最近做了一个好玩的工具，叫 xbin.io 。其中有一项工作是为不同的工具来构建 Docker 镜像，让他们都运行在 Docker 中（实际上，是兼容 Docker image 的其他  sandbox 系统，没有直接用 Docker）。支持的工具越来越多，为了节省资源，Build 的 Docker image  就越小越好，文件越少，其实启动速度也会略微快一些，也会更安全一些。 这篇文章来介绍一下做 Docker Image 的一些技巧。 在之前的博客 Docker (容器) 的原理中介绍过 …

默认情况下，容器中的进程以 root 用户权限运行，并且这个 root 用户和宿主机中的 root 是同一个用户。听起来是不是很可怕，因为这就意味着一旦容器中的进程有了适当的机会，它就可以控制宿主机上的一切！本文我们将尝试了解用户名、组名、用户 id(uid)和组 id(gid)如何在容器内的进程和主机系统之间映射，这对于系统的安全来说是非常重要的。 说明：本文的演示环境为 ubuntu 16.04 (下图来自互联网)。 先来了解下 uid 和 gid uid 和 gid 由 Linux 内核负…