docker

Docker 是一种操作系统级别的虚拟化实现方案，依赖于 Linux 内核特性 Namespace 和 Cgroup 实现。常用应用程序的开发、测试、部署服务。

Clair是一款对容器漏洞进行静态分析的安全性工具，由quay开发和维护。

容器技术的发展经过了以下几个阶段。以下是对其中几个关键节点做一个总结。

trivy是一款漏洞的扫描器，支持对容器镜像、文件系统和Git存储库进行扫描，可以发现配置问题和硬编码的密码。

Docker 容器基于 Linux namespace 技术构建，本文结合 unshare、nsenter介绍 Namespaces 如何在 Docker 中应用。

Docker 常见安装步骤，包括安装最新版本 Docker 和安装指定版本 Docker

docker 端口映射是通过宿主机的 iptables 来实现的，本文通过示例介绍端口映射的原理。

Harbor是由VMware公司开源的企业级的Docker Registry管理项目，它包括权限管理(RBAC)、LDAP、日志审核、管理界面、自我注册、镜像复制和中文支持等功能。

Docker 容器 client 使用介绍。

Docker

Docker 网络之 bridge 模式使用介绍。

ko 是一个为 Go 应用程序设计的简单、快速的容器镜像构建器。它非常适合以下用例：镜像中只包含一个 Go 应用程序，并且对操作系统基础镜像的依赖很少或没有（例如，没有 cgo，没有操作系统软件包依赖）。

kaniko是Google开源的一款在 Kubernetes 用来构建容器镜像的工具，kaniko不依赖于Docker daemon进程，完全在用户空间根据Dockerfile构建镜像。

一般代理监听在127.0.0.1端口，容器内通过127.0.0.1无法正确访问到代理服务，本文解决如何配置容器通过代理上网问题

本文创建 docker 容器指定参数 --net=none，基于 Linux Bridge 和 netns 技术为容器配置 IP 地址，实现容器和外界通信。

本文创建 docker 容器指定参数 --net=<bridge-name>，基于 Linux Bridge 和 vxlan 技术为容器配置 IP 地址，实现容器间通信。

Linux macvlan 在 Docker 网络中只能以 bridge 模式运行，本文以通过示例说明 macvlan 在 Docker 网络的连通性。

本文介绍如何使用 OpenvSwitch 连接 Docker 容器。实现思路：为 docker 默认创建的 docker0 网桥分配网段，通过在 OpenvSwitch 网桥建立 gre 隧道连接多个主机，并将 docker0 网桥和 OpenvSwitch 连接实现跨主机连接 docker 容器。

Dockerfile 是一个文本文件，它包含了生成镜像所需的所有命令，用来制作 Docker 的镜像。

本文介绍 Docker 包括 5 中常见的网路模式，并介绍容器间通信的常用方法。

Docker

Docker 开发

Docker逃逸 指容器可以访问到宿主主机的权限。

Docker

Docker Demo 使用示例

Docker Compose 是一个用来定义和运行复杂应用的 Docker 工具。使用 Compose，你可以在一个文件中定义一个多容器应用，然后使用一条命令来启动你的应用，完成一切准备工作。- github.com/docker/compose

本文介绍如何使用 Alpine IPV6 容器

本文介绍如何在 docker 容器内运行 GUI 软件，并让宿主机访问到 GUI 窗口

Docker rootless 是一种在非特权模式下运行 Docker 守护进程的方式，它允许用户以非 root 用户管理 Docker 守护进程和容器，以降低潜在的安全漏洞风险

runit是带有服务监督功能的 UNIX 启动管理器，常用来在docker容器中启动多个服务

Docker 利用 BuildKit 扩展镜像构建功能，如构建多种系统架构的镜像。

Cosign用来为容器签名（Signing）、验证（Verification）和在 OCI Registry 存储

构建 Docker 镜像时，我们都是通过 FROM 指定一个已有镜像进行构建，该镜像一般称为基础镜像，它并不是凭空出现的，也是基于 Dockerfile 构建的，那如何创建一个基础镜像呢，本文将通过示例构建 busybox 基础镜像。

没有使用 docker-compose 命令创建的容器（推荐），可以使用 runlike、rekcod打印容器创建时的参数

Traefik(发音像traffic)是一个现代的HTTP反向代理和负载均衡器，用于轻松部署微服务。它支持多个后端(Docker, Swarm mode, Kubernetes, Marathon, Consul, Etcd, Rancher, Amazon ECS等)来自动和动态地管理其配置。

本文从零开始，介绍如何基于moby的源码构建docker安装包。

Data Volume 本质上是宿主机文件系统中的目录或文件，本文介绍常见 Docker 共享 Volumes 方法

Docker API 认证可以采用 TLS/SSL 证书来确保用户与 API 之间连接的安全性，下面介绍如何签发自 SSL 证书，并配置 docker api 使用 SSL 证书进行通信。

tini 是一个针对容器开发的、精简的 init 服务。tini 的作用是生成子进程、避免僵尸进程生成、转发信号量（pid 为 1 时）到子进程并等待它退出。使用 tini 可以优雅的结束容器内的进程。

Docker v17.05开始支持多阶段构建 (multistage builds)，能有效减少images的大小，本文以golang helloword 为例，演示Docker 多阶段构建。

使用docker过程中，遇到No space left on device，刚开始以为是没有存储空间，后来发现是inode耗尽导致。

OverlayFS是一个类似于AUFS 的现代联合文件系统，但更快，实现更简单。Docker 为OverlayFS提供了一个存储驱动程序。OverlayFS是内核提供的文件系统，overlay和overlay2是docker提供的存储驱动

Dockerfile中的COPY指令和ADD指令的唯一区别在于是否支持从远程URL获取资源。COPY指令只能从执行docker build所在的主机上读取资源并复制到镜像中。而ADD指令还支持通过URL从远程服务器读取资源并复制到镜像中。

Alpine Linux是一个面向安全应用的轻量级Linux发行版。它采用了musl libc和busybox以减小系统的体积和运行时资源消耗，同时还提供了自己的包管理工具apk。Alpine Linux的内核都打了grsecurity/PaX补丁，并且所有的程序都编译为Position Independent Executables (PIE) 以增强系统的安全性。

Docker 报错：Error starting daemon: layer does not exist 问题。

Docker Client 可以通过 API 或 Socket 连接到 Docker Server（守护进程），下面介绍如何配置 Docker 守护进程从而支持 Docker Client 的连接。

Linux 环境服务开机启动采用 systemctl enable 方式或在 rc.local 添加启动，docker 开机启动容器十分简单，在 docker run 指令中加入 --restart=always 就行。

本文介绍如何在天朝，加速 docker 镜像下载。

指定 docker run --privileged 参数可以为容器扩展权限，使 root 拥有真正的 root 权限

Docker启动一个有nat映射端口的容器时iptables 报No chain/target/match by that name问题。

Java+Tomcat是进程常使用的Java Web服务器，该博文主要介绍如何使用Dockerfile构建Docker镜像

因为github无耻的拒绝了百度对gitpage的抓取和收录，故此自己只做了个jekyll环境跑gitpage的blog，只为收录。。。

本文介绍如何将Docker官方提供的CentOS镜像转化为自己仓库的私有镜像。

该文章主要介绍 Docker 容器与其他虚拟化的区别，Docker 的文件系统，Docker 启动和管理的常用命令，Docker 的端口映射，Docker 挂载宿主机目录作为卷等命令。