├── Books
    ├── Docker+Deep+Dive-Leanpub(2018).pdf
    ├── Docker.Docker.Tutorial.for.Beginners.Build.Ship.and.Run.pdf
    ├── Nigel_Poulton_Docker_Deep_Dive_Zero_to_Docker_in_a_single_book,.pdf
    └── Packt.Docker.Cookbook.1783984864.pdf
└── docs
    ├── 01.Introduction.md
    ├── 02.Docker.md
    ├── 03.installation.md
    ├── 04.example-tongquan.md
    ├── 05.Docker-Engine.md
    ├── 06.Image.md
    ├── 07.Container.md
    ├── 08.Containerizing-an-app.md
    ├── 09.Docker-compose.md
    ├── 10.Docker-Swarm.md
    ├── 11.Docker-Networking.md
    ├── 12.Docker-Internal.md
    ├── 13.Docker-Volume.md
    ├── 14.Logging.md
    ├── 15.Cgroup-and-resource-limit.md
    ├── 16.Unionfs.md
    ├── 17.OverlayFS.md
    ├── 18.Docker-registry.md
    ├── 19.portainer.md
    ├── Note-Docker.md
    ├── Readme.md
    └── _config.yml


/Books/Docker+Deep+Dive-Leanpub(2018).pdf:
--------------------------------------------------------------------------------
https://raw.githubusercontent.com/lamth/tailieu-Docker/3d0af9e14209e4d6540da16c5408a7ac8eb476ca/Books/Docker+Deep+Dive-Leanpub(2018).pdf


--------------------------------------------------------------------------------
/Books/Docker.Docker.Tutorial.for.Beginners.Build.Ship.and.Run.pdf:
--------------------------------------------------------------------------------
https://raw.githubusercontent.com/lamth/tailieu-Docker/3d0af9e14209e4d6540da16c5408a7ac8eb476ca/Books/Docker.Docker.Tutorial.for.Beginners.Build.Ship.and.Run.pdf


--------------------------------------------------------------------------------
/Books/Nigel_Poulton_Docker_Deep_Dive_Zero_to_Docker_in_a_single_book,.pdf:
--------------------------------------------------------------------------------
https://raw.githubusercontent.com/lamth/tailieu-Docker/3d0af9e14209e4d6540da16c5408a7ac8eb476ca/Books/Nigel_Poulton_Docker_Deep_Dive_Zero_to_Docker_in_a_single_book,.pdf


--------------------------------------------------------------------------------
/Books/Packt.Docker.Cookbook.1783984864.pdf:
--------------------------------------------------------------------------------
https://raw.githubusercontent.com/lamth/tailieu-Docker/3d0af9e14209e4d6540da16c5408a7ac8eb476ca/Books/Packt.Docker.Cookbook.1783984864.pdf


--------------------------------------------------------------------------------
/docs/01.Introduction.md:
--------------------------------------------------------------------------------
 1 | # Giới thiệu
 2 | 
 3 | ## Quá khứ tồi tệ.
 4 | Ứng dụng rất  quan trọng đối với các doanh nghiệp.
 5 | Hầu như tất cả ứng dụng đều chạy trên các server. Các hệ điều hành chỉ dùng để chạy một ứng dụng.
 6 | Khi cần triển khai bất kì ứng dụng nào đêu cần mua một server mới mà không biết chính xác phần cứng yêu cầu cho ứng dụng.
 7 | Vì vậy dẫn đến sự lãng phí lớn về tài nguyên phần cứng, điện năng,...cho các công ty.
 8 | ## Hello VMware!
 9 | VMware giới thiệu công nghệ ảo hóa virtual machine(VM)- công nghệ giúp chạy đa ứng dụng một cách an toàn 
10 | và bảo mật trên một server vật lý
11 | IT không cần mua một server mới khi công ty yêu cầu một ứng dụng mới nữa. Họ hoàn toàn có thể triển khai chúng trên server sẵn có với một máy ảo mới 
12 | Điều này giúp giảm sự lãng phí về tài nguyên, ch
13 | ## VMwarts
14 | Tuy nhiên, VM vẫn không hoàn hảo:
15 | - Cần một hệ điều hành riêng cho mỗi VM, dẫn đến sự tốn kém về tài nguyên, license, bảo hành, theo dõi cho mỗi VM đó.
16 | - Vm boot chậm và không có tính di động - sao lưu hay di chuyển VM giữa các đều rất khó khăn.
17 | ## Hello Containers!
18 | Trong một khoảng thời gian dài, các công ty lớn sử dụng công nghệ container để khắc phục những thiếu sót của VM.
19 | Container không cần hệ điều hành riêng như VM mà các container chia sẻ hệ điều hành với HostOS. Dẫn đến giảm tiêu tốn tài nguyên cũng như chi phí cho công ty.
20 | Container có tính di động cao - việc di chuyển container giữa laptop, cloud, hay VM là một việc đơn giản
21 | ## Linux containers
22 | Container hiện đại thì bắt đầu trên LInux. Được phát triển và đóng góp rất nhiều từ rất nhiều người, công ty lớn để có được công nghệ container ngày nay.
23 | Một số công nghệ giúp containter pát triển mạnh bao gồm: Kernel namespaces, cgroup, union filesystem, và đương nhiên Docker.
24 | Tuy vậy, container vẫ khá phức tạp và khó tiếp cận với hầu hết các công ty cho đến khi Docker xuất hiện. 
25 | ## Hello Docker!
26 | Có thể nói Docker như một phép màu mà khiến cho Linux container có thể được sử dụng bởi những người dùng thông thường.
27 | Nói cách khác, Docker, Inc. khiến container trở nên dễ dàng hơn.
28 | ## Windows containers
29 | Trong một vài năm trở lại đây, Microsoft đã làm việc cực kì khó khăn để đưa docker lên nển tảng Windown.
30 | Ở thời điểm này, Window container đã có trên Window 10 và Windown Server 2016.
31 | Công nghệ Window container gần như giống hoàn toàn với Linux container. Những người sử dụng quen với Docker trên nền tảng Linux thì sẽ có thể làm quen dễ dàng trên nền tảng Window.
32 | ## Windows containers vs Linux containers
33 | Vì container dùng chung kernel với host OS nên là các container chạy với kernel Window không thể chạy trên Linux host. Do đó, Window container cẩn chạy trên Window host, Linux container cần chạy trên Linux host. Nhưng không đơn giản như vậy...
34 | Hiện tại, hoàn toàn có thể chạy Linux container trên Window host, ví dụ, Với *Docker for Window*, ta có thể chuyển chế độ giữa Linux container và Window container.
35 | *Linux container có thể chạy trên Window host là nhờ công nghệ Hyper-V, nó yêu cầu tối thiểu một kernel Linux và phân vùng chứa tiến trình của các container*
36 | ## What about Mac containers?
37 | Ở thời điểm viết bài này chưa có cái gì là Mac container.
38 | Tuy nhiên, bạn vẫn có thể chạy Linux container trên Mac sử dụng phần mềm *Docker for Mac*.
39 | Nó cũng giống với cách mà Linux container có thể chạy trên Window host, nó chạy các container của bạn trong một máy ảo Linux nhẹ trên Mac của bạn.
40 | ## What about Kubernetes?
41 | 
42 | *Kubernetes is an important piece of software that helps us deploy our containerized apps and keep them running*
43 | Kubernetes là một mã nguồn mở được dùng để tự động triển khai hệ thống, scaling, quản lý các container. Nó thực sự là một hệ thống mạnh mẽ, được phát triển bởi Google. Google sử dụng Kubernetes để quản lý hàng tỉ docker container mà họ đang quản lý.
44 | Kubernetes sử dụng Docker là container runtime mặc định. 
45 | ## Tóm tắt
46 | 
47 | ![](http://i.imgur.com/tMsnEkQ.png)
48 | 
49 | 
50 | 
51 | 
52 | 
53 | 
54 | 
55 | > Written with [StackEdit](https://stackedit.io/).
56 | 


--------------------------------------------------------------------------------
/docs/02.Docker.md:
--------------------------------------------------------------------------------
 1 | # Docker 
 2 | ## Docker - The TLDR.
 3 | Docker là phần mềm chạy trên Window và Linux. Nó tạo, quản lý và điều phối các container.
 4 | Docker là một phần của dự án mã nguồn mở Moby trên Github. Docker, Inc. là một công ty duy trì tổng thể cho dự án mã nguồn mở này.
 5 | ## Docker, Inc. 
 6 | Docker, Inc. là công ty khởi nghiệp có trụ sở ở San Francisco được thành lập bởi nhà phát triển và doanh nhân người Mỹ gốc Pháp **Solomon Hykes**.
 7 | ![](http://i.imgur.com/vb4DMi7.png)
 8 | Docker, Inc. ban đầu là nhà cung cấp dịch vụ cloud platform as a service (PaaS), được gọi là dotCloud. Nền tảng dotCloud tận dụng Linux container. Docker được tạo ra như một công cụ nội bộ giúp họ tạo và quản lý container của họ.
 9 | Năm 2013, dotCloud khủng hoảng. Do đó họ tuyển Ben Golub làm CEO mới, đặt lại tên công ty là Docker,  thoát khỏi nền tảng dotCloud Paas, và bắt đầu nhiệm vụ mang Docker và Container ra thế giới.
10 | Hầu như tất cả các quỹ đầu tư đều tăng sau khi công ty đổi tên và đổi hướng đi tập trung vào Docker.
11 | Docker có một hội nghị thưởng niên là Dockercon, với mục đích cùng nhau phát triển hệ sinh thái container và thúc đẩy sử dụng công nghệ Docker và container.
12 | *NOTE: * Từ "Docker" có nghĩa là 
13 | **dock work-er **: là người tải và bốc dỡ hàng hóa từ tàu.
14 | ## Docker runtime và engine
15 | Docker thường được nhắc đến là để chỉ Docker Engine.
16 | 
17 | ![](http://i.imgur.com/pPaHR9V.png)
18 | Docker Engine là container runtime core dùng để chạy container.
19 | Các ứng dụng khác của Công ty Docker hoặc các công ty bên thứ 3 đều phát triển các sản phẩm phát triển thêm vào Docker Engine hoặc phát triển sung quanh Docker Engine.
20 | Docker Engine có thể tải trên trang chủ của Docker hoặc có thể built từ source trên Github. 
21 | Tại thời điểm viết bài có 2 phiên bản docker engine chính:
22 | - Enterprise Edition (EE)
23 | 	- Là phiên bản thương mại của Docker Engine với thời gian hỗ trợ là 12 tháng cho mỗi bản phân phối.
24 | - Community Edition (CE) 
25 | 	- Là phiên bản cộng đồng, mỗi bản phân phối có thời gian hỗ trợ là 4 tháng
26 | ## The Docker open-source project (Moby)
27 | Thuật ngữ Docker cũng để chỉ dự án mã nguồn mở Docker. Đây là một bộ công cụ mà hợp thành những thứ như Docker deamon or client mà bạn tải trên docker.com. Dự án này sau đó được đổi tên thành Moby và  có cả logo riêng.
28 |  ![](http://i.imgur.com/ILqFLDu.png)
29 |  Mục tiêu của Moby là trở thành thượng nguồn của Docker, và cũng là để chia Docker thành các module nhỏ hơn và làm nó dưới dạng mở.
30 |  Moby được đặt trên Github, repository của nó đặt ở https://github.com/moby
31 |  Vì là một dự án mã nguồn mở, mã nguồn của nó được công khai. Bạn có thể tải về, đóng góp và chỉ sửa tuân theo Apache License 2.0
32 | 
33 | ## The container ecosystem
34 | Bạn hoàn toàn có thể thay thế rất nhiều module đi kèm với docker bằng các module của bên thứ 3.
35 | Ở những ngày đầu, các module của các bên thứ 3 có khi còn tốt hơn nhiều so với module gốc của Docker. Điều này đem đến một số bất lợi kinh doanh cho công ty Docker, do đó, Docker biến các công ty phát triển mạnh tại một thời điểm nào đó thành đối tác lâu dài. 
36 | Kết quả là các module ngày càng được phát triển tốt hơn. Cuối cùng thì các module vẫn có thể thay thế nhưng chúng ngày càng ít cần phải thay thế. 
37 | Mặc dù vậy thì hệ sinh thái của container vẫn đang phát triển mạnh mẽ với sự hợp tác và cạnh tranh lành mạnh.
38 | ## The Open Container Initiative (OCI)
39 | OCI là công cụ để chuẩn hóa định dạng của runtime và image:
40 | - The *image-spec*
41 | - The *runtime-spec* 
42 | OCI giúp tiêu chuẩn hóa runtime và image tạo sự phát triển tốt hơn từ cộng đồng, nhưng tiêu chuẩn thì luôn đi chậm đổi mới, mà công nghệ thì lại phát triển một cách chóng mặt.
43 | OCI được bảo hộ bởi Quỹ Linux, công ty Docker và CoreOS.
44 | 
45 |  
46 | 


--------------------------------------------------------------------------------
/docs/03.installation.md:
--------------------------------------------------------------------------------
 1 | # Cài đặt Docker 
 2 | 
 3 | Trên Linux, sử dụng câu lệnh sau:
 4 | ```
 5 | curl -sSL https://get.docker.com/ | sh
 6 | ```
 7 | Bật dịch vụ:
 8 | ```
 9 | systemctl start docker
10 | systemctl enable docker
11 | ```
12 | Xác nhận cài đặt thành công nếu lệnh sau hiển thị phiên bản của docker đã được cài đặt:
13 | ```
14 | docker --version
15 | ```
16 | 
17 | Hoặc có một lệnh khác dễ nhớ hơn khá nhiều khi cài trên Ubuntu:
18 | ```
19 | sudo apt install docker.io -y
20 | ```
21 | 
22 | 
23 | 


--------------------------------------------------------------------------------
/docs/04.example-tongquan.md:
--------------------------------------------------------------------------------
 1 | # Cái nhìn tổng quan
 2 | Mục tiêu của bài này là vẽ ra bức tranh tổng quan về những gì Docker nói về trước khi "lặn sâu hơn" trong những bài sau.
 3 | Chúng ta sẽ chia bài thành 2 phần chính:
 4 | - The  Ops Perspective
 5 | 	- Chúng ta sẽ tải image, start một container, log in vào container mới này, chạy lệnh bên trong container, và sau đó phá hủy nó.
 6 | - The Dev Perspective
 7 | 	- Chúng ta sẽ tập trung vào ứng dụng. chúng ta sẽ chạy thử một vài app-code từ github, kiểm tra một Dockerfile, đóng gói ứng dụng và chạy ứng dụng đó như một container.
 8 | Khuyến nghị rằng bạn nên đọc cả hai phần, để có cái nhìn về Dev và Ops. DevOps anyone??? :blush:
 9 | ## The Ops Perspective
10 | Khi bạn cài Docker, nó sẽ có 2 thành phần chính:
11 | - Docker client
12 | - Docker daemon ( hay còn được gọi là "server"hoặc "engine").
13 | Docker daemon thực hiện Docker Engine API
14 | Ở bản cài đặt mặc định trên Linux, client giao tiếp với daemon qua một socket IPC/UNIX ở */var/run/docker.sock*. Trên Window nó làm qua một đường ống có tên được đặt ở *npipe:////./pipe/docker_engine*.
15 | Bạn có thể sử dụng lệnh `docker version ` để kiểm tra xem client  và server (daemon) đang chạy và giao tiếp với nhau.
16 | ![](http://i.imgur.com/yUK3uU4.png)
17 | nếu chỉ trả về mục Client thì bạn thử chạy câu lệnh trên với `sudo`: `sudo docker version`
18 | Nếu không muốn dùng sudo thì bạn có thể thêm tài khoản hiện tại vào nhóm *docker*: sudo usermod -aG docker $USER
19 | ### Images
20 | Có thể coi Docker Image như là một vật mà chứa một OS filesystem và một ứng dụng.
21 | Như một template máy ảo trong môi trường ảo hóa, Docker Image trong thế giới Docker như là trạng thái dừng của một container.Nếu bạn là một dev, bạn có thể nghĩ rằng image như là một class.
22 | Để liệt kê các image, ta dùng lệnh: `docker image ls`
23 | ![](http://i.imgur.com/9SVofgf.png) 
24 | Như hình là đang không có imge nào trong máy. Việc lấy một imang từ docker host được gọi là "pulling". Dùng lệnh `docker pull ubuntu ` để pull image ubuntu từ docker host.
25 | ![](http://i.imgur.com/8gOoTPN.png)
26 | Chạy lệnh `docker image ls` lần nữa để kiểm tra lại:
27 | ![](http://i.imgur.com/eeTxZaK.png)
28 | Chúng ta sẽ tìm hiểu chi tiết về nơi chứa docker image và bên trong docker image có gì ở những bài sau. Bây giờ chỉ cần hiểu là một image chứa hệ điều hành cũng như là tất cả code và những thứ yêu cầu để chạy một ứng dụng.
29 | Ví dụng như bạn pull image như nginx thì bạn sẽ có một image chứa hệ điều hành và code, môi trường sẵn sàng để chạy nginx.
30 | 
31 | ### Containers
32 | Bây giời chúng ta đã có image đươc pull về local, chúng ta có thể dụng lệnh `docker container run` để chạy một container từ image:
33 | ```bash
34 | $ docker container run -it ubuntu:latest  /bin/bash
35 | root@dbbe7440c855:/# 
36 | ```
37 | Câu lệnh trên để chạy một container từ image ubuntu và đưa terminal hiện tại thành terminal của container bằng cờ -it.
38 | Để thoát container mà không tắt nó thì ta sử dụng  *Ctrl + PQ* .
39 | ![](http://i.imgur.com/S8gTg5W.png)
40 | ### Attaching to running containers
41 | Để truy cập vào terminal của container đang chạy dùng lệnh `docker container exec`.
42 | ví dụ:
43 | `docker container exec -it zealous_mcclintock bash`
44 | ![](http://i.imgur.com/tOEw7oY.png)
45 | *Ctrl + PQ* để thoát khỏi terminal của container.
46 | Để dừng và xóa container dùng lệnh `docker container stop`, `docker container rm` với tên/ID của container.
47 | ví dụ:
48 | ![](http://i.imgur.com/ysxJnko.png)
49 | ![](http://i.imgur.com/eVvgVyu.png)
50 | Chạy lênh `docker container ps -a` như hình trên, cờ -a để xem tất cả các container kể cả các container đã stop.
51 | 
52 | ## The Dev Perspective
53 | Ở mục này chúng ta sẽ clone một ứng dụng từ github, kiểm tra Dockerfile của nó, đóng gói nó, và chạy nó như một container.
54 | Chạy các lệnh như dưới đây( trên Linux):
55 | 
56 | `git clone https://github.com/nigelpoulton/psweb.git`
57 | ![](http://i.imgur.com/1ArNrZK.png)
58 | - chuyển tới thư mục psweb vừa clone về 
59 | ```bash 
60 | cd psweb 
61 | ls -l
62 | ```
63 | ![](http://i.imgur.com/iaAfr3D.png)
64 | Đây là một ứng dụng web nodejs đơn giản
65 | *Dockerfile* trong thư mục này là file văn bản mô tả cách dựng một ứng dụng thành Docker Image.
66 | - Đọc mội dung file này:
67 | `cat Dockefile`
68 | ![](http://i.imgur.com/D9yzux5.png)
69 | - Sử dụng lệnh `docker image build` để tạo image mới từ hướng dẫn trong Dockerfile. Chạy câu lệnh trong thư mục chứa app code và Dockerfile.
70 | `docker image build -t test:lastest . `
71 | 
72 | ![](http://i.imgur.com/YFF1cyp.png)
73 | sau khi build xong, kiểm tra image test:lastest trên host:
74 | `docker image ls`
75 | ![](http://i.imgur.com/y7pGYSq.png)
76 | - Chạy container từ image vừa tạo
77 | ```bash 
78 | docker container run -d \
79 |  --name web1 \ 
80 |  --publish 8080:8080 \
81 |   test:latest
82 | ```
83 | - Mở trình duyệt và localhost, DNS name  hoặc ip ở port 8080 của host chứa container để kiểm tra xem web chạy từ container đã chạy chưa 
84 | ![](http://i.imgur.com/hc6w72b.png)
85 | done.
86 | 
87 | 
88 | 


--------------------------------------------------------------------------------
/docs/05.Docker-Engine.md:
--------------------------------------------------------------------------------
 1 | # Docker Engine
 2 | Để sử dụng Docker thì bạn có thể bở qua bài này.Để thực sự *master* một thứ gì đó, bạn cần hiểu rõ cơ chế hoạt động của nó.
 3 | Đây là bài lý thuyết, không có bài tập thực hành.
 4 | ## Docker Engine
 5 | - Docker engine là nhân phần mềm để chạy và quản lý container. Nó gần giống với ESXi ở VMware. Docker engine là thiết kế module với nhiều bộ phận có thể thay đổi.
 6 | - Docker engine như là một động cơ xe ô tô- đều được tạo bởi nhiều bộ phận chuyên biêt:
 7 | 	- Động cơ ô tô  được tạo từ nhiều phần chuyên biệt hoạt động cùng nhau để xe có thể đi đươc - Động cơ xi lanh, Bugi, van, trục cam,....
 8 | 	- Docker engine cũng được tạo từ các tool chuyên biệt mà chạy cùng nhau để chạy và quản lý container - APIs, runtime, shim, .....
 9 | - Các thành phần chính cấu tạo nên Docker Engine là : Docker Client, Docker daemon, containerd, runc.
10 | ![](http://i.imgur.com/wKfiCGz.png)
11 | 
12 | ## Docker Engine - The Deep Dive
13 | - Bản phân phối đầu tiên của Docker engine có 2 phần chính:
14 | 	- Docker daemon
15 | 	- LXC
16 | - Docker daemon là một khối nhị phân thống nhất chứa tất cả code của Docker client, Docker API, container runtime, image build, và nhiều thứ khác.
17 | - LXC cung cấp cho Docker daemon quyền truy cập vào các building-block cơ bản của container mà tồn tại trong Linux Kernel như Cgroup và namespace.
18 | ![](http://i.imgur.com/D5wAUSW.png)
19 | ### Bỏ LXC
20 | - Thứ nhất, LXC dành riêng cho Linux nên nó trở thành vấn đề lớn với dự án đa nền tảng của Docker.
21 | - Thứ hai, việc phụ thuộc vào một công cụ bên ngoài cho một phần cốt lõi của dự án là một rủi ro lớn có thể ảnh hưởng đến sự phát triển của dự án.
22 | - Do đó, công ty Docker đã phát triển công cụ riêng của họ là libcontainer để thay thế LXC. Mục tiêu của libcontainer là một công cụ không cần biết nền tảng, cung cấp cho Docker quyền truy cập vào các container building-block thay thế LXC trong Docker 0.9.
23 | ### Bỏ Docker daemon nguyên khối.
24 | - Bản chất nguyên khối của Docker deamon dẫn có những hạn chế:
25 | 	- Khó phát triển.
26 | 	- Ngày càng chậm hơn.
27 | 	- Nó không phải là những gì mà thệ sinh thái Docker mong muốn
28 | - Docker .Inc tiến hành mô-dun hóa nó. Mục đích của họ là tách docker daemon ra thành nhiều chức năng nhất có thể và rồi thực hiện các chức năng đó qua các công cụ chuyên dụng nhỏ hơn. Các công cụ nhỏ có thể tháo lắp
29 | ![](http://i.imgur.com/0AWAVu9.png)
30 | ### Sự ảnh hưởng của Open Container Initiative (OCI)
31 | OCI định nghĩa hai thông số liên quan đến container:
32 | - Image spec
33 | - Container runtime spec
34 | Docker sử dụng *runc* để chứa container runtime code. runc là bản phân phối tham chiếu cho OCI container-runtime-spec.
35 | runc và containerd đều là các thành phần của Docker engine với mục đích là phù hợp với các thông số OCI.
36 | 
37 | ### runc
38 | - Docker inc tham gia rất nhiều để xác định các thông số và phát triển *runc* theo các thông số đó
39 | - *runc* được coi là một trình command-line wrapper nhỏ, nhẹ cho libcontainer.
40 | - *runc* dùng để tạo container nhanh, là một công cụ container runtime độc lập. Nó tạo, chạy contaner tốt nhưng lại không có nhiều chức năng.
41 | - *runc* là low-level container runtime 
42 | ### containerd 
43 | - *containerd* (phát âm container-dee) là một công cụ dùng để quản lý vòng đời của các container: `start | stop | pause | rm ...`.
44 | - *containerd* có sẵn như một daemon cho Linux và Window.
45 | - *containerd* nằm giữa Docker daemon và runc trong các tầng OCI.
46 | - *containerd* không chỉ quản lý vòng đời của container, sau này nó được phát triển để làm được nhiều nhứ khác, như là quản lý image. Lý do là để containerd dễ sử dụng trong các sự án khác. Tuy nhiên, các chức năng khác của containerd là dạng mô đun có thể dùng hoặc không.
47 | - *containerd* là high-level container runtime
48 | ### Start một container ( ví dụ).
49 | - Lệnh `docker container run`sau chạy một container từ `alpine`  image:
50 | `docker container run --name vidu -it alpine sh`
51 | - Khi bạn gõ lệnh như trên vào Docker CLI, Docker client sẽ convert chúng thành API payload phù hợp và post chúng vào các API endpoint đúng,
52 | - API được triển khai trên Docker daemon sau khi nhận lệnh tạo một container, nó liên hệ đến *containerd* thông qua *CRUD-style API* qua *gRPC*. Lưu ý, Docker daemon không chứa bất kì một đoạn code nào để chạy container.
53 | - *containerd* không thể tạo container mà nó convert image thành một gói OCI và yêu cầu *runc* dùng nó để tạo container.
54 | - *runc* giao tiếp với OS kernel để tập hợp các cấu trúc cần thiết để tạo một container( namespace, cgroup,... ). Container process sẽ khởi động như một process con của *runc* và ngay sau khi nó hoạt động, runc sẽ thoát.
55 | - quá trình tạo container được tóm tắt ở hình sau.
56 | 
57 | ![](http://i.imgur.com/X0fLc9G.png)
58 | ### Lợi ích của mô hình này.
59 | - Container runtime tách biệt với Docker daemon nên có thể bảo trì và nâng cấp Docker daemon mà không ảnh hưởng đến những container đang chạy
60 | - Trước đây khi mà container runtime được triển khai trên daemon thì mỗi khi cập nhật Docker (cập nhật thường xuyên), docker daemon cập nhật sẽ kill hết các container đang chạy.
61 | ### shim.
62 | - shim quan trọng trong quá trình tách biệt một container đang chạy với daemon.
63 | - Khi tạo một một container nghĩa là tạo ra một runc process mới để chạy container process như process con của runc. Nhưng ngay sau khi container được tạo thì runc process sẽ thoát.
64 | - Khi runc thoát, container shim process thay thế runc trở thành process cha cho container. Nhiệm vụ của shim:
65 | 	- giữ bất kì STDIN và STDOUT mở cho đến khi daemon khởi động lại, do đó container không bị đóng
66 | 	- báo cáo trạng thái thoát của container cho daemon 
67 | ### Nó triển khai trên Linux ntn
68 | - dockerd (the Docker daemon)
69 | - docker-containerd (containerd)
70 | - docker-container-shim (shim)
71 | - docker-runc (runc)
72 | 
73 | 
74 | ## Chapter summary 
75 | The Docker engine is modular in design and based heavily on open-standards from the OCI. 
76 | The Docker daemon implements the Docker API which is currently a rich, versioned, HTTP API that has developed alongside the rest of the Docker project. 
77 | Container execution is handled by containerd. containerd was written by Docker, Inc. and contributed to the CNCF. You can think of it as a container supervisor that handles container lifecycle operations. It is small and lightweight and can be used by other projects and third-party tools. For example, it’s poised to become the default, and most common, container runtime in Kubernetes. 
78 | containerd needs to talk to an OCI-compliant container runtime to actually create containers. By default, Docker uses runc as its default container runtime. runc is the de facto implementation of the OCI container-runtime-spec and expects to start containers from OCI-compliant bundles. containerd talks to runc and ensures Docker images are presented to runc as OCI-compliant bundles.
79 |  runc can be used as a standalone CLI tool to create containers. It’s based on code from libcontainer, and can also be used by other projects and third-party tools. 
80 |  There is still a lot of functionality implemented in the Docker daemon. More of this may be broken out over time. Functionality currently still inside of the Docker daemon include, but is not limited to: the API, image management, authentication, security features, core networking, and volumes. 
81 | The work of modularizing the Docker engine is ongoing
82 | 


--------------------------------------------------------------------------------
/docs/06.Image.md:
--------------------------------------------------------------------------------
  1 | # Image
  2 |  Trong bài viết sẽ nói đến Docker image là gì, và thực hiện các hoạt động cơ bản với Image. Cách build một image sẽ được đề cập ở một bài viết khác.
  3 | 
  4 | ## Tổng quan Docker Image.
  5 | - **Docker image** được coi là một container đã dừng, nó gần giống như một VM template ( stopped VM)
  6 | - Khi bạn *pull* một image thì nó sẽ tải image về host từ một *image registry*. Registry phổ biến nhất là [Docker Hub](https://hub.docker.com/)
  7 | - Docker image được tạo bởi nhiều lớp xếp lên nhau và được biểu diễn như một đối tượng. Trong image là một hệ điều hành được cắt giảm, tất cả file và những yêu cầu phụ thuộc để chạy một ứng dụng.
  8 | ## Docker Image
  9 | - Image như là một container đã dừng. Thực tế, bạn hoàn toàn có thể stop một container và build image từ nó. 
 10 | - **Image** như cấu trúc **build-time** còn **container** được coi như cấu trúc **run-time**.
 11 | ![](http://i.imgur.com/pxFCA4V.png)
 12 | ### Image và container
 13 | Khi tạo một container từ một image, chúng sẽ chở nên phụ thuộc vào nhau. Bạn không thể xóa một image mà không dừng và xóa container mà chạy từ image đó, nó sẽ xuất hiện lỗi:
 14 | ![](http://i.imgur.com/hE59BuA.png)
 15 | ### image thường nhỏ.
 16 | - Vì container hướng đến sự nhanh chóng, nhẹ để chạy ứng dụng, do đó, image cũng được xây dựng nhỏ gọn và loại bỏ những thứ không cần thiết.
 17 | - Docker image không chứa kernel, container sẽ dùng chung kernal với host.
 18 | - Image chứa một hệ điều hành chỉ đủ cho ứng dụng.( Các file liên quan đến hệ điều hành và filesystem).
 19 | - Ví dụ:
 20 | 	- Docker image *Alpine Linux* chỉ có kích thước khoảng 4MB là một ví dụ cho thấy docker image nhỏ như thế nào.
 21 | 	- Image *Ubuntu* có kích thước lớn hơn, khoảng 110MB tuy nhiên, nó đã là rất nhỏ vì nó đã loại bỏ hầu hết những thành phần không thiết yếu trong hệ điều hành.
 22 | 	- Image dựa trên nền Window có xu hướng lơn hơn so với trên nền Linux vì cách mà hệ điều hành Window hoạt động.
 23 | ### Pulling Image
 24 | - Một host mới cài Docker sẽ không có bất cứ image nào trong local repository của nó.
 25 | - Local repository trên Linux host thường đặt ở `/var/lib/docker/<storage-driver`. Trên Window host, nó đặt ở `C:\ ProgramData\docker\windowsfilter`.
 26 | - Liệt kê các image có trong máy bằng lệnh: 
 27 | `docker image ls`
 28 | ![](http://i.imgur.com/WWPNUru.png)
 29 | - Quá trình lấy image về docker host được gọi là pulling. dùng lệnh `docker image pull` để pull image.
 30 | - Ví dụ (Linux): 
 31 | 
 32 | ```
 33 | $ docker image pull ubuntu:latest
 34 | 
 35 | latest: Pulling from library/ubuntu
 36 | b6f892c0043b: Pull complete
 37 | 55010f332b04: Pull complete
 38 | 2955fb827c94: Pull complete
 39 | 3deef3fcbd30: Pull complete
 40 | cf9722e506aa: Pull complete
 41 | Digest: sha256:38245....44463c62a9848133ecb1aa8
 42 | Status: Downloaded newer image for ubuntu:latest
 43 | 
 44 | $ docker image ls
 45 | REPOSITORY    TAG       IMAGE ID        CREATED       SIZE
 46 | ubuntu        latest    ebcd9d4fca80    3 days ago    118MB
 47 | ```
 48 | 
 49 | Như bạn thấy, giờ image đã được pull về local repository của docker host.
 50 | 
 51 | ### Image registries
 52 | Các Docker image được lưu trữ ở image registry. [Docker Hub](https://hub.docker.com/) là image registry phổ biến nhất. Docker Hub được cài đặt là registry mặc định cho docker client.
 53 | Các Image registry chứa nhiều image repository.
 54 | Các image repository lại chứa nhiều image.
 55 | 
 56 | ![](http://i.imgur.com/OjSvnQZ.png)
 57 | 
 58 | ### Official and unofficial repositories
 59 | Docker Hub có hai khái niệm là official và unofficial repository.
 60 | Official repo chứa các image được Docker .Inc xem xet kỹ lưỡng. Chúng thường up to date, code chất lượng cao, bảo mật, tài liệu tốt, phù hợp với thực tiễn.
 61 | Unofficial repo không đảm bảo mấy cái trên như official repo. Chúng không hẳn là không tốt, nhưng cần cẩn trọng khi sử dụng (kể cả với official repo).
 62 | Official repo thường nằm ở top level của docker hub namespace:
 63 | ví dụ: ![enter image description here](http://i.imgur.com/ryH9X7W.png)
 64 | Unofficial repo thường nằm ở second level namespace, thường nằm sau tên tổ chức hoặc người sở hữu repo.
 65 | ví dụ: [https://hub.docker.com/r/lamth/test](https://hub.docker.com/r/lamth/test)
 66 | ### Image naming and tagging
 67 | Địa chỉ của image thuộc official repo đơn giản là tên repo và tag của image phân các nhau bằng dấu hai chấm (:).
 68 | Một vài điểm cần lưu ý khi dùng lệnh pull:
 69 | - Nếu *không chỉ định tag* cho image thì docker sẽ hiểu là bạn muốn pull image có *latest tag*
 70 | - **Tag lastest** *không phải là tag cho image mới nhất trong repository*. Nó được lựa tùy ý. Cần cẩn trọng khi sử dụng latest tag.
 71 | Pull image từ một unofficial thì chỉ cần thêm tên tổ chức hay người dùng sở hữu repo và '/' sau đó là tên repo
 72 | ví dụ `docker image pull lamth/test:lastest`
 73 | Pull từ một registry khác không phải là Docker Hub thì cần thêm DNS name của registry đó vào trước repo.
 74 | ví dụ pull từ Google Container Registry (GCR): 
 75 |  `docker image pull gcr.io/lamth/test`(ví dụ thôi, không có đâu)
 76 |  Bạn có thể sẽ cần có tài khoản và đăng nhập trước khi pull image từ registry bên thứ 3.
 77 |   
 78 | 
 79 |  Một image có thể có nhiều tag, bạn có thể thêm bao nhiêu tag tùy ý, tag là dạng giá trị alpha được lưu là metadata cùng với image. ví dụ như image có tag là version và có thêm tag latest chẳng hạn.
 80 |  
 81 | ### Filtering the output of `docker image ls`
 82 | Flag `--filter`  để lọc danh sách image hiển thị khi dùng lệnh `docker image ls`.
 83 | Docker hỗ trợ những option sau cho flag `--filter`:
 84 | - *dangling*: = true or false,  để liệt kê các dangling image (true), không hiển thị các dangling image(false). dangling image là các image không có tên (<none>:<none>) do có image mới lấy tag giống image cũ.
 85 | - *before*: đưa ra tên hay ID của một image để làm mốc, liệt kê các image tạo trước nó.
 86 | - *since* : ngược với *before*
 87 | - *label* : lọc dựa trên sự xuất hiện của nhãn, nhãn và giá trị
 88 | Flag `--format` cũng là một flag để lọc đầu ra nhưng là các cột giá trị của đầu ra.
 89 | Ví dụ
 90 | Dùng lệnh sau sẽ chỉ hiển thị các giá trị repo, tag, size của các image:
 91 | `docker image ls --format "{{.Repository}}: {{.Tag}}: {{.Size}}"`
 92 | 
 93 | ![](http://i.imgur.com/8QpoTly.png)
 94 | 
 95 | Cũng có thể sử dụng các công cụ để lọc có sẵn như grep hay awk trên Linux.
 96 | 
 97 | ### Searching Docker Hub from the CLI.
 98 | Lệnh `docker search` dùng để tìm kiếm Docker hub bằng dòng lệnh.
 99 | Cũng có thể dùng lệnh trên với các option như lọc( lọc official image, lọc image được build automated).
100 | Lệnh `docker search` mặc định chỉ hiển thị 25 kết quả, có thể thay đổi giá trị này bằng cờ `--limit` và cao nhất là 100.
101 | 
102 | ### Image và các lớp của nó.
103 | Image là một loạt các lớp read-only kết nối với nhau.
104 | 
105 | ![](http://i.imgur.com/0tGlnOI.png)
106 | 
107 | thử pull một image về để xem các lớp của nó:
108 | 
109 | ```
110 | $ docker image pull ubuntu:latest  
111 | latest: Pulling from library/ubuntu 
112 | 952132ac251a: Pull complete 
113 | 82659f8f1b76: Pull complete 
114 | c19118ca682d: Pull complete 
115 | 8296858250fe: Pull complete 
116 | 24e0251a0e2c: Pull complete 
117 | Digest: sha256:f4691c96e6bbaa99d...28ae95a60369c506dd6e6f6ab 
118 | Status: Downloaded newer image for ubuntu:latest
119 | ```
120 | 
121 | Mỗi dòng có Pull complete là tượng trưng cho một layer của image đã được pull về thành công. Image này có 5 layer.
122 | 
123 | ![enter image description here](http://i.imgur.com/k9OGrRE.png)
124 | 
125 | Một cách khác để xem các layer của một image là dùng lệnh `docker image inspect`
126 | ví dụ: 
127 | 
128 | ![](http://i.imgur.com/VFK1iPX.png)
129 | 
130 | - lệnh `docker history` hiển thị lịch sử build image, không hiển thị các lớp của image.
131 | - Tất cả docker image đều bắt đầu với một base layer, khi có các thay đổi, nội dung mới thêm vào, một layer mới sẽ được thêm vào ở trên đầu.
132 | - ví dụ ( một ví dụ được đơn giản hóa cho mục đích trình diễn):
133 | 	- Build một image dựa trên base là ubuntu 16.04, thì image sẽ có một layer đầu tiên là ubuntu 16.04
134 | 	- nếu bạn thêm Python package và sercurity pack vào image thì nó sẽ thêm lần lượt các layer lên trên layer đầu tiên.
135 | 	- ![](http://i.imgur.com/yXsWXjh.png)
136 | - Với mỗi layer được thêm vào thì image sẽ kết hợp tất cả các layer với nhau.
137 | 
138 | ![](http://i.imgur.com/jmmNWtT.png)
139 | 
140 | Ví dụ trong hình 6.6 trên, image có hai layer, mỗi layer có 3 file, tức là image có 6 file.
141 | 
142 | ![](http://i.imgur.com/tRPshtN.png)
143 | 
144 | Ví dụ ở hình 6.7 phức tạp hơn với 3 layer. Image ở trong hình này có tổng 6 file tất cả vì, file 7 ở layer 3 là một bản cập nhật cho file 5 ở layer 2. Đây là cơ chế để cập nhật các file trong một image.
145 | Docker sử dụng storage driver mà nó có trách nhiệm xếp các layer và biểu diễn chúng như môt file system thống nhất. trên Linux có các storage driver là AUFS, overlay2, devicemapper, btrfs and zfs.
146 | Hình 6.8 biểu diên image trong hình 6.7 dưới dạng sẽ suất hiện ở trong hệ thống.
147 | 
148 | ![](http://i.imgur.com/0VYtOYL.png)
149 | 
150 | ### Chia sẻ các image layer.
151 | Các image có thể sử dụng và chia sẻ các layer với nhau, làm tăng sự hiệu quả trong không gian lưu trữ và hiệu năng.
152 | Khi pull các image mà đã có các layer có thể sử dụng trung trên local sẽ có thông báo `Already exists` ở layer đó.
153 | ### Pulling images by digest
154 | Các pull image bằng tag là cách phổ biến nhất. Nhưng tag thì có thể thay đổi dẫn đến việc có thể đánh dấu một thể với sai tag.
155 | Vì vậy *image digests* ra đời. Từ bản docker 1.10, các image đều có một mật mã băm của nội dung - *digest*.
156 | Vì digest là mã băm của nội dung của image nên nếu thay đổi nội dung image thì chắc chắn sẽ thay đổi digest của image đó. Nó giúp tránh các nhầm lẫn như với tag.
157 | Khi pull image về sẽ có kèm theo digest, hoặc có thể dùng `docker image ls	 --digest`  để xem digest.
158 | 
159 | ![](http://i.imgur.com/HoAp9yx.png)
160 | 
161 | **Ghi chú** digest lại để nếu sau này cần pull đúng chính xác image này. hiện tại không có các nào để xem số digest của các image trên docker hub trừ khi pull về local.
162 | 
163 | ![](http://i.imgur.com/rupcvqo.png)
164 | 
165 | ## Image đa kiến trúc.
166 | Docker hướng tới sự đơn giản.
167 | Tuy nhiên, vì Docker phát triển, mọi thứ cũng bắt đầu trở nên phức tạp, đặc biệt khi các nền tảng và kiến trúc như Window, ARM, s390x được thêm vào. Lúc này, khó có thể biết được image pull về có thể chạy trên cấu trúc đang dùng hay không. 
168 | Vì vậy, **Image đa kiến trúc** ra đời!
169 | Docker giờ đã hộ trợ image đa kiến trúc, nghĩa là một image tag có thể hỗ trợ nhiều nền tảng và kiến trúc.
170 | Để làm được điều đó, Registry API hỗ trợ hai cấu trúc quan trọng:
171 | - **manifest list**
172 | - **manifest**
173 | **manifest list** là để liệt kê các nền tảng và kiến trúc mà image hỗ trợ. mỗi nền tảng mà image hộ trợ đều có **manifest** riêng của nó.
174 | Ví dụ trong hình 6.9 là ví dụ về image đa nền tảng *golang*. **manifest list** chỉ ra các nền tảng hỗ trợ, các nền tảng hỗ trợ lại có các manifest chứa cấu hình của image và các dữ liệu layer.
175 | ![](http://i.imgur.com/fI3LH9j.png)
176 | Giả sử bạn dùng Docker trên Linux chạy trên cấu trúc ARM. Khi bạn pull một image, Docker client sẽ call đến Docker Registry API. Nếu image có **manifest list**, nó sẽ được phân tích xem có mục cho Linux on ARM không. Nếu có thì **manifest** của image cho Linux on ARM sẽ được truy xuất và phân tích. Sau đó từng lớp của manifest này được pull về.
177 | **manifest list** là một tùy chọn - nếu nó không có trong một image thì registry sẽ trả về manifest bình thường.
178 | ### Deleting Images.
179 | Không cần thì xóa, nhưng làm sao xóa. Lệnh `docker image rm` hoặc `docker rmi` là các lệnh dùng để xóa image.
180 | Xóa một image sẽ xóa image đó và tất cả các layer của nó trên host, các directory chỉ chứa layer data cũng sẽ bị xóa. Tuy nhiên, nếu một layer đang được share với nhiều image thì layer này sẽ không bị xóa trừ khi tất cả các image sử dụng nó bị xóa hết.
181 | Nếu đang có một container đang chạy từ image nào đó, không thể xóa được image này.  
182 | stop và delete container trước khi xóa image.
183 | Cách xóa tất cả những image là dùng `docker image remove $(docker image ls -q)`. 
184 | `docker image ls -q` là để liệt kê ra ID của các image. nếu thêm flag `-f` sau lệnh xóa image thì image sẽ bị xóa kể cả có container đang chạy trên image này, container này sẽ bị kill và delete.
185 | 
186 | ## Image -  the commands
187 | - `docker image pull` là lệnh để tải image từ một registy về. Registry mặc định của Docker là Docker Hub. Cấu trúc câu lệnh như sau: 
188 | `docker pull image  [OPTIONS   [RegistryDNS/]NAME[:TAG|@DIGEST] `
189 | - `docker image ls` - liệt kê các docker image lưu trong Docker host. Đê xem SHA256 digest thì thêm flag `--digest` .
190 | - `docker image inspect` show chi tiết về image - layer data, metadata.
191 | - `docker image rm` để xóa image.  xóa image mà có container đang chạy thì phải tắt và xóa container trước hoặc thêm flag `-f`.
192 | ## Chapter summary
193 | 
194 | In this chapter, we learned about Docker images. We learned that they are like virtual machine templates and are used to start containers. Under the hood they are made up one or more read-only layers, that when stacked together, make up the overall image.
195 | We used the docker image pull command to pull some images into our Docker host’s local registry.
196 | We covered image naming, official and unofficial repos, layering, sharing, and crypto IDs
197 | We looked at how Docker supports multi-architecture and multi-platform images, and we finished off by looking at some of the most common commands used to work with images.
198 |  In the next chapter we’ll take a similar tour of containers — the runtime cousin of images.
199 | 
200 | 
201 | 
202 | 


--------------------------------------------------------------------------------
/docs/07.Container.md:
--------------------------------------------------------------------------------
  1 | # Container 
  2 | ## Tổng quan Docker container 
  3 | - Container là một trường hợp (instance) đang chạy của một image. Như khi chạy VM( máy ảo) từ một VM template, chúng ta có thể chạy một hay một vài container với một image. Khác nhau giữa VM và container có lẽ là container nhanh và nhẹ hơn - thay vì chạy cả một hệ điều hành đầy đủ, container dùng chung os/kernel với host mà nó đang chạy trên.
  4 | ![Các container chạy từ một image](http://i.imgur.com/4sQTkWm.png)
  5 | - Cách đơn giản nhất để chạy một container là dùng lệnh:	`docker container run <image> <app>`.
  6 | - Ví dụ: Lệnh sau chạy container Ubuntu để chạy ứng dụng Bash shell: `docker container run -it ubuntu /bin/bash`. flag`-it` để truy cập luôn từ terminal hiện tại của bạn vào shell của container.
  7 | Container chạy cho đến khi app mà nó thực thi thoát. Ở ví dụ trên, Linux container sẽ thoát sau khi Bash shell thoát.
  8 | - Bạn có thể tắt container thủ công với lệnh `docker container stop` và chạy nó lại với lệnh `docker container start`. Bạn cũng có thể xóa một container vĩnh viễn bằng lệnh `docker container rm`.
  9 | ## Docker container - the deep dive
 10 | ### Container vs VM
 11 | - Container và VM (máy ảo ) đều chạy trên một host. Nó có thể là Laptop của bạn, một server vật lý, hoặc là một instance trên public cloud. 
 12 | - Ví dụ sau đây, chúng ta sử dụng một server vật lý để chạy 4 ứng dụng.
 13 | 	- Trong mô hình VM, Server được bật lên và hypervisor boot ( chúng ta bỏ qua BIOS and bootloader,..). Sau đó, hypervisor yêu cầu tất cả tài nguyên phần cứng của hệ thống như CPU, RAM, storage, và NIC. Hypervisor sau đó chia những tài nguyên phần cứng này các phiên bản ảo. Chúng sau đó được đóng gói và một cấu trúc phần mềm được gọi là virtual machine (VM). Sau đó dùng các VM để cài hệ điều hành và ứng dụng. Vì cần cài 4 ứng dụng nên chúng ta cần tạo 4 Vm, cài hệ điều hành và ứng dụng cho 4 VM đó.
 14 | ![](http://i.imgur.com/TNDuMUM.png)
 15 | 	- Trong mô hình container, khi máy chủ bật, hệ điều hành khởi động và nó yêu cầu các tài nguyên phần cứng. Trên cùng của hệ điều hành, chún ta cài một container engine như Doker. Container engine lấy các tài nguyên hệ điều hành như process tree, filesystem, network và cô lập thành một cấu trúc cô lập bảo mật là container. Các container giống như một OS. Vì cần chạy 4 ứng dụng nên chúng ta chạy 4 ứng dụng trên 4 container 
 16 | ![](http://i.imgur.com/9T57vQL.png)
 17 | - Tổng quan, có thể nói *hypervisor* là ảo hóa phần cứng còn *container* là ảo hóa hệ điều hành.
 18 | ## Kiểm tra docker daemon
 19 | - kiểm tra phiên bản docker:
 20 | ```bash 
 21 | docker version
 22 | 
 23 | 
 24 | root@lamth-Precision-M4700:~# docker version 
 25 | Client:
 26 |  Version:           18.09.4
 27 |  API version:       1.39
 28 |  Go version:        go1.10.8
 29 |  Git commit:        d14af54266
 30 |  Built:             Wed Mar 27 18:35:44 2019
 31 |  OS/Arch:           linux/amd64
 32 |  Experimental:      false
 33 | 
 34 | Server: Docker Engine - Community
 35 |  Engine:
 36 |   Version:          18.09.4
 37 |   API version:      1.39 (minimum version 1.12)
 38 |   Go version:       go1.10.8
 39 |   Git commit:       d14af54
 40 |   Built:            Wed Mar 27 18:01:48 2019
 41 |   OS/Arch:          linux/amd64
 42 |   Experimental:     false
 43 | 
 44 | ```
 45 | - Nếu lệnh trên không chạy được thì rất có thể docker daemon của bạn không chạy, hoặc bạn chưa có quyền.
 46 | - Để kiểm tra trạng thái của docker daemon:
 47 | ```
 48 | service doker status
 49 | 
 50 | 
 51 | root@lamth-Precision-M4700:~# service docker status
 52 | ● docker.service - Docker Application Container Engine
 53 |    Loaded: loaded (/lib/systemd/system/docker.service; enabled; vendor preset: en
 54 |    Active: active (running) since Sat 2019-04-20 12:48:15 +07; 46min ago
 55 |      Docs: https://docs.docker.com
 56 |  Main PID: 2354 (dockerd)
 57 |     Tasks: 19
 58 |    CGroup: /system.slice/docker.service
 59 |            └─2354 /usr/bin/dockerd -H fd:// --containerd=/run/containerd/containe
 60 | 
 61 | Thg 4 20 12:48:14 lamth-Precision-M4700 dockerd[2354]: time="2019-04-20T12:48:14.
 62 | Thg 4 20 12:48:14 lamth-Precision-M4700 dockerd[2354]: time="2019-04-20T12:48:14.
 63 | Thg 4 20 12:48:14 lamth-Precision-M4700 dockerd[2354]: time="2019-04-20T12:48:14.
 64 | Thg 4 20 12:48:14 lamth-Precision-M4700 dockerd[2354]: time="2019-04-20T12:48:14.
 65 | Thg 4 20 12:48:15 lamth-Precision-M4700 dockerd[2354]: time="2019-04-20T12:48:15.
 66 | Thg 4 20 12:48:15 lamth-Precision-M4700 dockerd[2354]: time="2019-04-20T12:48:15.
 67 | Thg 4 20 12:48:15 lamth-Precision-M4700 dockerd[2354]: time="2019-04-20T12:48:15.
 68 | Thg 4 20 12:48:15 lamth-Precision-M4700 dockerd[2354]: time="2019-04-20T12:48:15.
 69 | Thg 4 20 12:48:15 lamth-Precision-M4700 dockerd[2354]: time="2019-04-20T12:48:15.
 70 | Thg 4 20 12:48:15 lamth-Precision-M4700 systemd[1]: Started Docker Application Co
 71 | lines 1-19/19 (END)
 72 | 
 73 | ```
 74 | - Hoặc `systemctl is-active docker`
 75 | ## Chạy một container đơn giản.
 76 | - Chạy một container sử dụng `docker container run`:
 77 | ```bash 
 78 | docker container run -it ubuntu:latest /bin/bash
 79 | 
 80 | 
 81 | root@lamth-Precision-M4700:~# docker container run -it ubuntu:latest /bin/bash
 82 | root@a40bfb90337e:/# 
 83 | root@a40bfb90337e:/# 
 84 | ```
 85 | - Cấu trúc câu lệnh `docker container run <option> <name>:<tag> <app>` 
 86 | - Ở ví dụng trên, ta chạy container ubuntu với flag -it để truy cập vào terminal của container và chạy app /bin/bash.
 87 | - `root@a40bfb90337e:/# `: 12 ký tự sau dấu @ là 12 ký tự đầu tiên của container ID.
 88 | -  Trong container vừa chạy, một số command sẽ không thực hiện được vì image để chạy một cách tối ưu nhất, có nghĩa là không cần phải đóng gói tất cả các command và package bình thường vào.
 89 | ```bash
 90 | root@a40bfb90337e:/# ls -l
 91 | total 64
 92 | drwxr-xr-x   2 root root 4096 Mar  7 21:01 bin
 93 | drwxr-xr-x   2 root root 4096 Apr 24  2018 boot
 94 | drwxr-xr-x   5 root root  360 Apr 20 06:38 dev
 95 | drwxr-xr-x   1 root root 4096 Apr 20 06:38 etc
 96 | drwxr-xr-x   2 root root 4096 Apr 24  2018 home
 97 | drwxr-xr-x   8 root root 4096 May 23  2017 lib
 98 | drwxr-xr-x   2 root root 4096 Mar  7 21:00 lib64
 99 | drwxr-xr-x   2 root root 4096 Mar  7 21:00 media
100 | drwxr-xr-x   2 root root 4096 Mar  7 21:00 mnt
101 | drwxr-xr-x   2 root root 4096 Mar  7 21:00 opt
102 | dr-xr-xr-x 346 root root    0 Apr 20 06:38 proc
103 | drwx------   2 root root 4096 Mar  7 21:01 root
104 | drwxr-xr-x   1 root root 4096 Mar 12 00:20 run
105 | drwxr-xr-x   1 root root 4096 Mar 12 00:20 sbin
106 | drwxr-xr-x   2 root root 4096 Mar  7 21:00 srv
107 | dr-xr-xr-x  13 root root    0 Apr 20 06:38 sys
108 | drwxrwxrwt   2 root root 4096 Mar  7 21:01 tmp
109 | drwxr-xr-x   1 root root 4096 Mar  7 21:00 usr
110 | drwxr-xr-x   1 root root 4096 Mar  7 21:01 var
111 | 
112 | root@a40bfb90337e:/# ping lamth99.github.io
113 | bash: ping: command not found  
114 | ```
115 | ## Những tiến trình trong container.
116 | - Ở ví dụ trên, chúng ta chạy Ubuntu với Bash shell. Điều đó có nghĩa là Bash shell là tiến trình duy nhất của container đó.
117 | ```
118 | root@a40bfb90337e:/# ps -elf
119 | F S UID        PID  PPID  C PRI  NI ADDR SZ WCHAN  STIME TTY          TIME CMD
120 | 4 S root         1     0  0  80   0 -  4627 wait   06:38 pts/0    00:00:00 /bin/bash
121 | 0 R root        13     1  0  80   0 -  8600 -      07:04 pts/0    00:00:00 ps -elf
122 | ```
123 | - Tiến trình thứ hai là tiến trình tạm thời khi chúng ta dùng lệnh `ps -elf`, nên container chỉ chạy một tiến trình duy nhất có PID=1 là Bash shell.
124 | - Nếu thoát tiến trình duy nhất này có nghĩa là container cũng sẽ bị xóa. Contanier không thể chạy mà không có một tiến trình nào đang chạy
125 | - Dùng Ctrl+PQ để thoát về terminal trên host mà không xóa container.
126 | - Liệt kê các container:
127 | ```
128 | root@lamth-Precision-M4700:~# docker container ls 
129 | CONTAINER ID        IMAGE               COMMAND             CREATED             STATUS              PORTS               NAMES
130 | a40bfb90337e        ubuntu:latest       "/bin/bash"         38 minutes ago      Up 38 minutes                           flamboyant_hamilton
131 | ```
132 | - truy cập lại của container:
133 | ```
134 | root@lamth-Precision-M4700:~# docker container exec -it a40bfb90337e /bin/bash
135 | root@a40bfb90337e:/#
136 | ```
137 | - Lệnh trên tạo thêm một tiến trình Bash shell nữa nên nếu exit bash hiện tại thì sẽ không xóa container vì nó vẫn còn một process nữa.
138 | - Xóa container:
139 | ```
140 | root@lamth-Precision-M4700:~# docker container stop a40bfb90337e
141 | a40bfb90337e
142 | 
143 | root@lamth-Precision-M4700:~# docker container rm a40bfb90337e
144 | a40bfb90337e
145 | ```
146 | - **Dữ liệu trong container**:
147 | 	- Dữ liệu trong container sẽ không bị mất khi bạn start, stop, restart, nó chỉ mất khi bạn xóa container.
148 | 	- Nếu bạn lưu trữ dữ liệu của container trong một *volume*, dữ liệu sẽ vẫn tồn tại ngay cả khi bạn xóa container đó.
149 | ## Stop container
150 | - kill một container với `docker container rm <container> -f` sẽ dừng container mà không có cảnh báo. Nó như là giết một container mà không cho container hay ứng dụng chạy trên nó có cơ hội chuẩn bị. Như dùng **SIGTERM**.
151 | - kill một container với hai bước là `docker container stop` và `docker container rm` được khuyến nghị. Nó như cho container và app thời gian để chuẩn bị trước khi bị kill. Như dùng **SIGKILL**.
152 | 
153 | ## Tự phục hồi container với chính sách restart.
154 | - Chính sách khởi động lại áp dụng với từng container, có thể cấu hình ngay trên lệnh docker run với flag **--restart <chính sách>**
155 | - Có 4 chính sách tự khởi động lại
156 | 
157 | | Chính sách | đặc điểm |
158 | |--|--|
159 | | no | Không khởi động lại container. (Mặc định) |
160 | | always | Luôn khởi động lại container nếu nó bị stop. Nếu nó được dừng thủ công, nó chỉ được khởi động lại khi Docker daemon khởi động lại hoặc chính container được khởi động lại theo cách thủ công. |
161 | |unless-stoped   |  Luôn khởi động lại. Trừ khi mà nó bị dừng ( kể cả dừng thủ công hay vì lý do khác), nó sẽ không khởi động lại kể cả docker daemon có khởi động lại |
162 | | on-failure | Khởi động lại khi mà contaner bị thoát ra vì lỗi, khi mà không có exit code |
163 | ```
164 | root@lamth-Precision-M4700:~# docker container run -it --restart always ubuntu /bin/bash
165 | root@3df9779a3b7f:/# 
166 | ```
167 | 


--------------------------------------------------------------------------------
/docs/08.Containerizing-an-app.md:
--------------------------------------------------------------------------------
  1 | # Containerizing an app.
  2 | Docker tất cả là về việc lấy ứng dụng và chạy chúng trong container.
  3 | Quá trình lấy ứng dụng, cấu hình nó để chạy trên container được gọi là *containerizing* hay *Dockerizing*.
  4 | ## Tổng quan.
  5 | - Container tất cả là về ứng dụng. 
  6 | - Quá trình containerzing một ứng dụng trông như thế nào:
  7 | 	1. Bắt đầu với code của ứng dụng.
  8 | 	2. Tạo một *Dockerfile* để miêu tả ứng dụng của bạn
  9 | 	3. Đưa Dockerfile này vào lệnh ` docker image build`.
 10 | 	4. Chờ Docker build ứng dụng của bạn thành một docker image.
 11 | ![](http://i.imgur.com/M2AafAK.png)
 12 | ## Đóng gói một ứng dụng đơn.
 13 | ### Lấy code của ứng dụng.
 14 | Ví dụ này sử dụng ứng dụng được clone từ github:
 15 | https://github.com/nigelpoulton/psweb.git
 16 | 
 17 | Clone ứng dụng:
 18 | ```bash
 19 | $ git clone https://github.com/nigelpoulton/psweb.git
 20 | Cloning into 'psweb'...
 21 | remote: Enumerating objects: 15, done.
 22 | remote: Total 15 (delta 0), reused 0 (delta 0), pack-reused 15
 23 | Unpacking objects: 100% (15/15), done.
 24 | 
 25 | $ cd psweb
 26 | $ ls -l
 27 | total 28
 28 | -rw-r--r-- 1 root root  341 Thg 5  3 11:31 app.js
 29 | -rw-r--r-- 1 root root  216 Thg 5  3 11:31 circle.yml
 30 | -rw-r--r-- 1 root root  338 Thg 5  3 11:31 Dockerfile
 31 | -rw-r--r-- 1 root root  421 Thg 5  3 11:31 package.json
 32 | -rw-r--r-- 1 root root  370 Thg 5  3 11:31 README.md
 33 | drwxr-xr-x 2 root root 4096 Thg 5  3 11:31 test
 34 | drwxr-xr-x 2 root root 4096 Thg 5  3 11:31 views
 35 | ```
 36 | - Code đã được lấy về.
 37 | ### Kiểm tra dockerfile.
 38 | - File Dockerfile trong repo trên là file mô tả ứng dụng chỉ cho Docker làm sao để build nó thành một image.
 39 | - *Build context* là thư mục lưu trữ ứng dụng, thường là nên để Dockerfile trong thư mục root của *build context*.
 40 | - Tên của file **Dockerfile** phải bắt đầu bằng chữ **D** viết in hoa và viết trong một từ ( "dockerfile" hay "Docker file" là không hợp lệ)
 41 | - Xem nội dung của Dockerfile trong ví dụ;
 42 | ```bash
 43 | # Test web-app to use with Pluralsight courses and Docker Deep Dive book
 44 | # Linux x64
 45 | FROM alpine
 46 | LABEL maintainer="nigelpoulton@hotmail.com"
 47 | # Install Node and NPM
 48 | RUN apk add --update nodejs nodejs-npm
 49 | # Copy app to /src
 50 | COPY . /src
 51 | WORKDIR /src
 52 | # Install dependencies
 53 | RUN  npm install
 54 | EXPOSE 8080
 55 | ENTRYPOINT ["node", "./app.js"]
 56 | ```
 57 | - Dockerfile có hai mục đích chính:
 58 | 	- Mô tả ứng dụng.
 59 | 	- Nói cho Docker cách đóng gói ứng dụng.
 60 | - Tất cả các Dockerfile bắt đầu với chỉ dẫn `FROM`. Nó là lớp nền tảng của image để chủ định image nền tảng để chạy ứng dụng.
 61 | ![](http://i.imgur.com/bRTsklG.png)
 62 | - `LABLE`: Lable là những giá trị đơn giản và là cách tốt nhất để thêm siêu dữ liệu vào một image.
 63 | -` RUN`: để  thực thi một câu lệnh trong quá trình build image. Chỉ dẫn `RUN apk add --update nodejs nodejs-npm` sử dụng package manager `apk` của Alpine để cài đặt `nodejs` và `nodejs-npm` vào image. `RUN` cài một package mới như một lớp mới ở trên cùng của image.
 64 | ![](http://i.imgur.com/jVouZHu.png)
 65 | 
 66 |  - Chỉ dẫn `COPY . /src` copy file ứng dụng từ build context. Nó copy file và image như một lớp mới.
 67 |  ![](http://i.imgur.com/66XNVLG.png)
 68 |  
 69 | - Chỉ dẫn `WORKDIR` để thiết lập thư mục làm việc. chỉ dẫn này không tạo thêm một lớp mới.
 70 | - Chỉ dẫn `RUN npm install` sử dụng npm để cài đặt những thành phần phụ thuộc của ứng dụng được liệt kê trong package.json ở build context.
 71 | ![](http://i.imgur.com/l76KUOH.png)
 72 | 
 73 | - `EXPOSE 8080` để expose ứng dụng ra port 8080. Nó thêm vào image dưới dạng metadata không phải là một lớp của image
 74 | - Cuối cùng, `ENTRYPOINT` để chỉ định ứng dụng chính mà container sẽ chạy. Nó cũng là metadata và không phải một layer.
 75 | ### Đóng gói ứng dụng/build image.
 76 | - Build image
 77 | ```bash
 78 | ../psweb# docker image build -t web:latest .
 79 | Sending build context to Docker daemon  80.38kB
 80 | Step 1/8 : FROM alpine
 81 | latest: Pulling from library/alpine
 82 | bdf0201b3a05: Pull complete 
 83 | Digest: sha256:28ef97b8686a0b5399129e9b763d5b7e5ff03576aa5580d6f4182a49c5fe1913
 84 | Status: Downloaded newer image for alpine:latest
 85 | ...
 86 | Step 8/8 : ENTRYPOINT ["node", "./app.js"]
 87 |  ---> Running in 4f42b7174ab2
 88 | Removing intermediate container 4f42b7174ab2
 89 |  ---> 2acf66ff7a0a
 90 | Successfully built 2acf66ff7a0a
 91 | Successfully tagged web:latest
 92 | ```
 93 | - Kiểm tra image có trong local repository chưa:
 94 | ```
 95 | # docker image ls
 96 | REPOSITORY             TAG                 IMAGE ID            CREATED             SIZE
 97 | web                    latest              2acf66ff7a0a        3 minutes ago       69MB
 98 | ```
 99 | - đã đóng gói thành công.
100 | ### Pushing Image.
101 | - Push image lên Docker Hub là một cách thông dụng để lưu trữ, và cho người khác cùng sử dụng image đó.
102 | - Login vào docker hub từ cmd:
103 | ```
104 | # docker login
105 | Username: lamth
106 | Password: 
107 | Login Succeeded
108 | ```
109 | - Docker cần những thông tin sau để push một image:
110 | 	-	Regitry
111 | 	-	Repository
112 | 	-	Tag
113 | - Nếu không có các giá trị, Docker sẽ tự giả định Registry=docker.io và Tag=latest, không có giá trị mặc định cho repository.
114 | - Thêm tag cho image, để có thể push lên Docker Hub:
115 | `# docker image tag web:latest lamth/web:latest`
116 | lệnh `docker image tag <tag cũ> <tag mới>` là để thêm tag cho image chứ không ghi đè lên tag cũ.
117 | ```
118 | # docker image ls
119 | REPOSITORY             TAG                 IMAGE ID            CREATED             SIZE
120 | lamth/web              latest              2acf66ff7a0a        16 hours ago        69MB
121 | web                    latest              2acf66ff7a0a        16 hours ago        69MB
122 | ```
123 | - Push image lên Docker Hub:
124 | ```
125 | # docker image push lamth/web:latest
126 | The push refers to repository [docker.io/lamth/web]
127 | f941dc00b27a: Pushed 
128 | 6624dbf217ff: Pushed 
129 | 8dd5da23be75: Pushed 
130 | a464c54f93a9: Mounted from library/alpine 
131 | latest: digest: sha256:d696c1fceca0367d044a9d9a43ea8630016ba80d0180897b47f1b79b82338ef9 size: 1160
132 | ```
133 | ### Chạy ứng dụng
134 | - Ứng dụng chúng ta vừa dóng gói là một web server đơn giản chạy trên port 8080.
135 | - Chạy ứng dụng:
136 | ```
137 | # docker container run -d --name testweb \
138 | -p 80:8080 \
139 | web:latest
140 | ```
141 | - Flag -d là để container chạy ngầm, flag -p 80:8080 là để map port 80 của host với port 8080 trong container.
142 | ```
143 | # docker container ls
144 | ID   IMAGE      COMMAND         STATUS    PORTS 
145 | 49.. web:latest "node ./app.js" UP 6 secs 0.0.0.0:80->8080/tcp
146 | ```
147 | - Kiểm tra:
148 | ![](http://i.imgur.com/NnZjg93.png)
149 | 
150 | ### Sâu hơn, tối hơn 
151 | - ứng dụng đã được đóng gói, hãy tìm hiểu sâu hơn về cách nó hoạt động.
152 | - Những dòng comment trong Dockerfile bắt đầu với ký tự `#`
153 | - Những dòng không phải là comment là những **Chỉ dẫn (Instructions)**. Các chỉ dẫn có cấu trúc `INSTRUCTION argument`. Tên các chỉ dẫn không phân biệt viết HOA hay viết thường, nhung nó thường được viết HOA.
154 | - Lệnh `docker image build` phân tích Dockerfile thành từng dòng một từ trên xuống dưới
155 | - Một số Instruction tạo một layer mới trong image (Ví dụ: `FROM, RUN` và `COPY`), trong khi các instruction chỉ thêm metadata vào image (Ví dụ: `EXPOSE, WORKDIR, ENV` và `ENTRYPOINT`). Có thể hiểu là nếu chỉ dẫn thêm nội dung như một file hay một chương trình thì nó sẽ thêm một layer mới, còn nếu chỉ dẫn chỉ thêm các chỉ dẫn để build image thì nó sẽ tạo các metadata.
156 | - Có thể xem các instruction đã sử dụng để build image với lệnh `docker image history`.
157 | ```bash
158 | $ docker image history web:latest 
159 | IMAGE    	CREATED BY                                                                      SIZE
160 |  c6..18e  	/bin/sh -c #(nop) ENTRYPOINT ["node" "./a...                                    0B 
161 |  334..bf0 	/bin/sh -c #(nop) EXPOSE 8080/tcp                                               0B
162 | b27..eae	/bin/sh -c npm install                                                          14.1MB 
163 |  932..749 	/bin/sh -c #(nop) WORKDIR /src                                                  0B 
164 |  052..2dc  	/bin/sh -c #(nop) COPY dir:2a6ed1703749e80...                                   22.5kB 
165 |  c1d..81f   /bin/sh -c apk add --update nodejs nodejs-npm                                   46.1MB 
166 |  336..b92  	/bin/sh -c #(nop) LABEL maintainer=nigelp...                                    0B 
167 |  3fd..f02   /bin/sh -c #(nop) CMD ["/bin/sh"]                                               0B 
168 |  <mising>  	/bin/sh -c #(nop) ADD file:093f0723fa46f6c...                                   4.15MB
169 | ```               
170 | - Có hai điều đáng chú ý trong output trên;
171 | 	1. Mỗi dòng tương ứng với một instruction trong Dockerfile. Cột CREATED BY liệt kê chính sác các Chỉ dẫn trong Dockerfile được thực thi.
172 | 	2. Chỉ có 4 trong các instruction thực thi tạo ra các lớp mới. Các instruction còn lại cũng trong như là tạo một lớp mới nhưng chúng chỉ thêm metadata vào image. Việc lệnh docker image history liệt kê tất cả intruction là một bằng chứng về các xây dựng và mô hình các lớp trong image.
173 | -  sử dụng lệnh `docker image inspect` để kiểm chứng là 4 layer đã được tạo:
174 | ```bash
175 | $ docker image inspect web:latest
176 |  "RootFS": {
177 |             "Type": "layers",
178 |             "Layers": [
179 |                 "sha256:a464c54f93a...900da9",
180 |                 "sha256:8dd5da23be7...23bdc9",
181 |                 "sha256:6624dbf217f...69923d",
182 |                 "sha256:f941dc00b27...1bb1bc"
183 |                       ]
184 |         }
185 | ```
186 | - Sử dụng các image từ các official repo với FROM được coi là tốt trong thực tế vì nó ít lỗ hổng, người ta cũng thường bắt đầu(FROM) với các image nhỏ vì nó cũng là giảm đi các lỗ hổng tiềm năng. Quy trình cơ bản là: `chạy một container tạm thời > chạy các chỉ dẫn Dockerfile trong container đó > lưu kết quả thành một image > xóa container tạm thời đi`
187 | ### Moving to production with Multi-stage Builds
188 | - Với Docker Image, *Càng lớn càng đểu*.
189 | - **Lớn** = chậm = khó làm việc với = càng nhiều lỗ hổng bảo mật và bề mặt tấn công.
190 | - Vì một số lý do, Docker Image nên nhỏ. Image chỉ chứa những thứ *cần* để chạy ứng dụng. 
191 | - Dữ cho Image nhỏ là một việc khó.
192 |  - Ví dụ khi bạn đóng gói một ứng dụng, nhưng nó cần có một vài file mà phải cài đặt các package, chương trình khác để có được file này cho chương trình chính. Việc này sẽ làm cho image của bạn sẽ bị lớn, không tốt.
193 |  - Có thể giải quyết vấn đề trên với *builder pattern* nhưng nó cần ít nhất hai Dockerfiles, việc kết hợp chúng lại là rất phức tạp.
194 |  - Multi-Stage builds sinh ra để giải quyết vấn đề này, nó là vệ sự tối ưu hóa bản dựng(build) mà không có sự phức tạp.
195 |  - Ở tầng cao:
196 |  Với multi-stage builds, chúng ta có một Dockerfile chứa nhiều chỉ dẫn FROM. mỗi FROM là một build stage mới mà có thể dễ dàng COPY những gì mà các stage trước tạo ra (file,...)
197 |  - Ví dụ Dockerfile sau:
198 | ```bash 
199 | FROM node:latest AS storefront
200 | WORKDIR /usr/src/atsea/app/react-app
201 | COPY react-app .
202 | RUN npm install
203 | RUN npm run build
204 | 
205 | FROM maven:latest AS appserver
206 | WORKDIR /usr/src/atsea
207 | COPY pom.xml .
208 | RUN mvn -B -f pom.xml -s /usr/share/maven/ref/settings-docker.xml dependency\ 
209 | :resolve 
210 | COPY . . 
211 | RUN mvn -B -s /usr/share/maven/ref/settings-docker.xml package -DskipTests
212 | 
213 | FROM java:8-jdk-alpine AS production 
214 | RUN adduser -Dh /home/gordon gordon 
215 | WORKDIR /static 
216 | COPY --from=storefront /usr/src/atsea/app/react-app/build/ . 
217 | WORKDIR /app 
218 | COPY --from=appserver /usr/src/atsea/target/AtSea-0.0.1-SNAPSHOT.jar . 
219 | ENTRYPOINT ["java", "-jar", "/app/AtSea-0.0.1-SNAPSHOT.jar"] 
220 | CMD ["--spring.profiles.active=postgres"]
221 | ```
222 | - Các stage dưới có thể sử dụng tài nguyên của các stage ở trên. Ở ví dụ trên, stage *production* sử dụng tài nguyên từ stage *storefront* và *appserver*
223 | ```
224 | COPY --from=storefront /usr/src/atsea/app/react-app/build/ .
225 | <...>
226 | COPY --from=appserver /usr/src/atsea/target/AtSea-0.0.1-SNAPSHOT.jar . 
227 | ```
228 | - *Image khi được built với multi-stage sẽ có dung lượng của image ở stage cuối, các tài nguyên của image đó và các tài nguyên mà nó sử dụng của các stage trên*. Vì vậy, Image sẽ rất nhẹ.
229 | ## Containerizing an app - The commands
230 | - docker image build is the command that reads a Dockerfile and containerizes an application. The -t flag tags the image, and the -f flag lets you specify the name and location of the Dockerfile. With the -f flag, it is possible to use a Dockerfile with an arbitrary name and in an arbitrary location. The build context is where your application files exist, and this can be a directory on your local Docker host or a remote Git repo.
231 | - The FROM instruction in a Dockerfile specifies the base image for the new image you will build. It is usually the first instruction in a Dockerfile.
232 | - The RUN instruction in a Dockerfile allows you to run commands inside the image which create new layers. Each RUN instruction creates a single new layer.
233 | - The COPY instruction in a Dockerfile adds files into the image as a new layer. It is common to use the COPY instruction to copy your application code into an image.
234 | - The EXPOSE instruction in a Dockerfile documents the network port that the application uses.
235 | - The ENTRYPOINT instruction in a Dockerfile sets the default application to run when the image is started as a container. 
236 | -  Other Dockerfile instructions include LABEL, ENV, ONBUILD, HEALTHCHECK, CMD and more…
237 | 
238 | 
239 | 
240 | 
241 | 
242 | 
243 | 


--------------------------------------------------------------------------------
/docs/09.Docker-compose.md:
--------------------------------------------------------------------------------
 1 | # Triển khai ứng dụng với Docker Compose
 2 | 
 3 | - Docker compose được tối ưu để sử dụng triển khai các ứng dụng dạng microservice.
 4 | 
 5 | - Thay vì quản lý từng dịch vụ(container) trong ứng dụng, có thể sử dụng Docker compose để quản lý tập trung nhiều dịch vụ cùng lúc bằng một file cấu hình.
 6 | 
 7 | - File cấu hình cho nhiều container này được định nghĩa trong một **file YAML**. Nó sẽ được truyền vào docker compose và compose sẽ triển khai nó thông quan docker api.
 8 | 
 9 | ## Cài đặt docker-compose
10 | 
11 | ### Cài trên window 10.
12 | - Docker compose được tích hợp trong Docker Desktop trên Window 10. [Cài Docker Desktop mới nhất](https://www.docker.com/products/docker-desktop).
13 | 
14 | ### Cài trên linux.
15 | 
16 | -  Cài đặt theo hướng dẫn ở đây [https://github.com/docker/compose/releases](https://github.com/docker/compose/releases)
17 | 
18 | ### Compose files
19 | - Compose sử dụng file **YAML** hoặc **JSON** để định nghĩa ứng dụng(micro-service ).
20 | - Tên mặc định của file này là `docker-compose.yml`. Hoặc có thể sử dụng tùy chọn `-f` để sử dụng tên khác.
21 | - Có 4 thẻ quan trọng là:
22 | 	- `version`: Là thẻ đầu tiên định nghĩa phiên bản của [**file compose**](https://docs.docker.com/compose/compose-file/compose-versioning/) .
23 | 	- `services`:   là thẻ bao gồm các dịch vụ theo các container 
24 | 	- `networks`:   là thẻ để cấu hình một mạng mới dùng cho các service.  Mặc định Docker sẽ tạo một mạng `bridge`, nhưng có thể cấu hình loại mạng sẽ tạo với thẻ `drive`
25 | 	- `volumes`:  để tạo một volume mới dùng cho các dịch vụ.
26 | 
27 | - Cấu trúc file cấu hình
28 | https://docs.docker.com/compose/compose-file/
29 | 
30 | ### Triển khai ứng dung với docker compose.
31 | - Cấu hình triển khai ứng dụng wordpress, gồm một dịch vụ web và một dịch vụ database.
32 | - Tạo file ` vi docker-compose.yml`:
33 | ```yml
34 | version: '3.3'
35 | 
36 | services:
37 |    db:
38 |      image: mysql:5.7
39 |      volumes:
40 |        - db_data:/var/lib/mysql
41 |      restart: always
42 |      environment:
43 |        MYSQL_ROOT_PASSWORD: somewordpress
44 |        MYSQL_DATABASE: wordpress
45 |        MYSQL_USER: wordpress
46 |        MYSQL_PASSWORD: wordpress
47 | 
48 |    wordpress:
49 |      depends_on:
50 |        - db
51 |      image: wordpress:latest
52 |      ports:
53 |        - "8000:80"
54 |      restart: always
55 |      environment:
56 |        WORDPRESS_DB_HOST: db:3306
57 |        WORDPRESS_DB_USER: wordpress
58 |        WORDPRESS_DB_PASSWORD: wordpress
59 |        WORDPRESS_DB_NAME: wordpress
60 | volumes:
61 |     db_data: {}
62 | ```
63 | - Khởi chạy ứng dụng với lệnh:
64 | ```
65 | docker-compose up
66 | ```


--------------------------------------------------------------------------------
/docs/10.Docker-Swarm.md:
--------------------------------------------------------------------------------
 1 | # Docker Swarm.
 2 | 
 3 | - Docker swarm là công cụ quản lý cụm các máy chủ Docker bảo mật và quản lý, sắp xếp các ứng dụng microservices.
 4 | - Nó nhóm và quản lý các node Docker và cho phép quản lý như một cụm. Nó mã hóa mạng giữa các cluster, quản lý token của các node join và cluster.
 5 | - Dễ dàng  triển khai quản lý các ứng dụng thông qua hệ thống API phong phú của Swarm. Swarm cũng hỗ trợ update, rolling update, rollback, scaling hệ thống.
 6 | 
 7 | ### Swarm.
 8 | - Một *swarm*  chứa một hay nhiều Docker node.
 9 | - Các node được cấu hình là **managers** hoặc **workers**.
10 | 	- Manager thực hiện các công việc liên quan đến quản lý cụm, như theo giõi các node, giao các nhiệm vụ cho các worker.
11 | 	- Worker sẽ thực hiện các nhiệm vụ do manager giao.
12 | - **etcd** được sử dụng để lưu trữ cấu hình và trạng thái của swarm theo dạng key-value.
13 | - Giao tiếp giữa tất cả cac node với nhau đều sử dụng **TLS** để mã hóa.
14 | - Một container được gói trong một dịch vụ được gọi là một *task* hay là một *replica*.
15 | - 
16 | ![](https://i.imgur.com/GEXZAkT.png)
17 | 
18 | ### Xây dựng một Swarm cluster.
19 | - Mô hình:
20 | 
21 | ![](https://i.imgur.com/Fl2DlBx.png)
22 | 
23 | - Các node đã cài docker và phải có kết nối với nhau.
24 | - Trong mạng mởi một số port:
25 | 	-  **2377/tcp**:  để bảo mật kết nối giữa các node.
26 | 	- **7946/tcp và 7946/udp**:  cho control plane
27 | 	- **4789/udp**: cho VXLan
28 | 
29 | - Quá trình khởi tạo một swarm: Khởi tạo Manager node đầu tiên > Join thêm manager node (Nếu có ) > Join thêm worker node > Hoàn thành.
30 | 
31 | #### Khởi tạo một swarm mới.
32 | - **single-engine mode**: docker node không thuộc swarm nào.
33 | - **swarm mode**: docker node đã join vào swarm 
34 | - Chạy lệnh sau trên Docker node ở single-engine mode để khởi tạo một swarm và trở thành manager node đầu tiên:
35 | ```
36 | docker swarm init \
37 |  --advertise-addr 192.168.50.149:2377 \
38 |   --listen-addr 192.168.50.149:2377
39 | ``` 
40 | - Liệt kê node trong swarm:
41 | 	```
42 | 	docker node ls 
43 | 	```
44 | - Hiển thị join token:
45 | 	```
46 | 	docker swarm join-token [worker|manager]
47 | 	```
48 | - Đăng nhập vào *wkr* và chạy lệnh join swarm (từ output của câu lệnh hiển thị token):
49 | 	```
50 | 	docker swarm join --token SWMTKN-1-596if2hdftmn9b80tyyrhvjlzpb40zb60cyd352jlyfzfk8tse-bnvzq2tdyvpjvkw8ovtmgx1he 192.168.50.149:2377
51 | 	```
52 | - Các node:
53 | ```
54 | lam@mgr:~$ docker node ls
55 | ID                            HOSTNAME            STATUS              AVAILABILITY        MANAGER STATUS      ENGINE VERSION
56 | rxay0isydwn17u50zwvwjq06b *   mgr                 Ready               Active              Leader              19.03.4
57 | wbdorfd7fa0nuv19lpdckg0x8     wkr                 Ready               Active                                  19.03.4
58 | lam@mgr:~$
59 | ```
60 | 
61 | #### Swarm services
62 | - Tạo service:
63 | ```
64 | docker service create [option] <image>
65 | ```
66 | - Xem các các service:
67 | ```
68 | docker service ls
69 | ```
70 | - Xem thông tin các container của service:
71 | ```
72 | docker service ps <tên service>
73 | ```
74 | - Chế độ triển khai, cấu hình chế độ triển khai bằng `--mode`:
75 | 	- *replicated* (mặc định) tạo một số lượng bản sao của dịch vụ và phân phối đều nhất có thể lên các host.
76 | 	- *global*: tạo bản sao trên tất cả các node trong cluster.
77 | #### Scale service.
78 | - lệnh:
79 | ```
80 | docker service scale <tên service>=10
81 | ```
82 | 
83 | #### Xóa một service
84 | ```
85 | docker service rm <tên service>
86 | ```
87 | 
88 | 
89 | END.
90 | 
91 | 
92 | 
93 | Tài liệu tham khảo từ Sách Docker Deep Dive -  Nigel Poulton


--------------------------------------------------------------------------------
/docs/11.Docker-Networking.md:
--------------------------------------------------------------------------------
  1 | # Tìm hiểu mạng trong Docker
  2 | 
  3 | Docker cung cấp nhiều giải pháp mạng để kết nối container với container và với mạng ngoài.
  4 | Mạng trong Docker dựa theo kiến trúc plugable mã nguồn mở  được gọi là Mô hình mạng container (Container Network Model- CNM)
  5 | Libnetwork cung cấp một giải pháp khám phá dịch vụ và cân bằng tải cơ bản.
  6 | 
  7 | ##  Tổng quan
  8 | - Ở mức cao nhất, Docker networking bao gồm 3 thành phân chính sau :
  9 |     - **Container network model(CNM)**
 10 |     - **libnetwork**: Được Docker sử dụng để triển khai CNM.
 11 |     - **Drivers**: dùng để mở rộng mô hình bằng cách triển khai các cấu trúc mạng cụ thể khác như vxlan.
 12 | 
 13 |     ![](https://i.imgur.com/H7A9a2l.png)
 14 | 
 15 | ## Container network model - CNM
 16 | - CNM là một bản hướng dẫn thiết kế các khối cơ bản trong Docker networking.
 17 | - Nó định nghĩa ba khối:
 18 |     - Sandboxes
 19 |     - Endpoint
 20 |     - Networks
 21 | - Sandbox là một lớp mạng cô lập. Nó bao gồm Ethernet interface, ports, bảng định tuyến, cấu hình DNS.
 22 | - Endpoints là một interface mạng ảo, trong CNM, endpoint được sử dụng để kết nối một sandbox đến một network.
 23 | - Network là một switch ảo dùng để nhóm, cô lập một nhóm các endpoint cần giao tiếp.
 24 | 
 25 | ![](https://i.imgur.com/nFXjhsv.png)
 26 | 
 27 | - Cách các thành phần của CNM cung cấp mạng cho các container:
 28 | 
 29 | ![](https://i.imgur.com/TXitdeI.png)
 30 | 
 31 | - Mở rộng hơn, khi các container nằm trên cung host nhưng lớp mạng của chúng vẫn tách biệt so với host và các container khác nhờ sandbox.
 32 | 
 33 | ![](https://i.imgur.com/UELeeQG.png)
 34 | 
 35 | ## Libnetwork.
 36 | - Libnetwork là triển khai thực tế của thiết kế CNM. Được viết bằng Go và hỗ trợ nhiều nền tảng(Linux và Window).
 37 | - Libvirt chứa tất cả các mã nguồn mạng Docker thiết yếu.
 38 | - Nó triển khai 3 thành phần của CNM và cung caaos thêm một số dịch vụ khác như cân bằng tải, khám phá dịch vụ, control plane, management plane.
 39 | ## Drivers
 40 | - Trong docker network, libnetwork quản lý control plane và manager plane thì driver sẽ quản lý data plane.
 41 | 
 42 | ![](https://i.imgur.com/Ngib2CX.png).
 43 | 
 44 | - Docker có sẵn một số built-in driver. Trên Linux gồm: `bridge`, `overlay` và `macvlan`. Trên Window gồm, `nat`, `overlay`, `transparent` và `l2bridge`. 
 45 | 
 46 | - Bên thứ 3 cũng có thể viết driver cho Docker. Chúng được gọi là `remote driver` ví dụ `calico`, `contiv`, `kuryr`, and `weave`.
 47 | 
 48 | - Mỗi driver chịu trách nhiệm tạo và quản lý các tài nguyên mạng mà nó chịu trách nhiệm.
 49 | 
 50 | ## Single-host bridge network.
 51 | - Single-host network là mạng mà chỉ tồn tại trên một host giúp kết nối các container trên cùng một host qua một switch ảo.
 52 | - Docker triển khai single host network bằng cách sử dụng `bridge` driver trên Linux hoặc `nat` trên Window, chúng làm việc tương tự nhau.
 53 | 
 54 | ![](https://i.imgur.com/9VVKlh4.png)
 55 | 
 56 | - Trên mọi docker host đều có một mạng single-host theo mặc định và các container sẽ được gán vào mạng này. Trừ khi nó được chỉ định tùy chọn `--network`.
 57 | - Liệt kê mạng trong Docker:
 58 | ```
 59 | docker network ls
 60 | ```
 61 | ```
 62 | # docker network ls
 63 | NETWORK ID          NAME                DRIVER              SCOPE
 64 | 782c60977d9c        bridge              bridge              local
 65 | 
 66 | ```
 67 | - Kiểm tra thông tin chi tiết về mạng.
 68 | ```
 69 | docker network inspect
 70 | ```
 71 | ```
 72 | # docker network inspect bridge
 73 | [
 74 |     {
 75 |         "Name": "bridge",
 76 |         "Id": "2aa395d3804b55f8dc7afb77f1bce41ff017e24fcd740eb16bcad558b6f866ba",
 77 |         "Created": "2019-11-11T10:49:24.2189012Z",
 78 |         "Scope": "local",
 79 |         "Driver": "bridge",
 80 |         "EnableIPv6": false,
 81 |         "IPAM": {
 82 |             "Driver": "default",
 83 |             "Options": null,
 84 |             "Config": [
 85 |                 {
 86 |                     "Subnet": "172.17.0.0/16",
 87 |                     "Gateway": "172.17.0.1"
 88 |                 }
 89 |             ]
 90 |         },
 91 |         "Internal": false,
 92 |         "Attachable": false,
 93 |         "Ingress": false,
 94 |         "ConfigFrom": {
 95 |             "Network": ""
 96 |         },
 97 |         "ConfigOnly": false,
 98 |         "Containers": {},
 99 |         "Options": {
100 |             "com.docker.network.bridge.default_bridge": "true",
101 |             "com.docker.network.bridge.enable_icc": "true",
102 |             "com.docker.network.bridge.enable_ip_masquerade": "true",
103 |             "com.docker.network.bridge.host_binding_ipv4": "0.0.0.0",
104 |             "com.docker.network.bridge.name": "docker0",
105 |             "com.docker.network.driver.mtu": "1500"
106 |         },
107 |         "Labels": {}
108 |     }
109 | ]
110 | ```
111 | - Mạng xây dựng bằng driver `bridge` được dựa theo công nghệ **Linux bridge** trong nhân linux. Giúp có hiệu năng cao và ổn định.
112 | 
113 | ```
114 | # brctl show
115 | bridge name     bridge id               STP enabled     interfaces
116 | docker0         8000.02427ebbb138       no              veth54e59c3
117 |                                                         veth685f9d7
118 |                                                         vethr549586583f
119 | 
120 | ```
121 | - Tạo mạng mới:
122 | ```
123 | docker network create -d bridge <tênmang>
124 | ```
125 | - Các container trong mạng bridge có thể phân giải địa chỉ ip của nhau thông qua tên của container đó.
126 | > Mạng `bridge` mặc định không hỗ trợ phân giải tên thông qua Docker DNS service. tất cả mạng user-define khác đêu hỗ trợ.
127 | 
128 | - *Port mapping* là chức năng cho phép ánh xạ một port của container lên một port của host. Bất cứ lưu lượng truy cập nào đến host theo port cấu hình sẽ được chuyển hướng đến port được cấu hình của container.
129 | 
130 | ![](https://i.imgur.com/EPN8ZUX.png)
131 | 
132 | - Cấu hình port mapping:
133 | ```
134 | docker run -p|--publish hostport:containerport image
135 | ```
136 | ví dụ sau sẽ map port 8080 trên host với port 80 của container:
137 | ```
138 | docker run --publish 8080:80 --name web nginx
139 | ```
140 | 
141 | ## Mạng overlay nhiều host.
142 | - Bài sau nói rõ hơn về phần này 
143 | 
144 | - Mạng overlay là mạng có nhiều host. Cho phép một mạng trải trên nhiều máy chủ do đó container ở các host khác nhau có thể giao tiếp ở layer 2, ý tưởng là tạo kết nối container-container.
145 | - Docker có sẵn driver nội bộ để có thể tạo mạng overlay(`-d overlay`)
146 | 
147 | ## Kết nối với một mạng có sẵn.
148 | - Khả năng kết nối trực tiếp với mạng ngoài của các container là rất quan trọng, Docker sử dụng built-in driver `MACVLAN`(hay `transparent` trên Window) để có thể làm được điều đó.
149 | 
150 | - MACVLAN giúp container tham gia mạng như một host vật lý với địa chỉ MAC và IP riêng.
151 | 
152 | ![](https://i.imgur.com/TNQaSgG.png)
153 | 
154 | - Để sử dụng được chức năng này thì interface mạng của host phải bật ở chế độ **promiscuous mode**.
155 | 
156 | - Nếu host NIC kết nối với mạng có nhiều vlan, và muốn kết nối container với vlan, có thể sử dụng macvlan với **sub-interface** của host NIC.
157 | Ví dụ:
158 | 
159 | ![](https://i.imgur.com/5LNfEaM.png)
160 | - Tạo mạng macvlan100 với sub-interface eth0.100 
161 | ```
162 | docker network create -d macvlan \
163 | --subnet=10.0.0.0/24 \
164 | --ip-range=10.0.00/25 \
165 | --gateway=10.0.0.1 \
166 | -o parent=eth0.100 \
167 | macvlan100
168 | ```
169 | - Sau đó gán container vào mạng này.
170 | - Có thể sử dụng MACVLAN với Vlan trunking để có thể tạo ra các network của từng vlan như hình sau:
171 | 
172 | ![](https://i.imgur.com/Kifb0Nt.png)
173 | 
174 | ## Container và service log cho việc sử lý xự cố.
175 | - Việc kiểm tra log khi xử lý sự cố là rất quan trọng. Tiến hành kiểm tra log của docker:
176 | - Trên Window:
177 | ```
178 | ∼AppData\Local\Docker
179 | ```
180 | - Trên linux:
181 |     - Với init là systemd:
182 |     ```
183 |     journalctl -u docker.service
184 |     ```
185 |     - Với init khác systemd:
186 |         - Ubuntu systems running upstart: /var/log/upstart/docker.log
187 |         - RHEL-based systems: /var/log/messages
188 |         - Debian: /var/log/daemon.log
189 |         - Docker for Mac: ∼/Library/Containers/com.docker.docker/Data/com.docker.driver.amd64-linux/console-ring
190 | - Có thể thiết lập mức độ chi tiết của log trong file config của docker daemon(daemon.json). Giá trị `debug` thiết lập là `true` và giá trị `log-level` thiết lập là một trong những mức độ từ nhiều nhất xuống là `debug`, `info`, `warn`, `error`, `fatal`.
191 | 
192 | - Xem log của container:
193 | ```
194 | docker container logs
195 | ```
196 | - Xem log của service trong swarm:
197 | ```
198 | docker service logs
199 | ```
200 | - Ngoài ra có thể lưu container log đến các logging driver:
201 |     - json-file (default)
202 |     - journald (only works on Linux hosts running systemd)
203 |     - syslog
204 |     - splunk
205 |     - gelf
206 | bằng cách cấu hình trong file daemon.json:
207 | ```
208 | {
209 | "log-driver": "syslog"
210 | }
211 | ```
212 | hoặc cấu hình cho từng container với tùy chọn `--log-driver`.
213 | 
214 | 
215 | ## Service discovery
216 | - Libnetwork cung cấp một chức năng là service discovery - Khám phá dịch vụ.
217 | - Khám phá dịch vụ cho phép các container hay service định vị nhau thông qua tên trong cùng một network.
218 | 
219 | - Docker tích hợp DNS server, và DNS resolver trên mỗi contaienr. 
220 | - Ví dụ container `c1` thực hiện ping request đến container `c2`.
221 | 
222 | ![](https://i.imgur.com/wwolEB3.png)
223 | 
224 | - Các bước để phân giải tên:
225 |     1. Lệnh `ping c2` gọi đến DNS resolver nội bộ để phân giải `c2` thành địa chỉ IP.
226 |     2. Nếu DNS resolver không có địa chỉ ip ở trong cache, nó khởi tạo yêu cầu đến Docker DNS server.
227 |     3. DNS server chứa bảng thông tin tên-IP của tất cả container với tùy chọn `--name` hay `--net-alias`. Nên nó biết địa chỉ của container `c2`
228 |     4. DNS server trả về địa chỉ của `c2` cho DNS resolve nội bộ trên `c1`. Việc này chỉ xảy ra khi các container cùng một mạng.
229 |     5. Lệnh ping được gửi đến địa chỉ của `c2`.
230 | 
231 | > Chú ý: DNS chỉ phân giải giữa các container hay các dịch vụ trong cùng một network.
232 | 
233 | - Cấu hình tùy chọn `--dns` cho container để nếu Docker DNS server không phân giải được dns thì nó sẽ yêu cầu đến dns server tùy chọn này.
234 | 
235 | 
236 | 
237 | end.
238 | 


--------------------------------------------------------------------------------
/docs/12.Docker-Internal.md:
--------------------------------------------------------------------------------
  1 | # Docker Internal
  2 | 
  3 | ![](https://i.imgur.com/fu28rRN.png)
  4 | 
  5 | Docker sử dụng rất nhiều tính năng của Linux Kernal để có thể cung cấp các chức năng của nó.
  6 | 
  7 | ### Namespaces là gì?
  8 | - Namespaces là một tính năng của Linux kernal, được Docker sử dụng để cung cấp sự cô lập cho container.
  9 | - Mỗi khía cạnh trong container đều được chạy trong các namespaces riêng và truy cập của container được giới hạn trong namespace đó.
 10 | 
 11 | - Docker engine sử dụng những namespaces sau trên Linux:
 12 |     - **PID namespace** đê cô lập các tiến trình.
 13 |     - **NET namespace** để cô lập các tài nguyên mạng như interface, port, Iptables.
 14 |     - **IPC namespace** để quản lý và cô lập truy cập đến tài nguyên IPC(Internal Process Communication)
 15 |     - **MNT namespace** để cô lập và quản lý filesystem mount point.
 16 |     - **UTS namespace** để cô lập hostname, domain name.
 17 |     - 
 18 | ![](https://i.imgur.com/JrFP7xU.png)
 19 | 
 20 | ![](https://i.imgur.com/Canutlj.png)
 21 | 
 22 | ![](https://i.imgur.com/KzzoLCv.png)
 23 | 
 24 | - Thư mục /proc/<PID>/ns/ chứa một số namespace của các loại.
 25 | 
 26 | 
 27 | - Để vào namespace của một container Docker:
 28 |     - Tìm process ID của container:
 29 |     ```
 30 |     PID=$(docker inspect --format {{.State.Pid}}    <container-id>)
 31 |     echo $PID
 32 |     ```
 33 | 
 34 |     - Sử dụng `nsenter` để truy cập vào namespace của process:
 35 |     ```
 36 |     sudo nsenter --target $PID --mount --uts --ipc --net --pid /bin/sh
 37 |     ```
 38 |      
 39 | 
 40 | ### Cgroups
 41 | - Docker sử dụng control group để phân bổ tài nguyên. 
 42 | - Một Cgroup giới hạn một ứng dụng trong một lượng tài nguyên chỉ định. Nó giúp Docker chia sẻ tài nguyên phần cứng cho container và có thể tùy chọn giới hạn chúng.
 43 | 
 44 | - Docker sử dụng các cgroup sau:
 45 | 
 46 |     - **memory cgroup**: để tính toán, giới hạn và thông báo về ram.
 47 |     - **HugeTLB cgroup**: để giới hạn và tính toán [HugeTLB page](https://www.kernel.org/doc/html/latest/admin-guide/mm/hugetlbpage.html) của nhóm tiến trình.
 48 |     - **CPU cgroup**: quản lý thời gian và lượng sử dụng CPU của người dùng hay hệ thống. 
 49 |     - **CPUSet cgroup**: dùng để ràng buộc một nhóm đến một CPU cụ thể. Hữu ích cho ứng dụng realtime và hệ thông NUMA với bộ nhớ cục bộ trên mỗi CPU.
 50 |     - **BlkIO cgroup**: dùng để đo lường và giới hạn lượng block IO của nhóm.
 51 |     - **net_cls,net_prio**: để gắn thẻ lưu lượng mạng và quản lý độ ưu tiên cho chúng.
 52 |     - **Device cgroup**: để đọc và gì các thiết bị truy cập.
 53 |     - **Freezer cgroup**: để đóng băng tiến trình thuộc nhóm.
 54 | 
 55 | 
 56 | 
 57 |     ```
 58 |     root@dell:/sys/fs/cgroup# find /sys/fs/cgroup/ -name docker 
 59 |     /sys/fs/cgroup/perf_event/docker
 60 |     /sys/fs/cgroup/cpuset/docker
 61 |     /sys/fs/cgroup/pids/docker
 62 |     /sys/fs/cgroup/blkio/docker
 63 |     /sys/fs/cgroup/freezer/docker
 64 |     /sys/fs/cgroup/memory/docker
 65 |     /sys/fs/cgroup/devices/docker
 66 |     /sys/fs/cgroup/cpu,cpuacct/docker
 67 |     /sys/fs/cgroup/net_cls,net_prio/docker
 68 |     /sys/fs/cgroup/hugetlb/docker
 69 |     /sys/fs/cgroup/systemd/docker
 70 |     ```
 71 | 
 72 | 
 73 | ### Union File Systems
 74 | Union file systems hoạt động bằng việc tạo nhiều lớp và khiến chúng nhẹ và nhanh. Docker Engine sử dụng UnionFS để cung cấp building block cho các container. Docker có thể sử dụng nhiều biến thể của UnionFS, bao gồm AUFS, btrfs, vfs, devicemapper.
 75 | 
 76 | ![](https://i.imgur.com/mxmNQh8.png)
 77 | 
 78 | ![](https://i.imgur.com/H3syO4V.png)
 79 | 
 80 | 
 81 | ### Container format
 82 | Docker Engine gộp namespace, control group và Unionfs thành một khái niệm bao bọc là container format. Container format mặc định là libcontainer
 83 | 
 84 | 
 85 | 
 86 | ### Security
 87 | Docker Engine tận dụng những tính năng của kernel như AppArmor, Seccomp, Capabilities cho mục đích bảo mật
 88 | 
 89 | - AppArmor cho phép hạn chế khả năng của ứng dụng với profile theo từng chương trình.
 90 | - Seccomp sử dụng để lọc các syscall được tạo bởi một chương trình.
 91 | - Capabilities cho để kiểm tra quyền.
 92 | 
 93 | ![](https://i.imgur.com/yvY21xh.png)
 94 | 
 95 | 
 96 | 
 97 | <p style="text-align: center;"> o o o o o o o o  </p>
 98 | 
 99 | 
100 | 
101 | 
102 | Tài liệu tham khảo:
103 | - https://slideshare.net/RohitJnagal/docker-internals
104 | - https://medium.com/@nagarwal/understanding-the-docker-internals-7ccb052ce9fe
105 | - http://man7.org/linux/man-pages/man7/namespaces.7.html


--------------------------------------------------------------------------------
/docs/13.Docker-Volume.md:
--------------------------------------------------------------------------------
 1 | # Volume
 2 | 
 3 | Tìm hiểu cách Docker quản lý dữ liệu.
 4 | 
 5 | ## Tổng quan.
 6 | - Có hai loại dữ liệu chính:
 7 |     - **Persistent**: dữ liệu cần dữ lại. Như thông tin khách hàng, nhật ký kiểm toán, thậm chí cả log của các ứng dụng.
 8 |     - **Non-persistent**: dữ liệu mà không cần dữ lại.
 9 | 
10 | - Mọi container đều có vùng lưu trữ dữ liệu non-persistent. Nó tồn tại cùng vòng đời với container. Được tạo khi container tạo và mất đi khi container bị xóa và dữ liệu trên đó cũng bị xóa.
11 | - Nếu muốn lưu lại dữ liệu của container thì cần lưu dữ liệu đó vào *volume*. Volume được tách khỏi container, nó được tạo và quản lý tách biệt, và không liên quan đến vòng đời của container. Có thể xóa container mà sử dụng volume thì volume dữ liệu trong đó sẽ không bị xóa. 
12 | 
13 | 
14 | ## Container và dữ liệu non-persistent.
15 | - Mọi container đều tự động nhận được những vùng lưu trữ nội bộ. Mặc định, nó chứa các file, filesystem của container, tồn tại theo vòng đời của container.
16 | 
17 | - Trong Linux host, nó được lưu ở dưới thư mục `/var/lib/docker/<storage-driver>/`
18 | - Trong Window host, nó được lưu ở dưới thư mục `r C:\ProgramData\Docker\windowsfilter\`
19 | - Các storage driver dược hỗ trợ trong hệ thống Linux:
20 |     - **RHEL**: từ Docker 17.06 sử dụng `overlay2`, còn những phiên bản cũ sử dụng `devicemapper`.
21 |     - **Ubuntu**: sử dụng `overlay2` và `aufs`. Nên sử dụng overlay2 từ Linux kernel 4.x trở lên.
22 |     - **SUSE Linux**: sử dụng driver `btrfs`.
23 | 
24 | ## Container và dữ liệu persistent.
25 | - Cách khuyến nghị để lưu dữ liệu của container là vơi *volumes*.
26 | - Khi tạo một volume, sau đó tạo container và mount volume vào một thư mục trong container thì mọi dữ liệu container ghi vào thư mục sẽ ghi vào volume. Khi này nếu có xóa container thì volume và dữ liệu trong nó sẽ vẫn tồn tại.
27 | 
28 | ![](https://i.imgur.com/PuHFzrj.png)
29 | 
30 | ### Tạo và quản lý volume.
31 | - Volume có thể được quản lý thông qua API hoặc câu lệnh `docker volume`.
32 | 
33 | - Tạo volume:
34 | ```
35 | docker volume create myvol
36 | ```
37 | - Mặc định nó sẽ tạo với built-in driver `local`. Có thể cấu hình driver khác bằng cờ `-d`. Những driver bên thứ 3 có thể tích hợp như các plugin.
38 | 
39 | - Liệt kê các volume:
40 | ```
41 | docker volume ls
42 | ```
43 | - Xem thông tin chi tiết của volume:
44 | ```
45 | docker volume inspect myvol
46 | ```
47 | ```
48 | root@dell:~# docker volume create myvol
49 | myvol
50 | root@dell:~# docker volume ls
51 | DRIVER              VOLUME NAME
52 | local               myvol
53 | root@dell:~# docker volume inspect myvol
54 | [
55 |     {
56 |         "CreatedAt": "2019-11-16T14:29:50+07:00",
57 |         "Driver": "local",
58 |         "Labels": {},
59 |         "Mountpoint": "/var/lib/docker/volumes/myvol/_data",
60 |         "Name": "myvol",
61 |         "Options": {},
62 |         "Scope": "local"
63 |     }
64 | ]
65 | ```
66 | Từ lệnh `docker volume inspect` có thể xem nhiều thông tin về volume như thời gian tạo, driver, tên, mountpoint trên hệ thống,..
67 | 
68 | - Mount volume vào container khi chạy container với tùy chọn `--mount`. Ví dụ 
69 | 
70 | ```
71 | docker run -d \
72 | --name web3
73 | --mount source=myvol,target=/var/app \
74 | httpd
75 | ```
76 | 
77 | - Xóa volume:
78 |     - `docker volume rm` - xóa một hay nhiều volume chỉ định
79 |     - `docker volume prune` - xóa tất cả các volume không được dùng bởi ít nhất một container.
80 | 
81 | - Khi cấu hình volume cho container:
82 |     - Nếu có volume sẵn trong hệ thống, Docker sẽ sử dụng nó.
83 |     - Nếu không có sẵn volume, Docker sẽ tạo ra volume mới để sử dụng.
84 | 
85 | 
86 | ## Bind mount
87 | Bind mount là một file hay một thư mục được lưu ở bất kì đâu trên hệ thống máy chủ, được mount vào trong contianer. 
88 | Khác nhau lớn nhất giữa bind mount và volume là nó có thể tồn tại ở bất kì đâu trong hệ thống máy chủ, các process khác ngoài Docker cung có thể quản lý nó.
89 | 
90 | - Bind mount một thư mục vào container sử sụng `--mount type=bind`, ví dụ:
91 | ```
92 | docker run -dit --mount type=bind,source=/var/data,target=/var/app alpine
93 | ```
94 | 
95 | 
96 | ## 


--------------------------------------------------------------------------------
/docs/14.Logging.md:
--------------------------------------------------------------------------------
 1 | # Tìm hiểu logging cho Docker và các container.
 2 | Tìm hiểu hai loại log khi sử dụng do Docker là **daemon log** và **container log**
 3 | 
 4 | 
 5 | ## Docker Container log
 6 | 
 7 | - **Container log** là log được tạo ra bởi container, được thu thập trực tiếp từ các container này. Mọi tin nhắn mà container gửi ra STDOUT và STDERR được log lại thông qua log driver để chuyển đến đích mong muốn.
 8 | 
 9 | - **Loging Driver** là các cơ chế của Docker để thu thập dữ liệu từ các container và dịch vụ đang chạy. Nó cho phép người dùng cấu hình chuyển dữ liệu đến đâu và như thế nào.
10 | 
11 | - Mặc định logging driver là file dạng JSON lưu tại: **/var/lib/docker/containers/[container-id]/[container-id]-json.log**
12 | 
13 | - Một số logging driver khác:
14 |     - **logagent**: Một công cụ gửi log. Một Logagent Docker image được cấu hình trước đó cho việc thu thập log.
15 |     - **syslog**: Sử dụng để gửi log đến syslog server.
16 |     - **journald**: gửi log đến systemd journal.
17 |     - **fluentd**: Gửi log đến Fluentd
18 |     - **gelf**: Viết container log đến một endpoint GrayLog Extended Log Format(GELF) như GlayLog hay Logstach.
19 |     - **awslogs**: Gửi log đến AWS CloudWatch Logs.
20 |     - **splunk**: Gửi log đến  Splunk sử dụng HTTP Event Collector (HEC)
21 |     - **gcplogs**: Gửi log đến Google Cloud Platform (GCP) Logging.
22 |     - **logentries**: Viết log đến Rapid7 Logentries.
23 |     - **etwlogs**: Viết log như là Event Tracing for Windows (ETW) events, chỉ có trên nền tảng Windows.
24 | 
25 | - Có hai tùy chọn khi cầu hìng log driver:
26 |     - Cấu hình mặc định cho tất cả các container.
27 |     - Cấu hình cho từng container.
28 | - Cấu hình logdriver mặc định cho tất cả các contianer bằng cách chỉnh file cấu hình của Docker /etc/docker/daemon.json(tạo nếu chưa có), ví dụ cấu hình syslog logging driver:
29 | ```
30 | {
31 |   "log-driver": "syslog"
32 | }
33 | ```
34 | - Cấu hình log driver cho từng container hay service bằng cách sử dụng tùy chọn `--log-driver` để chỉ định log driver và `--log-otp` để cấu hình thêm các tùy chọn với log driver đó.
35 | Ví dụ:
36 | ```
37 | docker run --log-driver=fluentd --log-opt fluentd-address=fluentdhost:24224 \
38 | -p 8080:80 -dit \
39 | httpd
40 | ```
41 | 
42 | ## Làm việc với container log
43 | - Có một lệnh được sử dụng để xem log của container: `docker container logs`.
44 | ```
45 | docker logs <container-id>
46 | ```
47 | - Lệnh trên sẽ hiển thị log của một container được chỉ định
48 | - Hiển thị mốc thời gian của log `--timestamp`
49 | 
50 | 
51 | ## Docker Daemon log
52 | - Docker daemon log là là các log được tạo ra từ nền tảng Docker và được lưu trên máy chủ. Tùy vào hệ thống máy chủ, Docker daemon log có thể được lưu log bằng các logging service hay được lưu vào các file log.
53 | 
54 | - Ubuntu (old, using upstart) – /var/log/upstart/docker.log
55 | - Ubuntu (new, using systemd) – sudo journalctl -fu docker.service
56 | - Boot2Docker – /var/log/docker.log
57 | - Debian GNU/Linux – /var/log/daemon.log
58 | - CentOS – /var/log/daemon.log | grep docker
59 | - CoreOS – journalctl -u docker.service
60 | - SUSE – journalctl -u docker.service
61 | - Fedora – journalctl -u docker.service
62 | - Red Hat Enterprise Linux Server – /var/log/messages | grep docker
63 | - Amazon Linux AMI – /var/log/docker
64 | - OpenSuSE – journalctl -u docker.service
65 | - OSX – ~/Library/Containers/com.docker.docker/Data/com.docker.driver.amd64-linux/log/d‌​ocker.log
66 | - Windows – Get-EventLog -LogName Application -Source Docker -After (Get-Date).AddMinutes(-5) | Sort-Object Time.
67 | 
68 | 
69 | 
70 | 
71 | 
72 | 
73 | 
74 | Nguồn:
75 | https://sematext.com/guides/docker-logs/


--------------------------------------------------------------------------------
/docs/15.Cgroup-and-resource-limit.md:
--------------------------------------------------------------------------------
  1 | # Tìm hiểu về cgroup và giới hạn tài nguyên Container.
  2 | 
  3 | ## Giới thiệu về Cgroups.
  4 | 
  5 | - Control group hay cgroup được giới thiệu từ phiên bản Linux kernel 2.6.24, cho phép Linux giới hạn tài nguyên cho các tiến trình trong hệ thông như cpu, memory, băng thông mạng. Do dó có thể tối ưu hiệu năng của hệ thống.
  6 | 
  7 | - Trong cgoups, Các tài nguyên được quản lý được gọi là **subsystem** và các tiến trình được quản lý được gọi là các **task**.
  8 | 
  9 | - Các subsystem phỏ biến của cgroup:
 10 |     - `cpu`: sử dụng OS scheduler để cấp phát CPU cho các “task”.
 11 |     - `cpuacct`: báo cáo về trình trạng sử dụng CPU của các “task”.
 12 |     - `cpuset`: quy định cpu cho các task trong hệ thống nhiều cpu.
 13 |     - `memory`: giới hạn sử dụng bộ nhớ trên hệ thống.
 14 |     - `blkio`: giới hạn việc truy cập nhập/xuất(I/O) đến các thiết bị như ổ đĩa cứng.
 15 |     - `net_prio`: giới hạn băng thông mạng theo độ ưu tiên.
 16 |     - `pids`: giới hạn số lượng process được tạo
 17 | 
 18 | ## Docker sử dụng cgroup để giới hạn tài nguyên container.
 19 | ### Memory
 20 | - Docker sử dụng cgroups để có thể giới hạn tài nguyên cho container. Nhưng mặc định, Docker không giới hạn tài nguyên các container.
 21 | - Để giới hạn tài nguyên cho các container, thêm tùy chọn cho container khi chạy lệnh `docker run`
 22 | 
 23 | - Trên một số host, khả năng giới hạn tài nguyên swap có thể sẽ không có mặc định. Để kiểm tra gõ lệnh `docker info`.
 24 |     - Nếu output có dòng sau thì kernel chưa hỗ trợ
 25 |     ```
 26 |     WARNING: No swap limit support
 27 |     ```
 28 |     - Nếu cần tính năng giới hạn swap thì thực hiện chỉnh sửa file `/etc/default/grub`, sửa hoặc thêm dòng `GRUB_CMDLINE_LINUX` với hai cặp giá trị sau:
 29 |     ```
 30 |     GRUB_CMDLINE_LINUX="cgroup_enable=memory swapaccount=1"
 31 |     ```
 32 |     lưu file.
 33 |     - Cập nhật GRUB:
 34 |     ```
 35 |     sudo update-grub
 36 |     ```
 37 |     - Thay đổi sẽ được áp dụng ở lần khởi động lại tiếp theo.
 38 | 
 39 | 
 40 | #### Rủi ro của việc hết bộ nhớ.
 41 | - Trong Linux, khi hệ thống phát hiện không đủ mem để thực hiện các chương trình quan trọng, nó sẽ thực hiện kill các tiến trình khác để giải phóng bộ nhớ. Các tiến trình bị kill có thể là docker, các container, các ứng dụng,...
 42 | -> Đây là hiện tượng Out Of Memory (OOM)
 43 | 
 44 | - Docker đã cố giảm thiểu rủi do bằng các điều chỉnh mức độ ưu tiên OOM cho docker daemon để giảm khả năng bị kill của nó. Tuy nhiên, độ ưu tiên OOM không điều chỉnh được cho các container, nên các container vẫn có nguy cơ bị kill lớn khi gặp phải hiện tượng OOM.
 45 | - Có thể giảm thiểu rủi do này với một số cách:
 46 |     - Kiểm tra và cấu hình giới hạn lượng bộ nhớ phù hợp cho ứng dụng mà container chạy:
 47 |     - Chạy container trên host mà đáp ứng đủ yêu cầu tài nguyên.
 48 |     - Cấu hình swap cho host.
 49 | 
 50 | #### Giới hạn tài nguyên bộ nhớ cho container.
 51 | - Docker có thể giới hạn bộ nhớ cho container theo hai kiểu:
 52 |     - `Hard limmit`: Cho phép container sử dụng không quá một lượng bộ nhớ người dùng hay hệ thống.
 53 |     - `Soft limmit`: Cho phép container có thể sử dụng số lượng bộ nhớ theo nhu cầu của nó trừ khi một điều kiện nào đó thỏa mãn, ví dụ khi kernel phát hiện bộ nhớ thấp trên host.
 54 | - Hầu hết các tùy chọn đều lấy một số nguyên dương và một trong các ký tự `b`, `k`, `m`, `g` để xác định bytes, kilobytes, megabytes, or gigabytes.
 55 | 
 56 | | Tùy chọn         | Mô tả                              |
 57 | |------------------|------------------------------------|
 58 | | `-m` hoặc `--memory=`| Số lượng bộ nhớ tối đa container có thể sử dụng. Tối thiểu là `4m`|
 59 | | `--memory-swap` | Dung lượng bộ nhớ swap cấp cho container.|
 60 | | `--memory-swappiness` | Cấu hình swapiness cho container|
 61 | | `--memory-reservation` | Cho phép bạn chỉ định soft limit nhỏ hơn `--memory`, nó được kích hoạt khi Docker phát hiện sự tranh chấp hoặc bộ nhớ thấp trên máy chủ. Nếu bạn sử dụng `--memory-reservation`, giá trị này phải được set thấp hơn `--memory` để nó được ưu tiên. Bởi vì nó là 1 soft limit, nó không đảm bảo rằng container không vượt quá giới hạn.|
 62 | | `--kernel-memory` | Dung lượng tối đa của kernel memory mà 1 container có thể sử dụng. Giá trị min cho phép: 4m. Do kernel memory không thể sử dụng bộ nhớ swap, nên nếu kernel memory của 1 container không đủ, thì nó sẽ block các tài nguyên ở trên host, và sẽ ảnh hưởng tới host và các containers khác |
 63 | | `--oom-kill-disable` | Mặc định, nếu xảy ra lỗi out of mem, kernel sẽ thực hiện kill các tiến trình của 1 container. Để thay đổi điều này, ta có thể sử dụng options --oom-kill-disable. Ta chỉ disable  oom ở trên container nào có set -m/--memory option. Nếu flag -m không được set, thì host có thể hết bộ nhớ và kernel có thể sẽ phải kill các tiến trình hệ thống của host để giải phóng bộ nhớ.  |
 64 | 
 65 | 
 66 | #### Chi tiết về `--memory-swap`
 67 | - Tùy chọn `--memory-swap` chỉ có hiệu lực khi mà tùy chọn `--memory` được thiết lập. Sử dụng swap cho phép container ghi các bộ nhớ thừa vào disk khi mà container cạn kiệt tài nguyên Ram có sẵn cho nó. 
 68 | - Thiết lập của nó có thể có nhiều hiệu ứng phức tạp:
 69 |     - Nếu `--memory-swap` đi với một số nguyên dương thì cả `--memory` và `--memory-swap` phải được thiết lập. `--memory-swap` đại diện cho tổng só lượng bộ nhớ ram và swap có thể sử dụng, `--memory` đại diện cho lượng bộ nhớ ram. ví dụ `--memory=700m --memory-swap=1g` thì container có thể sử dụng tối đa 700m ram và 300m swap.
 70 |     - Nếu giá trị `--memory-swap=0` thì coi như giá trị này không được thiết lập.
 71 |     - Nếu cấu hình giá trị `--memory-swap` bằng với giá trị `--memory` thì container **không có quyền truy cập swap**
 72 |     - Nếu chỉ cấu hình `--memory` mà không có `--memory-swap` thì mặc định container sẽ sử dụng lượng swap bằng **gấp đôi** lượng ram.
 73 |     - Nếu `memory-swap` được thiết lập giá trị `-1` thì container sẽ sử dụng **không giới hạn** lượng swap, tối đa theo swap trên host.
 74 | 
 75 | ### CPU
 76 | - Mặc định docker sẽ không bị giới hạn truy cập tài nguyên CPU. Bạn có thể thiết lập nhiều hạn chế để giới hạn truy cập của container đến CPU.
 77 | - Có thể cấu hình default CFS scheduler hoặc realtime scheduler.
 78 | 
 79 | #### Cấu hình default CFS scheduler.
 80 | - CFS là CPU scheduler của Linux kernel cho các tiến trình Linux thông thường. Có nhiều tùy chọn để giới hạn truy cập CPU, khi sử dụng những cấu hình này, Docker sẽ sửa caifn đặt trong cgroup của container.
 81 | 
 82 | |Tùy chọn | Mô tả |
 83 | |---------|-----|
 84 | | `--cpus=`| Quy định lượng tài nguyên cpu mà container có thể sử dụng, ví dụ: `--cpu="1.5"` thì container có thể sử dụng 1 và một nửa cpu của host. từ docker 1.13 trở lên|
 85 | |`--cpu-period=<value>`	|Specify the CPU CFS scheduler period, which is used alongside --cpu-quota. Defaults to 100 micro-seconds. Most users do not change this from the default. If you use Docker 1.13 or higher, use --cpus instead.|
 86 | |`--cpu-quota=<value>`	|Impose a CPU CFS quota on the container. The number of microseconds per --cpu-period that the container is limited to before throttled. As such acting as the effective ceiling. If you use Docker 1.13 or higher, use --cpus instead.|
 87 | |`--cpuset-cpus`	|Giới hạn container sử dụng những CPU được chỉ định. Nếu host có nhiều hơn một CPU thì cpu đầu tiên sẽ được đánh số bắt đầu từ 0. ví dụ `--cpuset-cpus=0-2,5` thì container được sử dụng tài nguyên của cpu thứ 1,2,3 và 6 trên host |
 88 | |`--cpu-shares`	|Set this flag to a value greater or less than the default of 1024 to increase or reduce the container’s weight, and give it access to a greater or lesser proportion of the host machine’s CPU cycles. This is only enforced when CPU cycles are constrained. When plenty of CPU cycles are available, all containers use as much CPU as they need. In that way, this is a soft limit. `--cpu-shares` does not prevent containers from being scheduled in swarm mode. It prioritizes container CPU resources for the available CPU cycles. It does not guarantee or reserve any specific CPU access.|
 89 | 
 90 | 
 91 | 
 92 | 
 93 | 
 94 | 
 95 | Nguồn tài liệu:
 96 | https://github.com/TrongTan124/Timhieu-Docker/blob/master/docs/docker-canban/3.2.Cgroups.md
 97 | https://docs.docker.com/config/containers/resource_constraints/
 98 | 
 99 | Tài liệu tham khảo thêm:
100 | - Tài liệu về Quản lý bộ nhớ trong Linux https://www.kernel.org/doc/Documentation/cgroup-v1/memory.txt
101 | 


--------------------------------------------------------------------------------
/docs/16.Unionfs.md:
--------------------------------------------------------------------------------
 1 | # Tìm hiểu về Unino File System
 2 | 
 3 | 
 4 | ## File System và mounting trong Unix/GNU Linux.
 5 | - Trong Linux, mọi thứ đều là file, kể cả thiết bị, ổ cứng, phân vùng đều xuất hiện trong hệ thống như một file.
 6 | 
 7 | - Một phân vùng như /dev/sda1 sẽ được định dạng filesystem(ext3,ext4,...) để có thể lưu trữ dữ liệu.
 8 | 
 9 | - Khi một phân vùng đã được định dạng(có filesystem) và chứa dữ liệu, để có thể đọc hay sửa dữ liệu ấy cần thực hiện gán phân vùng này vào thư mục nào đó trên cây hệ thống - Việc này được gọi là mounting.
10 | 
11 | ![](https://i.imgur.com/LH95Njr.png)
12 | 
13 | ```
14 | mount -t etx4 /dev/sda1 /mnt
15 | ```
16 | 
17 | ![](https://i.imgur.com/rzY7zrB.png)
18 | 
19 | 
20 | 
21 | ## Union file system
22 | 
23 | - Với tính năng mount bình thường, khi mount hai filesystem riêng biệt vào cùng một mount point, nó sẽ chỉ hiển thị file của filesystem mà được mount cuối cùng. Tuy nhiên, việc mount sử dụng tính năng UNION sẽ hiển thị nội dung của tất cả file system được mount vào cùng môt mount point.
24 | 
25 | Ví dụ sử dụng tính năng UNION:
26 | 
27 | ![](https://i.imgur.com/0A3qi4L.png)
28 | 
29 | ![](https://i.imgur.com/kiLfmDz.png)
30 | 
31 | - Lưu ý rằng file2 đến từ filesystem read-only từ image2 hay mnt2
32 | 
33 | ![](https://i.imgur.com/K0pw3GA.png)
34 | 
35 | - Từ thư mục test_mnt có thể chỉnh sửa được file1 vì nó đến từ một filesystem ở chế độ read-write (mnt1)
36 | 
37 | ![](https://i.imgur.com/VRQufC3.png)
38 | 
39 | - file2 đến từ một filesystem read-only nhưng Union File System cho phép chỉnh sửa file này với COW(copy-on-write). Nó sẽ copy file2 sang image1 để có thể chỉnh sửa ở đây và file2 mới này sẽ thay thế file2 cũ trong test_mnt.
40 | 
41 | ![](https://i.imgur.com/zutxiiV.png)
42 | 
43 | 
44 | 
45 | 
46 | 
47 | ## Nguồn: 
48 | https://medium.com/@paccattam/drooling-over-docker-2-understanding-union-file-systems-2e9bf204177c


--------------------------------------------------------------------------------
/docs/17.OverlayFS.md:
--------------------------------------------------------------------------------
 1 | # Tìm hiểu OverlayFS
 2 | - Overlayfs là một ví dụ cho Unino File system, cho phép chồng nội dung của thư mục này lên thư mục khác. Các thư mục này có thể là khác ổ đĩa thậm chí có filesystem khác nhau.
 3 | 
 4 | - Trường hợp đơn giản là kết hợp hai thư mục, mỗi thư mục chứa file và thư mục con. Coi chúng là "upper" và "lower". Thư mục "lower" ở chế độ read-only. Đầu tiên dữ liệu truy cập thông qua việc lấy từ "upper", nếu không tồn tại sẽ tìm đến "lower".
 5 | 
 6 | ![](https://i.imgur.com/6XwGH2c.png) 
 7 | 
 8 | - Việc chỉnh sửa các file trong "upper" sẽ diễn ra bình thường. Bất cứ một chỉnh sửa file nào từ "lower", nó sẽ tạo một bản copy file đó lên "upper" và chỉnh sửa file này. Điều này giúp file gốc vẫn có sãn khi truy cập trực tiếp vào lower folder.
 9 | 
10 | 
11 | ## Docker sử dụng Overlayfs.
12 | 
13 | - Docker lưu trữ, quản lý các layer của image, container mà sử dụng driver `overlay2` ở thư mục `/var/lib/docker/overlay2`
14 | 
15 | Một đoạn mã từ lệnh `docker inspect` của container:
16 | 
17 | ```
18 |         "GraphDriver": {
19 |             "Data": {
20 |                 "LowerDir": "/var/lib/docker/overlay2/4709cecf11575b55ecea173550e7277b4bf8b572739b7cb87e54dca390709105-init/diff:/var/lib/docker/overlay2/f0ef8ddd685c7293f923093a3c8dde9a3dfc3f352b745251f73aaf2cd3872e34/diff:/var/lib/docker/overlay2/ba569f8ccdf102c94cd92925ff965d6d25092e32eaa1b4ac3c2a19af86ce9906/diff:/var/lib/docker/overlay2/e15bbc635b9b96373dafed2494a84da0905bc2e8147d38d504dceb0e4ad285a5/diff:/var/lib/docker/overlay2/9707b0f5e534bfc86dbdb43c43303436b41babe4985c323c1af9ff1571d4d923/diff",
21 |                 "MergedDir": "/var/lib/docker/overlay2/4709cecf11575b55ecea173550e7277b4bf8b572739b7cb87e54dca390709105/merged",
22 |                 "UpperDir": "/var/lib/docker/overlay2/4709cecf11575b55ecea173550e7277b4bf8b572739b7cb87e54dca390709105/diff",
23 |                 "WorkDir": "/var/lib/docker/overlay2/4709cecf11575b55ecea173550e7277b4bf8b572739b7cb87e54dca390709105/work"
24 |             },
25 |             "Name": "overlay2"
26 | 
27 | ```
28 | 
29 | Trong đó:
30 | LowerDir: là layer read-only của overlayfs. Với Docker, nó là các image layer được sắp xếp có thứ tự.
31 | 
32 | UpperDir: Đây là layer read-write trong overlayfs. Với docker nó là lớp đặc biệt của container, mọi thay đổi mà container tạo ra sẽ được lưu ở đây.
33 | 
34 | WorkDir: là một thư mục yêu cầu cho overlay, nó cần một thư mục chống để sử dụng nội bộ.
35 | 
36 | MergedDir: Đây là thư mục kết quả của overlay filesystem. Các ứng dụng sẽ nhìn thấy và làm việc với dữ liệu trong thư mục này khi container chạy.
37 | 
38 | 
39 | 
40 | 
41 | 
42 | 
43 | Nguồn:
44 | https://www.datalight.com/blog/2016/01/27/explaining-overlayfs-%E2%80%93-what-it-does-and-how-it-works/


--------------------------------------------------------------------------------
/docs/18.Docker-registry.md:
--------------------------------------------------------------------------------
 1 | # Cài Docker registry
 2 | 
 3 | - [Cài đặt Docker](./03.installation.md) trước
 4 | 
 5 | ## Chạy thử docker registry local
 6 | - Test chạy docker registry local
 7 | ```
 8 | docker run -d -p 5000:5000 --restart=always --name registry registry:2
 9 | ```
10 | - Copy một image từ Docker Hub về local registry:
11 | ```sh
12 | docker pull centos:7 # pull image từ docker hub
13 | docker tag centos:7 localhost:5000/localcentos:7 # tag cho image thêm host và port để chỉ docker về registry khi push image
14 | docker push localhost:5000/localcentos:7 
15 | docker image remove centos:7 # xóa image trên host hiện tại
16 | docker image remove localhost:5000/ localcentos:7
17 | ```
18 | - Thử pull image tử local registry.
19 | ```
20 | docker pull localhost:5000/localcentos:7
21 | ```
22 | - Dừng và xóa dữ liệu local registry:
23 | ```
24 | docker container stop registry && docker container rm -v registry
25 | ```
26 | 
27 | ## Cấu hình cơ bản:
28 | ### Tự động khởi dộng registry.
29 | - `--restart=alway` : tự động khởi động lại registry container
30 | ```
31 | docker run -d \
32 |   -p 5000:5000 \
33 |   --restart=always \
34 |   --name registry \
35 |   registry:2
36 | ```
37 | ### Cấu hình port.
38 | - Cấu hình public port với tùy chọn `-p <publicport>:<contianerport>` ví dụ:
39 | ```
40 | docker run -d \
41 |   -p 5001:5000 \
42 |   --name registry-test \
43 |   registry:2
44 | ```
45 | - Cấu hình expose http port của registry container bằng biến môi trường `REGISTRY_HTTP_ADDR`. ví dụ:
46 | ```
47 | docker run -d \
48 |   -e REGISTRY_HTTP_ADDR=0.0.0.0:5001 \
49 |   -p 5001:5001 \
50 |   --name registry-test \
51 |   registry:2
52 | ```
53 | 
54 | 
55 | 
56 | Nguồn:
57 | https://docs.docker.com/registry/


--------------------------------------------------------------------------------
/docs/19.portainer.md:
--------------------------------------------------------------------------------
 1 | # Portainer 
 2 | 
 3 | ## Portainer là gì
 4 | Portainer bao gồm giao diện web cho phép dễ dàng quản lý Docker container, images, volume và network.
 5 | 
 6 | 
 7 | ## Cài đặt.
 8 | #### Linux
 9 | Trên Linux, cài đặt đơn giản bằng các câu lệnh sau:
10 | ```
11 | docker volumes create portainer_data
12 | docker run -d -p 9000:9000 -p 8000:8000 --name portainer --restart always -v /var/run/docker.sock:/var/run/docker.sock -v portainer_data:/data portainer/portainer
13 | ```
14 | Giờ có thể truy cập giao diện web của portainer thông qua port 9000 của host.
15 | - Giải thích câu lệnh: 
16 |     - `docker volumes create portainer_data`: để tạo volume chứa dữ liệu muốn lưu lại của portainer.
17 |     - Lệnh dưới chạy portainer với một số thông số như: Bind port 9000 và 8000 của host đến container; Tạo bind mount cho container để nó có thể giao tiếp với socket của docker trên host, từ đó có thể quản lý docker của host(`-v /var/run/docker.sock:/var/run/docker.sock`); bind volume portainer_data với thư mục /data trong container,..
18 | 
19 | #### Window
20 | Vì Window hỗ trợ cả Linux và Window docker container do đó cần có các câu lệnh khác nhau cho từng nền tảng. Window server chỉ hỗ trợ Window container.
21 | Trên window cần tạo các thư mục để làm thư mục chứa dữ liệu cần lưu lại cho container. Ví dụ muốn lưu dữ liệu đến `C:\ProgramData\Portainer` thì cần tạo thư mục `Portainer` trước nếu thư mục không có sẵn trong `C:\ProgramData`
22 | Ví dụ về câu lệnh cho Linux containers:
23 | ```
24 | docker run -d -p 9000:9000 -p 8000:8000 --name portainer --restart always -v /var/run/docker.sock:/var/run/docker.sock -v C:\ProgramData\Portainer:/data portainer/portainer
25 | ```
26 | Ví dụ về câu lệnh để chạy portainer trên Window container:
27 | ```
28 | $ docker run -d -p 9000:9000 -p 8000:8000 --name portainer --restart always -v \\.\pipe\docker_engine:\\.\pipe\docker_engine -v C:\ProgramData\Portainer:C:\data portainer/portainer
29 | ```
30 | 
31 | #### Chạy portainer quản lý docker từ xa
32 | 
33 | ```
34 | docker run -d -p 9000:9000 -p 8000:8000 --name portainer --restart always -v portainer_data:/data portainer/portainer -H tcp://<REMOTE_HOST>:<REMOTE_PORT>
35 | ```
36 | 
37 | 
38 | ## Cấu hình Portainer
39 | ### Mật khẩu tài khoản admin
40 | Sau khi chạy, lần truy cập đầu tiên sẽ được yêu cầu thiết lập mật khẩu cho tài khoản admin.
41 | Hoặc có thể thiết lập mật khẩu tài khoản admin trong câu lệnh docker run khi khởi chạy portainer thông qua tùy chọn của portainer là `--admin-password` hoặc `--admin-password-file`. ví dụ:
42 | ```
43 | $ docker run -d -p 9000:9000 -p 8000:8000 -v /var/run/docker.sock:/var/run/docker.sock portainer/portainer --admin-password='$2y$05$qFHAlNAH0A.6oCDe1/4W.ueCWC/iTfBMXIHBI97QYfMWlMCJ7N.a6'
44 | ```
45 | 
46 | 
47 | Nguồn:
48 | - https://portainer.readthedocs.io/en/stable/
49 | 


--------------------------------------------------------------------------------
/docs/Note-Docker.md:
--------------------------------------------------------------------------------
  1 | # Một vài ghi chú trong quá trình tìm hiểu docker.
  2 | 
  3 | ## CMD vs RUN vs ENTRYPOINT
  4 | - **RUN** sẽ thực thi lệnh chỉ trong quá trình build image. Thường được sử dụng để cài gói và sẽ tạo ra một image layer mới.
  5 | 
  6 | - **CMD** được dùng để cấu hình câu lệnh mặc định khi chạy container, nó có thể bị ghi đè khi viết lệnh docker run.
  7 | 
  8 | - **ENTRYPOINT**: Cấu hình lệnh, file thực thi để chạy khi container chạy, không bị ghi đè lệnh khác với lệnh docker run.
  9 | 
 10 | 
 11 | 
 12 | ## Đẩy log của nginx ra stdout và stderr
 13 | ```dockerfile
 14 | # forward request and error logs to docker log collector
 15 | RUN ln -sf /dev/stdout /var/log/nginx/access.log \
 16 |     && ln -sf /dev/stderr /var/log/nginx/error.log
 17 | ```
 18 | 
 19 | 
 20 | ## Một vài cách để cấu hình ứng dụng trong Docker container.
 21 | ### 1. Copy cấu file cấu hình vào trong Container.
 22 | Chuẩn bị sẵn file cấu hình và COPY vào container, hoặc tiến hành sử file config của ứng dụng với `echo` hoặc `sed` thông qua RUN trong quá trình build image.
 23 | 
 24 | ### 2. Cấu hình động sử dụng biến môi trường.
 25 | Đây là cách cấu hình phổ biến cho các image trên docker hub.
 26 | Khi chạy container, cấu hình giá trị cho các biến môi trường( ví dụ `docker run -e -e MYSQL_ROOT_PASSWORD=123456 -d mysql:latest`). Sau đó, container entrypoint sẽ kiểm tra các biến môi trường và `sed` hay `echo` để cấu hình ứng dụng.
 27 | 
 28 | ### 2.1. Cấu hình động thông qua Key-Value database.
 29 | Thay vì dùng biến môi trường, có thể cấu hình để entrypoint sẽ kết nối đến một Key-valua database trong mạng như `etcd` hay `consul` để lấy thông tin cấu hình.
 30 | Sau đó có thể cấu hình ứng dụng trong container bằng cách chỉnh sửa các giá trị trên KV database.
 31 | 
 32 | 
 33 | ### 3. Cấu hình thông qua docker volume
 34 | Docker volume cho phép ánh xạ file, thư mục trên host vào container. Từ đó có thể ánh xạ file cấu hình từ host vào file cấu hình của ứng dụng trong container để có thể trực tiếp chỉnh sửa cấu hình của ứng dụng từ host.
 35 | 
 36 | 
 37 | 
 38 | ## Build image từ scratch
 39 | scratch là một image trống, nên khi build image từ scratch(`FROM scratch`) thì image được tạo ra gần như là không có base image, Docker cũng sẽ không tạo một layer cho câu lệnh`FROM scratch`. 
 40 | 
 41 | Việc này đem lại bảo mật khi chúng ta hoàn toàn có thể kiểm soát soure code, filesystem của image.
 42 | 
 43 | 
 44 | 
 45 | ## Chạy và tắt các service của docker compose theo thứ tự.
 46 | 
 47 | Bình thường dùng `depends_on` để khởi động container theo thứ tự nhưng nó chỉ phụ thuộc vào việc container đã chạy hay chưa mà không quan tâm đến trạng thái của dịch vụ chạy bên trong container đó.
 48 | 
 49 | Cách tốt nhất là thiết kế thêm cho ứng dụng chức năng tự động kết nối lại khi gặp lỗi.
 50 | 
 51 | Dùng script để đợi như kiểu:
 52 | ```
 53 | version: "2"
 54 | services:
 55 |   web:
 56 |     build: .
 57 |     ports:
 58 |       - "80:8000"
 59 |     depends_on:
 60 |       - "db"
 61 |     command: ["./wait-for-it.sh", "db:5432", "--", "python", "app.py"]
 62 |   db:
 63 |     image: postgres
 64 | ```
 65 | để kiểm tra các dịch vụ khác trước khi chạy ứng dụng chính.
 66 | 
 67 | Thực gia nếu là version 2.1 thì có cái `condition: service_healthy` kiểu dựa theo healcheck của dịch vụ khác:
 68 | ```
 69 | version: '2.1'
 70 | 
 71 | services:
 72 |   app:
 73 |     build: app/.
 74 |     depends_on:
 75 |       rabbit:
 76 |         condition: service_healthy
 77 |     links: 
 78 |         - rabbit
 79 | 
 80 |   rabbit:
 81 |     build: rabbitmq/.
 82 |     ports: 
 83 |         - "15672:15672"
 84 |         - "5672:5672"
 85 |     healthcheck:
 86 |         test: ["CMD", "curl", "-f", "http://localhost:15672"]
 87 |         interval: 30s
 88 |         timeout: 10s
 89 |         retries: 5
 90 | ```
 91 | https://stackoverflow.com/questions/31746182/docker-compose-wait-for-container-x-before-starting-y/41854997#41854997
 92 | 
 93 | 
 94 | 
 95 | 
 96 | # some thing else:
 97 | 
 98 | https://www.docker.com/blog/docker-golang/
 99 | 
100 | - Kinh ngiệm build image:
101 | https://docs.docker.com/develop/develop-images/dockerfile_best-practices/
102 | 
103 | ## ~~the end of~~ the begining................


--------------------------------------------------------------------------------
/docs/Readme.md:
--------------------------------------------------------------------------------
 1 | ## Mục lục 
 2 |  
 3 |  
 4 | 
 5 | - [ Giới thiệu ](./01.Introduction.md)
 6 | - [ Docker  ](./02.Docker.md)
 7 | - [ Cài đặt Docker  ](./03.installation.md)
 8 | - [ Cái nhìn tổng quan ](./04.example-tongquan.md)
 9 | - [ Docker Engine ](./05.Docker-Engine.md)
10 | - [ Image ](./06.Image.md)
11 | - [ Container  ](./07.Container.md)
12 | - [ Containerizing an app. ](./08.Containerizing-an-app.md)
13 | - [ Triển khai ứng dụng với Docker Compose ](./09.Docker-compose.md)
14 | - [ Docker Swarm. ](./10.Docker-Swarm.md)
15 | - [ Tìm hiểu mạng trong Docker ](./11.Docker-Networking.md)
16 | - [ Docker Internal ](./12.Docker-Internal.md)
17 | - [ Volume ](./13.Docker-Volume.md)
18 | - [ Tìm hiểu logging cho Docker và các container. ](./14.Logging.md)
19 | - [ Tìm hiểu về cgroup và giới hạn tài nguyên Container. ](./15.Cgroup-and-resource-limit.md)
20 | 


--------------------------------------------------------------------------------
/docs/_config.yml:
--------------------------------------------------------------------------------
1 | theme: jekyll-theme-minimal


--------------------------------------------------------------------------------