防火墙规则——

INPUT 主要用于主机防火墙，设置规则屏蔽处理进入本机的数据包

示例：禁止10.180.100.141这个机器访问我本机的web服务

iptables -t filter -A INPUT -s 10.180.100.141 -p tcp --dport 80 -j DROP

FORWARD 主要用于网络防火墙，设置规则处理穿过本机的数据包

示例：禁止10.180.100.141的机器穿过防火墙访问后端的机器

iptables -t filter -A FORWARD -s 10.180.100.141 -j DROP

nat防火墙，需要打开内核ip转发（systel -w net.ipv4.ip_forward=1）

POSTROUTING 源地址伪装

示例：通过伪装10.180.100.0网段的机器上网，首先防火墙本机可以访问互联网

iptables -t nat -A POSTROUTING -s 10.180.100.0 -j SNAT --to-source 防火墙外网ip

PERROUTING 目的地址转换

示例：所有防火墙10022端口的请求都转发给后端的10.180.100.141的22端口

iptables -t nat -A PERROUTING -p tcp --dport 10022 -j DNAT --to-destination 10.180.100.141:22

docker 容器管理

docker怎么连上容器？可以映射端口，比如我在容器创建一个apache和mysql，我们就把容器的端口映射到宿主机的80端口和3306端口。

实例

[root@x ~]# docker run -p 222:22 -itd centos（使用宿主机的222端口，映射容器的22端口）

[root@x ~]# ssh 192.168.230.168:222（然后输入密码就可以链接到容器）

自定义镜像与仓库

使用commit创建新镜像文件——

使用镜像启动容器，在该容器基础上修改，另存为另一个镜像

docker run itd centos

docker ps

docker exec CONTAINER ID(在这里进行增删改查，安装卸载软件等等)

docker commit CONTAINER ID name:latest（默认卷边就是latest）

docker images

示例：

[root@x ~]# docker run -itd centos（运行一个容器）

[root@x ~]# docker ps（查看容器）

CONTAINER ID        IMAGE               COMMAND             CREATED             STATUS              PORTS               NAMES

4576e60e1b56        centos      

[root@x ~]# docker exec -it 4576e60e1b56 bash（进入容器）

[root@4576e60e1b56 /]# yum -y install mysql..........（安装软件，修改配置文件等）

[root@x ~]# docker commit 4576e60e1b56 mycentos（另存为修改后的镜像名字为mycentos）

sha256:10bb17e15bd2b7ce98fc0dd8db1c6c1729da8fe39e0c0faed201fd8eaa4b488d

[root@x ~]# docker images

REPOSITORY          TAG                 IMAGE ID            CREATED             SIZE

mycentos            latest              10bb17e15bd2        44 seconds ago      197.2 MB

docker.io/nginx     latest              7f70b30f2cc6        2 days ago          108.7 MB

使用Dockerfile文件创建新镜像文件

Dockerfile语法格式——

FROM：基础镜像

MAINTAINER：镜像创建者信息

EXPOSE：开放的端口

ENV：环境变量

ADD：复制文件到镜像

RUN：制作镜像时执行的命令，可以有多个

WORKDIR：定义容器默认的工作目录

CMD：启动容器时执行的命令，仅可以有一条cmd

工作流程——

mkdir xx（创建一个文件夹），

vim Dockerfile（创建Dockerfile文件）

docker xx -t imagename Dockerfile

示例：

[root@x ~]# mkdir build（创建一个build，继续创建一个脚本，内容随意并赋予执行权限）

[root@x build]# ls

Dockerfile  xx.sh

[root@x build]# cat Dockerfile

FROM mycentos（使用自定义的镜像）

MAINTAINER xxsec 1520029989@qq.com（作者信息）

ENV NAME=xxsec

ENV environment=xxsec

WORKDIR /var/www/html

ADD xx.sh /root/xx.sh

RUN mkdir /dockerfile

RUN echo "xxsec" > dockerfile/file.txt

RUN yum -y install httpd

RUN echo "xxsec" > /var/www/html/index.html

EXPOSE 80

CMD ["httpd", "-DFOREGROUND"]

[root@x build]# ls

Dockerfile  xx.sh

[root@x build]# docker build -t xxsec .（.在当前目录执行，）

[root@x ~]# docker images（查看生成的镜像）

REPOSITORY          TAG                 IMAGE ID            CREATED              SIZE

xxsec              <none>              7acc6beb85a2        About a minute ago   197.2 MB

自定义仓库——

registry基本概念

共享镜像的一台服务器（镜像化的一台服务器）

自定义私有仓库

[root@xxsec ~] docker pull docker.io/registry

[root@xxsec ~] vim /usr/lib/systemd/system/docker.service

               ExecStart=/usr/bin/.dockerd --insecure-registry=ip:5000

[root@xxsec ~] systemctl daemon-reload

[root@xxsec ~] systemctl restart docker

[root@xxsec ~] docker run -id -p 5000:5000 registry

[root@xxsec ~] docker tar 镜像 镜像容器ip:5000/镜像:latest（打标签）

[root@xxsec ~] docker push 镜像容器ip:5000/镜像:latest（上传）

进入registry容器查看

[root@xxsec ~] cat /etc/docker/registry/config.yml

验证：

使用远程镜像启动容器

[root@xxsec ~] docker run -it 镜像容器ip:5000/镜像名

查看远程仓库上有什么镜像

http://容器镜像ip:5000/v2/_catalog

查看远程镜像的tag

http://容器镜像ip:5000/v2/<name>/tags/list

持久化存储——

存储卷：卷的概念docker容器不保存任何数据，重要的数据使用外部卷存储（存储持久化），容器可以挂在真实机目录或共享存储为卷

共享存储：一台共享存储服务器可以提供给所有的Docker主机使用，共享存储服务器（NAS,SAN,DAS等），如使用NFS创建共享存储服务器，客户端挂载NFS共享，并最终映射到容器中。

存储卷示例;

主机卷的映射，将真实机目录挂在到容器中提供持久性存储

[root@x ~]# docker run -it -v /var/data:/data centos bash

共享存储示例：

服务器端：[root@xxsec ~] yum -y install nfs-utils

          [root@xxsec ~] vim /etc/exports

          [root@xxsec ~] systemctl start nfs

docker主机（注意是宿主机mount）mount挂载共享，运行容器时，使用-v选项映射磁盘到容器中

docker网络管理

查看默认docker创建的网络模型

[root@xxsec ~] docker network list

[root@xxsec ~] ip a s docker0

[root@xxsec ~] brctl show docker0（启动容器会绑定该网桥）

新建docker网络模型

[root@xxsec ~] docker network create --driver bridge xx01

[root@xxsec ~] docker network list

[root@xxsec ~] ip a s

[root@xxsec ~] docker network inspect xx01

创建虚拟网桥——

[root@xxsec ~] cat /etc/sysconfig/network-scripts/ifcfg-br0

TYPE=Bridge

BOOTPROTO=static

... ...

NAME=eth0

DEVICE=eth0

BRIDGE=br0

NOBOOT=yes

IPADDR=192.168.230.168

[root@xxsec ~] cat /etc/sysconfig/network-scripts/ifcfg-eth0

TYPE=Ethernet

BOOTPROTO=static

... ...

NAME=eth0

DEVICE=eth0

BRIDGE=br0

NOBOOT=yes

IPADDR=192.168.230.168

[root@xxsec ~] brctl show（显示网桥）

docker自定义网桥

[root@xxsec ~] docker network create --subnet=192.168.230.176/24 xx01（创建网桥）

[root@xxsec ~] docker run --network=bridge|host|none

[root@xxsec ~] docker run --network=xx01 -id nginx（启动容器，使用刚创建的网桥）