1 Linux网络虚拟化。

在上一篇文章中，我详细介绍了 Linux 容器中用来实现“隔离”的技术手段：Namespace。而通过这些讲解，你应该能够明白，Namespace 技术实际上修改了应用进程看待整个计算机“视图”，即它的“视线”被操作系统做了限制，只能“看到”某些指定的内容。但对于宿主机来说，这些被“隔离”了的进程跟其他进程并没有太大区别。

容器其实是一种特殊的进程而已。

可能你立刻就能想到,这应该是＿个关于MountNamespace的问题:容器里的应用进程理应‘看到”一套完全独立的文件系统°这样它就可以在自己的容器目录（比如／tmp）下进行操作’而完全不会受宿主机以及其他容器的影响。容器迸程哪些目录需要重新挂载’比如这个／tmp目录。可以看到’容器里的／tmp目录是以tmpfS方式单独挂载的。容器以tmpfS（内存盘）格式重新挂载／tmp目录。

Kubemetes 将配置选项分离到单独的资源对象 ConfigMap 中， 本质上就是键值对映射，值可以是短字面量，也可以是完整的配置文件。了解shell与exec形式的区别，上述两条指令均支持以下两种形式，两者的区别在于指定的命令是否是在shell中被调用。ConfigMap 创建自多种选项：完整文件夹、单独文件、自定义键名的条目下的文件（替代文件名作键名） 及字面量。Secret 结构与 C

通过控制器来运行托管的 pod，Pod失败的时候自动重新启动它们。

通过环境变量或者configMap和secret卷向应用传递配置数据。这对于pod调度、 运行前预设的数据是可行的。对于那些不能预先知道的数据， 比如pod的IP、 主机名或者是pod自身的名称。经在别处定义的数据， 比如pod的标签和注解。不想在多个地方重复保留同样的数据。

每个新容器都是通过在构建镜像时加入的详细配置文件来启动的。将此与pod 中容器重新启动的现象结合起来。存储卷是 pod 的一个组成部分。这意味着在 pod 启动时创建卷， 并在删除 pod时销毁卷。因此， 在容器重新启动期间， 卷的内容将保持不变， 在重新启动容器之后， 新容器可以识别前一个容器写入卷的所有文件。另外，如果一个 pod 包含多个容器， 那这个卷可以同时被所有的容器使用。

一、 docker与k8s使用docker 使用