上一篇写了Docker特权模式取消改造 → Docker特权权限与安全性实践，这篇主要写 Nvidia GPU 在 Docker 容器中使用及调用验证。首先需要了解下 Nvidia Container Runtime 架构，即GPU是怎么在容器内调用使用的。

NVIDIA Container Runtime 架构：基本原理是用钩子把宿主机显卡驱动映射到容器内使用。

The...

最近在推进生产环境Docker容器应用权限收敛控制，由于早期公司业务快速迭代容器是放开特权模式跑的，现在需要取消特权权限，按需放开应用所需权限，提高Docker生产环境安全性，参考 → Linux 提权-Docker 容器。

权限收敛调整影响涉及面很大，需要提前测试验证，保证各系统应用使用都不受影响，大体上去除特权模式后待测试功能点如下：

1、应用启动脚本及调用的第三方库功能验证

2、容器内其它工具命令...

原文来自：由浅入深吃透 Docker

OverlayFS 的发展分为两个阶段。2014 年，OverlayFS 第一个版本被合并到 Linux 内核 3.18 版本中，此时的 OverlayFS 在 Docker 中被称为overlay文件驱动。由于第一版的overlay文件系统存在很多弊端（例如运行一段时间后Docker 会报 “too many links problem” 的错误）， Linu...

Docker 使用Go 模板，您可以使用它来操作某些命令和日志驱动程序的输出格式。

Docker 提供了一组基本函数来操作模板元素。所有这些示例都使用该docker inspect命令，但许多其他 CLI 命令都有一个--format标志，并且许多 CLI 命令参考包括自定义输出格式的示例。

使用该--format标志时，您需要观察您的 shell 环境。在 Posix shell 中，您可以使用单引...