Fix naming of the chapter dir

2026-03-11 20:31:18 +00:00 · 2026-02-22 12:42:15 -08:00
parent b9ac198f19
commit 92ea9623b2
130 changed files with 1001 additions and 852 deletions
--- a/03_install/summary.md
+++ b/03_install/summary.md
@@ -0,0 +1,27 @@
 ## 3.11 本章小结
 Docker 支持在多种平台上安装和使用，选择合适的安装方式是顺利使用 Docker 的第一步。
 | 平台 | 推荐方式 | 说明 |
 |------|---------|------|
 | **Ubuntu/Debian** | 官方 APT 仓库 | 最完善的支持，推荐首选 |
 | **CentOS/Fedora** | 官方 YUM/DNF 仓库 | 注意关闭 SELinux 或配置策略 |
 | **macOS** | Docker Desktop | 图形化安装，包含 Compose 和 Kubernetes |
 | **Windows 10/11** | Docker Desktop (WSL 2) | 需启用 WSL 2 后端 |
 | **Raspberry Pi** | 官方安装脚本 | 支持 ARM 架构 |
 | **离线环境** | 二进制包安装 | 适用于无法联网的服务器 |
 ### 3.11.1 安装后验证
 安装完成后，运行以下命令验证 Docker 是否正常工作：
 ```bash
 $ docker version
 $ docker run --rm hello-world
 ```
 ### 3.11.2 延伸阅读
 - [镜像加速器](3.9_mirror.md)：解决国内拉取镜像慢的问题
 - [开启实验特性](3.10_experimental.md)：使用最新功能
 - [Docker Hub](../06_repository/6.1_dockerhub.md)：官方镜像仓库
--- a/08_data_network/data/README.md
+++ b/08_data_network/data/README.md
--- a/08_data_network/data/_images/types-of-mounts.png
+++ b/08_data_network/data/_images/types-of-mounts.png
--- a/08_data_network/data/bind-mounts.md
+++ b/08_data_network/data/bind-mounts.md
--- a/08_data_network/data/summary.md
+++ b/08_data_network/data/summary.md
--- a/08_data_network/data/tmpfs.md
+++ b/08_data_network/data/tmpfs.md
--- a/08_data_network/data/volume.md
+++ b/08_data_network/data/volume.md
--- a/08_data_network/README.md
+++ b/08_data_network/README.md
@@ -1,6 +0,0 @@
 # 第八章数据与网络管理
 本章将介绍 Docker 中的数据管理与网络配置。
 * [数据管理](data/README.md)
 * [网络配置](network/README.md)
--- a/08_data_network/network/README.md
+++ b/08_data_network/network/README.md
@@ -1,344 +0,0 @@
 # 网络配置
 本节涵盖了相关内容与详细描述，主要探讨以下几个方面：
 ## 8.6 Docker 网络概述
 Docker 容器需要网络来：
 - 与外部世界通信 (访问互联网、被外部访问)
 - 容器之间相互通信
 - 与宿主机通信
 Docker 在安装时会自动配置网络基础设施，大多数情况下开箱即用。
 ## 8.6 默认网络架构
 Docker 启动时自动创建以下网络组件：
 ```mermaid
 graph TD
    subgraph Host [宿主机]
        eth0[物理网卡 eth0<br>192.168.1.100]
        docker0[docker0 网桥<br>172.17.0.1]
        subgraph Containers
            subgraph ContainerA [容器 A]
                eth0_A[eth0<br>172.17.0.2]
            end
            subgraph ContainerB [容器 B]
                eth0_B[eth0<br>172.17.0.3]
            end
        end
        eth0 <--> docker0
        docker0 <--> eth0_A
        docker0 <--> eth0_B
    end
    Internet((互联网)) <--> eth0
 ```
 ### 8.6.1 核心组件
 相关信息如下表：
 | 组件 | 说明 |
 |------|------|
 | **docker0** | 虚拟网桥，充当交换机角色 |
 | **veth pair** | 虚拟网卡对，一端在容器内，一端连接网桥 |
 | **容器 eth0** | 容器内的网卡 |
 | **IP 地址** | 自动从 172.17.0.0/16 网段分配 |
 ### 8.6.2 数据流向
 如下代码块所示，展示了相关示例：
 ```mermaid
 flowchart LR
    subgraph Comm1 ["容器间通信"]
        direction LR
        C1A["容器 A (172.17.0.2)"] --> D0A["docker0"] --> C1B["容器 B (172.17.0.3)"]
    end
    subgraph Comm2 ["访问外网"]
        direction LR
        C2A["容器 A (172.17.0.2)"] --> D0B["docker0"] --> Eth0A["eth0"] --> InternetA["互联网"]
    end
    subgraph Comm3 ["被外部访问，需端口映射"]
        direction LR
        Req["外部请求"] --> Eth0B["eth0"] --> D0C["docker0"] --> C3A["容器 A"]
    end
 ```
 ---
 ## 8.6 Docker 网络类型
 查看默认网络：
 ```bash
 $ docker network ls
 NETWORK ID     NAME      DRIVER    SCOPE
 abc123...      bridge    bridge    local
 def456...      host      host      local
 ghi789...      none      null      local
 ```
 | 网络类型 | 说明 | 适用场景 |
 |---------|------|---------|
 | **bridge** | 默认类型，容器连接到虚拟网桥 | 大多数单机场景 |
 | **host** | 容器直接使用宿主机网络栈 | 需要最高网络性能时 |
 | **none** | 禁用网络 | 完全隔离的容器 |
 | **overlay** | 跨主机网络 | Docker Swarm 集群 |
 | **macvlan** | 容器拥有独立 MAC 地址 | 需要直接接入物理网络 |
 ---
 ## 8.6 用户自定义网络 (推荐)
 本节涵盖了相关内容与详细描述，主要探讨以下几个方面：
 ### 8.6.1 为什么要用自定义网络
 默认 bridge 网络的局限：
 | 问题 | 自定义网络的优势 |
 |------|-----------------|
 | 只能用 IP 通信 | 支持容器名 DNS 解析 |
 | 所有容器在同一网络 | 更好的隔离性 |
 | 需要 --link (已废弃)| 原生支持服务发现 |
 ### 8.6.2 创建自定义网络
 运行以下命令：
 ```bash
 ## 创建网络
 $ docker network create mynet
 ## 查看网络详情
 $ docker network inspect mynet
 ```
 ### 8.6.3 使用自定义网络
 运行以下命令：
 ```bash
 ## 启动容器并连接到自定义网络
 $ docker run -d --name web --network mynet nginx
 $ docker run -d --name db --network mynet postgres
 ## 在 web 容器中可以直接用容器名访问 db
 $ docker exec web ping db
 PING db (172.18.0.3): 56 data bytes
 64 bytes from 172.18.0.3: seq=0 ttl=64 time=0.083 ms
 ```
 ### 8.6.4 容器名 DNS 解析
 自定义网络自动提供 DNS 服务：
 ```mermaid
 flowchart LR
    subgraph MyNet ["mynet 网络 : web 容器可以用 'db' 作为主机名访问 db 容器"]
        direction LR
        Web["web<br/>172.18.0.2"] -- "DNS: 'db' → 172.18.0.3" --> DB["db<br/>172.18.0.3"]
    end
 ```
 ---
 ## 8.6 容器互联
 本节涵盖了相关内容与详细描述，主要探讨以下几个方面：
 ### 8.6.1 同一网络内的容器
 同一自定义网络内的容器可以直接通信：
 ```bash
 ## 创建网络
 $ docker network create app-net
 ## 启动应用和数据库
 $ docker run -d --name redis --network app-net redis
 $ docker run -d --name app --network app-net myapp
 ## app 容器中可以用 redis:6379 连接 Redis
 ...
 ```
 ### 8.6.2 连接到多个网络
 一个容器可以连接到多个网络：
 ```bash
 ## 启动容器
 $ docker run -d --name multi-net-container --network frontend nginx
 ## 再连接到另一个网络
 $ docker network connect backend multi-net-container
 ## 查看容器的网络
 $ docker inspect multi-net-container --format '{{json .NetworkSettings.Networks}}'
 ```
 ### 8.6.3 ⚠️ --link 已废弃
 运行以下命令：
 ```bash
 ## 旧方式（不推荐）
 $ docker run --link db:database myapp
 ## 新方式（推荐）
 $ docker network create mynet
 $ docker run --network mynet --name db postgres
 $ docker run --network mynet --name app myapp
 ```
 ---
 ## 8.6 端口映射
 容器默认只能在 Docker 网络内访问。要从外部访问容器，需要端口映射：
 ### 8.6.1 基本语法
 运行以下命令：
 ```bash
 ## -p 宿主机端口:容器端口
 $ docker run -d -p 8080:80 nginx
 ```
 ### 8.6.2 映射方式
 相关信息如下表：
 | 参数 | 说明 | 示例 |
 |------|------|------|
 | `-p 8080:80` | 指定端口映射 | 宿主机 8080 → 容器 80 |
 | `-p 80` | 随机宿主机端口 | 随机端口 → 容器 80 |
 | `-P` | 自动映射所有暴露端口 | 随机端口 → 所有 EXPOSE 端口 |
 | `-p 127.0.0.1:8080:80` | 只绑定本地 | 仅本机可访问 |
 | `-p 8080:80/udp` | UDP 端口 | UDP 协议 |
 ### 8.6.3 查看端口映射
 运行以下命令：
 ```bash
 $ docker port mycontainer
 80/tcp -> 0.0.0.0:8080
 ```
 ### 8.6.4 端口映射示意图
 如下代码块所示，展示了相关示例：
 ```mermaid
 flowchart TD
    Req["外部请求 http://宿主机IP:8080"] --> Host["宿主机:8080"]
    Host -- "iptables NAT" --> Container["容器 nginx:80"]
 ```
 ---
 ## 8.6 网络隔离
 不同网络之间默认隔离：
 ```bash
 ## 创建两个网络
 $ docker network create frontend
 $ docker network create backend
 ## 容器 A 在 frontend
 $ docker run -d --name web --network frontend nginx
 ## 容器 B 在 backend  
 $ docker run -d --name db --network backend postgres
 ## web 无法直接访问 db（不同网络）
 $ docker exec web ping db
 ping: db: Name or service not known
 ```
 这种隔离有助于安全：前端容器无法直接访问数据库网络。
 ---
 ## 8.6 常用命令
 运行以下命令：
 ```bash
 ## 列出网络
 $ docker network ls
 ## 创建网络
 $ docker network create mynet
 ## 查看网络详情
 $ docker network inspect mynet
 ## 连接容器到网络
 $ docker network connect mynet mycontainer
 ## 断开网络连接
 $ docker network disconnect mynet mycontainer
 ## 删除网络
 $ docker network rm mynet
 ## 清理未使用的网络
 $ docker network prune
 ```
 ---
 ## 8.6 本章小结
 相关信息如下表：
 | 概念 | 要点 |
 |------|------|
 | **默认网络** | docker0 网桥，172.17.0.0/16 网段 |
 | **自定义网络** | 推荐使用，支持容器名 DNS 解析 |
 | **端口映射** | `-p 宿主机端口:容器端口` 暴露服务 |
 | **网络隔离** | 不同网络默认隔离，增强安全性 |
 | **--link** | 已废弃，使用自定义网络替代 |
 ## 8.6 延伸阅读
 - [配置 DNS](dns.md)：自定义 DNS 设置
 - [端口映射](port_mapping.md)：高级端口配置
 - [Compose 网络](../../10_compose/10.5_compose_file.md)：Compose 中的网络配置
--- a/08_data_network/network/summary.md
+++ b/08_data_network/network/summary.md
@@ -1,26 +0,0 @@
 ## 8.9 本章小结
 相关信息如下表：
 | 场景 | DNS 行为 | 备注 |
 |------|----------|------|
 | **默认网络** | 继承宿主机 | 不支持容器名解析 |
 | **自定义网络** | Docker 嵌入式 DNS | ✅ 支持容器名解析 |
 | **手动指定** | 使用 `--dns` | 覆盖默认配置 |
 ### 8.9.1 延伸阅读
 - [网络模式](README.md)：Docker 网络概览
 - [端口映射](port_mapping.md)：外部访问
 | 要点 | 说明 |
 |------|------|
 | **-p** | 指定端口映射 (常用)，如 `8080:80` |
 | **-P** | 随机映射所有 EXPOSE 的端口 |
 | **安全性** | 默认监听所有 IP，敏感服务应绑定 `127.0.0.1` |
 | **查看** | 使用 `docker port` 或 `docker ps` |
 ### 8.9.2 延伸阅读
 - [EXPOSE 指令](../../07_dockerfile/7.9_expose.md)：在 Dockerfile 中声明端口
 - [网络模式](README.md)：Host 模式不需要端口映射
--- a/09_network/README.md
+++ b/09_network/README.md
@@ -0,0 +1,41 @@
 # 网络配置
 Docker 容器需要网络来与外部世界通信、容器之间相互通信以及与宿主机通信。Docker 在安装时会自动配置网络基础设施，大多数情况下开箱即用。
 ## 概述
 Docker 启动时自动创建以下网络组件：
 ```mermaid
 graph TD
    subgraph Host [宿主机]
        eth0[物理网卡 eth0<br>192.168.1.100]
        docker0[docker0 网桥<br>172.17.0.1]
        subgraph Containers
            subgraph ContainerA [容器 A]
                eth0_A[eth0<br>172.17.0.2]
            end
            subgraph ContainerB [容器 B]
                eth0_B[eth0<br>172.17.0.3]
            end
        end
        eth0 <--> docker0
        docker0 <--> eth0_A
        docker0 <--> eth0_B
    end
    Internet((互联网)) <--> eth0
 ```
 本章将详细介绍 Docker 网络配置的各个方面。
 ## 本章内容
 * [配置 DNS](dns.md)
 * [外部访问容器](port_mapping.md)
 * [网络类型](network_types.md)
 * [自定义网络](custom_network.md)
 * [容器互联](container_linking.md)
 * [网络隔离](network_isolation.md)
--- a/09_network/container_linking.md
+++ b/09_network/container_linking.md
@@ -0,0 +1,62 @@
 ## 9.5 容器互联
 容器之间的网络通信是 Docker 网络的核心功能之一。本节介绍容器互联的几种方式。
 ### 9.5.1 同一网络内的容器
 同一自定义网络内的容器可以直接通过容器名通信，这是推荐的容器互联方式：
 ```bash
 ## 创建网络
 $ docker network create app-net
 ## 启动应用和数据库
 $ docker run -d --name redis --network app-net redis
 $ docker run -d --name app --network app-net myapp
 ## app 容器中可以用 redis:6379 连接 Redis
 ...
 ```
 ### 9.5.2 连接到多个网络
 一个容器可以同时连接到多个网络，这对于需要跨网络通信的中间件容器特别有用：
 ```bash
 ## 启动容器
 $ docker run -d --name multi-net-container --network frontend nginx
 ## 再连接到另一个网络
 $ docker network connect backend multi-net-container
 ## 查看容器的网络
 $ docker inspect multi-net-container --format '{{json .NetworkSettings.Networks}}'
 ```
 ### 9.5.3 ⚠️ --link 已废弃
 `--link` 是 Docker 早期用于容器互联的方式，**已经被废弃**，不建议在新项目中使用。请使用自定义网络替代：
 ```bash
 ## 旧方式（不推荐）
 $ docker run --link db:database myapp
 ## 新方式（推荐）
 $ docker network create mynet
 $ docker run --network mynet --name db postgres
 $ docker run --network mynet --name app myapp
 ```
 使用自定义网络的优势在于：
 - 原生支持 DNS 解析
 - 不需要在容器启动时显式声明依赖
 - 更灵活，可以动态 connect/disconnect
--- a/09_network/custom_network.md
+++ b/09_network/custom_network.md
@@ -0,0 +1,93 @@
 ## 9.4 用户自定义网络 (推荐)
 在生产环境中，推荐使用用户自定义网络代替默认的 bridge 网络。自定义网络提供了更好的隔离性和服务发现能力。
 ### 9.4.1 为什么要用自定义网络
 默认 bridge 网络存在以下局限，而自定义网络可以很好地解决这些问题：
 | 问题 | 自定义网络的优势 |
 |------|-----------------| 
 | 只能用 IP 通信 | 支持容器名 DNS 解析 |
 | 所有容器在同一网络 | 更好的隔离性 |
 | 需要 --link (已废弃)| 原生支持服务发现 |
 ### 9.4.2 创建自定义网络
 使用 `docker network create` 命令可以创建自定义网络：
 ```bash
 ## 创建网络
 $ docker network create mynet
 ## 查看网络详情
 $ docker network inspect mynet
 ```
 ### 9.4.3 使用自定义网络
 启动容器时通过 `--network` 参数指定连接的网络：
 ```bash
 ## 启动容器并连接到自定义网络
 $ docker run -d --name web --network mynet nginx
 $ docker run -d --name db --network mynet postgres
 ## 在 web 容器中可以直接用容器名访问 db
 $ docker exec web ping db
 PING db (172.18.0.3): 56 data bytes
 64 bytes from 172.18.0.3: seq=0 ttl=64 time=0.083 ms
 ```
 ### 9.4.4 容器名 DNS 解析
 自定义网络自动提供 DNS 服务。Docker 守护进程在 `127.0.0.11` 运行了一个嵌入式 DNS 服务器，容器内的 DNS 请求会被转发到这里：
 - 如果是容器名，解析为容器 IP
 - 如果是外部域名 (如 google.com)，转发给上游 DNS
 ```mermaid
 flowchart LR
    subgraph MyNet ["mynet 网络 : web 容器可以用 'db' 作为主机名访问 db 容器"]
        direction LR
        Web["web<br/>172.18.0.2"] -- "DNS: 'db' → 172.18.0.3" --> DB["db<br/>172.18.0.3"]
    end
 ```
 ### 9.4.5 常用网络命令
 以下是 Docker 网络管理中常用的命令：
 ```bash
 ## 列出网络
 $ docker network ls
 ## 创建网络
 $ docker network create mynet
 ## 查看网络详情
 $ docker network inspect mynet
 ## 连接容器到网络
 $ docker network connect mynet mycontainer
 ## 断开网络连接
 $ docker network disconnect mynet mycontainer
 ## 删除网络
 $ docker network rm mynet
 ## 清理未使用的网络
 $ docker network prune
 ```
--- a/08_data_network/network/dns.md
+++ b/08_data_network/network/dns.md
@@ -1,8 +1,8 @@
-## 8.7 配置 DNS
+## 9.2 配置 DNS
-本节涵盖了相关内容与详细描述，主要探讨以下几个方面：
+Docker 容器的 DNS 配置决定了容器如何解析域名。理解 DNS 机制对于容器网络的正确配置至关重要。
-### 8.7.1 容器的 DNS 机制
+### 9.2.1 容器的 DNS 机制
 Docker 容器的 DNS 配置有两种情况：
@@ -11,9 +11,9 @@ Docker 容器的 DNS 配置有两种情况：
 ---
-### 8.7.2 嵌入式 DNS
+### 9.2.2 嵌入式 DNS
-这是 Docker 网络最强大的功能之一。在自定义网络中，容器可以通过 “名字” 找到彼此，而不需要知道对方的 IP (因为 IP 可能会变)。
+这是 Docker 网络最强大的功能之一。在自定义网络中，容器可以通过 "名字" 找到彼此，而不需要知道对方的 IP (因为 IP 可能会变)。
 ```bash
 ## 1. 创建自定义网络
@@ -36,7 +36,7 @@ Docker 守护进程在 `127.0.0.11` 运行了一个 DNS 服务器。容器内的
 ---
-### 8.7.3 配置 DNS 参数
+### 9.2.3 配置 DNS 参数
 如果你需要手动配置容器的 DNS (例如使用内网 DNS 服务器)，可以在 `docker run` 中使用以下参数：
@@ -67,7 +67,7 @@ $ docker run -h myweb nginx
 ---
-### 8.7.4 全局 DNS 配置
+### 9.2.4 全局 DNS 配置
 如果希望所有容器都使用特定的 DNS 服务器 (而不是继承宿主机)，可以修改 `/etc/docker/daemon.json`：
@@ -84,9 +84,9 @@ $ docker run -h myweb nginx
 ---
-### 8.7.5 常见问题
+### 9.2.5 常见问题
-本节涵盖了相关内容与详细描述，主要探讨以下几个方面：
+以下是使用容器 DNS 时常见的问题及解决方法：
 #### Q：容器无法解析域名
--- a/09_network/network_isolation.md
+++ b/09_network/network_isolation.md
@@ -0,0 +1,81 @@
 ## 9.7 网络隔离
 Docker 网络提供了天然的隔离能力，不同网络之间的容器默认无法通信。这是 Docker 网络安全的重要基础。
 ### 9.7.1 网络隔离原理
 不同网络之间默认隔离，容器只能与同一网络中的容器直接通信：
 ```bash
 ## 创建两个网络
 $ docker network create frontend
 $ docker network create backend
 ## 容器 A 在 frontend
 $ docker run -d --name web --network frontend nginx
 ## 容器 B 在 backend  
 $ docker run -d --name db --network backend postgres
 ## web 无法直接访问 db（不同网络）
 $ docker exec web ping db
 ping: db: Name or service not known
 ```
 ### 9.7.2 安全优势
 这种隔离机制带来以下安全优势：
 | 场景 | 说明 |
 |------|------|
 | **前后端分离** | 前端容器无法直接访问数据库网络 |
 | **微服务隔离** | 不同微服务组可以使用不同网络 |
 | **多租户** | 不同租户的容器在不同网络中完全隔离 |
 | **最小权限** | 容器只能访问必要的网络资源 |
 ### 9.7.3 跨网络通信
 如果确实需要某个容器跨网络通信，可以将其同时连接到多个网络：
 ```bash
 ## 创建一个中间件容器，连接到两个网络
 $ docker run -d --name api --network frontend myapi
 $ docker network connect backend api
 ## 现在 api 容器既可以访问 frontend 中的 web，也可以访问 backend 中的 db
 ```
 这种方式让你可以精确控制哪些容器可以跨网络通信，遵循最小权限原则。
 ### 9.7.4 典型网络架构
 一个典型的多层应用网络架构如下：
 ```mermaid
 graph TD
    subgraph FrontendNet ["frontend 网络"]
        LB["负载均衡器"]
        Web1["Web 服务器 1"]
        Web2["Web 服务器 2"]
    end
    subgraph BackendNet ["backend 网络"]
        API["API 服务器"]
        DB["数据库"]
        Cache["Redis 缓存"]
    end
    LB --> Web1
    LB --> Web2
    Web1 -.-> API
    Web2 -.-> API
    API --> DB
    API --> Cache
 ```
 在这种架构中，API 服务器同时连接到 `frontend` 和 `backend` 网络，充当两个网络之间的桥梁。负载均衡器和 Web 服务器无法直接访问数据库，增强了安全性。
--- a/09_network/network_types.md
+++ b/09_network/network_types.md
@@ -0,0 +1,78 @@
 ## 9.3 Docker 网络类型
 Docker 提供了多种网络驱动来满足不同的使用场景。安装 Docker 后，系统会自动创建三个默认网络：
 ```bash
 $ docker network ls
 NETWORK ID     NAME      DRIVER    SCOPE
 abc123...      bridge    bridge    local
 def456...      host      host      local
 ghi789...      none      null      local
 ```
 ### 9.3.1 网络类型对比
 各网络类型的特点和适用场景如下：
 | 网络类型 | 说明 | 适用场景 |
 |---------|------|---------| 
 | **bridge** | 默认类型，容器连接到虚拟网桥 | 大多数单机场景 |
 | **host** | 容器直接使用宿主机网络栈 | 需要最高网络性能时 |
 | **none** | 禁用网络 | 完全隔离的容器 |
 | **overlay** | 跨主机网络 | Docker Swarm 集群 |
 | **macvlan** | 容器拥有独立 MAC 地址 | 需要直接接入物理网络 |
 ### 9.3.2 Bridge 网络 (默认)
 Bridge 是 Docker 默认使用的网络模式。Docker 启动时会自动创建 `docker0` 虚拟网桥，所有未指定网络的容器都会连接到这个网桥上。
 核心组件如下：
 | 组件 | 说明 |
 |------|------|
 | **docker0** | 虚拟网桥，充当交换机角色 |
 | **veth pair** | 虚拟网卡对，一端在容器内，一端连接网桥 |
 | **容器 eth0** | 容器内的网卡 |
 | **IP 地址** | 自动从 172.17.0.0/16 网段分配 |
 ### 9.3.3 Host 网络
 使用 `--network host` 参数启动的容器会直接使用宿主机的网络栈，不再拥有独立的网络命名空间。容器内的端口就是宿主机的端口，无需端口映射。
 ```bash
 $ docker run -d --network host nginx
 ```
 这种模式下网络性能最高，但容器之间和宿主机之间没有网络隔离。
 ### 9.3.4 None 网络
 使用 `--network none` 参数启动的容器只有 `lo` 回环网卡，完全没有外部网络连接。适用于只需要运行计算任务、不需要网络的容器。
 ```bash
 $ docker run -it --network none alpine ip addr
 1: lo: <LOOPBACK,UP,LOWER_UP> ...
    inet 127.0.0.1/8 scope host lo
 ```
 ### 9.3.5 数据流向
 容器网络中的数据流向可以分为以下几种情况：
 ```mermaid
 flowchart LR
    subgraph Comm1 ["容器间通信"]
        direction LR
        C1A["容器 A (172.17.0.2)"] --> D0A["docker0"] --> C1B["容器 B (172.17.0.3)"]
    end
    subgraph Comm2 ["访问外网"]
        direction LR
        C2A["容器 A (172.17.0.2)"] --> D0B["docker0"] --> Eth0A["eth0"] --> InternetA["互联网"]
    end
    subgraph Comm3 ["被外部访问，需端口映射"]
        direction LR
        Req["外部请求"] --> Eth0B["eth0"] --> D0C["docker0"] --> C3A["容器 A"]
    end
 ```
--- a/08_data_network/network/port_mapping.md
+++ b/08_data_network/network/port_mapping.md
@@ -1,10 +1,10 @@
-## 8.8 外部访问容器
+## 9.6 外部访问容器
-本节涵盖了相关内容与详细描述，主要探讨以下几个方面：
+容器运行在自己的隔离网络环境中 (通常是 Bridge 模式)。为了让外部网络访问容器内的服务，我们需要将容器的端口映射到宿主机的端口。
-### 8.8.1 为什么要映射端口
+### 9.6.1 为什么要映射端口
-容器运行在自己的隔离网络环境中 (通常是 Bridge 模式)。这意味着：
+容器的网络访问规则如下：
 - **容器之间**：可以通过 IP 或容器名 (自定义网络) 互通。
 - **宿主机访问容器**：可以通过容器 IP 访问。
@@ -21,16 +21,13 @@ flowchart TD
 ---
-### 8.8.2 端口映射方式
+### 9.6.2 端口映射方式
-本节涵盖了相关内容与详细描述，主要探讨以下几个方面：
+Docker 提供了多种方式来指定端口映射。
-#### 1。指定映射
+#### 1. 指定映射
-Docker 提供了多种方式来指定端口映射，最常用的是 `-p` 参数。
+使用 `-p <宿主机端口>:<容器端口>` 格式：
 使用 `-p <宿主机端口>:<容器端口>` 格式。
 ```bash
 ## 将宿主机的 8080 端口映射到容器的 80 端口
@@ -49,12 +46,9 @@ $ docker run -d -p 8080:80 nginx
 | `hostPort:containerPort` | 绑定所有 IP (0.0.0.0) 的特定端口 | `-p 8080:80` (默认) |
 | `containerPort` | 绑定所有 IP 的随机端口 | `-p 80` |
-#### 2。随机映射
+#### 2. 随机映射
-如果您不关心宿主机使用哪个端口，可以使用随机映射功能。
+如果不关心宿主机使用哪个端口，可以使用随机映射。使用 `-P` (大写) 参数，Docker 会随机映射 Dockerfile 中 `EXPOSE` 指令暴露的所有端口到宿主机的高端口 (49000-49900)。
 使用 `-P` (大写) 参数，Docker 会随机映射 Dockerfile 中 `EXPOSE` 指令暴露的所有端口到宿主机的高端口 (49000-49900)。
 ```bash
 $ docker run -d -P nginx
@@ -72,16 +66,13 @@ abc123456      0.0.0.0:49153->80/tcp
 ---
-### 8.8.3 查看端口映射
+### 9.6.3 查看端口映射
-本节涵盖了相关内容与详细描述，主要探讨以下几个方面：
+可以使用以下命令查看容器的端口映射：
 #### docker port
-我们可以使用 `docker port` 命令来查看当前容器的端口映射规则。
+运行 `docker port` 可以查看到指定容器的端口映射情况：
 运行以下命令：
 ```bash
 $ docker port mycontainer
@@ -91,7 +82,7 @@ $ docker port mycontainer
 #### docker ps
-运行以下命令：
+运行 `docker ps` 可以查看到所有容器的端口映射列表：
 ```bash
 $ docker ps
@@ -101,14 +92,11 @@ abc123456      nginx     0.0.0.0:8080->80/tcp   web
 ---
-### 8.8.4 最佳实践与安全
+### 9.6.4 最佳实践与安全
-本节涵盖了相关内容与详细描述，主要探讨以下几个方面：
+在配置端口映射时，需要注意以下安全事项：
 #### 1。限制监听 IP
 为了保证服务的安全性，我们应该谨慎选择绑定的 IP 地址。
 #### 1. 限制监听 IP
 默认情况下，`-p 8080:80` 会监听 `0.0.0.0:8080`，这意味着任何人只要能连接你的宿主机 IP，就能访问该服务。
@@ -120,7 +108,7 @@ abc123456      nginx     0.0.0.0:8080->80/tcp   web
 $ docker run -d -p 127.0.0.1:3306:3306 mysql
 ```
-#### 2。避免端口冲突
+#### 2. 避免端口冲突
 如果宿主机 8080 已经被占用了，容器将无法启动。
@@ -129,7 +117,7 @@ $ docker run -d -p 127.0.0.1:3306:3306 mysql
 - 更换宿主机端口：`-p 8081:80`
 - 让 Docker 自动分配：`-p 80`
-#### 3。UDP 映射
+#### 3. UDP 映射
 默认是 TCP 协议。如果要映射 UDP 服务 (如 DNS，Syslog)：
@@ -139,7 +127,7 @@ $ docker run -d -p 53:53/udp dns-server
 ---
-### 8.8.5 实现原理
+### 9.6.5 实现原理
 Docker 使用 `docker-proxy` 进程 (用户态) 或 `iptables` DNAT 规则 (内核态) 来实现端口转发。
--- a/09_network/summary.md
+++ b/09_network/summary.md
@@ -0,0 +1,24 @@
 ## 9.8 本章小结
 本章介绍了 Docker 网络配置的各个方面：
 | 概念 | 要点 |
 |------|------|
 | **DNS 配置** | 自定义网络支持嵌入式 DNS，可通过容器名解析 |
 | **网络类型** | bridge (默认)、host、none、overlay、macvlan |
 | **自定义网络** | 推荐使用，支持容器名 DNS 解析和更好的隔离 |
 | **容器互联** | 同一自定义网络内容器可直接通过容器名通信 |
 | **端口映射** | `-p 宿主机端口:容器端口` 暴露服务到外部 |
 | **网络隔离** | 不同网络默认隔离，增强安全性 |
 | **--link** | 已废弃，使用自定义网络替代 |
 ### 9.8.1 延伸阅读
 - [配置 DNS](dns.md)：自定义 DNS 设置
 - [网络类型](network_types.md)：Bridge、Host、None 等网络模式
 - [自定义网络](custom_network.md)：创建和管理自定义网络
 - [容器互联](container_linking.md)：容器间通信方式
 - [端口映射](port_mapping.md)：高级端口配置
 - [网络隔离](network_isolation.md)：网络安全与隔离策略
 - [EXPOSE 指令](../07_dockerfile/7.9_expose.md)：在 Dockerfile 中声明端口
 - [Compose 网络](../11_compose/10.5_compose_file.md)：Compose 中的网络配置
--- a/10_buildx/10.1_buildkit.md
+++ b/10_buildx/10.1_buildkit.md
@@ -1,4 +1,4 @@
-## 9.1 使用 `BuildKit` 构建镜像
+## 10.1 使用 `BuildKit` 构建镜像
 **BuildKit** 是下一代的镜像构建组件，在 https://github.com/moby/buildkit 开源。
@@ -6,7 +6,7 @@
 目前，Docker Hub 自动构建已经支持 BuildKit，具体请参考 https://github.com/docker-practice/docker-hub-buildx
-### 9.1.1 `Dockerfile` 新增指令详解
+### 10.1.1 `Dockerfile` 新增指令详解
 BuildKit 引入了多项新指令，旨在优化构建缓存和安全性。以下将详细介绍这些指令的用法。
@@ -159,12 +159,12 @@ $ ssh-add ~/.ssh/id_rsa
 $ docker build -t test --ssh default=$SSH_AUTH_SOCK .
 ```
-### 9.1.2 使用 `docker compose build` 与 BuildKit
+### 10.1.2 使用 `docker compose build` 与 BuildKit
 Docker Compose 同样支持 BuildKit，这使得多服务应用的构建更加高效。
 自 Docker 23.0 起，BuildKit 已默认启用，无需额外配置。如果使用旧版本，可设置 `DOCKER_BUILDKIT=1` 环境变量启用。
-### 9.1.3 官方文档
+### 10.1.3 官方文档
 * https://github.com/moby/buildkit/blob/master/frontend/dockerfile/docs/experimental.md
--- a/10_buildx/10.2_buildx.md
+++ b/10_buildx/10.2_buildx.md
@@ -1,8 +1,8 @@
-## 9.2 使用 Buildx 构建镜像
+## 10.2 使用 Buildx 构建镜像
 本节涵盖了相关内容与详细描述，主要探讨以下几个方面：
-### 9.2.1 使用
+### 10.2.1 使用
 Buildx 的使用非常直观，绝大多数情况下可以替代 `docker build` 命令。
@@ -40,6 +40,6 @@ $ docker buildx build --sbom=true -t myimage .
 该命令会在构建结果中包含 SPDX 或 CycloneDX 格式的 SBOM 数据。
-### 9.2.2 官方文档
+### 10.2.2 官方文档
 * https://docs.docker.com/engine/reference/commandline/buildx/
--- a/10_buildx/10.3_multi-arch-images.md
+++ b/10_buildx/10.3_multi-arch-images.md
@@ -1,8 +1,8 @@
-## 9.3 构建多种系统架构支持的 Docker 镜像
+## 10.3 构建多种系统架构支持的 Docker 镜像
 Docker 镜像可以支持多种系统架构，这意味着你可以在 `x86_64`、`arm64` 等不同架构的机器上运行同一个镜像。这是通过一个名为 “manifest list” (或称为 “fat manifest”) 的文件来实现的。
-### 9.3.1 Manifest List 是什么？
+### 10.3.1 Manifest List 是什么？
 为了理解多架构镜像的原理，我们需要先了解 Manifest List 的概念。
@@ -40,7 +40,7 @@ $ docker manifest inspect hello-world
 }
 ```
-### 9.3.2 使用 `docker buildx` 构建多架构镜像
+### 10.3.2 使用 `docker buildx` 构建多架构镜像
 `docker buildx` 是构建多架构镜像的最佳实践工具，它屏蔽了底层的复杂性，提供了一键构建多架构镜像的能力。
@@ -101,7 +101,7 @@ COPY bin/dist-${TARGETOS}-${TARGETARCH} /dist
 ENTRYPOINT ["/dist"]
 ```
-### 9.3.3 使用 `docker manifest` (底层工具)
+### 10.3.3 使用 `docker manifest` (底层工具)
 除了 `docker buildx`，我们也可以直接操作 Manifest List 来手动组合不同架构的镜像。
--- a/10_buildx/README.md
+++ b/10_buildx/README.md
@@ -1,4 +1,4 @@
-# 第九章 Docker Buildx
+# 第十章 Docker Buildx
 Docker Buildx 是一个 docker CLI 插件，其扩展了 docker 命令，支持 [Moby BuildKit](9.1_buildkit.md) 提供的功能。提供了与 docker build 相同的用户体验，并增加了许多新功能。
--- a/10_buildx/summary.md
+++ b/10_buildx/summary.md
@@ -0,0 +1,19 @@
 ## 10.4 本章小结
 Docker Buildx 是 Docker 构建系统的重要进化，提供了高效、安全且支持多平台的镜像构建能力。
 | 概念 | 要点 |
 |------|------|
 | **BuildKit** | 下一代构建引擎，Docker 23.0+ 默认启用 |
 | **缓存挂载** | `RUN --mount=type=cache` 加速依赖安装 |
 | **Secret 挂载** | `RUN --mount=type=secret` 安全传递密钥 |
 | **buildx build** | 替代 `docker build`，支持更多构建功能 |
 | **多架构构建** | `--platform` 参数一键构建多种架构镜像 |
 | **Manifest List** | 多架构镜像的索引文件 |
 | **SBOM** | 通过 `--sbom=true` 生成软件物料清单 |
 ### 10.4.1 延伸阅读
 - [Dockerfile 指令详解](../07_dockerfile/README.md)：Dockerfile 编写基础
 - [多阶段构建](../07_dockerfile/7.17_multistage_builds.md)：优化镜像体积
 - [Dockerfile 最佳实践](../appendix/20.1_best_practices.md)：编写高效 Dockerfile
--- a/11_compose/11.1_introduction.md
+++ b/11_compose/11.1_introduction.md
@@ -1,4 +1,4 @@
-## 10.1 Compose 简介
+## 11.1 Compose 简介
 `Compose` 项目是 Docker 官方的开源项目，负责实现对 Docker 容器集群的快速编排。从功能上看，跟 `OpenStack` 中的 `Heat` 十分类似。
@@ -10,11 +10,11 @@
 `Compose` 恰好满足了这样的需求。它允许用户通过一个单独的 `compose.yaml` (历史默认名也常见为 `docker-compose.yml`) 模板文件 (YAML 格式) 来定义一组相关联的应用容器为一个项目 (project)。
-### 10.1.1 概述
+### 11.1.1 概述
 总体概述了以下内容。
-### 10.1.2 模板文件规范
+### 11.1.2 模板文件规范
 Compose 模板文件采用 YAML 格式，扩展名为 `.yml` 或 `.yaml`。
--- a/11_compose/11.2_install.md
+++ b/11_compose/11.2_install.md
@@ -1,4 +1,4 @@
-## 10.2 安装与卸载
+## 11.2 安装与卸载
 `Compose` 是 Docker 官方的开源项目，负责实现对 Docker 容器集群的快速编排。
@@ -10,7 +10,7 @@
 Linux 系统请使用以下介绍的方法安装。
-### 10.2.1 Linux
+### 11.2.1 Linux
 在 Linux 上，你可以通过下载 Docker Compose CLI 插件 (二进制文件名为 `docker-compose`) 来安装。
@@ -32,7 +32,7 @@ $ curl -SL https://github.com/docker/compose/releases/download/v5.0.2/docker-com
 $ chmod +x $DOCKER_CONFIG/cli-plugins/docker-compose
 ```
-### 10.2.2 测试安装
+### 11.2.2 测试安装
 运行以下命令：
@@ -41,7 +41,7 @@ $ docker compose version
 Docker Compose version v5.0.2
 ```
-### 10.2.3 bash 补全命令
+### 11.2.3 bash 补全命令
 运行以下命令：
@@ -49,7 +49,7 @@ Docker Compose version v5.0.2
 $ curl -L https://raw.githubusercontent.com/docker/compose/v5.0.2/contrib/completion/bash/docker-compose | sudo tee /etc/bash_completion.d/docker-compose > /dev/null
 ```
-### 10.2.4 卸载
+### 11.2.4 卸载
 如果是二进制包方式安装的，删除二进制文件即可。
--- a/11_compose/11.3_usage.md
+++ b/11_compose/11.3_usage.md
@@ -1,8 +1,8 @@
-## 10.3 使用
+## 11.3 使用
 本节将通过一个具体的 Web 应用案例，介绍 Docker Compose 的基本概念和使用方法。
-### 10.3.1 术语
+### 11.3.1 术语
 首先介绍几个术语。
@@ -12,7 +12,7 @@
 可见，一个项目可以由多个服务 (容器) 关联而成，`Compose` 面向项目进行管理。
-### 10.3.2 场景
+### 11.3.2 场景
 最常见的项目是 web 网站，该项目应该包含 web 应用和缓存。
--- a/11_compose/11.4_commands.md
+++ b/11_compose/11.4_commands.md
@@ -1,8 +1,8 @@
-## 10.4 Compose 命令说明
+## 11.4 Compose 命令说明
 Docker Compose 提供了丰富的命令来管理项目和容器。本节将详细介绍这些命令的使用格式和常用选项。
-### 10.4.1 命令对象与格式
+### 11.4.1 命令对象与格式
 对于 Compose 来说，大部分命令的对象既可以是项目本身，也可以指定为项目中的服务或者容器。如果没有特别的说明，命令对象将是项目，这意味着项目中所有的服务都会受到命令影响。
@@ -14,7 +14,7 @@ Docker Compose 提供了丰富的命令来管理项目和容器。本节将详
 docker compose [-f=<arg>...] [options] [COMMAND] [ARGS...]
 ```
-### 10.4.2 命令选项
+### 11.4.2 命令选项
 * `-f, --file FILE` 指定使用的 Compose 模板文件。默认会自动识别 `compose.yaml` (也兼容 `docker-compose.yml` 等)，并且可以多次指定。
@@ -24,7 +24,7 @@ docker compose [-f=<arg>...] [options] [COMMAND] [ARGS...]
 * `-v, --version` 打印版本并退出。
-### 10.4.3 命令使用说明
+### 11.4.3 命令使用说明
 本节涵盖了相关内容与详细描述，主要探讨以下几个方面：
--- a/11_compose/11.5_compose_file.md
+++ b/11_compose/11.5_compose_file.md
@@ -1,4 +1,4 @@
-## 10.5 Compose 模板文件
+## 11.5 Compose 模板文件
 模板文件是使用 `Compose` 的核心，涉及到的指令关键字也比较多。但大家不用担心，这里面大部分指令跟 `docker run` 相关参数的含义都是类似的。
@@ -20,7 +20,7 @@ services:
 下面分别介绍各个指令的用法。
-### 10.5.1 `build`
+### 11.5.1 `build`
 指定 `Dockerfile` 所在文件夹的路径 (可以是绝对路径，或者相对 Compose 文件的路径)。`Compose` 将会利用它自动构建这个镜像，然后使用这个镜像。
@@ -56,7 +56,7 @@ build:
    - corp/web_app:3.14
 ```
-### 10.5.2 `cap_add, cap_drop`
+### 11.5.2 `cap_add, cap_drop`
 指定容器的内核能力 (capacity) 分配。
@@ -74,7 +74,7 @@ cap_drop:
  - NET_ADMIN
 ```
-### 10.5.3 `command`
+### 11.5.3 `command`
 覆盖容器启动后默认执行的命令。
@@ -82,11 +82,11 @@ cap_drop:
 command: echo "hello world"
 ```
-### 10.5.4 `configs`
+### 11.5.4 `configs`
 `configs` 来自 Compose Specification。它在 Swarm 中是原生对象；在本地 `docker compose` 模式下通常以文件挂载的形式实现，具体能力取决于 Compose 版本与运行平台。
-### 10.5.5 `cgroup_parent`
+### 11.5.5 `cgroup_parent`
 指定父 `cgroup` 组，意味着将继承该组的资源限制。
@@ -96,7 +96,7 @@ command: echo "hello world"
 cgroup_parent: cgroups_1
 ```
-### 10.5.6 `container_name`
+### 11.5.6 `container_name`
 指定容器名称。默认将会使用 `项目名称_服务名称_序号` 这样的格式。
@@ -106,11 +106,11 @@ container_name: docker-web-container
 >注意：指定容器名称后，该服务将无法进行扩展 (scale)，因为 Docker 不允许多个容器具有相同的名称。
-### 10.5.7 `deploy`
+### 11.5.7 `deploy`
 `deploy` 用于描述副本数、更新策略、资源限制等部署参数。该字段在 Swarm 中支持最完整；在本地 `docker compose up` 场景下通常只有部分字段生效。
-### 10.5.8 `devices`
+### 11.5.8 `devices`
 指定设备映射关系。
@@ -119,7 +119,7 @@ devices:
  - "/dev/ttyUSB1:/dev/ttyUSB0"
 ```
-### 10.5.9 `depends_on`
+### 11.5.9 `depends_on`
 解决容器的依赖、启动先后的问题。以下例子中会先启动 `redis` `db` 再启动 `web`
@@ -140,7 +140,7 @@ services:
 >注意：`web` 服务不会等待 `redis` `db` “完全启动” 之后才启动。
-### 10.5.10 `dns`
+### 11.5.10 `dns`
 自定义 `DNS` 服务器。可以是一个值，也可以是一个列表。
@@ -152,7 +152,7 @@ dns:
  - 114.114.114.114
 ```
-### 10.5.11 `dns_search`
+### 11.5.11 `dns_search`
 配置 `DNS` 搜索域。可以是一个值，也可以是一个列表。
@@ -164,7 +164,7 @@ dns_search:
  - domain2.example.com
 ```
-### 10.5.12 `tmpfs`
+### 11.5.12 `tmpfs`
 挂载一个 tmpfs 文件系统到容器。
@@ -175,7 +175,7 @@ tmpfs:
  - /tmp
 ```
-### 10.5.13 `env_file`
+### 11.5.13 `env_file`
 从文件中获取环境变量，可以为单独的文件路径或列表。
@@ -200,7 +200,7 @@ env_file:
 PROG_ENV=development
 ```
-### 10.5.14 `environment`
+### 11.5.14 `environment`
 设置环境变量。你可以使用数组或字典两种格式。
@@ -222,7 +222,7 @@ environment:
 y|Y|yes|Yes|YES|n|N|no|No|NO|true|True|TRUE|false|False|FALSE|on|On|ON|off|Off|OFF
 ```
-### 10.5.15 `expose`
+### 11.5.15 `expose`
 暴露端口，但不映射到宿主机，只被连接的服务访问。
@@ -234,7 +234,7 @@ expose:
 - "8000"
 ```
-### 10.5.16 `external_links`
+### 11.5.16 `external_links`
 >注意：不建议使用该指令。
@@ -247,7 +247,7 @@ external_links:
 - project_db_1:postgresql
 ```
-### 10.5.17 `extra_hosts`
+### 11.5.17 `extra_hosts`
 类似 Docker 中的 `--add-host` 参数，指定额外的 host 名称映射信息。
@@ -264,7 +264,7 @@ extra_hosts:
 52.1.157.61 dockerhub
 ```
-### 10.5.18 `healthcheck`
+### 11.5.18 `healthcheck`
 通过命令检查容器是否健康运行。
@@ -276,7 +276,7 @@ healthcheck:
  retries: 3
 ```
-### 10.5.19 `image`
+### 11.5.19 `image`
 指定为镜像名称或镜像 ID。如果镜像在本地不存在，`Compose` 将会尝试拉取这个镜像。
@@ -286,7 +286,7 @@ image: orchardup/postgresql
 image: a4bc65fd
 ```
-### 10.5.20 `labels`
+### 11.5.20 `labels`
 为容器添加 Docker 元数据 (metadata) 信息。例如可以为容器添加辅助说明信息。
@@ -297,11 +297,11 @@ labels:
  com.startupteam.release: "rc3 for v1.0"
 ```
-### 10.5.21 `links`
+### 11.5.21 `links`
 >注意：不推荐使用该指令。容器之间应通过 Docker 网络 (networks) 进行互联。
-### 10.5.22 `logging`
+### 11.5.22 `logging`
 配置日志选项。
@@ -328,7 +328,7 @@ options:
  max-file: "10"
 ```
-### 10.5.23 `network_mode`
+### 11.5.23 `network_mode`
 设置网络模式。使用和 `docker run` 的 `--network` 参数一样的值。
@@ -340,7 +340,7 @@ network_mode: "service:[service name]"
 network_mode: "container:[container name/id]"
 ```
-### 10.5.24 `networks`
+### 11.5.24 `networks`
 配置容器连接的网络。
@@ -358,7 +358,7 @@ networks:
  other-network:
 ```
-### 10.5.25 `pid`
+### 11.5.25 `pid`
 跟主机系统共享进程命名空间。打开该选项的容器之间，以及容器和宿主机系统之间可以通过进程 ID 来相互访问和操作。
@@ -366,7 +366,7 @@ networks:
 pid: "host"
 ```
-### 10.5.26 `ports`
+### 11.5.26 `ports`
 暴露端口信息。
@@ -382,7 +382,7 @@ ports:
 *注意：当使用 `HOST:CONTAINER` 格式来映射端口时，如果你使用的容器端口小于 60 并且没放到引号里，可能会得到错误结果，因为 `YAML` 会自动解析 `xx:yy` 这种数字格式为 60 进制。为避免出现这种问题，建议数字串都采用引号包括起来的字符串格式。*
-### 10.5.27 `secrets`
+### 11.5.27 `secrets`
 存储敏感数据，例如 `mysql` 服务密码。
@@ -405,7 +405,7 @@ secrets:
    external: true
 ```
-### 10.5.28 `security_opt`
+### 11.5.28 `security_opt`
 指定容器模板标签 (label) 机制的默认属性 (用户、角色、类型、级别等)。例如配置标签的用户名和角色名。
@@ -415,7 +415,7 @@ security_opt:
    - label:role:ROLE
 ```
-### 10.5.29 `stop_signal`
+### 11.5.29 `stop_signal`
 设置另一个信号来停止容器。在默认情况下使用的是 SIGTERM 停止容器。
@@ -423,7 +423,7 @@ security_opt:
 stop_signal: SIGUSR1
 ```
-### 10.5.30 `sysctls`
+### 11.5.30 `sysctls`
 配置容器内核参数。
@@ -437,7 +437,7 @@ sysctls:
  - net.ipv4.tcp_syncookies=0
 ```
-### 10.5.31 `ulimits`
+### 11.5.31 `ulimits`
 指定容器的 ulimits 限制值。
@@ -451,7 +451,7 @@ sysctls:
      hard: 40000
 ```
-### 10.5.32 `volumes`
+### 11.5.32 `volumes`
 数据卷所挂载路径设置。可以设置为宿主机路径 (`HOST:CONTAINER`) 或者数据卷名称 (`VOLUME:CONTAINER`)，并且可以设置访问模式 (`HOST:CONTAINER:ro`)。
@@ -477,7 +477,7 @@ volumes:
  mysql_data:  
 ```
-### 10.5.33 其它指令
+### 11.5.33 其它指令
 此外，还有包括 `domainname, entrypoint, hostname, ipc, mac_address, privileged, read_only, shm_size, restart, stdin_open, tty, user, working_dir` 等指令，基本跟 `docker run` 中对应参数的功能一致。
@@ -537,7 +537,7 @@ stdin_open: true
 tty: true
 ```
-### 10.5.34 读取变量
+### 11.5.34 读取变量
 Compose 模板文件支持动态读取主机的系统环境变量和当前目录下的 `.env` 文件中的变量。
--- a/11_compose/11.6_django.md
+++ b/11_compose/11.6_django.md
@@ -1,10 +1,10 @@
-## 10.6 使用 Django
+## 11.6 使用 Django
 > 本小节内容适合 `Python` 开发人员阅读。
 本节将使用 Docker Compose 配置并运行一个 **Django + PostgreSQL** 应用。笔者不仅会介绍具体步骤，还会解释每个配置项的作用，以及开发环境和生产环境的差异。
-### 10.6.1 架构概览
+### 11.6.1 架构概览
 在开始之前，先看整体架构 (如图 10-1 所示)：
@@ -40,7 +40,7 @@ flowchart TD
 - 两个服务通过 Docker Compose 自动创建的网络相互通信
 - `web` 服务可以通过服务名 `db` 访问数据库 (Docker 内置 DNS)
-### 10.6.2 准备工作
+### 11.6.2 准备工作
 创建一个项目目录并进入：
@@ -50,7 +50,7 @@ $ mkdir django-docker && cd django-docker
 我们需要创建三个文件：`Dockerfile`、`requirements.txt` 和 `compose.yaml`。
-### 10.6.3 步骤 1：创建 Dockerfile
+### 11.6.3 步骤 1：创建 Dockerfile
 如下代码块所示，展示了相关示例：
@@ -90,7 +90,7 @@ COPY . /code/
 > 💡 **笔者建议**：总是将变化频率低的文件先复制，变化频率高的后复制。这样可以最大化利用 Docker 的构建缓存。
-### 10.6.4 步骤 2：创建 requirements.txt
+### 11.6.4 步骤 2：创建 requirements.txt
 如下代码块所示，展示了相关示例：
@@ -108,7 +108,7 @@ gunicorn>=21.0,<22.0
 | `psycopg[binary]` | PostgreSQL 数据库驱动 (推荐使用 psycopg 3)|
 | `gunicorn` | 生产环境 WSGI 服务器 (可选，开发时可不用)|
-### 10.6.5 步骤 3：创建 compose.yaml
+### 11.6.5 步骤 3：创建 compose.yaml
 配置如下：
@@ -192,7 +192,7 @@ web:
 | `depends_on` + `healthcheck` | 启动顺序 | 确保数据库就绪后 Django 才启动，避免连接错误 |
 | `environment` | 环境变量 | 推荐用环境变量管理配置，避免硬编码 |
-### 10.6.6 步骤 4：创建 Django 项目
+### 11.6.6 步骤 4：创建 Django 项目
 运行以下命令创建新的 Django 项目：
@@ -225,7 +225,7 @@ django-docker/
 > 💡 **Linux 用户注意**：如果遇到权限问题，执行 `sudo chown -R $USER:$USER .`
-### 10.6.7 步骤 5：配置数据库连接
+### 11.6.7 步骤 5：配置数据库连接
 修改 `mysite/settings.py`，配置数据库连接：
@@ -252,7 +252,7 @@ ALLOWED_HOSTS = ['*']
 在 Docker Compose 中，各服务通过服务名相互访问。Docker 内置的 DNS 会将 `db` 解析为 db 服务容器的 IP 地址。这是 Docker Compose 的核心功能之一。
-### 10.6.8 步骤 6：启动应用
+### 11.6.8 步骤 6：启动应用
 运行以下命令：
@@ -275,7 +275,7 @@ web-1  | Starting development server at http://0.0.0.0:8000/
 打开浏览器访问 http://localhost:8000，可以看到 Django 欢迎页面！
-### 10.6.9 常用开发命令
+### 11.6.9 常用开发命令
 在另一个终端窗口执行：
@@ -299,7 +299,7 @@ $ docker compose exec db psql -U django_user -d django_db
 > 💡 笔者建议使用 `exec` 而不是 `run`。`exec` 在已运行的容器中执行命令，`run` 会创建新容器。
-### 10.6.10 常见问题排查
+### 11.6.10 常见问题排查
 本节涵盖了相关内容与详细描述，主要探讨以下几个方面：
@@ -338,7 +338,7 @@ $ docker compose logs db
 $ sudo chown -R $USER:$USER .
 ```
-### 10.6.11 开发 vs 生产：关键差异
+### 11.6.11 开发 vs 生产：关键差异
 笔者特别提醒，本节的配置是 **开发环境** 配置。生产环境需要以下调整：
@@ -366,7 +366,7 @@ services:
 ```
-### 10.6.12 延伸阅读
+### 11.6.12 延伸阅读
 - [Compose 模板文件详解](10.5_compose_file.md)：深入理解 Compose 文件的所有配置项
 - [使用 WordPress](10.8_wordpress.md)：另一个 Compose 实战案例
--- a/11_compose/11.7_rails.md
+++ b/11_compose/11.7_rails.md
@@ -1,10 +1,10 @@
-## 10.7 使用 Rails
+## 11.7 使用 Rails
 > 本小节内容适合 Ruby 开发人员阅读。
 本节使用 Docker Compose 配置并运行一个 **Rails + PostgreSQL** 应用。
-### 10.7.1 架构概览
+### 11.7.1 架构概览
 如图 10-2 所示，Rails 与 PostgreSQL 在同一 Compose 网络中协同工作。
@@ -33,7 +33,7 @@ flowchart TD
 图 10-2 Rails + PostgreSQL 的 Compose 架构
-### 10.7.2 准备工作
+### 11.7.2 准备工作
 创建项目目录：
@@ -43,7 +43,7 @@ $ mkdir rails-docker && cd rails-docker
 需要创建三个文件：`Dockerfile`、`Gemfile` 和 `compose.yaml`。
-### 10.7.3 步骤 1：创建 Dockerfile
+### 11.7.3 步骤 1：创建 Dockerfile
 如下代码块所示，展示了相关示例：
@@ -80,7 +80,7 @@ COPY . /myapp
 | `nodejs` | Rails Asset Pipeline 需要 |
 | 先复制 Gemfile | 只有依赖变化时才重新 `bundle install` |
-### 10.7.4 步骤 2：创建 Gemfile
+### 11.7.4 步骤 2：创建 Gemfile
 创建一个初始的 `Gemfile`，稍后会被 `rails new` 覆盖：
@@ -95,7 +95,7 @@ gem 'rails', '~> 7.1'
 $ touch Gemfile.lock
 ```
-### 10.7.5 步骤 3：创建 compose.yaml
+### 11.7.5 步骤 3：创建 compose.yaml
 配置如下：
@@ -133,7 +133,7 @@ volumes:
 | `depends_on: db` | 确保数据库先启动 |
 | `DATABASE_URL` | Rails 12-factor 风格的数据库配置 |
-### 10.7.6 步骤 4：生成 Rails 项目
+### 11.7.6 步骤 4：生成 Rails 项目
 使用 `docker compose run` 生成项目骨架：
@@ -160,7 +160,7 @@ compose.yaml     bin              db               public
 > ⚠️ **Linux 用户**：如遇权限问题，执行 `sudo chown -R $USER:$USER .`
-### 10.7.7 步骤 5：重新构建镜像
+### 11.7.7 步骤 5：重新构建镜像
 由于生成了新的 Gemfile，需要重新构建镜像以安装完整依赖：
@@ -168,7 +168,7 @@ compose.yaml     bin              db               public
 $ docker compose build
 ```
-### 10.7.8 步骤 6：配置数据库连接
+### 11.7.8 步骤 6：配置数据库连接
 修改 `config/database.yml`：
@@ -192,7 +192,7 @@ production:
 > 💡 使用 `DATABASE_URL` 环境变量配置数据库，符合 12-factor 应用原则，便于在不同环境间切换。
-### 10.7.9 步骤 7：启动应用
+### 11.7.9 步骤 7：启动应用
 运行以下命令：
@@ -212,7 +212,7 @@ web-1  | Puma starting in single mode...
 web-1  | * Listening on http://0.0.0.0:3000
 ```
-### 10.7.10 步骤 8：创建数据库
+### 11.7.10 步骤 8：创建数据库
 在另一个终端执行：
@@ -224,7 +224,7 @@ Created database 'myapp_test'
 访问 http://localhost:3000 查看 Rails 欢迎页面。
-### 10.7.11 常用开发命令
+### 11.7.11 常用开发命令
 运行以下命令：
@@ -250,7 +250,7 @@ $ docker compose exec web rails generate scaffold Post title:string body:text
 $ docker compose exec web bash
 ```
-### 10.7.12 常见问题
+### 11.7.12 常见问题
 本节涵盖了相关内容与详细描述，主要探讨以下几个方面：
@@ -281,7 +281,7 @@ $ docker compose exec web rm -f tmp/pids/server.pid
 $ docker compose run --rm web bundle update
 ```
-### 10.7.13 开发 vs 生产
+### 11.7.13 开发 vs 生产
 相关信息如下表：
@@ -292,7 +292,7 @@ $ docker compose run --rm web bundle update
 | 静态资源 | 动态编译 | 预编译 (`rails assets:precompile`) |
 | 数据库密码 | 明文配置 | 使用 Secrets 管理 |
-### 10.7.14 延伸阅读
+### 11.7.14 延伸阅读
 - [使用 Django](10.6_django.md)：Python Web 框架实战
 - [Compose 模板文件](10.5_compose_file.md)：配置详解
--- a/11_compose/11.8_wordpress.md
+++ b/11_compose/11.8_wordpress.md
@@ -1,10 +1,10 @@
-## 10.8 实战 WordPress
+## 11.8 实战 WordPress
 WordPress 是全球最流行的内容管理系统 (CMS)。使用 Docker Compose 可以在几分钟内搭建一个包含数据库、Web 服务和持久化存储的生产级 WordPress 环境。
 ---
-### 10.8.1 项目结构
+### 11.8.1 项目结构
 如下代码块所示，展示了相关示例：
@@ -18,7 +18,7 @@ wordpress/
 ---
-### 10.8.2 编写 `compose.yaml`
+### 11.8.2 编写 `compose.yaml`
 这是一个生产可用的最小化配置：
@@ -79,7 +79,7 @@ networks:
 ---
-### 10.8.3 配置文件详解
+### 11.8.3 配置文件详解
 本节涵盖了相关内容与详细描述，主要探讨以下几个方面：
@@ -115,7 +115,7 @@ max_execution_time = 600
 ---
-### 10.8.4 启动与运行
+### 11.8.4 启动与运行
 1. 启动服务：
@@ -134,7 +134,7 @@ $ docker compose logs -f
 ---
-### 10.8.5 生产环境最佳实践
+### 11.8.5 生产环境最佳实践
 本节涵盖了相关内容与详细描述，主要探讨以下几个方面：
@@ -192,7 +192,7 @@ WordPress 支持 Redis 缓存以提高性能。
 ---
-### 10.8.6 常见问题
+### 11.8.6 常见问题
 本节涵盖了相关内容与详细描述，主要探讨以下几个方面：
@@ -214,7 +214,7 @@ $ docker compose restart wordpress
 ---
-### 10.8.7 延伸阅读
+### 11.8.7 延伸阅读
 - [Compose 模板文件](10.5_compose_file.md)：深入了解配置项
 - [数据卷](../08_data_network/data/volume.md)：理解数据持久化
--- a/11_compose/11.9_lnmp.md
+++ b/11_compose/11.9_lnmp.md
@@ -1,3 +1,3 @@
-## 10.9 使用 Compose 搭建 LNMP 环境
+## 11.9 使用 Compose 搭建 LNMP 环境
 本项目的维护者 [khs1994](https://github.com/khs1994) 的开源项目 [khs1994-docker/lnmp](https://github.com/khs1994-docker/lnmp) 使用 Docker Compose 搭建了一套 LNMP 环境，各位开发者可以参考该项目在 Docker 或 Kubernetes 中运行 LNMP。
--- a/11_compose/README.md
+++ b/11_compose/README.md
@@ -1,4 +1,4 @@
-# 第十章 Docker Compose
+# 第十一章 Docker Compose
 `Docker Compose` 是 Docker 官方编排 (Orchestration) 项目之一，负责快速的部署分布式应用。
--- a/11_compose/demo/app/Dockerfile
+++ b/11_compose/demo/app/Dockerfile
--- a/11_compose/demo/app/app.py
+++ b/11_compose/demo/app/app.py
--- a/11_compose/demo/app/docker-compose.yml
+++ b/11_compose/demo/app/docker-compose.yml
--- a/11_compose/demo/django/.gitignore
+++ b/11_compose/demo/django/.gitignore
--- a/11_compose/demo/django/Dockerfile
+++ b/11_compose/demo/django/Dockerfile
--- a/11_compose/demo/django/docker-compose.yml
+++ b/11_compose/demo/django/docker-compose.yml
--- a/11_compose/demo/django/requirements.txt
+++ b/11_compose/demo/django/requirements.txt
--- a/11_compose/demo/wordpress/docker-compose.yml
+++ b/11_compose/demo/wordpress/docker-compose.yml
--- a/11_compose/summary.md
+++ b/11_compose/summary.md
@@ -0,0 +1,21 @@
 ## 11.10 本章小结
 Docker Compose 是管理多容器应用的利器，通过 YAML 文件声明式地定义服务、网络和数据卷。
 | 概念 | 要点 |
 |------|------|
 | **核心概念** | 服务 (service) 和项目 (project) |
 | **配置文件** | `compose.yaml` (推荐) 或 `docker-compose.yml` |
 | **版本** | Compose V2 为 Go 编写的 CLI 插件，通过 `docker compose` 使用 |
 | **启动** | `docker compose up -d` 启动所有服务 |
 | **停止** | `docker compose down` 停止并移除容器 |
 | **查看状态** | `docker compose ps` 查看服务状态 |
 | **查看日志** | `docker compose logs` 查看服务日志 |
 | **模板文件** | 支持 `services`、`networks`、`volumes` 等顶级配置 |
 ### 11.10.1 延伸阅读
 - [Compose 模板文件](10.5_compose_file.md)：详细模板语法参考
 - [Compose 命令说明](10.4_commands.md)：完整命令列表
 - [网络配置](../09_network/README.md)：Docker 网络基础
 - [数据管理](../08_data/README.md)：数据卷管理
--- a/12_implementation/12.1_arch.md
+++ b/12_implementation/12.1_arch.md
@@ -1,8 +1,8 @@
-## 11.1 基本架构
+## 12.1 基本架构
 Docker 的架构设计简洁而高效，主要由客户端和服务端两部分组成。
-### 11.1.1 核心架构图
+### 12.1.1 核心架构图
 Docker 采用了 **C/S (客户端/服务端)** 架构。Client 向 Daemon 发送请求，Daemon 负责构建、运行和分发容器。
@@ -23,7 +23,7 @@ graph LR
 ---
-### 11.1.2 组件详解
+### 12.1.2 组件详解
 Docker 的内部架构如同洋葱一样分层，每一层专注解决特定问题：
@@ -66,7 +66,7 @@ Docker 的大脑。
 ---
-### 11.1.3 容器启动流程
+### 12.1.3 容器启动流程
 当执行 `docker run -d nginx` 时，内部发生了什么？
@@ -110,7 +110,7 @@ flowchart TD
 ---
-### 11.1.4 Docker Engine v29+ 变化
+### 12.1.4 Docker Engine v29+ 变化
 从 Docker Engine v29 (2025/2026) 开始，架构进一步简化和标准化：
@@ -119,7 +119,7 @@ flowchart TD
 ---
-### 11.1.5 Docker Desktop 架构
+### 12.1.5 Docker Desktop 架构
 在 macOS 和 Windows 上，因为内核差异，架构稍微复杂：
@@ -140,7 +140,7 @@ flowchart TD
 ---
-### 11.1.6 总结
+### 12.1.6 总结
 相关信息如下表：
@@ -152,7 +152,7 @@ flowchart TD
 | **Shim** | 监工 | 保持 IO，允许无守护进程重启 |
 | **Runc** | 工人 | 真正干活 (创建容器)，干完就走 |
-### 11.1.7 延伸阅读
+### 12.1.7 延伸阅读
 - [命名空间](./11.2_namespace.md)：Runc 如何隔离容器
 - [控制组](./11.3_cgroups.md)：Runc 如何限制资源
--- a/12_implementation/12.2_namespace.md
+++ b/12_implementation/12.2_namespace.md
@@ -1,6 +1,6 @@
 命名空间 (Namespace) 是 Linux 内核的一个强大特性，为容器提供了隔离的运行环境。
-## 11.2 什么是 Namespace
+## 12.2 什么是 Namespace
 > **Namespace 是 Linux 内核提供的资源隔离机制，它让容器内的进程仿佛运行在独立的操作系统中。** Namespace 是容器技术的核心基础之一。它回答了一个关键问题：**如何让一个进程 “以为” 自己独占整个系统？**
@@ -24,7 +24,7 @@ flowchart LR
    H4 -. "（实际是宿主机的 1234）" .- C1
 ```
-### 11.2.1 Namespace 的类型
+### 12.2.1 Namespace 的类型
 Linux 内核提供了以下几种 Namespace，Docker 容器使用了全部：
@@ -40,7 +40,7 @@ Linux 内核提供了以下几种 Namespace，Docker 容器使用了全部：
 ---
-### 11.2.2 PID Namespace
+### 12.2.2 PID Namespace
 PID Namespace 负责进程 ID 的隔离，使得容器内的进程彼此不可见。
@@ -75,7 +75,7 @@ PID   USER     COMMAND
 ---
-### 11.2.3 NET Namespace
+### 12.2.3 NET Namespace
 NET Namespace 负责网络栈的隔离，包括网卡、路由表和 iptables 规则等。
@@ -112,7 +112,7 @@ flowchart LR
 ---
-### 11.2.4 MNT Namespace
+### 12.2.4 MNT Namespace
 MNT Namespace 负责文件系统挂载点的隔离，确保容器看到独立的文件系统视图。
@@ -149,7 +149,7 @@ MNT Namespace 负责文件系统挂载点的隔离，确保容器看到独立的
 ---
-### 11.2.5 UTS Namespace
+### 12.2.5 UTS Namespace
 UTS Namespace 主要用于隔离主机名和域名。
@@ -177,7 +177,7 @@ UTS = “UNIX Time-sharing System”，是历史遗留的名称。
 ---
-### 11.2.6 IPC Namespace
+### 12.2.6 IPC Namespace
 IPC Namespace 用于隔离进程间通信资源，如 System V IPC 和 POSIX 消息队列。
@@ -198,7 +198,7 @@ IPC Namespace 用于隔离进程间通信资源，如 System V IPC 和 POSIX 消
 ---
-### 11.2.7 USER Namespace
+### 12.2.7 USER Namespace
 USER Namespace 允许将容器内的用户 ID 映射到宿主机的不同用户 ID。
@@ -236,7 +236,7 @@ flowchart LR
 ---
-### 11.2.8 动手实验：体验 Namespace
+### 12.2.8 动手实验：体验 Namespace
 使用 `unshare` 命令可以在不使用 Docker 的情况下体验 Namespace：
@@ -301,7 +301,7 @@ $ ip addr
 ---
-### 11.2.9 Namespace 的局限性
+### 12.2.9 Namespace 的局限性
 Namespace 提供了隔离但不是安全边界：
--- a/12_implementation/12.3_cgroups.md
+++ b/12_implementation/12.3_cgroups.md
@@ -1,8 +1,8 @@
-## 11.3 控制组
+## 12.3 控制组
 控制组 (Cgroups) 是 Linux 内核提供的另一种关键机制，主要用于资源的限制和审计。
-### 11.3.1 什么是控制组
+### 12.3.1 什么是控制组
 控制组 (Control Groups，简称 cgroups) 是 Linux 内核的一个特性，用于 **限制、记录和隔离** 进程组的资源使用 (CPU、内存、磁盘 I/O、网络等)。
@@ -31,7 +31,7 @@ flowchart LR
 ---
-### 11.3.2 cgroups 的历史
+### 12.3.2 cgroups 的历史
 相关信息如下表：
@@ -44,7 +44,7 @@ flowchart LR
 ---
-### 11.3.3 cgroups 可以限制的资源
+### 12.3.3 cgroups 可以限制的资源
 相关信息如下表：
@@ -58,7 +58,7 @@ flowchart LR
 ---
-### 11.3.4 Docker 中的资源限制
+### 12.3.4 Docker 中的资源限制
 Docker 提供了丰富的参数来配置容器的资源限制，主要包括内存、CPU、磁盘 I/O 等。
@@ -142,7 +142,7 @@ $ docker run --pids-limit=100 myapp
 ---
-### 11.3.5 查看容器资源使用
+### 12.3.5 查看容器资源使用
 运行以下命令：
@@ -165,7 +165,7 @@ $ docker inspect mycontainer --format '{{json .HostConfig}}' | jq
 ---
-### 11.3.6 资源限制的效果
+### 12.3.6 资源限制的效果
 本节涵盖了相关内容与详细描述，主要探讨以下几个方面：
@@ -209,7 +209,7 @@ $ docker run --rm --cpus=1 stress --cpu 4
 ---
-### 11.3.7 cgroups v1 vs v2
+### 12.3.7 cgroups v1 vs v2
 相关信息如下表：
@@ -245,7 +245,7 @@ nodev   cgroup2
 ---
-### 11.3.8 在 Compose 中设置限制
+### 12.3.8 在 Compose 中设置限制
 在 Compose 中设置限制配置如下：
@@ -265,7 +265,7 @@ services:
 ---
-### 11.3.9 最佳实践
+### 12.3.9 最佳实践
 在使用 Cgroups 限制资源时，遵循一些最佳实践可以避免潜在的问题。
--- a/12_implementation/12.4_ufs.md
+++ b/12_implementation/12.4_ufs.md
@@ -1,8 +1,8 @@
-## 11.4 联合文件系统
+## 12.4 联合文件系统
 联合文件系统 (UnionFS) 是 Docker 镜像分层存储的基础，它允许将多个目录挂载为同一个虚拟文件系统。
-### 11.4.1 什么是联合文件系统
+### 12.4.1 什么是联合文件系统
 联合文件系统 (UnionFS) 是一种 **分层、轻量级** 的文件系统，它将多个目录 “联合” 挂载到同一个虚拟目录，形成一个统一的文件系统视图。
@@ -24,7 +24,7 @@ flowchart TD
 ---
-### 11.4.2 为什么 Docker 使用联合文件系统
+### 12.4.2 为什么 Docker 使用联合文件系统
 Docker 选择联合文件系统作为其存储驱动，主要基于以下几个核心优势。
@@ -62,7 +62,7 @@ COPY . .              # 层4：应用代码
 ---
-### 11.4.3 Copy-on-Write (写时复制)
+### 12.4.3 Copy-on-Write (写时复制)
 当容器修改只读层中的文件时：
@@ -92,7 +92,7 @@ flowchart LR
 ---
-### 11.4.4 Docker 支持的存储驱动
+### 12.4.4 Docker 支持的存储驱动
 Docker 可使用多种联合文件系统实现：
@@ -128,7 +128,7 @@ Storage Driver: overlay2
 ---
-### 11.4.5 overlay2 工作原理
+### 12.4.5 overlay2 工作原理
 overlay2 是目前最推荐的存储驱动：
@@ -169,7 +169,7 @@ flowchart TD
 ---
-### 11.4.6 查看镜像层
+### 12.4.6 查看镜像层
 运行以下命令：
@@ -198,7 +198,7 @@ $ docker inspect nginx:alpine --format '{{json .GraphDriver.Data}}' | jq
 ---
-### 11.4.7 最佳实践
+### 12.4.7 最佳实践
 为了构建高效、轻量的镜像，我们在使用联合文件系统时应注意以下几点。
--- a/12_implementation/12.5_container_format.md
+++ b/12_implementation/12.5_container_format.md
@@ -1,3 +1,3 @@
-## 11.5 容器格式
+## 12.5 容器格式
 最初，Docker 采用了 `LXC` 中的容器格式。从 0.7 版本以后开始去除 LXC，转而使用自行开发的 [libcontainer](https://github.com/docker/libcontainer)，从 1.11 开始，则进一步演进为使用 [runC](https://github.com/opencontainers/runc) 和 [containerd](https://github.com/containerd/containerd)。
--- a/12_implementation/12.6_network.md
+++ b/12_implementation/12.6_network.md
@@ -1,8 +1,8 @@
-## 11.6 Docker 网络实现
+## 12.6 Docker 网络实现
 Docker 的网络实现其实就是利用了 Linux 上的网络命名空间和虚拟网络设备 (特别是 veth pair)。建议先熟悉了解这两部分的基本概念再阅读本章。
-### 11.6.1 基本原理
+### 12.6.1 基本原理
 首先，要实现网络通信，机器需要至少一个网络接口 (物理接口或虚拟接口) 来收发数据包；此外，如果不同子网之间要进行通信，需要路由机制。
@@ -11,7 +11,7 @@ Linux 通过在内核中进行数据复制来实现虚拟接口之间的数据
 Docker 容器网络就利用了这项技术。它在本地主机和容器内分别创建一个虚拟接口，并让它们彼此连通 (这样的一对接口叫做 `veth pair`)。
-### 11.6.2 创建网络参数
+### 12.6.2 创建网络参数
 Docker 创建一个容器的时候，会执行如下操作：
@@ -29,7 +29,7 @@ Docker 创建一个容器的时候，会执行如下操作：
 * `--net=container:NAME_or_ID` 让 Docker 将新建容器的进程放到一个已存在容器的网络栈中，新容器进程有自己的文件系统、进程列表和资源限制，但会和已存在的容器共享 IP 地址和端口等网络资源，两者进程可以直接通过 `lo` 环回接口通信。
 * `--net=none` 让 Docker 将新容器放到隔离的网络栈中，但是不进行网络配置。之后，用户可以自己进行配置。
-### 11.6.3 网络配置细节
+### 12.6.3 网络配置细节
 用户使用 `--net=none` 后，可以自行配置网络，让容器达到跟平常一样具有访问网络的权限。通过这个过程，可以了解 Docker 配置网络的细节。
--- a/12_implementation/README.md
+++ b/12_implementation/README.md
@@ -1,4 +1,4 @@
-# 第十一章 底层实现
+# 第十二章 底层实现
 Docker 底层的核心技术包括 Linux 上的命名空间 (Namespaces)、控制组 (Control groups)、Union 文件系统 (Union file systems) 和容器格式 (Container format)。
--- a/12_implementation/summary.md
+++ b/12_implementation/summary.md
@@ -1,4 +1,4 @@
-## 11.7 本章小结
+## 12.7 本章小结
 相关信息如下表：
@@ -11,7 +11,7 @@
 | IPC | 进程间通信 | 容器间 IPC 隔离 |
 | USER | 用户 ID | 容器 root ≠ 宿主机 root |
-### 11.7.1 延伸阅读
+### 12.7.1 延伸阅读
 - [控制组 (Cgroups)](11.3_cgroups.md)：资源限制机制
 - [联合文件系统](11.4_ufs.md)：分层存储的实现
@@ -26,7 +26,7 @@
 | **磁盘 I/O** | `--device-write-bps` | `--device-write-bps /dev/sda:10mb` |
 | **进程数** | `--pids-limit` | `--pids-limit=100` |
-### 11.7.2 延伸阅读
+### 12.7.2 延伸阅读
 - [命名空间](11.2_namespace.md)：资源隔离
 - [安全](../17_security/README.md)：容器安全概述
@@ -39,7 +39,7 @@
 | **overlay2** | Docker 默认推荐的存储驱动 |
 | **分层好处** | 镜像复用、快速构建、快速启动 |
-### 11.7.3 延伸阅读
+### 12.7.3 延伸阅读
 - [镜像](../02_basic_concept/2.1_image.md)：理解镜像分层
 - [容器](../02_basic_concept/2.2_container.md)：容器存储层
--- a/13_kubernetes_concepts/README.md
+++ b/13_kubernetes_concepts/README.md
--- a/13_kubernetes_concepts/_images/k8s_architecture.png
+++ b/13_kubernetes_concepts/_images/k8s_architecture.png
--- a/13_kubernetes_concepts/_images/kube-proxy.png
+++ b/13_kubernetes_concepts/_images/kube-proxy.png
--- a/13_kubernetes_concepts/_images/kubernetes_design.jpg
+++ b/13_kubernetes_concepts/_images/kubernetes_design.jpg
--- a/13_kubernetes_concepts/_images/kubernetes_logo.png
+++ b/13_kubernetes_concepts/_images/kubernetes_logo.png
--- a/13_kubernetes_concepts/advanced.md
+++ b/13_kubernetes_concepts/advanced.md
@@ -1,8 +1,8 @@
-## 12.4 Kubernetes 高级特性
+## 13.4 Kubernetes 高级特性
 掌握了 Kubernetes 的核心概念 (Pod，Service，Deployment) 后，我们需要了解更多高级特性以构建生产级应用。
-### 12.4.1 Helm - 包管理工具
+### 13.4.1 Helm - 包管理工具
 [Helm](https://helm.sh/) 被称为 Kubernetes 的包管理器 (类似于 Linux 的 apt/yum)。它将一组 Kubernetes 资源定义文件打包为一个 **Chart**。
@@ -10,7 +10,7 @@
 *   **版本管理**：轻松回滚应用的发布版本。
 *   **模板化**：支持复杂的应用部署逻辑配置。
-### 12.4.2 Ingress - 服务的入口
+### 13.4.2 Ingress - 服务的入口
 Service 虽然提供了负载均衡，但通常是 4 层 (TCP/UDP)。**Ingress** 提供了 7 层 (HTTP/HTTPS) 路由能力，充当集群的网关。
@@ -20,7 +20,7 @@ Service 虽然提供了负载均衡，但通常是 4 层 (TCP/UDP)。**Ingress**
 常见的 Ingress Controller 有 Nginx Ingress Controller，Traefik，Istio Gateway 等。
-### 12.4.3 Persistent Volume 与 StorageClass
+### 13.4.3 Persistent Volume 与 StorageClass
 容器内的文件是临时的。对于有状态应用 (如数据库)，需要持久化存储。
@@ -28,7 +28,7 @@ Service 虽然提供了负载均衡，但通常是 4 层 (TCP/UDP)。**Ingress**
 *   **PV (Persistent Volume)**：实际的存储资源 (NFS，AWS EBS，Ceph 等)。
 *   **StorageClass**：定义存储类，支持动态创建 PV。
-### 12.4.4 Horizontal Pod Autoscaling
+### 13.4.4 Horizontal Pod Autoscaling
 HPA 根据 CPU 利用率或其他指标 (如内存、自定义指标) 自动扩缩 Deployment 或 ReplicaSet 中的 Pod 数量。
@@ -53,7 +53,7 @@ spec:
        averageUtilization: 50
 ```
-### 12.4.5 ConfigMap 与 Secret
+### 13.4.5 ConfigMap 与 Secret
 *   **ConfigMap**：存储非机密的配置数据 (配置文件、环境变量)。
 *   **Secret**：存储机密数据 (密码、Token、证书)，在 Etcd 中加密存储。
--- a/13_kubernetes_concepts/concepts.md
+++ b/13_kubernetes_concepts/concepts.md
@@ -1,4 +1,4 @@
-## 12.2 基本概念
+## 13.2 基本概念
 如图 12-2 所示，Kubernetes 由控制平面与工作节点构成。
@@ -17,7 +17,7 @@
 * web 界面 (`ux`)：用户可以通过 web 界面操作 Kubernetes。
 * 命令行操作 (`cli`)：`kubectl` 命令。
-### 12.2.1 节点
+### 13.2.1 节点
 在 `Kubernetes` 中，节点是实际工作的点，节点可以是虚拟机或者物理机器，依赖于一个集群环境。每个节点都有一些必要的服务以运行容器组，并且它们都可以通过主节点来管理。必要服务包括 Docker，kubelet 和代理服务。
@@ -69,7 +69,7 @@ Kubernetes 校验节点可用依赖于 ID。在当前的版本中，有两个接
 节点控制有一个同步轮询，主要监听所有云平台的虚拟实例，会根据节点状态创建和删除。可以通过 `--node_sync_period` 标志来控制该轮询。如果一个实例已经创建，节点控制将会为其创建一个结构。同样的，如果一个节点被删除，节点控制也会删除该结构。在 Kubernetes 启动时可用通过 `--machines` 标记来显示指定节点。同样可以使用 `kubectl` 来一条一条的添加节点，两者是相同的。通过设置 `--sync_nodes=false` 标记来禁止集群之间的节点同步，你也可以使用 api/kubectl 命令行来增删节点。
-### 12.2.2 容器组
+### 13.2.2 容器组
 在 Kubernetes 中，使用的最小单位是容器组，容器组是创建，调度，管理的最小单位。一个容器组使用相同的 Docker 容器并共享卷 (挂载点)。一个容器组是一个特定应用的打包集合，包含一个或多个容器。
@@ -179,30 +179,30 @@ Kubernetes 校验节点可用依赖于 ID。在当前的版本中，有两个接
  * 节点控制器标记容器组 `failed`
  * 如果容器组运行在一个控制器下，容器组将会在其他地方重新创建
-### 12.2.3 Replication Controllers
+### 13.2.3 Replication Controllers
 > 注：Replication Controller (RC) 是早期的控制器类型，现代 Kubernetes 更推荐使用 ReplicaSet/Deployment。
-### 12.2.4 服务
+### 13.2.4 服务
 > 注：服务 (Service) 定义一组 Pod 的逻辑集合和访问它们的策略。
-### 12.2.5 卷
+### 13.2.5 卷
 > 注：卷 (Volume) 包含可被 Pod 中容器访问的数据的目录。
-### 12.2.6 标签
+### 13.2.6 标签
 > 注：标签 (Label) 是附加到对象 (如 Pods) 上的键值对，用于组织和选择对象子集。
-### 12.2.7 接口权限
+### 13.2.7 接口权限
 > 注：接口权限通过认证、授权和准入控制来保护 Kubernetes API 的访问。
-### 12.2.8 web 界面
+### 13.2.8 web 界面
 > 注：Kubernetes Dashboard 是一个基于 Web 的用户界面，用于管理集群。
-### 12.2.9 命令行操作
+### 13.2.9 命令行操作
 > 注：kubectl 是 Kubernetes 的命令行工具，用于与集群进行交互。
--- a/13_kubernetes_concepts/design.md
+++ b/13_kubernetes_concepts/design.md
@@ -1,8 +1,8 @@
-## 12.3 架构设计
+## 13.3 架构设计
 任何优秀的项目都离不开优秀的架构设计。本小节将介绍 Kubernetes 在架构方面的设计考虑。
-### 12.3.1 基本考虑
+### 13.3.1 基本考虑
 如果让我们自己从头设计一套容器管理平台，有如下几个方面是很容易想到的：
@@ -11,7 +11,7 @@
 * 一套资源调度系统，管理哪个容器该分配到哪个节点上；
 * 一套对容器内服务进行抽象和 HA 的系统。
-### 12.3.2 运行原理
+### 13.3.2 运行原理
 如图 12-3 所示，该图完整展示了 Kubernetes 的运行原理。
@@ -25,7 +25,7 @@
 从这张图上，我们没有能发现 Kubernetes 中对于控制平面的分布式实现，但是由于数据后端自身就是一套分布式的数据库 Etcd，因此可以很容易扩展到分布式实现。
-### 12.3.3 控制平面
+### 13.3.3 控制平面
 控制平面 (Control Plane) 是 Kubernetes 集群的大脑，负责做出全局决策 (如调度) 以及检测和响应集群事件。
@@ -45,7 +45,7 @@
 组件可以自动的去侦测 Etcd 中的数值变化来获得通知，并且获得更新后的数据来执行相应的操作。
-### 12.3.4 工作节点
+### 13.3.4 工作节点
 * kubelet 是工作节点执行操作的 agent，负责具体的容器生命周期管理，根据从数据库中获取的信息来管理容器，并上报 pod 运行状态等；
 * kube-proxy 是一个简单的网络访问代理，同时也是一个 Load Balancer。它负责将访问到某个服务的请求具体分配给工作节点上的 Pod (同一类标签)。
--- a/13_kubernetes_concepts/intro.md
+++ b/13_kubernetes_concepts/intro.md
@@ -1,4 +1,4 @@
-## 12.1 Kubernetes 简介
+## 13.1 Kubernetes 简介
 如图 12-1 所示，Kubernetes 使用舵手图标作为项目标识。
@@ -6,7 +6,7 @@
 图 12-1 Kubernetes 项目标识
-### 12.1.1 什么是 Kubernetes
+### 13.1.1 什么是 Kubernetes
 Kubernetes (常简称为 K8s) 是 Google 开源的容器编排引擎。如果说 Docker 解决了 “如何打包和运送集装箱” 的问题，那么 Kubernetes 解决的就是 “如何管理海量集装箱的调度、运行和维护” 的问题。
@@ -16,7 +16,7 @@ Kubernetes (常简称为 K8s) 是 Google 开源的容器编排引擎。如果说
 ---
-### 12.1.2 为什么需要 Kubernetes
+### 13.1.2 为什么需要 Kubernetes
 当我们在单机运行几个容器时，Docker Compose 就足够了。但在生产环境中，我们需要面对：
@@ -30,7 +30,7 @@ Kubernetes 完美解决了这些问题。
 ---
-### 12.1.3 核心概念
+### 13.1.3 核心概念
 本节涵盖了相关内容与详细描述，主要探讨以下几个方面：
@@ -56,7 +56,7 @@ Kubernetes 的最小调度单位。一个 Pod 可以包含一个或多个紧密
 ---
-### 12.1.4 Docker 用户如何过渡
+### 13.1.4 Docker 用户如何过渡
 如果你已经熟悉 Docker，学习 K8s 会很容易：
@@ -69,7 +69,7 @@ Kubernetes 的最小调度单位。一个 Pod 可以包含一个或多个紧密
 ---
-### 12.1.5 架构
+### 13.1.5 架构
 Kubernetes 也是 C/S 架构，由 **Control Plane (控制平面)** 和 **Worker Node (工作节点)** 组成：
@@ -78,7 +78,7 @@ Kubernetes 也是 C/S 架构，由 **Control Plane (控制平面)** 和 **Worker
 ---
-### 12.1.6 学习建议
+### 13.1.6 学习建议
 Kubernetes 的学习曲线较陡峭。建议的学习路径：
@@ -89,7 +89,7 @@ Kubernetes 的学习曲线较陡峭。建议的学习路径：
 ---
-### 12.1.7 延伸阅读
+### 13.1.7 延伸阅读
 - [Minikube 安装](../setup/README.md)：本地体验 K8s
 - [Kubernetes 官网](https://kubernetes.io/)：官方文档
--- a/13_kubernetes_concepts/practice.md
+++ b/13_kubernetes_concepts/practice.md
@@ -1,14 +1,14 @@
-## 12.5 Kubernetes 实战练习
+## 13.5 Kubernetes 实战练习
 本章将通过一个具体的案例：部署一个 Nginx 网站，并为其配置 Service 和 Ingress，来串联前面学到的知识。
-### 12.5.1 目标
+### 13.5.1 目标
 1.  部署一个 Nginx Deployment。
 2.  创建一个 Service 暴露 Nginx。
 3.  (可选) 通过 Ingress 访问服务。
-### 12.5.2 步骤 1：创建 Deployment
+### 13.5.2 步骤 1：创建 Deployment
 创建一个名为 `nginx-deployment.yaml` 的文件：
@@ -42,7 +42,7 @@ spec:
 kubectl apply -f nginx-deployment.yaml
 ```
-### 12.5.3 步骤 2：创建 Service
+### 13.5.3 步骤 2：创建 Service
 创建一个名为 `nginx-service.yaml` 的文件：
@@ -75,7 +75,7 @@ kubectl get svc nginx-service
 如果输出端口是 `80:30080/TCP`，你可以通过 `http://<NodeIP>:30080` 访问 Nginx。
-### 12.5.4 步骤 3：模拟滚动更新
+### 13.5.4 步骤 3：模拟滚动更新
 修改 `nginx-deployment.yaml`，将镜像版本改为 `nginx:1.27-alpine`。
@@ -89,7 +89,7 @@ kubectl apply -f nginx-deployment.yaml
 kubectl rollout status deployment/nginx-deployment
 ```
-### 12.5.5 步骤 4：清理资源
+### 13.5.5 步骤 4：清理资源
 练习结束后，记得清理资源：
--- a/13_kubernetes_concepts/summary.md
+++ b/13_kubernetes_concepts/summary.md
@@ -0,0 +1,19 @@
 ## 13.6 本章小结
 Kubernetes 是当前最主流的容器编排平台，其声明式管理模型和丰富的 API 为大规模容器化应用提供了坚实的基础。
 | 概念 | 要点 |
 |------|------|
 | **Pod** | 最小调度单位，包含一组共享网络和存储的容器 |
 | **Deployment** | 管理 Pod 副本集，支持滚动更新和回滚 |
 | **Service** | 为 Pod 提供稳定的网络访问入口和负载均衡 |
 | **Namespace** | 资源隔离和多租户支持 |
 | **ConfigMap/Secret** | 配置与敏感信息的管理 |
 | **Master 节点** | 运行 API Server、Scheduler、Controller Manager |
 | **Worker 节点** | 运行 kubelet、kube-proxy 和容器运行时 |
 ### 13.6.1 延伸阅读
 - [部署 Kubernetes](../14_kubernetes_setup/README.md)：搭建 Kubernetes 集群
 - [Etcd](../15_etcd/README.md)：Kubernetes 使用的分布式存储
 - [底层实现](../12_implementation/README.md)：容器技术原理
--- a/14_kubernetes_setup/README.md
+++ b/14_kubernetes_setup/README.md
--- a/14_kubernetes_setup/dashboard.md
+++ b/14_kubernetes_setup/dashboard.md
@@ -1,10 +1,10 @@
-## 13.7 Kubernetes Dashboard
+## 14.7 Kubernetes Dashboard
 [Kubernetes Dashboard](https://github.com/kubernetes/dashboard) 是基于网页的 Kubernetes 用户界面。
 ![图](https://d33wubrfki0l68.cloudfront.net/349824f68836152722dab89465835e604719caea/6e0b7/images/docs/ui-dashboard.png)
-### 13.7.1 部署
+### 14.7.1 部署
 执行以下命令即可部署 Dashboard：
@@ -12,7 +12,7 @@
 kubectl apply -f https://raw.githubusercontent.com/kubernetes/dashboard/v2.0.0/aio/deploy/recommended.yaml
 ```
-### 13.7.2 访问
+### 14.7.2 访问
 通过命令行代理访问，执行以下命令：
@@ -22,7 +22,7 @@ $ kubectl proxy
 到 http://localhost:8001/api/v1/namespaces/kubernetes-dashboard/services/https:kubernetes-dashboard:/proxy/ 即可访问。
-### 13.7.3 登录
+### 14.7.3 登录
 目前，Dashboard 仅支持使用 Bearer 令牌登录。下面教大家如何创建该令牌：
@@ -40,6 +40,6 @@ echo ${DASHBOARD_LOGIN_TOKEN}
 将结果粘贴到登录页面，即可登录。
-### 13.7.4 参考文档
+### 14.7.4 参考文档
 * [官方文档](https://kubernetes.io/zh/docs/tasks/access-application-cluster/web-ui-dashboard/)
--- a/14_kubernetes_setup/docker-desktop.md
+++ b/14_kubernetes_setup/docker-desktop.md
@@ -1,8 +1,8 @@
-## 13.3 Docker Desktop 启用 Kubernetes
+## 14.3 Docker Desktop 启用 Kubernetes
 使用 Docker Desktop 可以很方便的启用 Kubernetes。
-### 13.3.1 启用 Kubernetes
+### 14.3.1 启用 Kubernetes
 在 Docker Desktop 设置页面，点击 `Kubernetes`，选择 `Enable Kubernetes`，稍等片刻，看到左下方 `Kubernetes` 变为 `running`，Kubernetes 启动成功。
@@ -10,7 +10,7 @@
 > 注意：Kubernetes 的镜像存储在 `registry.k8s.io`，如果国内网络无法直接访问，可以在 Docker Desktop 配置中的 `Docker Engine` 处配置镜像加速器，或者利用国内云服务商的镜像仓库手动拉取镜像并 retag。
-### 13.3.2 测试
+### 14.3.2 测试
 运行以下命令：
--- a/14_kubernetes_setup/k3s.md
+++ b/14_kubernetes_setup/k3s.md
@@ -1,15 +1,15 @@
-## 13.5 K3s - 轻量级 Kubernetes
+## 14.5 K3s - 轻量级 Kubernetes
 [K3s](https://k3s.io/) 是一个轻量级的 Kubernetes 发行版，由 Rancher Labs 开发。它专为边缘计算、物联网、CI、ARM 等资源受限的环境设计。K3s 被打包为单个二进制文件，只有不到 100MB，但通过了 CNCF 的一致性测试。
-### 13.5.1 核心特性
+### 14.5.1 核心特性
 *   **轻量级**：移除过时的、非必须的 Kubernetes 功能 (如传统的云提供商插件)，使用 SQLite 作为默认数据存储 (也支持 Etcd/MySQL/Postgres)。
 *   **单一二进制**：所有组件 (API Server，Controller Manager，Scheduler，Kubelet，Kube-proxy) 打包在一个进程中运行。
 *   **开箱即用**：内置 Helm Controller、Traefik Ingress controller、ServiceLB、Local-Path-Provisioner。
 *   **安全**：默认启用安全配置，基于 TLS 通信。
-### 13.5.2 安装
+### 14.5.2 安装
 K3s 的安装非常简单，官方提供了便捷的安装脚本。
@@ -37,7 +37,7 @@ NAME          STATUS   ROLES                  AGE   VERSION
 k3s-master    Ready    control-plane,master   1m    v1.35.1+k3s1
 ```
-### 13.5.3 快速使用
+### 14.5.3 快速使用
 K3s 内置了 `kubectl` 命令 (通过 `k3s kubectl` 调用)，为了方便，通常会建立别名或配置 `KUBECONFIG`。
@@ -51,7 +51,7 @@ export KUBECONFIG=/etc/rancher/k3s/k3s.yaml
 kubectl get pods -A
 ```
-### 13.5.4 清理卸载
+### 14.5.4 清理卸载
 运行以下命令：
--- a/14_kubernetes_setup/kind.md
+++ b/14_kubernetes_setup/kind.md
@@ -1,8 +1,8 @@
-## 13.4 Kind - Kubernetes IN Docker
+## 14.4 Kind - Kubernetes IN Docker
 [Kind](https://kind.sigs.k8s.io/) (Kubernetes in Docker) 是一个使用 Docker 容器作为节点运行本地 Kubernetes 集群的工具。主要用于测试 Kubernetes 本身，也非常适合本地开发和 CI 环境。
-### 13.4.1 为什么选择 Kind
+### 14.4.1 为什么选择 Kind
 Kind 相比其他本地集群方案 (如 Minikube) 有以下显著优势：
@@ -11,7 +11,7 @@ Kind 相比其他本地集群方案 (如 Minikube) 有以下显著优势：
 *   **多版本支持**：支持指定 Kubernetes 版本进行测试。
 *   **HA 支持**：支持模拟高可用集群 (多 Control Plane)。
-### 13.4.2 安装 Kind
+### 14.4.2 安装 Kind
 Kind 是一个二进制文件，并在 PATH 中即可使用。以下是不同系统的安装方法。
@@ -35,7 +35,7 @@ chmod +x ./kind
 sudo mv ./kind /usr/local/bin/kind
 ```
-### 13.4.3 创建集群
+### 14.4.3 创建集群
 最简单的创建方式：
@@ -49,7 +49,7 @@ kind create cluster
 kind create cluster --name my-cluster
 ```
-### 13.4.4 与集群交互
+### 14.4.4 与集群交互
 Kind 会自动将 kubeconfig 合并到 `~/.kube/config`。
@@ -58,7 +58,7 @@ kubectl cluster-info --context kind-kind
 kubectl get nodes
 ```
-### 13.4.5 高级用法：配置集群
+### 14.4.5 高级用法：配置集群
 创建一个 `kind-config.yaml` 来定制集群，例如映射端口到宿主机：
@@ -81,7 +81,7 @@ nodes:
 kind create cluster --config kind-config.yaml
 ```
-### 13.4.6 删除集群
+### 14.4.6 删除集群
 运行以下命令：
--- a/14_kubernetes_setup/kubeadm-docker.md
+++ b/14_kubernetes_setup/kubeadm-docker.md
@@ -1,4 +1,4 @@
-## 13.2 使用 kubeadm 部署 Kubernetes (使用 Docker)
+## 14.2 使用 kubeadm 部署 Kubernetes (使用 Docker)
 `kubeadm` 提供了 `kubeadm init` 以及 `kubeadm join` 这两个命令，作为快速创建 `Kubernetes` 集群的最佳实践。
@@ -6,11 +6,11 @@
 >
 > 本文档主要用于历史环境/学习目的：如果你确实需要在较新版本中继续使用 Docker Engine，通常需要额外部署 `cri-dockerd` 并在 `kubeadm init/join` 中指定 `--cri-socket`。
-### 13.2.1 安装 Docker
+### 14.2.1 安装 Docker
 参考[安装 Docker](../../03_install/README.md) 一节安装 Docker。
-### 13.2.2 安装 **kubelet****kubeadm****kubectl**
+### 14.2.2 安装 **kubelet****kubeadm****kubectl**
 需要在每台机器上安装以下的软件包：
@@ -56,7 +56,7 @@ EOF
 $ sudo yum install -y kubelet kubeadm kubectl
 ```
-### 13.2.3 修改内核的运行参数
+### 14.2.3 修改内核的运行参数
 本节涵盖了相关内容与详细描述，主要探讨以下几个方面：
@@ -99,7 +99,7 @@ EOF
 $ sysctl --system
 ```
-### 13.2.4 配置 kubelet
+### 14.2.4 配置 kubelet
 为了让 kubelet 正确运行，我们需要对其进行一些必要的配置。
@@ -127,7 +127,7 @@ ExecStartPre=-/sbin/modprobe ip_vs_sh
 $ sudo systemctl daemon-reload
 ```
-### 13.2.5 部署
+### 14.2.5 部署
 安装配置完成后，我们将分别在 Master 节点和 Worker 节点上进行部署操作。
@@ -182,7 +182,7 @@ $ kubeadm join 192.168.199.100:6443 --token cz81zt.orsy9gm9v649e5lf \
    --discovery-token-ca-cert-hash sha256:5edb316fd0d8ea2792cba15cdf1c899a366f147aa03cba52d4e5c5884ad836fe
 ```
-### 13.2.6 查看服务
+### 14.2.6 查看服务
 所有服务启动后，查看本地实际运行的 Docker 容器。这些服务大概分为三类：主节点服务、工作节点服务和其它服务。
@@ -202,7 +202,7 @@ $ kubeadm join 192.168.199.100:6443 --token cz81zt.orsy9gm9v649e5lf \
 * Etcd 是所有状态的存储数据库；
-### 13.2.7 使用
+### 14.2.7 使用
 将 `/etc/kubernetes/admin.conf` 复制到 `~/.kube/config`
@@ -210,7 +210,7 @@ $ kubeadm join 192.168.199.100:6443 --token cz81zt.orsy9gm9v649e5lf \
 由于未部署 CNI 插件，CoreDNS 未正常启动。如何使用 Kubernetes，请参考后续章节。
-### 13.2.8 部署 CNI
+### 14.2.8 部署 CNI
 这里以 `flannel` 为例进行介绍。
@@ -235,7 +235,7 @@ $ kubectl get node -o yaml | grep CIDR
 $ kubectl apply -f https://raw.githubusercontent.com/flannel-io/flannel/v0.26.1/Documentation/kube-flannel.yml
 ```
-### 13.2.9 master 节点默认不能运行 pod
+### 14.2.9 master 节点默认不能运行 pod
 如果用 `kubeadm` 部署一个单节点集群，默认情况下无法使用，请执行以下命令解除限制
@@ -253,6 +253,6 @@ $ kubectl taint nodes --all node-role.kubernetes.io/master-
 ...
 ```
-### 13.2.10 参考文档
+### 14.2.10 参考文档
 * [官方文档](https://kubernetes.io/zh/docs/setup/production-environment/tools/kubeadm/install-kubeadm/)
--- a/14_kubernetes_setup/kubeadm.md
+++ b/14_kubernetes_setup/kubeadm.md
@@ -1,10 +1,10 @@
-## 13.1 使用 kubeadm 部署 Kubernetes (CRI 使用 containerd)
+## 14.1 使用 kubeadm 部署 Kubernetes (CRI 使用 containerd)
 `kubeadm` 提供了 `kubeadm init` 以及 `kubeadm join` 这两个命令，作为快速创建 `Kubernetes` 集群的最佳实践。
 > **版本说明**：Kubernetes 版本更新较快 (约每 4 个月一个新版本)，本文档基于 Kubernetes 1.35 编写。请访问 [Kubernetes 官方发布页](https://kubernetes.io/releases/)获取最新版本信息。
-### 13.1.1 安装 containerd
+### 14.1.1 安装 containerd
 参考[安装 Docker](../../03_install/README.md) 一节添加 apt/yum 源，之后执行如下命令。
@@ -18,7 +18,7 @@ $ sudo apt install containerd.io
 $ sudo yum install containerd.io
 ```
-### 13.1.2 配置 containerd
+### 14.1.2 配置 containerd
 新建 `/etc/systemd/system/cri-containerd.service` 文件
@@ -228,7 +228,7 @@ oom_score = 0
    async_remove = false
 ```
-### 13.1.3 安装 **kubelet****kubeadm****kubectl****cri-tools****kubernetes-cni**
+### 14.1.3 安装 **kubelet****kubeadm****kubectl****cri-tools****kubernetes-cni**
 需要在每台机器上安装以下的软件包：
@@ -274,7 +274,7 @@ EOF
 $ sudo yum install -y kubelet kubeadm kubectl cri-tools kubernetes-cni
 ```
-### 13.1.4 修改内核的运行参数
+### 14.1.4 修改内核的运行参数
 本节涵盖了相关内容与详细描述，主要探讨以下几个方面：
@@ -317,7 +317,7 @@ EOF
 $ sysctl --system
 ```
-### 13.1.5 配置 kubelet
+### 14.1.5 配置 kubelet
 为了让 kubelet 正确运行，我们需要对其进行一些必要的配置。
@@ -345,7 +345,7 @@ ExecStartPre=-/sbin/modprobe ip_vs_sh
 $ sudo systemctl daemon-reload
 ```
-### 13.1.6 部署
+### 14.1.6 部署
 安装配置完成后，我们将分别在 Master 节点和 Worker 节点上进行部署操作。
@@ -412,7 +412,7 @@ $ kubeadm join 192.168.199.100:6443 \
    --cri-socket /run/cri-containerd/cri-containerd.sock
 ```
-### 13.1.7 查看服务
+### 14.1.7 查看服务
 所有服务启动后，通过 `crictl` 查看本地实际运行的容器。这些服务大概分为三类：主节点服务、工作节点服务和其它服务。
@@ -436,7 +436,7 @@ CONTAINER_RUNTIME_ENDPOINT=/run/cri-containerd/cri-containerd.sock crictl ps -a
 * Etcd 是所有状态的存储数据库；
-### 13.1.8 使用
+### 14.1.8 使用
 将 `/etc/kubernetes/admin.conf` 复制到 `~/.kube/config`
@@ -444,7 +444,7 @@ CONTAINER_RUNTIME_ENDPOINT=/run/cri-containerd/cri-containerd.sock crictl ps -a
 由于未部署 CNI 插件，CoreDNS 未正常启动。如何使用 Kubernetes，请参考后续章节。
-### 13.1.9 部署 CNI
+### 14.1.9 部署 CNI
 这里以 `flannel` 为例进行介绍。
@@ -469,7 +469,7 @@ $ kubectl get node -o yaml | grep CIDR
 $ kubectl apply -f https://raw.githubusercontent.com/flannel-io/flannel/v0.26.1/Documentation/kube-flannel.yml
 ```
-### 13.1.10 master 节点默认不能运行 pod
+### 14.1.10 master 节点默认不能运行 pod
 如果用 `kubeadm` 部署一个单节点集群，默认情况下无法使用，请执行以下命令解除限制
@@ -487,7 +487,7 @@ $ kubectl taint nodes --all node-role.kubernetes.io/master-
 ...
 ```
-### 13.1.11 参考文档
+### 14.1.11 参考文档
 * [官方文档](https://kubernetes.io/zh/docs/setup/production-environment/tools/kubeadm/install-kubeadm/)
 * [Container runtimes](https://kubernetes.io/docs/setup/production-environment/container-runtimes/#containerd)
--- a/14_kubernetes_setup/kubectl.md
+++ b/14_kubernetes_setup/kubectl.md
@@ -8,74 +8,74 @@ kubectl [flags]
 kubectl [command]
 ```
-## 13.8 get
+## 14.8 get
 显示一个或多个资源
-## 13.8 describe
+## 14.8 describe
 显示资源详情
-## 13.8 create
+## 14.8 create
 从文件或标准输入创建资源
-## 13.8 update
+## 14.8 update
 从文件或标准输入更新资源
-## 13.8 delete
+## 14.8 delete
 通过文件名、标准输入、资源名或者 label selector 删除资源
-## 13.8 logs
+## 14.8 logs
 输出 pod 中一个容器的日志
-## 13.8 rollout
+## 14.8 rollout
 对 Deployment 等资源执行滚动更新/回滚
-## 13.8 exec
+## 14.8 exec
 在容器内部执行命令
-## 13.8 port-forward
+## 14.8 port-forward
 将本地端口转发到 Pod
-## 13.8 proxy
+## 14.8 proxy
 为 Kubernetes API server 启动代理服务器
-## 13.8 run
+## 14.8 run
 在集群中使用指定镜像启动容器
-## 13.8 expose
+## 14.8 expose
 将 replication controller service 或 pod 暴露为新的 Kubernetes service
-## 13.8 label
+## 14.8 label
 更新资源的 label
-## 13.8 config
+## 14.8 config
 修改 Kubernetes 配置文件
-## 13.8 cluster-info
+## 14.8 cluster-info
 显示集群信息
-## 13.8 api-versions
+## 14.8 api-versions
 以 “组/版本” 的格式输出服务端支持的 API 版本
-## 13.8 version
+## 14.8 version
 输出服务端和客户端的版本信息
-## 13.8 help
+## 14.8 help
 显示各个命令的帮助信息
--- a/14_kubernetes_setup/summary.md
+++ b/14_kubernetes_setup/summary.md
@@ -0,0 +1,17 @@
 ## 14.9 本章小结
 部署 Kubernetes 集群有多种方式，应根据使用场景选择合适的方案。
 | 部署方式 | 适用场景 | 特点 |
 |---------|---------|------|
 | **kubeadm** | 生产环境 | 官方推荐的集群部署工具 |
 | **Docker Desktop** | 本地开发 | 一键启用，开箱即用 |
 | **Kind** | CI/CD 测试 | Kubernetes IN Docker，快速创建集群 |
 | **K3s** | 边缘计算/IoT | 轻量级，资源占用少 |
 | **手动部署** | 学习原理 | 逐步配置每个组件，加深理解 |
 ### 14.9.1 延伸阅读
 - [容器编排基础](../13_kubernetes_concepts/README.md)：Kubernetes 核心概念
 - [Dashboard](dashboard.md)：部署可视化管理界面
 - [kubectl](kubectl.md)：命令行工具使用指南
--- a/14_kubernetes_setup/systemd.md
+++ b/14_kubernetes_setup/systemd.md
@@ -1,3 +1,3 @@
-## 13.6 一步步部署 Kubernetes 集群
+## 14.6 一步步部署 Kubernetes 集群
 可以参考 [opsnull/follow-me-install-kubernetes-cluster](https://github.com/opsnull/follow-me-install-kubernetes-cluster) 项目一步步部署 Kubernetes 集群。
--- a/15_etcd/README.md
+++ b/15_etcd/README.md
--- a/15_etcd/_images/etcd_logo.png
+++ b/15_etcd/_images/etcd_logo.png
--- a/15_etcd/cluster.md
+++ b/15_etcd/cluster.md
@@ -1,4 +1,4 @@
-## 14.3 etcd 集群
+## 15.3 etcd 集群
 下面我们使用 [Docker Compose](../../10_compose/README.md) 模拟启动一个 3 节点的 `etcd` 集群。
--- a/15_etcd/demo/cluster/docker-compose.yml
+++ b/15_etcd/demo/cluster/docker-compose.yml
--- a/15_etcd/etcdctl.md
+++ b/15_etcd/etcdctl.md
@@ -1,4 +1,4 @@
-## 14.4 使用 etcdctl
+## 15.4 使用 etcdctl
 `etcdctl` 是一个命令行客户端，它能提供一些简洁的命令，供用户直接跟 `etcd` 服务打交道，而无需基于 `HTTP API` 方式。这在某些情况下将很方便，例如用户对服务进行测试或者手动修改数据库内容。我们也推荐在刚接触 `etcd` 时通过 `etcdctl` 命令来熟悉相关的操作，这些操作跟 `HTTP API` 实际上是对应的。
@@ -81,7 +81,7 @@ OPTIONS:
  -w, --write-out="simple"			set the output format (fields, json, protobuf, simple, table)
 ```
-### 14.4.1 数据库操作
+### 15.4.1 数据库操作
 数据库操作围绕对键值和目录的 CRUD (符合 REST 风格的一套操作：Create) 完整生命周期的管理。
@@ -125,7 +125,7 @@ $ etcdctl del testkey
 1
 ```
-### 14.4.2 非数据库操作
+### 15.4.2 非数据库操作
 本节涵盖了相关内容与详细描述，主要探讨以下几个方面：
--- a/15_etcd/install.md
+++ b/15_etcd/install.md
@@ -1,4 +1,4 @@
-## 14.2 安装
+## 15.2 安装
 本节将介绍 etcd 的几种常见安装方式，包括二进制安装、Docker 镜像运行以及在 macOS 上的安装。
@@ -6,7 +6,7 @@
 >注意：本章节内容基于 etcd `3.4.x` 版本
-### 14.2.1 二进制文件方式下载
+### 15.2.1 二进制文件方式下载
 编译好的二进制文件都在 [github.com/etcd-io/etcd/releases](https://github.com/etcd-io/etcd/releases/) 页面，用户可以选择需要的版本，或通过下载工具下载。
@@ -61,7 +61,7 @@ hello world
 说明 etcd 服务已经成功启动了。
-### 14.2.2 Docker 镜像方式运行
+### 15.2.2 Docker 镜像方式运行
 镜像名称为 `quay.io/coreos/etcd`，可以通过下面的命令启动 `etcd` 服务监听到 `2379` 和 `2380` 端口。
@@ -89,7 +89,7 @@ quay.io/coreos/etcd:v3.4.0 \
 打开新的终端按照上一步的方法测试 `etcd` 是否成功启动。
-### 14.2.3 macOS 中运行
+### 15.2.3 macOS 中运行
 运行以下命令：
--- a/15_etcd/intro.md
+++ b/15_etcd/intro.md
@@ -1,4 +1,4 @@
-## 14.1 简介
+## 15.1 简介
 如图 12-5 所示，etcd 项目使用该标识。
--- a/15_etcd/summary.md
+++ b/15_etcd/summary.md
@@ -0,0 +1,17 @@
 ## 15.5 本章小结
 etcd 是 Kubernetes 的核心存储组件，为分布式系统提供可靠的键值存储和服务发现能力。
 | 概念 | 要点 |
 |------|------|
 | **定位** | 分布式键值存储系统，用于配置管理和服务发现 |
 | **协议** | 基于 Raft 一致性算法，保证数据强一致 |
 | **API** | 提供 gRPC 和 HTTP API |
 | **集群** | 建议使用奇数节点 (3 或 5 个) 部署 |
 | **etcdctl** | 命令行管理工具，支持 put/get/del/watch 等操作 |
 | **安全** | 支持 TLS 加密通信和 RBAC 访问控制 |
 ### 15.5.1 延伸阅读
 - [容器编排基础](../13_kubernetes_concepts/README.md)：Kubernetes 如何使用 etcd
 - [部署 Kubernetes](../14_kubernetes_setup/README.md)：在集群中部署 etcd
--- a/16_cloud/README.md
+++ b/16_cloud/README.md
--- a/16_cloud/_images/ECS.jpg
+++ b/16_cloud/_images/ECS.jpg
--- a/16_cloud/_images/aliyun-logo.png
+++ b/16_cloud/_images/aliyun-logo.png
--- a/16_cloud/_images/aws-logo.jpg
+++ b/16_cloud/_images/aws-logo.jpg
--- a/16_cloud/_images/qcloud-logo.jpg
+++ b/16_cloud/_images/qcloud-logo.jpg
--- a/16_cloud/alicloud.md
+++ b/16_cloud/alicloud.md
@@ -1,4 +1,4 @@
-## 15.3 阿里云
+## 16.3 阿里云
 如图 13-3 所示，阿里云是国内主流云服务平台之一。
--- a/16_cloud/aws.md
+++ b/16_cloud/aws.md
@@ -1,4 +1,4 @@
-## 15.4 亚马逊云
+## 16.4 亚马逊云
 如图 13-1 所示，AWS 是全球主流云服务平台之一。
--- a/16_cloud/intro.md
+++ b/16_cloud/intro.md
@@ -1,22 +1,22 @@
-## 15.1 简介
+## 16.1 简介
 随着容器技术的普及，目前主流的云计算服务商都提供了成熟的容器服务。与容器相关的云计算服务主要分为以下几种类型：
-### 15.1.1 容器编排托管服务
+### 16.1.1 容器编排托管服务
 这是目前最主流的形式。云厂商托管 Kubernetes 的控制平面 (Master 节点)，用户只需管理工作节点 (Worker Node)。
 * **优势**：降低了 Kubernetes 集群的维护成本，高可用性由厂商保证。
 * **典型服务**：AWS EKS，Azure AKS，Google GKE，阿里云 ACK，腾讯云 TKE。
-### 15.1.2 容器实例服务
+### 16.1.2 容器实例服务
 这一类服务通常被称为 CaaS (Container as a Service)。用户无需管理底层服务器 (EC2/CVM)，只需提供镜像和配置即可运行容器。
 * **优势**：极致的弹性，按秒计费，零运维。
 * **典型服务**：AWS Fargate，Azure Container Instances，Google Cloud Run，阿里云 ECI。
-### 15.1.3 镜像仓库服务
+### 16.1.3 镜像仓库服务
 提供安全、可靠的私有 Docker 镜像存储服务，通常与云厂商的 CI/CD 流水线深度集成。
--- a/16_cloud/multicloud.md
+++ b/16_cloud/multicloud.md
@@ -1,8 +1,8 @@
-## 15.6 多云部署策略比较
+## 16.6 多云部署策略比较
 企业在选择容器云平台时，通常会在 AWS EKS，Azure AKS，Google GKE 以及国内的阿里云 ACK，腾讯云 TKE 之间进行权衡。
-### 15.6.1 三大公有云 Kubernetes 服务对比
+### 16.6.1 三大公有云 Kubernetes 服务对比
 相关信息如下表：
@@ -14,7 +14,7 @@
 | **网络模型** | VPC-native, 性能优秀 | AWS VPC CNI, Pod 直接获取 VPC IP | Azure CNI (消耗 IP 多) 或 Kubenet |
 | **集成度** | 与 GCP 数据分析、AI 服务集成紧密 | 与 AWS IAM, ALB, CloudWatch 集成深度高 | 与 Active Directory, Azure DevOps 集成好 |
-### 15.6.2 多云部署策略
+### 16.6.2 多云部署策略
 随着企业业务的扩展，单一云平台可能无法满足所有需求，多云部署成为趋势。
@@ -38,7 +38,7 @@
 * **工具**：Google Anthos，AWS Outposts，Azure Arc 都是为了解决混合云统一管理而生。
-### 15.6.3 建议
+### 16.6.3 建议
 * **技术选型**：尽量使用标准的 Kubernetes API，避免过度依赖特定云厂商的 CRD 或专有服务，以保持应用的可移植性。
 * **IaC 管理**：使用 Terraform 或 Pulumi 等工具统一管理多云基础设施。
--- a/16_cloud/summary.md
+++ b/16_cloud/summary.md
@@ -1,4 +1,4 @@
-## 15.5 本章小结
+## 16.5 本章小结
 本章介绍了公有云服务对 Docker 的积极支持，以及新出现的容器云平台。
--- a/16_cloud/tencentCloud.md
+++ b/16_cloud/tencentCloud.md
@@ -1,4 +1,4 @@
-## 15.2 腾讯云
+## 16.2 腾讯云
 如图 13-5 所示，腾讯云提供完整的云基础设施与容器能力。
--- a/17_ecosystem/README.md
+++ b/17_ecosystem/README.md
@@ -1,4 +1,4 @@
-# 第十六章 容器其它生态
+# 第十七章 容器其它生态
 本章将介绍 Docker 和 Kubernetes 之外的容器生态技术。
--- a/17_ecosystem/coreos_README.md
+++ b/17_ecosystem/coreos_README.md
--- a/17_ecosystem/coreos_install.md
+++ b/17_ecosystem/coreos_install.md
@@ -1,12 +1,12 @@
-## 16.2 安装 Fedora CoreOS
+## 17.2 安装 Fedora CoreOS
 本节涵盖了相关内容与详细描述，主要探讨以下几个方面：
-### 16.2.1 下载 ISO
+### 17.2.1 下载 ISO
 在[下载页面](https://getfedora.org/coreos/download/) `Bare Metal & Virtualized` 标签页下载 ISO。
-### 16.2.2 编写 FCC
+### 17.2.2 编写 FCC
 FCC 是 Fedora CoreOS Configuration (Fedora CoreOS 配置) 的简称。
@@ -24,7 +24,7 @@ passwd:
 将 `ssh-rsa AAAA...` 替换为自己的 SSH 公钥 (位于 `~/.ssh/id_rsa.pub`)。
-### 16.2.3 转换 FCC 为 Ignition
+### 17.2.3 转换 FCC 为 Ignition
 运行以下命令：
@@ -32,7 +32,7 @@ passwd:
 $ docker run -i --rm quay.io/coreos/fcct:v0.5.0 --pretty --strict < example.fcc > example.ign
 ```
-### 16.2.4 挂载 ISO 启动虚拟机并安装
+### 17.2.4 挂载 ISO 启动虚拟机并安装
 > 虚拟机需要分配 3GB 以上内存，否则会无法启动。
@@ -44,7 +44,7 @@ $ sudo coreos-installer install /dev/sda --ignition-file example.ign
 安装之后重新启动即可使用。
-### 16.2.5 使用
+### 17.2.5 使用
 运行以下命令：
@@ -54,6 +54,6 @@ $ ssh core@虚拟机IP
 $ docker --version
 ```
-### 16.2.6 参考链接
+### 17.2.6 参考链接
 * [官方文档](https://docs.fedoraproject.org/en-US/fedora-coreos/bare-metal/)
--- a/17_ecosystem/coreos_intro.md
+++ b/17_ecosystem/coreos_intro.md
@@ -1,8 +1,8 @@
-## 16.1 Fedora CoreOS 介绍
+## 17.1 Fedora CoreOS 介绍
 [Fedora CoreOS](https://getfedora.org/coreos/) 是一个自动更新的，最小的，整体的，以容器为中心的操作系统，不仅适用于集群，而且可独立运行，并针对运行 Kubernetes 进行了优化。它旨在结合 CoreOS Container Linux 和 Fedora Atomic Host 的优点，将 Container Linux 中的 [Ignition](https://github.com/coreos/ignition) 与 [rpm-ostree](https://github.com/coreos/rpm-ostree) 和 Project Atomic 中的 SELinux 强化等技术相集成。其目标是提供最佳的容器主机，以安全，大规模地运行容器化的工作负载。
-### 16.1.1 FCOS 特性
+### 17.1.1 FCOS 特性
 本节涵盖了相关内容与详细描述，主要探讨以下几个方面：
@@ -24,7 +24,7 @@ FCOS 使用 rpm-ostree 系统进行事务性升级。无需像 yum 升级那样
 对于诸如构建，复制和其他管理容器的任务，FCOS 用一组容器工具代替了 **Docker CLI**。**podman CLI** 工具支持许多容器运行时功能，例如运行，启动，停止，列出和删除容器和镜像。**skopeo CLI** 工具可以复制，认证和签名镜像。您还可以使用 **crictl CLI** 工具来处理 CRI-O 容器引擎中的容器和镜像。
-### 16.1.2 参考文档
+### 17.1.2 参考文档
 * [官方文档](https://docs.fedoraproject.org/en-US/fedora-coreos/)
 * [openshift 官方文档](https://docs.openshift.com/container-platform/4.3/architecture/architecture-rhcos.html)
--- a/17_ecosystem/demo/example.fcc
+++ b/17_ecosystem/demo/example.fcc
--- a/17_ecosystem/podman.md
+++ b/17_ecosystem/podman.md
@@ -2,7 +2,7 @@
 [`podman`](https://github.com/containers/podman) 是一个无守护进程、与 Docker 命令高度兼容的下一代 Linux 容器工具。它由 Red Hat 开发，旨在提供一个更安全的容器运行环境。
-## 16.3 Podman vs Docker
+## 17.3 Podman vs Docker
 Podman 和 Docker 在设计理念上存在显著差异，主要体现在架构和权限模型上。
@@ -13,11 +13,11 @@ Podman 和 Docker 在设计理念上存在显著差异，主要体现在架构
 | **生态** | 完整的生态系统 (Compose, Swarm) | 专注单机容器，配合 Kubernetes 使用 |
 | **镜像构建** | `docker build` | `podman build` 或 `buildah` |
-## 16.3 安装
+## 17.3 安装
 Podman 支持多种操作系统，安装过程也相对简单。
-### 16.3.1 CentOS / RHEL
+### 17.3.1 CentOS / RHEL
 运行以下命令：
@@ -25,7 +25,7 @@ Podman 支持多种操作系统，安装过程也相对简单。
 $ sudo yum -y install podman
 ```
-### 16.3.2 macOS
+### 17.3.2 macOS
 macOS 上需要安装 Podman Desktop 或通过 Homebrew 安装：
@@ -35,11 +35,11 @@ $ podman machine init
 $ podman machine start
 ```
-## 16.3 使用
+## 17.3 使用
 `podman` 的命令行几乎与 `docker` 完全兼容，大多数情况下，你只需将 `docker` 替换为 `podman` 即可。
-### 16.3.1 运行容器
+### 17.3.1 运行容器
 运行以下命令：
@@ -49,7 +49,7 @@ $ podman machine start
 $ podman run -d -p 80:80 nginx:alpine
 ```
-### 16.3.2 列出容器
+### 17.3.2 列出容器
 运行以下命令：
@@ -57,7 +57,7 @@ $ podman run -d -p 80:80 nginx:alpine
 $ podman ps
 ```
-### 16.3.3 构建镜像
+### 17.3.3 构建镜像
 运行以下命令：
@@ -65,7 +65,7 @@ $ podman ps
 $ podman build -t myimage .
 ```
-## 16.3 Pods 的概念
+## 17.3 Pods 的概念
 与 Docker 不同，Podman 支持 “Pod” 的概念 (类似于 Kubernetes 的 Pod)，允许你在同一个网络命名空间中运行多个容器。
@@ -79,7 +79,7 @@ $ podman pod create --name mypod -p 8080:80
 $ podman run -d --pod mypod --name webbing nginx
 ```
-## 16.3 迁移到 Podman
+## 17.3 迁移到 Podman
 如果你习惯使用 `docker` 命令，可以简单地设置别名：
@@ -87,7 +87,7 @@ $ podman run -d --pod mypod --name webbing nginx
 $ alias docker=podman
 ```
-### 16.3.1 进阶用法
+### 17.3.1 进阶用法
 本节涵盖了相关内容与详细描述，主要探讨以下几个方面：
@@ -118,7 +118,7 @@ $ pip3 install podman-compose
 $ podman-compose up -d
 ```
-### 16.3.2 参考
+### 17.3.2 参考
 * [Podman 官方网站](https://podman.io/)
 * [Podman GitHub 仓库](https://github.com/containers/podman)
--- a/17_ecosystem/summary.md
+++ b/17_ecosystem/summary.md
@@ -0,0 +1,25 @@
 ## 17.4 本章小结
 Docker 并非容器生态的唯一选择，了解其他工具有助于根据场景做出合适的技术选型。
 | 项目 | 定位 | 特点 |
 |------|------|------|
 | **Fedora CoreOS** | 容器化操作系统 | 自动更新、不可变基础设施、专为运行容器设计 |
 | **Podman** | 容器引擎 | 无守护进程、兼容 Docker CLI、支持 Rootless 模式 |
 ### 17.4.1 Podman vs Docker
 两者的主要区别：
 | 对比项 | Docker | Podman |
 |--------|--------|--------|
 | **守护进程** | 需要 dockerd | 无需守护进程 |
 | **权限** | 默认需要 root | 原生支持 Rootless |
 | **CLI 兼容** | - | 与 Docker 命令兼容 |
 | **Pod 支持** | 不支持 | 原生支持 Pod 概念 |
 | **Compose** | docker compose | podman-compose 或兼容模式 |
 ### 17.4.2 延伸阅读
 - [底层实现](../12_implementation/README.md)：容器技术的内核基础
 - [安全](../18_security/README.md)：容器安全实践
--- a/18_security/README.md
+++ b/18_security/README.md
--- a/18_security/control_group.md
+++ b/18_security/control_group.md
@@ -1,4 +1,4 @@
-## 17.2 控制组
+## 18.2 控制组
 控制组是 Linux 容器机制的另外一个关键组件，负责实现资源的审计和限制。
--- a/18_security/daemon_sec.md
+++ b/18_security/daemon_sec.md
@@ -1,4 +1,4 @@
-## 17.3 Docker 服务端的防护
+## 18.3 Docker 服务端的防护
 运行一个容器或应用程序的核心是通过 Docker 服务端。Docker 服务的运行目前需要 root 权限，因此其安全性十分关键。
--- a/Show More
+++ b/Show More
`@@ -1,4 +1,4 @@`
	`# 第九章 Docker Buildx`	`# 第十章 Docker Buildx`

	`Docker Buildx 是一个 docker CLI 插件，其扩展了 docker 命令，支持 [Moby BuildKit](9.1_buildkit.md) 提供的功能。提供了与 docker build 相同的用户体验，并增加了许多新功能。`	`Docker Buildx 是一个 docker CLI 插件，其扩展了 docker 命令，支持 [Moby BuildKit](9.1_buildkit.md) 提供的功能。提供了与 docker build 相同的用户体验，并增加了许多新功能。`
`@@ -1,3 +1,3 @@`
	`## 10.9 使用 Compose 搭建 LNMP 环境`	`## 11.9 使用 Compose 搭建 LNMP 环境`

	`本项目的维护者 [khs1994](https://github.com/khs1994) 的开源项目 [khs1994-docker/lnmp](https://github.com/khs1994-docker/lnmp) 使用 Docker Compose 搭建了一套 LNMP 环境，各位开发者可以参考该项目在 Docker 或 Kubernetes 中运行 LNMP。`	`本项目的维护者 [khs1994](https://github.com/khs1994) 的开源项目 [khs1994-docker/lnmp](https://github.com/khs1994-docker/lnmp) 使用 Docker Compose 搭建了一套 LNMP 环境，各位开发者可以参考该项目在 Docker 或 Kubernetes 中运行 LNMP。`
`@@ -1,4 +1,4 @@`
	`# 第十章 Docker Compose`	`# 第十一章 Docker Compose`

	`Docker Compose` 是 Docker 官方编排 (Orchestration) 项目之一，负责快速的部署分布式应用。	`Docker Compose` 是 Docker 官方编排 (Orchestration) 项目之一，负责快速的部署分布式应用。
`@@ -1,3 +1,3 @@`
	`## 11.5 容器格式`	`## 12.5 容器格式`

	最初，Docker 采用了 `LXC` 中的容器格式。从 0.7 版本以后开始去除 LXC，转而使用自行开发的 [libcontainer](https://github.com/docker/libcontainer)，从 1.11 开始，则进一步演进为使用 [runC](https://github.com/opencontainers/runc) 和 [containerd](https://github.com/containerd/containerd)。	最初，Docker 采用了 `LXC` 中的容器格式。从 0.7 版本以后开始去除 LXC，转而使用自行开发的 [libcontainer](https://github.com/docker/libcontainer)，从 1.11 开始，则进一步演进为使用 [runC](https://github.com/opencontainers/runc) 和 [containerd](https://github.com/containerd/containerd)。
`@@ -1,4 +1,4 @@`
	`# 第十一章底层实现`	`# 第十二章底层实现`

	`Docker 底层的核心技术包括 Linux 上的命名空间 (Namespaces)、控制组 (Control groups)、Union 文件系统 (Union file systems) 和容器格式 (Container format)。`	`Docker 底层的核心技术包括 Linux 上的命名空间 (Namespaces)、控制组 (Control groups)、Union 文件系统 (Union file systems) 和容器格式 (Container format)。`
`@@ -1,3 +1,3 @@`
	`## 13.6 一步步部署 Kubernetes 集群`	`## 14.6 一步步部署 Kubernetes 集群`

	`可以参考 [opsnull/follow-me-install-kubernetes-cluster](https://github.com/opsnull/follow-me-install-kubernetes-cluster) 项目一步步部署 Kubernetes 集群。`	`可以参考 [opsnull/follow-me-install-kubernetes-cluster](https://github.com/opsnull/follow-me-install-kubernetes-cluster) 项目一步步部署 Kubernetes 集群。`
`@@ -1,4 +1,4 @@`
	`## 14.3 etcd 集群`	`## 15.3 etcd 集群`

	下面我们使用 [Docker Compose](../../10_compose/README.md) 模拟启动一个 3 节点的 `etcd` 集群。	下面我们使用 [Docker Compose](../../10_compose/README.md) 模拟启动一个 3 节点的 `etcd` 集群。
`@@ -1,4 +1,4 @@`
	`## 14.1 简介`	`## 15.1 简介`

	`如图 12-5 所示，etcd 项目使用该标识。`	`如图 12-5 所示，etcd 项目使用该标识。`
`@@ -1,4 +1,4 @@`
	`## 15.3 阿里云`	`## 16.3 阿里云`

	`如图 13-3 所示，阿里云是国内主流云服务平台之一。`	`如图 13-3 所示，阿里云是国内主流云服务平台之一。`
`@@ -1,4 +1,4 @@`
	`## 15.4 亚马逊云`	`## 16.4 亚马逊云`

	`如图 13-1 所示，AWS 是全球主流云服务平台之一。`	`如图 13-1 所示，AWS 是全球主流云服务平台之一。`