replace '進程' as '程序'

underly/README.md

@@ -6,8 +6,8 @@ Docker 底層的核心技術包括 Linux 上的名字空間（Namespaces）、
 這種直接的做法實現了對資源最完整的封裝，但很多時候往往意味著系統資源的浪費。
 例如，以宿主機和虛擬機系統都為 Linux 系統為例，虛擬機中執行的應用其實可以利用宿主機系統中的執行環境。
 
-我們知道，在作業系統中，包括內核、文件系統、網絡、PID、UID、IPC、內存、硬盤、CPU 等等，所有的資源都是應用進程直接共享的。
+我們知道，在作業系統中，包括內核、文件系統、網絡、PID、UID、IPC、內存、硬盤、CPU 等等，所有的資源都是應用程序直接共享的。
 要想實現虛擬化，除了要實現對內存、CPU、網絡IO、硬盤IO、存儲空間等的限制外，還要實現文件系統、網絡、PID、UID、IPC等等的相互隔離。
 前者相對容易實現一些，後者則需要宿主機系統的深入支持。
 
-隨著 Linux 系統對於名字空間功能的完善實現，程序員已經可以實現上面的所有需求，讓某些進程在彼此隔離的名字空間中執行。大家雖然都共用一個內核和某些執行時環境（例如一些系統命令和系統庫），但是彼此卻看不到，都以為系統中只有自己的存在。這種機制就是容器（Container），利用名字空間來做權限的隔離控制，利用 cgroups 來做資源分配。
+隨著 Linux 系統對於名字空間功能的完善實現，程序員已經可以實現上面的所有需求，讓某些程序在彼此隔離的名字空間中執行。大家雖然都共用一個內核和某些執行時環境（例如一些系統命令和系統庫），但是彼此卻看不到，都以為系統中只有自己的存在。這種機制就是容器（Container），利用名字空間來做權限的隔離控制，利用 cgroups 來做資源分配。

underly/namespace.md

@@ -2,19 +2,19 @@
 名字空間是 Linux 內核一個強大的特性。每個容器都有自己單獨的名字空間，執行在其中的應用都像是在獨立的作業系統中執行一樣。名字空間保證了容器之間彼此互不影響。
 
 ### pid 名字空間
-不同用戶的進程就是通過 pid 名字空間隔離開的，且不同名字空間中可以有相同 pid。所有的 LXC 進程在 Docker 中的父進程為Docker進程，每個 LXC 進程具有不同的名字空間。同時由於允許嵌套，因此可以很方便的實現嵌套的 Docker 容器。
+不同用戶的程序就是通過 pid 名字空間隔離開的，且不同名字空間中可以有相同 pid。所有的 LXC 程序在 Docker 中的父程序為Docker程序，每個 LXC 程序具有不同的名字空間。同時由於允許嵌套，因此可以很方便的實現嵌套的 Docker 容器。
 
 ### net 名字空間
 有了 pid 名字空間, 每個名字空間中的 pid 能夠相互隔離，但是網絡端口還是共享 host 的端口。網絡隔離是通過 net 名字空間實現的， 每個 net 名字空間有獨立的 網絡設備, IP 地址, 路由表, /proc/net 目錄。這樣每個容器的網絡就能隔離開來。Docker 默認采用 veth 的方式，將容器中的虛擬網卡同 host 上的一 個Docker 網橋 docker0 連接在一起。
 
 ### ipc 名字空間
-容器中進程交互還是采用了 Linux 常見的進程間交互方法(interprocess communication - IPC), 包括信號量、消息隊列和共享內存等。然而同 VM 不同的是，容器的進程間交互實際上還是 host 上具有相同 pid 名字空間中的進程間交互，因此需要在 IPC 資源申請時加入名字空間信息，每個 IPC 資源有一個唯一的 32 位 id。
+容器中程序交互還是采用了 Linux 常見的程序間交互方法(interprocess communication - IPC), 包括信號量、消息隊列和共享內存等。然而同 VM 不同的是，容器的程序間交互實際上還是 host 上具有相同 pid 名字空間中的程序間交互，因此需要在 IPC 資源申請時加入名字空間信息，每個 IPC 資源有一個唯一的 32 位 id。
 
 ### mnt 名字空間
-類似 chroot，將一個進程放到一個特定的目錄執行。mnt 名字空間允許不同名字空間的進程看到的文件結構不同，這樣每個名字空間 中的進程所看到的文件目錄就被隔離開了。同 chroot 不同，每個名字空間中的容器在 /proc/mounts 的信息只包含所在名字空間的 mount point。
+類似 chroot，將一個程序放到一個特定的目錄執行。mnt 名字空間允許不同名字空間的程序看到的文件結構不同，這樣每個名字空間 中的程序所看到的文件目錄就被隔離開了。同 chroot 不同，每個名字空間中的容器在 /proc/mounts 的信息只包含所在名字空間的 mount point。
 
 ### uts 名字空間
-UTS("UNIX Time-sharing System") 名字空間允許每個容器擁有獨立的 hostname 和 domain name, 使其在網絡上可以被視作一個獨立的節點而非 主機上的一個進程。
+UTS("UNIX Time-sharing System") 名字空間允許每個容器擁有獨立的 hostname 和 domain name, 使其在網絡上可以被視作一個獨立的節點而非 主機上的一個程序。
 
 ### user 名字空間
 每個容器可以有不同的用戶和組 id, 也就是說可以在容器內用容器內部的用戶執行程序而非主機上的用戶。

underly/network.md

@@ -21,8 +21,8 @@ Docker 創建一個容器的時候，會執行如下操作：
 
 可以在 `docker run` 的時候通過 `--net` 參數來指定容器的網絡配置，有4個可選值：
 * `--net=bridge` 這個是默認值，連接到默認的網橋。
-* `--net=host` 告訴 Docker 不要將容器網絡放到隔離的名字空間中，即不要容器化容器內的網絡。此時容器使用本地主機的網絡，它擁有完全的本地主機接口訪問權限。容器進程可以跟主機其它 root 進程一樣可以打開低範圍的端口，可以訪問本地網絡服務比如 D-bus，還可以讓容器做一些影響整個主機系統的事情，比如重啟主機。因此使用這個選項的時候要非常小心。如果進一步的使用 `--privileged=true`，容器會被允許直接配置主機的網絡堆棧。
-* `--net=container:NAME_or_ID` 讓 Docker 將新建容器的進程放到一個已存在容器的網絡棧中，新容器進程有自己的文件系統、進程列表和資源限制，但會和已存在的容器共享 IP 地址和端口等網絡資源，兩者進程可以直接通過 `lo` 環回接口通信。
+* `--net=host` 告訴 Docker 不要將容器網絡放到隔離的名字空間中，即不要容器化容器內的網絡。此時容器使用本地主機的網絡，它擁有完全的本地主機接口訪問權限。容器程序可以跟主機其它 root 程序一樣可以打開低範圍的端口，可以訪問本地網絡服務比如 D-bus，還可以讓容器做一些影響整個主機系統的事情，比如重啟主機。因此使用這個選項的時候要非常小心。如果進一步的使用 `--privileged=true`，容器會被允許直接配置主機的網絡堆棧。
+* `--net=container:NAME_or_ID` 讓 Docker 將新建容器的程序放到一個已存在容器的網絡棧中，新容器程序有自己的文件系統、程序列表和資源限制，但會和已存在的容器共享 IP 地址和端口等網絡資源，兩者程序可以直接通過 `lo` 環回接口通信。
 * `--net=none` 讓 Docker 將新容器放到隔離的網絡棧中，但是不進行網絡配置。之後，用戶可以自己進行配置。
 
 ### 網絡配置細節
@@ -33,7 +33,7 @@ Docker 創建一個容器的時候，會執行如下操作：
 $ sudo docker run -i -t --rm --net=none base /bin/bash
 root@63f36fc01b5f:/#
 ```
-在本地主機查找容器的進程 id，並為它創建網絡命名空間。
+在本地主機查找容器的程序 id，並為它創建網絡命名空間。
 ```
 $ sudo docker inspect -f '{{.State.Pid}}' 63f36fc01b5f
 2778