Wenn Sie ein erfahrener Systemadministrator sind, haben Sie möglicherweise von “Docker” gehört und wissen bereits, was es ist. Für diejenigen, die es noch nicht wissen, ist Docker eine Open-Source-Technologie, mit der Anwendungen in isolierten Containern ausgeführt werden können.
Was ist ein Docker Parameter?
Ein Docker Parameter ist ein Wert, der an ein Docker Kommando übergeben wird. Dieser Wert kann entweder in der form einer Umgebungsvariablen oder direkt im Kommando selbst angegeben werden.
Die verschiedenen Typen von Docker-Parametern
Die docker run-Befehl hat viele verschiedene Optionen und Parameter, die Sie anpassen können, um Ihren Bedürfnissen gerecht zu werden. In diesem Artikel werden wir uns auf die verschiedenen Typen von Docker-Parametern konzentrieren.
Es gibt vier Haupttypen von Docker-Parametern: Umgebungsvariablen, Einzelkommandos, Kombinationen von Befehlen und Dateien. Jeder Typ hat seine eigenen Vor- und Nachteile, die es zu berücksichtigen gilt.
Umgebungsvariablen sind einfach zu verwenden und ermöglichen es Ihnen, bestimmte Teile Ihrer Umgebung anzupassen, ohne dass Sie Ihren Code ändern müssen. Sie sind jedoch nur in der Lage, einfache Datentypen zu speichern, was bedeutet, dass sie für komplexere Anwendungskonfigurationen nicht geeignet sind.
Einzelkommandos ermöglichen es Ihnen, einfach einen Befehl auszuführen, ohne dass Sie eine Datei erstellen müssen. Dies kann nützlich sein, wenn Sie nur eine bestimmte Aktion ausführen möchten, ohne eine vollständige Anwendung zu erstellen. Einzelkommandos sind jedoch nicht skalierbar und können daher für größere Anwendungen ungeeignet sein.
Kombinationen von Befehlen ermöglichen es Ihnen, mehrere Befehle in einer Datei zu speichern und diese dann auszuführen. Dies ist nützlich, wenn Sie mehrere Aktionen ausführen möchten, ohne jedes Mal den Code ändern zu müssen. Kombinationen von Befehlen sind jedoch oft unübersichtlich und schwer zu debuggen.
Dateien sind die flexibelste Methode, um Ihren Code zu speichern und auszuführen. Dateien können einfach erstellt und geändert werden, was bedeutet, dass sie für alle Arten von Anwendungen geeignet sind. Allerdings sind Dateien oft unübersichtlich und schwer zu debuggen.
Die besten Docker Parameters
Die besten Docker-Parameter
Wenn Sie Docker verwenden, können Sie eine Vielzahl von Optionen angeben, um das Verhalten des Containers zu steuern. In diesem Artikel werden die besten und am häufigsten verwendeten Docker-Parameter erläutert.
–name: Dieser Parameter gibt dem Container einen Namen. Wenn Sie keinen Namen angeben, wird ein zufälliger Name generiert. Der Name sollte eindeutig sein, damit Sie den Container leicht identifizieren können.
–detach / -d: Mit diesem Parameter wird der Container im Hintergrund ausgeführt. Standardmäßig wird der Container im Vordergrund ausgeführt und die Befehlszeile bleibt blockiert, bis der Container beendet wird oder mit Strg + C abgebrochen wird. Wenn Sie den Container im Hintergrund ausführen möchten, sollten Sie den Parameter –detach angeben.
–publish / -p: Dieser Parameter legt eine Verbindung zwischen einem Containerport und einem Hostport her. Wenn Sie keine Verbindung herstellen, können Sie den Port des Containers nicht von außen erreichen. Wenn Sie mehrere Ports veröffentlichen möchten, können Sie den Parameter –publish mehrfach angeben.
–interactive / -i: Dieser Parameter sorgt dafür, dass der Container im Vordergrund ausgeführt wird und die Befehlszeile nicht blockiert wird, bis der Container beendet wird oder mit Strg + C abgebrochen wird.
–tty / -t: Dieser Parameter simuliert ein Terminal im Container. Wenn Sie diesen Parameter angeben, können Sie in den Container eingeben und Befehle ausführen. Wenn dieser Parameter nicht angeben war, ist es nicht möglich, in den Container einzugeben oder Befehle auszuführen.
–rm: Dieser Parameter löscht den Container, nachdem er beendet wurde. Wenn Sie diesen Parameter nicht angeben, bleibt der Container erhalten und kann später wiederhergestellt werden.
–volume / -v: Dieser Parameter erstellt ein Verbindung zwischen einem Hostordner und einem Containerordner. Wenn Sie eine Verbindung herstellen, können Sie Dateien aus dem Hostordner in den Container kopieren und vice versa.
–workdir / -w: Dieser Parameter legt das Arbeitsverzeichnis im Container fest. Standardmäßig wird das Arbeitsverzeichnis auf / root gesetzt.
–user / -u: Dieser Parameter legt den Benutzer im Container fest. Standardmäßig wird der Benutzer root verwendet.
Dies sind nur einige der vielen verfügbaren Docker-Parameter. Weitere Informationen finden Sie in der Docker-Dokumentation.
–restart: Dieser Parameter legt fest, wie Docker einen Container neu starten soll, falls er beendet wird oder abstürzt. Es gibt verschiedene Optionen für diesen Parameter: no, on-failure, always und unless-stopped. Die Standardeinstellung ist “no”, was bedeutet, dass der Container nicht neu gestartet wird. Wenn Sie “on-failure” angeben, wird der Container neu gestartet, falls er mit einem Fehler beendet wird (z.B. wegen eines Absturzes). “Always” bedeutet, dass der Container immer neu gestartet wird – selbst wenn er sauber beendet wurde. “Unless-stopped” ist ähnlich zu “always”, aber hier bleibt der Container nicht unbeaufsichtigt laufen; Sobald Sie den Befehl “docker stop” ausführen, um den Container anzuhalten, wird er nicht mehr neu gestartet.
–hostname: Wie der Name schon sagt, legt dieser Parameter den Hostnamen des Containers fest. Der Standardwert ist der Name des Containers oder ein zufälliger Name, falls kein –name angegeben wurde.
–interactive oder -i: Mit diesem Parameter können Sie sich in einen laufenden Container einloggen und mit ihm interagieren. Zum Beispiel können Sie ein Terminal im Container starten und Befehle ausführen. Wenn Sie diesen Parameter nicht angeben, können Sie sich nicht in den Container einloggen und mit ihm interagieren.
–volume oder -v: Dieser Parameter erstellt eine Verbindung zwischen einem Hostordner und einem Containerordner. Wenn Sie eine Verbindung herstellen, können Sie Dateien aus dem Hostordner in den Container kopieren und vice versa.
Vorteile und Nachteile eines Docker-Parameters
Der wohl wichtigste Vorteil eines Docker-Parameters ist, dass er die Flexibilität und Anpassungsfähigkeit einer Anwendung erhöht. So können zum Beispiel spezifische Umgebungsvariablen an eine bestimmte Anwendung übergeben werden. Auch der Zugriff auf Host-Systemressourcen kann über den Parameter gesteuert werden.
Ein weiterer Vorteil ist, dass mithilfe von Docker-Parametern auch bestimmte Sicherheitsfunktionen an eine Anwendung gebunden werden können. So kann zum Beispiel sichergestellt werden, dass nur autorisierte Nutzer auf eine Anwendung zugreifen können.
Ein Nachteil von Docker-Parametern ist, dass sie in der Regel nur für Entwickler und Systemadministratoren verfügbar sind. Für normale Anwender sind sie in der Regel nicht sichtbar oder verständlich. Daher kann es schwierig sein, eine Anwendung anzupassen, wenn man die Docker-Parameter nicht kennt.
Docker run reference
Die meisten Docker-Befehle beginnen mit dem Befehl “docker” gefolgt von einem Subbefehl. docker run ist ein typischer Subbefehl und wird verwendet, um einen neuen Container auszuführen.
Der Befehl “docker run” hat viele verschiedene Optionen und Parameter, die Sie angeben können, um den Container zu erstellen und zu konfigurieren, den Sie ausführen möchten. In diesem Artikel werden wir uns die besten Parameter für den Befehl “docker run” ansehen.
Operator exclusive options
Die meisten Operator-Optionen sind nicht exklusiv für Operatoren, sondern auch für andere Anwender verfügbar. Dennoch gibt es einige wenige Optionen, die ausschließlich für Operatoren bestimmt sind. Zu diesen gehören:
–log-level : Legt das Logging-Niveau fest. Nur Operatoren haben Zugriff auf diese Option, um das Logging für ihre Installation anzupassen.
–storage-opt : Ermöglicht es dem Operator, zusätzliche Speicheroptionen für seine Installation zu konfigurieren. Dies ist nützlich, wenn der Operator ein spezifisches Storage-Backend verwendet, das nicht von Docker unterstützt wird.
–format : Ermöglicht es dem Operator, das Format der Ausgabe von docker info anzupassen. Dies ist hilfreich, wenn der Operator die Informationen in einer bestimmten Form weiterverarbeiten möchte.
Detached vs foreground
Wenn Sie einen Container mit dem Befehl “docker run” ausführen, wird dieser immer im Vordergrund (foreground) ausgeführt. Das bedeutet, dass der Container die Konsole des Host-Systems beansprucht und Sie den Befehl nicht verlassen können, ohne den Container zu stoppen.
Wenn Sie einen Container im Hintergrund (detached) ausführen möchten, können Sie dies mit dem Parameter “-d” tun. Der Container wird dann in seinem eigenen Prozess ausgeführt und die Kontrolle über die Konsole zurück an den Host gegeben.
Container identification
Die Container-ID ist ein eindeutiger Identifikator für einen Docker-Container. Sie kann mit dem Befehl ‘docker ps’ angezeigt werden und ist in der Regel acht Zeichen lang. Die ersten drei Zeichen der Container-ID sind die ID des Images, das den Container erstellt hat.
UTS settings (–uts)
Der UTS-Modus gibt an, wie ein Container seine eigene Identität verwalten soll. In der Regel erhält jeder Container seine eigene UID und GID. Dieser Modus ist jedoch nicht immer sinnvoll, insbesondere dann nicht, wenn mehrere Container auf die gleiche Datenbank oder andere Ressourcen zugreifen müssen. In diesem Fall können Sie den UTS-Modus deaktivieren, sodass alle Containers die gleichen UID und GID haben.
IPC settings (–ipc)
Die IPC-Einstellung (–ipc) ermöglicht es, einen gemeinsamen Bereich für die Kommunikation zwischen Containern zu verwenden. Damit können zwei oder mehr Container auf die gleichen Dateien und Sockets zugreifen. Wenn Sie keine IPC-Einstellung angeben, wird Docker einen Standardbereich für die Kommunikation festlegen.
Network settings
In Docker gibt es einige nützliche Parameter, die man kennen sollte. Einer dieser Parameter ist –net. Dieser Parameter legt fest, wie das Netzwerk für eine bestimmte Anwendung konfiguriert wird.
–net=host – Diese Option ermöglicht es einem Container, direkt auf das Netzwerk des Hosts zuzugreifen. Somit hat der Container Zugriff auf alle Netzwerkdienste (DNS, HTTP, etc.), die vom Host bereitgestellt werden.
–net=bridge – Diese Option erstellt einen internen Netzwerkbrücken-Container, über den der angegebene Container mit anderen Containern und dem Host kommunizieren kann. Dies ist die Standardoption für –net.
–net=container: – Mit dieser Option kann ein Container mit einem anderen Container verbunden werden, der dieselbe Netzwerkoption verwendet. Beispielsweise könnte man zwei containers mit derselben –net=bridge Option verbinden, um sie miteinander zu verbinden.
–net=none – Diese Option deaktiviert das Netzwerk für einen Container. Ein Container, der diese Option verwendet, hat keinen Zugriff auf das Netzwerk und kann daher auch keine Netzwerkdienste nutzen.
Um zwei Containern die Möglichkeit zu geben, miteinander zu kommunizieren, kann man den Befehl docker network create verwenden:
$ docker network create my-network
Dieser Befehl erstellt ein neues Netzwerk mit dem Namen my-network. Um einen Container mit diesem Netzwerk zu verbinden, kann man den Befehl docker run mit der Option –net verwenden:
$ docker run –net=my-network …
Um einen Container zu entfernen, kann man den Befehl docker rm verwenden:
$ docker rm my-container
Dieser Befehl entfernt den Container my-container. Um ein Netzwerk zu entfernen, kann man den Befehl docker network rm verwenden:
$ docker network rm my-network
Dieser Befehl entfernt das Netzwerk mit dem Namen my-network.
Restart policies (–restart)
Die Restart-Politik von Docker gibt an, wie ein Container nach einem Fehler neu gestartet werden soll. Die Restart-Optionen sind:
–restart=no: Der Container wird nicht neu gestartet.
–restart=always: Der Container wird immer neu gestartet, auch wenn er sauber beendet wurde.
–restart=on-failure: Der Container wird neu gestartet, falls er mit einem Fehler beendet wurde.
–restart=unless-stopped: Der Container wird immer neu gestartet, außer er wurde mit dem Befehl docker stop manuell gestoppt.
Exit Status
Der Exit Status ist ein Wert, der von einem Befehl oder einer Funktion zurückgegeben wird, um anzuzeigen, ob der Befehl oder die Funktion erfolgreich ausgeführt wurde.
Wenn ein Befehl mit dem Exit Status 0 abgeschlossen wird, bedeutet dies normalerweise, dass der Befehl erfolgreich war. Ein anderer Exit Status bedeutet in der Regel, dass der Befehl fehlgeschlagen ist.
Exit Stati können auch verwendet werden, um bestimmte Fehlercodes zu generieren. Dies kann hilfreich sein, wenn Sie einen bestimmten Fehler finden und beheben möchten. Beispielsweise kann exit 1 verwendet werden, um einen „File not found“-Fehler anzuzeigen.
Clean up (–rm)
Die meisten Docker-Befehle nehmen einen oder mehrere Parameter an. Einer der wichtigsten ist “–rm”. Dieser Befehl sorgt dafür, dass alle temporären Objekte, die von Docker erstellt wurden, nach Beendigung des Befehls gelöscht werden. Dadurch wird sichergestellt, dass keine ungewollten Objekte in Ihrer Umgebung verbleiben.
Security configuration
Die Security-Konfiguration ist ein sehr wichtiger Aspekt bei der Arbeit mit Docker. In diesem Abschnitt werden einige der wichtigsten Parameter für die Sicherheit von Docker vorgestellt.
Zunächst einmal sollten Sie sich immer bewusst sein, dass Docker Containers zwar abgeschottet, aber nicht isoliert sind. Wenn also ein Angreifer in einen Container gelangt, kann er auf alle anderen Container und das Host-System zugreifen. Daher ist es sehr wichtig, dass Sie Ihre Container richtig konfigurieren und absichern.
Einer der wichtigsten Parameter für die Sicherheit von Docker ist “–cap-add”. Dieser Parameter erlaubt es Ihnen, bestimmte Kernel-Kapazitäten an den Container weiterzugeben. Dadurch können Sie den Zugriff auf bestimmte Funktionen des Host-Systems steuern und so die Sicherheit erhöhen. Beispielsweise können Sie mit “–cap-add=NET_RAW” sicherstellen, dass ein Container keine Netzwerkpakete sniffen kann.
Ein weiterer wichtiger Parameter ist “–security-opt”. Mit diesem Parameter können Sie den Zugriff auf bestimmte Funktionen des Host-Systems einschränken. Beispielsweise können Sie mit “–security-opt=apparmor:unconfined” sicherstellen, dass AppArmor nicht auf den Container angewendet wird. Dadurch erhalten Angreifer einen großen Vorteil, da sie nicht mehr von AppArmor eingeschränkt werden.
Ein weiterer sehr wichtiger Parameter ist der SELinux-Parameter “–label”. Dieser Parameter ermöglicht es Ihnen, den Zugriff auf bestimmte Funktionen des Host-Systems zu steuern. Beispielsweise können Sie mit “–label=type:
container_runtime_t” sicherstellen, dass Docker SELinux nicht auf den Container anwendet. Dadurch erhalten Angreifer einen großen Vorteil, da sie nicht mehr von SELinux eingeschränkt werden.
Der letzte wichtige Parameter ist “–privileged”. Dieser Parameter erlaubt es Ihnen, den Zugriff auf alle Funktionen des Host-Systems zu erhalten. Dies ist sehr gefährlich und sollte nur verwendet werden, wenn es absolut notwendig ist.
Das war’s schon für heute! Wir hoffen, dass Ihnen dieser Artikel geholfen hat, die Grundlagen von Docker zu verstehen.
Specify an init process
Der Docker Daemon akzeptiert einen spezifizierten Init-Prozess als Argument. Dieser Prozess wird als erster Prozess im Container ausgeführt. Wenn kein Init-Prozess angegeben ist, wird der Standard-Init-Prozess init verwendet.
Der spezifizierte Init-Prozess sollte sicherstellen, dass nur ein einzelner Prozess im Container ausgeführt wird. Wenn mehrere Prozesse ausgeführt werden, kann es zu unvorhersehbaren Fehlern kommen. Der spezifizierte Init-Prozess muss außerdem sicherstellen, dass der Container ordnungsgemäß heruntergefahren wird, wenn er beendet wird.
Specify custom cgroups
Wenn Sie einen angepassten Cgroup-Speicherlimits für Ihre Anwendung festlegen möchten, können Sie dies mit dem –cgroup-memory Flag tun. Zum Beispiel, wenn Sie die Grenze auf 512 MB setzen möchten:
–cgroup-memory=”512m”
How do I configure a custom DNS server for my containers?
If you have a custom DNS server, you can set this in your Application Specification File or the dcos marathon app add command. This example shows how to set a DNS server using the application specification file:
{ “id”: “/my-service”, “dns”: { “nameservers”: [ “10.0.0.1” ] } }
This example shows how to set a DNS server using the dcos marathon app add command:
$ dcos marathon app add { “id”: “/my-service”, “dns”: { “nameservers”: [ “10.0.0.1” ] } }
For more information about DNS, see DNS Settings in the Marathon documentation.
How do I configure a custom search domain for my containers?
If you have a custom search domain, you can set this in your Application Specification File or the dcos marathon app add command. This example shows how to set a search domain using the application specification file:
{ “id”: “/my-service”, “dns”: { “search”: [ “.example.com” ] } }
This example shows how to set a search domain using the dcos marathon app add command:$ dcos marathon app add { “id”: “/my-service”, “dns”: { “search”: [ “.example.com” ] } }
For more information about DNS, see DNS Settings in the Marathon documentation.
How do I configure a custom network for my containers?
If you have a custom network, you can set this in your Application Specification File or the dcos marathon app add command. This example shows how to set a network using the application specification file:
{ “id”: “/my-service”, “networks”: [ { “mode”: “container/bridge” } ] }
This example shows how to set a network using the dcos marathon app add command:
$ dcos marathon app add { “id”: “/my-service”, “networks”: [ { “mode”: “container/bridge” } ] }
For more information about networks, see Networks in the Marathon documentation.
Runtime constraints on resources
“Runtime constraints on resources” ist ein Docker-Parameter, der die Ressourcenverwaltung für einen laufenden Container regelt. Mit diesem Parameter können Sie die CPU-Auslastung, den Arbeitsspeicherbedarf und das Dateisystem für einen Container begrenzen.
User memory constraints
Die meisten Docker-Parameter sind für die Verwaltung des Hauptspeichers vorgesehen. Dieser wird in erster Linie für das Ausführen von Containern und Images verwendet. Außerdem gibt es einige weitere Parameter, die für die Netzwerkkonfiguration und andere Ressourcen verantwortlich sind.
Der Hauptspeicher von Docker ist sehr begrenzt. Wenn Sie also einen Container oder ein Image erstellen möchten, müssen Sie diese Parameter angeben. Andernfalls kann es zu Problemen mit der Leistung oder zu Fehlern beim Herunterladen von Images kommen.
Wenn Sie den Speicherplatz eines Containers vergrößern möchten, können Sie den folgenden Befehl ausführen:
docker run -it –memory=”4g” ubuntu /bin/bash
Dieser Befehl erstellt einen neuen Container mit 4 GB RAM. Wenn Sie mehr Speicher benötigen, können Sie den Wert entsprechend erhöhen.
Alternativ können Sie den folgenden Befehl ausführen, um ein Image mit mehr Speicher zu erstellen:
docker build –memory=”4g” -t my_image .
Dieser Befehl erstellt ein neues Image mit 4 GB RAM. Wenn Sie mehr Speicher benötigen, können Sie den Wert entsprechend erhöhen.
Kernel memory constraints
Die Kernel-Memory-Constraints sind ein wichtiger Parameter für Docker. Sie legen fest, wie viel Kernel-Memory ein Container verwenden darf. Wenn Sie den Wert dieses Parameters nicht angeben, wird der Standardwert verwendet.
Wenn Sie den Wert des Kernel-Memory-Parameters anpassen möchten, müssen Sie zuerst den aktuellen Wert ermitteln. Dies kann mit dem Befehl “docker info” erfolgen. Anschließend können Sie den gewünschten neuen Wert angeben.
Beachten Sie, dass die Änderung dieses Parameters die Neustart des Containers erfordern kann.
Swappiness constraint
Die Swappiness-Einstellung ist ein Wert zwischen 0 und 100, der die Häufigkeit bestimmt, mit der das system die Arbeitsspeicherinhalte in den Auslagerungsspeicher (Swap) schreibt. Ein hoher Swappiness-Wert bedeutet, dass häufiger ausgelagert wird und umgekehrt. Die Standardeinstellung ist 60. Für Datenbanken wird allgemein eine niedrigere Swappiness empfohlen, um sicherzustellen, dass der Arbeitsspeicher so lange wie möglich im Arbeitsspeicher bleibt.
CPU share constraint
Der CPU-Auslastungsanteil ist ein Konstrukt, das in den Linux-Kernel eingebaut ist und Docker verwendet, um sicherzustellen, dass ein Container nicht mehr als die angegebene Anzahl an Kernen verwendet. Dies ist wichtig für die Isolation zwischen Containern und dem Host sowie für die Zuverlässigkeit des gesamten Systems.
Cpuset constraint
Ein Cpuset-Constraint legt einen Beschränkung auf die Anzahl der CPUs, die ein Container verwenden kann. Dies ist nützlich, um sicherzustellen, dass ein Container keine anderen Containern auf dem Hostsystem beeinträchtigt.
CPU quota constraint
Der CPU-Quotenbeschränkung (cgroup_cpu_shares) ist ein Linux-Kernel-Feature, das es ermöglicht, die CPU-Auslastung zwischen verschiedenen Prozessen zu begrenzen. Dieser Parameter kann in Docker mit dem Befehl “–cpu-shares” angegeben werden.
Wenn Sie beispielsweise den Wert 512 angeben, wird der Container die doppelte CPU-Zeit erhalten als ein Container mit dem Wert 256. Die Angabe eines hohen Wertes bedeutet also nicht unbedingt, dass der Container mehr CPU-Zeit erhält, sondern nur relativ zu anderen Containern mit niedrigeren Werten.
Block IO bandwidth (Blkio) constraint
Die Block IO-Bandbreitenbeschränkung ist ein Werkzeug, mit dem Sie die Bandbreite des E/A-Durchsatzes für einen Container begrenzen können. Dies ist nützlich, um sicherzustellen, dass ein Container keine anderen Containern auf dem Host überlastet. Die Block IO-Bandbreite wird in Bytes pro Sekunde gemessen und kann für alle Geräte oder für ein spezifisches Gerät festgelegt werden.
–blkio-weight
Die blkio-Gewichtung gibt an, wie viel I/O-Bandbreite ein Container vom gesamten System erhält. Wenn Sie beispielsweise den Wert 100 angeben, erhält der Container die doppelte I/O-Bandbreite im Vergleich zu einem anderen Container mit dem Standardwert von 50. Dieser Parameter ist nützlich, wenn Sie sicherstellen möchten, dass ein bestimmter Container eine optimale Leistung erzielt.
Additional groups
Wenn Sie mehrere Dienste in einem einzigen Container ausführen möchten, können Sie zusätzliche Gruppen erstellen. Dies ist hilfreich, wenn Sie z.B. einen Webserver und einen Datenbankserver in einem einzigen Container ausführen möchten. Um eine zusätzliche Gruppe zu erstellen, fügen Sie den folgenden Befehl zum docker run Befehl hinzu: –group-add .
Runtime privilege and Linux capabilities
Der “runtime privilege” ist ein Linux-Kernfunktion, die es ermöglicht, bestimmte Berechtigungen während der Laufzeit zu ändern. Dies ist besonders nützlich, wenn eine Anwendung unterschiedliche Berechtigungen benötigt, um zu starten oder auszuführen.
Mit dem Befehl “sudo” kann man diese Funktion nutzen. Zum Beispiel: sudo chmod 777 /path/to/file. Dieser Befehl gibt allen Benutzern vollen Zugriff auf die angegebene Datei.
Es gibt jedoch einige Einschränkungen bezüglich der sudo-Funktion. Zum Beispiel können Benutzer keine Berechtigungen ändern, die sie nicht bereits besitzen. Dies ist eine Sicherheitsvorkehrung, um zu verhindern, dass Benutzer Berechtigungen übernehmen, die sie nicht haben sollten.
Ein weiterer Nachteil der sudo-Funktion ist, dass sie für jeden Befehl neu ausgeführt werden muss. Wenn ein Benutzer oft Befehle mit unterschiedlichen Berechtigungen ausführen muss, kann dies sehr lästig sein.
Linux Capabilities ist eine Erweiterung des Linux-Kernels, die es ermöglicht, bestimmte Berechtigungen an Programme und Anwendungen zu vergeben. Dies ermöglicht es Benutzern, Berechtigungen für ein Programm oder eine Anwendung festzulegen und diese Berechtigungen bei Bedarf zu ändern.
Linux Capabilities ist viel flexibler als die sudo-Funktion und ermöglicht es Benutzern, Berechtigungen für ein Programm oder eine Anwendung genau festzulegen. Zum Beispiel kann ein Benutzer mit Linux Capabilities die Berechtigungen so einstellen, dass ein Programm nur lesend auf Dateien zugreifen kann. Dies ist sehr nützlich, um sicherzustellen, dass ein Programm keine Änderungen an Dateien vornimmt, die es nicht sollte.
Linux Capabilities ist auch viel benutzerfreundlicher als die sudo-Funktion. Mit Linux Capabilities muss man nicht für jeden Befehl die Berechtigungen einstellen. Man kann einfach ein Programm oder eine Anwendung installieren und dann die Berechtigungen für dieses Programm oder diese Anwendung festlegen.
Logging drivers (–log-driver)
Wenn Sie ein Docker-Image bauen, können Sie angeben, welcher Logging-Driver verwendet werden soll. Der Standardlogging-Driver ist “json-file”. Es gibt jedoch eine Vielzahl anderer Optionen. Einige Beispiele sind syslog, journald und fluentd.
Sie können den Logging-Driver mit dem Parameter “–log-driver” angeben. Wenn Sie beispielsweise den Syslog-Logging-Driver verwenden möchten, können Sie dies folgendermaßen tun:
docker run –log-driver=syslog …
Dieser Parameter ist sehr nützlich, wenn Sie die Logs Ihrer Container in einem zentralisierten Logging-System speichern möchten.
Overriding Dockerfile image defaults
Wenn Sie ein neues Docker-Image erstellen, können Sie die Standardeinstellungen für dieses Image überschreiben. Dies ist hilfreich, wenn Sie bestimmte Einstellungen ändern möchten, ohne das gesamte Image neu zu erstellen. Zum Beispiel können Sie den Standardbenutzernamen für ein neues Image ändern, ohne das gesamte Image neu zu erstellen.
Um die Standardwerte für ein neues Docker-Image zu ändern, müssen Sie zunächst eine Datei namens “.dockerignore” in Ihrem Projektverzeichnis erstellen. In dieser Datei sollten Sie alle Verzeichnisse und Dateien angeben, die beim Erstellen des Images ignoriert werden sollen. Sobald Sie diese Datei erstellt haben, können Sie die folgenden Befehle ausführen, um Ihr Image zu erstellen:
docker build -t your_image_name .
Dieser Befehl erstellt ein neues Docker-Image mit dem Namen “your_image_name” und überschreibt alle standardmäßig definierten Werte.
Fazit
Die besten Docker-Parameter hängen stark von Ihren Bedürfnissen ab. In diesem Artikel haben wir einige der wichtigsten Parameter vorgestellt, die für die meisten Anwendungsfälle relevant sind. Natürlich gibt es noch viele weitere tolle Optionen, die nicht in diesem Artikel erwähnt wurden. Nehmen Sie sich Zeit, um alle Möglichkeiten zu erforschen und herauszufinden, welche für Sie am besten geeignet sind!
