非 root 运行容器 为什么需要非 root 运行 容器默认以 root 用户运行，这是常见的安全风险。容器内的 root 在宿主机上虽然受到 Namespace 隔离，但仍拥有部分系统权限，提权漏洞可能导致容器逃...

Cgroups 限制资源 什么是 Cgroups Cgroups（Control Groups）是 Linux 内核功能，用于限制、记录和隔离进程组的资源使用。Docker 使用 cgroups 限制容器的 CPU、内存、磁盘 I/O 和网络带宽，防...

Capabilities 安全 什么是 Linux Capabilities Linux Capabilities 是将传统 UNIX 的 root 用户的超级权限拆分为一个个独立的'能力'。Docker 利用 capabilities 机制实现容器权限的精确控制，不...

Namespace 隔离 什么是 Namespace Namespace（命名空间）是 Linux 内核提供的一种资源隔离机制，它将全局的系统资源包装在抽象的命名空间中，使得命名空间内的进程只能看到自己空间内的资源。这...

将 Compose 应用迁移到生产环境 开发环境 vs 生产环境的差异 # 开发环境 services: app: build: . volumes: - .:/app # 代码热更新 ports: - "3000:3000" # 直接暴露端口 environment...

使用 healthcheck 等待服务就绪 为什么需要 healthcheck 在微服务架构中，服务启动和完全就绪之间存在时间差。例如： 数据库：容器启动后，MySQL/PostgreSQL 可能还在初始化 Web 服务：可能正在...

healthcheck 配置详解 healthcheck 的完整参数 services: app: image: myapp healthcheck: test: ["CMD", "curl", "-f", "http://localhost:3000/health&qu...

Compose 网络的自动管理 自动创建默认网络 当你在 docker-compose.yml 中不指定任何网络配置时，Compose 会自动创建一个默认网络： # 最简单的 Compose 文件 services: app: image: myapp db: i...

Compose 中的环境变量配置 环境变量的重要性 在 Docker Compose 中，环境变量用于： 配置数据库连接信息 在不同环境（开发/测试/生产）间切换配置 避免在 Compose 文件中写死敏感信息 实现配置...

Compose 中的 services、networks、volumes 三大核心配置的关系 在 Docker Compose 中，services、networks、volumes 是三个最顶层的配置区块。它们的关系可以类比为真实数据中心的规划： 配置 ...