夜海赤竹的博客

Docker容器安全注意点：尽量别做的事：尽量不用 --privileged 运行容器（会授权容器root用户拥有宿主机的root权限）尽量不在容器中运行ssh服务尽量不用 --network host运行容器（会使用host网络模式共享宿主机的网络命名空间）尽量要做的事：尽量使用最小化的镜像尽量以单一进程运行容器尽量以最低权限运行容器尽量下载使用官方的镜像或者自己构建镜像从私有仓库下载尽量使用只读的方式挂载数据卷 -v 宿主机目录:容器目录:ro。

服务自动发现和注册要解决什么问题？如果后端应用服务器群集节点数量很多，负载均衡器配置和管理会比较麻烦（节点配置条目数量众多，后端节点的网络位置发生变化还需要修改所有使用这些后端节点的负载均衡器配置等问题）consul模式client模式：负载转发注册信息给server节点，没有持久化能力server模式：持久化注册信息，在server节点之间同步注册信息server-leader节点：负载转发注册信息给其他server节点，并且对各节点做健康检查。

【代码】8.docker仓库。

Docker-Compose运行目录下的所有文件（docker-compose.yml，extends文件或环境变量文件等）组成一个工程，若无特殊指定工程名即为当前目录名。通过一个.yml或.yaml文件，将所有的容器的部署方法、文件映射、容器端口映射等情况写在一个配置文件里，执行docker-compose up命令就像执行脚本一样，一个一个的安装并部署容器。Docker-Compose将所管理的容器分为三层，分别是 工程（project），服务（service）以及容器（container）。

​ COPY --from=别名/0 第一阶段构建的文件/目录 当前阶段的文件/目录。​ FROM 第一阶段的基础镜像 [AS 别名]可以构建镜像步骤最后添加清空系统和应用程序的缓存命令。尽可能检查Dockerfile文件中指令的数量。​ FROM 第二阶段的基础镜像。尽可能的使用小体积的基础镜像。如何缩小镜像体积大小？使用多阶段（多级）构建。

Dockerfile是由多条的指令组成的文件，其中每条指令对应 Linux 中的一条命令，Docker 程序将读取Dockerfile 中的指令生成指定镜像。Dockerfile是一个文本文件，其内包含了一条条的指令(Instruction)，每一条指令构建一层，因此每一条指令的内容，就是描述该层应当如何构建。如果我们可以把每一层修改、安装、构建、操作的命令都写入一个脚本，用这个脚本来构建、定制镜像，那么镜像构建透明性的问题、体积的问题就都会解决。镜像的定制实际上就是定制每一层所添加的配置、文件。

【代码】4.Docker数据管理和容器互联。

##创建自定义网络#可以先自定义网络，再使用指定IP运行docker##docker1 为执行 ifconfig -a 命令时，显示的网卡名，如果不使用 --opt 参数指定此名称，那你在使用 ifconfig -a 命令查看网络信息时，看到的是类似 br-110eb56a0b22 这样的名字，这显然不怎么好记。#mynetwork 为执行 docker network list 命令时，显示的bridge网络模式名称。##创建自定义网络的容器。

【代码】2.Docker操作。

容器引擎：docker、containerd、podman、rocket。container容器。repostory仓库。