docker run --cap-drop --cap-add (增减容器的能力)
seccomp(限制进程使用的系统调用)
–privileged (给的权限太大)
ip是linux下强力的网络配置工具,
ip netns add/delete/list/exec
docker build (需要指定一个上下文,上下文可以是文件系统某位置或网络地址或输入流等,上下文含Dockerfile) 构建镜像 FROM指定初始镜像
ENV 为镜像创建出来的容器声明环境变量,其他指令可使用$或${}
COPY 将上下文内的文件或目录拷贝至镜像内
ADD 类似COPY,但是src可支持网络地址或归档文件
RUN 创建容器执行命令提交为镜像
CMD 指定容器启动时的默认指令或默认参数,多CMD则最后一条才生效,低于docker run
ENTRYPOINT 指定容器启动时的默认指令,高于docker run