Docker与容器基础

适合需要把应用交付到容器平台的研发工程师阅读，文章从Dockerfile、本地调试、日志规范、健康检查、资源边界到CI/CD镜像版本管理，帮助开发流程更贴近生产运行。

面向刚接触 Docker、Kubernetes 或云原生的读者，从镜像、仓库、运行时、主机内核和进程隔离几个维度理解容器，读完能判断容器与虚拟机、普通进程的差异。

Sidecar容器常用于日志采集、代理、配置同步和服务网格，但它不是普通业务容器，也不同于只在启动前执行的Init容器。本文用定义、例子、类比和对比表讲清它的作用边界。

本文从单机Docker、镜像仓库、编排调度、服务治理到平台化治理梳理容器架构演进路径，帮助团队理解容器化不同阶段的重点。

本文从镜像层、容器日志、emptyDir、运行时缓存和驱逐机制出发，梳理Kubernetes节点磁盘压力的定位与治理方法。

本文围绕Kubernetes探针配置展开，解释livenessProbe、readinessProbe和startupProbe的差异、参数设置和生产误区，帮助提升发布稳定性。

本文围绕Kubernetes安全上下文配置展开，解释runAsUser、privileged、capabilities、只读文件系统和权限基线，帮助团队降低容器运行风险。

本文从仓库分层、命名规范、版本标签、权限控制、分发加速和生命周期清理出发，梳理容器镜像仓库治理的生产实践。

本文围绕Kubernetes容器存储卷选型展开，解释emptyDir、hostPath、PV、PVC、StorageClass和CSI的使用边界，帮助团队降低持久化风险。

本文从Pod访问、Service转发、DNS解析、NetworkPolicy和节点网络五个层面梳理容器网络排障路径，帮助团队快速定位Kubernetes网络问题。

本文围绕Kubernetes容器日志采集展开，解释标准输出、节点采集、Sidecar、日志字段、检索和成本治理，帮助团队建立可排障的日志体系。

本文解释容器CPU和内存Request、Limit的配置逻辑，从调度、限流、OOM、资源画像和生产校准出发，帮助团队建立可靠的资源治理方法。

本文围绕Kubernetes容器运行时选型展开，解释CRI、containerd、CRI-O与节点运维边界，帮助团队建立稳定可维护的运行时实践。

本文从镜像、资源、网络、权限、发布、观测和平台治理七个维度梳理容器最佳实践，帮助团队把零散规范沉淀为可执行的生产环境清单。

本文聚焦Kubernetes Secret安全管理、配置分发和权限控制，从创建方式、挂载策略、RBAC、审计与轮换流程说明如何降低敏感信息泄露风险。

本文聚焦镜像漏洞扫描在容器安全治理中的落地方法，从扫描时机、风险分级、修复闭环和Kubernetes准入控制解释如何把扫描结果转化为治理动作。

本文聚焦Dockerfile安全写法、镜像构建风险和Kubernetes运行约束，从基础镜像、依赖锁定、多阶段构建、非root用户和供应链治理给出实践建议。

本文聚焦crictl在Kubernetes节点排障中的使用方法，从Pod、容器、镜像、日志和运行时信息五类命令出发，帮助团队建立从事件到CRI状态的定位路径。

本文聚焦containerd镜像存储位置、K8s节点镜像生命周期和磁盘排障方法，帮助运维与平台团队理解镜像内容、快照层、CRI命名空间和清理策略之间的关系。

本文聚焦Init Container的适用场景、启动顺序、配置示例、依赖检查、安全边界与生产设计原则，帮助团队优化K8s应用启动流程。