prince的文章

Docker 的网络实现其实就是利用了 Linux 上的网络名字空间和虚拟网络设备（特别是 veth pair）。建议先熟悉了解这两部分的基本概念再阅读本章。 基本原理 首先，要实现网络通信，机器需要至少一个网络接口（物理接口或虚拟接口）来...

赞(0)princeDocker实战（二） 阅读(446)

最初，Docker 采用了 LXC 中的容器格式。自 1.20 版本开始，Docker 也开始支持新的 libcontainer 格式，并作为默认选项。 对更多容器格式的支持，还在进一步的发展中。

赞(0)princeDocker实战（二） 阅读(383)

联合文件系统（UnionFS）是一种分层、轻量级并且高性能的文件系统，它支持对文件系统的修改作为一次提交来一层层的叠加，同时可以将不同目录挂载到同一个虚拟文件系统下(unite several directories into a sing...

赞(0)princeDocker实战（二） 阅读(396)

控制组（cgroups）是 Linux 内核的一个特性，主要用来对共享资源进行隔离、限制、审计等。只有能控制分配到容器的资源，才能避免当多个容器同时运行时的对系统资源的竞争。 控制组技术最早是由 Google 的程序员 2006 年起提出，...

赞(0)princeDocker实战（二） 阅读(395)

名字空间是 Linux 内核一个强大的特性。每个容器都有自己单独的名字空间，运行在其中的应用都像是在独立的操作系统中运行一样。名字空间保证了容器之间彼此互不影响。 pid 名字空间 不同用户的进程就是通过 pid 名字空间隔离开的，且不同名...

赞(0)princeDocker实战（二） 阅读(384)

Docker 采用了 C/S架构，包括客户端和服务端。 Docker daemon 作为服务端接受来自客户的请求，并处理这些请求（创建、运行、分发容器）。 客户端和服务端既可以运行在一个机器上，也可通过 socket 或者 RESTful ...

赞(0)princeDocker实战（二） 阅读(391)

编写完成 Dockerfile 之后，可以通过 docker build 命令来创建镜像。 基本的格式为 docker build [选项] 路径，该命令将读取指定路径下（包括子目录）的 Dockerfile，并将该路径下所有内容发送给 D...

赞(0)princeDocker实战（二） 阅读(381)

指令的一般格式为 INSTRUCTION arguments，指令包括 FROM、MAINTAINER、RUN 等。 FROM 格式为FROM <image>或FROM <image>:<tag>。 第一...

赞(0)princeDocker实战（二） 阅读(413)

Dockerfile 由一行行命令语句组成，并且支持以 开头的注释行。 一般的，Dockerfile 分为四部分：基础镜像信息、维护者信息、镜像操作指令和容器启动时执行指令。 例如 # This dockerfile uses the ub...

赞(0)princeDocker实战（二） 阅读(397)

总体来看，Docker 容器还是十分安全的，特别是在容器内不使用 root 权限来运行进程的话。 另外，用户可以使用现有工具，比如 Apparmor, SELinux, GRSEC 来增强安全性；甚至自己在内核中实现更复杂的安全机制。

赞(0)princeDocker实战（二） 阅读(408)