端口隔离

firewalld防火墙 firewalld简述 firewalld:防火墙，其实就是一个隔离工具：工作于主机或者网络的边缘 对于进出本主机或者网络的报文根据事先定义好的网络规则做匹配检测， 对于能够被规则所匹配的报文做出相应处理的组件(这个组件可以是硬件，也可以是软件): 主机防火墙 网络防火墙 功能（也叫表） filter:过滤，防火墙 nat:network address translation,网络地址转换 mangle:拆分报文，做出修改，在封装起来 raw:关闭nat表上启用的连接追踪功能 链(内置): PREROUTING INPUT FORWARD OUTPUT POSTROUTING 数据报文的流向 流入:PREROUTING --> INPUT 流出:OUTPUT --> POSTROUTING 转发:PREROUTING --> FORWARD --> POSTROUTING 各功能可以在哪些链上实现 filter: INPUT,FORWARD,OUTPUT nat:PREROUTING(DNAT),OUTPUT,INPUT,POSTROUTING(SNAT) mangle: PREROUTING,INPUT,FORWARD,OUTPUT,POSTROUTING raw:PREROUTING,OUTPUT 路由发生的时刻（PREROUTING

VLAN（Virtual Local Area Network）的中文名为"虚拟局域网"。是将一个物理的局域网在逻辑上划分成多个广播域，从而实现二层隔离的技术。 一、VLAN的优点 ·有效控制广播域范围 ·增强局域网的安全性 ·灵活构建虚拟工作组 ·简化网络管理 二、VLAN概述 ·1VLAN = 1广播域 = 1子网 ·广播域被限制在各自VLAN里 ·不同VLAN间需要借助三层设备才能通信 三、VLAN范围 0~4095，共4096个，0和4096为保留，1为默认。 四、VLAN标签——Tag字段 IEEE802.1q（dot1q），是VLAN的正式标准，对Ethernet帧格式进行修改，在源MAC字段和协议类型字段之间加入4字节的802.1q Tag字段。 五、VLAN的链路类型 Access link：用于连接主机和交换机的链路，传输untagged帧； Trunk link：用于交换机间互连或交换机与路由器之间的链路，传输tagged帧。 六、PVID 即port VLAN ID,代表端口的缺省VLAN,华为交换机每个端口默认PVID=1。 七、VLAN端口类型 access 接入端口—用于连接主机，收到数据后添加Tag，发送数据时移除Tag。 trunk 干道端口—用于连接交换机或路由器。 ·收到帧:不包含Tag—打上端口PVID 包含Tag—不改变

1.Vlan作用 隔离广播域 ：防止网络中的广播包过多，导致网络拥塞，同时也是为了提高网络带宽的利用率。 实现故障隔离 ：减小网络故障带来的影响，缩小范围后也方便故障的定位和排除。 增强安全性 ：不同Vlan间的数据通信只能通过三层设备进行，在三层设备上采取安全措施可以防止病毒在局域网内大范围扩散。 2.Vlan的划分方式 可以基于 交换机端口 的（最常用），基于 协议 的，基于 IP 地址的，基于 MAC 地址的。 3.802.1q帧结构 4.交换机端口分类 Access 类型的端口只能属于1个VLAN，一般用于连接计算机的端口。 Trunk 类型的端口可以允许多个VLAN通过，可以接收和发送多个VLAN的报文，一般用于交换机之间连接的端口。 Hybrid 类型的端口可以允许多个VLAN通过，可以接收和发送多个VLAN的报文，可以用于交换机之间连接，也可以用于连接用户的计算机。 Hybrid端口和Trunk端口在接收数据时，处理方法是一样的，唯一不同之处在于发送数据时 ： Hybrid端口可以允许多个VLAN的报文发送时不打标签，而Trunk端口只允许缺省VLAN的报文发送时不打标签 。 端口的缺省VLAN的概念：Access端口只属于1个VLAN，所以它的缺省VLAN就是它所在的VLAN，不用设置； 　　Hybrid端口和Trunk端口属于多个VLAN，所以需要设置缺省VLAN

**计算机网络：**通过各种不同的通信设备和线材介质将处于不同地理位置且功能独立的多个计算机系统连接起来，然后通过成熟完善的网络软件体系如网络协议（TCP/IP）或网络操作系统实现网络中资源共享和信息传递的系统。 网桥：位于OSI模型的数据链路层，作用是减少集线器因共享和半双工性引发的网络冲突问题网桥的性能比集线器更好，因为网桥能够基于MAC地址进行数据链路层选路，能够基于 学习构造MAC地址表，对MAC地址进行控制与过滤，所以网桥可以基于MAC地址进行选路，比集线器性能更好，将冲突域划分的更小，转发行能比集线器更高。但同样是不能隔离广播，所以不能让网桥形成闭合的环路。 网桥MAC地址自学习：在网桥的接口上记录数据报文的源MAC地址，来完成整个MAC地址表的构建。 OSI开放式七层模型： 1.物理层： 物理媒介，网络线缆，利用一些物理媒体，如双绞线、同轴电缆等，但具体的物理媒体并不在OSI的7层之内，有人把物理媒体当做第0层，物理层的任务就是为它的上一层提供一个物理连接，以及它们的机械、电气、功能和过程特性，物理层的协议产生并检测电压以便发送和接收携带数据的信号。物理层将数字信号转换为比特流进行传输。在你的桌面P C 上插入网络接口卡，你就建立了计算机连网的基础。尽管物理层不提供纠错服务，但它能够设定数据传输速率并监测数据出错率。 （物理设备） 2.数据链路层：

博文大纲： 一、Bridge模式（同一台Docker服务器上容器间的通信） 二、部署consul服务实现Docker容器跨主机通信 前言： 当你开始大规模使用Docker时，你会发现需要了解很多关于网络的知识。Docker作为目前最火的轻量级容器技术，有很多令人称道的功能，如Docker的镜像管理。然而，Docker同样有着很多不完善的地方，网络方面就是Docker比较薄弱的部分。因此，我们有必要深入了解Docker的网络知识，以满足更高的网络需求。本文首先介绍了Docker自身的4种网络工作方式，然后介绍一些自定义网络模式。 我们安装Docker时，它会自动创建三个网络，bridge（创建容器默认连接到此网络）、 none 、host。 host：容器将不会虚拟出自己的网卡，配置自己的IP等，而是使用宿主机的IP和端口。 None：该模式关闭了容器的网络功能，相当于一个回环网络。 Bridge：此模式会为每一个容器分配、设置IP等，并将容器连接到一个叫docker0的虚拟网桥，通过docker0网桥以及Iptables nat表配置与宿主机通信。 [ root@docker ~ ] # docker network ls #执行该命令查看docker创建的网络 关于上述提到的三个网络解释如下： Host：相当于Vmware中的桥接模式，与宿主机在同一个网络中，但没有独立的IP地址

kvm时说过，在一台主机上，当需要运行多个kvm虚拟机的时候，网络构建方式有 最简单的方式就是提高桥，让两个对应的虚拟机实例只要连接到网桥，而且大家又能使用同一网络的地址，就可以通信了，这个个隔离网桥，仅用于内部通信，无法与外部主机通信 与宿主通信，可以在宿主机上把网桥当网卡来使用，配一个地址，意味着宿主机就能与两个实例通信了，这种仅实现了与当前主机通信，仅主机，host-only 要想与外部通信，可以在主机上创建一对网卡，一半在主机上，一半在桥上，把交换机就仅当交换机用，，交换机配了地址，将当做宿主机上的网卡，二代表宿主机的网卡与俩个虚拟机实例通信的网桥， 没有hostonly， 叫isolated 仅能够在一个桥上的主机进行通信 如果想要和其他主机通信不光是宿主机，两种方式， nat，所有虚拟机实例网关都指向宿主机上的虚拟网卡，在宿主机上打开核心转发并添加snat规则，哪台桥，也依然是桥 ** 第二种方式，是桥接，把这个桥和物理网卡直接建立关联关系，与物理网卡建立关联关系，把物理网卡当做交换机当桥，真正的桥当做网卡，对应的mac地址网卡来使用，所有的报文发给网卡，默认目标mac是到当前宿主机本身，送这网卡上 这个叫桥接，其实就是物理桥** 使用容器的方式，功能是一样的，因为每一个容器是一个独立的虚拟机，除了没有自己的内核空间之外，其他功能与我们的虚拟机没什么不同

docker主机时运行docker容器的核心组件，但docker自身并不是容器，容器是使用内核提供的，docker本身仅是一个容器管理器，docker事实上运行在用户空间的守护进程 一方面守护运行在本机上的各容器状态 二，守护着也能接收客户端发送的请求，随意响应客户端请求， docker的守护进程还有另外的作用，包括设置网络环境，比如提供docker0网络桥，虽然可以自定义桥的地址，但是桥的使用方式的确是由docker守护进程来完成的 如果运行容器，这些容器就运行在当前主机之上，让当前主机的docker守护进程来负责监控 初次之外还需要有一个空间，来存储本地的，镜像文件 这些镜像文件是只读的，所以可以启动多个容器，不需要把镜像文件复制，只需要为此容器添加一个读写层，因为底层都是只读的 还需要使用DM device mapper来实现联合挂载，ubuntu是unionfs（升级为AUFS高级联合文件系统） 其他的也可以支持分层存储，完成联合挂载，btrfs overlayfs2 这是在本地存储镜像文件的所谓的系统，支持联合挂载的文件系统 好在这种文件系统是基于grub来进行定义的，用docker自行管理，无需做其他多余的设定，一开始按照好，本地的镜像仓库可能是空的，，需要去获取镜像的时候通常可以使用dockerpull到远程的registry主机上，下载和获取，一个下载请求

一、容器于pod资源对象 现代的容器技术被设计用来运行单个进程时，该进程在容器中pid名称空间中的进程号为1，可直接接收并处理信号，于是，在此进程终止时，容器即终止退出。若要在一个容器中运行多个进程，则需要为这些进程提供一个类似于linux操作系统init进程的管控类进程，以树状结构完成多进程的生命周期管理。绝大多数场景中都应该于一个容器中仅运行一个进程，它将日志信息直接输出至容器的标准输出。不过，分别运行于各自容器的进程之间无法实现基于ipc的通信机制，此时，容器间的隔离机制对于依赖于此类通信方式的进程来说却又成了阻碍。pod资源抽象正是用来解决此类问题的组件。pod对象是一组容器的集合，这些容器共享network、uts及ipc名称空间，因此具有相同的域名、主机名和网络接口，并可通过ipc直接通信。为一个pod对象中的各容器提供网络名称空间等共享机制的是底层基础容器pause。 尽管可以将pod类比为物理机或vm，但一个pod内通常仅应该运行一个应用，除非多个进程间有密切关系。不过，有些场景要求必须于同一pod中同时运行多个容器，此时，这些分布式应用必须遵循某些最佳实践机制或基本准则。事实上，k8s并非期望成为一个管理系统，而是一个支持这些最佳实践的向开发人员或管理人员提供更高级别服务的系统。分布式系统设计通常包含以下几种模型： 1、sidecar pattern

部分参考，写的很好：https://blog.csdn.net/liukuan73/article/details/51603074 1.1 host 模式 众所周知，Docker 使用了Linux 的Namespaces 技术来进行资源隔离，如PID Namespace 隔离进程，Mount Namespace 隔离文件系统，Network Namespace 隔离网络等。一个Network Namespace 提供了一份独立的网络环境，包括网卡、路由、Iptable 规则等都与其他的Network Namespace 隔离。一个Docker 容器一般会分配一个独立的Network Namespace 。但如果启动容器的时候使用host 模式，那么这个容器将不会获得一个独立的Network Namespace ，而是和宿主机共用一个Network Namespace 。容器将不会虚拟出自己的网卡，配置自己的IP 等，而是使用宿主机的IP 和端口，Docker Container可以和宿主机一样，使用宿主机的eth0，实现和外界的通信。换言之，Docker Container的IP地址即为宿主机eth0的IP地址。 例如，我们在 10.10.101.105/24的机器上用 host模式启动一个含有 web应用的 Docker容器，监听 tcp80端口。当我们在容器中执行任何类似

ls -hl 显示详细信息 -a 显示全部文件 cd 切换目录 pwd 显示当前路径 mkdir 创建目录 -p 递归创建目录 rm 删除目录 -r强制 f不提示 alias别名设置 /etc/bashre /root/.bashre /用户/.bashre hostnamectl 查看主机名 hostnamectl set-hostname 永久修改 ifconfig eth0 //查看eth0网卡信息 5.cat /proc/cpuinfo //查看cpu信息 6.cat /proc/meminfo //查看内存信息 看文件类型 file 文件名 查看内容 cat -n head tail more 按行显示 less 分屏可控 touch 创建文件 find 查找内容 mv 移动 cp -r 递归 tar -cf 要压缩到的路径和名字 要压缩文件的目录和路径 tar -xf 要解压的文件 要解压文件的路径 gz --gzip 速度快 .bz2---bzip2 中间 .xz----xz 慢 小 vim 有三种工作模式 命令模式默认 末行模式 输入模式 i光标起始 o光标下另起一行 a光标后起始位置 gg首 G末 3G指定几行 p粘贴 u撤销 x删除 /查找替换文字 dd 删除一行 3dd指定删除 /s/原内容/先内容 :set nu行号 ####################