的结果，你会发现除了真正想要修改的 /usr/share/nginx/html/index.html 文件外，由于命令的执行，还有很多文件被改动或添加 了。这还仅仅是最简单的操作，如果是安装软件包、编译构建，那会有大量的无关内容被添 加进来，如果不小心清理，将会导致镜像极为臃肿。 此外，使用 docker commit 意味着所有对镜像的操作都是黑箱操作，生成的镜像也被称为黑 箱镜像，换 为基础镜像的话，意味着你不以任何镜像为基础，接下来所写的指令将作 为镜像第一层开始存在。 不以任何系统为基础，直接将可执行文件复制进镜像的做法并不罕见，比如 swarm 、 coreos/etcd 。对于 Linux 下静态编译的程序来说，并不需要有操作系统提供运行时 支持，所需的一切库都已经在可执行文件里了，因此直接 FROM scratch 会让镜像体积更加小 巧。使用 Go 语言 开发的应用很多会使用这种方式来制作镜像，这也是为什么有人认为 commit 这一层的修改，构成新的镜像。 使用 Dockerfile 定制镜像 73 而上面的这种写法，创建了 7 层镜像。这是完全没有意义的，而且很多运行时不需要的东 西，都被装进了镜像里，比如编译环境、更新的软件包等等。结果就是产生非常臃肿、非常 多层的镜像，不仅仅增加了构建部署的时间，也很容易出错。 这是很多初学 Docker 的人常 犯的一个错误。 Union FS 是有最大层数限制的，比如

AppArmor, SELinux, GRSEC 等。 Docker 当前默认只启用了能力机制。用户可以采用多种方案来加强 Docker 主机的安全，例如： 在内核中启用 GRSEC 和 PAX，这将增加很多编译和运行时的安全检查；通过地址随机化避免恶意探 测等。并且，启用该特性不需要 Docker 进行任何配置。 使用一些有增强安全特性的容器模板，比如带 AppArmor 的模板和 Redhat 带 SELinux 实例将会保持彼此信息的一致性。 什么是 etcd Docker —— 从入门到实践 127 简介 etcd 基于 Go 语言实现，因此，用户可以从 项目主页 下载源代码自行编译，也可以下载编译好的二进制文 件，甚至直接使用制作好的 Docker 镜像文件来体验。 编译好的二进制文件都在 github.com/coreos/etcd/releases 页面，用户可以选择需要的版本，或通过下载 工具下载。 例如，下面的命令使用

容器调度本质 • 关键是状态（容器／应用） • 状态的存储（Docker Daemon／ETCD） • 微服务架构 • 容器化平台 • Golang in Backends • 大部分静态编译 • 容器化粒度部署工具 Golang&Docker@DaoCloud • 工程性语言 • 去耦合 • 轻量级 小结－Golang&Docker@DaoCloud Docker运维&Golang