Docker -- 终极指南
 1.安装过程 -- Docker -- docker pull 镜像 -- docker images 列出镜像
   -- docker run --rm -ti ubuntu /bin/bash 创建容器  (rm:进程退出即删除容器,用来测试)
   -- docker ps 查看容器 -- docker exec -ti name /bin/bash 进入容器  -- exit 退出
  
 2.Linux命名空间 UTS (UNIX Time-sharing System)
  *Docker核心解决的问题是利用LXC来实现类似VM的功能,
   从而利用更加节省的硬件资源提供给用户更多的计算资源。
   而LXC(Linux Container)所实现的隔离性主要是来自内核的命名空间,
   其中pid、net、ipc、mnt、uts 等命名空间将容器的进程、网络、消息、文件系统和hostname 隔离开
 
Docker -- 安全
  1.Docker run 命令执行后,Docker的具体实现
   * Docker run 命令初始化
   * Docker 运行 lxc -start 来执行run 命令
   * lxc -start 在容器中创建了一组namespace 和 control groups 。
    ①namespace: 隔离容器,每个容器都有独立的网络栈,因此容器间访问sockets需要指定容器的公网IP端口。
     ②cgroups:负责资源核算和限制, 提供CPU,内存,I/O和网络相关的指标,避免某种DOS攻击,支持多租户平台。
    
  2.Docker Daemon 以root权限执行时注意点
   * Docker允许与访问容器目录共享而不限制其访问权限的时候,Docker Daemon的控制权应该只给授权用户,
   * REST API支持unix sockets, 从而防止了cross-site-scripting 攻击
   * REST API的HTTP接口应该在可信网络或者VPN下使用。
   * 在服务器上单独运行Docker时,需要与其他服务隔离。
    ①容器以非特权用户运行。
    ②Apparmor, SELinux ,GRSEC 解决方案,可用于额外的安全层。
    ③可以使用其他容器系统的安全功能。
    
Docker 命令
 daemon:管理容器的后台进程,-d 参数运行后台进程。
 build :使用Dockerfile创建镜像  docker build -t  [options] path | url   [options:  --rm=true :构建后删除中间容器, --no-cache=false :不使用缓存]
 attach:与运行容器交互, 退出:ctrl+c/ ctrl-\(退出并显示堆栈信息) docker attach container
 diff  :列出文件中变化的文件和目录:docker diff container .
 events:打印指定时间内的容器的实时系统事件。 import:导入远程文件或本地文件和目录。(远程): docker import     (本地使用-参数)sudo tar -c image.tar | docker import -imageapp
 export:将容器的系统文件打包成tar:  docker export containid > image.tar
 cp    :从容器中复制文件到指定目录。 docker cp containerID:path hostpath.
 login :登录registry服务器。  docker login [options] [server]
 inspect:收集容器和镜像的底层信息。 docker inspect container/image *容器实例的IP地址,*端口绑定列表, *特定端口映射的搜索, *收集配置的详细信息。
 kill  :停止容器的主进程 docker kill [options] container .
 rmi   :移除一个或多个image镜像 docker rmi image
 wait  :阻塞对容器的其他方法调用,直到容器停止后退出阻塞。docker wait containerID
 load  :从tar文件中载入镜像或仓库到STDIN. docker load -i load.tar
 save  :保存镜像为tar文件并发送STDOUT。 docker save imageid > appbox.tar。