Use more accurate words

01_introduction/1.1_quickstart.md

@@ -45,7 +45,7 @@ $ docker run -d -p 8080:80 my-hello-world
 
 ### 1.1.5 访问测试
 
-打开浏览器访问 [http://localhost:8080](http://localhost:8080)，你应该能看到 “Hello，Docker！”。
+打开浏览器访问 [http://localhost:8080](http://localhost:8080)，你应该能看到 “Hello, Docker!”。
 
 ### 1.1.6 清理
 

01_introduction/README.md

@@ -2,13 +2,15 @@
 
 本章将带领你进入 **Docker** 的世界。
 
+> **版本提示**：本书内容及示例基于 **Docker Engine v29.x** 及以上版本。值得注意的是，自 Docker Engine v29 起，官方在全新安装场景下**默认启用了 `containerd image store` 作为镜像存储后端**（取代了传统的经典存储引擎如 overlay2 graph driver）。这项底层革新极大增强了 Docker 对多架构镜像（Multi-platform）、以及软件供应链安全元数据（Attestations, SBOM, Provenance）的本地支持原生性。
+
 ## 本章内容
 
 * [快速上手](1.1_quickstart.md)
   * 通过一个简单的 Web 应用例子，带你快速体验 Docker 的核心流程：构建镜像、运行容器。
 
 * [什么是 Docker](1.2_what.md)
-  * 介绍 Docker 的起源、发展历程以及其背后的核心技术 (Cgroups，Namespaces，UnionFS)。
+  * 介绍 Docker 的起源、发展历程以及其背后的核心技术 (Cgroups，Namespaces，UnionFS，以及 `containerd` 引擎的演进)。
   * 了解 Docker 是如何改变软件交付方式的。
 
 * [为什么要用 Docker](1.3_why.md)

02_basic_concept/2.1_image.md

@@ -123,7 +123,6 @@ RUN apt-get install -y build-essential  # 安装编译工具（约 200MB）
 RUN make && make install                  # 编译应用
 RUN apt-get remove build-essential        # 试图删除编译工具
 ## 结果：镜像仍然包含 200MB 的编译工具！
-
 ```
 
 ```docker

02_basic_concept/summary.md

@@ -1,40 +1,18 @@
 ## 本章小结
 
+本章介绍了 Docker 的三个核心概念：镜像、容器和仓库。
+
 | 概念 | 要点 |
 |------|------|
 | **镜像是什么** | 只读的应用模板，包含运行所需的一切 |
 | **分层存储** | 多层叠加，共享基础层，节省空间 |
 | **只读特性** | 构建后不可修改，保证一致性 |
 | **层的陷阱** | 删除操作只是标记，不减小体积 |
-
-理解了镜像，接下来让我们学习[容器](2.2_container.md)——镜像的运行实例。
-
-### 2.4.1 延伸阅读
-
-- [获取镜像](../04_image/4.1_pull.md)：从 Registry 下载镜像
-- [使用 Dockerfile 定制镜像](../04_image/4.5_build.md)：创建自己的镜像
-- [Dockerfile 最佳实践](../appendix/best_practices.md)：构建高质量镜像的技巧
-- [底层实现 - 联合文件系统](../12_implementation/12.4_ufs.md)：深入理解分层存储的技术原理
-
-| 概念 | 要点 |
-|------|------|
 | **容器是什么** | 镜像的运行实例，本质是隔离的进程 |
 | **容器 vs 虚拟机** | 共享内核，更轻量，但隔离性较弱 |
 | **存储层** | 可写层随容器删除而消失 |
 | **数据持久化** | 使用 Volume 或 Bind Mount |
 | **生命周期** | 与主进程 (PID 1) 绑定 |
-
-理解了镜像和容器，接下来让我们学习[仓库](2.3_repository.md)——存储和分发镜像的服务。
-
-### 2.4.2 延伸阅读
-
-- [启动容器](../05_container/5.1_run.md)：详细的容器启动选项
-- [后台运行](../05_container/5.2_daemon.md)：理解容器为什么会 “立即退出”
-- [进入容器](../05_container/5.4_attach_exec.md)：如何操作运行中的容器
-- [数据管理](../08_data/README.md)：Volume 和数据持久化详解
-
-| 概念 | 要点 |
-|------|------|
 | **Registry** | 存储和分发镜像的服务 |
 | **仓库 (Repository)** | 同一软件的镜像集合 |
 | **标签 (Tag)** | 版本标识，默认为 latest |
@@ -43,8 +21,16 @@
 
 现在你已经了解了 Docker 的三个核心概念：[镜像](2.1_image.md)、[容器](2.2_container.md)和仓库。接下来，让我们开始[安装 Docker](../03_install/README.md)，动手实践！
 
-### 2.4.3 延伸阅读
+### 延伸阅读
 
+- [获取镜像](../04_image/4.1_pull.md)：从 Registry 下载镜像
+- [使用 Dockerfile 定制镜像](../04_image/4.5_build.md)：创建自己的镜像
+- [Dockerfile 最佳实践](../appendix/best_practices.md)：构建高质量镜像的技巧
+- [底层实现 - 联合文件系统](../12_implementation/12.4_ufs.md)：深入理解分层存储的技术原理
+- [启动容器](../05_container/5.1_run.md)：详细的容器启动选项
+- [后台运行](../05_container/5.2_daemon.md)：理解容器为什么会"立即退出"
+- [进入容器](../05_container/5.4_attach_exec.md)：如何操作运行中的容器
+- [数据管理](../08_data/README.md)：Volume 和数据持久化详解
 - [Docker Hub](../06_repository/6.1_dockerhub.md)：Docker Hub 的详细使用
 - [私有仓库](../06_repository/6.2_registry.md)：搭建私有 Registry
 - [私有仓库高级配置](../06_repository/6.3_registry_auth.md)：认证、TLS 配置

03_install/3.1_ubuntu.md

@@ -122,7 +122,12 @@ $ sudo systemctl start docker
 
 ### 3.1.5 建立 docker 用户组
 
-默认情况下，`docker` 命令会使用 [Unix socket](https://en.wikipedia.org/wiki/Unix_domain_socket) 与 Docker 引擎通讯。而只有 `root` 用户和 `docker` 组的用户才可以访问 Docker 引擎的 Unix socket。出于安全考虑，一般 Linux 系统上不会直接使用 `root` 用户。因此，更好地做法是将需要使用 `docker` 的用户加入 `docker` 用户组。
+默认情况下，`docker` 命令会使用 [Unix socket](https://en.wikipedia.org/wiki/Unix_domain_socket) 与 Docker 引擎通讯。而只有 `root` 用户和 `docker` 组的用户才可以访问 Docker 引擎的 Unix socket。出于安全考虑，一般 Linux 系统上不会直接使用 `root` 用户。因此，更好的做法是将需要使用 `docker` 的用户加入 `docker` 用户组。
+
+> ⚠️ **安全警告：`docker` 用户组等同于 `root` 权限**
+> 
+> 将用户加入 `docker` 组免去了每次执行 `docker` 命令时输入 `sudo` 的繁琐，但这也意味着该用户可以轻易获取主机的最高 root 权限（例如通过挂载根目录运行容器）。
+> 如果你在一个多用户共享的生产系统上配置，切勿随意将普通用户加入此组。此时，更安全的替代方案是使用官方提供的 **[Rootless 模式 (Rootless mode)](https://docs.docker.com/engine/security/rootless/)**，它允许在没有任何 root 权限的情况下运行 Docker 守护进程和容器。
 
 建立 `docker` 组：
 

03_install/3.2_debian.md

@@ -113,7 +113,12 @@ $ sudo systemctl start docker
 
 ### 3.2.5 建立 docker 用户组
 
-默认情况下，`docker` 命令会使用 [Unix socket](https://en.wikipedia.org/wiki/Unix_domain_socket) 与 Docker 引擎通讯。而只有 `root` 用户和 `docker` 组的用户才可以访问 Docker 引擎的 Unix socket。出于安全考虑，一般 Linux 系统上不会直接使用 `root` 用户。因此，更好地做法是将需要使用 `docker` 的用户加入 `docker` 用户组。
+默认情况下，`docker` 命令会使用 [Unix socket](https://en.wikipedia.org/wiki/Unix_domain_socket) 与 Docker 引擎通讯。而只有 `root` 用户和 `docker` 组的用户才可以访问 Docker 引擎的 Unix socket。出于安全考虑，一般 Linux 系统上不会直接使用 `root` 用户。因此，更好的做法是将需要使用 `docker` 的用户加入 `docker` 用户组。
+
+> ⚠️ **安全警告：`docker` 用户组等同于 `root` 权限**
+> 
+> 将用户加入 `docker` 组免去了每次执行 `docker` 命令时输入 `sudo` 的繁琐，但这也意味着该用户可以轻易获取主机的最高 root 权限（例如通过挂载根目录运行容器）。
+> 如果你在一个多用户共享的生产系统上配置，切勿随意将普通用户加入此组。此时，更安全的替代方案是使用官方提供的 **[Rootless 模式 (Rootless mode)](https://docs.docker.com/engine/security/rootless/)**，它允许在没有任何 root 权限的情况下运行 Docker 守护进程和容器。
 
 建立 `docker` 组：
 

03_install/3.3_fedora.md

@@ -121,7 +121,12 @@ $ sudo systemctl start docker
 
 ### 3.3.5 建立 docker 用户组
 
-默认情况下，`docker` 命令会使用 [Unix socket](https://en.wikipedia.org/wiki/Unix_domain_socket) 与 Docker 引擎通讯。而只有 `root` 用户和 `docker` 组的用户才可以访问 Docker 引擎的 Unix socket。出于安全考虑，一般 Linux 系统上不会直接使用 `root` 用户。因此，更好地做法是将需要使用 `docker` 的用户加入 `docker` 用户组。
+默认情况下，`docker` 命令会使用 [Unix socket](https://en.wikipedia.org/wiki/Unix_domain_socket) 与 Docker 引擎通讯。而只有 `root` 用户和 `docker` 组的用户才可以访问 Docker 引擎的 Unix socket。出于安全考虑，一般 Linux 系统上不会直接使用 `root` 用户。因此，更好的做法是将需要使用 `docker` 的用户加入 `docker` 用户组。
+
+> ⚠️ **安全警告：`docker` 用户组等同于 `root` 权限**
+> 
+> 将用户加入 `docker` 组免去了每次执行 `docker` 命令时输入 `sudo` 的繁琐，但这也意味着该用户可以轻易获取主机的最高 root 权限（例如通过挂载根目录运行容器）。
+> 如果你在一个多用户共享的生产系统上配置，切勿随意将普通用户加入此组。此时，更安全的替代方案是使用官方提供的 **[Rootless 模式 (Rootless mode)](https://docs.docker.com/engine/security/rootless/)**，它允许在没有任何 root 权限的情况下运行 Docker 守护进程和容器。
 
 建立 `docker` 组：
 

03_install/3.4_centos.md

@@ -126,7 +126,12 @@ $ sudo systemctl start docker
 
 ### 3.4.6 建立 docker 用户组
 
-默认情况下，`docker` 命令会使用 [Unix socket](https://en.wikipedia.org/wiki/Unix_domain_socket) 与 Docker 引擎通讯。而只有 `root` 用户和 `docker` 组的用户才可以访问 Docker 引擎的 Unix socket。出于安全考虑，一般 Linux 系统上不会直接使用 `root` 用户。因此，更好地做法是将需要使用 `docker` 的用户加入 `docker` 用户组。
+默认情况下，`docker` 命令会使用 [Unix socket](https://en.wikipedia.org/wiki/Unix_domain_socket) 与 Docker 引擎通讯。而只有 `root` 用户和 `docker` 组的用户才可以访问 Docker 引擎的 Unix socket。出于安全考虑，一般 Linux 系统上不会直接使用 `root` 用户。因此，更好的做法是将需要使用 `docker` 的用户加入 `docker` 用户组。
+
+> ⚠️ **安全警告：`docker` 用户组等同于 `root` 权限**
+> 
+> 将用户加入 `docker` 组免去了每次执行 `docker` 命令时输入 `sudo` 的繁琐，但这也意味着该用户可以轻易获取主机的最高 root 权限（例如通过挂载根目录运行容器）。
+> 如果你在一个多用户共享的生产系统上配置，切勿随意将普通用户加入此组。此时，更安全的替代方案是使用官方提供的 **[Rootless 模式 (Rootless mode)](https://docs.docker.com/engine/security/rootless/)**，它允许在没有任何 root 权限的情况下运行 Docker 守护进程和容器。
 
 建立 `docker` 组：
 

03_install/3.5_raspberry-pi.md

@@ -140,7 +140,12 @@ $ sudo systemctl start docker
 
 ### 3.5.5 建立 docker 用户组
 
-默认情况下，`docker` 命令会使用 [Unix socket](https://en.wikipedia.org/wiki/Unix_domain_socket) 与 Docker 引擎通讯。而只有 `root` 用户和 `docker` 组的用户才可以访问 Docker 引擎的 Unix socket。出于安全考虑，一般 Linux 系统上不会直接使用 `root` 用户。因此，更好地做法是将需要使用 `docker` 的用户加入 `docker` 用户组。
+默认情况下，`docker` 命令会使用 [Unix socket](https://en.wikipedia.org/wiki/Unix_domain_socket) 与 Docker 引擎通讯。而只有 `root` 用户和 `docker` 组的用户才可以访问 Docker 引擎的 Unix socket。出于安全考虑，一般 Linux 系统上不会直接使用 `root` 用户。因此，更好的做法是将需要使用 `docker` 的用户加入 `docker` 用户组。
+
+> ⚠️ **安全警告：`docker` 用户组等同于 `root` 权限**
+> 
+> 将用户加入 `docker` 组免去了每次执行 `docker` 命令时输入 `sudo` 的繁琐，但这也意味着该用户可以轻易获取主机的最高 root 权限（例如通过挂载根目录运行容器）。
+> 如果你在一个多用户共享的生产系统上配置，切勿随意将普通用户加入此组。此时，更安全的替代方案是使用官方提供的 **[Rootless 模式 (Rootless mode)](https://docs.docker.com/engine/security/rootless/)**，它允许在没有任何 root 权限的情况下运行 Docker 守护进程和容器。
 
 建立 `docker` 组：
 

03_install/3.6_offline.md

@@ -1,16 +1,12 @@
 ## 3.6 Linux 离线安装
 
-\[TOC]
-
 生产环境中一般都是没有公网资源的，本文介绍如何在生产服务器上离线部署 `Docker`
 
 括号内的字母表示该操作需要在哪些服务器上执行
 
 ![Docker-offile-install-top](../_images/image-20200412202617411.png)
 
-### 3.6.1 概述
-
-### 3.6.2 CentOS/Rocky/AlmaLinux 离线安装 Docker
+### 3.6.1 CentOS/Rocky/AlmaLinux 离线安装 Docker
 
 在无法连接外网的安全环境中，离线安装是唯一的选择。本节介绍如何在 RHEL 系发行版中进行离线安装。
 
@@ -18,7 +14,7 @@
 
 #### YUM 本地文件安装 (推荐)
 
-推荐这种方式，是因为在生产环境种一般会选定某个指定的文档软件版本使用。
+推荐这种方式，是因为在生产环境中一般会选定某个指定的文档软件版本使用。
 
 ##### 查询可用的软件版本
 

03_install/3.7_mac.md

@@ -2,7 +2,7 @@
 
 ### 3.7.1 系统要求
 
-[Docker Desktop for Mac](https://docs.docker.com/docker-for-mac/) 要求系统最低为 macOS Sonora 14.0 或更高版本，建议升级到最新版本的 macOS。
+[Docker Desktop for Mac](https://docs.docker.com/docker-for-mac/) 要求系统最低为 macOS Sonoma 14.0 或更高版本，建议升级到最新版本的 macOS。
 
 ### 3.7.2 安装
 
@@ -47,7 +47,7 @@ $ brew install --cask docker
 
 ```bash
 $ docker --version
-Docker version 26.1.1, build 4cf5afa
+Docker version 27.0.3, build 7d4bcd8
 ```
 
 如果 `docker version`、`docker info` 都正常的话，可以尝试运行一个 [Nginx 服务器](https://hub.docker.com/_/nginx/)：

03_install/summary.md

@@ -11,7 +11,7 @@ Docker 支持在多种平台上安装和使用，选择合适的安装方式是
 | **Raspberry Pi** | 官方安装脚本 | 支持 ARM 架构 |
 | **离线环境** | 二进制包安装 | 适用于无法联网的服务器 |
 
-### 3.11.1 安装后验证
+### 安装后验证
 
 安装完成后，运行以下命令验证 Docker 是否正常工作：
 
@@ -20,7 +20,7 @@ $ docker version
 $ docker run --rm hello-world
 ```
 
-### 3.11.2 延伸阅读
+### 延伸阅读
 
 - [镜像加速器](3.9_mirror.md)：解决国内拉取镜像慢的问题
 - [开启实验特性](3.10_experimental.md)：使用最新功能

04_image/4.1_pull.md

@@ -171,9 +171,6 @@ root@e7009c6ce357:/# exit
 ```bash
 $ sudo systemctl restart docker  # Linux
 ## 或在 Docker Desktop 中重启
-
-## 或在 Docker Desktop 中重启
-
 ```
 
 详见[镜像加速器](../03_install/3.9_mirror.md)章节。

04_image/4.3_rm.md

@@ -204,11 +204,10 @@ ubuntu       latest  ca2b0f26964c   # 同一个镜像
 $ docker rmi ubuntu:24.04
 Untagged: ubuntu:24.04
 ## 只是移除标签，镜像仍存在（因为还有 ubuntu:latest 指向它）
+```
 
 当同一个镜像有多个标签时，`docker rmi` 只是删除指定的标签，不会删除镜像本身。
 
-```
-
 #### 原因三：被其他镜像依赖 (中间层)
 
 ```bash

04_image/4.4_commit.md

@@ -120,9 +120,7 @@ docker run --name web2 -d -p 81:80 nginx:v2
 
 至此，我们第一次完成了定制镜像，使用的是 `docker commit` 命令，手动操作给旧的镜像添加了新的一层，形成新的镜像，对镜像多层存储应该有了更直观的感觉。
 
-### 4.4.1 概述
-
-### 4.4.2 慎用 `docker commit`
+### 4.4.1 慎用 `docker commit`
 
 使用 `docker commit` 命令虽然可以比较直观的帮助理解镜像分层存储的概念，但是实际环境中并不会这样使用。
 

04_image/4.5_build.md

@@ -6,7 +6,7 @@ Dockerfile 是一个文本文件，其内包含了一条条的 **指令 (Instruc
 
 ### 4.5.1 使用 docker init 快速创建 (推荐)
 
-Docker 提供了 `docker init` 命令，可以根据项目类型自动生成 Dockerfile、。dockerignore 和 compose.yaml 文件：
+Docker 提供了 `docker init` 命令，可以根据项目类型自动生成 Dockerfile、.dockerignore 和 compose.yaml 文件：
 
 ```bash
 $ docker init

04_image/README.md

@@ -15,3 +15,8 @@ Docker 运行容器前需要本地存在对应的镜像，如果本地不存在
 * [使用 Dockerfile 定制镜像](4.5_build.md)
 * [其它制作镜像的方式](4.6_other.md)
 * [镜像的实现原理](4.7_internal.md)
+
+> **版本提示：镜像存储后端的变迁**
+> 
+> 在 Docker Engine v29 及后续版本中，Docker 全新安装默认启用了 **containerd image store**（替代了传统的 classic store）。这一底层架构级别的变迁，意味着 Docker 解锁了对 OCI Image Index 和 Attestations （例如原生的 provenance 来源证明与 SBOM 软件物料清单）的全量本地支持。
+> 读者在执行类似 `docker buildx build --provenance=mode=min --sbom=true` 甚至使用后续审查工具（如 `docker buildx imagetools inspect`）时，其元数据能够与镜像数据一并完好地管理于本地存储系统中，为供应链安全验证补齐了最后一块拼图。

04_image/summary.md

@@ -1,21 +1,13 @@
 ## 本章小结
 
+本章介绍了 Docker 镜像的获取、列出、删除以及构建方式。
+
 | 操作 | 命令 |
 |------|------|
 | 拉取镜像 | `docker pull 镜像名:标签` |
 | 拉取所有标签 | `docker pull -a 镜像名` |
 | 指定平台 | `docker pull --platform linux/amd64 镜像名` |
 | 用摘要拉取 | `docker pull 镜像名@sha256:...` |
-
-### 4.8.1 延伸阅读
-
-- [列出镜像](4.2_list.md)：查看本地镜像
-- [删除镜像](4.3_rm.md)：清理本地镜像
-- [镜像加速器](../03_install/3.9_mirror.md)：加速镜像下载
-- [Docker Hub](../06_repository/6.1_dockerhub.md)：官方镜像仓库
-
-| 操作 | 命令 |
-|------|------|
 | 列出所有镜像 | `docker images` |
 | 按仓库名过滤 | `docker images nginx` |
 | 列出虚悬镜像 | `docker images -f dangling=true` |
@@ -23,24 +15,19 @@
 | 显示摘要 | `docker images --digests` |
 | 自定义格式 | `docker images --format "..."` |
 | 查看空间占用 | `docker system df` |
-
-### 4.8.2 延伸阅读
-
-- [获取镜像](4.1_pull.md)：从 Registry 拉取镜像
-- [删除镜像](4.3_rm.md)：清理本地镜像
-- [镜像](../02_basic_concept/2.1_image.md)：理解镜像概念
-
-| 操作 | 命令 |
-|------|------|
 | 删除指定镜像 | `docker rmi 镜像名:标签` |
 | 强制删除 | `docker rmi -f 镜像名` |
 | 删除虚悬镜像 | `docker image prune` |
 | 删除未使用镜像 | `docker image prune -a` |
 | 批量删除 | `docker rmi $(docker images -q -f ...)` |
-| 查看空间占用 | `docker system df` |
 
-### 4.8.3 延伸阅读
+### 延伸阅读
 
+- [获取镜像](4.1_pull.md)：从 Registry 拉取镜像
 - [列出镜像](4.2_list.md)：查看和过滤镜像
+- [删除镜像](4.3_rm.md)：清理本地镜像
+- [镜像加速器](../03_install/3.9_mirror.md)：加速镜像下载
+- [Docker Hub](../06_repository/6.1_dockerhub.md)：官方镜像仓库
+- [镜像](../02_basic_concept/2.1_image.md)：理解镜像概念
 - [删除容器](../05_container/5.6_rm.md)：清理容器
 - [数据卷](../08_data/8.1_volume.md)：清理数据卷

05_container/summary.md

@@ -1,55 +1,30 @@
 ## 本章小结
 
+本章介绍了 Docker 容器的启动、停止、进入和删除等核心操作。
+
 | 操作 | 命令 | 说明 |
 |------|------|------|
 | 新建并运行 | `docker run` | 最常用的启动方式 |
 | 交互式启动 | `docker run -it` | 用于调试或临时操作 |
 | 后台运行 | `docker run -d` | 用于服务类应用 |
 | 启动已停止的容器 | `docker start` | 重用已有容器 |
+| 优雅停止 | `docker stop` | 先 SIGTERM，超时后 SIGKILL |
+| 强制停止 | `docker kill` | 直接 SIGKILL |
+| 重启 | `docker restart` | 停止后立即启动 |
+| 停止全部 | `docker stop $(docker ps -q)` | 停止所有运行中容器 |
+| 进入容器调试 | `docker exec -it 容器名 bash` | 推荐方式 |
+| 执行单条命令 | `docker exec 容器名 命令` | 不进入交互模式 |
+| 查看主进程输出 | `docker attach 容器名` | 慎用，退出可能停止容器 |
+| 删除已停止容器 | `docker rm 容器名` | 需先停止 |
+| 强制删除运行中容器 | `docker rm -f 容器名` | 直接删除 |
+| 删除容器及匿名卷 | `docker rm -v 容器名` | 同时清理匿名卷 |
+| 清理所有已停止容器 | `docker container prune` | 批量清理 |
 
-### 5.7.1 延伸阅读
+### 延伸阅读
 
 - [后台运行](5.2_daemon.md)：理解 `-d` 参数和容器生命周期
 - [进入容器](5.4_attach_exec.md)：操作运行中的容器
 - [网络配置](../09_network/README.md)：理解端口映射的原理
 - [数据管理](../08_data/README.md)：数据持久化方案
-
-| 操作 | 命令 | 说明 |
-|------|------|------|
-| 优雅停止 | `docker stop` | 先 SIGTERM，超时后 SIGKILL |
-| 强制停止 | `docker kill` | 直接 SIGKILL |
-| 重新启动 | `docker start` | 启动已停止的容器 |
-| 重启 | `docker restart` | 停止后立即启动 |
-| 停止全部 | `docker stop $(docker ps -q)` | 停止所有运行中容器 |
-
-### 5.7.2 延伸阅读
-
-- [启动容器](../05_container/5.1_run.md)：容器启动详解
-- [删除容器](5.6_rm.md)：清理容器
-- [容器日志](5.2_daemon.md)：排查停止原因
-
-| 需求 | 推荐命令 |
-|------|---------|
-| 进入容器调试 | `docker exec -it 容器名 bash` |
-| 执行单条命令 | `docker exec 容器名 命令` |
-| 查看主进程输出 | `docker attach 容器名` (慎用)|
-
-### 5.7.3 延伸阅读
-
-- [后台运行](5.2_daemon.md)：理解容器主进程
-- [查看容器](5.1_run.md)：列出和过滤容器
-- [容器日志](5.2_daemon.md)：查看容器输出
-
-| 操作 | 命令 |
-|------|------|
-| 删除已停止容器 | `docker rm 容器名` |
-| 强制删除运行中容器 | `docker rm -f 容器名` |
-| 删除容器及匿名卷 | `docker rm -v 容器名` |
-| 清理所有已停止容器 | `docker container prune` |
-| 删除所有容器 | `docker rm -f $(docker ps -aq)` |
-
-### 5.7.4 延伸阅读
-
-- [终止容器](5.3_stop.md)：优雅停止容器
 - [删除镜像](../04_image/4.3_rm.md)：清理镜像
 - [数据卷](../08_data/8.1_volume.md)：数据卷管理

06_repository/6.1_dockerhub.md

@@ -45,7 +45,8 @@ $ docker pull nginx:alpine
 
 ```bash
 $ docker login
-## 输入用户名和密码
+## 默认情况下，不带其它参数进行 docker login 会自动走 Device Code Web Flow (浏览器认证)
+## 若在非交互 CI 环境中，推荐结合 --username 与 --password-stdin 参数使用
 
 ...
 ```
@@ -76,10 +77,18 @@ $ docker push username/myapp:v1
 | **免费账户** (已登录) | 每 6 小时 200 次请求 |
 | **Pro/Team 账户** | 无限制 |
 
-> **提示**：如果在 CI/CD 环境中遇到 `toomanyrequests` 错误，建议：
-> 1. 在 CI 中配置 `docker login`
-> 2. 使用国内镜像加速器
-> 3. 搭建私有仓库代理
+#### 滥用限流 (Abuse Rate Limit)
+
+除了上述针对特定账号拉取镜像数量的 Pull Rate Limit 之外，Docker Hub 对所有用户（包含已认证及付费用户）还实施了**滥用保护限流 (Abuse Rate Limiting)**。它是根据网络出口 IP (IPv4 或 IPv6 /64 子网) 计算整体请求频率，阈值动态触发（通常为每分钟数千级别请求）。
+
+**两类的差异与排查方法**：
+- **Pull Rate Limit**：针对拉取量达到上限。报错返回 `429 Too Many Requests`，并且 HTTP 返回体/CLI 错误提示中会带有明确的 `toomanyrequests: You have reached your pull rate limit` 提示，常附有账户升级链接。
+- **Abuse Rate Limit**：防范接口频率打击。报错仅返回简化的 `429 Too Many Requests`。这一限流不分付费与否，常发生在“多终端共享出口 IP”的企业局域网或者第三方云 CI 服务（如 GitHub Actions 等）中，即使你已正常配置 `docker login` 也依旧可能触发。
+
+> **提示**：如果在 CI/CD 等环境遇到 429 错误，建议：
+> 1. 先甄别具体是哪类限流：普通的 pull rate limit 只要在 CI 中配置 `docker login` (并使用有效账号) 就能解除匿名限制。
+> 2. 如果是 Abuse 频控导致，应考虑搭建私有仓库作为拉取缓存代理 (Registry pull-through cache)，避免频繁直接请求官方 Hub。
+> 3. 使用国内镜像加速器。
 
 ---
 
@@ -93,14 +102,13 @@ $ docker push username/myapp:v1
 在 Account Settings -> Security 中启用 2FA，保护账号安全。启用后，CLI 登录需要使用 **Access Token** 而非密码。
 
 #### 2. 使用 Access Token
+> **⚠️ 警告**：绝不要在脚本或 CI/CD 系统中，直接使用 `-p` 参数传递密码或 Token (类似 `docker login -p xxx`)！这会导致凭证直接暴露在系统的命令历史、进程列表和终端输出中。
 
-不要在脚本或 CI/CD 中直接使用登录密码。
-
-1. 在 Docker Hub -> Account Settings -> Security -> Access Tokens 创建 Token。
-2. 使用 Token 作为密码登录：
+1. 在 Docker Hub -> Account Settings -> Security -> Access Tokens 创建 Token (PAT)。
+2. 将 Token 通过标准输入 (stdin) 安全传递给 Docker:
 
 ```bash
-$ docker login -u username -p dckr_pat_xxxxxxx
+$ echo "dckr_pat_xxxxxxx" | docker login --username username --password-stdin
 ```
 
 #### 3. 关注镜像漏洞

06_repository/summary.md

@@ -1,5 +1,7 @@
 ## 本章小结
 
+本章介绍了 Docker Hub 的使用、私有仓库的搭建以及 Nexus 3 等企业级方案。
+
 | 功能 | 说明 |
 |------|------|
 | **官方镜像** | 优先使用的基础镜像 |
@@ -7,9 +9,7 @@
 | **安全** | 推荐开启 2FA 并使用 Access Token |
 | **自动化** | 支持 Webhooks 和自动构建 |
 
-### 6.5.1 概述
-
-### 6.5.2 延伸阅读
+### 延伸阅读
 
 - [私有仓库](6.2_registry.md)：搭建自己的 Registry
 - [镜像加速器](../03_install/3.9_mirror.md)：加速下载

07_dockerfile/summary.md

@@ -1,208 +1,30 @@
 ## 本章小结
 
-| 要点 | 说明 |
-|------|------|
-| **作用** | 设置后续指令的工作目录 |
-| **语法** | `WORKDIR /path` |
-| **自动创建** | 目录不存在会自动创建 |
-| **持久性** | 影响后续所有指令，直到下次 WORKDIR |
-| **不要用** | `RUN cd /path` (无效)|
+本章详细介绍了 Dockerfile 的所有核心指令，以下是各指令要点的速查表。
 
-### 7.19.1 延伸阅读
+| 指令 | 作用 | 关键要点 |
+|------|------|---------|
+| **FROM** | 指定基础镜像 | 必须是第一条指令 |
+| **RUN** | 在新层执行命令 | 合并命令、清理缓存以减小体积 |
+| **COPY** | 复制文件 | 优先使用，支持 `--from` |
+| **ADD** | 更高级的复制 | 自动解压 tar，不推荐用于下载 |
+| **CMD** | 容器启动默认命令 | 可被 `docker run` 参数覆盖 |
+| **ENTRYPOINT** | 容器入口点 | 固定启动命令，CMD 作为默认参数 |
+| **ENV** | 设置环境变量 | 构建时 + 运行时均生效 |
+| **ARG** | 构建参数 | 仅构建时生效，FROM 后需重新声明 |
+| **VOLUME** | 定义匿名卷 | VOLUME 之后的修改会丢失 |
+| **EXPOSE** | 声明端口 | 仅文档作用，不自动映射 |
+| **WORKDIR** | 指定工作目录 | 替代 `RUN cd`，目录不存在会自动创建 |
+| **USER** | 指定运行用户 | 用户必须已存在，推荐 gosu |
+| **HEALTHCHECK** | 健康检查 | 支持 starting/healthy/unhealthy 状态 |
+| **ONBUILD** | 延迟执行指令 | 只继承一次，不可级联 |
+| **LABEL** | 添加元数据 | 推荐 OCI 标准标签，替代 MAINTAINER |
+| **SHELL** | 更改默认 shell | 推荐 `["/bin/bash", "-o", "pipefail", "-c"]` |
 
-- [COPY 复制文件](7.2_copy.md)：文件复制
-- [RUN 执行命令](../04_image/4.5_build.md)：执行构建命令
-- [最佳实践](../appendix/best_practices.md)：Dockerfile 编写指南
+### 延伸阅读
 
-| 要点 | 说明 |
-|------|------|
-| **作用** | 切换后续指令的执行用户 |
-| **语法** | `USER username` 或 `USER UID:GID` |
-| **前提** | 用户必须已存在 |
-| **运行时覆盖** | `docker run -u` |
-| **切换工具** | 使用 gosu，不用 su/sudo |
-
-### 7.19.2 延伸阅读
-
-- [安全](../18_security/README.md)：容器安全实践
-- [ENTRYPOINT](7.5_entrypoint.md)：入口脚本中的用户切换
-- [最佳实践](../appendix/best_practices.md)：Dockerfile 安全
-
-| 要点 | 说明 |
-|------|------|
-| **作用** | 检测容器应用是否真实可用 |
-| **命令** | `HEALTHCHECK [选项] CMD command` |
-| **状态** | starting, healthy, unhealthy |
-| **Compose** | 支持 `condition: service_healthy` 依赖 |
-| **注意** | 避免副作用，节省资源 |
-
-### 7.19.3 延伸阅读
-
-- [CMD 容器启动命令](7.4_cmd.md)：启动主进程
-- [Compose 模板文件](../11_compose/11.5_compose_file.md)：Compose 中的健康检查
-- [Docker 调试](../appendix/debug.md)：容器排障
-
-| 要点 | 说明 |
-|------|------|
-| **作用** | 定义在子镜像构建时执行的指令 |
-| **语法** | `ONBUILD INSTRUCTION` |
-| **适用** | 基础架构镜像 (Node, Python, Go 等)|
-| **限制** | 只继承一次，不可级联 |
-| **规范** | 建议使用 `-onbuild` 标签后缀 |
-
-### 7.19.4 延伸阅读
-
-- [COPY 指令](7.2_copy.md)：文件复制
-- [Dockerfile 最佳实践](../appendix/best_practices.md)：基础镜像设计
-
-| 要点 | 说明 |
-|------|------|
-| **作用** | 添加 key-value 元数据 |
-| **语法** | `LABEL k=v k=v ...` |
-| **规范** | 推荐使用 OCI 标准标签 |
-| **弃用** | 不要再使用 `MAINTAINER` |
-| **查看** | `docker inspect` |
-
-### 7.19.5 延伸阅读
-
-- [OCI 标签规范](https://github.com/opencontainers/image-spec/blob/main/annotations.md)
-- [Dockerfile 最佳实践](../appendix/best_practices.md)
-
-| 要点 | 说明 |
-|------|------|
-| **作用** | 更改 RUN/CMD/ENTRYPOINT 的默认 shell |
-| **Linux 默认** | `["/bin/sh", "-c"]` |
-| **Windows 默认** | `["cmd", "/S", "/C"]` |
-| **推荐用法** | `SHELL ["/bin/bash", "-o", "pipefail", "-c"]` |
-| **影响范围** | 后续所有使用 shell 格式的指令 |
-
-### 7.19.6 延伸阅读
-
-- [RUN 指令](../04_image/4.5_build.md)：执行命令
-- [Dockerfile 最佳实践](../appendix/best_practices.md)：错误处理与调试
-
-| 要点 | 说明 |
-|------|------|
-| **作用** | 在新层执行命令 |
-| **原则** | 合并命令，清理缓存 |
-| **格式** | Shell (常用) vs Exec |
-| **陷阱** | `cd` 不持久，环境变量不持久 |
-| **进阶** | 使用 Cache Mount 加速构建 |
-
-### 7.19.7 延伸阅读
-
-- [CMD 容器启动命令](7.4_cmd.md)：容器启动时的命令
-- [WORKDIR 指定工作目录](7.10_workdir.md)：改变目录
-- [Dockerfile 最佳实践](../appendix/best_practices.md)
-
-| 操作 | 示例 |
-|------|------|
-| 复制文件 | `COPY app.js /app/` |
-| 复制多个文件 | `COPY *.json /app/` |
-| 复制目录内容 | `COPY src/ /app/src/` |
-| 修改所有者 | `COPY --chown=node:node . /app/` |
-| 从构建阶段复制 | `COPY --from=builder /app/dist ./` |
-
-### 7.19.8 延伸阅读
-
-- [ADD 指令](7.3_add.md)：复制和解压
-- [WORKDIR 指令](7.10_workdir.md)：设置工作目录
+- [使用 Dockerfile 定制镜像](../04_image/4.5_build.md)：Dockerfile 入门
 - [多阶段构建](7.17_multistage_builds.md)：优化镜像大小
-- [最佳实践](../appendix/best_practices.md)：Dockerfile 编写指南
-
-| 场景 | 推荐指令 |
-|------|---------|
-| 复制普通文件 | `COPY` |
-| 复制目录 | `COPY` |
-| 自动解压 tar | `ADD` |
-| 从 URL 下载 | `RUN curl` |
-| 保持 tar 不解压 | `COPY` |
-
-### 7.19.9 延伸阅读
-
-- [COPY 复制文件](7.2_copy.md)：基本复制操作
-- [多阶段构建](7.17_multistage_builds.md)：减少镜像体积
-- [最佳实践](../appendix/best_practices.md)：Dockerfile 编写指南
-
-| 要点 | 说明 |
-|------|------|
-| **作用** | 指定容器启动时的默认命令 |
-| **推荐格式** | exec 格式 `CMD [“程序”, “参数”]` |
-| **覆盖方式** | `docker run image 新命令` |
-| **与 ENTRYPOINT** | CMD 作为 ENTRYPOINT 的默认参数 |
-| **核心原则** | 应用必须在前台运行 |
-
-### 7.19.10 延伸阅读
-
-- [ENTRYPOINT 入口点](7.5_entrypoint.md)：固定的启动命令
-- [后台运行](../05_container/5.2_daemon.md)：容器前台/后台概念
-- [最佳实践](../appendix/best_practices.md)：Dockerfile 编写指南
-
-| ENTRYPOINT | CMD | 适用场景 |
-|------------|-----|---------|
-| ✓ | ✗ | 镜像作为固定命令使用 |
-| ✗ | ✓ | 简单的默认命令 |
-| ✓ | ✓ | **推荐**：固定命令 + 可配置参数 |
-
-### 7.19.11 延伸阅读
-
-- [CMD 容器启动命令](7.4_cmd.md)：默认命令
-- [最佳实践](../appendix/best_practices.md)：启动命令设计
-- [后台运行](../05_container/5.2_daemon.md)：前台/后台概念
-
-| 要点 | 说明 |
-|------|------|
-| **语法** | `ENV KEY=value` |
-| **作用范围** | 构建时 + 运行时 |
-| **覆盖方式** | `docker run -e KEY=value` |
-| **与 ARG** | ARG 仅构建时，ENV 持久化到运行时 |
-| **安全** | 不要存储敏感信息 |
-
-### 7.19.12 延伸阅读
-
-- [ARG 构建参数](7.7_arg.md)：构建时变量
-- [Compose 环境变量](../11_compose/11.5_compose_file.md)：Compose 中的环境变量
-- [最佳实践](../appendix/best_practices.md)：Dockerfile 编写指南
-
-| 要点 | 说明 |
-|------|------|
-| **作用** | 定义构建时变量 |
-| **语法** | `ARG NAME=value` |
-| **覆盖** | `docker build --build-arg NAME=value` |
-| **作用域** | FROM 之后需要重新声明 |
-| **vs ENV** | ARG 仅构建时，ENV 构建+运行时 |
-| **安全** | 不要存储敏感信息 |
-
-### 7.19.13 延伸阅读
-
-- [ENV 设置环境变量](7.6_env.md)：运行时环境变量
-- [FROM 指令](../04_image/4.5_build.md)：基础镜像指定
-- [多阶段构建](7.17_multistage_builds.md)：复杂构建场景
-
-| 要点 | 说明 |
-|------|------|
-| **作用** | 创建挂载点，标记为外部卷 |
-| **语法** | `VOLUME /path` |
-| **默认行为** | 自动创建匿名卷 |
-| **覆盖方式** | `docker run -v name:/path` |
-| **注意** | VOLUME 之后的修改会丢失 |
-
-### 7.19.14 延伸阅读
-
-- [数据卷](../08_data/8.1_volume.md)：卷的管理和使用
-- [挂载主机目录](../08_data/8.2_bind-mounts.md)：Bind Mount
-- [Compose 数据管理](../11_compose/11.5_compose_file.md)：Compose 中的卷配置
-
-| 要点 | 说明 |
-|------|------|
-| **作用** | 声明容器提供服务的端口 (文档)|
-| **不会** | 自动映射端口或开放外部访问 |
-| **配合** | `docker run -P` 自动映射 |
-| **外部访问** | 需要 `-p 宿主机端口:容器端口` |
-| **语法** | `EXPOSE 80` 或 `EXPOSE 80/tcp` |
-
-### 7.19.15 延伸阅读
-
-- [网络配置](../09_network/README.md)：Docker 网络详解
-- [端口映射](../09_network/9.5_port_mapping.md)：-p 参数详解
-- [Compose 端口](../11_compose/11.5_compose_file.md)：Compose 中的端口配置
+- [Dockerfile 最佳实践](../appendix/best_practices.md)：编写指南
+- [安全](../18_security/README.md)：容器安全实践
+- [Compose 模板文件](../11_compose/11.5_compose_file.md)：Compose 中的配置

08_data/8.1_volume.md

@@ -138,8 +138,11 @@ $ docker run -d \
 | 特性 | --mount | -v |
 |------|---------|-----|
 | 语法 | 键值对，更清晰 | 冒号分隔，更简洁 |
-| 自动创建卷 | source 不存在会报错 | 自动创建 |
-| 推荐程度 | ✅ 推荐 (更明确)| 常用 (更简洁)|
+| **数据卷 (Volume)** 挂载行为 | 卷不存在会自动创建，与 `-v` 结果一致 | 卷不存在会自动创建 |
+| **绑定挂载 (Bind Mount)** 行为 | ⭐ **宿主机路径不存在会报错**，不会自动创建 | 宿主机路径不存在会**自动创建为目录** |
+| 推荐程度 | ✅ 推荐 (更明确安全，避免误创建)| 常用 (更简洁)|
+
+> **提示**：官方更推荐使用 `--mount`。除了语法格式可读性更好之外，最重要的行为差异发生在 **绑定挂载 (Bind Mount)** 时：如果挂载的宿主机源路径尚未存在，`-v` 会擅自将其自动创建为一个空目录；而 `--mount` 则会严格检查并直接报错。这能有效避免因路径拼写错误而在宿主机上留下垃圾目录（以及导致的容器访问空目录问题）。而对于本节的**数据卷 (Volume)** 挂载而言，两者在目标指定的卷不存在时皆会自动创建卷，产生的结果是**完全一致**的。
 
 #### 只读挂载
 

08_data/8.2_bind-mounts.md

@@ -74,9 +74,11 @@ $ docker run -d \
 | 特性 | --mount | -v |
 |------|---------|-----|
 | 语法 | 键值对，更清晰 | 冒号分隔，更简洁 |
-| 路径不存在时 | 报错 | 自动创建目录 |
+| 路径不存在时 | 直接报错 (Fail Fast) | 静默自动创建**目录** |
 | 推荐程度 | ✅ 推荐 | 常用 |
 
+> **⚠️ 陷阱**：如果不小心挂载了一个不存在的宿主机路径，使用 `-v` 会在宿主机上静默创建一个**空目录**（即使你本来想挂载的是一个文件），这常常会导致权限错误或应用无法正常读取。这也正是为什么 Docker 官方更推荐使用 `--mount` 的原因：它会遵循“Fail Fast”原则直接报错，避免弄巧成拙。
+
 ---
 
 ### 8.2.4 使用场景

08_data/summary.md

@@ -1,18 +1,12 @@
 ## 本章小结
 
-| 要点 | 说明 |
-|------|------|
-| **作用** | 将宿主机目录挂载到容器 |
-| **语法** | `-v /宿主机:/容器` 或 `--mount type=bind,...` |
-| **只读** | 添加 `readonly` 或 `:ro` |
-| **适用场景** | 开发环境、配置文件、日志 |
-| **vs Volume** | Bind 更灵活，Volume 更适合生产 |
+本章介绍了 Docker 的三种数据管理方式：数据卷 (Volume)、绑定挂载 (Bind Mount) 和 tmpfs 挂载。
 
-### 8.4.1 延伸阅读
-
-- [数据卷](8.1_volume.md)：Docker 管理的持久化存储
-- [tmpfs 挂载](8.3_tmpfs.md)：内存临时存储
-- [Compose 数据管理](../11_compose/11.5_compose_file.md)：Compose 中的挂载配置
+| 方式 | 特点 | 适用场景 |
+|------|------|---------|
+| **数据卷 (Volume)** | Docker 管理，生命周期独立于容器 | 数据库、应用数据（推荐生产环境） |
+| **绑定挂载 (Bind Mount)** | 挂载宿主机目录，更灵活 | 开发环境、配置文件、日志 |
+| **tmpfs 挂载** | 仅存储在内存中，容器停止即消失 | 临时敏感数据、高速缓存 |
 
 | 操作 | 命令 |
 |------|------|
@@ -23,8 +17,10 @@
 | 清理未用 | `docker volume prune` |
 | 挂载数据卷 | `-v name:/path` 或 `--mount source=name,target=/path` |
 
-### 8.4.2 延伸阅读
+### 延伸阅读
 
+- [数据卷](8.1_volume.md)：Docker 管理的持久化存储
 - [绑定挂载](8.2_bind-mounts.md)：挂载宿主机目录
 - [tmpfs 挂载](8.3_tmpfs.md)：内存中的临时存储
 - [存储驱动](../12_implementation/12.4_ufs.md)：Docker 存储的底层原理
+- [Compose 数据管理](../11_compose/11.5_compose_file.md)：Compose 中的挂载配置

09_network/9.1_dns.md

@@ -4,7 +4,7 @@ Docker 1.10.0 以后，内建了一个 DNS 服务器，使得容器可以直接
 
 但是使用 Docker DNS 有个前提条件，就是它只能在 **自定义网络** 中使用。也就是说，如果使用的是默认的 `bridge` 网络，是无法使用 DNS 的，所以我们就需要自定义网络。
 
-### 9.2.1 容器的 DNS 机制
+### 9.1.1 容器的 DNS 机制
 
 Docker 容器的 DNS 配置有两种情况：
 
@@ -13,7 +13,7 @@ Docker 容器的 DNS 配置有两种情况：
 
 ---
 
-### 9.2.2 嵌入式 DNS
+### 9.1.2 嵌入式 DNS
 
 这是 Docker 网络最强大的功能之一。在自定义网络中，容器可以通过 “名字” 找到彼此，而不需要知道对方的 IP (因为 IP 可能会变)。
 
@@ -38,7 +38,7 @@ Docker 守护进程在 `127.0.0.11` 运行了一个 DNS 服务器。容器内的
 
 ---
 
-### 9.2.3 配置 DNS 参数
+### 9.1.3 配置 DNS 参数
 
 如果你需要手动配置容器的 DNS (例如使用内网 DNS 服务器)，可以在 `docker run` 中使用以下参数：
 
@@ -69,7 +69,7 @@ $ docker run -h myweb nginx
 
 ---
 
-### 9.2.4 全局 DNS 配置
+### 9.1.4 全局 DNS 配置
 
 如果希望所有容器都使用特定的 DNS 服务器 (而不是继承宿主机)，可以修改 `/etc/docker/daemon.json`：
 
@@ -86,7 +86,7 @@ $ docker run -h myweb nginx
 
 ---
 
-### 9.2.5 常见问题
+### 9.1.5 常见问题
 
 以下是使用容器 DNS 时常见的问题及解决方法：
 

10_buildx/10.2_buildx.md

@@ -38,6 +38,15 @@ $ docker buildx build --sbom=true -t myimage .
 
 该命令会在构建结果中包含 SPDX 或 CycloneDX 格式的 SBOM 数据。
 
+> **⚠️ 注意与失败模式**：
+> 要使 SBOM (或其它 attestation 元数据) 成功附着并可见，对底层的存储格式有前置要求：默认的 classic image store 不支持 manifest list/index 这种存放 attestation 的结构。
+> 
+> 如果只简单运行上述命令，你可能会面临**“命令成功执行，但本地镜像中看不到 SBOM”**的体会落差。
+> 
+> **正确的解决路径有两条**：
+> 1. 在 Docker 守护进程中启用 `containerd image store` 特性（现代 Docker Desktop 默认推荐）。
+> 2. 或者使用 `docker-container` driver 的构建器，并直接**加上 `--push` 参数**将产物推送到远端支持 OCI 的镜像仓库，仓库会正确保存这些元数据。
+
 ### 10.2.2 官方文档
 
 * https://docs.docker.com/engine/reference/commandline/buildx/

11_compose/README.md

@@ -2,6 +2,10 @@
 
 `Docker Compose` 是 Docker 官方编排 (Orchestration) 项目之一，负责快速的部署分布式应用。
 
+> ⚠️ **重要提示：Compose V1 已停止支持**
+> 
+> 早期基于 Python 编写的 Compose V1（命令为 `docker-compose`）已于 2023 年中正式停止支持。现已全面升级为基于 Go 编写的 Compose V2，作为 Docker CLI 的官方插件提供（命令为 `docker compose`，中间为空格）。本书强烈推荐且后续章节均以 V2 为核心标准进行讲解。
+
 本章将介绍 `Compose` 项目情况以及安装和使用。
 
 * [简介](11.1_introduction.md)

14_kubernetes_setup/14.2_kubeadm-docker.md

@@ -2,9 +2,13 @@
 
 `kubeadm` 提供了 `kubeadm init` 以及 `kubeadm join` 这两个命令，作为快速创建 `Kubernetes` 集群的最佳实践。
 
-> ⚠️ **重要说明**：自 Kubernetes 1.24 起，内置 `dockershim` 已被移除，Kubernetes 默认不再直接使用 Docker Engine 作为容器运行时 (CRI)。因此，**更推荐参考** 同目录下的《[使用 kubeadm 部署 Kubernetes (CRI 使用 containerd)](14.1_kubeadm.md)》。
+> ⚠️ **强烈提示：Docker 与 Kubernetes 环境的时代分界**
 >
-> 本文档主要用于历史环境/学习目的：如果你确实需要在较新版本中继续使用 Docker Engine，通常需要额外部署 `cri-dockerd` 并在 `kubeadm init/join` 中指定 `--cri-socket`。
+> 自 Kubernetes v1.24 起，内置的 `dockershim` 组件已被正式移除。这意味着 **Kubernetes 不再将 Docker Engine 作为默认内置的容器运行时**。虽然 Docker 仍然是你本地构建、管理镜像的绝佳工具，但它已不再是 kubelet 的默认运行时选项。
+> 
+> 因此，**强烈推荐** 读者直接参考同目录下的《[使用 kubeadm 部署 Kubernetes (CRI 使用 containerd)](14.1_kubeadm.md)》作为主要的部署路线。
+>
+> 本文档保留，主要用于历史环境维护或特殊需求场景：如果你必须在较新的 Kubernetes 集群中继续使用 Docker Engine 作为底层运行时，你必须理解 CRI 层机制，额外部署并配置第三方兼容层 `cri-dockerd`，同时在部署时手动补充 `--cri-socket` 等参数约束。
 
 ### 14.2.1 安装 Docker
 

21_case_devops/21.1_devops_workflow.md

@@ -58,8 +58,7 @@ build_image:
   services:
     - docker:20.10.16-dind
   script:
-    - docker login -u $CI_REGISTRY_USER -p $CI_REGISTRY_PASSWORD \
-      $CI_REGISTRY
+    - echo "$CI_REGISTRY_PASSWORD" | docker login -u "$CI_REGISTRY_USER" --password-stdin $CI_REGISTRY
     - docker build -t $CI_REGISTRY_IMAGE:$CI_COMMIT_SHA .
     - docker push $CI_REGISTRY_IMAGE:$CI_COMMIT_SHA
 
@@ -81,4 +80,10 @@ deploy_staging:
 
 1. **不可变基础设施**：一旦镜像构建完成，在各个环境（Dev、Staging、Prod）中都应该使用同一个镜像 tag（通常是 commit hash），而不是重新构建。
 2. **配置分离**：使用 ConfigMap 和 Secret 管理环境特定的配置，不要打包进镜像。
-3. **GitOps**：考虑引入 ArgoCD，将部署配置也作为代码存储在 Git 中，实现 Git 驱动的部署同步。
+3. **应对 Docker Hub 限额 (Rate Limits)**：
+   - Docker Hub 对匿名拉取实施了严格的限制 (6小时内约100次)。若在 CI/CD 中频繁构建，极易触发 `toomanyrequests` 错误。
+   - **最佳策略**：
+     - 在流水线开头始终执行安全的身份认证 (使用 PAT，而非密码)。
+     - 将常用的基础镜像缓存到自建的 Harbor/Nexus，使用 Pull-Through Cache。
+     - 开启 Docker 构建引擎 (BuildKit) 的 inline 或 registry 缓存功能，以降低全量拉取频率。
+4. **GitOps**：考虑引入 ArgoCD，将部署配置也作为代码存储在 Git 中，实现 Git 驱动的部署同步。

README.md

@@ -2,7 +2,7 @@
 
 [![图](https://img.shields.io/github/stars/yeasy/docker_practice.svg?style=social&label=Stars)](https://github.com/yeasy/docker_practice) [![图](https://img.shields.io/github/release/yeasy/docker_practice/all.svg)](https://github.com/yeasy/docker_practice/releases) [![图](https://img.shields.io/badge/Based-Docker%20Engine%20v29.x-blue.svg)](https://docs.docker.com/engine/release-notes/) [![图](https://img.shields.io/badge/Docker%20%E6%8A%80%E6%9C%AF%E5%85%A5%E9%97%A8%E4%B8%8E%E5%AE%9E%E6%88%98-jd.com-red.svg)][1]
 
-**v1.6.0**
+**v1.6.2**
 
 [Docker](https://www.docker.com) 是个划时代的开源项目，它彻底释放了计算虚拟化的威力，极大提高了应用的维护效率，降低了云计算应用开发的成本！使用 Docker，可以让应用的部署、测试和分发都变得前所未有的高效和轻松！
 

appendix/README.md

@@ -11,3 +11,4 @@
 *   [**如何调试 Docker**](debug.md)：介绍 Docker 调试技巧和工具。
 *   [**资源链接**](resources.md)：推荐更多 Docker 相关的学习资源。
 *   [**术语词表**](glossary.md)：统一全书中英文术语、缩写与命令写法。
+*   [**示例规范与写作公约**](example_guidelines.md)：全书修改与贡献必须遵守的安全、格式及内容基线要求。

appendix/example_guidelines.md

@@ -0,0 +1,41 @@
+# 附录八：本书示例规范与写作公约
+
+为了保证本书在漫长的技术迭代中保持高质量、高安全性以及良好的可读性，我们确立了以下项目写作规范。所有的修改与贡献都必须遵循这些原则。
+
+## 1. 安全与凭据处理
+
+任何示例文档中都**严禁出现将凭据以明文形式直接传递给命令参数**的做法。
+
+* **错误示例**：`docker login -u myuser -p mysecretpassword` (这会导致密码泄露到历史记录及进程列表中)
+* **正确示例（交互式）**：推荐读者直接使用 `docker login` (优先使用官方 Device Code Flow)。
+* **正确示例（自动化）**：使用标准输入流传递 Token：`echo $PAT | docker login -u myuser --password-stdin`
+
+## 2. 失败模式与前置条件说明
+
+许多现代 Docker 功能 (如 Buildx, SBOM, Kubernetes CRI 集成) 均需要特定的后端存储或者组件支持。在介绍这些进阶命令时，必须：
+
+* **明确声明前置条件**：例如，“此功能需要开启 containerd image store” 或 “需要额外配置 `--push`”。
+* **描述失败现象**：明确告诉读者，“如果你不这么配置，命令仍会提示成功，但产物将不可见/被丢弃”。
+
+## 3. 统一使用 "docker compose" 命令
+
+早期 Python 编写的 `docker-compose` (V1) 已停止支持。
+
+* **全书统一标准**：所有的编排命令必须书写为 `docker compose` (带空格的 V2 CLI 插件版)。
+* 不得在新的文档和案例中提及或使用旧版格式，除非是为了特意说明 V1 到 V2 的迁移。
+
+## 4. 可复现性目标 (以可重建为目标)
+
+本书中的所有实战和案例 (尤其 OS 与 DevOps 章节) 应尽量给出“最小可复现实验环境”。
+
+* 提供明确的基础镜像版本要求 (不要盲目依赖 `latest`)。
+* 明确宿主机的生命周期窗口（例如明确注出 Ubuntu 20.04 的支持结束时间）。
+
+## 5. Markdown 格式纪律
+
+我们使用自动化的格式检查工具 (`check_project_rules.py`) 进行 Lint。以下是必须遵守的排版底线：
+
+* **加粗与空格**：加粗符号内不得有空格（`**错误 黑体**` ❌， `**正确黑体**` ✅）。
+* **标题间距**：标题后必须跟恰好一个空行。
+* **中文标点**：正文叙述部分的引号必须使用中文弯引号 `“”`，不得使用英文直引号 `""`（除了代码块或 Mermaid 图表中）。
+* **层级与桥接**：禁止跳跃级别使用标题 (如 H2 后直接接 H4)；且带有子标题的章节，在进入第一个子标题前，必须要有引导/过渡段落介绍该节内容。