weixin_66461008的博客

1. Docker数据卷管理1.1 为什么要用数据卷 • docker 分层文件系统 • 性能差 • 生命周期与容器相同 • docker 数据卷 • mount 到主机中,绕开分层文件系统 • 和主机磁盘性能相同,容器删除后依然保留 • 仅限本地磁盘,不能随容器迁移1.2 docker提 供 了 两 种 卷 : ( https://docs.docker.com/storage/) • bi

1. 理解Docker安全1.1 Docker容器的安全性,很大程度上依赖于Linux系统自身,评估Docker的安全性时,主要考虑以下几个方面: • Linux内核的命名空间机制提供的容器隔离安全 • Linux控制组机制对容器资源的控制能力安全。 • Linux内核的能力机制所带来的操作权限安全 • Docker程序(特别是服务端)本身的抗攻击性。 • 其他安全增强机制对容器安全性的影响。1.2 命名空间隔离的安全

1. Docker原生网络• docker的镜像是令人称道的地方,但网络功能还是相对薄弱的部分。• docker安装后会自动创建3种网络:bridge、host、none• docker安装时会创建一个名为 docker0 的Linux bridge,新建的容器会自动桥接到这个接口。1.1. bridge模式下容器没有一个公有ip，只有宿主机可以直接访问，外部主机 是不可见的。1.1.1 容器通过宿主机的NAT规则后可以访问外网。1.2. host网络模式需要在容器创建时指定 -

官方软件下载地址：https://github.com/goharbor/harbor/releases部署前一定要删除正在运行的容器，否则会因为端口冲突，安装部署失败1.1. harbor解压1.2 harbor配置1.3 建立配置文件中的证书目录1.4 解决依赖性1.5 安装harbor1.6 安装完毕后，可直接在浏览器访问主机IP，来登录harbor仓库 2. harbor仓库的安装及使用2.1 上传镜像到harbor仓库 2.1.1 在harbor仓看

Docker 仓库是用来包含镜像的位置,Docker提供一个注册服务器(Register)来保存多个仓库,每个仓库又可以包含多个具备不同tag的镜像。Docker运行中使用的默认仓库是 Docker Hub 公共仓库。2.1 一次docker pull 或 push背后发生的事情 index服务主要提供镜像索引以及用户认证的功能。当下载一个镜像的时候,首先会去index服务上做认证,然后查找镜像所在的registry的地址并放回给docker客户端,docker客户端再从registry下载

镜像的优化，可以参考以下的这些思路和方法• 选择最精简的基础镜像• 减少镜像的层数• 清理镜像构建的中间产物• 注意优化网络请求• 尽量去用构建缓存• 使用多阶段构建镜像

1. 创建一个Dockerfile默认在构建的时候会把当前目录所有数据发送到docker引擎，如果构建在根目录，会把跟目录所有数据发送给docker引擎进行构建，所以，创建Dockerfile尽量不要在根目录。• 构建镜像• 查看镜像的分层结构• 镜像的缓存特性构建镜像中有相同的镜像层时，会使用缓存来加速构建。通过Dockerfile来构建镜像，可以清除的看到每一层都干了什么，有安全审计的功能。而通过docker commit 构建新镜像的方式则无法知晓具体在镜像内做了什么操作，无

通过以上这种打包镜像的方法，可以将我们在容器镜像内修改的数据得以保存，但是这种方法不推荐，因为将数据存到镜像层里面，它的文件系统读取速度都效率非常低。所以呢要将数据存储到宿主机的物理磁盘中，这样会更加高效，不管是从存储速度还是文件的读取速度来说。.........

（1）Docker是管理容器的引擎，为应用打包、部署平台,而非单纯的虚拟化技术。（2）传统虚拟化与容器技术对比docker容器的优势：（1）对于开发人员:Build once、Run anywhere（2）对于运维人员:Configure once、Run anything开发重代码，运维重配置容器技术大大提升了IT人员的幸福指数!docker官方站点下载比较慢，我这里使用的是阿里云的站点下载速度相对来说会快一点 官方站点: https://docs.docker.com/速度虽然比较慢，但还