![fd4c249f50cb6e251838a05f95e9d810.png](https://img-blog.csdnimg.cn/img_convert/fd4c249f50cb6e251838a05f95e9d810.png)
用docker有很久了,抽空来捣鼓和记录一下不是那么常用但是又值得了解的feature。
docker daemon
docker daemon是运行在你的操作系统上的一个服务。目前,它只能运行在Linux上,因为它依赖于一些Linux内核特性(比如Cgroup与Namespace)。 但是,也有一些特殊的办法让Docker运行在MacOS与Windows上(运行在Linux虚拟机中)。
在大多数基于Ubuntu活着Debian的系统上,docker初始化的脚本在/etc/init.d/docker下。同很多服务一样可以通过service来管理。
在root用户下
docker start/running, process 2851
#status
docker stop/waiting
#stop
docker start/running, process 3119
#start
配置文件位于/etc/default/docker,如果想配置daemon对TCP socket(/var/run/docker/sock)进行远程监听用来启动remote API的话,可以通过这个配置添加DOCKER_HOST使用tcp端口为2375的设置,然后restart。当然这种方法没有使用加密和身份验证机制,不应该在一台通过公网可以访问的主机上这样操作。
如果是systemd的系统,则需要通过docker.service.d来配置。
这里还提到一个工具:nsenter
从名字上看,nsenter就是namespace senter的简称,它的作用就是为了解决进入容器namespace的问题。实际上现在都是用docker exec的方法来操作。当然nsenter可以做的远不止如此。仍然是值得学习的。
runc
开放容器项目OCP有关于容器运行时的标准,这就是docker的libcontainer项目,运行时被称为runc。
想通过runc运行一个容器可以通过vagrant虚拟机,在虚拟机里面通过go来make一个可用的runc。我们先弄一个container出来
docker run --name foo -d ubuntu:latest sleep 30
docker export -o foo.tar foo
sudo -xf foo.tar
rm foo.tar
运行这个打包好的foo容器的时候可以通过runc spec来完成配置
远程访问daemon
前面提到通过DOCKER_HOST使用tcp之后,可以通过TCP来访问远程主机了
docker -H tcp://127.0.0.1:2375 images
当然更好的方法就是docker API了
如果不过更安全的方法访问daemon的话,那就是TLS的访问了。使用公共密钥加密来对docker client和TLS的daemon之间的通信进行加密。
步骤也不难实现,先不展开。