A simple example of a Markdown blog post.

该文章已加密

本系列从 Linux 内核的 Namespace、Cgroup、OverlayFS 出发，深入 OCI 规范、runc 源码、containerd 架构，再到容器安全、沙箱运行时、网络、存储、镜像构建、Wasm 容器，最后综合实战构建一个迷你容器运行时——从「会用 Docker」到「理解容器运行时的每一行代码」，每章配有可运行的代码示例与架构图，让你从容器用户进阶到容器运行时工程师。

综合实战——用 Go 从零构建一个迷你容器运行时——实现 Namespace 隔离（PID/Mount/UTS/IPC/Network）、Cgroup 资源限制（CPU/内存）、OverlayFS 分层文件系统、OCI Bundle 解析，最终实现一个能运行容器的 minirunc。将前 15 章的知识融会贯通，从「理解原理」到「动手实现」。

深入容器在 Kubernetes 中的运行机制——CRI 接口、Pod Sandbox 创建、多容器模式、Init Container、Sidecar 注入，以及 kubelet 如何通过 CRI 与容器运行时交互。

WebAssembly（Wasm）正在从浏览器走向服务器——WASI（WebAssembly System Interface）定义了 Wasm 访问操作系统的标准接口，WasmEdge/runwasi 等运行时让 Wasm 模块可以作为容器运行。详细解读 Wasm 容器的架构、WASI 接口、与 OCI 的集成、与 Linux 容器的对比——从「Wasm 只能在浏览器运行」到「Wasm 是下一代容器运行时」。

BuildKit 是 Docker 的新一代镜像构建引擎，支持并行构建、缓存导入导出、多阶段构建优化、secret 挂载等高级特性。从零讲透 BuildKit 的架构设计、Dockerfile 指令的执行原理、多阶段构建、缓存策略、以及如何编写高效的 Dockerfile——从「会写 Dockerfile」到「理解每一条指令的构建机制」。

容器的可写层随容器删除而丢失，数据持久化需要 Volume。一网打尽容器存储的完整方案——Volume（绑定挂载/命名卷/tmpfs）、存储驱动（overlay2/devicemapper/btrfs）、CSI（容器存储接口）插件机制，以及 Kubernetes 的 PV/PVC/StorageClass 体系——从「docker run -v」到「理解容器存储的每一条挂载规则」。