首页
登录 | 注册

docker学习笔记--重基础使用

  最近一直在研究Elasticsearch,后来部门的同事遇到了一个docker集群的未授权访问漏洞,于是稍微看了一下docker进行了一下基本的入门,本文把自己学习docker的过程进行了一个详细的记录,希望能看过本文的文章能快速入门,本文会捡着最重要的命令分类进行介绍,让不了解docker的安全从业人员快速了解docker。

  • Docker与KVM的区别

  说到KVM和Docker的区别,我引用一张图,由于题主不在互联网公司工作,对于KVM和Docker对于生产的适用环境理解还欠佳,如果未来有机会进入互联网工作,再把这部分补上。

docker学习笔记--重基础使用

  不过通过架构我们可以明显的看出KVM的隔离对于Docker要好很多,由于KVM存在Hypervisor的存在对于硬件层面的虚拟化程度是远高于docker的,基于Hypervisor我们可以安装各种系统,系统中的文件与环境也是隔离的。而Docker却不一样。应用之间大量的底层和编译环境是共享的。这是我认识的Docker与KVM但并不是本文的重点,如果此处有任何错误也环境大牛来指正。

  • Docker公有镜像的获取

  在docker中我们可以通过以下命令来查找共有镜像:

docker search nginx \\搜索公有的nginx images

  docker学习笔记--重基础使用

  通过docker pull命令来获取公有镜像:

docker pull nginx \\获取名为nginx的镜像
  • Docker启停创建容器等常用命令分析

  这部分命令非常多,也非常容易混淆,我在学习这部分的时候产生过许多疑问。诸如有了start命令为何还要有run命令。为什么有些参数只能跟着run而不能跟着start,以及一些常见的一些技巧。

docker images  \\查看本机拥有的镜像

  然而一个镜像仅仅是镜像,他需要在容器中进行执行,所以我们要将images转换为容器。创建一个新的容器我们通常使用以下的组合命令:

docker run -idt --name newcentos centos haha.sh

参数解释:
-it 通常一起出现(标准输入给容器并产生一个交互性shell)
-d 在后台运行
--name 给容器起一个名字方便管理(否则你要用容器ID管理了,心态会爆炸的)
/bin/bash 生成容器后要执行的命令

连起来解释:

创建一个新容器 装载的镜像为 centos  这个容器命名为newnetos 
创建完成后执行haha.sh脚本 通过bash来管理这个容器 
并且创建完成后不进入容器(-d参数的存在)

  管理docker容器我主要用以下命令来实现:

docker ps -a \\显示所有docker容器

  我们可以通过attach命令来进入一个容器,进行交互式shell管理:

docker start newcentos \\容器必须启动 才可以attach
docker attach newcentos \\上文我们将镜像命名为newcentos,否则我们要跟镜像的ID

  我们可以通过start和stop命令来启停容器,同时需要注意的是,题主在有一点是懵逼的之前。docker run包含docker creat和docker start两个阶段。所以将一个新镜像装入容器中我们使用docker run可以一劳永逸的解决两个阶段的问题。

  删除容器的过程我们需要两个阶段,停止之后删除:

docker stop newcentos \\停止容器运行
docker rm newcentos  \\删除容器

  

  • Docker端口映射

  当我们运行一个apache镜像的时候,我们往往希望访问宿主机地址80或者443端口来达到访问容器中运行的apache进程。这时我们需要将宿主机的80和443端口映射到容器中的80和443端口,通常我们使用如下命令。

docker run -idt --name apache -p 80:80 httpd

参数解释:
-p 宿主机端口:容器端口 

  我自己作为安全人员用到-P参数比较少,主要是将宿主机的随机端口映射到容器的特定端口。

  • Docker挂载磁盘映像

  经典的docker romote api 未授权访问漏洞反弹shell一般需要挂载宿主机根目录来获取权限,这里不详细赘述。一般我们可以挂载本机的nginx配置文件等到容器,实现类似于linux系统中/mnt的效果。

docker run -p 80:80 --name mynginx -v /www:/www -v /etc/conf/nginx.conf:/etc/nginx/nginx.conf -d nginx 

参数解释:
-v 宿主机文件目录:容器目录   
  • Docker镜像创建(commit和Dockerfile)

  我们可能在一个centos的镜像容器中部署了各种环境如nginx,redis啊,现在我想对这个自定义的centos容器进行打包形成一个新的镜像。可以使用commit和dockerfile两种方法。

docker commit -m "centos-redis" -a "legwindy" abe40a097f26 legwindy/centos-redis:v1

参数解释:
-m:一段记录
-a:作者名称
abe40a097f26:打包的容器ID,比如我在一个abe40a097f26的centos
                       image装了很多东西,那个容器ID就是abe40a097f26
(legwindy/centos-redis:v1):打包后的镜像名称,Tag值为v1

  使用dockerfile进行构建,比较复杂,我从网上找了个实例,需要了解很多语法,其实核心思想是把上面每一步操作写到文件中,使用docker build直接按照步骤去执行,以下是转载的一个dockerfile实例:

docker学习笔记--重基础使用

  几个关键字段:

FROM (镜像名称)
RUN (执行命令)
EXPOSE (容器要打开的端口)
ENTRYPOINT(难理解的点):可以把一个容器封装成一个应用。
CMD(难理解的点):执行的命令

  比较难理解的是ENTRYPOINT和CMD的区别,ENTRYPOINT可以把容器封装成一个应用,比如ENTRYPOINT后面接参数/usr/local/nginx后,我们attach容器后,效果和在Linux下直接执行nginx命令的回现是相同的。CMD可以理解为接在ENTRYPOINT后的参数,当我们撰写这么一个参数:--ENTRYPOINT /usr/local/bin/nginx后。我们我们使用如下命令达到的效果如下。 docker run xxxx --entrypoint /usr/local/bin/nginx help。等于在物理机中运行nginx help命令。

  关于docker的使用,学习的还比较浅,仅仅在应用层层面,跟自己目前的工作还不太相关,有机会会为大家介绍docker remote api访问漏洞的原因和防范方法。

 

 

  

  



2020 jeepxie.net webmaster#jeepxie.net
10 q. 0.009 s.
京ICP备10005923号