注意，本文基于最新的Docker 1.4文档翻译。 Docker会在隔离的容器中运行进程。当运行 docker run命令时，Docker会启动一个进程，并为这个进程分配其独占的文件系统、网络资源和以此进程为根进程的进程组。在容器启动时，镜像可能已经定义了要运行的二进制文件、暴露的网络端口等，但是用户可以通过docker run命令重新定义（译者注：docker run可以控制一个容器运行时的行为，它可以覆盖docker build在构建镜像时的一些默认配置），这也是为什么run命令相比于其它命令有如此多的参数的原因。 [b]命令格式[/b] 最基本的[code]docker run[/code]命令的格式如下： 如果需要查看[OPTIONS]的详细使用说明，请参考Docker关于OPTIONS的章节。这里仅简要介绍Run所使用到的参数。 [b]OPTIONS总起来说可以分为两类：[/b] [b]1.设置运行方式：[/b] 决定容器的运行方式，前台执行还是后台执行； 设置containerID； 设置网络参数； 设置容器的CPU和内存参数；- 设置权限和LXC参数； [b]2.设置镜像的默认资源，也就是说用户可以使用该命令来覆盖在镜像构建时的一些默认配置。[/b] [code]docker run [OPTIONS][/code]可以让用户完全控制容器的生命周期，并允许用户覆盖执行[code]docker build[/code]时所设定的参数，甚至也可以修改本身由Docker所控制的内核级参数。 [b]Operator exclusive options[/b] 当执行[code]docker run[/code]时可以设置以下参数： Detached vs Foreground Detached (-d)- Foreground Container Identification Name (--name)- PID Equivalent IPC Setting Network Settings Clean Up (--rm) Runtime Constraints on CPU and Memory Runtime Privilege, Linux Capabilities, and LXC Configuration 接下来我们依次进行介绍。 [b]Detached vs foreground[/b] 当我们启动一个容器时，首先需要确定这个容器是运行在前台还是运行在后台。 -d=false: Detached mode: Run container in the background, print new container id [b]Detached (-d)[/b] 如果在[code]docker run[/code]后面追加[code]-d=true[/code]或者-d，那么容器将会运行在后台模式。此时所有I/O数据只能通过网络资源或者共享卷组来进行交互。因为容器不再监听你执行[code]docker run[/code]的这个终端命令行窗口。但你可以通过执行docker attach来重新附着到该容器的回话中。需要注意的是，容器运行在后台模式下，是不能使用--rm选项的。 [b]Foregroud[/b] 在前台模式下（不指定-d参数即可），Docker会在容器中启动进程，同时将当前的命令行窗口附着到容器的标准输入、标准输出和标准错误中。也就是说容器中所有的输出都可以在当前窗口中看到。甚至它都可以虚拟出一个TTY窗口，来执行信号中断。这一切都是可以配置的： 如果在执行run命令时没有指定-a参数，那么Docker默认会挂载所有标准数据流，包括输入输出和错误，你可以单独指定挂载哪个标准流。 如果要进行交互式操作（例如Shell脚本），那我们必须使用-i -t参数同容器进行数据交互。但是当通过管道同容器进行交互时，就不需要使用-t参数，例如下面的命令： [b]容器识别[/b] [b]Name（--name）[/b] 可以通过三种方式为容器命名： 1. 使用UUID长命名（"f78375b1c487e03c9438c729345e54db9d20cfa2ac1fc3494b6eb60872e74778"） 2. 使用UUID短命令（"f78375b1c487"） 3. 使用Name("evil_ptolemy") 这个UUID标示是由Docker deamon生成的。如果你在执行docker run时没有指定--name，那么deamon会自动生成一个随机字符串UUID。但是对于一个容器来说有个name会非常方便，当你需要连接其它容器时或者类似需要区分其它容器时，使用容器名称可以简化操作。无论容器运行在前台或者后台，这个名字都是有效的。 [b]PID equivalent[/b] 如果在使用Docker时有自动化的需求，你可以将containerID输出到指定的文件中（PIDfile），类似于某些应用程序将自身ID输出到文件中，方便后续脚本操作。 --cidfile="": Write the container ID to the file [b]Image[:tag][/b] 当一个镜像的名称不足以分辨这个镜像所代表的含义时，你可以通过tag将版本信息添加到run命令中，以执行特定版本的镜像。例如: docker run ubuntu:14.04 [b]IPC Settings[/b] 默认情况下，所有容器都开启了IPC命名空间。 IPC（POSIX/SysV IPC）命名空间提供了相互隔离的命名共享内存、信号灯变量和消息队列。 共享内存可以提高进程数据的交互速度。共享内存一般用在数据库和高性能应用（C/OpenMPI、C++/using boost libraries）上或者金融服务上。如果需要容器中部署上述类型的应用，那么就应该在多个容器直接使用共享内存了。 [b]Network settings[/b] 默认情况下，所有的容器都开启了网络接口，同时可以接受任何外部的数据请求。 你可以通过[code]docker run --net none[/code]来关闭网络接口，此时将关闭所有网络数据的输入输出，你只能通过STDIN、STDOUT或者files来完成I/O操作。默认情况下，容器使用主机的DNS设置，你也可以通过--dns来覆盖容器内的DNS设置。同时Docker为容器默认生成一个MAC地址，你可以通过--mac-address 12:34:56:78:9a:bc来设置你自己的MAC地址。 Docker支持的网络模式有： none。关闭容器内的网络连接 bridge。通过veth接口来连接容器，默认配置。 host。允许容器使用host的网络堆栈信息。 注意：这种方式将允许容器访问host中类似D-BUS之类的系统服务，所以认为是不安全的。 container。使用另外一个容器的网络堆栈信息。 　　 [b]None模式[/b] 将网络模式设置为none时，这个容器将不允许访问任何外部router。这个容器内部只会有一个loopback接口，而且不存在任何可以访问外部网络的router。 [b]Bridge模式[/b] Docker默认会将容器设置为bridge模式。此时在主机上面将会存在一个docker0的网络接口，同时会针对容器创建一对veth接口。其中一个veth接口是在主机充当网卡桥接作用，另外一个veth接口存在于容器的命名空间中，并且指向容器的loopback。Docker会自动给这个容器分配一个IP，并且将容器内的数据通过桥接转发到外部。 [b]Host模式[/b] 当网络模式设置为host时，这个容器将完全共享host的网络堆栈。host所有的网络接口将完全对容器开放。容器的主机名也会存在于主机的hostname中。这时，容器所有对外暴露的端口和对其它容器的连接，将完全失效。 [b]Container模式[/b] 当网络模式设置为Container时，这个容器将完全复用另外一个容器的网络堆栈。同时使用时这个容器的名称必须要符合下面的格式[code]：--net container:<name|id>.[/code] 比如当前有一个绑定了本地地址localhost的Redis容器。如果另外一个容器需要复用这个网络堆栈，则需要如下操作： 管理/etc/hosts /etc/hosts文件中会包含容器的hostname信息，我们也可以使用--add-host这个参数来动态添加/etc/hosts中的数据。 [b]Clean up (--rm)[/b] 默认情况下，每个容器在退出时，它的文件系统也会保存下来，这样一方面调试会方便些，因为你可以通过查看日志等方式来确定最终状态。另外一方面，你也可以保存容器所产生的数据。但是当你仅仅需要短暂的运行一个容器，并且这些数据不需要保存，你可能就希望Docker能在容器结束时自动清理其所产生的数据。 这个时候你就需要--rm这个参数了。 注意：--rm 和 -d不能共用！ Security configuration --security-opt="label:user:USER"   : Set the label user for the container --security-opt="label:role:ROLE"   : Set the label role for the container --security-opt="label:type:TYPE"   : Set the label type for the container --security-opt="label:level:LEVEL" : Set the label level for the container --security-opt="label:disable"     : Turn off label confinement for the container --secutity-opt="apparmor:PROFILE"  : Set the apparmor profile to be applied  to the container 你可以通过--security-opt修改容器默认的[code]schema[/code]标签。比如说，对于一个MLS系统来说（译者注：MLS应该是指Multiple Listing System），你可以指定MCS/MLS级别。使用下面的命令可以在不同的容器间分享内容： 如果是MLS系统，则使用下面的命令： 使用下面的命令可以在容器内禁用安全策略： 如果你需要在容器内执行更为严格的安全策略，那么你可以为这个容器指定一个策略替代，比如你可以使用下面的命令来指定容器只监听Apache端口： 注意：此时，你的主机环境中必须存在一个名为[code]svirt_apache_t[/code]的安全策略。 Runtime constraints on CPU and memory 下面的参数可以用来调整容器内的性能。 通过docker run -m可以调整容器所使用的内存资源。如果主机支持swap内存，那么可以使用-m可以设定比主机物理内存还大的值。 同样，通过-c可以调整容器的CPU优先级。默认情况下，所有的容器拥有相同的CPU优先级和CPU调度周期，但你可以通过Docker来通知内核给予某个或某几个容器更多的CPU计算周期。 比如，我们使用-c或者--cpu-shares =0启动了C0、C1、C2三个容器，使用-c/--cpu-shares=512启动了C3容器。这时，C0、C1、C2可以100%的使用CPU资源（1024），但C3只能使用50%的CPU资源（512）。如果这个主机的操作系统是时序调度类型的，每个CPU时间片是100微秒，那么C0、C1、C2将完全使用掉这100微秒，而C3只能使用50微秒。 默认情况下，Docker的容器是没有特权的，例如不能在容器中再启动一个容器。这是因为默认情况下容器是不能访问任何其它设备的。但是通过"privileged"，容器就拥有了访问任何其它设备的权限。 当操作者执行[code]docker run --privileged[/code]时，Docker将拥有访问主机所有设备的权限，同时Docker也会在apparmor或者selinux做一些设置，使容器可以容易的访问那些运行在容器外部的设备。你可以访问Docker博客来获取更多关于--privileged的用法。 同时，你也可以限制容器只能访问一些指定的设备。下面的命令将允许容器只访问一些特定设备： 　　默认情况下，容器拥有对设备的读、写、创建设备文件的权限。使用:rwm来配合--device，你可以控制这些权限。 使用[code]--cap-add[/code]和[code]--cap-drop[/code]，配合--privileged，你可以更细致的控制人哦怒气。默认使用这两个参数的情况下，容器拥有一系列的内核修改权限，这两个参数都支持all值，如果你想让某个容器拥有除了MKNOD之外的所有内核权限，那么可以执行下面的命令： 如果需要修改网络接口数据，那么就建议使用--cap-add=NET_ADMIN，而不是使用--privileged。 如果要挂载一个FUSE文件系统，那么就需要--cap-add和--device了。 如果Docker守护进程在启动时选择了[code]lxc lxc-driver（docker -d --exec-driver=lxc）[/code]，那么就可以使用--lxc-conf来设定LXC参数。但需要注意的是，未来主机上的Docker deamon有可能不会使用LXC，所以这些参数有可能会包含一些没有实现的配置功能。这意味着，用户在操作这些参数时必须要十分熟悉LXC。 特别注意：当你使用--lxc-conf修改容器参数后，Docker deamon将不再管理这些参数，那么用户必须自行进行管理。比如说，你使用--lxc-conf修改了容器的IP地址，那么在/etc/hosts里面是不会自动体现的，需要你自行维护。 　　当开发者使用Dockerfile进行build或者使用commit提交容器时，开发人员可以设定一些镜像默认参数。 这些参数中，有四个是无法被覆盖的：FROM、MAINTAINER、RUN和ADD，其余参数都可以通过docker run进行覆盖。我们将介绍如何对这些参数进行覆盖。 这个命令中的COMMAND部分是可选的。因为这个IMAGE在build时，开发人员可能已经设定了默认执行的命令。作为操作人员，你可以使用上面命令中新的command来覆盖旧的command。 如果镜像中设定了ENTRYPOINT，那么命令中的CMD也可以作为参数追加到ENTRYPOINT中。 这个ENTRYPOINT和COMMAND类似，它指定了当容器执行时，需要启动哪些进程。相对COMMAND而言，ENTRYPOINT是很难进行覆盖的，这个ENTRYPOINT可以让容器设定默认启动行为，所以当容器启动时，你可以执行任何一个二进制可执行程序。你也可以通过COMMAND为ENTRYPOINT传递参数。但当你需要在容器中执行其它进程时，你就可以指定其它ENTRYPOINT了。 下面就是一个例子，容器可以在启动时自动执行Shell，然后启动其它进程。 [b]　EXPOSE (incoming ports)[/b] 　　Dockefile在网络方面除了提供一个EXPOSE之外，没有提供其它选项。下面这些参数可以覆盖Dockefile的expose默认值： 　　--expose可以让容器接受外部传入的数据。容器内监听的端口不需要和外部主机的端口相同。比如说在容器内部，一个HTTP服务监听在80端口，对应外部主机的端口就可能是49880. 　　如果使用-p或者-P，那么容器会开放部分端口到主机，只要对方可以连接到主机，就可以连接到容器内部。当使用-P时，Docker会在主机中随机从49153 和65535之间查找一个未被占用的端口绑定到容器。你可以使用docker port来查找这个随机绑定端口。 当你使用--link方式时，作为客户端的容器可以通过私有网络形式访问到这个容器。同时Docker会在客户端的容器中设定一些环境变量来记录绑定的IP和PORT。 当容器启动时，会自动在容器中初始化这些变量。 操作人员可以通过-e来设定任意的环境变量，甚至覆盖已经存在的环境变量，或者是在Dockerfile中通过ENV设定的环境变量。 操作人员可以通过-h来设定hostname。也可以使用"--link name:alias"来设定环境变量，当使用--link后，Docker将根据后面提供的IP和PORT信息来连接服务端容器。下面就是使用redis的例子： 你使用--link后，就可以获取到关于Redis容器的相关信息。 Docker也会将这个alias的IP地址写入到[code]/etc/hosts[/code]文件中。然后你就可以通过别名来访问link后的容器。 如果你重启了源容器（servicename），相关联的容器也会同步更新/etc/hosts。 关于volume参数，可以在Managing data in containers查看详细说明，需要注意的是开发人员可以在Dockerfile中设定多个volume，但是只能由运维人员设置容器直接的volume访问。 [b]USER[/b] 容器中默认的用户是root，但是开发人员创建新的用户之后，这些新用户也是可以使用的。开发人员可以通过Dockerfile的USER设定默认的用户，并通过"-u "来覆盖这些参数。 [b]　WORKDIR[/b] 容器中默认的工作目录是根目录（/）。开发人员可以通过Dockerfile的WORKDIR来设定默认工作目录，操作人员可以通过"-w"来覆盖默认的工作目录。 以上所述是小编给大家介绍的Docker run 命令的使用方法详解，希望对大家有所帮助，如果大家有任何疑问请给我留言，小编会及时回复大家的。在此也非常感谢大家对编程素材网网站的支持！