作为一名系统管理员，我经常需要用额外的硬盘来扩充存储空间或将系统数据从用户数据中分离出来。我将告诉你在将物理块设备加到虚拟主机的这个过程中，如何将一个主机上的硬盘加到一台使用 VMWare 软件虚拟化的 Linux 客户机上。

你可以显式的添加或删除一个 SCSI 设备，或者重新扫描整个 SCSI 总线而不用重启 Linux 虚拟机。本指南在 Vmware Server 和 Vmware Workstation v6.0 中通过测试（更老版本应该也支持）。所有命令在 RHEL、Fedora、CentOS 和 Ubuntu Linux 客户机 / 主机操作系统下都经过了测试。

步骤 1：添加新硬盘到虚拟客户机

首先，通过 vmware 硬件设置菜单添加硬盘。点击 “VM > Settings”

或者你也可以按下 CTRL + D 也能进入设置对话框。

点击 “Add” 添加新硬盘到客户机：

选择硬件类型为“Hard disk”然后点击 “Next”：

选择 “create a new virtual disk” 然后点击 “Next”：

设置虚拟磁盘类型为 “SCSI” ，然后点击 “Next”：

按需要设置最大磁盘大小，然后点击 “Next”

最后，选择文件存放位置然后点击 “Finish”。

步骤 2：重新扫描 SCSI 总线，在不重启虚拟机的情况下添加 SCSI 设备

输入下面命令重新扫描 SCSI 总线：

echo "- - -" > /sys/class/scsi_host/host# /scan
fdisk -l
tail -f /var/log/message

输出为：

你需要将 host# 替换成真实的值，比如 host0。你可以通过下面命令来查出这个值：

# ls /sys/class/scsi_host

输出：

host0

然后输入下面过命令来请求重新扫描：

echo "- - -" > /sys/class/scsi_host/host0/scan
fdisk -l
tail -f /var/log/message

输出为：

Jul 18 16:29:39 localhost kernel: Vendor: VMware, Model: VMware Virtual S Rev: 1.0
Jul 18 16:29:39 localhost kernel: Type: Direct-Access ANSI SCSI revision: 02
Jul 18 16:29:39 localhost kernel: target0:0:1: Beginning Domain Validation
Jul 18 16:29:39 localhost kernel: target0:0:1: Domain Validation skipping write tests
Jul 18 16:29:39 localhost kernel: target0:0:1: Ending Domain Validation
Jul 18 16:29:39 localhost kernel: target0:0:1: FAST-40 WIDE SCSI 80.0 MB/s ST (25 ns, offset 127)
Jul 18 16:29:39 localhost kernel: SCSI device sdb: 2097152 512-byte hdwr sectors (1074 MB)
Jul 18 16:29:39 localhost kernel: sdb: Write Protect is off
Jul 18 16:29:39 localhost kernel: sdb: cache data unavailable
Jul 18 16:29:39 localhost kernel: sdb: assuming drive cache: write through
Jul 18 16:29:39 localhost kernel: SCSI device sdb: 2097152 512-byte hdwr sectors (1074 MB)
Jul 18 16:29:39 localhost kernel: sdb: Write Protect is off
Jul 18 16:29:39 localhost kernel: sdb: cache data unavailable
Jul 18 16:29:39 localhost kernel: sdb: assuming drive cache: write through
Jul 18 16:29:39 localhost kernel: sdb: unknown partition table
Jul 18 16:29:39 localhost kernel: sd 0:0:1:0: Attached scsi disk sdb
Jul 18 16:29:39 localhost kernel: sd 0:0:1:0: Attached scsi generic sg1 type 0
Jul 18 16:29:39 localhost kernel: Vendor: VMware, Model: VMware Virtual S Rev: 1.0
Jul 18 16:29:39 localhost kernel: Type: Direct-Access ANSI SCSI revision: 02
Jul 18 16:29:39 localhost kernel: target0:0:2: Beginning Domain Validation
Jul 18 16:29:39 localhost kernel: target0:0:2: Domain Validation skipping write tests
Jul 18 16:29:39 localhost kernel: target0:0:2: Ending Domain Validation
Jul 18 16:29:39 localhost kernel: target0:0:2: FAST-40 WIDE SCSI 80.0 MB/s ST (25 ns, offset 127)
Jul 18 16:29:39 localhost kernel: SCSI device sdc: 2097152 512-byte hdwr sectors (1074 MB)
Jul 18 16:29:39 localhost kernel: sdc: Write Protect is off
Jul 18 16:29:39 localhost kernel: sdc: cache data unavailable
Jul 18 16:29:39 localhost kernel: sdc: assuming drive cache: write through
Jul 18 16:29:39 localhost kernel: SCSI device sdc: 2097152 512-byte hdwr sectors (1074 MB)
Jul 18 16:29:39 localhost kernel: sdc: Write Protect is off
Jul 18 16:29:39 localhost kernel: sdc: cache data unavailable
Jul 18 16:29:39 localhost kernel: sdc: assuming drive cache: write through
Jul 18 16:29:39 localhost kernel: sdc: unknown partition table
Jul 18 16:29:39 localhost kernel: sd 0:0:2:0: Attached scsi disk sdc
Jul 18 16:29:39 localhost kernel: sd 0:0:2:0: Attached scsi generic sg2 type 0

如何删除 /dev/sdc 这块设备？

除了重新扫描整个总线外，你也可以使用下面命令添加或删除指定磁盘：

# echo 1 > /sys/block/devName/device/delete
# echo 1 > /sys/block/sdc/device/delete

如何添加 /dev/sdc 这块设备？

使用下面语法添加指定设备：

# echo "scsi add-single-device <H> <B> <T> <L>" > /proc/scsi/scsi

这里，

• ：主机
• ：总线（通道）
• ：目标 （Id）
• ：LUN 号

例如。使用参数 host#0，bus#0，target#2，以及 LUN#0 来添加 /dev/sdc，则输入：

# echo "scsi add-single-device 0 0 2 0">/proc/scsi/scsi
# fdisk -l
# cat /proc/scsi/scsi

结果输出：

Attached devices:
Host: scsi0 Channel: 00 Id: 00 Lun: 00
 Vendor: VMware, Model: VMware Virtual S Rev: 1.0
 Type: Direct-Access ANSI SCSI revision: 02
Host: scsi0 Channel: 00 Id: 01 Lun: 00
 Vendor: VMware, Model: VMware Virtual S Rev: 1.0
 Type: Direct-Access ANSI SCSI revision: 02
Host: scsi0 Channel: 00 Id: 02 Lun: 00
 Vendor: VMware, Model: VMware Virtual S Rev: 1.0
 Type: Direct-Access ANSI SCSI revision: 02

步骤 #3：格式化新磁盘

现在使用 fdisk 并通过 mkfs.ext3 命令创建分区：

# fdisk /dev/sdc
### [if you want ext3 fs] ###
# mkfs.ext3 /dev/sdc3
### [if you want ext4 fs] ###
# mkfs.ext4 /dev/sdc3

步骤 #4：创建挂载点并更新 /etc/fstab

# mkdir /disk3

打开 /etc/fstab 文件，输入：

# vi /etc/fstab

加入下面这行：

/dev/sdc3 /disk3 ext3 defaults 1 2

若是 ext4 文件系统则加入：

/dev/sdc3 /disk3 ext4 defaults 1 2

保存并关闭文件。

可选操作：为分区加标签

你可以使用 e2label 命令为分区加标签 。假设，你想要为 /backupDisk 这块新分区加标签，则输入：

# e2label /dev/sdc1 /backupDisk

详情参见 "Linux 分区的重要性 。

关于作者

作者是 nixCraft 的创始人，也是一名经验丰富的系统管理员，还是 Linux 操作系统 /Unix shell 脚本培训师。他曾服务过全球客户并与多个行业合作过，包括 IT，教育，国防和空间研究，以及非盈利机构。你可以在 Twitter，Facebook，Google+ 上关注他。

via: https://www.cyberciti.biz/tips/vmware-add-a-new-hard-disk-without-rebooting-guest.html

作者：Vivek Gite 译者：lujun9972 校对：wxy

本文由 LCTT 原创编译，Linux中国 荣誉推出

一年又一年，我们一直在使用 ifconfig 命令来执行网络相关的任务，比如检查和配置网卡信息。但是 ifconfig 已经不再被维护，并且在最近版本的 Linux 中被废除了！ ifconfig 命令已经被 ip 命令所替代了。

ip 命令跟 ifconfig 命令有些类似，但要强力的多，它有许多新功能。ip 命令完成很多 ifconfig 命令无法完成的任务。

本教程将会讨论 ip 命令的 12 中最常用法，让我们开始吧。

案例 1：检查网卡信息

检查网卡的诸如 IP 地址，子网等网络信息，使用 ip addr show 命令：

[linuxtechi@localhost]$ ip addr show

或

[linuxtechi@localhost]$ ip a s

这会显示系统中所有可用网卡的相关网络信息，不过如果你想查看某块网卡的信息，则命令为：

[linuxtechi@localhost]$ ip addr show enp0s3

这里 enp0s3 是网卡的名字。

案例 2：启用/禁用网卡

使用 ip 命令来启用一个被禁用的网卡：

[linuxtechi@localhost]$ sudo ip link set enp0s3 up

而要禁用网卡则使用 down 触发器：

[linuxtechi@localhost]$ sudo ip link set enp0s3 down

案例 3：为网卡分配 IP 地址以及其他网络信息

要为网卡分配 IP 地址，我们使用下面命令：

[linuxtechi@localhost]$ sudo ip addr add 192.168.0.50/255.255.255.0 dev enp0s3

也可以使用 ip 命令来设置广播地址。默认是没有设置广播地址的，设置广播地址的命令为：

[linuxtechi@localhost]$ sudo  ip addr add broadcast 192.168.0.255 dev enp0s3

我们也可以使用下面命令来根据 IP 地址设置标准的广播地址：

[linuxtechi@localhost]$  sudo ip addr add 192.168.0.10/24 brd + dev enp0s3

如上面例子所示，我们可以使用 brd 代替 broadcast 来设置广播地址。

案例 4：删除网卡中配置的 IP 地址

若想从网卡中删掉某个 IP，使用如下 ip 命令：

[linuxtechi@localhost]$ sudo ip addr del 192.168.0.10/24 dev enp0s3

案例 5：为网卡添加别名（假设网卡名为 enp0s3）

添加别名，即为网卡添加不止一个 IP，执行下面命令：

[linuxtechi@localhost]$  sudo ip addr add 192.168.0.20/24 dev enp0s3 label enp0s3:1

案例 6：检查路由/默认网关的信息

查看路由信息会给我们显示数据包到达目的地的路由路径。要查看网络路由信息，执行下面命令：

[linuxtechi@localhost]$  ip route show

在上面输出结果中，我们能够看到所有网卡上数据包的路由信息。我们也可以获取特定 IP 的路由信息，方法是：

[linuxtechi@localhost]$ sudo ip route get 192.168.0.1

案例 7：添加静态路由

我们也可以使用 IP 来修改数据包的默认路由。方法是使用 ip route 命令：

[linuxtechi@localhost]$ sudo ip route add default via 192.168.0.150/24

这样所有的网络数据包通过 192.168.0.150 来转发，而不是以前的默认路由了。若要修改某个网卡的默认路由，执行：

[linuxtechi@localhost]$ sudo ip route add 172.16.32.32 via 192.168.0.150/24 dev enp0s3

案例 8：删除默认路由

要删除之前设置的默认路由，打开终端然后运行：

[linuxtechi@localhost]$  sudo ip route del 192.168.0.150/24

注意： 用上面方法修改的默认路由只是临时有效的，在系统重启后所有的改动都会丢失。要永久修改路由，需要修改或创建 route-enp0s3 文件。将下面这行加入其中：

[linuxtechi@localhost]$  sudo vi /etc/sysconfig/network-scripts/route-enp0s3

172.16.32.32 via 192.168.0.150/24 dev enp0s3

保存并退出该文件。

若你使用的是基于 Ubuntu 或 debian 的操作系统，则该要修改的文件为 /etc/network/interfaces，然后添加 ip route add 172.16.32.32 via 192.168.0.150/24 dev enp0s3 这行到文件末尾。

案例 9：检查所有的 ARP 记录

ARP，是 地址解析协议 Address Resolution Protocol 的缩写，用于将 IP 地址转换为物理地址（也就是 MAC 地址）。所有的 IP 和其对应的 MAC 明细都存储在一张表中，这张表叫做 ARP 缓存。

要查看 ARP 缓存中的记录，即连接到局域网中设备的 MAC 地址，则使用如下 ip 命令：

[linuxtechi@localhost]$  ip neigh

案例 10：修改 ARP 记录

删除 ARP 记录的命令为：

[linuxtechi@localhost]$ sudo ip neigh del 192.168.0.106 dev enp0s3

若想往 ARP 缓存中添加新记录，则命令为：

[linuxtechi@localhost]$ sudo ip neigh add 192.168.0.150 lladdr 33:1g:75:37:r3:84 dev enp0s3 nud perm

这里 nud 的意思是 “neghbour state”（网络邻居状态），它的值可以是：

• perm - 永久有效并且只能被管理员删除
• noarp - 记录有效，但在生命周期过期后就允许被删除了
• stale - 记录有效，但可能已经过期
• reachable - 记录有效，但超时后就失效了

案例 11：查看网络统计信息

通过 ip 命令还能查看网络的统计信息，比如所有网卡上传输的字节数和报文数，错误或丢弃的报文数等。使用 ip -s link 命令来查看：

[linuxtechi@localhost]$ ip -s link

案例 12：获取帮助

若你想查看某个上面例子中没有的选项，那么你可以查看帮助。事实上对任何命令你都可以寻求帮助。要列出 ip 命令的所有可选项，执行：

[linuxtechi@localhost]$ ip help

记住，ip 命令是一个对 Linux 系统管理来说特别重要的命令，学习并掌握它能够让配置网络变得容易。本教程就此结束了，若有任何建议欢迎在下面留言框中留言。

via: https://www.linuxtechi.com/ip-command-examples-for-linux-users/

作者：Pradeep Kumar 译者：lujun9972 校对：wxy

本文由 LCTT 原创编译，Linux中国 荣誉推出

容器正在改变我们对应用程序和基础设施的看法。无论容器内的代码量是大还是小，容器架构都会引起代码如何与硬件相互作用方式的改变 —— 它从根本上将其从基础设施中抽象出来。对于容器安全来说，在 Docker 中，容器的安全性有三个关键组成部分，它们相互作用构成本质上更安全的应用程序。

构建更安全的应用程序的一个关键因素是与系统和其他应用程序进行安全通信，这通常需要证书、令牌、密码和其他类型的验证信息凭证 —— 通常称为应用程序 涉密信息 secrets 。我们很高兴可以推出 Docker Secrets，这是一个容器原生的解决方案，它是加强容器安全的 可信赖交付 Trusted Delivery 组件，用户可以在容器平台上直接集成涉密信息分发功能。

有了容器，现在应用程序是动态的，可以跨越多种环境移植。这使得现存的涉密信息分发的解决方案略显不足，因为它们都是针对静态环境。不幸的是，这导致了应用程序涉密信息管理不善的增加，在不安全的、土造的方案中（如将涉密信息嵌入到 GitHub 这样的版本控制系统或者同样糟糕的其它方案），这种情况十分常见。

Docker 涉密信息管理介绍

根本上我们认为，如果有一个标准的接口来访问涉密信息，应用程序就更安全了。任何好的解决方案也必须遵循安全性实践，例如在传输的过程中，对涉密信息进行加密；在不用的时候也对涉密数据进行加密；防止涉密信息在应用最终使用时被无意泄露；并严格遵守最低权限原则，即应用程序只能访问所需的涉密信息，不能多也不能不少。

通过将涉密信息整合到 Docker 编排，我们能够在遵循这些确切的原则下为涉密信息的管理问题提供一种解决方案。

下图提供了一个高层次视图，并展示了 Docker swarm 模式体系架构是如何将一种新类型的对象 —— 一个涉密信息对象，安全地传递给我们的容器。

在 Docker 中，涉密信息是任意的数据块，比如密码、SSH 密钥、TLS 凭证，或者任何其他本质上敏感的数据。当你将一个涉密信息加入 swarm 集群（通过执行 docker secret create ）时，利用在引导新集群时自动创建的内置证书颁发机构，Docker 通过相互认证的 TLS 连接将密钥发送给 swarm 集群管理器。

$ echo "This is a secret" | docker secret create my_secret_data -

一旦，涉密信息到达某个管理节点，它将被保存到内部的 Raft 存储区中。该存储区使用 NACL 开源加密库中的 Salsa20、Poly1305 加密算法生成的 256 位密钥进行加密，以确保从来不会把任何涉密信息数据写入未加密的磁盘。将涉密信息写入到内部存储，赋予了涉密信息跟其它 swarm 集群数据一样的高可用性。

当 swarm 集群管理器启动时，包含涉密信息的加密 Raft 日志通过每一个节点独有的数据密钥进行解密。此密钥以及用于与集群其余部分通信的节点 TLS 证书可以使用一个集群级的加密密钥进行加密。该密钥称为“解锁密钥”，也使用 Raft 进行传递，将且会在管理器启动的时候使用。

当授予新创建或运行的服务权限访问某个涉密信息权限时，其中一个管理器节点（只有管理器可以访问被存储的所有涉密信息）会通过已经建立的 TLS 连接将其分发给正在运行特定服务的节点。这意味着节点自己不能请求涉密信息，并且只有在管理器提供给他们的时候才能访问这些涉密信息 —— 严格地控制请求涉密信息的服务。

$ docker service  create --name="redis" --secret="my_secret_data" redis:alpine

未加密的涉密信息被挂载到一个容器，该容器位于 /run/secrets/<secret_name> 的内存文件系统中。

$ docker exec $(docker ps --filter name=redis -q) ls -l /run/secrets
total 4
-r--r--r--    1 root     root            17 Dec 13 22:48 my_secret_data

如果一个服务被删除或者被重新安排在其他地方，集群管理器将立即通知所有不再需要访问该涉密信息的节点，这些节点将不再有权访问该应用程序的涉密信息。

$ docker service update --secret-rm="my_secret_data" redis

$ docker exec -it $(docker ps --filter name=redis -q) cat /run/secrets/my_secret_data

cat: can't open '/run/secrets/my_secret_data': No such file or directory

查看 Docker Secret 文档以获取更多信息和示例，了解如何创建和管理您的涉密信息。同时，特别感谢 Laurens Van Houtven 与 Docker 安全和核心团队合作使这一特性成为现实。

通过 Docker 更安全地使用应用程序

Docker 涉密信息旨在让开发人员和 IT 运营团队可以轻松使用，以用于构建和运行更安全的应用程序。它是首个被设计为既能保持涉密信息安全，并且仅在特定的容器需要它来进行必要的涉密信息操作的时候使用。从使用 Docker Compose 定义应用程序和涉密数据，到 IT 管理人员直接在 Docker Datacenter 中部署的 Compose 文件，涉密信息、网络和数据卷都将加密并安全地与应用程序一起传输。

更多相关学习资源:

• 1.13 Docker 数据中心具有 Secrets、安全扫描、容量缓存等新特性
• 下载 Docker 且开始学习
• 在 Docker 数据中心尝试使用 secrets
• 阅读文档
• 参与 即将进行的在线研讨会

via: https://blog.docker.com/2017/02/docker-secrets-management/

作者：Ying Li 译者：HardworkFish 校对：imquanquan, wxy

本文由 LCTT 原创编译，Linux中国 荣誉推出

摘要：这是一个简单的小工具，可以把你的 Linux 终端变为好莱坞风格的黑客入侵的实时画面。

我攻进去了！

你可能会几乎在所有的好莱坞电影里面会听说过这句话，此时的荧幕正在显示着一个入侵的画面。那可能是一个黑色的终端伴随着 ASCII 码、图标和连续不断变化的十六进制编码以及一个黑客正在击打着键盘，仿佛他/她正在打一段愤怒的论坛回复。

但是那是好莱坞大片！黑客们想要在几分钟之内破解进入一个网络系统除非他花费了几个月的时间来研究它。不过现在我先把对好莱坞黑客的评论放在一边。

因为我们将会做相同的事情，我们将会伪装成为一个好莱坞风格的黑客。

这个小工具运行一个脚本在你的 Linux 终端上，就可以把它变为好莱坞风格的实时入侵终端：

看到了吗？就像这样，它甚至在后台播放了一个 Mission Impossible 主题的音乐。此外每次运行这个工具，你都可以获得一个全新且随机的入侵的终端。

让我们看看如何在 30 秒之内成为一个好莱坞黑客。

如何安装 Hollywood 入侵终端在 Linux 之上

这个工具非常适合叫做 Hollywood 。从根本上说，它运行在 Byobu ——一个基于文本的窗口管理器，而且它会创建随机数量、随机尺寸的分屏，并在每个里面运行一个混乱的文字应用。

Byobu 是一个在 Ubuntu 上由 Dustin Kirkland 开发的有趣工具。在其他文章之中还有更多关于它的有趣之处，让我们先专注于安装这个工具。

Ubuntu 用户可以使用简单的命令安装 Hollywood：

sudo apt install hollywood

如果上面的命令不能在你的 Ubuntu 或其他例如 Linux Mint、elementary OS、Zorin OS、Linux Lite 等等基于 Ubuntu 的 Linux 发行版上运行，你可以使用下面的 PPA 来安装：

sudo apt-add-repository ppa:hollywood/ppa
sudo apt-get update
sudo apt-get install byobu hollywood

你也可以在它的 GitHub 仓库之中获得其源代码： Hollywood 在 GitHub 。

一旦安装好，你可以使用下面的命令运行它，不需要使用 sudo ：

hollywood

因为它会先运行 Byosu ，你将不得不使用 Ctrl+C 两次并再使用 exit 命令来停止显示入侵终端的脚本。

这里面有一个伪装好莱坞入侵的视频。

这是一个让你朋友、家人和同事感到吃惊的有趣小工具，甚至你可以在酒吧里给女孩们留下深刻的印象，尽管我不认为这对你在那方面有任何的帮助，

并且如果你喜欢 Hollywood 入侵终端，或许你也会喜欢另一个可以让 Linux 终端产生 Sneaker 电影效果的工具。

如果你知道更多有趣的工具，可以在下面的评论栏里分享给我们。

via: https://itsfoss.com/hollywood-hacker-screen/

作者：Abhishek Prakash 译者：Drshu 校对：wxy

本文由 LCTT 原创编译，Linux中国 荣誉推出

在早先的教程中，我们学过了在 RHEL CentOS 7 上安装 Docker 并创建 docker 容器。 在本教程中，我们会学习管理 docker 容器的其他命令。

Docker 命令语法

$ docker [option] [command] [arguments]

要列出 docker 支持的所有命令，运行

$ docker

我们会看到如下结果，

attach Attach to a running container
build  Build an image from a Dockerfile
commit  Create a new image from a container's changes
cp  Copy files/folders between a container and the local filesystem
create  Create a new container
diff  Inspect changes on a container's filesystem
events  Get real time events from the server
exec  Run a command in a running container
export  Export a container's filesystem as a tar archive
history  Show the history of an image
images  List images
import  Import the contents from a tarball to create a filesystem image
info  Display system-wide information
inspect  Return low-level information on a container or image
kill  Kill a running container
load  Load an image from a tar archive or STDIN
login  Log in to a Docker registry
logout  Log out from a Docker registry
logs  Fetch the logs of a container
network  Manage Docker networks
pause  Pause all processes within a container
port  List port mappings or a specific mapping for the CONTAINER
ps  List containers
pull  Pull an image or a repository from a registry
push  Push an image or a repository to a registry
rename  Rename a container
restart  Restart a container
rm  Remove one or more containers
rmi  Remove one or more images
run  Run a command in a new container
save  Save one or more images to a tar archive
search  Search the Docker Hub for images
start  Start one or more stopped containers
stats  Display a live stream of container(s) resource usage statistics
stop  Stop a running container
tag  Tag an image into a repository
top  Display the running processes of a container
unpause  Unpause all processes within a container
update  Update configuration of one or more containers
version  Show the Docker version information
volume  Manage Docker volumes
wait  Block until a container stops, then print its exit code

要进一步查看某个命令支持的选项，运行：

$ docker docker-subcommand info

就会列出 docker 子命令所支持的选项了。

测试与 Docker Hub 的连接

默认，所有镜像都是从 Docker Hub 中拉取下来的。我们可以从 Docker Hub 上传或下载操作系统镜像。为了检查我们是否能够正常地通过 Docker Hub 上传/下载镜像，运行

$ docker run hello-world

结果应该是：

Hello from Docker.
This message shows that your installation appears to be working correctly.
…

输出结果表示你可以访问 Docker Hub 而且也能从 Docker Hub 下载 docker 镜像。

搜索镜像

搜索容器的镜像，运行

$ docker search Ubuntu

我们应该会得到可用的 Ubuntu 镜像的列表。记住，如果你想要的是官方的镜像，请检查 official 这一列上是否为 [OK]。

下载镜像

一旦搜索并找到了我们想要的镜像，我们可以运行下面语句来下载它：

$ docker pull Ubuntu

要查看所有已下载的镜像，运行：

$ docker images

运行容器

使用已下载镜像来运行容器，使用下面命令：

$ docker run -it Ubuntu

这里，使用 -it 会打开一个 shell 与容器交互。容器启动并运行后，我们就可以像普通机器那样来使用它了，我们可以在容器中执行任何命令。

显示所有的 docker 容器

要列出所有 docker 容器，运行：

$ docker ps

会输出一个容器列表，每个容器都有一个容器 id 标识。

停止 docker 容器

要停止 docker 容器，运行：

$ docker stop container-id

从容器中退出

要从容器中退出，执行：

$ exit

保存容器状态

容器运行并更改后（比如安装了 apache 服务器），我们可以保存容器状态。这会在本地系统上保存新创建镜像。

运行下面语句来提交并保存容器状态：

$ docker commit 85475ef774 repository/image_name

这里，commit 命令会保存容器状态，85475ef774，是容器的容器 id，repository，通常为 docker hub 上的用户名 （或者新加的仓库名称）image_name，是新镜像的名称。

我们还可以使用 -m 和 -a 来添加更多信息。通过 -m，我们可以留个信息说 apache 服务器已经安装好了，而 -a 可以添加作者名称。

像这样：

 docker commit -m "apache server installed"-a "Dan Daniels" 85475ef774 daniels_dan/Cent_container

我们的教程至此就结束了，本教程讲解了一下 Docker 中的那些重要的命令，如有疑问，欢迎留言。

via: http://linuxtechlab.com/important-docker-commands-beginners/

作者：Shusain 译者：lujun9972 校对：wxy

本文由 LCTT 原创编译，Linux中国 荣誉推出

在你的主要桌面计算机上安装和使用 Linux 将帮你快速熟悉你需要的工具和方法。

这是我们的迁移到 Linux 系列文章的第二篇。如果你错过了第一篇，你可以在这里找到它。就如之前提到过的，为什么要迁移到 Linux 的有几个原因。你可以在你的工作中为 Linux 开发和使用代码，或者，你可能只是想去尝试一下新事物。

不论是什么原因，在你主要使用的桌面计算机上拥有一个 Linux，将帮助你快速熟悉你需要的工具和方法。在这篇文章中，我将介绍 Linux 的文件、文件系统和磁盘。

我的 C:\ 在哪里？

如果你是一个 Mac 用户，Linux 对你来说应该非常熟悉，Mac 使用的文件、文件系统、和磁盘与 Linux 是非常接近的。另一方面，如果你的使用经验主要是 Windows，访问 Linux 下的磁盘可能看上去有点困惑。一般，Windows 给每个磁盘分配一个盘符（像 C:\）。而 Linux 并不是这样。而在你的 Linux 系统中它是一个单一的文件和目录的层次结构。

让我们看一个示例。假设你的计算机使用了一个主硬盘、一个有 Books 和 Videos 目录的 CD-ROM 、和一个有 Transfer 目录的 U 盘，在你的 WIndows 下，你应该看到的是下面的样子：

C:\  [硬盘]
├ System
├ System32
├ Program Files
├ Program Files (x86)
└ <更多目录>

D:\ [CD-ROM]
├ Books
└ Videos

E:\ [U 盘]
└ Transfer

而一个典型的 Linux 系统却是这样：

/ (最顶级的目录，称为根目录) [硬盘]
├ bin
├ etc
├ lib
├ sbin
├ usr
├ <更多目录>
└ media
   └ <你的用户名>
       ├ cdrom  [CD-ROM]
       │  ├ Books
       │  └ Videos
       └ Kingme_USB [U 盘]
           └ Transfer

如果你使用一个图形化环境，通常，Linux 中的文件管理器将出现看起来像驱动器的图标的 CD-ROM 和 USB 便携式驱动器，因此，你根本就无需知道介质所在的目录。

文件系统

Linux 称这些东西为文件系统。文件系统是在介质（比如，硬盘）上保持跟踪所有的文件和目录的一组结构。如果没有用于存储数据的文件系统，我们所有的信息就会混乱，我们就不知道哪个块属于哪个文件。你可能听到过一些类似 ext4、XFS 和 Btrfs 之类的名字，这些都是 Linux 文件系统。

每种保存有文件和目录的介质都有一个文件系统在上面。不同的介质类型可能使用了为它优化过的特定的文件系统。比如，CD-ROM 使用 ISO9660 或者 UDF 文件系统类型。USB 便携式驱动器一般使用 FAT32，以便于它们可以很容易去与其它计算机系统共享。

Windows 也使用文件系统。不过，我们不会过多的讨论它。例如，当你插入一个 CD-ROM，Windows 将读取 ISO9660 文件系统结构，分配一个盘符给它，然后，在盘符（比如，D:\）下显示文件和目录。当然，如果你深究细节，从技术角度说，Windows 是分配一个盘符给一个文件系统，而不是整个驱动器。

使用同样的例子，Linux 也读取 ISO9660 文件系统结构，但它不分配盘符，它附加文件系统到一个目录（这个过程被称为 挂载 mount ）。Linux 将随后在所挂载的目录（比如是， /media/<your user name>/cdrom ）下显示 CD-ROM 上的文件和目录。

因此，在 Linux 上回答 “我的 C:\ 在哪里？” 这个问题，答案是，这里没有 C:\，它们工作方式不一样。

文件

Windows 将文件和目录（也被称为文件夹）存储在它的文件系统中。但是，Linux 也让你将其它的东西放到文件系统中。这些其它类型的东西是文件系统的原生的对象，并且，它们和普通文件实际上是不同的。除普通文件和目录之外，Linux 还允许你去创建和使用 硬链接 hard link 、 符号链接 symbolic link 、 命名管道 named pipe 、 设备节点 device node 、和 套接字 socket 。在这里，我们不展开讨论所有的文件系统对象的类型，但是，这里有几种经常使用到的需要知道。

硬链接用于为文件创建一个或者多个别名。指向磁盘上同样内容的每个别名的名字是不同的。如果在一个文件名下编辑文件，这个改变也同时出现在其它的文件名上。例如，你有一个 MyResume_2017.doc，它还有一个被称为 JaneDoeResume.doc 的硬链接。（注意，硬链接是从命令行下，使用 ln 的命令去创建的）。你可以找到并编辑 MyResume_2017.doc，然后，然后找到 JaneDoeResume.doc，你发现它保持了跟踪 —— 它包含了你所有的更新。

符号链接有点像 Windows 中的快捷方式。文件系统的入口包含一个到其它文件或者目录的路径。在很多方面，它们的工作方式和硬链接很相似，它们可以创建一个到其它文件的别名。但是，符号链接也可以像文件一样给目录创建一个别名，并且，符号链接可以指向到不同介质上的不同文件系统，而硬链接做不到这些。（注意，你可以使用带 -s 选项的 ln 命令去创建一个符号链接）

权限

Windows 和 Linux 另一个很大的区别是涉及到文件系统对象（文件、目录、及其它）的权限。Windows 在文件和目录上实现了一套非常复杂的权限。例如，用户和用户组可以有权限去读取、写入、运行、修改等等。用户和用户组可以授权访问除例外以外的目录中的所有内容，也可以不允许访问除例外的目录中的所有内容。

然而，大多数使用 Windows 的人并不会去使用特定的权限；因此，当他们发现在 Linux 上是强制使用一套默认权限时，他们感到非常惊讶！Linux 通过使用 SELinux 或者 AppArmor 可以强制执行一套更复杂的权限。但是，大多数 Linux 安装版都只是使用了内置的默认权限。

在默认的权限中，文件系统中的每个条目都有一套为它的文件所有者、文件所在的组、和其它人的设置的权限。这些权限允许他们：读取、写入和运行。给它们的权限是有层次继承的。首先，它检查这个（登入的）用户是否为该文件所有者和拥有的权限。如果不是，然后检查这个用户是否在文件所在的组中和该组拥有的权限。如果不是，然后它再检查其它人拥有的权限。这里设置了其它人的权限。但是，这里设置的三套权限大多数情况下都会使用其中的一套。

如果你使用命令行，你输入 ls -l，你可以看到如下所表示的权限：

rwxrw-r-- 1 stan dndgrp 25 Oct 33rd 25:01 rolldice.sh

最前面的字母，rwxrw-r--，展示了权限。在这个例子中，所有者（stan）可以读取、写入和运行这个文件（前面的三个字母，rwx）；dndgrp 组的成员可以读取和写入这个文件，但是不能运行（第二组的三个字母，rw-）；其它人仅可以读取这个文件（最后的三个字母，r--）。

（注意，在 Windows 中去生成一个可运行的脚本，你生成的文件要有一个特定的扩展名，比如 .bat，而在 Linux 中，扩展名在操作系统中没有任何意义。而是需要去设置这个文件可运行的权限）

如果你收到一个 “permission denied” 错误，可能是你去尝试运行了一个要求管理员权限的程序或者命令，或者你去尝试访问一个你的帐户没有访问权限的文件。如果你尝试去做一些要求管理员权限的事，你必须切换登入到一个被称为 root 的用户帐户。或者通过在命令行使用一个被称为 sudo 的辅助程序。它可以临时允许你以 root 权限运行。当然，sudo 工具，也会要求你输入密码，以确保你真的有权限。

硬盘文件系统

Windows 主要使用一个被称为 NTFS 的硬盘文件系统。在 Linux 上，你也可以选一个你希望去使用的硬盘文件系统。不同的文件系统类型呈现不同的特性和不同的性能特征。现在主流的原生 Linux 的文件系统是 Ext4。但是，在安装 Linux 的时候，你也有丰富的文件系统类型可供选择，比如，Ext3（Ext4 的前任）、XFS、Btrfs、UBIFS（用于嵌入式系统）等等。如果你不确定要使用哪一个，Ext4 是一个很好的选择。

via: https://www.linux.com/blog/learn/intro-to-linux/2017/11/migrating-linux-disks-files-and-filesystems

作者：JOHN BONESIO 译者：qhwdw 校对：wxy

本文由 LCTT 原创编译，Linux中国 荣誉推出