docker怎么從鏡像創建容器

本篇內容主要講解“docker怎么從鏡像創建容器”，感興趣的朋友不妨來看看。本文介紹的方法操作簡單快捷，實用性強。下面就讓小編來帶大家學習“docker怎么從鏡像創建容器”吧!

Image 鏡像文件，對比PC端的概念，我們可以把它理解為服務器端的可執行軟件包。Dockerfile 用于創建image鏡像的模板文件，出于管理和安全的考慮，docker官方建議所有的鏡像文件應該由dockerfile來創建。

docker容器的生命周期，就是一個鏡像文件從產生、運行到停止的過程。可將docker生命周期拆為兩個大階段，非生產環境階段和生產環境階段，非生產環境中保證鏡像安全可信，生產環境中保證鏡像正確的運行。保證非生產環境中的鏡像安全應遵循以下方面：

容器使用非root用戶運行

為了防止容器逃逸而獲得宿主機的權限，容器內應用以非root用戶身份運行，如果用戶已經在容器鏡像中定義，則默認情況下容器將作為該用戶運行，且不需要特定的用戶命名空間重新映射。可以在Dockerfile中添加用戶：

RUN useradd -d / home /username -m -s / bin / bash username USER username

使用安全的基礎鏡像

如果基礎鏡像存在安全問題，那整個鏡像文件的安全性也無從談起，用戶可根據自身需求定制基礎鏡像，并強制要求組織內使用認可的基礎鏡像；也可使用第三方安全的鏡像，這里推薦使用Alpine-linux，docker所有的官方鏡像都使用其作為基礎鏡像，docker也會對其維護更新，所以安全性有保證。

刪除鏡像中的setuid和setgid權限

setuid和setgid權限可用于提權。雖然有時候必須要使用到，但如果被濫用，可能會導致非法的提升權限。可以在鏡像中限制這些權限的使用。具體做法可參考：在構建鏡像時通過在Dockerfile中添加以下命令來刪除這些權限，一般在Dockerfile的末尾添加：RUN find / -perm +6000-type f-exec chmod a-s {} \;|| true

啟用Docker的內容信任

內容信任允許當用戶使用遠程Docker倉庫進行操作時，以執行鏡像標記的客戶端簽名和驗證。內容信任提供了對從Docker倉庫發送和接收的數據使用數字簽名的能力。這些簽名允許客戶端驗證特定鏡像標簽的完整性。

對鏡像進行安全漏洞掃描

鏡像中包含了很多的插件及軟件包，需要對這些軟件包進行漏洞掃描，并根據結果安裝補丁或更新軟件，Coreos提供了一款開源docker鏡像安全掃描器-Clair，Clair可對鏡像文件進行靜態的安全掃描，并結合CVE給出漏洞掃描結果。

到此，相信大家對“docker怎么從鏡像創建容器”有了更深的了解，不妨來實際操作一番吧！這里是億速云網站，更多相關內容可以進入相關頻道進行查詢，關注我們，繼續學習！