Apparence
Uubu.fr

Les systèmes Linux, l’open source, les réseaux, l’interopérabilité, etc.
« Il vaut mieux viser la perfection et la manquer que viser l’imperfection et l’atteindre. » (Bertrand Arthur William RUSSEL)
13 mars 2016

docker containers lxc           Isolation


docker-daemon

docker-daemon

Activer le mode service

OPTIONS

--api-cors-header="" Définis les en-têtes CORS dans l'API distante. Défaut: désactivé.
--authorization-plugin="" Définis les plugins d'autorisation à charger
-b, --bridge="" Attache les conteneurs à un bridge réseau existant
--bit="" Utiliser l'adresse en notation CIDR donnée pour la création du bridge0. Ne peut pas être utilisé avec -b
--cgroup-parent="" Définis le cgroup parent pour tous les conteneurs. Défatut: /docker pour le pilote cgroup fs, et system.slice pour le pilote cgroup systemd
--cluster-store="" URL du backend de stockage distribué
--cluster-advertise="" Spécifie la combinaison 'host:port' ou 'interface:port' que cette instance particulière devrait utiliser en s'annonçant au cluster. Le service est accessible via cette valeur.
--cluster-store-opt="" Spécifie les optins pour la magasin de clé/valeurs
--config-file="/etc/docker/daemon.json" Spécifie le fichier de configuration JSON à charger
-D, --debug=true|false Active le mode débug. Défaut: false
--default-gateway="" Adresse IPv4 de la passerelle par défaut du conteneur. Cette adresse doit faire partie du bridge, définis par --bip
--default-gateway-v6="" idem avec l'IPv6
--default-ulimit=[] Définis les ulimits pour les conteneurs
--disable-legacy-registry=true|false Ne pas contacter les registre legacy
--dns="" Forcer Docker à utiliser les serveurs DNS spécifiés
--dns-opt="" Options DNS à utiliser
--dns-search=[] Domaines DNS à utiliser
--exec-opt=[] Défins les options du pilote d'exécution.
--exe-root="" Chemin racine du pilote d'exécution Docker. Défaut: /var/run/docker
--fixed-cidr="" Sous-réseau IPv4. Ce sous-réseau doit être imbriqué dans le bridge définis par --bip
--fixed-cidr-v6="" Idem en ipv6
-G, --group="" Groupe pour assigner un socker unix spécifié pas -H. Défaut: docker
-g, --graph="" Chemin à utiliser comme racine du Docker runtime. Défaut: /var/lib/docker
-H, --host=[unix:///var/run/docker.sock] tcp://[host:port] à connecter ou unix://[/path/to/socket] ou fd://socketfd à utiliser. Peut être spécifiés plusieurs fois
--icc=true|false Autorise les communication inter-conteneur et l'hôte non-restreint. Si désactivé, les conteneurs peuvent être liés ensemble avec l'option --link. Défaut: true
--insecure-registry=[] Active la communication au registre non-sécure.
--ip="" Adresse IP par défaut à utiliser en se connectant aux ports du conteneur. Défaut: 0.0.0.0
--ip-forward=true|false Active l'IP forwarding dans l'hôte Docker. Défaut: true. Intéragit avec l'ip forwarding dans le kernel.
--ip-masq=true|false Acive l'IP masquerading pour la plage IP du bridge. Défaut: true
--iptables=true|false Active l'ajout de règles iptables par docker. Défaut: true
--ipv6=true|false Active le support d'IPv6. Défaut: false. Docker céé un bridge avec l'adresse fe80::1.
-l, --log-level="debug|info|warn|error|fatal" Niveau de log. Défaut: info
--label="[]" Labels key=valyue du service.
--log-driver="json-file|syslog|journald|gelf|fluentd|awslogs|none" Pilote pou les logs des conteneurs. Défaut: json-file.
--log-opt=[] options spécifiques au pilote de logs.
--mtu=0 Définis le mtu des conteneurs. Défaut: 0
-p, --pidfile="" Chemin à utiliser pour le fichier PID du service. Défaut: /var/run/docker.pid
--registry-mirror=‹scheme›://‹host› Àjoute un registre miroir à utiliser pour télécharger les images. peut être spécifié plusieurs fois
-s, --storage-driver="" Force Docker à utiliser le pilote de stockage spécifique.
--selinux-enabled=true|false Active le support selinux. Défaut: false. SELinux ne support pas actuellement le pilote de stockage overlay
--storage-opt=[] Définis les options du pilote de stockage.
--tls=true|false Utilise TLS
--tlscacert=/.docker/ca.pem Spécifie les certificats d'autorité
--tlscert=/.docker/cert.pem Chemin du certificat à utiliser
--tlskey=/.docker/key.pem Chemin de la clé à utiliser
--tlsverify=true|false Utilise TLS et vérifie le paire
--userland-proxy=true|false Gère l'implémentation du proxy dans l'espace utilisateur pour les communication inter-conteneur et externes. Défaut: true
--userns-remap=default|uid:gid|user:group|user|uid Active les espaces de nom utilisateur pour les conteneurs. default créé un nouvel utilisateur et groupe.

Option de pilote de stockage

   Docker utilise des backend de stockage (appelés graphdrivers) pour créer des conteneurs en écriture depuis les images. De nombreux backends utilisent des technologies de l'OS et peuvent être configurés.

   L'options --storage-opt permet de spécifier des options pour le backend. Le seul backend qui actuellement accèpte des options est devicemapper.

   Spécifiquement pour devicemapper, le défaut est un modèle loopback qui ne nécessite aucune pré-configuration, mais est inefficace. Ne pas l'utiliser en production.

   Pour utiliser au mieux devicemapper, vous devez avoir une version récente de LVM. Utiliser lvm pour créer un pool, puis utiliser --storage-opt dm.thinpooldev pour indiquer à Docker d'utiliser ce pool pour allouer des images et des conteneurs.

dm.thinpooldev Spécifie un périphérique de stockage block à utiliser pour le pool
dm.basesize Spécifie la taile à utiliser en créant le périphérique de base, qui limite la taille des images et des conteneurs. La valeur par défaut est 10G.
dm.fs Spécifie le type de système de fichier à utiliser pour le périphérique de base. (ext4 et xfs). Défaut: ext4.
dm.mkfsarg Spécifie les arguments supplémentaire mkfs à utiliser pour la création du périphérique de base
dm.mountopt Spécifie les options de montages à utiliser en montant les périphériques.
dm.use_deferred_removal Active l'utilisation de la suppression de périphérique différé si libdm et le pilote kernel supportent ce mécanisme.
dm.use_deferred_deletion Active l'utilisation de la suppression de périphérique différé pour les périphériques pool.
dm.loopdatasize Ne pas utiliser en production. spécifie la taille à utiliser en créant le fichier loopback pour le périphérique de données.
dm.loopmetadatasize Ne pas utiliser en production. Spécifie la taille à utiliser en créant le fichier loopback pour les métadonnées.
dm.blocksize Spécifie une taille de block personnalisé. Défaut: 64K
dm.blkdiscard Active l'utilisation de blkdiscard en supprimant les périphériques devicemapper. Désactivé par défaut à cause d'une latence additionnelle.
dm.override_udev_sync_check Par défaut, le backend devicemapper tente de se synchroniser avec udev pour le kernel linux. Cette option permet de désactiver cette synchronisation.

Options de stockage en cluster

   Le service utiliser libkv pour annoncer le nœud dans le cluster. Certains backend key/value supportent TLS, et les paramètres TLS client utilisées par le service peuvent être configurés avec --cluster-store-opt:

kv.cacertfile Certificats d'autorité au format PEM
kv.certfile Certificat PEM à utiliser
kv.keyfile Clé privée PEM à utiliser

Autorisation d'accès

   L'autorisation d'accès à Docker peut être étendue par des plugins d'autorisation. Il est possible d'utiliser plusieurs plugins d'autorisation en même temps, avec l'option --autorization.