Docker run 命令的使用方法

Docker会在隔离的容器中运行进程。当运行 docker run命令时，Docker会启动一个进程，并为这个进程分配其独占的文件系统、网络资源和以此进程为根进程的进程组。在容器启动时，镜像可能已经定义了要运行的二进制文件、暴露的网络端口等，可是用户能够经过 docker run命令从新定义（译者注：docker run能够控制一个容器运行时的行为，它能够覆盖 docker build在构建镜像时的一些默认配置），这也是为何 run命令相比于其它命令有如此多的参数的缘由。

命令格式

最基本的 docker run命令的格式以下：

若是须要查看[OPTIONS]的详细使用说明，请参考Docker关于OPTIONS的章节。这里仅简要介绍Run所使用到的参数。OPTIONS总起来讲能够分为两类：

设置运行方式：
- 决定容器的运行方式，前台执行仍是后台执行；
- 设置containerID；
- 设置网络参数；
- 设置容器的CPU和内存参数；
设置镜像的默认资源，也就是说用户可使用该命令来覆盖在镜像构建时的一些默认配置。

docker run [OPTIONS]可让用户彻底控制容器的生命周期，并容许用户覆盖执行 docker build时所设定的参数，甚至也能够修改自己由Docker所控制的内核级参数。

Operator exclusive options

当执行 docker run时能够设置如下参数：

Detached vs Foreground
- Detached (-d)
Container Identification
- Name (--name)
IPC Setting
Network Settings
Clean Up (--rm)
Runtime Constraints on CPU and Memory
Runtime Privilege, Linux Capabilities, and LXC Configuration

接下来咱们依次进行介绍。

Detached vs foreground

当咱们启动一个容器时，首先须要肯定这个容器是运行在前台仍是运行在后台。

Detached (-d)

若是在 docker run后面追加 -d=true或者 -d，那么容器将会运行在后台模式。此时全部I/O数据只能经过网络资源或者共享卷组来进行交互。由于容器再也不监听你执行 docker run的这个终端命令行窗口。但你能够经过执行 docker attach来从新附着到该容器的回话中。须要注意的是，容器运行在后台模式下，是不能使用 --rm选项的。

Foregroud
在前台模式下（不指定 -d参数便可），Docker会在容器中启动进程，同时将当前的命令行窗口附着到容器的标准输入、标准输出和标准错误中。也就是说容器中全部的输出均可以在当前窗口中看到。甚至它均可以虚拟出一个TTY窗口，来执行信号中断。这一切都是能够配置的：

若是在执行run命令时没有指定 -a参数，那么Docker默认会挂载全部标准数据流，包括输入输出和错误，你能够单独指定挂载哪一个标准流。

若是要进行交互式操做（例如Shell脚本），那咱们必须使用 -i -t参数同容器进行数据交互。可是当经过管道同容器进行交互时，就不须要使用 -t参数，例以下面的命令：

容器识别

Name（--name）

能够经过三种方式为容器命名：
　　
1. 使用UUID长命名（"f78375b1c487e03c9438c729345e54db9d20cfa2ac1fc3494b6eb60872e74778"）
2. 使用UUID短命令（"f78375b1c487"）
3. 使用Name("evil_ptolemy")

这个UUID标示是由Docker deamon生成的。若是你在执行 docker run时没有指定 --name，那么deamon会自动生成一个随机字符串UUID。可是对于一个容器来讲有个name会很是方便，当你须要链接其它容器时或者相似须要区分其它容器时，使用容器名称能够简化操做。不管容器运行在前台或者后台，这个名字都是有效的。

PID equivalent

若是在使用Docker时有自动化的需求，你能够将containerID输出到指定的文件中（PIDfile），相似于某些应用程序将自身ID输出到文件中，方便后续脚本操做。

Image[:tag]

当一个镜像的名称不足以分辨这个镜像所表明的含义时，你能够经过tag将版本信息添加到run命令中，以执行特定版本的镜像。例如: docker run ubuntu:14.04

IPC Settings

默认状况下，全部容器都开启了IPC命名空间。

IPC（POSIX/SysV IPC）命名空间提供了相互隔离的命名共享内存、信号灯变量和消息队列。

共享内存能够提升进程数据的交互速度。共享内存通常用在数据库和高性能应用（C/OpenMPI、C++/using boost libraries）上或者金融服务上。若是须要容器中部署上述类型的应用，那么就应该在多个容器直接使用共享内存了。

Network settings

默认状况下，全部的容器都开启了网络接口，同时能够接受任何外部的数据请求。

你能够经过 docker run --net none来关闭网络接口，此时将关闭全部网络数据的输入输出，你只能经过STDIN、STDOUT或者files来完成I/O操做。默认状况下，容器使用主机的DNS设置，你也能够经过 --dns来覆盖容器内的DNS设置。同时Docker为容器默认生成一个MAC地址，你能够经过 --mac-address 12:34:56:78:9a:bc来设置你本身的MAC地址。

Docker支持的网络模式有：

none。关闭容器内的网络链接
bridge。经过veth接口来链接容器，默认配置。
host。容许容器使用host的网络堆栈信息。注意：这种方式将容许容器访问host中相似D-BUS之类的系统服务，因此认为是不安全的。
container。使用另一个容器的网络堆栈信息。　　
None模式

将网络模式设置为none时，这个容器将不容许访问任何外部router。这个容器内部只会有一个loopback接口，并且不存在任何能够访问外部网络的router。

Bridge模式

Docker默认会将容器设置为bridge模式。此时在主机上面将会存在一个docker0的网络接口，同时会针对容器建立一对veth接口。其中一个veth接口是在主机充当网卡桥接做用，另一个veth接口存在于容器的命名空间中，而且指向容器的loopback。Docker会自动给这个容器分配一个IP，而且将容器内的数据经过桥接转发到外部。

Host模式

当网络模式设置为host时，这个容器将彻底共享host的网络堆栈。host全部的网络接口将彻底对容器开放。容器的主机名也会存在于主机的hostname中。这时，容器全部对外暴露的端口和对其它容器的链接，将彻底失效。

Container模式

当网络模式设置为Container时，这个容器将彻底复用另一个容器的网络堆栈。同时使用时这个容器的名称必需要符合下面的格式：--net container:<name|id>.

好比当前有一个绑定了本地地址localhost的Redis容器。若是另一个容器须要复用这个网络堆栈，则须要以下操做：

管理/etc/hosts
/etc/hosts文件中会包含容器的hostname信息，咱们也可使用 --add-host这个参数来动态添加/etc/hosts中的数据。

Clean up (--rm)

默认状况下，每一个容器在退出时，它的文件系统也会保存下来，这样一方面调试会方便些，由于你能够经过查看日志等方式来肯定最终状态。另一方面，你也能够保存容器所产生的数据。可是当你仅仅须要短暂的运行一个容器，而且这些数据不须要保存，你可能就但愿Docker能在容器结束时自动清理其所产生的数据。

这个时候你就须要--rm这个参数了。注意：--rm 和 -d不能共用！

Security configuration

你能够经过 --security-opt修改容器默认的schema标签。好比说，对于一个MLS系统来讲（译者注：MLS应该是指Multiple Listing System），你能够指定MCS/MLS级别。使用下面的命令能够在不一样的容器间分享内容：

若是是MLS系统，则使用下面的命令：

使用下面的命令能够在容器内禁用安全策略：

若是你须要在容器内执行更为严格的安全策略，那么你能够为这个容器指定一个策略替代，好比你可使用下面的命令来指定容器只监听Apache端口：

注意：此时，你的主机环境中必须存在一个名为svirt_apache_t的安全策略。

Runtime constraints on CPU and memory

下面的参数能够用来调整容器内的性能。

经过 docker run -m能够调整容器所使用的内存资源。若是主机支持swap内存，那么可使用 -m能够设定比主机物理内存还大的值。

一样，经过 -c能够调整容器的CPU优先级。默认状况下，全部的容器拥有相同的CPU优先级和CPU调度周期，但你能够经过Docker来通知内核给予某个或某几个容器更多的CPU计算周期。

好比，咱们使用 -c或者 --cpu-shares =0启动了C0、C一、C2三个容器，使用-c/--cpu-shares=512启动了C3容器。这时，C0、C一、C2能够100%的使用CPU资源（1024），但C3只能使用50%的CPU资源（512）。若是这个主机的操做系统是时序调度类型的，每一个CPU时间片是100微秒，那么C0、C一、C2将彻底使用掉这100微秒，而C3只能使用50微秒。

Runtime privilege, Linux capabilities, and LXC configuration

默认状况下，Docker的容器是没有特权的，例如不能在容器中再启动一个容器。这是由于默认状况下容器是不能访问任何其它设备的。可是经过"privileged"，容器就拥有了访问任何其它设备的权限。

当操做者执行 docker run --privileged时，Docker将拥有访问主机全部设备的权限，同时Docker也会在apparmor或者selinux作一些设置，使容器能够容易的访问那些运行在容器外部的设备。你能够访问 Docker博客来获取更多关于--privileged的用法。

同时，你也能够限制容器只能访问一些指定的设备。下面的命令将容许容器只访问一些特定设备：

　　默认状况下，容器拥有对设备的读、写、建立设备文件的权限。使用 :rwm来配合 --device，你能够控制这些权限。

使用 --cap-add和 --cap-drop，配合 --privileged，你能够更细致的控制人哦怒气。默认使用这两个参数的状况下，容器拥有一系列的内核修改权限，这两个参数都支持 all值，若是你想让某个容器拥有除了MKNOD以外的全部内核权限，那么能够执行下面的命令：

若是须要修改网络接口数据，那么就建议使用 --cap-add=NET_ADMIN，而不是使用 --privileged。

若是要挂载一个FUSE文件系统，那么就须要 --cap-add和 --device了。

若是Docker守护进程在启动时选择了 lxc lxc-driver（ docker -d --exec-driver=lxc），那么就可使用 --lxc-conf来设定LXC参数。但须要注意的是，将来主机上的Docker deamon有可能不会使用LXC，因此这些参数有可能会包含一些没有实现的配置功能。这意味着，用户在操做这些参数时必需要十分熟悉LXC。

特别注意：当你使用 --lxc-conf修改容器参数后，Docker deamon将再也不管理这些参数，那么用户必须自行进行管理。好比说，你使用 --lxc-conf修改了容器的IP地址，那么在/etc/hosts里面是不会自动体现的，须要你自行维护。

Overriding Dockerfile image defaults

　　当开发者使用 Dockerfile进行build或者使用commit提交容器时，开发人员能够设定一些镜像默认参数。

这些参数中，有四个是没法被覆盖的：FROM、MAINTAINER、RUN和ADD，其他参数均可以经过 docker run进行覆盖。咱们将介绍如何对这些参数进行覆盖。

CMD (Default Command or Options)
ENTRYPOINT (Default Command to Execute at Runtime)
EXPOSE (Incoming Ports)
ENV (Environment Variables)
VOLUME (Shared Filesystems)
USER
WORKDIR

CMD (default command or options)

这个命令中的COMMAND部分是可选的。由于这个IMAGE在build时，开发人员可能已经设定了默认执行的命令。做为操做人员，你可使用上面命令中新的command来覆盖旧的command。

若是镜像中设定了ENTRYPOINT，那么命令中的CMD也能够做为参数追加到ENTRYPOINT中。

ENTRYPOINT (default command to execute at runtime)

这个ENTRYPOINT和COMMAND相似，它指定了当容器执行时，须要启动哪些进程。相对COMMAND而言，ENTRYPOINT是很难进行覆盖的，这个ENTRYPOINT可让容器设定默认启动行为，因此当容器启动时，你能够执行任何一个二进制可执行程序。你也能够经过COMMAND为ENTRYPOINT传递参数。但当你须要在容器中执行其它进程时，你就能够指定其它ENTRYPOINT了。

下面就是一个例子，容器能够在启动时自动执行Shell，而后启动其它进程。

　EXPOSE (incoming ports)

　　Dockefile在网络方面除了提供一个EXPOSE以外，没有提供其它选项。下面这些参数能够覆盖Dockefile的expose默认值：

　　--expose可让容器接受外部传入的数据。容器内监听的端口不须要和外部主机的端口相同。好比说在容器内部，一个HTTP服务监听在80端口，对应外部主机的端口就多是49880.

　　若是使用 -p或者 -P，那么容器会开放部分端口到主机，只要对方能够链接到主机，就能够链接到容器内部。当使用 -P时，Docker会在主机中随机从49153 和65535之间查找一个未被占用的端口绑定到容器。你可使用 docker port来查找这个随机绑定端口。

当你使用 --link方式时，做为客户端的容器能够经过私有网络形式访问到这个容器。同时Docker会在客户端的容器中设定一些环境变量来记录绑定的IP和PORT。

ENV (environment variables)

当容器启动时，会自动在容器中初始化这些变量。

操做人员能够经过 -e来设定任意的环境变量，甚至覆盖已经存在的环境变量，或者是在Dockerfile中经过ENV设定的环境变量。

操做人员能够经过 -h来设定hostname。也可使用"--link name:alias"来设定环境变量，当使用 --link后，Docker将根据后面提供的IP和PORT信息来链接服务端容器。下面就是使用redis的例子：

你使用 --link后，就能够获取到关于Redis容器的相关信息。

Docker也会将这个alias的IP地址写入到/etc/hosts文件中。而后你就能够经过别名来访问link后的容器。

若是你重启了源容器（servicename），相关联的容器也会同步更新/etc/hosts。

VOLUME (shared filesystems)

关于volume参数，能够在 Managing data in containers查看详细说明，须要注意的是开发人员能够在Dockerfile中设定多个volume，可是只能由运维人员设置容器直接的volume访问。

USER

容器中默认的用户是root，可是开发人员建立新的用户以后，这些新用户也是可使用的。开发人员能够经过Dockerfile的USER设定默认的用户，并经过"-u "来覆盖这些参数。

　WORKDIR

容器中默认的工做目录是根目录（/）。开发人员能够经过Dockerfile的WORKDIR来设定默认工做目录，操做人员能够经过"-w"来覆盖默认的工做目录。

原文连接： Docker run reference（译者：vikings 审校：李颖杰）