Docker Dockerfile 編寫指南

什麼是 Dockerfile？

Dockerfile 是一個文字檔案，包含了一系列指令用來自動化建構 Docker 映像檔。透過 Dockerfile，我們可以將應用程式及其運行環境封裝成一個可移植的映像檔，實現「一次建構，到處運行」的目標。

Dockerfile 的優勢

• 可重現性：確保在不同環境中建構出相同的映像檔
• 版本控制：可以像程式碼一樣進行版本管理
• 自動化：減少手動配置，降低人為錯誤
• 標準化：統一的建構流程和環境配置

Docker 基本介紹

架構總覽

上圖展示了 Docker 完整架構，包含 Docker 客戶端、Docker 守護程序、容器運行時、映像檔倉庫等核心元件及其互動關係

Docker 如何運作？

Docker 采用客戶端-伺服器架構，主要包含以下工作流程：

1. 開發階段：使用 Dockerfile 定義應用程式環境
2. 建構階段：透過 docker build 將 Dockerfile 轉換為映像檔
3. 分享階段：將映像檔推送到 Docker Registry 進行分享
4. 部署階段：在任何支援 Docker 的環境中運行容器

這個流程確保了「一次建構，到處運行」的目標。

Kubernetes Secret 使用指南

什麼是 Secrets？

Kubernetes Secrets 是一個 API 物件，用於存儲和管理敏感資訊，如密碼、OAuth 權杖、SSH 金鑰等。Secrets 類似於 ConfigMap，但專門設計用於保存機密資料，提供了額外的安全性保護。

Secrets 的主要功能：

• 敏感資料存儲：安全地存儲密碼、金鑰、憑證等敏感資訊
• 資料加密：在 etcd 中以 Base64 編碼存儲（可配置加密）
• 存取控制：透過 RBAC 控制對敏感資料的存取
• 多種類型支援：支援不同類型的機密資料格式

為什麼使用 Secrets？

相較於將敏感資料硬編碼在應用程式或 ConfigMap 中，Secrets 提供了更安全的管理方式：

1. 安全性：敏感資料與應用程式程式碼分離
2. 存取控制：精細的權限管理和審計功能
3. 靈活性：支援多種掛載和使用方式
4. 合規性：符合企業安全和合規要求

Kubernetes ConfigMap 使用指南

什麼是 ConfigMap？

Kubernetes ConfigMap 是一個 API 物件，用於存儲非敏感的配置資料，以鍵值對的形式存在。ConfigMap 允許您將配置從容器映像中分離出來，使應用程式更具可移植性和靈活性。

ConfigMap 的主要功能：

• 配置分離：將應用程式配置與程式碼分離
• 環境管理：支援不同環境的配置管理
• 動態更新：支援運行時配置更新
• 多種掛載方式：可作為環境變數、檔案或目錄掛載

為什麼使用 ConfigMap？

相較於將配置硬編碼在應用程式中，ConfigMap 提供了更好的配置管理方式：

1. 靈活性：無需重新構建映像就能改變配置
2. 可重用性：同一個 ConfigMap 可被多個 Pod 使用
3. 版本控制：配置變更可以被追蹤和管理
4. 環境一致性：確保不同環境使用正確的配置

Kubernetes Deployment 使用指南

什麼是 Deployment？

Kubernetes Deployment 是一個 API 物件，用於管理應用程式的宣告式部署和更新。Deployment 提供了對 Pod 和 ReplicaSet 的管理功能，確保應用程式能夠穩定運行並支援無縫更新。

Deployment 的主要功能：

• 副本管理：維護指定數量的 Pod 副本，確保服務的高可用性
• 滾動更新：支援零停機時間的應用程式更新
• 版本回滾：快速回滾到先前的應用程式版本
• 擴縮容：根據需求動態調整 Pod 的數量

為什麼使用 Deployment？

相較於直接管理 Pod 或 ReplicaSet，Deployment 提供了更高層次的管理抽象：

1. 宣告式管理：只需描述期望狀態，Kubernetes 會自動達成目標
2. 更新策略：內建滾動更新機制，避免服務中斷
3. 版本控制：保留部署歷史，支援快速回滾

Kubernetes Image 拉取指南

什麼是容器映像拉取？

在 Kubernetes 中，Pod 需要使用容器映像來啟動容器。根據映像的來源和存取方式不同，Kubernetes 提供了多種映像拉取策略。了解這些不同的拉取方式對於有效管理應用程式部署至關重要。

映像拉取的主要場景：

• 本地映像：使用本地構建並載入到節點的映像
• 公開倉庫：從 Docker Hub 等公開倉庫拉取映像
• 私有倉庫：從需要身份驗證的私有倉庫拉取映像
• 企業倉庫：從組織內部的私有映像倉庫拉取映像

為什麼需要了解不同的拉取方式？

根據不同的使用場景，選擇合適的映像拉取方式可以：

1. 提升效率：減少不必要的網路傳輸和下載時間
2. 增強安全性：保護私有映像不被未授權存取
3. 降低成本：避免重複拉取相同的映像

Docker Hub PAT 申請指南

什麼是 Docker Hub PAT？

Docker Hub Personal Access Token (PAT) 是 Docker Hub 提供的身份驗證機制，用於替代傳統的使用者名稱和密碼組合。PAT 提供了更安全的方式來存取 Docker Hub 的 API 和映像倉庫。

PAT 的主要優勢：

• 安全性：避免在腳本或配置中使用明文密碼
• 權限控制：可以設定特定的權限範圍
• 易於管理：可以獨立撤銷和更新，不影響帳戶密碼
• 審計追蹤：提供更好的存取記錄和監控

為什麼需要使用 PAT？

在以下情況下，建議使用 PAT 替代密碼：

1. CI/CD 流程：在自動化部署中進行映像推送和拉取
2. 本地開發：在 Minikube 或其他本地環境中拉取私有映像
3. 腳本自動化：需要程式化存取 Docker Hub API
4. 企業環境：符合企業安全政策和最佳實務

Kubernetes Namespace 使用指南

什麼是 Namespace？

Kubernetes Namespace 是一個 API 物件，用於在 Kubernetes 叢集中創建虛擬的資源隔離環境。Namespace 提供了一種將叢集資源劃分為多個獨立區域的方式，讓不同的團隊、專案或環境可以在同一個叢集中安全地共存。

Namespace 的主要功能：

• 資源隔離：將不同的應用程式或環境分隔在不同的命名空間中
• 存取控制：透過 RBAC 實現細粒度的權限管理
• 資源配額管理：限制每個命名空間可使用的叢集資源量
• 名稱空間管理：避免資源名稱衝突，支援相同名稱的資源存在於不同命名空間

為什麼使用 Namespace？

相較於將所有資源都放在預設命名空間中，Namespace 提供了更好的資源管理方式：

1. 多租戶支援：讓多個團隊或專案安全地共享同一個 Kubernetes 叢集
2. 環境分離：清楚區分開發、測試、生產等不同環境的資源
3. 資源管理：透過資源配額控制每個環境的資源使用量
4. 權限控制：實現精細的存取權限管理，提升安全性

Kubernetes 控制元件介紹

在 Kubernetes 中，我們需要控制平面 (Control Plane) 來管理 Node 的運行狀態。接下來我們將介紹 Node 是如何被管理的，以及各個控制元件的功能。

整體架構概述

Kubernetes 採用 Master-Worker 架構模式：

• Control Plane (Master): 負責管理整個叢集的決策和控制
• Worker Nodes: 負責執行實際的應用程式工作負載

Kubernetes 核心元件介紹

架構總覽

上圖展示了 Kubernetes 完整架構，包含控制平面、工作節點、服務層和配置管理等核心元件及其互動關係