docker从入门到放弃

前情提要：unionFS和layer： https://juejin.cn/post/7244033665209106493 不限制容器的写操作，宿主机的磁盘可能被写满，需要限制它写入的数据量，比如只

Swap 空间是一块磁盘空间。当内存写满时可以把不常用的数据暂时写到 Swap 空间。这样内存空间就可以释放。 好处是可以应对瞬时突发的内存增大需求，不至于因为内存一时不够而触发 OOM Killer

在一些场景中，比如容器里的应用有很多文件读写，整个容器的内存使用量已经很接近 Memory Cgroup 的上限值了，但接着申请内存，还是可以申请出来，并且没有 OOM。 Linux 内存类型 Lin

OOM Killer 容器被杀掉只有一种情况，就是容器中的进程使用太多内存。即容器里所有进程使用的内存超过了容器所在 Memory Cgroup 里的内存限制。这时 Linux 就会主动杀死容器中的一

上一讲提到 CPU Cgroup 可以限制进程的 CPU 资源使用，但对容器的资源限制还是存在盲点的：无法控制 Load Average 的平均负载。没有这个限制就会影响系统资源的合理调度，很可能导致

问题重现 在容器中运行 top 命令虽然可以看到容器中每个进程的 CPU 使用率，但%Cpu(s)那行显示的数值是宿主机的 CPU 使用率。 例子如下，在一个 12 个 CPU 的宿主机上启动一个容器

CPU Usage 如果你想查看 Linux 的 CPU 使用，最常用的肯定是运行 Top 。 %Cpu(s)开头的这一行，你会看到一串数值，也就是"0.0 us, 0.0 sy, 0.0 ni, 9

在生产环境中，不少应用在退出时需要做一些清理工作，比如清理一些远端的链接，或是清除一些本地的临时数据。 这样的清理工作可以尽可能避免远端或者本地的错误发生，比如减少丢包等问题的出现。而这些退出清理的工

问题再现 平时容器运行久了之后，运行 ps 命令会看到一些进程，进程名后面加了<defunct>标识。那么这些是什么进程呢？ 我们启动一个容器，该容器的功能是 fork 出 1000 个子进程。这些子

使用容器的理想境界是一个容器只启动一个进程，现实中有时是做不到的。 比如容器除了主进程外还启动辅助进程，做监控或者logs；再比如程序本身就是多进程的。 init进程 linux OS在打开电源，执行

在CNI插件外还有一种纯三层网络，典型例子就是 Flannel 的 host-gw 模式和 Calico 项目了。 Flannel 的 host-gw 模式。 Node 1 的 Infra-conta

在 Docker 的默认配置下，不同宿主机上的容器通过 IP 地址进行互相访问是根本做不到的。 为了解决容器“跨主通信”的问题，社区出现了许多容器网络方案。那这些网络方案的工作原理是什么？ 要理解容器

一个 Linux 容器能看见的“网络栈”，实际上是被隔离在它自己的 Network Namespace 当中的。 而所谓“网络栈”，就包括了：网卡、回环设备、路由表和 iptables 规则。对于一个

容器技术使用了 rootfs 机制和 Mount Namespace，构建出了一个同宿主机完全隔离开的文件系统环境。这时我们就需要考虑这样两个问题： 容器里进程新建的文件，怎么才能让宿主机获取到？ 宿

docker exec 是怎么做到进入容器里的呢？ Linux Namespace 创建的隔离空间虽然看不见摸不着，但一个进程的 Namespace 信息在宿主机上是确确实实存在的，并且是以一个文件的

上节最后讲到的 rootfs 只是一个OS所包含的文件、配置和目录，并不包括内核。在 Linux 中这两部分是分开存放的，OS只有在开机启动时才会加载指定版本的内核镜像。 同一台机器上的所有容器，都共

在通过namespace和cgroup对容器进程进行隔离和限制后，像是给进程的世界里围上了一圈的墙。那么如果容器进程往脚下看会看到什么景象呢？换句话说，容器里的进程看到的文件系统该是什么样的呢？ 可能

为什么需要隔离？ 被其他容器修改文件，导致安全问题 资源的并发写入导致不一致性 资源的抢占，导致其他容器被影响 容器技术的核心功能，就是通过约束和修改进程的动态表现，从而为其创造出一个边界。 进程的静

原生命令 操作 问题 通过docker stats命令可以很方便的看到当前宿主机上所有容器的CPU,内存以及网络流量等数据 但是 docker stats统计结果只能是当前宿主机的全部容器，数据资料是

Portainer 是一款轻量级的应用，它提供了图形化界面，用于方便地管理Docker环境，包括单机环境和集群环境。 安装 第一次登录需要创建admin，密码8位。ip写自己的 192.168.230