由Loen创建，Carrie最后一次修改2016-02-24最初，Docker采用了LXC中的容器格式。自1.20版本开始，Docker也开始支持新的libcontainer格式，并作为默认选项。对更多容器格式的支持，还在进一步的发展中。

[阅读全文]

由Loen创建，Carrie最后一次修改2016-02-24联合文件系统（UnionFS）是一种分层、轻量级并且高性能的文件系统，它支持对文件系统的修改作为一次提交来一层层的叠加，同时可以将不同目录挂载到同一个虚拟文件系统下(uniteseveraldirectoriesintoasinglevirtualfilesy...

[阅读全文]

由Loen创建，Carrie最后一次修改2016-02-24控制组（cgroups）是Linux内核的一个特性，主要用来对共享资源进行隔离、限制、审计等。只有能控制分配到容器的资源，才能避免当多个容器同时运行时的对系统资源的竞争。控制组技术最早是由Google的程序员2006年起提出，Linux内核自2.6.24开始支...

[阅读全文]

由Loen创建，Carrie最后一次修改2016-02-24名字空间是Linux内核一个强大的特性。每个容器都有自己单独的名字空间，运行在其中的应用都像是在独立的操作系统中运行一样。名字空间保证了容器之间彼此互不影响。pid名字空间不同用户的进程就是通过pid名字空间隔离开的，且不同名字空间中可以有相同pid。所有的L...

[阅读全文]

由Loen创建，Carrie最后一次修改2016-02-24Docker采用了C/S架构，包括客户端和服务端。Dockerdaemon作为服务端接受来自客户的请求，并处理这些请求（创建、运行、分发容器）。客户端和服务端既可以运行在一个机器上，也可通过socket或者RESTfulAPI来进行通信。Dockerdaemo...

[阅读全文]

由Loen创建，Carrie最后一次修改2016-02-23Docker底层的核心技术包括Linux上的名字空间（Namespaces）、控制组（Controlgroups）、Union文件系统（Unionfilesystems）和容器格式（Containerformat）。我们知道，传统的虚拟机通过在宿主主机中运行h...

[阅读全文]

由Loen创建，Carrie最后一次修改2016-02-24编写完成Dockerfile之后，可以通过dockerbuild命令来创建镜像。基本的格式为dockerbuild[选项]路径，该命令将读取指定路径下（包括子目录）的Dockerfile，并将该路径下所有内容发送给Docker服务端，由服务端来创建镜像。因此一...

[阅读全文]

由Loen创建，Carrie最后一次修改2016-02-24指令的一般格式为INSTRUCTIONarguments，指令包括FROM、MAINTAINER、RUN等。FROM格式为FROM<image>或FROM<image>:<tag>。第一条指令必须为FROM指令。并且，如果在同一个Dockerfile中创建多个...

[阅读全文]

由Loen创建，Carrie最后一次修改2016-02-24Dockerfile由一行行命令语句组成，并且支持以#开头的注释行。一般的，Dockerfile分为四部分：基础镜像信息、维护者信息、镜像操作指令和容器启动时执行指令。例如#Thisdockerfileusestheubuntuimage#VERSION2-E...

[阅读全文]

由Loen创建，最后一次修改2016-02-23使用Dockerfile可以允许用户创建自定义的镜像。

[阅读全文]

由Loen创建，Carrie最后一次修改2016-02-24总体来看，Docker容器还是十分安全的，特别是在容器内不使用root权限来运行进程的话。另外，用户可以使用现有工具，比如Apparmor,SELinux,GRSEC来增强安全性；甚至自己在内核中实现更复杂的安全机制。

[阅读全文]

由Loen创建，Carrie最后一次修改2016-02-24除了能力机制之外，还可以利用一些现有的安全机制来增强使用Docker的安全性，例如TOMOYO,AppArmor,SELinux,GRSEC等。Docker当前默认只启用了能力机制。用户可以采用多种方案来加强Docker主机的安全，例如：在内核中启用GRSEC...

[阅读全文]

由Loen创建，Carrie最后一次修改2016-02-24能力机制（Capability）是Linux内核一个强大的特性，可以提供细粒度的权限访问控制。Linux内核自2.2版本起就支持能力机制，它将权限划分为更加细粒度的操作能力，既可以作用在进程上，也可以作用在文件上。例如，一个Web服务进程只需要绑定一个低于10...

[阅读全文]

由Loen创建，Carrie最后一次修改2016-02-24运行一个容器或应用程序的核心是通过Docker服务端。Docker服务的运行目前需要root权限，因此其安全性十分关键。首先，确保只有可信的用户才可以访问Docker服务。Docker允许用户在主机和容器间共享文件夹，同时不需要限制容器的访问权限，这就容易让容...

[阅读全文]

由Loen创建，Carrie最后一次修改2016-02-24控制组是Linux容器机制的另外一个关键组件，负责实现资源的审计和限制。它提供了很多有用的特性；以及确保各个容器可以公平地分享主机的内存、CPU、磁盘IO等资源；当然，更重要的是，控制组确保了当容器内的资源使用产生压力时不会连累主机系统。尽管控制组不负责隔离容...

[阅读全文]

由Loen创建，Carrie最后一次修改2016-02-24Docker容器和LXC容器很相似，所提供的安全特性也差不多。当用dockerrun启动一个容器时，在后台Docker为容器创建了一个独立的名字空间和控制组集合。名字空间提供了最基础也是最直接的隔离，在容器中运行的进程不会被运行在主机上的进程和其它容器发现和作...

[阅读全文]

由Loen创建，Carrie最后一次修改2016-02-23评估Docker的安全性时，主要考虑三个方面:由内核的名字空间和控制组机制提供的容器内在安全Docker程序（特别是服务端）本身的抗攻击性内核安全性的加强机制对容器安全性的影响

[阅读全文]

由Loen创建，Carrie最后一次修改2016-02-24对于大部分企业来说，搭建PaaS既没有那个精力，也没那个必要，用Docker做个人的sandbox用处又小了点。可以用Docker来标准化开发、测试、生产环境。Docker占用资源小，在一台E5128G内存的服务器上部署100个容器都绰绰有余，可以单独抽一个容...

[阅读全文]

由Loen创建，Carrie最后一次修改2016-02-24Docker默认的桥接网卡是docker0。它只会在本机桥接所有的容器网卡，举例来说容器的虚拟网卡在主机上看一般叫做veth*而Docker只是把所有这些网卡桥接在一起，如下：[root@opnvz~]#brctlshowbridgenamebridgeidS...

[阅读全文]

由Loen创建，Carrie最后一次修改2016-02-24安装tomcat镜像准备好需要的jdk、tomcat等软件放到home目录下面，启动一个容器dockerrun-t-i-v/home:/opt/data--namemk_tomcatubuntu/bin/bash这条命令挂载本地home目录到容器的/opt/d...

[阅读全文]

由Loen创建，Carrie最后一次修改2016-02-24Docker容器在启动的时候开启单个进程，比如，一个ssh或者apache的daemon服务。但我们经常需要在一个机器上开启多个服务，这可以有很多方法，最简单的就是把多个启动命令放到一个启动脚本里面，启动的时候直接启动这个脚本，另外就是安装进程管理工具。本小节...

[阅读全文]

由Loen创建，Carrie最后一次修改2016-02-23介绍一些典型的应用场景和案例。

[阅读全文]

由Loen创建，Carrie最后一次修改2016-02-24默认情况下，Docker会将所有容器连接到由docker0提供的虚拟子网中。用户有时候需要两个容器之间可以直连通信，而不用通过主机网桥进行桥接。解决办法很简单：创建一对peer接口，分别放到两个容器中，配置成点到点链路类型即可。首先启动2个容器：$sudodo...

[阅读全文]

由Loen创建，Carrie最后一次修改2016-02-24Docker1.2.0开始支持在运行中的容器里编辑/etc/hosts,/etc/hostname和/etc/resolve.conf文件。但是这些修改是临时的，只在运行的容器中保留，容器终止或重启后并不会被保存下来。也不会被dockercommit提交。

[阅读全文]

由Loen创建，Carrie最后一次修改2016-02-24在介绍自定义网络拓扑之前，你可能会对一些外部工具和例子感兴趣：pipeworkJér?mePetazzoni编写了一个叫pipework的shell脚本，可以帮助用户在比较复杂的场景中完成容器的连接。playgroundBrandonRhodes创建了一个提供...

[阅读全文]

由Loen创建，Carrie最后一次修改2016-02-24除了默认的docker0网桥，用户也可以指定网桥来连接各个容器。在启动Docker服务的时候，使用-bBRIDGE或--bridge=BRIDGE来指定使用的网桥。如果服务已经运行，那需要先停止服务，并删除旧的网桥。$sudoservicedockerstop...

[阅读全文]

由Loen创建，最后一次修改2016-02-24Docker服务默认会创建一个docker0网桥（其上有一个docker0内部接口），它在内核层连通了其他的物理或虚拟网卡，这就将所有容器和本地主机都放到同一个物理网络。Docker默认指定了docker0接口的IP地址和子网掩码，让主机和容器之间可以通过网桥相互通信，它...

[阅读全文]

由Loen创建，Carrie最后一次修改2016-02-24默认情况下，容器可以主动访问到外部网络的连接，但是外部网络无法访问到容器。容器访问外部实现容器所有到外部网络的连接，源地址都会被NAT成本地系统的IP地址。这是使用iptables的源地址伪装操作实现的。查看主机的NAT规则。$sudoiptables-tna...

[阅读全文]

由Loen创建，Carrie最后一次修改2016-02-24容器的访问控制，主要通过Linux上的iptables防火墙来进行管理和实现。iptables是Linux上默认的防火墙软件，在大部分发行版中都自带。容器访问外部网络容器要想访问外部网络，需要本地系统的转发支持。在Linux系统中，检查转发是否打开。$sysc...

[阅读全文]

由Loen创建，Carrie最后一次修改2016-02-24Docker没有为每个容器专门定制镜像，那么怎么自定义配置容器的主机名和DNS配置呢？秘诀就是它利用虚拟文件来挂载到来容器的3个相关配置文件。在容器中使用mount命令可以看到挂载信息：$mount.../dev/disk/by-uuid/1fec...ebd...

[阅读全文]