网络安全等级保护容器安全要求 — 术语解释（一）

知识宝库在此藏，一键关注获宝藏

依据《T/ISEAA 004-2023 网络安全等级保护容器安全要求》，以docker为例，对下列术语进行一个简单的举例，以助于理解。

一、容器镜像

1. 什么是镜像？

容器镜像是一个轻量级、可执行的独立软件包，包含了运行某个软件所需的所有内容，如代码、运行时（执行程序时的依赖关系）、库、环境变量和配置文件等。通过容器镜像，可以将应用程序及其运行环境打包在一起，使得应用程序可以在任何支持Docker的平台上运行。通过直接打包成Docker镜像的方式，可以方便地将应用程序部署、运行起来。

2. 常用命令

① docker images  #查看所有主机本地镜像

REPOSITORY：镜像的仓库名称

TAG：镜像的标签

IMAGE ID：镜像的id

CREATE：镜像的创建时间

SIZE：镜像的大小

常用参数：

-a，--all 列出所有镜像

-q，--quiet 只显示镜像的id

② docker search  #搜索镜像

也可以去网站中去找：https://hub.docker.com/

例如搜索mysql

[root@VM-0-8-centos ~]# docker search --help

Usage:  docker search [OPTIONS] TERM

Search the Docker Hub for images

Options:

  -f, --filter filter   Filter output based on conditions provided

      --format string   Pretty-print search using a Go template

      --limit int       Max number of search results (default 25)

      --no-trunc        Don't truncate output

搜索收藏大于3000的mysql镜像

docker search -f=stars=3000 mysql

③ docker pull  #下载镜像

[root@VM-0-8-centos ~]# docker pull mysql

Using default tag: latest  #如果不写tag默认就是latest

latest: Pulling from library/mysql #分层下载，docker image的核心-联合文件系统

f003217c5aae: Pull complete 

65d94f01a09f: Pull complete 

43d78aaa6078: Pull complete 

a0f91ffbdf69: Pull complete 

59ee9e07e12f: Pull complete 

04d82978082c: Pull complete 

70f46ebb971a: Pull complete 

db6ea71d471d: Pull complete 

c2920c795b25: Pull complete 

26c3bdf75ff5: Pull complete 

9ec1f1f78b0e: Pull complete 

4607fa685ac6: Pull complete 

Digest: sha256:1c75ba7716c6f73fc106dacedfdcf13f934ea8c161c8b3b3e4618bcd5fbcf195

#签名

Status: Downloaded newer image for mysql:latest

docker.io/library/mysql:latest

#下载来源的真实地址，docker pull mysql 等价于docker pull docker.io/library/mysql:latest

版本来源于这

docker pull mysql:5.7

④ docker rmi  #删除镜像

docker rmi -f 镜像id #删除指定ID镜像

docker rmi -f 镜像id 镜像id 镜像id  #删除多个指定镜像

docker rmi -f $(docker images -aq) #删除全部的镜像id

二、容器实例

1. 什么是容器实例？

容器实例是指通过容器化技术（如Docker）创建的运行中的容器。容器实例是镜像的一个运行实例，它使用镜像作为模板，并在其上运行特定的应用程序或服务。每个容器实例都是独立的、隔离的运行环境，具有自己的文件系统、网络和进程空间。

查看容器实例，使用 docker ps 命令。执行docker ps命令将列出当前正在运行的容器实例，包括以下信息：

CONTAINER ID: 容器实例的ID。

IMAGE: 使用的镜像。

COMMAND: 启动容器时执行的命令。

CREATED: 容器实例创建的时间。

STATUS: 容器实例的状态。

PORTS: 容器内部端口映射到主机的情况。

NAMES: 容器实例的名称。

除了docker ps之外，还可以使用 docker ps -a 命令来查看所有的容器实例，包括正在运行的和已经停止的实例。

2.  容器命令

运行容器的前提：我们有了镜像才可以创建容器。这里我们下载一个centos镜像来学习。docker pull centos

docker run [可选参数] image

# 参数说明

--name="Name" 容器名字，tomcat1 tomcat2 来区分容器

-d 后台方式运行

-it 使用交互方式运行，进入容器查看内容

-p 指定容器的端口

-p  ip : 主机端口 : 容器端口

-p  主机端口 : 容器端口 （常用）

-p  容器端口

-P 随机指定端口（大写的P）

2.1 启动并进入容器

下载完毕 centos 镜像后

docker run -it centos /bin/bash

3.2 从容器中退回主机

exit #停止并退出容器

Ctrl+P+Q #容器不停止退出

2.3 列出所有运行的容器

docker ps   # 列出当前正在运行的容器

-a    # 列出当前正在运行的容器+历史运行过的容器

-n=?   # 显示最近创建的容器

-q    # 只显示容器的编号

2.4 删除容器

docker rm 容器 id # 删除指定容器，不能删除正在运行的容器

docker rm -f $(docker ps -aq) # 删除所有的容器

3.5 启动和停止容器的操作

docker start 容器id # 启动容器

docker restart 容器id # 重启容器

docker stop 容器id # 停止当前正在运行的容器

docker kill 容器id # 强制停止当前容器

原文始发于微信公众号（等保不好做啊）：网络安全等级保护容器安全要求 — 术语解释（一）