Linux | 100个Docker容器操作命令!

点击关注，更多精彩

100个Docker容器操作命令！

一

二

三

34. 拉取镜像：docker pull 镜像名称:标签

35. 查看本地镜像：docker images --filter "dangling=false"（过滤悬空镜像）

解析：

--filter "dangling=false"

--filter：过滤选项，按条件筛选镜像

dangling=false：筛选条件，只显示非悬空镜像

dangling=true：只显示悬空镜像

什么是悬空镜像（dangling images）？

悬空镜像是指没有标签（tag） 且未被任何容器引用的镜像层。通常出现在以下情况：

产生场景：

重新构建镜像时

   # 第一次构建

   docker build -t myapp:v1 .

   # 重新构建（不指定版本）

   docker build -t myapp:v1 .  # 原来的 myapp:v1 变成悬空镜像

删除镜像标签后

   docker rmi myapp:v1  # 如果这个镜像还有其他标签，不会悬空；否则可能变成悬空

使用中间构建层

多阶段构建中，未被最终镜像使用的中间层

悬空镜像特征：显示为 <none>:<none>

REPOSITORY 和 TAG 列都显示为 <none>

占用磁盘空间，但不直接使用

36. 删除镜像：docker rmi 镜像名称:标签

37. 强制删除镜像：docker rmi -f 镜像名称（被容器使用时需加-f）

38. 清理悬空镜像：docker image prune

39. 导出镜像存档：docker save -o nginx.tar nginx:latest

40. 导入镜像存档：docker load -i nginx.tar

41. 查看镜像历史：docker history nginx

42. 镜像标签管理：docker tag nginx:latest myreg.com/nginx:v1

解析：

docker tag：Docker 的标签管理命令

nginx:latest：源镜像（已经存在的镜像）

nginx：镜像名称

latest：标签（tag），默认标签

myreg.com/nginx:v1：目标镜像

myreg.com：注册表/仓库地址（私有仓库域名）

nginx：在注册表中的镜像名称

v1：新的标签版本

43. 推送镜像到仓库：docker push myreg.com/nginx:v1

44. 构建镜像：docker build -t myapp:v1 --build-arg ENV=prod .

解析：

docker build 镜像构建命令

-t myapp:v1指定镜像名称和标签

--build-arg ENV=prod（构建参数）

--build-arg：向 Dockerfile 传递构建时参数

ENV=prod：设置参数 ENV 的值为 prod

构建时参数只在构建过程中有效，不会保存在最终镜像中（除非使用 ENV 指令保存）

45. 多阶段构建：Dockerfile中：COPY --from=builder /app/bin /usr/bin

四

46. 创建匿名卷：docker run -v /data mysql（自动创建）

解释：

docker run：启动一个新容器

-v /data：在容器内部挂载一个卷到 /data 目录

mysql：使用 MySQL 镜像

47. 绑定主机目录：docker run -v /宿主机/路径:/容器/路径 容器名称

48. 创建命名卷：docker volume create app_data

49. 使用命名卷：docker run -v app_data:/var/lib/mysql mysql

50. 查看卷详情：docker volume inspect app_data

51. 清理未使用卷：docker volume prune

52. 查看挂载点：docker inspect -f '{{ .Mounts }}' 容器名称

53. 临时文件系统：docker run --tmpfs /tmp:size=100m 容器名称

54. 只读挂载：docker run -v 宿主机目录:容器内目录:ro 容器名称（生产安全必备）

55. 共享存储卷：docker run --volumes-from db_storage backup_tool

五

56. 查看网络列表：docker network ls

57. 创建自定义网络：docker network create --driver bridge 网络名称

58. 指定容器网络：docker run --network=网络名称 镜像名称

59. 容器别名访问：docker run --network=网络名称 --name 容器名称 --network-alias website 镜像名称

60. 查看网络详情：docker network inspect 网络名称

61. 连接运行中容器：docker network connect 网络名称 容器名称

62. 断开容器网络：docker network disconnect 网络名称 容器名称

63. 端口随机映射：docker run -P 镜像名称（自动绑定随机主机端口）

64. 指定端口映射：docker run -p 8080:80 -p 443:443 镜像名称

解释：

-p 8080:80：将宿主机的8080端口映射到容器的80端口

-p 443:443：将宿主机的443端口映射到容器的443端口

65. 主机模式网络：docker run --network=host 镜像名称（共享主机网络栈）

66. 容器间直连：docker run --link redis:db 镜像名称（传统方式，推荐使用自定义网络）

67. DNS配置覆盖：docker run --dns 8.8.8.8 --dns-search example.com 镜像名称

解释：

--dns 8.8.8.8：指定容器使用Google的公共DNS服务器8.8.8.8作为主要DNS解析器，而不是默认的宿主机DNS设置。

--dns-search example.com：设置DNS搜索域为example.com。当容器内使用不完整的主机名时，会自动尝试添加该后缀。例如，输入server会自动尝试解析server.example.com。

容器内效果：容器的/etc/resolv.conf文件会被修改为：

   nameserver 8.8.8.8

   search example.com

这个配置常用于：

指定特定的DNS服务器进行解析

配置内部域名的自动补全

解决容器内DNS解析问题

六

68. 日志驱动设置：docker run --log-driver=json-file --log-opt max-size=10m --name 容器名称 镜像名称

解析：

--log-driver=json-file：指定使用 JSON 文件日志驱动，这是 Docker 默认的日志驱动，将容器的标准输出和错误以 JSON 格式记录到文件中。

--log-opt max-size=10m：设置日志文件的最大大小为 10MB。当日志文件达到这个大小时，Docker 会自动创建新的日志文件，防止单个日志文件过大。

69. 日志标签添加：docker run --log-opt tag="{{.Name}}/{{.ID}}" 镜像名称

解析：

--log-opt tag="{{.Name}}/{{.ID}}" 为容器日志添加自定义标签，使用 Go 模板语法：

{{.Name}}：替换为容器名称

{{.ID}}：替换为容器 ID 的前12个字符

容器启动后，其日志会带有 容器名/容器ID 格式的标签，便于日志识别和分类。

70. 环境变量注入：docker run -e TZ=Asia/Shanghai -e APP_ENV=prod 镜像名称

解析：

使用 -e 选项向容器注入环境变量：

-e TZ=Asia/Shanghai：设置容器的时区环境变量为亚洲/上海时区

-e APP_ENV=prod：设置应用运行环境为生产环境

容器启动后，这些环境变量可在容器内通过 echo $TZ 等方式访问，应用程序可据此调整时区和运行模式。

71. 时区同步配置：docker run -v /etc/localtime:/etc/localtime:ro 镜像名称

72. 容器自启策略：docker run --restart=on-failure:5 镜像名称（失败时最多重启5次）

73. 内核参数调整：docker run --sysctl net.core.somaxconn=1024 镜像名称

解析：

通过 --sysctl 选项调整容器内内核参数：

--sysctl net.core.somaxconn=1024：将容器内的内核参数 net.core.somaxconn 设置为1024

该参数控制每个网络端口监听队列的最大长度

容器启动时会应用此内核参数设置，仅影响当前容器，不影响宿主机或其他容器

74. 容器资源限制：docker run --cpus=".5" -m 500m --blkio-weight=500 镜像名称

解析：

--cpus=".5"：限制容器最多使用0.5个CPU核心的计算能力，相当于50%的单个CPU核心。

-m 500m：限制容器内存使用量为500MB，容器不能超过这个内存限制。

--blkio-weight=500：设置容器的块I/O权重为500（范围10-1000），权重越高，容器在磁盘I/O操作中获得的优先级越高。

75. OOM优先级设置：docker run --oom-score-adj=500 镜像名称（值越高越易被kill）

解析：

--oom-score-adj=500 设置容器的 OOM（内存溢出）调整分数为500。

OOM分数范围：-1000 到 1000

设置值500：正值表示容器进程更容易被系统OOM killer终止

优先级规则：值越高，在系统内存不足时越容易被优先终止以释放内存

容器启动后，其进程的OOM调整分数将设为500，在内存竞争时处于较高的终止优先级。

76. 容器用户隔离：docker run --user 1000:1000 镜像名称（避免root运行）

解析：

--user 1000:1000 指定容器以非root用户身份运行：

1000:1000：设置容器运行时的用户ID（UID）为1000，组ID（GID）为1000

这个数字ID通常对应宿主机上的普通用户账号（如ubuntu系统默认的第一个用户）

容器内的所有进程将以这个非root用户身份运行，而不是默认的root用户

容器启动后，所有进程都以UID 1000/GID 1000运行，降低了容器被攻击后获取宿主机root权限的风险，增强了安全性。

77. 只读文件系统：docker run --read-only 镜像名称（需配合tmpfs使用）

78. 能力控制：docker run --cap-add NET_ADMIN --cap-drop SYS_ADMIN 镜像名称

解析：

--cap-add NET_ADMIN：向容器添加网络管理能力，允许容器执行网络配置操作，如设置路由、配置网络接口等。

--cap-drop SYS_ADMIN：从容器中移除系统管理能力，禁止容器执行特权系统操作，如挂载文件系统、设置主机名等。

安全原则：遵循最小权限原则，只赋予容器运行所需的最低权限，减少攻击面，提高安全性。

79. 安全加固：docker run --security-opt no-new-privileges 镜像名称（禁止提权）

80. AppArmor配置：docker run --security-opt apparmor=my_profile 镜像名称

解析：

--security-opt apparmor=my_profile 为容器指定自定义的 AppArmor 安全配置文件。

AppArmor：Linux 内核安全模块，通过配置文件限制进程的权限

my_profile：自定义的 AppArmor 配置文件名称，需提前在宿主机上创建并加载

作用：容器启动后将应用此配置文件，按规则限制容器内进程的文件访问、网络操作等能力，增强安全性

此配置通过强制访问控制机制，限制容器内进程的行为，即使容器被攻击，攻击者也会受到配置文件规则的限制。

81. SELinux标签：docker run --security-opt label=type:container_t 镜像名称

82. 设备访问授权：docker run --device=/dev/snd:/dev/snd:rw 镜像名称

七

83. 初始化Swarm：docker swarm init --advertise-addr 192.168.1.111

解析：

Swarm：Docker 的原生集群管理工具，用于创建和管理多节点容器集群

--advertise-addr 192.168.1.100：指定当前节点的通告地址为 192.168.1.100，其他节点通过此地址加入集群并与当前管理节点通信

执行后，当前节点成为 Swarm 集群的第一个管理节点，会输出加入集群的命令供其他节点使用，用于构建分布式容器编排环境。

84. 加入Swarm集群：docker swarm join --token SWMTKN... 192.168.1.111:2377

解析：

--token SWMTKN...：使用 Swarm 加入令牌进行身份验证。令牌由管理节点生成，分为工作节点令牌和管理节点令牌

192.168.1.111:2377：指定 Swarm 集群中某个管理节点的 IP 地址和端口（默认 2377）

执行效果：当前节点作为工作节点或管理节点（取决于令牌类型）加入集群，开始参与集群的分布式容器编排

节点加入后，集群管理节点可以调度任务到该节点，实现多节点容器编排和负载均衡。

85. 部署Stack服务：docker stack deploy -c docker_compose.yml myapp

解析：

docker stack deploy -c docker_compose.yml myapp 在 Docker Swarm 集群中部署或更新一个完整的应用程序栈。

docker stack deploy：Swarm 集群的部署命令，用于部署多服务应用程序

-c docker_compose.yml：指定 Docker Compose 文件路径，该文件定义了应用程序的所有服务、网络和卷

myapp：为要部署的堆栈指定名称，所有服务会以此名称作为前缀

此命令将 Compose 文件中定义的服务作为堆栈部署到 Swarm 集群中，集群管理器会根据配置在多个节点上调度和运行服务容器，实现高可用和负载均衡。

86. 查看服务列表：docker service ls

87. 服务伸缩操作：docker service scale 服务名称=5

解析：

=5：将服务的运行副本数量设置为 5 个

执行效果：Swarm 管理器会根据指令自动启动或停止容器实例，确保该服务恰好有 5 个副本在集群中运行

此命令用于服务的水平伸缩，通过增减容器实例数量来应对负载变化，实现服务的高可用性和负载均衡。

88. 滚动更新配置：docker service update --image nginx:1.23 web

89. 回滚服务版本：docker service rollback 服务名称

90. 查看服务日志：docker service logs -f 服务名称

91. 节点状态检查：docker node ls

92. 服务约束部署：docker service create --constraint 'node.role==worker' nginx

八

93. 查看Docker版本：docker version

94. 系统全局信息：docker info

95. 磁盘空间清理：docker system prune -af（慎用！清理所有未用资源）

96. 事件实时监控：docker events --filter 'event=die'（捕获容器退出事件）

97. 构建缓存清理：docker builder prune

98. 检查容器配置：docker config ls（Swarm模式）

99. 容器漏洞扫描：docker scan 镜像:标签（需登录Docker Hub）

解析：

功能：扫描镜像的组成层，检测其中包含的已知安全漏洞

依赖：需要先执行 docker login 登录 Docker Hub 账户，因为漏洞数据库需要认证访问

输出：命令会列出镜像中发现的漏洞详情，包括漏洞类型、严重等级、影响组件和修复建议

此命令帮助开发者在部署前发现并修复容器镜像中的安全漏洞，是容器安全实践的重要环节。

100. 资源使用报告：docker system df -v（详细磁盘占用分析）

公众号：初见别辞

你们点点“分享”，给我充点儿电吧~

壁纸自取区