Swarm容器调度 • 容器监控 • 应用监控 • 消息中间件 DaoCloud容器云平台 负载均衡 路由模块(tcp) 路由模块(http) 路由模块 … 控制管理 模块 消 息 中 间 件 认证模块 应用运行系统 容器 agent 容器 容器 应用运行系统 容器 agent 应用监控模块 Key/value存储 … 日志引擎 资源监控引擎 请求 Swarm 集群 中间件服务集群 中间件服务集群 • 提供第三方中间件服务 • 接入传统遗留系统服务 • 交付方式：容器与传统形式并存 • 开放性，用户定义服务 中间件服务集群 服务主控模块 服务驱动（mysql） 服务驱动（mongo） 服务驱动（docker） 服务引擎 （mysql） 实例 实例 服务引擎 （mongo） 实例 服务引擎 （docker） 服务引擎 （docker） Swarm集群 实例 服务网关

Ubuntu 14.04 可选内核模块 从 Ubuntu 14.04 开始，一部分内核模块移到了可选内核模块包 ( linux-image-extra-* ) ，以 减少内核软件包的体积。正常安装的系统应该会包含可选内核模块包，而一些裁剪后的系统 可能会将其精简掉。 AUFS 内核驱动属于可选内核模块的一部分，作为推荐的 Docker 存储层 驱动，一般建议安装可选内核模块包以使用 AUFS 。 。 如果系统没有安装可选内核模块的话，可以执行下面的命令来安装可选内核模块包： $ sudo apt-get update $ sudo apt-get install \ linux-image-extra-$(uname -r) \ linux-image-extra-virtual 使用 APT 安装 Ubuntu 25 由于 apt 源使用 HTTPS 以 启动的容器被严格限制只允许使用内核的一部分能力。 使用能力机制对加强 Docker 容器的安全有很多好处。通常，在服务器上会运行一堆需要特权 权限的进程，包括有 ssh、cron、syslogd、硬件管理工具模块（例如负载模块）、网络配置 工具等等。容器跟这些进程是不同的，因为几乎所有的特权进程都由容器以外的支持系统来 进行管理。 ssh 访问被主机上ssh服务来管理； cron 通常应该作为用户进程执行，权限交给使用它服务的应用来处理；

启动的容器被严格限制只允许使用内核的一部分能力。 使用能力机制对加强 Docker 容器的安全有很多好处。通常，在服务器上会运行一堆需要特权权限的进程， 包括有 ssh、cron、syslogd、硬件管理工具模块（例如负载模块）、网络配置工具等等。容器跟这些进程 是不同的，因为几乎所有的特权进程都由容器以外的支持系统来进行管理。 ssh 访问被主机上ssh服务来管理； cron 通常应该作为用户进程执行，权限交给使用它服务的应用来处理； 权限，容器只需要少数的能力即可。 为了加强安全，容器可以禁用一些没必要的权限。 完全禁止任何 mount 操作； 禁止直接访问本地主机的套接字； 禁止访问一些文件系统的操作，比如创建新的设备、修改文件属性等； 禁止模块加载。 这样，就算攻击者在容器中取得了 root 权限，也不能获得本地主机的较高权限，能进行的破坏也有限。 默认情况下，Docker采用 白名单 机制，禁用 必需功能 之外的其它权限。 当然，用户也可以根据自身需求 团队发起的开源项目，它的目标是管理跨多个主机的容器，提供基本的部署，维护 以及运用伸缩，主要实现语言为Go语言。Kubernetes是： 易学：轻量级，简单，容易理解 便携：支持公有云，私有云，混合云，以及多种云平台 可拓展：模块化，可插拔，支持钩子，可任意组合 自修复：自动重调度，自动重启，自动复制 Kubernetes构建于Google数十年经验，一大半来源于Google生产环境规模的经验。结合了社区最佳的想法 和实践。