docker學習筆記--重基礎使用


  最近一直在研究Elasticsearch,后來部門的同事遇到了一個docker集群的未授權訪問漏洞,於是稍微看了一下docker進行了一下基本的入門,本文把自己學習docker的過程進行了一個詳細的記錄,希望能看過本文的文章能快速入門,本文會撿着最重要的命令分類進行介紹,讓不了解docker的安全從業人員快速了解docker。

  • Docker與KVM的區別

  說到KVM和Docker的區別,我引用一張圖,由於題主不在互聯網公司工作,對於KVM和Docker對於生產的適用環境理解還欠佳,如果未來有機會進入互聯網工作,再把這部分補上。

  不過通過架構我們可以明顯的看出KVM的隔離對於Docker要好很多,由於KVM存在Hypervisor的存在對於硬件層面的虛擬化程度是遠高於docker的,基於Hypervisor我們可以安裝各種系統,系統中的文件與環境也是隔離的。而Docker卻不一樣。應用之間大量的底層和編譯環境是共享的。這是我認識的Docker與KVM但並不是本文的重點,如果此處有任何錯誤也環境大牛來指正。

  • Docker公有鏡像的獲取

  在docker中我們可以通過以下命令來查找共有鏡像:

docker search nginx \\搜索公有的nginx images

  

  通過docker pull命令來獲取公有鏡像:

docker pull nginx \\獲取名為nginx的鏡像
  • Docker啟停創建容器等常用命令分析

  這部分命令非常多,也非常容易混淆,我在學習這部分的時候產生過許多疑問。諸如有了start命令為何還要有run命令。為什么有些參數只能跟着run而不能跟着start,以及一些常見的一些技巧。

docker images  \\查看本機擁有的鏡像

  然而一個鏡像僅僅是鏡像,他需要在容器中進行執行,所以我們要將images轉換為容器。創建一個新的容器我們通常使用以下的組合命令:

docker run -idt --name newcentos centos haha.sh

參數解釋:
-it 通常一起出現(標准輸入給容器並產生一個交互性shell)
-d 在后台運行
--name 給容器起一個名字方便管理(否則你要用容器ID管理了,心態會爆炸的)
/bin/bash 生成容器后要執行的命令

連起來解釋:

創建一個新容器 裝載的鏡像為 centos  這個容器命名為newnetos 
創建完成后執行haha.sh腳本 通過bash來管理這個容器 
並且創建完成后不進入容器(-d參數的存在)

  管理docker容器我主要用以下命令來實現:

docker ps -a \\顯示所有docker容器

  我們可以通過attach命令來進入一個容器,進行交互式shell管理:

docker start newcentos \\容器必須啟動 才可以attach
docker attach newcentos \\上文我們將鏡像命名為newcentos,否則我們要跟鏡像的ID

  我們可以通過start和stop命令來啟停容器,同時需要注意的是,題主在有一點是懵逼的之前。docker run包含docker creat和docker start兩個階段。所以將一個新鏡像裝入容器中我們使用docker run可以一勞永逸的解決兩個階段的問題。

  刪除容器的過程我們需要兩個階段,停止之后刪除:

docker stop newcentos \\停止容器運行
docker rm newcentos  \\刪除容器

  

  • Docker端口映射

  當我們運行一個apache鏡像的時候,我們往往希望訪問宿主機地址80或者443端口來達到訪問容器中運行的apache進程。這時我們需要將宿主機的80和443端口映射到容器中的80和443端口,通常我們使用如下命令。

docker run -idt --name apache -p 80:80 httpd

參數解釋:
-p 宿主機端口:容器端口 

  我自己作為安全人員用到-P參數比較少,主要是將宿主機的隨機端口映射到容器的特定端口。

  • Docker掛載磁盤映像

  經典的docker romote api 未授權訪問漏洞反彈shell一般需要掛載宿主機根目錄來獲取權限,這里不詳細贅述。一般我們可以掛載本機的nginx配置文件等到容器,實現類似於linux系統中/mnt的效果。

docker run -p 80:80 --name mynginx -v /www:/www -v /etc/conf/nginx.conf:/etc/nginx/nginx.conf -d nginx 

參數解釋:
-v 宿主機文件目錄:容器目錄   
  • Docker鏡像創建(commit和Dockerfile)

  我們可能在一個centos的鏡像容器中部署了各種環境如nginx,redis啊,現在我想對這個自定義的centos容器進行打包形成一個新的鏡像。可以使用commit和dockerfile兩種方法。

docker commit -m "centos-redis" -a "legwindy" abe40a097f26 legwindy/centos-redis:v1

參數解釋:
-m:一段記錄
-a:作者名稱
abe40a097f26:打包的容器ID,比如我在一個abe40a097f26的centos
                       image裝了很多東西,那個容器ID就是abe40a097f26
(legwindy/centos-redis:v1):打包后的鏡像名稱,Tag值為v1

  使用dockerfile進行構建,比較復雜,我從網上找了個實例,需要了解很多語法,其實核心思想是把上面每一步操作寫到文件中,使用docker build直接按照步驟去執行,以下是轉載的一個dockerfile實例:

  幾個關鍵字段:

FROM (鏡像名稱)
RUN (執行命令)
EXPOSE (容器要打開的端口)
ENTRYPOINT(難理解的點):可以把一個容器封裝成一個應用。
CMD(難理解的點):執行的命令

  比較難理解的是ENTRYPOINT和CMD的區別,ENTRYPOINT可以把容器封裝成一個應用,比如ENTRYPOINT后面接參數/usr/local/nginx后,我們attach容器后,效果和在Linux下直接執行nginx命令的回現是相同的。CMD可以理解為接在ENTRYPOINT后的參數,當我們撰寫這么一個參數:--ENTRYPOINT /usr/local/bin/nginx后。我們我們使用如下命令達到的效果如下。 docker run xxxx --entrypoint /usr/local/bin/nginx help。等於在物理機中運行nginx help命令。

  關於docker的使用,學習的還比較淺,僅僅在應用層層面,跟自己目前的工作還不太相關,有機會會為大家介紹docker remote api訪問漏洞的原因和防范方法。

 

 

  

  


免責聲明!

本站轉載的文章為個人學習借鑒使用,本站對版權不負任何法律責任。如果侵犯了您的隱私權益,請聯系本站郵箱yoyou2525@163.com刪除。



 
粵ICP備18138465號   © 2018-2025 CODEPRJ.COM