awk 'NR>=2{print $1}'| xargs docker rm
docker images | awk 'NR>=2{print "docker rmi "$3}' | bash #批量删除镜像
docker images | grep none | awk '{print $3}' | xargs docker rmi #删除none镜像
docker rm $(docker ps -a -q) #批量清理后台停止的容器
-i 选项表示让容器的输入保持打开;
-t 选项表示让 Docker 分配一个伪终端。
#容器的进入
需要进入容器进行命令操作时,可以使用 docker exec 命令进入运行着的容器。
格式:docker exec -it 容器ID/名称 /bin/sh
-i 选项表示让容器的输入保持打开;
-t 选项表示让 Docker 分配一个伪终端。
docker start 容器id #进入容器前,确保容器正在运行
docker exec -it 容器id /bin/sh
ls
exit #退出容器后,容器仍在运行
docker ps -a
用户可以将任何一个 Docker 容器从一台机器迁移到另一台机器。在迁移过程中,可以使用docker export 命令将已经创建好的容器导出为容器快照文件,无论这个容器是处于运行状态还是停止状态均可导出。可将导出文件传输到其他机器,通过相应的导入命令实现容器的迁移。
导入后为镜像,还需额外创建容器,需要注意的是创建容器的时候需要额外添加容器启动命令
#导出格式:
docker export 容器ID/名称 > 文件名
或
docker export -o 文件名 容器ID/名称
#导入格式:
cat 文件名 | docker import – 镜像名称:标签
或
docker import 文件名 -- 镜像名称:标签
#导入后会生成镜像,但不会创建容器
需要重新创建容器并启动 要么docker create /docker start
要么docker run
#docker run创建并启动容器
直接执行 docker run 命令=先执行 docker create 命令+再执行 docker start 命令。
注意:容器是一个与其中运行的 shell 命令/进程共存亡的终端,命令/进程运行容器运行, 命令/进程结束容器退出!!!
docker 容器默认会把容器内部第一个进程,也就是 pid=1 的程序作为docker容器是否正在运行的依据,如果docker容器中 pid = 1 的进程挂了,那么docker容器便会直接退出,也就是说Docker容器中必须有一个前台进程,否则认为容器已经挂掉。
[root@localhost ~]#docker run -itd --name test01 soscscs/myapp:v1 sh -c "ls -l; sleep 5"
[root@localhost ~]#docker run -itd --name test02 soscscs/myapp:v1 sh -c "ls -l; sleep 10&"
当利用 docker run 来创建容器时, Docker 在后台的标准运行过程是:
(1)拉取镜像:检查本地是否存在指定的镜像。当镜像不存在时,会从公有仓库下载;
(2)启动容器:利用镜像创建并启动一个容器;
(3)分配文件系统:分配一个文件系统给容器,在只读的镜像层外面挂载一层可读写层;
(4)从宿主主机配置的网桥接口中桥接一个虚拟机接口到容器中;
(5)分配ip:分配一个地址池中的 IP 地址给容器;
(6)启动容器:执行用户指定的应用程序,执行完毕后容器被终止运行。
#在后台持续运行 docker run 创建的容器
需要在 docker run 命令之后添加 -d 选项让 Docker 容器以守护形式在后台运行。并且容器所运行的程序不能结束。
[root@localhost ~]#docker run -d --name test03 soscscs/myapp:v1 sh -c ls /
69a44d69e06d3ce1b9bf978d0c42749b064d7e91996e4a507d2c2c1350ba24b4
[root@localhost ~]#docker ps -a
CONTAINER ID IMAGE COMMAND CREATED STATUS PORTS NAMES
69a44d69e06d soscscs/myapp:v1 "sh -c ls /" 3 seconds ago Exited (0) 1 second ago test03
#会发现创建了一个新容器并启动执行一条 shell 命令,之后就停止了
[root@localhost ~]#docker run -d --name test02 soscscs/myapp:v1 sh -c "while true;do echo hello;done"
44d5c634be4a42998848d3a5c7ab964ac232db1103fae527b1f1e15cea1a05d6
[root@localhost ~]#docker ps -a
CONTAINER ID IMAGE COMMAND CREATED STATUS PORTS NAMES
44d5c634be4a soscscs/myapp:v1 "sh -c 'while true;d…" 3 seconds ago Up 2 seconds 80/tcp test02
#可以看出容器始终处于 UP,运行状态
docker run -itd --name test03 soscscs/myapp:v1 sh #创建容器并持续运行容器
##查看该容器的 pid:
[root@localhost ~]#docker inspect -f {{.State.Pid}} test01
4274
使用 nsenter 命令进入该容器的网络命令空间:
[root@localhost ~]#nsenter -n -t4274
[root@localhost ~]#ip addr
Linux 的每个进程都具有命名空间,可以在 /proc/PID/ns 目录中看到命名空间的文件描述符。
抓包的原理
nsenter 相当于在setns的示例程序之上做了一层封装,使我们无需指定命名空间的文件描述符,而是指定进程号即可。
指定进程号PID以及需要进入的命名空间后,nsenter会帮我们找到对应的命名空间文件描述符/proc/PID/ns/FD,然后使用该命名空间运行新的程序。