Docker CE 学习笔记2 : Docker 安装后的步骤

最新推荐文章于 2024-06-19 14:55:58 发布

秋风小凉鱼

最新推荐文章于 2024-06-19 14:55:58 发布

阅读量386

点赞数 1

分类专栏： Docker学习笔记

本文为博主原创文章，未经博主允许不得转载。

本文链接：https://blog.csdn.net/yulei_qq/article/details/89026996

版权

Docker学习笔记专栏收录该内容

19 篇文章 7 订阅

订阅专栏

1、以非 root 用户管理 Docker

2、配置Docker 在系统启动时运行

3、使用不同的存储引擎

4、配置Docker守护进程侦听连接的位置

4.1 配置远程访问使用systemd单元文件

参考：https://docs.docker.com/install/linux/linux-postinstall/

本节包含可选的过程，用于配置Linux主机以更好地使用Docker。

1、以非 root 用户管理 Docker

Docker守护进程绑定到Unix套接字而不是TCP端口。默认情况下，Unix套接字root 用户拥有，其他用户只能使用sudo访问它。Docker守护进程始终作为根用户运行。

如果不想用sudo作为docker命令的序言，可以创建一个名为docker的Unix组并将用户添加到其中。当Docker守护进程启动时，它创建一个可由Docker组成员访问的Unix套接字。

注意：docker组授予等同于root用户的特权。有关这如何影响系统安全性的详细信息，请参见 Docker Daemon Attack Surface..

创建一个docker 用户组，并添加到你的用户当中.

 groupadd docker
 usermod -aG docker yulei

注销并重新登录，以便重新评估您的组成员资格。如果在虚拟机上进行测试，可能需要重启虚拟机以使更改生效。在桌面Linux环境(如X Windows)上，完全退出会话，然后重新登录。

验证您可以在没有sudo的情况下运行docker命令，这个命令下载一个测试映像并在容器中运行它。当容器运行时，它打印一条信息消息并退出。

[yulei@namenode1 ~]$ docker run hello-world

Hello from Docker!
This message shows that your installation appears to be working correctly.

To generate this message, Docker took the following steps:
 1. The Docker client contacted the Docker daemon.
 2. The Docker daemon pulled the "hello-world" image from the Docker Hub.
    (amd64)
 3. The Docker daemon created a new container from that image which runs the
    executable that produces the output you are currently reading.
 4. The Docker daemon streamed that output to the Docker client, which sent it
    to your terminal.

To try something more ambitious, you can run an Ubuntu container with:
 $ docker run -it ubuntu bash

Share images, automate workflows, and more with a free Docker ID:
 https://hub.docker.com/

For more examples and ideas, visit:
 https://docs.docker.com/get-started/

2、配置Docker 在系统启动时运行

$ sudo systemctl enable docker

3、使用不同的存储引擎

有关不同存储引擎的信息，请参见Storage drivers。默认存储引擎和受支持的存储引擎列表取决于主机的Linux发行版和可用的内核驱动程序。

4、配置Docker守护进程侦听连接的位置

默认情况下，Docker守护进程侦听UNIX套接字上的连接，以接受来自本地客户机的请求。通过将Docker配置为监听IP地址和端口以及UNIX套接字，可以允许Docker接受来自远程主机的请求。有关此配置选项的更详细信息，请参阅Docker CLI Reference文章的 “将Docker绑定到另一个主机/端口或unix套接字”部分。

Docker EE customers

Docker EE客户可以通过UCP客户机包获得对UCP的远程CLI访问。UCP客户端包由UCP生成，并由相互的TLS保护。有关更多信息，请参阅关于UCP的CLI access的文档。

Secure your connection

在配置Docker以接受来自远程主机的连接之前，理解将Docker打开到网络的安全含义是至关重要的。如果不采取步骤保护连接，则远程非根用户可能获得主机上的根访问权。有关如何使用TLS证书来保护此连接的更多信息，请参阅本文中关于如何保护Docker守护进程套接字的内容。

可以使用Docker配置Docker来接受远程连接。docker.service 系统单元文件，用于使用systemd的Linux发行版，例如RedHat、 CentOS、Ubuntu和SLES的最新版本，或者使用daemon.json 文件，推荐用于不使用systemd的Linux发行版。

systemd vs daemon.json

同时使用systemd 单元文件和daemon.json 文件配置Docker 监听连接会引起一个冲突来阻止Docker 启动.

4.1 配置远程访问使用`systemd单元文件`

Use the command sudo systemctl edit docker.service to open an override file for docker.service in a text editor.

Add or modify the following lines, substituting your own values.

[Service]
ExecStart=
ExecStart=/usr/bin/dockerd -H fd:// -H tcp://127.0.0.1:2375

Save the file.
Reload the systemctl configuration.
```
 $ sudo systemctl daemon-reload
```

Restart Docker.

$ sudo systemctl restart docker.service

Check to see whether the change was honored by reviewing the output of netstat to confirm dockerd is listening on the configured port.
```
$ sudo netstat -lntp | grep dockerd
tcp        0      0 127.0.0.1:2375          0.0.0.0:*               LISTEN      3758/dockerd
```