docker run命令详解及示例(一)

wtxnpw

docker run
　　Usage: docker run [OPTIONS] IMAGE [COMMAND] [ARG...]
　　Run a command in a new container
　　

-a
　　-a, --attach=[]                 Attach to STDIN, STDOUT orSTDERR
　　如果在执行run命令时没有指定-a，那么docker默认会挂载所有标准数据流，包括输入输出和错误。你可以特别指定挂载哪个标准流。
　　#docker run -a stdin -a stdout -i -t ubuntu:14.04/bin/bash
　　(只挂载标准输入输出)
--add-host
　　--add-host=[]   Add a custom host-to-IP mapping (host:ip)
　　添加host-ip到容器的hosts文件
　　# docker run -it --add-host db:192.168.1.1ubuntu:14.04 /bin/bash

root@70887853379d:/# cat /etc/hosts 　　172.17.0.2      70887853379d 　　127.0.0.1       localhost 　　::1     localhost ip6-localhost ip6-loopback 　　fe00::0 ip6-localnet 　　ff00::0 ip6-mcastprefix 　　ff02::1 ip6-allnodes 　　ff02::2 ip6-allrouters 　　192.168.1.1     db

--blkio-weight
　　--blkio-weight=0    Block IO (relative weight), between 10 and1000
　　相对于CPU和内存的配额控制，docker对磁盘IO的控制相对不成熟，大多数都必须在有宿主机设备的情况下使用。主要包括以下参数：

• 　　–device-read-bps：限制此设备上的读速度（bytes persecond），单位可以是kb、mb或者gb。
  
• 　　–device-read-iops：通过每秒读IO次数来限制指定设备的读速度。
  
• 　　–device-write-bps ：限制此设备上的写速度（bytesper second），单位可以是kb、mb或者gb。
  
• 　　–device-write-iops：通过每秒写IO次数来限制指定设备的写速度。
  
• 　　–blkio-weight：容器默认磁盘IO的加权值，有效值范围为10-100。
  
• 　　–blkio-weight-device： 针对特定设备的IO加权控制。其格式为DEVICE_NAME:WEIGHT存储配额控制的相关参数，可以参考Red Hat文档中blkio这一章，了解它们的详细作用。
  

磁盘IO配额控制示例
　　blkio-weight
　　要使–blkio-weight生效，需要保证IO的调度算法为CFQ。可以使用下面的方式查看：
　　root@ubuntu:~# cat/sys/block/sda/queue/scheduler
noop [deadline] cfq
　　使用下面的命令创建两个–blkio-weight值不同的容器：
　　docker run -ti –rm–blkio-weight 100 ubuntu:stress
docker run -ti –rm –blkio-weight 1000 ubuntu:stress
　　在容器中同时执行下面的dd命令，进行测试：
　　time dd if=/dev/zeroof=test.out bs=1M count=1024 oflag=direct
　　device-write-bps
　　使用下面的命令创建容器，并执行命令验证写速度的限制。
　　docker run -tid –namedisk1 –device-write-bps /dev/sda:1mb ubuntu:stress
容器空间大小限制
　　在docker使用devicemapper作为存储驱动时，默认每个容器和镜像的最大大小为10G。如果需要调整，可以在daemon启动参数中，使用dm.basesize来指定，但需要注意的是，修改这个值，不仅仅需要重启docker daemon服务，还会导致宿主机上的所有本地镜像和容器都被清理掉。
　　使用aufs或者overlay等其他存储驱动时，没有这个限制。
--cap-add,--cap-drop
　　--cap-add=[]     Add Linux capabilities
　　--cap-drop=[]       Drop Linux capabilities
　　Linux的Capability机制允许你将超级用户相关的高级权限划分成为不同的小单元. 目前Docker容器默认只用到了以下的Capability.
　　CHOWN, DAC_OVERRIDE, FSETID, FOWNER, MKNOD,NET_RAW, SETGID,  SETUID, SETFCAP,SETPCAP, NET_BIND_SERVICE, SYS_CHROOT, KILL, AUDIT_WRITE
　　有些情况下，你也许需要调整上面罗列的特性。比如你正在构建一个容器，你用它来执行ntpd或是crony，为此它们要能够修改宿主的系统时间。由于不具备 CAP_SYS_TIME 特性，容器无法工作。为了应对这种情况，在Docker之前的版本中，容器必须以提权模式运行（使用--privileged 选项），这会禁用所有安全机制。
　　在Docker的1.3版中，新添了--cap-add和--cap-drop选项。要让一个ntpd容器跑起来，你现在只要执行以下命令：
　　#docker run -d --cap-add SYS_TIME ntpd
　　就可以将 SYS_TIME 特性添加到你的容器中。
　　再举个例子，如果你确定你的容器不会改变任何进程的UID和GID，那完全可以将这些特性从你的容器中移除，这样会更安全：
　　#docker run --cap-drop SETUID --cap-dropSETGID --cap-drop FOWNER fedora /bin/sh
　　命令示例，用于查看启用的特性：
　　# pscap | grep 2912
　　运行结果示例：
　　5417 2912 root sh chown, dac_override,fsetid, kill, setpcap, net_bind_service, net_raw, sys_chroot, mknod,audit_write, setfcap
　　或者你可以先移除所有特性，然后再把一个添加回去：
　　#docker run --cap-drop ALL --cap-addSYS_TIME ntpd /bin/sh
　　查看启用的特性：
　　# pscap | grep 2382
　　5417 2382 root sh sys_time
--cgroup-parent
　　--cgroup-parent=    Optional parent cgroup for the container
--cidfile=
　　--cidfile=       Write the container ID to the file
　　将container ID保存到cid_file, 保存的格式为长UUID
　　# docker run -it --cidfile=cid_fileubuntu:14.04 /bin/bash
　　#cat cid_file
　　5fcf835f2688844d1370e6775247c35c9d36d47061c4fc73e328f9ebf920b402
--cpu-shares
　　--cpu-shares=0      CPU shares (relative weight)
　　默认情况下，使用-c或者--cpu-shares 参数值为0，可以赋予当前活动container 1024个cpu共享周期。这个0值可以针对活动的container进行修改来调整不同的cpu循环周期。
　　比如，我们使用-c或者--cpu-shares =0启动了C0，C1，C2三个container，使用-c/--cpu-shares=512启动了C3.这时，C0，C1，C2可以100%的使用CPU资源(1024)，但C3只能使用50%的CPU资源(512)。如果这个host的OS是时序调度类型的，每个CPU时间片是100微秒，那么C0，C1，C2将完全使用掉这100微秒，而C3只能使用50微秒。
--cpu-period, --cpu-quota
　　--cpu-period=0      Limit CPU CFS (Completely Fair Scheduler)period
　　--cpu-quota=0       Limit CPU CFS (Completely FairScheduler) quota
　　--cpu-period和--cpu-quota，这两个参数是相互配合的，--cpu-period和--cpu-quota的这种配置叫Ceiling Enforcement Tunable Parameters，--cpu-shares的这种配置叫RelativeShares Tunable Parameters。--cpu-period是用来指定容器对CPU的使用要在多长时间内做一次重新分配，而--cpu-quota是用来指定在这个周期内，最多可以有多少时间用来跑这个容器。跟--cpu-shares不同的是这种配置是指定一个绝对值，而且没有弹性在里面，容器对CPU资源的使用绝对不会超过配置的值。
　　比如说A容器配置的--cpu-period=100000 --cpu-quota=50000，那么A容器就可以最多使用50%个CPU资源，如果配置的--cpu-quota=200000，那就可以使用200%个CPU资源。
　　那么有什么样的应用场景呢？简单举个例子，加入对外提供A和B两个服务，但是A的优先级比B要高，假如只用--cpu-shares来配置，B服务占用资源太高时是会对A有一定的影响的，但是如果通过--cpu-period和--cpu-quota来配置，就能起到绝对的控制，做到无论B怎么样，都不会影响到A。
　　cpu-period和cpu-quota的单位为微秒（μs）。cpu-period的最小值为1000微秒，最大值为1秒（10^6 μs），默认值为0.1秒（100000 μs）。cpu-quota的值默认为-1，表示不做控制。
　　举个例子，如果容器进程需要每1秒使用单个CPU的0.2秒时间，可以将cpu-period设置为1000000（即1秒），cpu-quota设置为200000（0.2秒）。当然，在多核情况下，如果允许容器进程需要完全占用两个CPU，则可以将cpu-period设置为100000（即0.1秒），cpu-quota设置为200000（0.2秒）。
　　使用示例：
　　使用命令docker run -tid –cpu-period 100000 –cpu-quota 200000 ubuntu，创建容器，则最终生成的cgroup的cpu周期配置可以下面的文件中找到：
　　# cat /sys/fs/cgroup/cpu/docker/<容器的完整长ID>/cpu.cfs_period_us
　　100000
　　# cat /sys/fs/cgroup/cpu/docker/<容器的完整长ID>/cpu.cfs_quota_us
　　200000
--cpuset-cpus, --cpuset-mems
　　--cpuset-cpus=      CPUs in which to allow execution (0-3,0,1)
　　--cpuset-mems=      MEMs in which to allow execution (0-3,0,1)
　　对多核CPU的服务器，docker还可以控制容器运行限定使用哪些cpu内核和内存节点，即使用–cpuset-cpus和–cpuset-mems参数。对具有NUMA拓扑（具有多CPU、多内存节点）的服务器尤其有用，可以对需要高性能计算的容器进行性能最优的配置。如果服务器只有一个内存节点，则–cpuset-mems的配置基本上不会有明显效果。
　　使用示例：
　　命令docker run -tid –name cpu1 –cpuset-cpus 0-2 ubuntu，表示创建的容器只能用0、1、2这三个内核。最终生成的cgroup的cpu内核配置如下：
　　# cat /sys/fs/cgroup/cpuset/docker/<容器的完整长ID>/cpuset.cpus
　　0-2
　　通过docker exec <容器ID> taskset -c -p 1(容器内部第一个进程编号一般为1)，可以看到容器中进程与CPU内核的绑定关系，可以认为达到了绑定CPU内核的目的。
-d, --detach
　　-d, --detach=false     Run container in background and printcontainer ID
　　如果在docker run 后面追加-d=true或者-d，则containter将会运行在后台模式(Detached mode)。此时所有I/O数据只能通过网络资源或者共享卷组来进行交互。因为container不再监听你执行docker run的这个终端命令行窗口。但你可以通过执行docker attach 来重新挂载这个container里面。需要注意的时，如果你选择执行-d使container进入后台模式，那么将无法配合"--rm"参数。
　　# docker run -it -d ubuntu:14.04 /bin/bash
　　17aebdd365d86c3379aec5ddec364765d467a8d33d7210700a6a758a16206611

--device=
　　--device=[]      Add a host device to the container
--disable-content-trust
　　--disable-content-trust=true Skip imageverification
　　跳过镜像验证。
--dns
　　--dns=[]      Set custom DNS servers
　　自定义DNS.
　　# docker run -it --dns=8.8.8.8 --rmubuntu:14.04 /bin/bash
　　root@b7a6f0e63e65:/# cat /etc/resolv.conf
　　nameserver 8.8.8.8
--dns-opt
　　--dns-opt=[]     Set DNS options
--dns-search
　　--dns-search=[]     Set custom DNS search domains
-e, --env
　　-e, --env=[]     Set environment variables
　　自这义环境变量。
--entrypoint
　　--entrypoint=       Overwrite the default ENTRYPOINT of theimage
　　字面意思是进入点，而它的功能也恰如其意。
　　An ENTRYPOINT allows you to configure acontainer that will run as an executable.它可以让你的容器功能表现得像一个可执行程序一样。
　　示例一：
　　使用下面的ENTRYPOINT构造镜像：
　　ENTRYPOINT ["/bin/echo"]
　　那么docker build出来的镜像以后的容器功能就像一个/bin/echo程序：
　　比如我build出来的镜像名称叫imageecho，那么我可以这样用它：
　　docker run -it imageecho “this is a test”
　　这里就会输出”this is a test”这串字符，而这个imageecho镜像对应的容器表现出来的功能就像一个echo程序一样。你添加的参数“this is a test”会添加到ENTRYPOINT后面，就成了这样　/bin/echo “this is a test”。现在你应该明白进入点的意思了吧。
　　例子二：
　　ENTRYPOINT ["/bin/cat"]
　　构造出来的镜像你可以这样运行(假设名为st)：
　　docker run -it st /etc/fstab
　　这样相当： /bin/cat /etc/fstab 这个命令的作用。运行之后就输出/etc/fstab里的内容。
--env-file
　　--env-file=[]       Read in a file of environment variables
　　读取设置环境变量的文件.
--expose
　　--expose=[]      Expose a port or a range of ports
　　告诉Docker服务端容器暴露的端口号，供互联系统使用。
　　#docker run -it  --expose=22 --rm ubuntu:14.04 /bin/bash
--group-add
　　--group-add=[]      Add additional groups to join
-h, --hostname
　　-h, --hostname=     Container host name
　　设置容器主机名。
　　# docker run -it --hostname=web --rmubuntu:14.04 /bin/bash
　　root@web:/#
-i, --interactive=false
　　-i, --interactive=false   Keep STDIN open even if not attached
　　保持标准输入，常同-t一起使用来申请一个控制台进行数据交互。
--ipc
　　--ipc=        IPC namespace to use
　　IPC(POSIX/SysV IPC)命名空间提供了相互隔离的命名共享内存，信号灯变量和消息队列。
　　共享内存可以提高进程数据交互速度。共享内存一般用在database和高性能应用(C/OpenMPI, C++/using boost libraries)上或者金融服务上。如果需要容器里面部署上述类型的应用，那么就应该在多个容器直接采取共享内存了。
--kernel-memory
　　--kernel-memory=    Kernel memory limit
　　内核内存，不会被交换到swap上。一般情况下，不建议修改，可以直接参考docker的官方文档。
-l, --label
　　-l, --label=[]      Set meta data on a container
　　--label-file=[]     Read in a line delimited file of labels


　　下接博文：docker run命令详解及示例(二)