docker-client

一、背景 ​ 　　最近，Docker技术真是一片火热，它的出现也弥补了虚拟机资源消耗过高的问题，直接让虚拟化技术有了质的飞跃。那么本文我们来聊一聊Docker，和大家一起认识Docker，简单入门Docker. 二、虚拟化技术简介和发展 1. 阶段一：无虚拟化技术 　　 众所周知，在虚拟化技术出现之前，我们依靠扩展物理机的方式来扩展我们的应用，这个阶段很痛苦，也有很多的缺点，比如： Capex费用昂贵 Go to Product速度极其慢 系统可移植行极低 资源利用率极低 2. 阶段二：基于Hypervisor的虚拟化技术 这个阶段，出现的虚拟化技术让很多人开心不已，随着时间的流逝，市面上也出现不少相关的实际应用的技术，如：VMware、KVM、AWS、Microsoft的Hyper-V等。 　　 基于Hypervisor的虚拟化技术的优点： 资源利用率高 易于扩展、伸缩 Go to Product快速 成本降低 基于Hypervisor的虚拟化技术的缺点： OS内核资源被重复消耗资源 应用移植性较低 3. 阶段三：基于容器的虚拟化技术 由于Hypervisor的虚拟化技术不是很完美，对内核的资源重复消耗，那随着技术的发展就出现了基于容器的虚拟化技术，最热的就是Docker Container了。它底层使用CGroup和Namespace来实现多个容器之间共享内核资源

运行 sudo -s 切换到root用户。 1.卸载旧版本Docker（如果系统之前没安装过Docker，可以跳过）： yum remove docker \ docker - client \ docker -client- latest \ docker - common \ docker - latest \ docker -latest- logrotate \ docker - logrotate \ docker -engine 2.安装Docker所需要的包： yum install -y yum- utils \ device -mapper-persistent- data \ lvm2 3，安装最新版的Docker引擎： yum install docker-ce docker-ce-cli containerd.io 如果报错，尝试修改稳定的仓库： yum-config- manager \ --add- repo \ https: // download.docker.com/linux/centos/docker-ce.repo 4.启动Docker： systemctl start docker 查看docker状态： systemctl status docker 5.设置开机自动启动docker： systemctl enable docker

Docker暴露2375端口，引起安全漏洞 今天有小伙伴发现Docker暴露出2375端口，引起了安全漏洞。我现在给大家介绍整个事情的来龙去脉，并告诉小伙伴们，怎么修复这个漏洞。 为了实现集群管理，Docker提供了远程管理接口。Docker Daemon作为守护进程，运行在后台，可以执行发送到管理接口上的Docker命令。正是因为错误的使用了Docker远端接口，引起安全漏洞。 启动Docker Daemon时，加入-H 0.0.0.0:2375，Docker Daemon就可以接收远端的Docker Client发送的指令。注意，Docker是把2375端口作为非加密端口暴露出来，一般是用在测试环境中。此时，没有任何加密和认证过程，只要知道Docker主机的IP，任何人都可以管理这台主机上的容器和镜像。 漏洞是什么 国内牛人开发了一套牛逼的搜索引擎-钟馗之眼，可以扫描出主机上的暴露的端口。在ZoomEye.org上输入关键字docker port:2375，立即可以扫描出所有暴露了2375端口的Docker主机。因为没有加密，知道了主机IP以后，黑客就可以为所欲为了。 目前全球有717台机器暴露出2375端口！真是太可怕了！ 这些主机分布在全球各个国家，其中，美国的主机最多。这是因为Docker是美国的使用率最高，国内也会在一两年内大规模使用Docker

一、docker流程 Dockerhub：dockerhub是docker官方的镜像存储站点，其中提供了很多常用的镜像供用户下载，如ubuntu, centos等镜像 工作流程：docker服务器上运行docker Engine 服务，在docker Engine上启动很多容器container ， 从外网Docker Hub或把自己封装的镜像下载来，放到container容器运行。这样一个容器的实例就运行起来了。 最后，通过Docker client 对docker 容器虚拟化平台进行控制。 二、Docker核心技术 Namespace — 实现Container的进程、网络、消息、文件系统和主机名的隔离。 Cgroup — 实现对资源的配额和度量。 三、docker特性 文件系统隔离：每个进程容器运行在一个完全独立的根文件系统里。 资源隔离：系统资源，像CPU和内存等可以分配到不同的容器中，使用cgroup。 网络隔离：每个进程容器运行在自己的网络空间，虚拟接口和IP地址。 日志记录：Docker将会收集和记录每个进程容器的标准流（stdout/stderr/stdin），用于实时检索或批量检索。 变更管理：容器文件系统的变更可以提交到新的镜像中，并可重复使用以创建更多的容器。无需使用模板或手动配置。 交互式shell

一、 使用 yum 安装（CentOS 7下） 　 　　Docker 要求 CentOS 系统的内核版本高于 3.10 ，查看本页面的前提条件来验证你的CentOS 版本是否支持 Docker 。 　　通过 uname -r 命令查看你当前的内核版本 　　 二、安装 Docker　 　　从 2017 年 3 月开始 docker 在原来的基础上分为两个分支版本: Docker CE 和 Docker EE。 　　Docker CE 即社区免费版，Docker EE 即企业版，强调安全，但需付费使用。 　　1、 移除旧的版本 　 $ sudo yum remove docker \ docker-client \ docker-client-latest \ docker-common \ docker-latest \ docker-latest-logrotate \ docker-logrotate \ docker-selinux \ docker-engine-selinux \ docker-engine 　　2、 安装一些必要的系统工具 sudo yum install -y yum-utils device-mapper-persistent-data lvm2 　　3、 添加软件源信息 sudo yum-config-manager --add-repo http:

操作系统 ： CentOS7.5.1804_x64 docker版本： docker-ce-18.06.3 准备环境 1、如之前安装过移除老旧版本 yum remove docker docker-client docker-client-latest docker-common docker- latest \ docker -latest-logrotate docker-logrotate docker-selinux docker-engine-selinux docker-engine 2、使用阿里镜像库安装 # 安装必要的一些系统工具 yum install -y yum -utils device-mapper-persistent- data lvm2 # 添加软件源信息 yum -config-manager --add-repo http: // mirrors.aliyun.com/docker-ce/linux/centos/docker-ce.repo # 更新cache yum makecache fast 安装docker 1、安装 # 查看所有仓库中所有docker版本，并选择特定版本安装 yum list docker-ce --showduplicates | sort - r # 安装docker（这里选择 18.06 . 3 版本） yum

一、简介 　　1、了解docker的前生LXC 　　　　　LXC为Linux Container的简写。可以提供轻量级的虚拟化，以便隔离进程和资源，而且不需要提供指令解释机制以及全虚拟化的其他复杂性。相当于C++中的NameSpace。容器有效地将由单个操作系统管理的资源划分到孤立的组中，以更好地在孤立的组之间平衡有冲突的资源使用需求。 　　　　与传统虚拟化技术相比，它的优势在于： 　　　　（1）与宿主机使用同一个内核，性能损耗小； 　　　　（2）不需要指令级模拟； 　　　　（3）不需要即时(Just-in-time)编译； 　　　　（4）容器可以在CPU核心的本地运行指令，不需要任何专门的解释机制； 　　　　（5）避免了准虚拟化和系统调用替换中的复杂性； 　　　　（6）轻量级隔离，在隔离的同时还提供共享机制，以实现容器与宿主机的资源共享。 　　　　总结：Linux Container是一种轻量级的虚拟化的手段。 　　　　Linux Container提供了在单一可控主机节点上支持多个相互隔离的server container同时执行的机制。Linux Container有点像chroot，提供了一个拥有自己进程和网络空间的虚拟环境，但又有别于虚拟机，因为lxc是一种操作系统层次上的资源的虚拟化。 　　2、LXC与docker什么关系？ 　　　　　docker并不是LXC替代品

关注上方🔝公众号,一线技术资料不迷路,博主6年大数据开发经验,目前就职于一线互联网企业,可以敏锐的嗅到未来技术的发展方向。 一、简介 1、了解Docker的前生LXC LXC为Linux Container的简写。可以提供轻量级的虚拟化，以便隔离进程和资源，而且不需要提供指令解释机制以及全虚拟化的其他复杂性。相当于C++中的NameSpace。容器有效地将由单个操作系统管理的资源划分到孤立的组中，以更好地在孤立的组之间平衡有冲突的资源使用需求。 与传统虚拟化技术相比，它的优势在于： （1）与宿主机使用同一个内核，性能损耗小； （2）不需要指令级模拟； （3）不需要即时(Just-in-time)编译； （4）容器可以在CPU核心的本地运行指令，不需要任何专门的解释机制； （5）避免了准虚拟化和系统调用替换中的复杂性； （6）轻量级隔离，在隔离的同时还提供共享机制，以实现容器与宿主机的资源共享。 总结：Linux Container是一种轻量级的虚拟化的手段。 Linux Container提供了在单一可控主机节点上支持多个相互隔离的server container同时执行的机制。Linux Container有点像chroot，提供了一个拥有自己进程和网络空间的虚拟环境，但又有别于虚拟机，因为lxc是一种操作系统层次上的资源的虚拟化。 2、LXC与docker什么关系？

harbor Harbor 是一个CNCF基金会托管的开源的可信的云原生docker registry项目，可以用于存储、签名、扫描镜像内容，Harbor 通过添加一些常用的功能如安全性、身份权限管理等来扩展 docker registry 项目，此外还支持在 registry 之间复制镜像，还提供更加高级的安全功能，如用户管理、访问控制和活动审计等，在新版本中还添加了Helm仓库托管的支持。 Harbor最核心的功能就是给 docker registry 添加上一层权限保护的功能，要实现这个功能，就需要我们在使用 docker login、pull、push 等命令的时候进行拦截，先进行一些权限相关的校验，再进行操作，其实这一系列的操作 docker registry v2 就已经为我们提供了支持，v2 集成了一个安全认证的功能，将安全认证暴露给外部服务，让外部服务去实现。 环境准备 linux 3.10.0-957.5.1.el7.x86_64 centos 7.6.1810 配置 2c2g500g 安装 docker 安装 docker 为centos用户提供了三种安装方式，我们选择第一种，也是官网推荐的安装方式 移除旧的docker 依赖 sudo yum remove docker \ docker-client \ docker-client-latest \

Docker入门 docker与虚拟机的比较 1、安装前提条件： 目前，CentOS 仅发行版本中的内核支持 Docker。 Docker 运行在 CentOS 7 上，要求系统为64位、系统内核版本为 3.10 以上。 Docker 运行在 CentOS-6.5 或更高的版本的 CentOS 上，要求系统为64位、系统内核版本为 2.6.32-431 或者更高版本。 从 2017 年 3 月开始 docker 在原来的基础上分为两个分支版本: Docker CE 和 Docker EE。 Docker CE 即社区免费版，Docker EE 即企业版，强调安全，但需付费使用。 查Linux基本信息 uname -r cat /etc/redhat-release 删除旧版 yum remove docker \ docker-client \ docker-client-latest \ docker-common \ docker-latest \ docker-latest-logrotate \ docker-logrotate \ docker-selinux \ docker-engine-selinux \ docker-engine 安装必要工具 yum install -y yum-utils device-mapper-persistent-data lvm2