从入门到实践 79 安全 Docker 容器和 LXC 容器很相似，所提供的安全特性也差不多。当用 docker run 启动一个容器时，在后 台 Docker 为容器创建了一个独立的名字空间和控制组集合。 名字空间提供了最基础也是最直接的隔离，在容器中运行的进程不会被运行在主机上的进程和其它容器发 现和作用。 每个容器都有自己独有的网络栈，意味着它们不能访问其他容器的 sockets 或接口。不过，如果主机系统 。 节点：一个节点是一个运行Kubernetes中的主机。 容器组：一个Pod对应于由若干容器组成的一个容器组，同个组内的容器共享一个存储卷(volume)。 容器组生命周期：包含所有容器状态集合，包括容器组状态类型，容器组生命周期，事件，重启策 略，以及replication controllers。 Replication Controllers：主要负责指定数量的pod在同一时间一起运行。 命令行来增删节点。 在Kubernetes中，使用的最小单位是容器组，容器组是创建，调度，管理的最小单位。 一个容器组使用相同的Dokcer容器并共享卷（挂载点）。一个容器组是一个特定运用的打包集合，包含一 个或多个容器。 和运行的容器类似，一个容器组被认为只有很短的运行周期。容器组被调度到一组节点运行，知道容器的 生命周期结束或者其被删除。如果节点死掉，运行在其上的容器组将会被删除而不是重新调度。（也许在

官网的这张图片形象的展示了集群中管理节点与工作节点的关系。 服务和任务 任务 （ Task ）是 Swarm 中的最小的调度单位，目前来说就是一个单一的容器。 服务 （ Services ） 是指一组任务的集合，服务定义了任务的属性。服务有两种模式： replicated services 按照一定规则在各个工作节点上运行指定个数的任务。 基本概念 199 global services 每个工作节点上运行一个任务 内核命名空间 Docker 容器和 LXC 容器很相似，所提供的安全特性也差不多。当用 docker run 启动一个容 器时，在后台 Docker 为容器创建了一个独立的命名空间和控制组集合。 命名空间提供了最基础也是最直接的隔离，在容器中运行的进程不会被运行在主机上的进程 和其它容器发现和作用。 每个容器都有自己独有的网络栈，意味着它们不能访问其他容器的 sockets 或接口。不过， 中的主机。 容器组（ Pod ）：一个 Pod 对应于由若干容器组成的一个容器组，同个组内的容器共享 一个存储卷(volume)。 容器组生命周期（ pos-states ）：包含所有容器状态集合，包括容器组状态类型，容器 组生命周期，事件，重启策略，以及 replication controllers。 Replication Controllers：主要负责指定数量的 pod 在同一时间一起运行。