命令，不影响使用。但不包含图形界面，以及镜像维护、用户管理、访问控制等高级 功能。在官方的商业化版本 Docker Trusted Registry 中，提供了这些高级功能。 除了官方的 Docker Registry 外，还有第三方软件实现了 Docker Registry API，甚至提供了用 户界面以及一些高级功能。比如，VMWare Harbor 和 Sonatype Nexus。 仓库 23 安装 Docker js 项目的根目录，构建好镜像后，就可以直接拿来启动容器运 行。但是如果我们还有第二个 Node.js 项目也差不多呢？好吧，那就再把这个 Dockerfile 复 制到第二个项目里。那如果有第三个项目呢？再复制么？文件的副本越多，版本控制就越困 难，让我们继续看这样的场景维护的问题。 如果第一个 Node.js 项目在开发过程中，发现这个 Dockerfile 里存在问题，比如敲错字了、 Registry CA' 以上命令中 -subj 参数里的 /C 表示国家，如 CN ； /ST 表示省； /L 表示城市或者 地区； /O 表示组织名； /CN 通用名称。 第三步配置 CA 根证书，新建 root-ca.cnf 。 [root_ca] basicConstraints = critical,CA:TRUE,pathlen:1 keyUsage =

是不同的，因为几乎所有的特权进程都由容器以外的支持系统来进行管理。 ssh 访问被主机上ssh服务来管理； cron 通常应该作为用户进程执行，权限交给使用它服务的应用来处理； 日志系统可由 Docker 或第三方服务管理； 硬件管理无关紧要，容器中也就无需执行 udevd 以及类似服务； 网络管理也都在主机上设置，除非特殊需求，容器不需要对网络进行配置。 从上面的例子可以看出，大部分情况下，容器并不需要“真正的” 使用一些有增强安全特性的容器模板，比如带 AppArmor 的模板和 Redhat 带 SELinux 策略的模板。 这些模板提供了额外的安全特性。 用户可以自定义访问控制机制来定制安全策略。 跟其它添加到 Docker 容器的第三方工具一样（比如网络拓扑和文件系统共享），有很多类似的机制，在不 改变 Docker 内核情况下就可以加固现有的容器。 其它安全特性 Docker —— 从入门到实践 84 其它安全特性 总体来看，Docker 可以查看 镜像创建 和 Dockerfile 使用。 第二步，在 requirements.txt 文件里面写明需要安装的具体依赖包名 。 Django psycopg2 就是这么简单。 第三步， fig.yml 文件将把所有的东西关联起来。它描述了应用的构成（一个 web 服务和一个数据 库）、使用的 Docker 镜像、镜像之间的连接、挂载到容器的卷，以及服务开放的端口。 db:

容器 agent 容器 容器 应用运行系统 容器 agent 应用监控模块 Key/value存储 … 日志引擎 资源监控引擎 请求 Swarm 集群 中间件服务集群 • 提供第三方中间件服务 • 接入传统遗留系统服务 • 交付方式：容器与传统形式并存 • 开放性，用户定义服务 中间件服务集群 服务主控模块 服务驱动（mysql） 服务驱动（mongo） 服务驱动（docker）