docker

VVkladg0r2024-05-132024-05-13

docker介绍

介绍

Docker是一个开源的应用容器引擎，让开发者可以打包他们的应用以及依赖包到一个可抑制的容器中，然后发布到任何流行的Linux机器上，也可以实现虚拟化。容器完全使用沙盒机制，相互之间不会存在任何接口。几乎没有性能开销，可以很容易的在机器和数据中心运行。最重要的是，他们不依赖于任何语言、框架或者包装系统。

小知识：沙盒也叫沙箱（sandbox）。在计算机领域指一种虚拟技术，而且多用于计算机安全技术。安全软件可以让它在沙盒中运行，如果含有恶意行为，则禁止程序的进一步运行，而这不会对系统造成任何危害。

Docker是dotCloud公司开源的一个基于LXC的高级容器引擎，源码托管在Github上，基于go语言并且遵从Apache2.0协议开源。

Docker容器技术与虚拟机的区别

docker和容器技术和虚拟机技术，都是虚拟化技术。

docker有着比虚拟机更少的抽象层。由于docker不需要Hypervisor实现硬件资源虚拟化，运行在docker容器上的程序直接使用的都是实际物理机的硬件资源。所以docker效率比虚拟机效率高。达到了秒级启动的地步。

docker相较于VM的优点：

1、比VM小、快，Docker容器的尺寸减小相比于整个虚拟机大大简化了分布
到云和分发时间的开销。Docker启动一个容器实例时间仅仅需要几秒钟。

2、Docker是一个开放的平台，构建、发布和运行分布式应用程序。

3、开发人员不需要关系具体是哪个Linux操作系统

4、Google、微软（azure）、亚马逊、IBM等都支持docker。

5、Docker支持Unix/Linux操作系统，也支持Windows和Mac。

Docker局限性：
Docker用于应用程序时是最有用的，但并不包含数据。日志、数据库等通常放在Docker容器外。一个容器的镜像通常都很小，不用和存储大量数据，存储可以通过外部挂载等方式使用，比如：NFS、ipsan、MFS等，或者docker命令，-v映射磁盘分区。

总之，docker只用于计算，存储交给别人。

Docker特性。
文件系统隔离：每个进程容器运行在一个完全独立的根文件系统里。

资源隔离：系统资源，像CPU和内存等可以分配到不同的容器中，使用cgroup。
网络隔离：每个进程容器运行在自己的网路空间，虚拟接口和IP地址。

日志记录：Docker将收集到和记录的每个进程容器的标准流（stdout/stderr/stdin），用于实时检索或者批量检索

变更管理：容器文件系统的变更可以提交到新的镜像中，并可重复使用以创建更多的容器。无需使用模板或者手动配置。

交互式shell：Docker可以分配一个虚拟终端并且关联到任何容器的标准输出上，例如运行一个一次性交互shell。

kali下docker安装

Linux内核版本查看

#安装docker要求内核版本kerner>=3.10
#为此，先检查当前Linux系统的内核版本
uname -a

更新apt

#新重写sources.list中内容，一个个字母删除太久了
cho > /etc/apt/sources.list

#进入sources.lis重新编辑apt源
vim /etc/apt/sources.list

#直接CV大法写入下面的apt源

#阿里云
deb http://mirrors.aliyun.com/kali kali-rolling main non-free contrib
deb-src http://mirrors.aliyun.com/kali kali-rolling main non-free contrib

这一步在我实际安装时其实是没有执行的不影响

进行系统或工具更新

进行系统或工具的更新（还是要挺久的）
注：当出现正在设定软件包界面时，直接按tab+enter进行确认
apt-get update && apt-get upgrade && apt-get dist-upgrade

礼貌性清除更新缓存
apt-get clean

安装Docker

为什么采用apt安装？因为之后采用apt源安装Docker的其他组件时，新组件与已安装的Docker容器最为匹配。
apt-get install docker docker-compose

或
apt-get install docker.io

我这里是第二个可以执行第一个报错

检验Docker

启动docker服务

service docker start

查看docker版本

docker -v

列出docker现有镜像

docker images

好像要root用户

因为我没有安装任何镜像所以的镜像中为空

Docker开机自启

设置docker开机自启
systemctl enable docker

Docker使用

拉取环境

例1

以拉取 CVE-2017-7504 的漏洞环境为例。
docker search testjboss    							#搜索漏洞环境
docker pull testjboss/jboss							#拉取漏洞环境
docker run -d -p 80:8080 testjboss/jboss:latest		#根据testjboss/jboss镜像创建并运行容器
ifconfig																						#查看已运行容器ip
#kali中，使用浏览器访问http://IP						#IP可为127.0.0.1
docker ps																						#查看正在运行的容器
docker exec -it e8f4844aabc1 /bin/bash				#进入容器(id:e8f4844aabc1)
exit																								#退出容器到宿主机（容器不会停止运行）
docker stop 3b41c0c08430							#关闭容器(id唯一标识，建议使用id)

例2

Docker搭建LAMP环境

LAMP是指Linux+Apache+MYSQL+PHP 一个经典的网络架构

docker pull linode/lamp
直接在Docker中拉取一个现成的LAMP镜

其实是比较慢的但是可以通过切换Docker镜像源的方法加速

然后

docker run -it -p 8001:80 linode/lamp /bin/bash

以linode/lamp镜像创建容器并且将容器的80端口映射到本机8001端口

再分别输入

service apache2 start

service mysql start

命令启动服务

kali访问127.0.0.1：8001

例3

Docker Compose搭建实验环境

Docker Compose是用于定义和运行多容器应用程序的工具

使用步骤：

1.使用Dockerfile定义应用程序的环境

2.使用docker-compose.yml定义构成应用程序的服务，这样它们可以在隔离环境中一起运行

3.执行docker-compose up 命令来启动并运行整个应用程序

安装docker-compose

apt-get install docker-compose

检查

docker-compose -v

只要给出实验环境的docker-compose.yml文件我们只需要新建文件夹，然后将docker-compose.yml文件放在该目录中，进入该目录执行docker-compose up -d命令即可构建环境并启动实验环境， -d参数表示后台运行可根据需要填写

用docker compose搭建漏洞 CVE-2020-17518

docker-compose.yml：

version: '2'
services:
 flink:
   image: vulhub/flink:1.11.2
   command: jobmanager
   ports:
    - "8081:8081"
    - "6123:6123"

这里可能是yml文件的问题最后在执行docker-compose up -d时报错了但时步骤因该是没问题的

从这里的YAML文件可以看出映射的有两个端口 8081和6123 其中8081为web服务端口

常用命令

#系统命令
systemctl start docker				#启动docker
systemctl stop docker				#停止docker
systemctl restart docker			#重启docker
systemctl enable docker				#设置docker开机自启
 
#基本命令
docker version						#查看docker版本
docker info							#查看docker详细信息
docker --help						#查看docker命令
 
#镜像命令
docker images						#查看docker镜像列表
docker images -a					#列出本地所有镜像
docker images --digests				#显示镜像的摘要信息
docker search redis					#从Docker Hub上查找redis镜像
docker pull redis					#从Docker Hub上下载redis镜像
docker rmi 373f0984b070				#删除IMAGE ID 为373f0984b070的镜像
docker search 镜像名           #搜索镜像
docker pull 镜像名 [标签]      #下载镜像（如果不写tag，默认是latest）
docker rmi 镜像名 [标签]       #删除镜像    docker rmi -f $(docker images -aq)  删除全部镜像
docker tag  镜像名:版本   新镜像名:版本    #复制镜像并且修改名称
docker commit  -a "xxx"  -c "xxx" 镜像ID 名字：版本   #提交镜像 
-a :提交的镜像作者；
-c :使用Dockerfile指令来创建镜像；
-m :提交时的说明文字；

 
#运行命令
#-p 6379:6379	端口映射：前表示主机部分,后表示容器部分
#-d	在后台运行容器（不进入终端）并打印容器ID/容器名
#--name myredis表示自定义容器名为myredis
docker run -d -p 6379:6379 --name myredis redis:latest		#根据镜像创建并运行容器
--name = "Name"   容器名字
-c   后面跟待完成的命令
-d   以后台方式运行并且返回ID，启动守护进程式容器
-i   使用交互方式运行容器，通常与t同时使用
-t   为容器重新分配一个伪输入终端。也即启动交互式容器
-p   指定容器端口    -p 容器端口:物理机端口  映射端口
-P   随机指定端口
-v   给容器挂载存储卷

 
#容器命令
docker container ls 或 docker ps				#查看正在运行的容器
docker container ls -a 或 docker ps -a			#列出所有容器
docker container start 容器ID 或 容器名称		#启动容器
docker start 容器ID 或 容器名称					#启动容器
docker container stop 容器ID 或 容器名称			#停止容器
docker stop 容器ID 或 容器名称					#停止容器
docker container rm 容器ID 或 容器名称			#删除容器
docker rm 容器ID 或 容器名称						#删除容器
docker container logs -f 容器ID 或 容器名称		#查看容器日志
docker exec -it name /bin/bash 					#进入name（容器名/id）中开启交互式的终端，exit退出

docker build  #创建镜像        -f：指定dockerfile文件路径   -t：镜像名字以及标签
docker logs 容器实例的ID          #查看容器日志
docker rename 旧名字  新名字      # 给容器重新命名
docker top    容器实例的ID                  #查看容器内进程
docker ps -a                    #列出所有容器（不加-a就是在运行的）
docker rm      容器实例的ID                 #删除容器（正在运行容器不能删除，除非加-f选项）
docker kill  容器实例的ID        #杀掉容器
docker history   容器实例的ID    #查看docker镜像的变更历史
docker start 容器实例的ID        #启动容器
docker restart 容器实例的ID       #重启容器
docker stop 容器实例的ID         #停止正在运行的容器
docker attach /docker exec  容器实例的ID   #同为进入容器命令，不同的是attach连接终止会让容器退出后台运行，而exec不会。并且，docker attach是进入正在执行的终端，不会情动新的进程，而docker exec则会开启一个新的终端，可以在里面操作。
docker image inspect  容器名称：容器标签       #查看容器内源数据
docker cp  容器id：容器内路径   目的主机路径           #从容器内拷贝文件到主机（常用）或者从主机拷贝到容器（一般用挂载）
exit                           #直接退出容器 
crlt + P + Q                   #退出容器但是不终止运行

docker –help中文译解

Usage:
docker [OPTIONS] COMMAND [arg...]
       docker daemon [ --help | ... ]
       docker [ --help | -v | --version ]
A
self-sufficient runtime for containers.
 
Options:
  --config=~/.docker              Location of client config files  #客户端配置文件的位置
  -D, --debug=false               Enable debug mode  #启用Debug调试模式
  -H, --host=[]                   Daemon socket(s) to connect to  #守护进程的套接字（Socket）连接
  -h, --help=false                Print usage  #打印使用
  -l, --log-level=info            Set the logging level  #设置日志级别
  --tls=false                     Use TLS; implied by--tlsverify  #
  --tlscacert=~/.docker/ca.pem    Trust certs signed only by this CA  #信任证书签名CA
  --tlscert=~/.docker/cert.pem    Path to TLS certificate file  #TLS证书文件路径
  --tlskey=~/.docker/key.pem      Path to TLS key file  #TLS密钥文件路径
  --tlsverify=false               Use TLS and verify the remote  #使用TLS验证远程
  -v, --version=false             Print version information and quit  #打印版本信息并退出
 
Commands:
    attach    Attach to a running container  #当前shell下attach连接指定运行镜像
    build     Build an image from a Dockerfile  #通过Dockerfile定制镜像
    commit    Create a new image from a container's changes  #提交当前容器为新的镜像
    cp    	  Copy files/folders from a container to a HOSTDIR or to STDOUT  #从容器中拷贝指定文件或者目录到宿主机中
    create    Create a new container  #创建一个新的容器，同run 但不启动容器
    diff      Inspect changes on a container's filesystem  #查看docker容器变化
    events    Get real time events from the server#从docker服务获取容器实时事件
    exec      Run a command in a running container#在已存在的容器上运行命令
    export    Export a container's filesystem as a tar archive  #导出容器的内容流作为一个tar归档文件(对应import)
    history   Show the history of an image  #展示一个镜像形成历史
    images    List images  #列出系统当前镜像
    import    Import the contents from a tarball to create a filesystem image  #从tar包中的内容创建一个新的文件系统映像(对应export)
    info      Display system-wide information  #显示系统相关信息
    inspect   Return low-level information on a container or image  #查看容器详细信息
    kill      Kill a running container  #kill指定docker容器
    load      Load an image from a tar archive or STDIN  #从一个tar包中加载一个镜像(对应save)
    login     Register or log in to a Docker registry#注册或者登陆一个docker源服务器
    logout    Log out from a Docker registry  #从当前Docker registry退出
    logs   	  Fetch the logs of a container  #输出当前容器日志信息
    pause     Pause all processes within a container#暂停容器
    port      List port mappings or a specific mapping for the CONTAINER  #查看映射端口对应的容器内部源端口
    ps    	  List containers  #列出容器列表
    pull      Pull an image or a repository from a registry  #从docker镜像源服务器拉取指定镜像或者库镜像
    push      Push an image or a repository to a registry  #推送指定镜像或者库镜像至docker源服务器
    rename    Rename a container  #重命名容器
    restart   Restart a running container  #重启运行的容器
    rm    	  Remove one or more containers  #移除一个或者多个容器
    rmi    	  Remove one or more images  #移除一个或多个镜像(无容器使用该镜像才可以删除，否则需要删除相关容器才可以继续或者-f强制删除)
    run   	  Run a command in a new container  #创建一个新的容器并运行一个命令
    save      Save an image(s) to a tar archive#保存一个镜像为一个tar包(对应load)
    search    Search the Docker Hub for images  #在docker
hub中搜索镜像
    start     Start one or more stopped containers#启动容器
    stats     Display a live stream of container(s) resource usage statistics  #统计容器使用资源
    stop      Stop a running container  #停止容器
    tag       Tag an image into a repository  #给源中镜像打标签
    top       Display the running processes of a container #查看容器中运行的进程信息
    unpause   Unpause all processes within a container  #取消暂停容器
    version   Show the Docker version information#查看容器版本号
    wait      Block until a container stops, then print its exit code  #截取容器停止时的退出状态值