章介绍了容器生态中的几个核心项目；14、15 章讨论了关于 Docker 安全和实现技术等高级 话题。后续章节则分别介绍包括 Etcd、CoreOS、Kubernetes、Mesos、容器云等热门开源 项目。最后，展示了使用容器技术的典型的应用场景和实践案例。 在线阅读：GitBook，Github，国内镜像 下载：pdf, epub 离线阅读 Docker 自身仍在快速发展中，生态环境也在蓬勃成长。建议初学者使用最新版的 因此所有容器互相之间都可以直接访问，这样存在一定的安全性问题。于是有了一个 Docker 引擎参数 --icc=false ，当指定该参数后，容器间将默认无法互访，除非互相间使用了 -- links 参数的容器才可以互通，并且只有镜像中 EXPOSE 所声明的端口才可以被访问。这个 --icc=false 的用法，在引入了 docker network 后已经基本不用了，通过自定义网络可以很 轻松的实现容器间的互联与隔离。 在容器内，即 eth0 ；另 一端在本地并被挂载到 docker0 网桥，名称以 veth 开头（例如 vethAQI2QT ）。通过这种 方式，主机可以跟容器通信，容器之间也可以相互通信。Docker 就创建了在主机和所有容器 之间一个虚拟共享网络。 图 1.12.1 - Docker 网络 高级网络配置 143 接下来的部分将介绍在一些场景中，Docker 所有的网络定制配置。以及通过

端在容器内，即 eth0 ；另一端在本地并被挂载到 docker0 网桥，名称以 veth 开头（例如 vethAQI2QT ）。通过这种方式，主机可以跟容器通信，容器 之间也可以相互通信。Docker 就创建了在主机和所有容器之间一个虚拟共享网络。 接下来的部分将介绍在一些场景中，Docker 所有的网络定制配置。以及通过 Linux 命令来调整、补充、甚 至替换 Docker --icc=true （缺省值）还是 --icc=false 。当然，如果手 动指定 --iptables=false 则不会添加 iptables 规则。 可见，默认情况下，不同容器之间是允许网络互通的。如果为了安全考虑，可以在 /etc/default/docker 文件中配置 DOCKER_OPTS=--icc=false 来禁止它。 在通过 -icc=false 关闭网络访问后，还可以通过 内部接口），它在内核层连通了其他 的物理或虚拟网卡，这就将所有容器和本地主机都放到同一个物理网络。 Docker 默认指定了 docker0 接口 的 IP 地址和子网掩码，让主机和容器之间可以通过网桥相互通信，它 还给出了 MTU（接口允许接收的最大传输单元），通常是 1500 Bytes，或宿主主机网络路由上支持的默认 值。这些值都可以在服务启动的时候进行配置。 --bip=CIDR --

Agenda • Docker生态&Golang • DaoCloud&Golang • Docker运维&Golang • 总结 广义的Docker，多代表生态 • Docker公司营造的整个生态 －容器与镜像：Docker －容器编排与部署能力：Compose －容器集群管理：Swarm －容器底层的机器管理：Machine • 容器市场生态 －CoreOS与Docker，以及Rocket －CoreOS与Docker，以及Rocket －Kubernetes与Docker：容器编排能力 －Mesos与Docker：资源管理 Docker生态 Golang&Docker生态 golang C python DaoCloud&Golang 持续集成 1.对接代码托管平台 2.自定义集成规则 3.执行镜像构建 镜像仓库 1.用户认证 2.镜像托管 3.镜像高可用存储 PaaS平台 1.应用生命周期管理 2