当我们开始推行敏捷时，还没有容器和 Kubernetes。但是它们改变了过去最困难的部分：将敏捷性从小团队应用到整个组织。

越来越多的企业正因为一个非常明显的原因开始尝试敏捷和 DevOps: 企业需要通过更快的速度和更多的实验为创新和竞争性提供优势。而 DevOps 将帮助我们得到所需的创新速度。但是，在小团队或初创企业中实践 DevOps 与进行大规模实践完全是两码事。我们都明白这样的一个事实，那就是在十个人的跨职能团队中能够很好地解决问题的方案，当将相同的模式应用到一百个人的团队中时就可能无法奏效。这条道路是如此艰难，以至于 IT 领导者最简单的应对就是将敏捷方法的推行再推迟一年。

但那样的时代已经结束了。如果你已经尝试过，但是没有成功，那么现在是时候重新开始了。

到目前为止，DevOps 需要为许多组织提供个性化的解决方案，因此往往需要进行大量的调整以及付出额外的工作。但在今天，Linux 容器和 Kubernetes 正在推动 DevOps 工具和过程的标准化。而这样的标准化将会加速整个软件开发过程。因此，我们用来实践 DevOps 工作方式的技术最终能够满足我们加快软件开发速度的愿望。

Linux 容器和 Kubernetes 正在改变团队交互的方式。此外，你可以在 Kubernetes 平台上运行任何能够在 Linux 运行的应用程序。这意味着什么呢？你可以运行大量的企业及应用程序（甚至可以解决以前令人烦恼的 Windows 和 Linux 之间的协调问题）。最后，容器和 Kubernetes 能够满足你未来将要运行的几乎所有工作。它们正在经受着未来的考验，以应对机器学习、人工智能和分析工作等下一代解决问题工具。

让我们以机器学习为例来思考一下。今天，人们可以在大量的企业数据中找到一些模式。当机器发现这些模式时（想想机器学习），你的员工就能更快地采取行动。随着人工智能的加入，机器不仅可以发现模式，还可以对模式进行操作。如今，一个积极的软件开发冲刺周期也就是三个星期而已。有了人工智能，机器每秒可以多次修改代码。创业公司会利用这种能力来“打扰你”。

考虑一下你需要多快才能参与到竞争当中。如果你对于无法对于 DevOps 和每周一个迭代周期充满信心，那么考虑一下当那个创业公司将 AI 驱动的过程指向你时会发生什么？现在是时候转向 DevOps 的工作方式了，否则就会像你的竞争对手一样被甩在后面。

容器技术如何改变团队的工作？

DevOps 使得许多试图将这种工作方式扩展到更大范围的团队感到沮丧。即使许多 IT（和业务）人员之前都听说过敏捷相关的语言、框架、模型（如 DevOps），而这些都有望彻底应用程序开发和 IT 流程，但他们还是对此持怀疑态度。

向你的受众“推销”快速开发冲刺也不是一件容易的事情。想象一下，如果你以这种方式买了一栋房子 —— 你将不再需要向开发商支付固定的金额，而是会得到这样的信息：“我们将在 4 周内浇筑完地基，其成本是 X，之后再搭建房屋框架和铺设电路，但是我们现在只能够知道地基完成的时间表。”人们已经习惯了买房子的时候有一个预先的价格和交付时间表。

挑战在于构建软件与构建房屋不同。同一个建筑商往往建造了成千上万个完全相同的房子，而软件项目从来都各不相同。这是你要克服的第一个障碍。

开发和运维团队的工作方式确实不同，我之所以知道这一点是因为我曾经从事过这两方面的工作。企业往往会用不同的方式来激励他们，开发人员会因为更改和创建而获得奖励，而运维专家则会因降低成本和确保安全性而获得奖励。我们会把他们分成不同的小组，并且尽量减少互动。而这些角色通常会吸引那些思维方式完全不同的技术人员。但是这样的解决方案注定会失败，你必须打破横亘在开发和运维之间的藩篱。

想想传统情况下会发生什么。业务会把需求扔过墙，这是因为他们在“买房”模式下运作，并且说上一句“我们 9 个月后见。”开发人员根据这些需求进行开发，并根据技术约束的需要进行更改。然后，他们把它扔过墙传递给运维人员，并说一句“搞清楚如何运行这个软件”。然后，运维人员勤就会勤奋地进行大量更改，使软件与基础设施保持一致。然而，最终的结果是什么呢？

通常情况下，当业务人员看到需求实现的最终结果时甚至根本辨认不出。在过去 20 年的大部分时间里，我们一次又一次地目睹了这种模式在软件行业中上演。而现在，是时候改变了。

Linux 容器能够真正地解决这样的问题，这是因为容器弥合开发和运维之间的鸿沟。容器技术允许两个团队共同理解和设计所有的关键需求，但仍然独立地履行各自团队的职责。基本上，我们去掉了开发人员和运维人员之间的电话游戏。

有了容器技术，我们可以使得运维团队的规模更小，但依旧能够承担起数百万应用程序的运维工作，并且能够使得开发团队可以更加快速地根据需要更改软件。(在较大的组织中，所需的速度可能比运维人员的响应速度更快。)

有了容器技术，你可以将所需要交付的内容与它运行的位置分开。你的运维团队只需要负责运行容器的主机和安全的内存占用，仅此而已。这意味着什么呢？

首先，这意味着你现在可以和团队一起实践 DevOps 了。没错，只需要让团队专注于他们已经拥有的专业知识，而对于容器，只需让团队了解所需集成依赖关系的必要知识即可。

如果你想要重新训练每个人，没有人会精通所有事情。容器技术允许团队之间进行交互，但同时也会为每个团队提供一个围绕该团队优势而构建的强大边界。开发人员会知道需要消耗什么资源，但不需要知道如何使其大规模运行。运维团队了解核心基础设施，但不需要了解应用程序的细节。此外，运维团队也可以通过更新应用程序来解决新的安全问题，以免你成为下一个数据泄露的热门话题。

想要为一个大型 IT 组织，比如 30000 人的团队教授运维和开发技能？那或许需要花费你十年的时间，而你可能并没有那么多时间。

当人们谈论“构建新的云原生应用程序将帮助我们摆脱这个问题”时，请批判性地进行思考。你可以在 10 个人的团队中构建云原生应用程序，但这对《财富》杂志前 1000 强的企业而言或许并不适用。除非你不再需要依赖现有的团队，否则你无法一个接一个地构建新的微服务：你最终将成为一个孤立的组织。这是一个诱人的想法，但你不能指望这些应用程序来重新定义你的业务。我还没见过哪家公司能在如此大规模的并行开发中获得成功。IT 预算已经受到限制；在很长时间内，将预算翻倍甚至三倍是不现实的。

当奇迹发生时：你好，速度

Linux 容器就是为扩容而生的。一旦你开始这样做，Kubernetes 之类的编制工具就会发挥作用，这是因为你将需要运行数千个容器。应用程序将不仅仅由一个容器组成，它们将依赖于许多不同的部分，所有的部分都会作为一个单元运行在容器上。如果不这样做，你的应用程序将无法在生产环境中很好地运行。

思考一下有多少小滑轮和杠杆组合在一起来支撑你的业务，对于任何应用程序都是如此。开发人员负责应用程序中的所有滑轮和杠杆。（如果开发人员没有这些组件，你可能会在集成时做噩梦。）与此同时，无论是在线下还是在云上，运维团队都会负责构成基础设施的所有滑轮和杠杆。做一个较为抽象的比喻，使用Kubernetes，你的运维团队就可以为应用程序提供运行所需的燃料，但又不必成为所有方面的专家。

开发人员进行实验，运维团队则保持基础设施的安全和可靠。这样的组合使得企业敢于承担小风险，从而实现创新。不同于打几个孤注一掷的赌，公司中真正的实验往往是循序渐进的和快速的。

从个人经验来看，这就是组织内部发生的显著变化：因为人们说：“我们如何通过改变计划来真正地利用这种实验能力？”它会强制执行敏捷计划。

举个例子，使用 DevOps 模型、容器和 Kubernetes 的 KeyBank 如今每天都会部署代码。（观看视频，其中主导了 KeyBank 持续交付和反馈的 John Rzeszotarski 将解释这一变化。）类似地，Macquarie 银行也借助 DevOps 和容器技术每天将一些东西投入生产环境。

一旦你每天都推出软件，它就会改变你计划的每一个方面，并且会加速业务的变化速度。Macquarie 银行和金融服务集团的 CDO，Luis Uguina 表示：“创意可以在一天内触达客户。”(参见对 Red Hat 与 Macquarie 银行合作的案例研究)。

是时候去创造一些伟大的东西了

Macquarie 的例子说明了速度的力量。这将如何改变你的经营方式？记住，Macquarie 不是一家初创企业。这是 CIO 们所面临的颠覆性力量，它不仅来自新的市场进入者，也来自老牌同行。

开发人员的自由还改变了运营敏捷商店的 CIO 们的人才方程式。突然之间，大公司里的个体（即使不是在最热门的行业或地区）也可以产生巨大的影响。Macquarie 利用这一变动作为招聘工具，并向开发人员承诺，所有新招聘的员工将会在第一周内推出新产品。

与此同时，在这个基于云的计算和存储能力的时代，我们比以往任何时候都拥有更多可用的基础设施。考虑到机器学习和人工智能工具将很快实现的飞跃，这是幸运的。

所有这些都说明现在正是打造伟大事业的好时机。考虑到市场创新的速度，你需要不断地创造伟大的东西来保持客户的忠诚度。因此，如果你一直在等待将赌注押在 DevOps 上，那么现在就是正确的时机。容器技术和 Kubernetes 改变了规则，并且对你有利。

via: https://enterprisersproject.com/article/2018/1/how-technology-changes-rules-doing-agile

作者：Matt Hicks 译者：JayFrank 校对：wxy

本文由 LCTT 原创编译，Linux中国 荣誉推出

随着容器和容器技术的兴起，现在所有主流的 Linux 发行版都提供了容器基础镜像。本文介绍了 Fedora 项目如何构建其基本镜像，同时还展示了如何使用它来创建分层图像。

基础和分层镜像

在看如何构建 Fedora 容器 基础镜像 base image 之前，让我们定义基础镜像和 分层镜像 layered image 。定义基础镜像的简单方法是没有父镜像层的镜像。但这具体意味着什么呢？这意味着基础镜像通常只包含操作系统的根文件系统基础镜像（rootfs）。基础镜像通常提供安装软件以创建分层镜像所需的工具。

分层镜像在基础镜像上添加了一组层，以便安装、配置和运行应用。分层镜像在 Dockerfile 中使用 FROM 指令引用基础镜像：

FROM fedora:latest

如何构建基础镜像

Fedora 有一整套用于构建容器镜像的工具。其中包括 podman，它不需要以 root 身份运行。

构建 rootfs

基础镜像主要由一个 tarball) 构成。这个 tarball 包含一个 rootfs。有不同的方法来构建此 rootfs。Fedora 项目使用 kickstart) 安装方式以及 imagefactory 来创建这些 tarball。

在创建 Fedora 基础镜像期间使用的 kickstart 文件可以在 Fedora 的构建系统 Koji 中找到。Fedora-Container-Base 包重新组合了所有基础镜像的构建版本。如果选择了一个构建版本，那么可以访问所有相关文件，包括 kickstart 文件。查看 示例，文件末尾的 %packages 部分定义了要安装的所有软件包。这就是让软件放在基础镜像中的方法。

使用 rootfs 构建基础镜像

rootfs 完成后，构建基础镜像就很容易了。它只需要一个包含以下指令的 Dockerfile：

FROM scratch
ADD layer.tar /
CMD ["/bin/bash"]

这里的重要部分是 FROM scratch 指令，它会创建一个空镜像。然后，接下来的指令将 rootfs 添加到镜像，并设置在运行镜像时要执行的默认命令。

让我们使用 Koji 内置的 Fedora rootfs 构建一个基础镜像：

$ curl -o fedora-rootfs.tar.xz https://kojipkgs.fedoraproject.org/packages/Fedora-Container-Base/Rawhide/20190902.n.0/images/Fedora-Container-Base-Rawhide-20190902.n.0.x86_64.tar.xz
$ tar -xJvf fedora-rootfs.tar.xz 51c14619f9dfd8bf109ab021b3113ac598aec88870219ff457ba07bc29f5e6a2/layer.tar 
$ mv 51c14619f9dfd8bf109ab021b3113ac598aec88870219ff457ba07bc29f5e6a2/layer.tar layer.tar
$ printf "FROM scratch\nADD layer.tar /\nCMD [\"/bin/bash\"]" > Dockerfile
$ podman build -t my-fedora .
$ podman run -it --rm my-fedora cat /etc/os-release

需要从下载的存档中提取包含 rootfs 的 layer.tar 文件。这在 Fedora 生成的镜像已经可以被容器运行时使用才需要。

因此，使用 Fedora 生成的镜像，获得基础镜像会更容易。让我们看看它是如何工作的：

$ curl -O https://kojipkgs.fedoraproject.org/packages/Fedora-Container-Base/Rawhide/20190902.n.0/images/Fedora-Container-Base-Rawhide-20190902.n.0.x86_64.tar.xz
$ podman load --input Fedora-Container-Base-Rawhide-20190902.n.0.x86_64.tar.xz
$ podman run -it --rm localhost/fedora-container-base-rawhide-20190902.n.0.x86_64:latest cat /etc/os-release

构建分层镜像

要构建使用 Fedora 基础镜像的分层镜像，只需在 FROM 行指令中指定 fedora：

FROM fedora:latest

latest 标记引用了最新的 Fedora 版本（编写本文时是 Fedora 30）。但是可以使用镜像的标签来使用其他版本。例如，FROM fedora:31 将使用 Fedora 31 基础镜像。

Fedora 支持将软件作为容器来构建并发布。这意味着你可以维护 Dockerfile 来使其他人可以使用你的软件。关于在 Fedora 中成为容器镜像维护者的更多信息，请查看 Fedora 容器指南。

via: https://fedoramagazine.org/how-to-build-fedora-container-images/

作者：Clément Verna 选题：lujun9972 译者：geekpi 校对：wxy

本文由 LCTT 原创编译，Linux中国 荣誉推出

了解如何使用 Podman 在单独的用户空间运行容器。

Podman 是 libpod 库的一部分，使用户能够管理 pod、容器和容器镜像。在我的上一篇文章中，我写过将 Podman 作为一种更安全的运行容器的方式。在这里，我将解释如何使用 Podman 在单独的用户命名空间中运行容器。

作为分离容器的一个很棒的功能，我一直在思考 用户命名空间 user namespace ，它主要是由 Red Hat 的 Eric Biederman 开发的。用户命名空间允许你指定用于运行容器的用户标识符（UID）和组标识符（GID）映射。这意味着你可以在容器内以 UID 0 运行，在容器外以 UID 100000 运行。如果容器进程逃逸出了容器，内核会将它们视为以 UID 100000 运行。不仅如此，任何未映射到用户命名空间的 UID 所拥有的文件对象都将被视为 nobody 所拥有（UID 是 65534， 由 kernel.overflowuid 指定），并且不允许容器进程访问，除非该对象可由“其他人”访问（即世界可读/可写）。

如果你拥有一个权限为 660 的属主为“真实” root 的文件，而当用户命名空间中的容器进程尝试读取它时，会阻止它们访问它，并且会将该文件视为 nobody 所拥有。

示例

以下是它是如何工作的。首先，我在 root 拥有的系统中创建一个文件。

$ sudo bash -c "echo Test > /tmp/test"
$ sudo chmod 600 /tmp/test
$ sudo ls -l /tmp/test
-rw-------. 1 root root 5 Dec 17 16:40 /tmp/test

接下来，我将该文件卷挂载到一个使用用户命名空间映射 0:100000:5000 运行的容器中。

$ sudo podman run -ti -v /tmp/test:/tmp/test:Z --uidmap 0:100000:5000 fedora sh
# id
uid=0(root) gid=0(root) groups=0(root)
# ls -l /tmp/test
-rw-rw----. 1 nobody nobody 8 Nov 30 12:40 /tmp/test
# cat /tmp/test
cat: /tmp/test: Permission denied

上面的 --uidmap 设置告诉 Podman 在容器内映射一系列的 5000 个 UID，从容器外的 UID 100000 开始的范围（100000-104999）映射到容器内 UID 0 开始的范围（0-4999）。在容器内部，如果我的进程以 UID 1 运行，则它在主机上为 100001。

由于实际的 UID=0 未映射到容器中，因此 root 拥有的任何文件都将被视为 nobody 所拥有。即使容器内的进程具有 CAP_DAC_OVERRIDE 能力，也无法覆盖此种保护。DAC_OVERRIDE 能力使得 root 的进程能够读/写系统上的任何文件，即使进程不是 root 用户拥有的，也不是全局可读或可写的。

用户命名空间的功能与宿主机上的功能不同。它们是命名空间的功能。这意味着我的容器的 root 只在容器内具有功能 —— 实际上只有该范围内的 UID 映射到内用户命名空间。如果容器进程逃逸出了容器，则它将没有任何非映射到用户命名空间的 UID 之外的功能，这包括 UID=0。即使进程可能以某种方式进入另一个容器，如果容器使用不同范围的 UID，它们也不具备这些功能。

请注意，SELinux 和其他技术还限制了容器进程破开容器时会发生的情况。

使用 podman top 来显示用户名字空间

我们在 podman top 中添加了一些功能，允许你检查容器内运行的进程的用户名，并标识它们在宿主机上的真实 UID。

让我们首先使用我们的 UID 映射运行一个 sleep 容器。

$ sudo podman run --uidmap 0:100000:5000 -d fedora sleep 1000

现在运行 podman top：

$ sudo podman top --latest user huser
USER   HUSER
root   100000

$ ps -ef | grep sleep
100000   21821 21809  0 08:04 ?         00:00:00 /usr/bin/coreutils --coreutils-prog-shebang=sleep /usr/bin/sleep 1000

注意 podman top 报告用户进程在容器内以 root 身份运行，但在宿主机（HUSER）上以 UID 100000 运行。此外，ps 命令确认 sleep 过程以 UID 100000 运行。

现在让我们运行第二个容器，但这次我们将选择一个单独的 UID 映射，从 200000 开始。

$ sudo podman run --uidmap 0:200000:5000 -d fedora sleep 1000
$ sudo podman top --latest user huser
USER   HUSER
root   200000

$ ps -ef | grep sleep
100000   21821 21809  0 08:04 ?         00:00:00 /usr/bin/coreutils --coreutils-prog-shebang=sleep /usr/bin/sleep 1000
200000   23644 23632  1 08:08 ?         00:00:00 /usr/bin/coreutils --coreutils-prog-shebang=sleep /usr/bin/sleep 1000

请注意，podman top 报告第二个容器在容器内以 root 身份运行，但在宿主机上是 UID=200000。

另请参阅 ps 命令，它显示两个 sleep 进程都在运行：一个为 100000，另一个为 200000。

这意味着在单独的用户命名空间内运行容器可以在进程之间进行传统的 UID 分离，而这从一开始就是 Linux/Unix 的标准安全工具。

用户名字空间的问题

几年来，我一直主张用户命名空间应该作为每个人应该有的安全工具，但几乎没有人使用过。原因是没有任何文件系统支持，也没有一个 移动文件系统 shifting file system 。

在容器中，你希望在许多容器之间共享基本镜像。上面的每个示例中使用了 Fedora 基本镜像。Fedora 镜像中的大多数文件都由真实的 UID=0 拥有。如果我在此镜像上使用用户名称空间 0:100000:5000 运行容器，默认情况下它会将所有这些文件视为 nobody 所拥有，因此我们需要移动所有这些 UID 以匹配用户名称空间。多年来，我想要一个挂载选项来告诉内核重新映射这些文件 UID 以匹配用户命名空间。上游内核存储开发人员还在继续研究，在此功能上已经取得一些进展，但这是一个难题。

由于由 Nalin Dahyabhai 领导的团队开发的自动 chown 内置于容器/存储中，Podman 可以在同一镜像上使用不同的用户名称空间。当 Podman 使用容器/存储，并且 Podman 在新的用户命名空间中首次使用一个容器镜像时，容器/存储会 “chown”（如，更改所有权）镜像中的所有文件到用户命名空间中映射的 UID 并创建一个新镜像。可以把它想象成一个 fedora:0:100000:5000 镜像。

当 Podman 在具有相同 UID 映射的镜像上运行另一个容器时，它使用“预先 chown”的镜像。当我在0:200000:5000 上运行第二个容器时，容器/存储会创建第二个镜像，我们称之为 fedora:0:200000:5000。

请注意，如果你正在执行 podman build 或 podman commit 并将新创建的镜像推送到容器注册库，Podman 将使用容器/存储来反转该移动，并将推送所有文件属主变回真实 UID=0 的镜像。

这可能会导致在新的 UID 映射中创建容器时出现真正的减速，因为 chown 可能会很慢，具体取决于镜像中的文件数。此外，在普通的 OverlayFS 上，镜像中的每个文件都会被复制。普通的 Fedora 镜像最多可能需要 30 秒才能完成 chown 并启动容器。

幸运的是，Red Hat 内核存储团队（主要是 Vivek Goyal 和 Miklos Szeredi）在内核 4.19 中为 OverlayFS 添加了一项新功能。该功能称为“仅复制元数据”。如果使用 metacopy=on 选项来挂载层叠文件系统，则在更改文件属性时，它不会复制较低层的内容；内核会创建新的 inode，其中包含引用指向较低级别数据的属性。如果内容发生变化，它仍会复制内容。如果你想试用它，可以在 Red Hat Enterprise Linux 8 Beta 中使用此功能。

这意味着容器 chown 可能在两秒钟内发生，并且你不会倍增每个容器的存储空间。

这使得像 Podman 这样的工具在不同的用户命名空间中运行容器是可行的，大大提高了系统的安全性。

前瞻

我想向 Podman 添加一个新选项，比如 --userns=auto，它会为你运行的每个容器自动选择一个唯一的用户命名空间。这类似于 SELinux 与单独的多类别安全（MCS）标签一起使用的方式。如果设置环境变量 PODMAN_USERNS=auto，则甚至不需要设置该选项。

Podman 最终允许用户在不同的用户名称空间中运行容器。像 Buildah 和 CRI-O 这样的工具也可以利用用户命名空间。但是，对于 CRI-O，Kubernetes 需要了解哪个用户命名空间将运行容器引擎，上游正在开发这个功能。

在我的下一篇文章中，我将解释如何在用户命名空间中将 Podman 作为非 root 用户运行。

via: https://opensource.com/article/18/12/podman-and-user-namespaces

作者：Daniel J Walsh 选题：lujun9972 译者：wxy 校对：wxy

本文由 LCTT 原创编译，Linux中国 荣誉推出

Podman 使用传统的 fork/exec 模型（相对于客户端/服务器模型）来运行容器。

在进入本文的主要主题 Podman 和容器之前，我需要了解一点 Linux 审计功能的技术。

什么是审计？

Linux 内核有一个有趣的安全功能，叫做审计。它允许管理员在系统上监视安全事件，并将它们记录到audit.log 中，该文件可以本地存储或远程存储在另一台机器上，以防止黑客试图掩盖他的踪迹。

/etc/shadow 文件是一个经常要监控的安全文件，因为向其添加记录可能允许攻击者获得对系统的访问权限。管理员想知道是否有任何进程修改了该文件，你可以通过执行以下命令来执行此操作：

# auditctl -w /etc/shadow

现在让我们看看当我修改了 /etc/shadow 文件会发生什么：

# touch /etc/shadow 
# ausearch -f /etc/shadow -i -ts recent

type=PROCTITLE msg=audit(10/10/2018 09:46:03.042:4108) : proctitle=touch /etc/shadow type=SYSCALL msg=audit(10/10/2018 09:46:03.042:4108) : arch=x86_64 syscall=openat success=yes exit=3 a0=0xffffff9c a1=0x7ffdb17f6704 a2=O_WRONLY|O_CREAT|O_NOCTTY| O_NONBLOCK a3=0x1b6 items=2 ppid=2712 pid=3727 auid=dwalsh uid=root gid=root euid=root suid=root fsuid=root egid=root sgid=root fsgid=root tty=pts1 ses=3 comm=touch exe=/usr/bin/touch subj=unconfined_u:unconfined_r:unconfined_t:s0-s0:c0.c1023 key=(null)`

审计记录中有很多信息，但我重点注意到它记录了 root 修改了 /etc/shadow 文件，并且该进程的审计 UID（auid）的所有者是 dwalsh。

内核修改了这个文件了么？

跟踪登录 UID

登录 UID（loginuid），存储在 /proc/self/loginuid 中，它是系统上每个进程的 proc 结构的一部分。该字段只能设置一次；设置后，内核将不允许任何进程重置它。

当我登录系统时，登录程序会为我的登录过程设置 loginuid 字段。

我（dwalsh）的 UID 是 3267。

$ cat /proc/self/loginuid
3267

现在，即使我变成了 root，我的登录 UID 仍将保持不变。

$ sudo cat /proc/self/loginuid
3267

请注意，从初始登录过程 fork 并 exec 的每个进程都会自动继承 loginuid。这就是内核知道登录的人是 dwalsh 的方式。

容器

现在让我们来看看容器。

sudo podman run fedora cat /proc/self/loginuid
3267

甚至容器进程也保留了我的 loginuid。 现在让我们用 Docker 试试。

sudo docker run fedora cat /proc/self/loginuid 
4294967295

为什么不一样？

Podman 对于容器使用传统的 fork/exec 模型，因此容器进程是 Podman 进程的后代。Docker 使用客户端/服务器模型。我执行的 docker 命令是 Docker 客户端工具，它通过客户端/服务器操作与 Docker 守护进程通信。然后 Docker 守护程序创建容器并处理 stdin/stdout 与 Docker 客户端工具的通信。

进程的默认 loginuid（在设置 loginuid 之前）是 4294967295（LCTT 译注：2 ³² - 1）。由于容器是 Docker 守护程序的后代，而 Docker 守护程序是 init 系统的子代，所以，我们看到 systemd、Docker 守护程序和容器进程全部具有相同的 loginuid：4294967295，审计系统视其为未设置审计 UID。

cat /proc/1/loginuid 
4294967295

怎么会被滥用？

让我们来看看如果 Docker 启动的容器进程修改 /etc/shadow 文件会发生什么。

$ sudo docker run --privileged -v /:/host fedora touch /host/etc/shadow 
$ sudo ausearch -f /etc/shadow -i type=PROCTITLE msg=audit(10/10/2018 10:27:20.055:4569) : proctitle=/usr/bin/coreutils --coreutils-prog-shebang=touch /usr/bin/touch /host/etc/shadow type=SYSCALL msg=audit(10/10/2018 10:27:20.055:4569) : arch=x86_64 syscall=openat success=yes exit=3 a0=0xffffff9c a1=0x7ffdb6973f50 a2=O_WRONLY|O_CREAT|O_NOCTTY| O_NONBLOCK a3=0x1b6 items=2 ppid=11863 pid=11882 auid=unset uid=root gid=root euid=root suid=root fsuid=root egid=root sgid=root fsgid=root tty=(none) ses=unset comm=touch exe=/usr/bin/coreutils subj=system_u:system_r:spc_t:s0 key=(null)

在 Docker 情形中，auid 是未设置的（4294967295）；这意味着安全人员可能知道有进程修改了 /etc/shadow 文件但身份丢失了。

如果该攻击者随后删除了 Docker 容器，那么在系统上谁修改 /etc/shadow 文件将没有任何跟踪信息。

现在让我们看看相同的场景在 Podman 下的情况。

$ sudo podman run --privileged -v /:/host fedora touch /host/etc/shadow 
$ sudo ausearch -f /etc/shadow -i type=PROCTITLE msg=audit(10/10/2018 10:23:41.659:4530) : proctitle=/usr/bin/coreutils --coreutils-prog-shebang=touch /usr/bin/touch /host/etc/shadow type=SYSCALL msg=audit(10/10/2018 10:23:41.659:4530) : arch=x86_64 syscall=openat success=yes exit=3 a0=0xffffff9c a1=0x7fffdffd0f34 a2=O_WRONLY|O_CREAT|O_NOCTTY| O_NONBLOCK a3=0x1b6 items=2 ppid=11671 pid=11683 auid=dwalsh uid=root gid=root euid=root suid=root fsuid=root egid=root sgid=root fsgid=root tty=(none) ses=3 comm=touch exe=/usr/bin/coreutils subj=unconfined_u:system_r:spc_t:s0 key=(null)

由于它使用传统的 fork/exec 方式，因此 Podman 正确记录了所有内容。

这只是观察 /etc/shadow 文件的一个简单示例，但审计系统对于观察系统上的进程非常有用。使用 fork/exec 容器运行时（而不是客户端/服务器容器运行时）来启动容器允许你通过审计日志记录保持更好的安全性。

最后的想法

在启动容器时，与客户端/服务器模型相比，fork/exec 模型还有许多其他不错的功能。例如，systemd 功能包括：

• SD_NOTIFY：如果将 Podman 命令放入 systemd 单元文件中，容器进程可以通过 Podman 返回通知，表明服务已准备好接收任务。这是在客户端/服务器模式下无法完成的事情。
• 套接字激活：你可以将连接的套接字从 systemd 传递到 Podman，并传递到容器进程以便使用它们。这在客户端/服务器模型中是不可能的。

在我看来，其最好的功能是作为非 root 用户运行 Podman 和容器。这意味着你永远不会在宿主机上授予用户 root 权限，而在客户端/服务器模型中（如 Docker 使用的），你必须打开以 root 身份运行的特权守护程序的套接字来启动容器。在那里，你将受到守护程序中实现的安全机制与宿主机操作系统中实现的安全机制的支配 —— 这是一个危险的主张。

via: https://opensource.com/article/18/10/podman-more-secure-way-run-containers

作者：Daniel J Walsh 选题：lujun9972 译者：wxy 校对：wxy

本文由 LCTT 原创编译，Linux中国 荣誉推出

6 月 25 日，我代表 Linux 中国社区团队参加了本次 KubeCon 2019（上海）峰会，期间有幸和安全容器 runV 的创始人王旭做了一番长谈，就云原生技术、安全容器、开源与初创企业等话题进行了深入沟通。现将这些话题整理其精要分享给大家。

互联网技术发展速度之快是所有从业者甚至非从业者都能感受到的。尤记得在世纪之交时，那时候互联网刚刚在中国开始向民用普及，不说支撑大规模的网站访问量的相关技术，就连 Linux、负载均衡甚至都没有被普遍使用。而在二十年之后，云计算已经大行其道，当今的技术人员已经言必称虚拟化、容器和 Serverless，就连刚刚准备入行互联网运维行业的新人们都已经从最初觉得考个 Linux 认证就够了到开始问询 Kubernetes 培训哪家强了。

从一届届 LC3、DockerCon 到 KubeCon，蓬勃发展的云计算与容器化似乎已经称霸了互联网领域。这次我带队参加了 6 月 24 ~ 26 日的 KubeCon 大会，对此感受尤为深刻。事实上，这次在上海举办的 KubeCon 2019 距离上次在同一地点举办的同一会议才仅仅过去半年，但是我们依旧在这次大会上看到了层出不穷的大量新技术、新动态。

云与容器的结合，引爆了这一切。

作为容器领域的资深专家，让我们来看看王旭是如何看待容器和云原生领域当前的发展态势的，以及作为这个领域的一家初创技术企业的创始人，他是如何投身到这个领域的，开源又在其间起到了什么作用。

王旭，安全容器项目 runV 的创始人，现已加入蚂蚁金服。

创立于 2015 年的 runV 项目已于 2017 年和另外一个来自英特尔的 Clear 容器项目合并为 Kata 容器项目，并由 OpenStack 基金会（OSF）进行管理，它与来自谷歌的 gVisor 项目并称为目前两大安全容器技术。

开源与初创

要么就去加强容器，要不就是引入别的安全技术来让它像容器一样。

临近 2015 年，Docker 逐渐被业界主流所接受，互联网技术已经有一个比较明显的发展趋势：第一是云，第二是容器。而云加上容器一定会产生隔离性的需求，这应该说是王旭和他的联合创始人赵鹏做安全容器最早的一个思路：要么就去加强容器，要不就是引入别的安全技术来让它像容器一样。这就是 runV 这个项目想法的起源。

runV 发布的同一个星期，英特尔Clear 容器也发布了。2016 年 8 月份，在西雅图的 LinuxCon 上，王旭和 Clear 团队见面交流，双方在一些细节上面展开合作。在 2017 年 9 月份一个会议上，英特尔软件副总裁、开源技术中心总经理 Imad Sousou 提出项目合并，然后放到基金会里管理。当时大家都觉得这是很好的一个思路。

对于 runV 和 Clear 来说，避免了重复开发以及花费精力在如何说明两者的不同上，同时合并之后可以共同推动发展一个社区，一起去寻找更多的用户。同时，两者合并还有更多的意义。

Kata 容器的意义

Kata 容器最大的意义在于推动了社区的发展。

王旭认为，Kata 容器最大的意义在于推动了社区的发展。在 2018 年之前刚开始做 Kata 容器的时候，王旭他们需要很多的附加进程来模拟 runC 容器的行为，因为 runC 是事实标准，你需要兼容它。但是当 Kata 和谷歌的 gVisor 都出来之后，上游社区就注意到这一点，开始重视，于是推出新的接口，可以语义明确地直接去对话，而不需要再去模拟 runC 的底层行为，把原来的 2N+2 个辅助进程变成了一个进程。另外，既然有了不同的容器运行时，是不是可以在不同的场景下让它们转到不同容器运行时环境上去？于是就有了“ 运行时类 （ runtime class ） ”这样的结构。Kubernetes 社区做了很多这样改进，它们也在逐步变成事实标准。这样，一个小项目的引入推动了包括从用户到上下游的整个社区相关软件的变动。

安全容器也让更多的业务使用容器变得可能。

同时，安全容器也让更多的业务使用容器变得可能。王旭在蚂蚁金服做面向金融的一些服务往云原生方向发展，需要非常严格的安全标准，这正好和 Kata 这些安全容器项目结合在一起。

增强安全性不可避免的会带来一些会性能或易用性的取舍。王旭他们的做法是，在 Kata 里面增加了一个隔离层，减少用户需要考虑的事情。举个 Docker 的例子，Docker 镜像的开发者和管理员往往不是同一个人，对于管理员来说给出的权限越少越安全，但是对于开发者来说的话，尤其开发和调试的过程中，权限的变少会让开发和调试变得非常困难。对于开发者来说，不能完全理解管理员要做的事情，所以你就会见到很多的 Docker 镜像都是要所有权限的，因为它自己也不知道需要什么权限；此外还有一些动态的情况，很难先验地用程序去完全断定它需要的权限，开发者并不太不确定到底使用了哪些能力。在这个情况下我们做的事情就是把能力整体限制到沙盒里面。在沙盒里面是完整的能力，但是实际上沙盒本身访问不到外层的系统能力，这样对应用是无感知的，操作系统就变得更安全了。确实，对于系统来说安全性和便利性是一对矛盾，你很难在同一个层面上把这个问题完全解决掉。

现在有了“运行时类”，可以指定是否需要使用安全容器。Kubernetes 社区给大家提供 了一个机制，用户可以选用或者不用安全容器，它可以是全局的配置，也可以是 pod 级别的配置。对安全性不太关键的，比如说访问一些不太敏感信息的，可以在安全性上折中一点，可以让性能更好一些。

容器的发展

从早期的 Cgroup 开始，到 LXD/LXC 这样的容器技术的出现，再到 Docker 的的诞生，一下子点燃了整个容器技术生态，紧接着在容器编排系统出现后，并发展到现今 Kubernetes 成为了事实标准。容器领域一直在快速发展。王旭的看法又是怎样的呢？

容器领域正在逐渐往上层发展。

他认为，容器领域正在逐渐往上层发展。互联网技术本身一开始是在架构层面、在底层发展，但是从 Docker 开始兴起时，给大家的感受就是减少了对底层环境的考虑，用完整的环境把应用包装起来变成容器，让它可以随地随地运行。不需要操心运行在什么样的操作系统里，把操作系统这一层干掉，或者说把它变成很窄的一层。

以发行版为例。Linux服务器发行版的核心工作有两件：一是怎么把这个系统安装上；另一个是怎么去尽量平滑管理和升级软件系统。所有的事情其实都是在围绕这两件事情。最初出现了 RPM、APT 这些包管理系统，后来是通过 Chef、Puppet、Ansible 这类配置管理系统自动化的大规模部署，再到现在的 Docker、Kubernetes，一它们都是在做软件管理的事情。原来是操作系统在做这件事情，现在是 Kubernetes 在充当操作系统的位置；对云服务来说的话，这就是无服务器模式。2014 年 AWS 在拉斯维加斯的 re:Invent 大会发布 Lambda 的时候，得到业界非常大的关注。从 Lambda 开始，每个云厂商都逐渐有了自己的无服务器服务。所以他觉得未来的发展方向，应该是向这个方向的。

除此之外，像现在中间件、服务网格也都是这样一个目的，尽量的把应用要做的事情剥离出来，和应用无关的事情全都抽象出来放到底层。

对应用开发者和使用者来说，可以不用关心底层是什么架构、怎么伸缩的，只需要知道到我需要什么服务，只要定义应用，定义 Kubernetes 配置，由它统一管理、自动伸缩和调度就好。基础设施这一层会越来越向一些少数的云厂商集中，而大家更多的精力是帮助开发者做事情，集中精力在那些业务、智能等逻辑部分。

金融与云原生

加入蚂蚁金服之后，王旭致力于将安全容器技术落地到金融级云原生的场景下。由于金融领域的特殊性，云原生实践也需要有相应的变化。

要保证安全性，不仅仅满足应用的，也要满足监管的端到端的安全性要求。

王旭举例说，金融行业不仅仅本身对安全有要求，监管对安全也有要求。所以必须要保证安全性，不仅仅满足应用的，也要满足监管的端到端的安全性要求。另一方面，他们认为安全性包括两方面，一个是应用不能破坏沙盒，泄露到外面，同时应用的底层供应商不是自己时，也可以安全的使用。这就是一个双向的安全问题。

一般而言，作为一个云服务商，会假设所有的用户都是坏人，因为所有的用户都可能去窥探基础设施，它们都可能攻击其他用户，攻击宿主机，所以要做隔离。

而金融级的要求是不光是要做这一层的隔离，而是要做更强的隔离。首先是对应用不能盲目信任，即便是内部应用也不能放任，因为内部的也有可能存在局部的破坏，也有可能会有不安全的代码或者没有被完全验证的测试代码，还有可能会有第三方的代码。反过来，应用既然是金融级的应用，它对环境也有安全要求，所以这是整体的要求。

技术创业与开源

开源对软件公司来说，是一件向死而生的事情。

在早期以开源技术为核心做创业公司时，王旭认为开源是市场推广的一个很好途径。因为软件是有人买才能赚钱，有人用才有人买，所以你如果不开源，就要一家一家地找人去试用，但是你开源了之后大家就可以免费尝试。不过，开源并不是没有缺点，开源对软件公司来说，是一件向死而生的事情。你把最核心的技术开源了，赌的是别人跟不上你的发展速度；或者说别人相信你才有能力把它做到更好，别人才会用你；或者说你给别人看到的当前版本，让他相信下一个版本他也做不到你这么好，所以才愿意跟着你来走，以至于当他维护不了的时候才会愿意来给你掏钱。这应该说是一个在市场背景下的选择。

反过来说，如果说你现在做了一个基础设施领域的软件特别好用，但是你不开源，这个时候就一定会有人做一个一样的开源替代品。那你就看能不能比它做得好，你能不能拿更多的支持、拿到更多资源。这是很困难的。

所以在这个情况下，你不得不去做这种这种极致的推广手段，就是这种不买先送的这种开源式的市场推广手段。目前来看，纯软件实现的、跟硬件没关系这种项目基本上都是采用了开源或者半开源的方式，就是说至少给你一个开源的演示版或基础版。这种方式，从商业上说是迫不得已的一种推广方式。如果你不做，你的用户们用不到的话，他们会去寻找替代品，也一定会有开源替代品出现。

技术创业还会面临一个挑战，就是当你做出来产品以后，很快会有更大的对手入场，对于初创公司来说，面临的压力是颇大的。王旭面临的情况稍微有些不同。

幸运的是，推出和 runV 类似项目的公司是英特尔，在这件事情上并没有很强的盈利导向，这也是双方最终能够合作的前提。王旭认为尽量避免无用的竞争，而是一起来教育和开拓市场，是更有建设性的做法。

做初创公司，做有价值的东西是最重要的。

经历了开源技术为核心的技术创业之后，王旭对如何做技术创业也有一些自己的看法。他认为，对于初创公司来说，很大程度上来说都在赌别人没有做过的事情，因为你重复别人做的事情，还要比别人做的好，是一件很困难的事情。对于项目来说，取决于你想的是什么东西，你的项目想得越多，想出来和别人有什么不同，别人怎么需要你的项目，其实它就越有价值。

做初创公司，做有价值的东西是最重要的，而不是说做一个很好看的架构，最重要的还是要有价值，大家才会用。此外，还要考虑相关的项目，就是你要和谁一起配合工作，你的用户群是谁，你的用户需要去引用的已有项目是哪些，怎么和它们共存，因为完全从零开始造轮子不太可能，你会用到很多已有的成果。

新做一个项目，要考虑很多相关的东西、上下游的东西，各种的兼容性、支持性，要在生态里面去找到你自己的位置。除此之外，还要明白什么是项目最重要的指标，比如开始做 runV 的时候，第一个考虑事情就是安全容器的启动时间，并且不间断的去关注和优化。

最后，做开源项目也并不是说把代码开源出来就行了，还要注重社区的建设。

作为一个开源项目来说，它的社区是非常重要的，有社区才是开源项目。

王旭认为，作为一个开源项目来说，它的社区是非常重要的，有社区才是开源项目，没有社区的项目只是拿出代码给大家看看而已，那样不会有人真的严肃的去使用你的代码。

无论是在 runV 的时期，还是后面 Kata 容器的时期，社区都是王旭和团队非常注重的一环，有很多在早期关注和参与的开发者和组织，到现在王旭也和他们保持着很好的关系。

结语

作为国内少数的基础设施方面的开源软件初创项目的领军人物之一，王旭无疑在这个领域的技术和商业方面拥有独到的经验和感悟，这些思考可以给更多在前沿领域的技术人员和开源初创项目一些启示。

“穿山甲专访”栏目是 Linux 中国社区推出的面向开源界、互联网技术圈的重要领军人物的系列采访，将为大家介绍中国开源领域中一些积极推动开源，谙熟开源思想的技术人，并辨析其思考、挖掘其动因，揭示其背后所发生的事情，为关注开源、有志于开源的企业和技术人标出一条路径。

取名为“穿山甲”寓意有二：取穿山甲挖掘、深入之意来象征技术进步和表征技术领袖的作用；穿山甲是珍稀保护动物，宣传公益。

在我们的上一个教程中，我们已经了解如何在 Ubuntu 上安装 Docker，和如何在 CentOS 上安装 Docker。今天，我们将会了解 Docker 的一些基础用法。该教程包含了如何创建一个新的 Docker 容器，如何运行该容器，如何从现有的 Docker 容器中创建自己的 Docker 镜像等 Docker 的一些基础知识、操作。所有步骤均在 Ubuntu 18.04 LTS server 版本下测试通过。

入门指南

在开始指南之前，不要混淆 Docker 镜像和 Docker 容器这两个概念。在之前的教程中，我就解释过，Docker 镜像是决定 Docker 容器行为的一个文件，Docker 容器则是 Docker 镜像的运行态或停止态。（LCTT 译注：在 macOS 下使用 Docker 终端时，不需要加 sudo）

1、搜索 Docker 镜像

我们可以从 Docker 仓库中获取镜像，例如 Docker hub，或者自己创建镜像。这里解释一下，Docker hub 是一个云服务器，用来提供给 Docker 的用户们创建、测试，和保存他们的镜像。

Docker hub 拥有成千上万个 Docker 镜像文件。你可以通过 docker search命令在这里搜索任何你想要的镜像。

例如，搜索一个基于 Ubuntu 的镜像文件，只需要运行：

$ sudo docker search ubuntu

示例输出：

搜索基于 CentOS 的镜像，运行：

$ sudo docker search centos

搜索 AWS 的镜像，运行：

$ sudo docker search aws

搜索 WordPress 的镜像：

$ sudo docker search wordpress

Docker hub 拥有几乎所有种类的镜像，包含操作系统、程序和其他任意的类型，这些你都能在 Docker hub 上找到已经构建完的镜像。如果你在搜索时，无法找到你想要的镜像文件，你也可以自己构建一个，将其发布出去，或者仅供你自己使用。

2、下载 Docker 镜像

下载 Ubuntu 的镜像，你需要在终端运行以下命令：

$ sudo docker pull ubuntu

这条命令将会从 Docker hub 下载最近一个版本的 Ubuntu 镜像文件。

示例输出：

Using default tag: latest
latest: Pulling from library/ubuntu
6abc03819f3e: Pull complete 
05731e63f211: Pull complete 
0bd67c50d6be: Pull complete 
Digest: sha256:f08638ec7ddc90065187e7eabdfac3c96e5ff0f6b2f1762cf31a4f49b53000a5
Status: Downloaded newer image for ubuntu:latest

你也可以下载指定版本的 Ubuntu 镜像。运行以下命令：

$ docker pull ubuntu:18.04

Docker 允许在任意的宿主机操作系统下，下载任意的镜像文件，并运行。

例如，下载 CentOS 镜像：

$ sudo docker pull centos

所有下载的镜像文件，都被保存在 /var/lib/docker 文件夹下。（LCTT 译注：不同操作系统存放的文件夹并不是一致的，具体存放位置请在官方查询）

查看已经下载的镜像列表，可以使用以下命令：

$ sudo docker images

示例输出：

REPOSITORY          TAG                 IMAGE ID            CREATED             SIZE
ubuntu              latest              7698f282e524        14 hours ago        69.9MB
centos              latest              9f38484d220f        2 months ago        202MB
hello-world         latest              fce289e99eb9        4 months ago        1.84kB

正如你看到的那样，我已经下载了三个镜像文件：ubuntu、centos 和 hello-world。

现在，让我们继续，来看一下如何运行我们刚刚下载的镜像。

3、运行 Docker 镜像

运行一个容器有两种方法。我们可以使用标签或者是镜像 ID。标签指的是特定的镜像快照。镜像 ID 是指镜像的唯一标识。

正如上面结果中显示，latest 是所有镜像的一个标签。7698f282e524 是 Ubuntu Docker 镜像的镜像 ID，9f38484d220f是 CentOS 镜像的镜像 ID，fce289e99eb9 是 hello\_world 镜像的 镜像 ID。

下载完 Docker 镜像之后，你可以通过下面的命令来使用其标签来启动：

$ sudo docker run -t -i ubuntu:latest /bin/bash

在这条语句中：

• -t：在该容器中启动一个新的终端
• -i：通过容器中的标准输入流建立交互式连接
• ubuntu:latest：带有标签 latest 的 Ubuntu 容器
• /bin/bash：在新的容器中启动 BASH Shell

或者，你可以通过镜像 ID 来启动新的容器：

$ sudo docker run -t -i 7698f282e524 /bin/bash

在这条语句里：

• 7698f282e524 — 镜像 ID

在启动容器之后，将会自动进入容器的 shell 中（注意看命令行的提示符）。

Docker 容器的 Shell

如果想要退回到宿主机的终端（在这个例子中，对我来说，就是退回到 18.04 LTS），并且不中断该容器的执行，你可以按下 CTRL+P，再按下 CTRL+Q。现在，你就安全的返回到了你的宿主机系统中。需要注意的是，Docker 容器仍然在后台运行，我们并没有中断它。

可以通过下面的命令来查看正在运行的容器：

$ sudo docker ps

示例输出：

CONTAINER ID        IMAGE               COMMAND             CREATED             STATUS              PORTS               NAMES
32fc32ad0d54        ubuntu:latest       "/bin/bash"         7 minutes ago       Up 7 minutes                            modest_jones

列出正在运行的容器

可以看到：

• 32fc32ad0d54 – 容器 ID
• ubuntu:latest – Docker 镜像

需要注意的是，容器 ID 和 Docker 的镜像 ID是不同的。

可以通过以下命令查看所有正在运行和停止运行的容器：

$ sudo docker ps -a

在宿主机中断容器的执行：

$ sudo docker stop <container-id>

例如：

$ sudo docker stop 32fc32ad0d54

如果想要进入正在运行的容器中，你只需要运行：

$ sudo docker attach 32fc32ad0d54

正如你看到的，32fc32ad0d54 是一个容器的 ID。当你在容器中想要退出时，只需要在容器内的终端中输入命令：

# exit

你可以使用这个命令查看后台正在运行的容器：

$ sudo docker ps

4、构建自己的 Docker 镜像

Docker 不仅仅可以下载运行在线的容器，你也可以创建你的自己的容器。

想要创建自己的 Docker 镜像，你需要先运行一个你已经下载完的容器：

$ sudo docker run -t -i ubuntu:latest /bin/bash

现在，你运行了一个容器，并且进入了该容器。然后，在该容器安装任意一个软件或做任何你想做的事情。

例如，我们在容器中安装一个 Apache web 服务器。

当你完成所有的操作，安装完所有的软件之后，你可以执行以下的命令来构建你自己的 Docker 镜像：

# apt update
# apt install apache2

同样的，在容器中安装和测试你想要安装的所有软件。

当你安装完毕之后，返回的宿主机的终端。记住，不要关闭容器。想要返回到宿主机而不中断容器。请按下CTRL+P，再按下 CTRL+Q。

从你的宿主机的终端中，运行以下命令如寻找容器的 ID：

$ sudo docker ps

最后，从一个正在运行的容器中创建 Docker 镜像：

$ sudo docker commit 3d24b3de0bfc ostechnix/ubuntu_apache

示例输出：

sha256:ce5aa74a48f1e01ea312165887d30691a59caa0d99a2a4aa5116ae124f02f962

在这里：

• 3d24b3de0bfc — 指 Ubuntu 容器的 ID。
• ostechnix — 我们创建的容器的用户名称
• ubuntu_apache — 我们创建的镜像

让我们检查一下我们新创建的 Docker 镜像：

$ sudo docker images

示例输出：

REPOSITORY                TAG                 IMAGE ID            CREATED              SIZE
ostechnix/ubuntu_apache   latest              ce5aa74a48f1        About a minute ago   191MB
ubuntu                    latest              7698f282e524        15 hours ago         69.9MB
centos                    latest              9f38484d220f        2 months ago         202MB
hello-world               latest              fce289e99eb9        4 months ago         1.84kB

列出所有的 Docker 镜像

正如你看到的，这个新的镜像就是我们刚刚在本地系统上从运行的容器上创建的。

现在，你可以从这个镜像创建一个新的容器。

$ sudo docker run -t -i ostechnix/ubuntu_apache /bin/bash

5、删除容器

如果你在 Docker 上的工作已经全部完成，你就可以删除那些你不需要的容器。

想要删除一个容器，首先，你需要停止该容器。

我们先来看一下正在运行的容器有哪些

$ sudo docker ps

示例输出：

CONTAINER ID IMAGE COMMAND CREATED STATUS PORTS NAMES
3d24b3de0bfc ubuntu:latest "/bin/bash" 28 minutes ago Up 28 minutes goofy_easley

使用容器 ID 来停止该容器：

$ sudo docker stop 3d24b3de0bfc

现在，就可以删除该容器了。

$ sudo docker rm 3d24b3de0bfc

你就可以按照这样的方法来删除那些你不需要的容器了。

当需要删除的容器数量很多时，一个一个删除也是很麻烦的，我们可以直接删除所有的已经停止的容器。只需要运行：

$ sudo docker container prune

按下 Y，来确认你的操作：

WARNING! This will remove all stopped containers.
Are you sure you want to continue? [y/N] y
Deleted Containers:
32fc32ad0d5445f2dfd0d46121251c7b5a2aea06bb22588fb2594ddbe46e6564
5ec614e0302061469ece212f0dba303c8fe99889389749e6220fe891997f38d0

Total reclaimed space: 5B

这个命令仅支持最新的 Docker。（LCTT 译注：仅支持 1.25 及以上版本的 Docker）

6、删除 Docker 镜像

当你删除了不要的 Docker 容器后，你也可以删除你不需要的 Docker 镜像。

列出已经下载的镜像：

$ sudo docker images

示例输出：

REPOSITORY                TAG                 IMAGE ID            CREATED             SIZE
ostechnix/ubuntu_apache   latest              ce5aa74a48f1        5 minutes ago       191MB
ubuntu                    latest              7698f282e524        15 hours ago        69.9MB
centos                    latest              9f38484d220f        2 months ago        202MB
hello-world               latest              fce289e99eb9        4 months ago        1.84kB

由上面的命令可以知道，在本地的系统中存在三个镜像。

使用镜像 ID 来删除镜像。

$ sudo docekr rmi ce5aa74a48f1

示例输出：

Untagged: ostechnix/ubuntu_apache:latest
Deleted: sha256:ce5aa74a48f1e01ea312165887d30691a59caa0d99a2a4aa5116ae124f02f962
Deleted: sha256:d21c926f11a64b811dc75391bbe0191b50b8fe142419f7616b3cee70229f14cd

解决问题

Docker 禁止我们删除一个还在被容器使用的镜像。

例如，当我试图删除 Docker 镜像 b72889fa879c 时，我只能获得一个错误提示：

Error response from daemon: conflict: unable to delete b72889fa879c (must be forced) - image is being used by stopped container dde4dd285377

这是因为这个 Docker 镜像正在被一个容器使用。

所以，我们来检查一个正在运行的容器：

$ sudo docker ps

示例输出：

注意，现在并没有正在运行的容器！！！

查看一下所有的容器（包含所有的正在运行和已经停止的容器）：

$ sudo docker pa -a

示例输出：

可以看到，仍然有一些已经停止的容器在使用这些镜像。

让我们把这些容器删除：

$ sudo docker rm 12e892156219

我们仍然使用容器 ID 来删除这些容器。

当我们删除了所有使用该镜像的容器之后，我们就可以删除 Docker 的镜像了。

例如：

$ sudo docekr rmi b72889fa879c

我们再来检查一下本机存在的镜像：

$ sudo docker images

想要知道更多的细节，请参阅本指南末尾给出的官方资源的链接或者在评论区进行留言。

这就是全部的教程了，希望你可以了解 Docker 的一些基础用法。

更多的教程马上就会到来，敬请关注。

via: https://www.ostechnix.com/getting-started-with-docker/

作者：sk 选题：lujun9972 译者：zhang5788 校对：wxy

本文由 LCTT 原创编译，Linux中国 荣誉推出