本篇內(nèi)容主要講解“docker怎么從鏡像創(chuàng)建容器”，感興趣的朋友不妨來看看。本文介紹的方法操作簡(jiǎn)單快捷，實(shí)用性強(qiáng)。下面就讓小編來帶大家學(xué)習(xí)“docker怎么從鏡像創(chuàng)建容器”吧!

我們提供的服務(wù)有：網(wǎng)站制作、成都網(wǎng)站建設(shè)、微信公眾號(hào)開發(fā)、網(wǎng)站優(yōu)化、網(wǎng)站認(rèn)證、東西湖ssl等。為近1000家企事業(yè)單位解決了網(wǎng)站和推廣的問題。提供周到的售前咨詢和貼心的售后服務(wù)，是有科學(xué)管理、有技術(shù)的東西湖網(wǎng)站制作公司

Image 鏡像文件，對(duì)比PC端的概念，我們可以把它理解為服務(wù)器端的可執(zhí)行軟件包。Dockerfile 用于創(chuàng)建image鏡像的模板文件，出于管理和安全的考慮，docker官方建議所有的鏡像文件應(yīng)該由dockerfile來創(chuàng)建。

docker容器的生命周期，就是一個(gè)鏡像文件從產(chǎn)生、運(yùn)行到停止的過程?？蓪ocker生命周期拆為兩個(gè)大階段，非生產(chǎn)環(huán)境階段和生產(chǎn)環(huán)境階段，非生產(chǎn)環(huán)境中保證鏡像安全可信，生產(chǎn)環(huán)境中保證鏡像正確的運(yùn)行。保證非生產(chǎn)環(huán)境中的鏡像安全應(yīng)遵循以下方面：

容器使用非root用戶運(yùn)行

為了防止容器逃逸而獲得宿主機(jī)的權(quán)限，容器內(nèi)應(yīng)用以非root用戶身份運(yùn)行，如果用戶已經(jīng)在容器鏡像中定義，則默認(rèn)情況下容器將作為該用戶運(yùn)行，且不需要特定的用戶命名空間重新映射?？梢栽贒ockerfile中添加用戶：

RUN useradd -d / home /username -m -s / bin / bash username USER username

使用安全的基礎(chǔ)鏡像

如果基礎(chǔ)鏡像存在安全問題，那整個(gè)鏡像文件的安全性也無從談起，用戶可根據(jù)自身需求定制基礎(chǔ)鏡像，并強(qiáng)制要求組織內(nèi)使用認(rèn)可的基礎(chǔ)鏡像；也可使用第三方安全的鏡像，這里推薦使用Alpine-linux，docker所有的官方鏡像都使用其作為基礎(chǔ)鏡像，docker也會(huì)對(duì)其維護(hù)更新，所以安全性有保證。

刪除鏡像中的setuid和setgid權(quán)限

setuid和setgid權(quán)限可用于提權(quán)。雖然有時(shí)候必須要使用到，但如果被濫用，可能會(huì)導(dǎo)致非法的提升權(quán)限。可以在鏡像中限制這些權(quán)限的使用。具體做法可參考：在構(gòu)建鏡像時(shí)通過在Dockerfile中添加以下命令來刪除這些權(quán)限，一般在Dockerfile的末尾添加：RUN find / -perm +6000-type f-exec chmod a-s {} \;|| true

啟用Docker的內(nèi)容信任

內(nèi)容信任允許當(dāng)用戶使用遠(yuǎn)程Docker倉庫進(jìn)行操作時(shí)，以執(zhí)行鏡像標(biāo)記的客戶端簽名和驗(yàn)證。內(nèi)容信任提供了對(duì)從Docker倉庫發(fā)送和接收的數(shù)據(jù)使用數(shù)字簽名的能力。這些簽名允許客戶端驗(yàn)證特定鏡像標(biāo)簽的完整性。

對(duì)鏡像進(jìn)行安全漏洞掃描

鏡像中包含了很多的插件及軟件包，需要對(duì)這些軟件包進(jìn)行漏洞掃描，并根據(jù)結(jié)果安裝補(bǔ)丁或更新軟件，Coreos提供了一款開源docker鏡像安全掃描器-Clair，Clair可對(duì)鏡像文件進(jìn)行靜態(tài)的安全掃描，并結(jié)合CVE給出漏洞掃描結(jié)果。

到此，相信大家對(duì)“docker怎么從鏡像創(chuàng)建容器”有了更深的了解，不妨來實(shí)際操作一番吧！這里是創(chuàng)新互聯(lián)網(wǎng)站，更多相關(guān)內(nèi)容可以進(jìn)入相關(guān)頻道進(jìn)行查詢，關(guān)注我們，繼續(xù)學(xué)習(xí)！