背景

使用 docker run -p 或者 docker compose 启动暴露的端口的容器, 会直接穿透防火墙, 不受系统防火墙的 firewalld 的管控

原因

docker 容器会在启动的时候向 iptables 添加转发的规则
而 firewalld 也是通过操作 iptables 来实现的防火墙的功能

    [root@centOS7 es-test]# iptables -L DOCKER
    Chain DOCKER (3 references)
    target     prot opt source...

背景

同事在 Nexus3 私服的宿主机上部署了一个服务, 结果因为网络问题导致服务打印大量的日志信息, 将宿主机的磁盘撑爆了,经过一系列排除, 删除了大日志文件
重启 Nexus3 容器,发现无法启动了, 报错如下:

    com.orientechnologies.orient.core.exception.OStorageException: Cannot open local storage '/nexus-data/db/config' with mode=rw
            DB name...

背景

在 docker 官方问文档里查找关于 docker compose 3 关于资源限制的配置项
发现只能用于集群部署

解决方式

依然使用集群部署的配置方式:

    redis:
        image: redis:alpine
        container_name: redis
        deploy:
          resources:
            limits:
              cpus: '0.50'
              memory: 50M

这时启动时加入参数 --compatibility 即可

    docker-compose --compatibility...

前提

1. 清楚 ENTRYPOINT 和 CMD 的 shell 和 exec 的 2 种写法
2. 定义多个 CMD, 只有最后一个 CMD 生效
3. 同时定义 ENTRYPOINT 和 CMD, 那么 ENTRYPOINT 会覆盖 CMD

总结的结论

1. ENTRYPOINT 使用了 shell 模式，CMD 指令会被忽略
2. ENTRYPOINT 使用了 exec 模式，CMD 指定的内容被追加为 ENTRYPOINT 指定命令的参数
3. ENTRYPOINT 使用了 exec 模式，CMD 也应该使用 exec...

错误信息

    Failed to execute goal com.google.cloud.tools:jib-maven-plugin:1.1.2:dockerBuild (default-cli) on project xxxxx: Build to Docker daemon failed, perhaps you should use a registry that supports HTTPS so credentials can be sent safely, or set the ...