容器

【推荐】2019 Java 开发者跳槽指南.pdf(吐血整理) >>> 导读： 随着云计算边界不断向边缘侧延展，传统 RunC 容器已无法满足用户对不可信、异构工作负载的运行安全诉求，边缘 Serverless、边缘服务网格等更是对容器安全隔离提出了严苛的要求。本文将介绍边缘计算场景如何构建安全运行时技术基座，以及安全容器在架构、网络、监控、日志、存储、以及 K8s API 兼容等方面的遇到的困难挑战和最佳实践。 正文： 本文主要分为四个部分，首先前两个部分会分别介绍一下ACK安全沙箱容器和边缘容器（Edge Kubernetes），这两个方向内容目前大部分人接触并不是很多。第三部着重分享安全沙箱容器在边缘这边的解决方案与实践经验，最后会介绍一下我们在安全容器方向新的探索和实践-可信/机密计算。 安全容器运行时 据 Gartner 预测，2019 年一半以上的企业会在其开发和生产环境中使用容器部署应用，容器技术日趋成熟稳定，然而在未容器化的企业或用户中，42% 以上的受访者表示容器安全成为其容器化的最大障碍之一，主要包括容器运行时安全、镜像安全和数据安全加密等。 端到端的云原生安全架构 在讲安全沙箱容器之前简单介绍下端到端云原生安全架构，主要分为三部分： 1.基础架构安全 基础架构安全依赖于云厂商或者是专有云一些基础设施安全能力，也包括 RAM认证，细粒度RAM授权

一、Docker镜像操作基础命令 [root@localhost ~]# docker search 镜像名称 //搜索镜像（在docker hub官网上进行查找） [root@localhost ~]# docker pull 镜像名称 //下载镜像（如果不指定镜像标签默认下载最新版的镜像） [root@localhost ~]# docker push 仓库名称/仓库账号/镜像名称 //上传镜像 [root@localhost ~]# docker images //查询本地下载的所有镜像 [root@localhost ~]# docker images 镜像名称 //查询指定的镜像 [root@localhost ~]# docker inspect 容器名称或容器ID //查询镜像的详细信息 [root@localhost ~]# docker tag 原本的镜像名称及标签 生成以后的镜像名称及标签 //为本地镜像起一个新的名称、标签（源镜像还存在） [root@localhost ~]# docker rmi 镜像名或镜像ID //删除本地镜像 [root@localhost ~]# docker rmi 镜像名或镜像ID //强制删除本地镜像 //注意：强制的这种方式适用于有容器正在使用这个镜像 //这种方式容器如果在运行时也是无法删除的，容器停止后删除的话

Docker使用Linux桥接（参考 《Linux虚拟网络技术》 ），在宿主机虚拟一个Docker容器网桥(docker0)，Docker启动一个容器时会根据Docker网桥的网段分配给容器一个IP地址，称为Container-IP，同时Docker网桥是每个容器的默认网关。因为在同一宿主机内的容器都接入同一个网桥，这样容器之间就能够通过容器的Container-IP直接通信。 Docker网桥是宿主机虚拟出来的，并不是真实存在的网络设备，外部网络是无法寻址到的，这也意味着外部网络无法通过直接Container-IP访问到容器。如果容器希望外部访问能够访问到，可以通过映射容器端口到宿主主机（端口映射），即docker run创建容器时候通过 -p 或 -P 参数来启用，访问容器的时候就通过[宿主机IP]:[容器端口]访问容器。 四类网络模式 网络模式 配置 说明 host –net=host 容器和宿主机共享Network namespace。 container –net=container:NAME_or_ID 容器和另外一个容器共享Network namespace。 kubernetes中的pod就是多个容器共享一个Network namespace。 none –net=none 容器有独立的Network namespace，但并没有对其进行任何网络设置，如分配veth

一、修改配置文件，打开2375端口 [root@microservice ~]# vim /usr/lib/systemd/system/docker.service 在ExecStart=/usr/bin/dockerd 后面加上-H tcp://0.0.0.0:2375 -H unix://var/run/docker.sock 重新加载配置文件和启动： systemctl daemon-reload systemctl start docker 二、idea安装docker插件（Docker integration）并配置 插件安装完成重启idea后可以看到底部多了个docker标志 三、编写DockerFile（放在根目录下） #使用jdk8作为基础镜像 FROM java:8 #指定作者 MAINTAINER gaox #暴露容器的8088端口 EXPOSE 8089 #将复制指定的xxl-job-admin-2.1.0.jar为容器中的job.jar，相当于拷贝到容器中取了个别名 ADD target/xxl-job-admin-2.1.0.jar /job.jar #创建一个新的容器并在新的容器中运行命令 RUN bash -c 'touch /job.jar' #设置时区 ENV TZ=PRC RUN ln -snf /usr/share/zoneinfo/$TZ

Docker介绍 Docker 是一个能够把开发应用程序自动部署到容器的开源引擎。它由Docker公司的团队编写，基于Apache 2.0开源协议授权。它提供了一个简单、轻量的建模方式，使开发生命周期更高效快速，鼓励了面向服务的架构设计。Docker 项目的目标是实现轻量级的操作系统虚拟化解决方案。 Docker 的基础是 Linux 容器（LXC）等技术。在 LXC 的基础上 Docker 进行了进一步的封装，让用户不需要去关心容器的管理，使得操作更为简便。用户操作 Docker 的容器就像操作一个快速轻量级的虚拟机一样简单。 Docker 的特点： 更快速的交付和部署 更高效的虚拟化 更轻松的迁移和扩展 更简单的管理 容器技术与传统虚拟机性能对比 Docker与虚拟机建构对比 Docker 容器本质上是宿主机上的一个进程。Docker 通过 namespace 实现了资源隔离，通过 cgroups 实现了资源的限制，通过写时复制机制（copy-on-write）实现了高效的文件操作。 Docker有五个命名空间： 进程、网络、挂载、宿主和共享内存，为了隔离有问题的应用，Docker运用Namespace将进程隔离，为进程或进程组创建已隔离的运行空间，为进程提供不同的命名空间视图。这样，每一个隔离出来的进程组，对外就表现为一个container(容器)。需要注意的是

背景 在很多编程语言(例如java)开发中，程序员在某个类中需要依赖其它类的方法，则通常是new一个依赖类再调用类实例的方法，这种开发存在的问题是new的类实例不好统一管理，一旦有修改，牵扯的类会很多。 最早在java的spring提出了依赖注入的思想，即依赖类不由程序员实例化，而是通过spring容器帮我们new指定实例并且将实例注入到需要该对象的类中。目前许多主流PHP框架也使用了依赖注入容器，如ThinkPHP、Laravel等。 一、概念 1、容器：字面上理解就是装东西的东西。常见的变量、对象属性等都可以算是容器。一个容器能够装什么，全部取决于你对该容器的定义。当然，现在我们讨论的是这样一种容器，它存放的不是文本、数值，而是对象、对象的描述（类、接口）或者是提供对象的回调(闭包)，通过这种容器，我们得以实现许多高级的功能，其中最常提到的，就是 “解耦”、“依赖注入”。 2、IoC - Inversion of Control 控制反转 控制反转是从容器的角度在描述，即：容器控制应用程序，由容器反向的向应用程序注入应用程序所需要的外部资源。 3、DI - Dependency Injection 依赖注入 依赖注入是从应用程序的角度在描述，可以把依赖注入，即：应用程序依赖容器创建并注入它所需要的外部资源。 备注：依赖注入和控制反转说的是同一个东西，是一种设计模式

Kubernetes 是什么 都9102年了，你再不了解 Kubernetes 就真的 out 了！！！（贩卖焦虑体 kubernetes 是什么？Kubernetes 这个词来源于希腊语，有主管、舵手、船长的意思，我们从中能听到一丝管理的意味，从图标中也能看出来。 在 kubernetes 的网站上，描述 kubernetes 是: 生产级别的容器编排系统 从这个定义我们可以提炼出三个关键字： 生产级别 容器 编排系统 那下面分别解释下 k8s 的几个关键字（k8s是kubernetes的缩写，中间的8代表k与s间省略的8个字母，类似的缩写方式还有 internationalization 缩写为 i18n）。 1 生产级别 说 k8s 是生产级别有如下几个原因： k8s 是 Google 开源的系统，基于 Google 的 Borg 和 Omega 系统设计，这套系统已经在 Google 内部运行了10年以上，并还在支持Google 每周数十亿容器的运行。 k8s 是 CNCF （Cloud Native Computing Foundation）的首个毕业项目。 k8s 在2015年6月发布首个生产级成熟版本1.0后，目前（19年8月）已经进展到1.15版本，已经被各大公司广泛使用。 2 容器 没有集装箱，就没有全球化 什么是容器？容器的英文为 container

并发容器的由来 在Java并发编程中，经常听到Java集合类，同步容器、并发容器，那么他们有哪些具体分类，以及各自之间的区别和优劣呢？ 只有把这些梳理清楚了，你才能真正掌握在高并发的环境下，正确使用好并发容器，我们先从Java集合类，同步容器谈起。 1.什么是同步容器 Java的集合容器框架中，主要有四大类别：List、Set、Queue、Map，大家熟知的这些集合类ArrayList、LinkedList、HashMap这些容器都是非线程安全的。 如果有多个线程并发地访问这些容器时，就会出现问题。因此，在编写程序时，在多线程环境下必须要求程序员手动地在任何访问到这些容器的地方进行同步处理，这样导致在使用这些容器的时候非常地不方便。 所以，Java先提供了同步容器供用户使用。 同步容器可以简单地理解为通过synchronized来实现同步的容器 ，比如Vector、Hashtable以及SynchronizedList等容器。 2.同步容器，主要的分类： Vector Stack HashTable Collections.synchronized方法生成 同步容器面临的问题 可以通过查看Vector，Hashtable等这些同步容器的实现代码，可以看到这些容器实现线程安全的方式就是将它们的状态封装起来， 并在需要同步的方法上加上关键字synchronized。

Docker架构的工作原理 对Docker不太熟悉的朋友可以参考博文： Docker简介及安装配置详解 首先Docker是基于Go语言进行开发的，而且是基于C/S结构进行工作的，如图： 从图中可以看出： （1）用户是使用Docker Client与Docker Daemon建立通信，并发送请求给后者； （2）Docker Daemon作为Docker架构中的主体部分，首先提供Server的功能使其可以接受Docker Client的请求；而后Engine（引擎）执行Docker内部的一系列工作，每一项工作都是以一个Job的形式存在； （3）Job的运行过程中，当需要容器镜像时，则从Docker Registry（docker仓库）中下载镜像，并通过graphdriver（镜像管理驱动）将下载镜像以Graph（图像）的形式存储；当需要为Docker创建网络环境时，通过networkdriver（网络管理驱动）创建并配置Docker容器网络环境；当需要限制Docker容器运行资源或执行用户指令等操作时，则通过execdriver（执行管理驱动）来完成。 （4）libcontainer（容器库）是一项独立的容器管理包，networkdriver以及execdriver都是通过libcontainer来实现具体对容器进行的操作。当执行完运行容器的命令后

【推荐】2019 Java 开发者跳槽指南.pdf(吐血整理) >>> 并发容器的由来 在Java并发编程中，经常听到Java集合类，同步容器、并发容器，那么他们有哪些具体分类，以及各自之间的区别和优劣呢？ 只有把这些梳理清楚了，你才能真正掌握在高并发的环境下，正确使用好并发容器，我们先从Java集合类，同步容器谈起。 1.什么是同步容器 Java的集合容器框架中，主要有四大类别：List、Set、Queue、Map，大家熟知的这些集合类ArrayList、LinkedList、HashMap这些容器都是非线程安全的。 如果有多个线程并发地访问这些容器时，就会出现问题。因此，在编写程序时，在多线程环境下必须要求程序员手动地在任何访问到这些容器的地方进行同步处理，这样导致在使用这些容器的时候非常地不方便。 所以，Java先提供了同步容器供用户使用。 同步容器可以简单地理解为通过synchronized来实现同步的容器 ，比如Vector、Hashtable以及SynchronizedList等容器。 2.同步容器，主要的分类： Vector Stack HashTable Collections.synchronized方法生成 同步容器面临的问题 可以通过查看Vector，Hashtable等这些同步容器的实现代码，可以看到这些容器实现线程安全的方式就是将它们的状态封装起来，