有状态的服务比如数据库，无状态的服务比如网页。

kubernetes也叫k8s，是在k和s之间有8个英文字母，ubernete这8个字母。它是一个可移植、可扩展的开源平台，它是基于谷歌的Borg。它是基于容器技术的分布式架构方案。

kubernetes是可插拔的，可以选择不同的容器运行时，比如docker或者containerd。从kubernetes v1.24版本开始移除了内置的docker运行时，它出了一个运行时的接口。

容器很受欢迎。容器已成为应用程序在服务器上打包和运行的默认方式，最初是由 Docker 普及的。现在，Docker 是公司的名称和一个命令（一组命令），使您可以轻松管理容器（创建，运行，删除，网络）。但是，容器本身是从一组操作系统原语创建的。在本文中，我们将关注 Linux 操作系统上的容器，并简单地说明为什么Windows 上的容器[1]根本不存在。

Linux 下没有创建容器的单个系统调用。它们是利用 Linux 命名空间和控制组或 cgroups 构成的松散构造。

Docker各类知识点进行整理分享，其他内容请参考目录。

目录

• 架构师修炼之微服务部署 - Docker简介

前言

有很多小伙伴用群晖的时候都是通过HTTP连接到群晖Docker中的第三方服务，经常反馈连接不到群晖服务，其实HTTP的信息是明文传输的，是不安全的，所以有很多客户端强制使用HTTPS。

而HTTPS 是由 SSL+HTTP 构建，具有加密传输和身份认证的特性，所以比 HTTP 更安全，HTTPS 需要向证书颁发机构（CA）申请证书，这也是比HTTP相对麻烦的地方。

k8s可以使用公有库拉取镜像，也可以使用我们自己部署的私有库拉取镜像。我们自己部署的私有库为了安全可能加了基本认证和 TLS加密。而且TLS加密没有权威机构颁发的证书而使用了自签名CA证书。这样k8s就不能直接使用这个私有库，需要对它使用的容器运行时进行配置。

k8s的1.20之前版本默认使用docker做为容器运行时，1.20以及之后版本默认使用containerd容器运行时。上一篇文章已经讲了私有库的部署以及docker使用私有库的配置，这里不再讲解，只讲containerd使用私有库的配置。私有库的部署方式有多种，下面讲述三种情况下的配置方式：

Docker的架构

Docker的整体为CS架构

Docker服务端的组成：

1.dockerd,负责相应和处理docker客户端的请求，并请求containerd。

2.containerd,已从dockerd中剥离出来，管理容器的生命周期。

容器流行是由Docker拉开的序幕。但不久之后，容器生态更多是由于工具、标准和名词而爆炸。那么“docker”到底是什么，像“CRI”和“OCI”这样的术语是什么意思？你甚至应该关心吗？请继续阅读以找出答案。

引言

在容器化应用的运维过程中，容器和镜像管理是核心任务之一。Containerd 作为一个高效的容器运行时，为容器和镜像管理提供了一系列强大的命令行工具。本文将深入解析 Containerd 的容器与镜像命令，结合实际操作案例，帮助您掌握 Containerd 的运维技巧。

了解容器运行环境的工作机制，缘何若攻击者突破容器的限制，过度耦合的运行环境可能造成主机被接管，以及gVisor和Kata Containers等安全容器运行环境的好处。

译自 Container Security and the Importance of Secure Runtimes 。

容器已经彻底改变了我们开发和部署应用程序的方式，它为应用程序及其依赖提供了轻量级和可移植的运行环境。但是我们如何保证容器的安全呢？

我们需要关注的一个关键方面是容器运行时，这是用于启动和管理容器的软件。