Oracle Cloud Infrastructure-Dokumentation

Containerinstanzen erstellen

Führen Sie diese Schritte aus, um eine Containerinstanz zu erstellen.

Beachten Sie die folgenden Anforderungen, bevor Sie eine Containerinstanz erstellen:
  • Beim Erstellen einer Containerinstanz sind mehrere andere Ressourcen wie ein Image, ein Cloud-Netzwerk und ein Subnetz daran beteiligt. Diese Ressourcen können sich im selben Compartment wie die Instanz oder in anderen Compartments befunden. Sie benötigen die erforderliche Zugriffsebene für jedes beteiligte Compartment, um die Instanz zu erstellen. Siehe Erforderliche IAM-Policy.

  • Wenn Sie ein Containerimage angeben, muss die Registry, in der das Image gespeichert ist, über das Subnetz erreichbar sein, das Sie für die Containerinstanz angeben. Wenn das Containerimage in OCI Container Registry gespeichert ist, geben Sie das Image in einem Subnetz in einem virtuellen Cloud-Netzwerk (VCN) mit einem Servicegateway an. Wenn das Containerimage in einer externen Registry gespeichert ist, die im öffentlichen Internet gehostet wird, geben Sie das Image in einem öffentlichen Subnetz in einem VCN mit einem Internetgateway oder in einem privaten Subnetz in einem VCN mit einem Network Address Translation-(NAT-)Gateway an.

Wichtig

Sie können maximal 60 Container auf jeder Containerinstanz erstellen.

  • So erstellen Sie eine Containerinstanz:

    1. Navigieren Sie zur Listenseite "Containerinstanzen". Wenn Sie Hilfe beim Suchen der Listenseite benötigen, finden Sie weitere Informationen unter Containerinstanzen auflisten.
    2. Wählen Sie Containerinstanz erstellen aus.
    3. Füllen Sie die Informationen für die nummerierten Schritte wie folgt aus.

    1. Allgemeine Details hinzufügen

    • Name: Geben Sie einen Namen für die Containerinstanz ein. Sie können den Namen später hinzufügen oder ändern. Der Name muss nicht eindeutig sein, weil eine Oracle Cloud-ID (OCID) die Containerinstanz eindeutig identifiziert. Geben Sie dabei keine vertraulichen Informationen ein.
    • Erstellen in Compartment: Wählen Sie das Compartment aus, in dem die Instanz erstellt werden soll. Die anderen Ressourcen, die Sie auswählen, können aus anderen Compartments stammen.

    Tags

    Fügen Sie im Abschnitt Tags der Containerinstanz Tags hinzu. Wenn Sie über Berechtigungen zum Erstellen einer Ressource verfügen, sind Sie auch berechtigt, Freiformtags auf diese Ressource anzuwenden. Um ein definiertes Tag zuzuweisen, benötigen Sie die Berechtigungen zum Verwenden des Tag-Namespace. Weitere Informationen zum Tagging finden Sie unter Ressourcentags. Wenn Sie nicht sicher sind, ob sie Tags anwenden sollen, überspringen1 Sie diese Option, oder fragen Sie Ihren Administrator. Sie können Tags später anwenden.

    Platzierung

    Wählen Sie im Abschnitt Platzierung die folgenden Optionen aus:

    • Availability-Domain: Wählen Sie die Availability-Domain aus, in welcher Sie die Instanz erstellen möchten.

    • Faultdomain (optional): Standardmäßig wählt das System eine Faultdomain für Sie aus. Alternativ können Sie die Faultdomain auswählen, die für die Instanz verwendet werden soll. Weitere Informationen finden Sie unter Faultdomains.

    Ausprägung

    Wählen Sie im Abschnitt Ausprägung die flexible Ausprägung für die Containerinstanz aus. Flexible Ausprägungen verfügen über eine anpassbare Anzahl von OCPUs und Arbeitsspeichermenge. Wählen Sie Ausprägung ändern aus, um Änderungen an der Ausprägung vorzunehmen.

    • Anzahl OCPUs: Geben Sie unter Anzahl OCPUs die Anzahl der OCPUs an, die Sie dieser Instanz zuweisen möchten, indem Sie den Schieberegler ziehen. Die anderen Ressourcen werden proportional skaliert.
    • Arbeitsspeichermenge (GB): Wählen Sie unterArbeitsspeichermenge (GB) mit dem Schieberegler die Arbeitsspeichermenge, die Sie dieser Instanz zuweisen möchten. Die zulässige Arbeitsspeichermenge basiert auf der ausgewählten Anzahl an OCPUs.

    Netzwerk

    Konfigurieren Sie im Abschnitt Networking die Netzwerkdetails für die Instanz:
    Hinweis

    Sie benötigen eine Sicherheitsregel als Teil einer Sicherheitsliste oder einer Netzwerksicherheitsgruppe, um Netzwerktraffic zu den im Container ausgeführten Anwendungen zuzulassen. Beispiel: Wenn Ihre Anwendung auf TCP-Port 8080 ausgeführt wird, benötigen Sie eine Sicherheitsregel für TCP und Port 8080. Informationen zum Konfigurieren von Sicherheitsregeln finden Sie unter Sicherheitsregeln.
    • Primäres Netzwerk:

      Wählen Sie eine der folgenden Optionen aus:

      • Vorhandenes virtuelles Cloud-Netzwerk auswählen: Wählen Sie ein vorhandenes VCN aus.
      • Neues virtuelles Cloud-Netzwerk erstellen: Erstellen Sie in diesem Dialogfeld ein VCN.
      • Subnetz-OCID eingeben: Geben Sie die OCID für ein vorhandenes VCN ein.

      Füllen Sie die folgenden Felder aus:

      • Compartment für virtuelles Cloud-Netzwerk: Wählen Sie das Compartment aus.
      • Virtuelles Cloud-Netzwerk: Wählen Sie Ihr VCN aus.
    • Subnetz

      Ein Subnetz innerhalb des Cloud-Netzwerks, an das die Instanz angehängt ist. Die Subnetze sind entweder öffentlich oder privat. Privat bedeutet, dass die Instanzen in diesem Subnetz nicht über öffentliche IP-Adressen verfügen können. Weitere Informationen finden Sie unter Zugriff auf das Internet. Subnetze können auch Availability-Domain-spezifisch oder regional sein. Regionale haben nach dem Namen "regional". Es wird empfohlen, regionale Subnetze zu verwenden. Weitere Informationen finden Sie unter Regionale Subnetze.

      Wählen Sie eine Subnetzoption:

      • Vorhandenes Subnetz auswählen: Wählen Sie das Compartment und das Subnetz aus.
      • Neues öffentliches Subnetz erstellen: Geben Sie die folgenden Informationen an:
        • Neuer Subnetzname: Ein Name für das Subnetz. Geben Sie dabei keine vertraulichen Informationen ein.
        • Subnetz-Compartment: Das Compartment, in dem Sie das Subnetz ablegen möchten.
        • CIDR-Block: Ein einzelner zusammenhängender CIDR-Block für das Subnetz (z.B. 172.16.0.0/24). Stellen Sie sicher, dass dieser sich im CIDR-Block des Cloud-Netzwerks befindet und nicht mit anderen Subnetzen überschneidet. Sie können diesen Wert später ändern. Siehe Zulässige VCN-Größe und -Adressbereiche. Zu Referenzzwecken finden Sie hier einen CIDR-Rechner.
    • Öffentliche IPv4-Adresse

      Wählen Sie eine Option:

      • Öffentliche IPv4-Adresse zuweisen: So weisen Sie der Instanz eine öffentliche IP-Adresse zu. Mit einer öffentlichen IP-Adresse ist die Instanz über das Internet zugänglich. Weitere Informationen finden Sie unter Zugriff auf das Internet.
      • Keine öffentliche IPv4-Adresse zuweisen: Es ist keine öffentliche IP -Adresse zugewiesen.
    • Erweiterte Netzwerkoptionen

      Wählen Sie die erweiterten Netzwerkoptionen aus.

      • Netzwerksicherheitsgruppen zur Kontrolle des Traffics verwenden: Wählen Sie diese Option aus, wenn Sie die primäre VNIC der Instanz zu einer oder mehreren Netzwerksicherheitsgruppen (NSGs) hinzufügen möchten. Geben Sie dann die NSGs an. Diese Option steht nur zur Verfügung, wenn Sie ein vorhandenes VCN verwenden. Weitere Informationen finden Sie unter Netzwerksicherheitsgruppen.
      • Quellzielprüfung aktivieren: Ob die Quell-/Zielprüfung für die VNIC deaktiviert ist.
      • Private IP-Adresse: Geben Sie eine verfügbare private IP-Adresse Ihrer Wahl aus dem CIDR des Subnetzes ein. Wenn Sie keinen Wert angeben, wird die private IP-Adresse automatisch zugewiesen.
      • DNS-Datensatz: Geben Sie an, ob ein privater DNS-Datensatz zugewiesen werden muss.
      • Hostname: Geben Sie einen Hostnamen ein, der für DNS im Cloud-Netzwerk verwendet werden soll. Diese Option ist nur verfügbar, wenn VCN und Subnetz über DNS-Labels verfügen und Sie ausgewählt haben, einen privaten DNS-Datensatz zuzuweisen.

    Erweiterte Optionen

    Konfigurieren Sie erweiterte Einstellungen für die Containerinstanz.

    • Zeitüberschreitung beim heruntergefahrenen System (Sekunden): Legen Sie fest, wie lange die Containerinstanz wartet, bis das BS heruntergefahren wird, bevor das System ausgeschaltet wird.
    • Containerneustart-Policy:

      Sie können die Neustart-Policy für die Container in einer Containerinstanz festlegen, wenn Sie sie erstellen. Wenn ein einzelner Container beendet wird (Stoppt, startet oder nicht erfolgreich), sind der Exit-Code und die Exit-Zeit in der API verfügbar, und die Neustart-Policy wird angewendet. Wenn alle Container beendet werden und nicht neu gestartet werden, wird die Containerinstanz heruntergefahren.

      Wählen Sie eine der folgenden Optionen aus:

      • Immer: Container werden immer neu gestartet, auch wenn sie erfolgreich beendet werden. "Immer" wird bevorzugt, wenn Sie sicherstellen möchten, dass Ihr Container immer ausgeführt wird, z. B. ein Webserver. Dies ist die Standardeinstellung.
      • Nie: Container werden nie neu gestartet, unabhängig davon, warum sie beendet wurden.
      • Bei Fehler: Container werden nur neu gestartet, wenn sie mit einem Fehler beendet werden. "Bei Fehler" wird bevorzugt, wenn Sie eine bestimmte Aufgabe ausführen und sicherstellen möchten, dass sie erfolgreich abgeschlossen wird.

    Wählen Sie Weiter aus, um die Container innerhalb der Containerinstanz zu konfigurieren.

    2. Container konfigurieren

    Füllen Sie die folgenden Probengefäßinformationen aus.

    • Name: Geben Sie einen Namen für den ersten Container ein. Sie können den Namen später hinzufügen oder ändern. Der Name muss nicht eindeutig sein, weil eine Oracle Cloud-ID (OCID) den Container eindeutig identifiziert. Geben Sie dabei keine vertraulichen Informationen ein.
    • Bild:

      Wählen Sie Bild auswählen aus, und führen Sie die folgenden Schritte aus.

      Wählen Sie eine Bildquelle:

      • OCI Container Registry: OCI Registry, auch als Container Registry bezeichnet, ist eine von Oracle verwaltete Registry, mit der Sie Containerimages speichern, freigeben und verwalten können. Weitere Informationen hierzu finden Sie unter Container Registry.
      • Externe Registry: Eine externe Registry, wie Docker Hub, in der Sie ein Image auswählen können, das von Drittanbietern bereitgestellt wird.

        OCI Vault Secret: Sie können Containerimages in privaten Registrys oder Repositorys hosten, für die eine Autorisierung erforderlich ist, um die Images abzurufen. Es wird empfohlen, Ihre Zugangsdaten mit dem Oracle Cloud Infrastructure Vault-Service zu speichern, um die Sicherheit und die Verwaltung von Zugangsdaten zu verbessern. Weitere Informationen finden Sie unter Vault Secrets für Image Pull-Autorisierung.

    • Umgebungsvariablen

      Legen Sie die vom Container verwendeten Umgebungsvariablen fest.

      Containerimages unterstützen Umgebungsvariablen, um ihre Ausführung anzupassen. Beispiel: Das offizielle NGINX-Image unterstützt NGINX_HOST- und NGINX_PORT-Umgebungsvariablen, sodass Sie den Wert festlegen können, um die Ausführung an die folgenden Variablen anzupassen:

      NGINX_HOST=foobar.com
NGINX_PORT=80
    • Ressourcen: Sie können die Ressourcenmenge konfigurieren, die der Container in absoluten Mengen oder Prozentsätzen verbraucht. Standardmäßig kann der Container alle Ressourcen in der Containerinstanz nutzen.
    • Startoptionen: Sie können das Arbeitsverzeichnis und die Argumente ENTRYPOINT für den Container konfigurieren.
    • Sicherheit: Sie können die Sicherheitseinstellungen des Containers angeben.
      • Aktivieren Sie das Kontrollkästchen Schreibgeschütztes Root-Dateisystem aktivieren, um schreibgeschützten Zugriff auf das Root-Dateisystem des Containers anzuwenden.
      • Aktivieren Sie das Kontrollkästchen Als Nicht-Root-Benutzer ausführen, um sicherzustellen, dass der Container nicht als Root-Benutzer ausgeführt wird.
        • Wenn Sie Als Nicht-Root-Benutzer ausführen aktivieren, kann der Wert für Benutzer-ID nicht auf 0 gesetzt werden.
      • Mit den Feldern Benutzer-ID und Gruppen-ID können Sie die Benutzer-ID (ID) und die Gruppen-ID (GID) festlegen, um den Einstiegspunktprozess des Containers auszuführen.
        • Der Wert für Benutzer-ID und Gruppen-ID muss eine Ganzzahl zwischen 0 und 65535 sein. Der Standardwert ist 0.
        • Die Werte für Benutzer-ID und Gruppen-ID, die Sie im Containerimage festgelegt haben, geben Überschreibungswerte an. Wenn der Wert für Benutzer-ID nicht angegeben ist, wird der Einstiegspunktprozess des Containers als Root-Benutzer ausgeführt.
        • Sie müssen die Benutzer-ID festlegen, bevor Sie die Gruppen-ID festlegen.
      • Im Abschnitt Linux-Funktionen konfigurieren können Sie Linux-Funktionen für Ihren Container konfigurieren. Standardmäßig wird der Container mit mehreren Funktionen gestartet, die Sie löschen können.

        Sowohl das Feld Funktionen hinzufügen als auch das Feld Funktionen löschen unterstützen den Wert ALLE, der alle Funktionen zulässt oder löscht. Der Wert ALL bezieht sich auf die standardmäßig aktivierten Linux-Funktionen.

        • Wenn Sie sowohl Hinzufügen-Funktionen als auch Löschen-Funktionen leer lassen, sind alle Standardfunktionen für Ihren Container verfügbar.
        • Wenn Sie Alle in das Feld Funktionen hinzufügen eingeben, sind alle Funktionen verfügbar, mit Ausnahme der Funktionen, die Sie im Feld Entfernungsfunktionen auflisten, und Alle im Feld Entfernungsfunktionen wird ignoriert.
        • Wenn Sie ALLE im Feld Drop-Funktionen eingeben, enthält der Container nur die Funktionen, die Sie im Feld Funktionen hinzufügen auflisten.
        • In anderen Fällen löschen Sie alle Funktionen aus dem im Feld Entfernungsfunktionen aufgelisteten Standardset, fügen dann die im Feld Funktionen hinzufügen aufgelisteten Funktionen hinzu und geben schließlich das Ergebnis als Funktion für Ihren Container zurück.
        • Die Containerinstanz kann nicht erstellt werden, wenn Sie Funktionen bereitstellen, die nicht in der folgenden Liste enthalten sind.
        Alle Linux-Funktionen sind standardmäßig aktiviert, wenn Sie einen Container erstellen
        Funktion Beschreibung
        CAP_CHOWN Führt Änderungen an Datei-UIDs und GIDs aus.
        CAP_DAC_OVERRIDE Diskretionäre Zugriffskontrolle (DAC), die Datei-Lese-, Schreib- und Ausführungsberechtigungsprüfungen umgeht.
        CAP_FSETID
        • Löscht keine Bits im Set-User-ID- und Set-Group-ID-Modus, wenn eine Datei geändert wird.
        • Legt das Set-group-ID-Bit für eine Datei fest, deren GID nicht mit dem Dateisystem oder einer der zusätzlichen GIDs des aufrufenden Prozesses übereinstimmt.
        CAP_FOWNER Umgeht Berechtigungsprüfungen bei Vorgängen, bei denen normalerweise die Dateisystem-UID des Prozesses mit der UID der Datei übereinstimmt, und schließt die Vorgänge aus, die von CAP_DAC_OVERRIDE und CAP_DAC_READ_SEARCH abgedeckt werden.
        CAP_MKNOD Erstellt spezielle Dateien mit mknod(2).
        CAP_NET_RAW
        • Verwendet RAW- und PACKET-Buchsen.
        • Bindet für transparentes Proxying an eine beliebige Adresse.
        CAP_SETGID
        • Macht Manipulationen von Prozess-GIDs und ergänzender GID-Liste.
        • Schmiert die GID, wenn Socket-Zugangsdaten über UNIX-Domain-Sockets übergeben werden.
        • Schreibt eine Gruppen-ID-Zuordnung in einen Benutzer-Namespace.
        CAP_SETUID
        • Macht Manipulationen von Prozess-UIDs.
        • Schmiert die UID, wenn Socket-Zugangsdaten über UNIX-Domain-Sockets übergeben werden.
        • Schreibt eine Benutzer-ID-Zuordnung in einen Benutzer-Namespace.
        CAP_SETFCAP Legt die Dateifunktionen fest.
        CAP_SETPCAP Wenn die Dateifunktionen nicht unterstützt werden, erteilen oder entfernen Sie Funktionen, die in der zulässigen Funktion des Aufrufers auf oder aus einem anderen Prozess festgelegt sind.
        CAP_NET_BIND_SERVICE Bindet einen Socket an privilegierte Ports der Internetdomain (Portnummern kleiner als 1024).
        CAP_SYS_CHROOT Wechselt mit chroot(2) in ein anderes Root-Verzeichnis.
        CAP_KILL Umgeht Berechtigungsprüfungen für das Senden von Signalen, einschließlich der Verwendung des ioctl(2)-Vorgangs KDSIGACCEPT.
        CAP_AUDIT_WRITE Schreibt Datensätze in das Kernel-Auditinglog.
    • Um einen anderen Container in der Instanz zu konfigurieren, klicken Sie auf + Weiterer Container, und wiederholen Sie die vorherigen Schritte.

    Wählen Sie Weiter aus, um die Containerinstanz und ihre Container zu prüfen.

    Prüfen

    Prüfen Sie Ihre Auswahl.

    Wählen Sie Erstellen.

  • Mit dem Befehl oci container-instances container-instance create können Sie eine Containerinstanz erstellen. Um diesen Befehl zu verwenden, ersetzen Sie compartment_ocid, logical_ad und subnetId durch Ihre Ressourcen.

    $ compartment_ocid=ocid1.compartment.oc1.example
$ logical_ad=Lnnj:US-EXAMPLE
$ ci_shape=CI.Standard.E4.Flex
$ shape_config_json='{"ocpus": 2,"memoryInGBs": 2}'
$ containers_json='[{"imageUrl": "busybox", "command": ["bin/sh"], "arguments": ["-c", "echo Hello"]}]'
$ vnics_json='[{"subnetId": "ocid1.subnet.oc1.example"}]'
$ oci container-instances container-instance create --compartment-id "$compartment_ocid" --availability-domain "$logical_ad" --shape "$ci_shape" --shape-config "$shape_config_json" --containers "$containers_json" --vnics "$vnics_json"

    Eine vollständige Liste der Kennzeichen und Variablenoptionen für CLI-Befehle finden Sie in der Befehlszeilenreferenz.

  • Verwenden Sie den Vorgang CreateContainerInstance.