端口隔离

一.操作系统基础 操作系统:(Operating System，简称OS)是管理和控制计算机硬件与软件资源的计算机程序，是直接运行在“裸机”上的最基本的系统软件，任何其他软件都必须在操作系统的支持下才能运行。 注：计算机(硬件)－>os－>应用软件 二.网络通信原理 2.1 互联网的本质就是一系列的网络协议 一台硬设有了操作系统，然后装上软件你就可以正常使用了，然而你也只能自己使用 像这样，每个人都拥有一台自己的机器，然而彼此孤立 如何能大家一起玩耍 然而internet为何物？ 其实两台计算机之间通信与两个人打电话之间通信的原理是一样的（中国有很多地区，不同的地区有不同的方言，为了全中国人都可以听懂，大家统一讲普通话） 普通话属于中国国内人与人之间通信的标准，那如果是两个国家的人交流呢？ 问题是，你不可能要求一个人／计算机掌握全世界的语言／标准，于是有了世界统一的通信标准：英语 结论：英语成为世界上所有人通信的统一标准，如果把计算机看成分布于世界各地的人，那么连接两台计算机之间的internet实际上就是 一系列统一的标准，这些标准称之为互联网协议，互联网的本质就是一系列的协议，总称为‘互联网协议’（Internet Protocol Suite). 互联网协议的功能：定义计算机如何接入internet，以及接入internet的计算机通信的标准。 2.2 osi七层协议

https://opengers.github.io/openstack/openstack-base-use-openvswitch/ Posted on January 23, 2017 by opengers in openstack Open vSwitch介绍 OVS架构 ovs-vswitchd ovsdb-server OpenFlow Controller Kernel Datapath OVS概念 Bridge Port Interface Controller datapath OVS中的各种流(flows) OpenFlow flows “hidden” flows datapath flows 管理flows的命令行工具 ovs-*工具的使用及区别 Open vSwitch介绍 在过去，数据中心的服务器是直接连在硬件交换机上，后来VMware实现了服务器虚拟化技术，使虚拟服务器(VMs)能够连接在虚拟交换机上，借助这个虚拟交换机，可以为服务器上运行的VMs或容器提供逻辑的虚拟的以太网接口，这些逻辑接口都连接到虚拟交换机上，有三种比较流行的虚拟交换机: VMware virtual switch, Cisco Nexus 1000V,和Open vSwitch Open vSwitch(OVS)是运行在虚拟化平台上的虚拟交换机，其支持OpenFlow协议

先看下OVS整体架构，用户空间主要组件有数据库服务ovsdb-server和守护进程ovs-vswitchd。kernel中是datapath内核模块。最上面的Controller表示OpenFlow控制器，控制器与OVS是通过OpenFlow协议进行连接，控制器不一定位于OVS主机上，下面分别介绍图中各组件 ovs1 ovs-vswitchd ovs-vswitchd 守护进程是OVS的核心部件，它和 datapath 内核模块一起实现OVS基于流的数据交换。作为核心组件，它使用openflow协议与上层OpenFlow控制器通信，使用OVSDB协议与 ovsdb-server 通信，使用 netlink 和 datapath 内核模块通信。 ovs-vswitchd 在启动时会读取 ovsdb-server 中配置信息，然后配置内核中的 datapaths 和所有OVS switches，当ovsdb中的配置信息改变时(例如使用ovs-vsctl工具)， ovs-vswitchd 也会自动更新其配置以保持与数据库同步 # ps -ef |grep ovs-vs root 22176 22175 0 Jan17 ? 00:16:56 ovs-vswitchd unix:/var/run/openvswitch/db.sock -vconsole:emer -vsyslog:err

目录 一 互联网的本质 二 osi七层协议 三 网络通信实现 四 网络通信流程 五. 访问流程示例图 一 互联网的本质 咱们先不说互联网是如何通信的(发送数据，文件等)，先用一个经典的例子，给大家说明什么是互联网通信。 现在追溯到八九十年代，当时电话刚刚兴起，还没有手机的概念，只是有线电话，那么此时你要是给在外地的人打电话，你应该怎么做？ 首先你要确保你们两个的座机要有一堆连接介质连接（电话线，转换器等等）咱们统称物理连接介质。 其次，你要拨号，锁定对方的电话。 最后就开始通话了。 通话是有学问的，当时那个年代还没有推广普通话，所以你要是和河南的人电话联系，你要讲河南话。 你要是和东北的人电话联系，你要讲东北话。 你要是和上海的人联系你要讲上海话。 如果你要是有广西，内蒙，唐山，山东等等等等的朋友，你要是打电话是否都要学习当地的方言才能沟通呢？ 其实不是，而是咱们推广了普通话，这样只要大家都会说普通话，这样就可以建立良好的通信。 那如果是与特朗普和普京通电话呢？ 那你还要学各个国家的语言么？ No！No! No! 咱们现在国际上交流通用语言就是英语，其实咱们把英语学会了，就可以与各个国家的人交流了。这两个例子说明了什么？说明了咱们要统一标准，都遵循一个标准的话，就可以建立良好的通信。 两台计算机之间的通信与两个人打电话原理是一样的。 　　1，首先要通过各种物理连接介质连接。 　　2

Docker暴露容器方法 第一种：将容器中的一个端口映射成宿主机中的一个随机端口 第二种：将容器中的一个端口映射成宿主机中的一个端口 第三种：将容器中的一个端口映射成宿主机中的一个特定网卡上的随机端口 第四种：将容器中的一个端口映射成宿主机中的一个特定网卡上的一个端口 【使用多次-p选项可以实现暴露多个端口】 Docker端口映射的四种方法使用演示 第一种：将容器中的一个端口映射成宿主机中的一个随机端口 下面的操作确保虚拟机是在桥接模式 第一步：下载httpd镜像 [root@ken ~]# docker pull httpd [root@ken ~]# docker image ls REPOSITORY TAG IMAGE ID CREATED SIZE httpd latest 2a51bb06dc8b 12 days ago 132MB redis latest 55cb7014c24f 5 months ago 83.4MB 第二步：启动httpd容器 –name: 指定容器名 -d: 后台运行 -P: 大写的P，映射随机端口(暴露容器内所有端口，映射到宿主机的随机端口) –rm: 表示退出容器时删除容器 [root@ken ~]# docker container run --name httpd1 -d -P --rm httpd 第三步：查看端口

一、前言 Docker作为目前最火的轻量级容器技术，有很多令人称道的功能，如Docker的镜像管理。然而，Docker同样有着很多不完善的地方，网络方面就是Docker比较薄弱的部分。因此，我们有必要深入了解Docker的网络知识，以满足更高的网络需求。 我们在使用docker run创建Docker容器时，可以用--net选项指定容器的网络模式，Docker有以下4种网络模式： host模式，使用--net=host指定。 容器将不会虚拟出自己的网卡，配置自己的IP等，而是使用宿主机的IP和端口。 container模式，使用--net=container:NAME_or_ID指定。 创建的容器不会创建自己的网卡，配置自己的IP，而是和一个指定的容器共享IP、端口范围。 none模式，使用--net=none指定。 该模式关闭了容器的网络功能。 bridge模式，使用--net=bridge指定，默认设置。 此模式会为每一个容器分配、设置IP等，并将容器连接到一个docker0虚拟网桥，通过docker0网桥以及Iptables nat表配置与宿主机通信。 注意：使用 docker network ls 命令列出这些docker内置的网络模式。 Docker 网络模型 二、host模式 众所周知，Docker使用了Linux的Namespaces技术来进行资源隔离，如PID

　 　OSI 七层模型通过七个层次化的结构模型使不同的系统不同的网络之间实现可靠的通讯，因此其最主要的功能就是帮助不同类型的主机实现数据传输 。完成中继功能的节点通常称为中继系统。一个设备工作在哪一层，关键看它工作时利用哪一层的数据头部信息。网桥工作时，是以MAC头部来决定转发端口的，因此显然它是数据链路层的设备。具体说: 物理层：网卡，网线，集线器，中继器，调制解调器 数据链路层：网桥，交换机 网络层：路由器 网关工作在第四层传输层及其以上 　　集线器是物理层设备,采用广播的形式来传输信息。 　　交换机就是用来进行报文交换的机器。多为链路层设备(二层交换机)，能够进行 地址学习 ，采用 存储转发 的形式来交换报文.。 　　路由器的一个作用是 连通不同的网络 ， 另一个作用是选择信息传送的线路 。选择通畅快捷的近路，能大大提高通信速度，减轻网络系统通信负荷，节约网络系统资源，提高网络系统畅通率。 交换机的工作原理 　　交换机拥有一条很高带宽的内部总线和内部交换矩阵。交换机的所有的端口都挂接在这条总线上，控制电路收到数据包以后，处理端口会查找内存中的地址对照表以确定目的MAC（网卡的硬件地址）的NIC（网卡）挂接在哪个端口上，通过内部交换矩阵迅速将数据包传送到目的端口，目的MAC若不存在则广播到所有的端口，接收端口回应后交换机会“学习”新的地址，并把它添加入内部MAC地址表中。

ONV-IPS31107PFM-2D 系列 工业POE交换机 ，提供7个百兆自适应RJ45端口+3个千兆SFP上联光口插槽+1路RS-485数据端口+1路RS232数据端口，其中1-7口支持IEEE 802.3af/at标准PoE供电，单端口PoE功率达30W，整机最大PoE输出功率为240W。该系列产品是针对满足串口转TCP/IP功能的网络数据转换而设计的，可以直接将串口设备接入网络。 集成串口服务器工业POE交换机 实现串口数据与网络数据的双向透明传输 ONV-IPS31107PFM-2D具有强大业务处理能力，同时提供串口转网络功能，能够将RS-232/485串口转换成TCP/IP网络接口，实现RS-232/485串口与TCP/IP网络接口的数据双向透明传输。使得串口设备能够立即具备TCP/IP网络接口功能，连接网络进行数据通信，极大的扩展串口设备的通信距离。RS-232/485转换提供数据自动控制，支持动态IP（DHCP）和静态IP，支持网关和 代理服务器，可以通过Internet传输数据。利用串口服务器，基于TCP/IP网络通信的系统的软硬件，用户无需对原有系统做任何修改，即可让串口设备方便快捷的整合进网络通信系统。 RS-232/485/二合一串口任意选择，最大通信速率64Gbps，通信速率通过WEB管理程序设定，虚拟串口通信模式下通信速率自适应。 ONV

一 RAID 作用 提高IO能力 磁盘并行读写 提高耐用性 磁盘冗余来实现 RAID实现的方式 外接式磁盘阵列：通过扩展卡提供适配能力 内接式RAID：主板集成RAID控制器，安装OS前在BIOS里配置 软件RAID：通过OS实现 常用级别： RAID-0, RAID-1, RAID-5, RAID-10, RAID-50, JBOD RAID-0： 读、写性能提升 可用空间：N*min(S1,S2,...) 无容错能力 最少磁盘数：2, 2+ RAID-1： 读性能提升、写性能略有下降 可用空间：1*min(S1,S2,...) 有冗余能力 最少磁盘数：2, 2N RAID-5： 读、写性能提升 可用空间：(N-1)*min(S1,S2,...) 有容错能力：允许最多1块磁盘损坏 最少磁盘数：3, 3+ RAID-10： 读、写性能提升 可用空间：N*min(S1,S2,...)/2 有容错能力：每组镜像最多只能坏一块 最少磁盘数：4, 4+ RAID-50 多块磁盘先实现RAID5,再组合成RAID0 JBOD：Just a Bunch Of Disks 功能：将多块磁盘的空间合并一个大的连续空间使用 可用空间：sum(S1,S2,...） 二 逻辑卷管理器LVM 逻辑卷：允许对卷进行方便操作的抽象层，包括重新设定文件系统的大小 ，允许在多个物理设备间重新组织文件系统

Open vSwitch 概述 Open vSwitch（下面简称为 OVS）是由 Nicira Networks 主导的，运行在虚拟化平台（例如 KVM，Xen）上的虚拟交换机。在虚拟化平台上，OVS 可以为动态变化的端点提供 2 层交换功能，很好的控制虚拟网络中的访问策略、网络隔离、流量监控等等。 OVS 遵循 Apache 2.0 许可证, 能同时支持多种标准的管理接口和协议。OVS 也提供了对 OpenFlow 协议的支持，用户可以使用任何支持 OpenFlow 协议的控制器对 OVS 进行远程管理控制。 Open vSwitch 概述 在 OVS 中, 有几个非常重要的概念： Bridge: Bridge 代表一个以太网交换机（Switch），一个主机中可以创建一个或者多个 Bridge 设备。 Port: 端口与物理交换机的端口概念类似，每个 Port 都隶属于一个 Bridge。 Interface: 连接到 Port 的网络接口设备。在通常情况下，Port 和 Interface 是一对一的关系, 只有在配置 Port 为 bond 模式后，Port 和 Interface 是一对多的关系。 Controller: OpenFlow 控制器。OVS 可以同时接受一个或者多个 OpenFlow 控制器的管理。 datapath: 在 OVS 中，datapath