应用场景: web应用自动打包和发布 自动化测试,持续集成、发布 在服务环境中部署后台应用 搭建paaS平台 安装应用
apt install docker.io#kali中
配置docker源,文件位置/etc/docker/daemon.json
{ "registry-mirrors": [ "https://6gyvb665.mirror.aliyuncs.com" ] } 配置阿里云源
优点: docker使用:
docker [options] command
docker (客户端) run(子命令) (镜像名称) 镜像地址: https://registry.hub.docker.com/
docker images
REPOSITORY 镜像名称
Tag 镜像版本,若 run 的时候不带版本,则会拉取最新 lastest
image id 镜像截取后的唯一 id
created 镜像创建时间,指仓库中创建的时间
size 大小
容器和镜像
docker 本质为在容器中使用镜像
容器
本质上容器为操作系统上的一个进程,但加入了对资源的限制
镜像
容器中的文件系统
容器和镜像可互相转换
docker run 镜像 ----- 》容器
docker commit 容器 ----------- 》镜像
入门命令
例
第一个 docker 容器
docker run hello-world# 运行第一个容器
此时未先下载镜像, docker 会自动拉取容器同名的镜像并直接运行
docker info
展示 docker 基本信息
docker inspect 容器名 /id
查看容器详细信息
docker search 查找镜像
若要拉取某个镜像,先查询其是否在库内
docker pull 下在镜像(拉取镜像)
docker pull 镜像名
停止运行中的容器: docker stop 容器 id/ 名字
注: docker 支持自身命令嵌套
docker stop asdfa 关闭容器名为 asdfa 的容器
docker ps -q 列出所有容器 id
docker stop $(docker ps -q) 关闭所有容器
docker rm $(docker ps -aq) 删除所有未在运行的容器
容器启动 / 重启
docker start/restart asdfa
删除容器 docker rm 容器 id/ 容器名称
docker rm $(docker ps -aq)
注 : 无法删除正在运行的容器
删除镜像 docker rmi 镜像 id/ 镜像名称
删除镜像
docker rmi 镜像 id
删除失败大概率由于容器占用镜像资源,此时删除占用的容器即可
删除容器
docker rm 容器 id
但部分已经终止或者失效的容器无法直接通过 ps 命令查看
可通过 docker ps -a 查看所有的容器(无论运行与否)
运行含 shell 终端的容器
docker run -it centos /bin/bash
-i : 交互模式
-t : 关联到容器的 stdin 和 stdout
centos 要运行的镜像
/bin/bash 启动镜像时运行的命令
exit 退出容器
后台一直运行
docker run -d centos /bin/bash -c "while true;do echo hello;sleep 1;done"
docker ps 查看容器状态
docker exec 进入容器
docker exec -it def162c0e605 /bin/bash
def162c0e605 指定的是容器 id (需要填你自己的!!!!!!)
注:每一次 run 都会创建一个新的容器
总结:
docker search 搜索
docker pull 拉取
docker run 运行 , -d -i -t -p -v
docker images 列出镜像
docker ps 查看容器
docker rm 删除容器
docker rmi 删除镜像
docker inspect 容器详情
docker info 系统环境
docker exec 执行容器命令
docker stop/start/restart/ 开关容器
docker logs 查看容器日志
防火墙 iptables
概念:
逻辑区分主机类、网络类
主机防火墙:针对单个主机进行防护
网络防火墙:一般位于网络边界
网络和主机并不冲突,暂时理解为,网络防火墙阻断 / 允许互联网,而主机防火墙阻断 / 允许内网;
物理区分为硬件、软件
硬件防火墙:是个设备,
软件防火墙:应用软件处理逻辑运行
iptables--- 包过滤防火墙
iptables 仅是一个命令行工具,而真正生效的是 netfiler 安全框架
iptables 需设置规则才能生效 匹配条件
基本条件:
源地址 source ip 、目的地址 des ip
源端口 s port 、 目的端口 destination port
处理行为
accept :允许数据包通过
drop :丢包,不给回应
reject :拒绝,给回应,服务端收到数据包,给客户端发送一个数据,告诉他不收了
snat :源地址转换,解决内网用户用户同一个公网上网的问题
dnat :目的地址装欢
redirect: 在本机做端口映射
log :日志信息
-A 在指定末尾加规则
-D 指定删除链中的某条规则
-I 在指定链插入一条新的规则,默认开头
-R 在指定链修改一条新的规则
-F 清空
-p 协议类型 ( TCP\UDP\ICMP\ALL )
-j 处理行为(同上)
-m state : 启用状态匹配
--state 状态选择
-i 指定入站网卡
-o 指定出站网卡
例 :
1 、禁止其他主机 ping 本机
iptables -I INPUT -p icmp -j REJECT
2 、禁止本机 ping 其他主机
iptables -I OUTPUT -p icmp -j REJECT
3 、禁止其他主机 ssh 远程本机
iptables -I INPUT -i eth0 -p tcp --dport ssh -m state --state ESTABLISHED -j
REJECT
4 、禁止本机 ssh 远程其他主机
iptables -I OUTPUT -o eth0 -p tcp --dport ssh -m state --state ESTABLISHED -j
ACCEPT
5 、禁止主机 192.168.226.166 向本机发送的任何数据
iptables -A INPUT -i eth0 -s 192.168.226.166 -j REJECT‘
6 、清除所有规则
iptables -F