fy_long的博客

Dockerfile的使用​ Dockerfile是Docker用来构建镜像的文本文件，包含自定义的指令和格式。可以通过docker build命令从Dockerfile中构建镜像。这个过程与传统分布式集群的编排配置过程相似，且提供了一系列统一的资源配置语法。用户可以用这些统一的语法命令来根据需求进行配置，通过这份统一的配置文件，在不同的平台上进行分发，需要使用时就可以根据配置文件自动化构建，这...

Docker网络基础Docker网络架构​ 如图3-16所示，Docker daemon通过调用libnetwork对外提供的API完成网络的创建和管理等功能。libnetwork中则使用了CNM来完成网络功能的提供。而CNM中主要有沙盒(sandbox ),端点(endpoint)和网络(network)这3种组件。libnetwork中内置的5种驱动则为libnetwork提供了不同类...

​ Docker的镜像是由一系列的只读层组合而来的，当启动一个容器时，Docker加载镜像的所有只读层，并在最上层加人一个读写层。这个设计使得Docker可以提高镜像构建、存储和分发的效率，节省了时间和存储空间，然而也存在如下问题:​容器中的文件在宿主机上存在形式复杂，不能在宿主机上很方便地对容器中的文件进行访问。多个容器之间的数据无法共享。当删除容器时，容器产生的数据将丢失。为了解决...

​ Docker有镜像分层、写时复制机制以及内容寻址存储(content-addressable storage)这些特性,为了支持这些特性，Docker设计了一套镜像元数据管理机制来管理镜像元数据。另外，为了能够让Docker容器适应不同平台不同应用场景对存储的要求，Docker提供了各种基于不同文件系统实现的存储驱动来管理实际镜像文件。Docker镜像元数据管理​ Docker镜像在设计上...

什么是docker镜像Docker镜像是一个只读的Docker容器模板，含有启动Docker容器所需的文件系统结构及其内容，因此是启动一个Docker容器的基础。Docker镜像的文件内容以及一些运行Docker容器的配置文件组成了Docker容器的静态文件系统运行环境一rootfs。可以这么理解，Docker镜像是Docker容器的静态视角，Docker容器是Docker像的运行状态。r...

libcontainer的工作方式execdriver如何调用libcontainer加载容器配置container，继而创建真正的Docker容器？创建libcontaine构建容器需要使用的“进程”，进程对象(非真正进程)，称为Process;设置容器的输出管道，这里使用的就是Docker daemon提供给libcontainer的pipes;使用名为Factory的工厂类，通过f...

client模式Docker命令对应的源文件是docker/docker.go，它的使用方式如下：docker [OPTIONS] COMMAND [arg ...]其中OPTIONS参数称为flag，任何时候执行一个docker命令，Docker都需要先解析这些flag，然后按照用户声明的COMMAND向子命令执行对应的操作。​ 如果子命令为daemon，Docker就会创建一个运行在...

Docker架构总览​ docker使用传统的cs架构，总架构图如下所示。用户通过Docker client与Docker daemon简历通信，并将请求发送给后者。​ 从上图可以看出，Docker daemon是Docker架构中的主要用户接口。首先，它提供了API Server用于接收来自Docker client的请求，其后根据不同的请求分发给Docker daemon的不同模块执行相...

Docker内核知识Docker容器本质上是宿主机上的进程。Docker通过namespaces实现了资源隔离，通过cgroups实现了资源限制，通过写时复制机制（copy-on-write）实现了高效的文件操作。namespaces资源隔离​ 想要实现一个资源隔离的容器，首先，根目录/的挂载点需要切换，即文件系统需要隔离；接着，为了在分布式的环境下进行通信和定位，容器必然要有独立的IP、端...

Docker的安全机制​ Docker目前已经在安全方面做了一定的工作，包括Docker daemon在以TCP形式提供服务的同时使用传输层安全协议;在构建和使用镜像时会验证镜像的签名证书;通过cgroups及namespaces来对容器进行资源限制和隔离;提供自定义容器能力(capability)的接口;通过定义seccomp profile限制容器内进程系统调用的范围等。如果合理地实...