长期支持版本

    社区创新版本

      容器引擎

      Docker daemon是一个常驻后台的系统进程,docker 子命令执行前先要启动docker daemon。

        

      如果是通过rpm包或者系统包管理工具安装的,就可以使用systemctl start docker来启动docker daemon。

      docker命令支持多个参数选项,对于参数选项有以下约定:

      1. 单个字符的选项可以合并在一起,如:

        docker run -t -i busybox /bin/sh
        

        可以写成

        docker run -ti busybox /bin/sh
        
      2. 在命令帮助中看到的如--icc=true之类的bool命令选项,如果没有使用这个选项,则这个标志位的值就是在命令帮助中看到的默认值,如果使用了这个选项则这个标志位的值就是命令帮助中看的值的相反值,如果启动docker daemon没有加上使用--icc选项,则默认设置了--icc=true,如果使用了--icc选项则表示是--icc=false。

      3. 在命令帮助中看到的--attach=[]之类的选项,表示这类的选项可以多次设置,如:

        docker run --attach=stdin --attach=stdout -i -t busybox /bin/sh
        
      4. 在命令帮助中看到的-a, --attach=[]之类的选项,表示这种选项既可以用-a value指定也可以用--attach=value指定。如:

        docker run -a stdin --attach=stdout -i -t busybox /bin/sh
        
      5. --name=””之类的选项需要的是一个字符串,只能指定一次,-c=0之类的选项需要的是一个整数,只能指定一次。

      表 1 docker daemon启动时指定参数详解

      参数名称

      说明

      --api-cors-header

      开放远程API调用的 CORS 头信息。这个接口开关对想进行二次开发的上层应用提供了支持。为remote API设置CORS头信息。

      --authorization-plugin=[]

      指定认证插件。

      -b, --bridge=""

      挂载已经存在的网桥设备到 Docker 容器里。注意,使用 none 可以停用容器里的网络。

      --bip=""

      使用 CIDR 地址来设定自动创建的网桥的 IP。注意,此参数和 -b 不能一起使用。

      --cgroup-parent

      为所有容器设定cgroup父目录。

      --config-file=/etc/docker/daemon.json

      启动docker daemon的配置文件。

      --containerd

      指定containerd的socket路径。

      -D, --debug=false

      开启Debug模式。

      --default-gateway

      容器IPv4地址的默认网关。

      --default-gateway-v6

      容器IPv6地址的默认网关。

      --default-ulimit=[]

      容器的默认ulimit值。

      --disable-legacy-registry

      不允许使用原版registry。

      --dns=[]

      强制容器使用DNS服务器。

      例如: --dns 8.8.x.x

      --dns-opt=[]

      指定使用DNS的选项。

      --dns-search=[]

      强制容器使用指定的DNS搜索域名。

      例如: --dns-search example.com

      --exec-opt=[]

      设置运行时执行选项。

      例如支持native.umask选项:

      # 启动的容器umask值为0022 --exec-opt native.umask=normal # 启动的容器umask值为0027(默认值)--exec-opt  native.umask=secure

      注意如果docker create/run也配置了native.umask参数则以docker create/run中的配置为准。

      --exec-root=/var/run/docker

      指定执行状态文件存放的根目录。

      --fixed-cidr=""

      设定子网固定IP(ex: 10.20.0.0/16),这个子网IP必须属于网桥内的。

      --fixed-cidr-v6

      同上,使用与IPv6。

      -G, --group="docker"

      在后台运行模式下,赋予指定的Group到相应的unix socket上。注意,当此参数 --group 赋予空字符串时,将去除组信息。

      -g, --graph="/var/lib/docker"

      配置Docker运行时根目录。

      -H, --host=[]

      在后台模式下指定socket绑定,可以绑定一个或多个 tcp://host:port, unix:///path/to/socket, fd://* 或 fd://socketfd。例如:

      $ dockerd -H tcp://0.0.0.0:2375

      或者

      $ export DOCKER_HOST="tcp://0.0.0.0:2375"

      --insecure-registry=[]

      指定非安全连接的仓库,docker默认所有的连接都是TLS证书来保证安全的,如果仓库不支持https连接或者证书是docker daemon不清楚的证书颁发机构颁发的,则启动daemon的时候要指定如--insecure-registry=192.168.1.110:5000,使用私有仓库都要指定。

      --image-layer-check=true

      开启镜像层完整性检查功能,设置为true;关闭该功能,设置为false。如果没有该参数,默认为关闭。

      docker启动时会检查镜像层的完整性,如果镜像层被破坏,则相关的镜像不可用。docker进行镜像完整性校验时,无法校验内容为空的文件和目录,以及链接文件。因此若镜像因掉电导致上述类型文件丢失,docker的镜像数据完整性校验可能无法识别。docker版本变更时需要检查是否支持该参数,如果不支持,需要从配置文件中删除。

      --icc=true

      启用容器间的通信。

      --ip="0.0.0.0"

      容器绑定端口时使用的默认IP地址。

      --ip-forward=true

      启动容器的 net.ipv4.ip_forward。

      --ip-masq=true

      使能IP伪装。

      --iptables=true

      启动Docker容器自定义的iptable规则。

      -l, --log-level=info

      设置日志级别。

      --label=[]

      设置daemon标签,以key=value形式设置。

      --log-driver=json-file

      设置容器日志的默认日志驱动。

      --log-opt=map[]

      设置日志驱动参数。

      --mtu=0

      设置容器网络的MTU值,如果没有这个参数,选用默认 route MTU,如果没有默认route,就设置成常量值 1500。

      -p, --pidfile="/var/run/docker.pid"

      后台进程PID文件路径。

      --raw-logs

      带有全部时间戳并不带ANSI颜色方案的日志。

      --registry-mirror=[]

      指定dockerd优先使用的镜像仓库。

      -s, --storage-driver=""

      强制容器运行时使用指定的存储驱动。

      --selinux-enabled=false

      启用selinux支持,3.10.0-862.14及以上内核版本不支持--selinux-enabled=true。

      --storage-opt=[]

      配置存储驱动的参数,存储驱动为devicemapper的时候有效(e.g. dockerd --storage-opt dm.blocksize=512K)。

      --tls=false

      启动TLS认证开关。

      --tlscacert="/root/.docker/ca.pem"

      通过CA认证过的certificate文件路径。

      --tlscert="/root/.docker/cert.pem"

      TLS的certificate文件路径。

      --tlskey="/root/.docker/key.pem"

      TLS的key文件路径。

      --tlsverify=false

      使用TLS并做后台进程与客户端通讯的验证。

      --insecure-skip-verify-enforce

      是否强制跳过证书的主机名/域名验证,默认为false(不跳过)。

      --use-decrypted-key=true

      指定使用解密私钥。

      --userland-proxy=true

      容器LO设备使用userland proxy。

      --userns-remap

      容器内使用user命名空间的用户映射表。

      说明:

      当前版本不支持该参数。

      文档捉虫

      “有虫”文档片段

      问题描述

      提交类型 issue

      有点复杂...

      找人问问吧。

      PR

      小问题,全程线上修改...

      一键搞定!

      问题类型
      规范和低错类

      ● 错别字或拼写错误;标点符号使用错误;

      ● 链接错误、空单元格、格式错误;

      ● 英文中包含中文字符;

      ● 界面和描述不一致,但不影响操作;

      ● 表述不通顺,但不影响理解;

      ● 版本号不匹配:如软件包名称、界面版本号;

      易用性

      ● 关键步骤错误或缺失,无法指导用户完成任务;

      ● 缺少必要的前提条件、注意事项等;

      ● 图形、表格、文字等晦涩难懂;

      ● 逻辑不清晰,该分类、分项、分步骤的没有给出;

      正确性

      ● 技术原理、功能、规格等描述和软件不一致,存在错误;

      ● 原理图、架构图等存在错误;

      ● 命令、命令参数等错误;

      ● 代码片段错误;

      ● 命令无法完成对应功能;

      ● 界面错误,无法指导操作;

      风险提示

      ● 对重要数据或系统存在风险的操作,缺少安全提示;

      内容合规

      ● 违反法律法规,涉及政治、领土主权等敏感词;

      ● 内容侵权;

      您对文档的总体满意度

      非常不满意
      非常满意
      提交
      根据您的反馈,会自动生成issue模板。您只需点击按钮,创建issue即可。
      文档捉虫
      编组 3备份