[删除并重建Docker容器流程]的搜索结果

Docker , Docker是一种开源的应用容器引擎，它通过将应用程序及其依赖打包到可移植的容器中，实现了软件的标准化部署和运行。在本文语境下，用户使用Docker来拉取、管理和运行官方提供的镜像，但在国内网络环境下遇到了访问不稳定的问题。 镜像（Image） , 在Docker环境下，镜像是一个轻量级、可执行的独立软件包，包含运行某个软件所需的所有内容，包括代码、运行时环境、系统工具库等。当用户执行docker pull命令拉取镜像时，实际上是下载这个包含了应用运行环境及应用本身的文件集合。 国内镜像源 , 由于网络原因，直接从国外的Docker Hub获取镜像可能会遇到速度慢或无法连接的问题。国内镜像源是针对这一问题提供的一种解决方案，它通常是托管在国内服务器上的Docker Registry服务，用于同步或缓存Docker Hub上的官方镜像。用户通过配置Docker以使用这些国内镜像源，可以提高镜像拉取的速度和稳定性。 daemon.json , 在Docker中，daemon.json是一个重要的配置文件，用于存储Docker守护进程的全局配置选项。当需要更改Docker的默认行为，如添加镜像加速器（registry mirror）、设置日志级别等时，就需要编辑这个文件。在本文中，作者通过修改daemon.json文件中的\ registry-mirrors\ 字段，指定使用国内的镜像源。 systemctl , systemctl是Systemd系统和服务管理器的一部分，用于管理系统级别的服务，例如启动、停止、重启服务以及查看服务状态等。在本文中，作者使用systemctl命令来重新加载Docker服务的配置并重启Docker服务，以便新的镜像源配置生效。

在运用Docker的时候，我们可能会碰到因为一些因素致使信息遗失的情况，这时我们需要对Docker数据进行找回。下面我们将从几个方面介绍数据找回的方法。 1. 利用实例存档文件 1. 先在需要找回数据的主机上终止所有有关实例。 2. 根据主机上已有实例的存档文件进行新建新的实例。 3. 在新实例里将数据目录映射到本地，运用 scp 命令将备份数据复制到数据目录中。 4. 通过启动新的实例并挂载数据目录的方式实现数据找回。 2. 利用数据卷备份 1. 在需要备份的数据卷所在的实例内，运用 tar 命令将数据卷的所有目录和文件备份为一个文件。 2. 将存档文件传输到安全的存储介质上，例如 NAS 服务器中。 3. 在发生信息遗失的情况下，从备份介质中找回存档文件。 4. 利用 docker volume create 命令创建一个新的数据卷，并挂载到实例中。 5. 利用 tar 命令将存档文件中的数据找回到新的数据卷中。 6. 挂载新的数据卷到有关实例中实现数据找回。 总之，在日常运用 Docker 时，一定要注意备份好数据，保护好自己的数据。

...ubernetes、Docker Swarm等众多容器编排平台中以实现集群的配置共享和协调服务。不过，在我们日常运维的时候，难免会遇到一些突发状况。比如硬件突然闹脾气出故障啦、网络波动捣乱不稳定啦，甚至有时候人为操作的小失误也可能让Etcd这位小伙伴意外地挂掉，没法正常工作。那么，实际情况中，当Etcd遇到重启后需要恢复数据的状况时，它是怎么巧妙应对的呢？接下来，咱们就通过一些实实在在的代码实例，来一起把这个话题掰开了、揉碎了，好好地研究探讨一番。 1. Etcd的数据持久化机制 首先，我们需要了解Etcd的数据持久化方式。Etcd采用Raft一致性算法保证数据的一致性和高可用性，其数据默认保存在本地磁盘上（可通过--data-dir配置项指定目录），并定期进行快照(snapshot)和日志记录，确保即使在异常情况下也能尽可能减少数据丢失的风险。 bash 启动etcd时设置数据存储目录 etcd --data-dir=/var/lib/etcd 2. 非正常关闭与重启恢复流程 当Etcd非正常关闭后，重启时会自动执行以下恢复流程： (1)检测数据完整性：Etcd启动时，首先会检查data-dir下的快照文件和日志文件是否完整。要是发现文件受损或者不齐全，它会像个贴心的小助手那样，主动去其它Raft节点那里借个肩膀，复制丢失的日志条目，以便把状态恢复重建起来。 (2)恢复Raft状态：基于Raft协议，Etcd通过读取并应用已有的日志和快照文件来恢复集群的最新状态。这一过程包括回放所有未提交的日志，直至达到最新的已提交状态。 (3)恢复成员关系与领导选举：Etcd根据持久化的成员信息重新建立集群成员间的联系，并参与领导选举，以恢复集群的服务能力。 go // 这是一个简化的示例，实际逻辑远比这复杂 func (s EtcdServer) start() error { // 恢复raft状态 err := s raft.Restore() if err != nil { return err } // 恢复成员关系 s.restoreCluster() // 开始参与领导选举 s.startElection() // ... } 3. 数据安全与备份策略 尽管Etcd具备一定的自我恢复能力，但为了应对极端情况下的数据丢失，我们仍需要制定合理的备份策略。例如，可以使用Etcd自带的etcdctl snapshot save命令定期创建数据快照，并将其存储到远程位置。 bash 创建Etcd快照并保存到指定路径 etcdctl snapshot save /path/to/snapshot.db \ --endpoint=https://etcd-cluster-0:2379,https://etcd-cluster-1:2379 如遇数据丢失，可使用etcdctl snapshot restore命令从快照恢复数据，并重新加入至集群。 bash 从快照恢复数据并启动一个新的etcd节点 etcdctl snapshot restore /path/to/snapshot.db \ --data-dir=/var/lib/etcd-restore \ --initial-cluster-token=etcd-cluster-unique-token 4. 结语与思考 面对Etcd非正常关闭后的重启数据恢复问题，我们可以看到Etcd本身已经做了很多工作来保障数据的安全性和系统的稳定性。但这可不代表咱们能对此放松警惕，摸透并熟练掌握Etcd的运行原理，再适时采取一些实打实的备份策略，对提高咱整个系统的稳定性、坚韧性可是至关重要滴！就像人的心跳一旦不给力，虽然身体自带修复技能，但还是得靠医生及时出手治疗，才能最大程度地把生命危险降到最低。同样，我们在运维Etcd集群时，也应该做好“医生”的角色，确保数据的“心跳”永不停息。

...将第一时间进行核实并删除相应内容。 随着容器技术越来越火热，各种大会上标杆企业分享容器化收益，带动其他还未实施容器的企业也在考虑实施容器化。不过真要在自己企业实践容器的时候，会认识到容器化不是一个简单工程，甚至会有一种茫然不知从何入手的感觉。 本文总结了通用的企业容器化实施线路图，主要针对企业有存量系统改造为容器，或者部分新开发的系统使用容器技术的场景。不包含企业系统从0开始全新构建的场景，这种场景相对简单。 容器实践路线图 企业着手实践容器的路线，建议从3个维度评估，然后根据评估结果落地实施。3个评估维度为：商业目标，技术选型，团队配合。 商业目标是重中之重，需要回答为何要容器化，这个也是牵引团队在容器实践路上不断前行的动力，是遇到问题是解决问题的方向指引，最重要的是让决策者认同商业目标，并能了解到支持商业目标的技术原理，上下目标对齐才好办事。 商业目标确定之后，需要确定容器相关的技术选型，容器是一种轻量化的虚拟化技术，与传统虚拟机比较有优点也有缺点，要找出这些差异点识别出对基础设施与应用的影响，提前识别风险并采取应对措施。 技术选型明确之后，在公司或部门内部推广与评审，让开发人员、架构师、测试人员、运维人员相关人员与团队理解与认同方案，听取他们意见，他们是直接使用容器的客户，不要让他们有抱怨。 最后是落地策略，一般是选取一些辅助业务先试点，在实践过程中不断总结经验。 商业目标 容器技术是以应用为中心的轻量级虚拟化技术，而传统的Xen与KVM是以资源为中心的虚拟化技术，这是两者的本质差异。以应用为中心是容器技术演进的指导原则，正是在这个原则指导下，容器技术相对于传统虚拟化有几个特点：打包既部署、镜像分层、应用资源调度。 打包即部署：打包即部署是指在容器镜像制作过程包含了传统软件包部署的过程（安装依赖的操作系统库或工具、创建用户、创建运行目录、解压、设置文件权限等等），这么做的好处是把应用及其依赖封装到了一个相对封闭的环境，减少了应用对外部环境的依赖，增强了应用在各种不同环境下的行为一致性，同时也减少了应用部署时间。 镜像分层：容器镜像包是分层结构，同一个主机上的镜像层是可以在多个容器之间共享的，这个机制可以极大减少镜像更新时候拉取镜像包的时间，通常应用程序更新升级都只是更新业务层（如Java程序的jar包），而镜像中的操作系统Lib层、运行时（如Jre）层等文件不会频繁更新。因此新版本镜像实质有变化的只有很小的一部分，在更新升级时候也只会从镜像仓库拉取很小的文件，所以速度很快。 应用资源调度：资源（计算/存储/网络）都是以应用为中心的，中心体现在资源分配是按照应用粒度分配资源、资源随应用迁移。 基于上述容器技术特点，可以推导出容器技术的3大使用场景：CI/CD、提升资源利用率、弹性伸缩。这3个使用场景自然推导出通用的商业层面收益：CI/CD提升研发效率、提升资源利用率降低成本、按需弹性伸缩在体验与成本之间达成平衡。 当然，除了商业目标之外，可能还有其他一些考虑因素，如基于容器技术实现计算任务调度平台、保持团队技术先进性等。 CI/CD提升研发效率 为什么容器技术适合CI/CD CI/CD是DevOps的关键组成部分，DevOps是一套软件工程的流程，用于持续提升软件开发效率与软件交付质量。DevOps流程来源于制造业的精益生产理念，在这个领域的领头羊是丰田公司，《丰田套路》这本书总结丰田公司如何通过PDCA(Plan-Do-Check-Act)方法实施持续改进。PDCA通常也称为PDCA循环，PDCA实施过程简要描述为：确定目标状态、分析当前状态、找出与目标状态的差距、制定实施计划、实施并总结、开始下一个PDCA过程。 DevOps基本也是这么一个PDCA流程循环，很容易认知到PDCA过程中效率是关键，同一时间段内，实施更多数量的PDCA过程，收益越高。在软件开发领域的DevOps流程中，各种等待（等待编译、等待打包、等待部署等）、各种中断（部署失败、机器故障）是影响DevOps流程效率的重要因素。 容器技术出来之后，将容器技术应用到DevOps场景下，可以从技术手段消除DevOps流程中的部分等待与中断，从而大幅度提升DevOps流程中CI/CD的效率。 容器的OCI标准定义了容器镜像规范，容器镜像包与传统的压缩包(zip/tgz等)相比有两个关键区别点：1）分层存储；2）打包即部署。 分层存储可以极大减少镜像更新时候拉取镜像包的时间，通常应用程序更新升级都只是更新业务层（如Java程序的jar包），而镜像中的操作系统Lib层、运行时（如Jre）层等文件不会频繁更新。因此新版本镜像实质有变化的只有很小的一部分，在更新升级时候也只会从镜像仓库拉取很小的文件，所以速度很快。 打包即部署是指在容器镜像制作过程包含了传统软件包部署的过程（安装依赖的操作系统库或工具、创建用户、创建运行目录、解压、设置文件权限等等），这么做的好处是把应用及其依赖封装到了一个相对封闭的环境，减少了应用对外部环境的依赖，增强了应用在各种不同环境下的行为一致性，同时也减少了应用部署时间。 基于容器镜像的这些优势，容器镜像用到CI/CD场景下，可以减少CI/CD过程中的等待时间，减少因环境差异而导致的部署中断，从而提升CI/CD的效率，提升整体研发效率。 CI/CD的关键诉求与挑战 快 开发人员本地开发调试完成后，提交代码，执行构建与部署，等待部署完成后验证功能。这个等待的过程尽可能短，否则开发人员工作容易被打断，造成后果就是效率降低。如果提交代码后几秒钟就能够完成部署，那么开发人员几乎不用等待，工作也不会被打断；如果需要好几分钟或十几分钟，那么可以想象，这十几分钟就是浪费了，这时候很容易做点别的事情，那么思路又被打断了。 所以构建CI/CD环境时候，快是第一个需要考虑的因素。要达到快，除了有足够的机器资源免除排队等待，引入并行编译技术也是常用做法，如Maven3支持多核并行构建。 自定义流程 不同行业存在不同的行业规范、监管要求，各个企业有一套内部质量规范，这些要求都对软件交付流程有定制需求，如要求使用商用的代码扫描工具做安全扫描，如构建结果与企业内部通信系统对接发送消息。 在团队协同方面，不同的公司，对DevOps流程在不同团队之间分工有差异，典型的有开发者负责代码编写构建出构建物（如jar包），而部署模板、配置由运维人员负责；有的企业开发人员负责构建并部署到测试环境；有的企业开发人员直接可以部署到生产环境。这些不同的场景，对CI/CD的流程、权限管控都有定制需求。 提升资源利用率 OCI标准包含容器镜像标准与容器运行时标准两部分，容器运行时标准聚焦在定义如何将镜像包从镜像仓库拉取到本地并更新、如何隔离运行时资源这些方面。得益于分层存储与打包即部署的特性，容器镜像从到镜像仓库拉取到本地运行速度非常快（通常小于30秒，依赖镜像本身大小等因素），基于此可以实现按需分配容器运行时资源（cpu与内存），并限定单个容器资源用量；然后根据容器进程资源使用率设定弹性伸缩规则，实现自动的弹性伸缩。 这种方式相对于传统的按峰值配置资源方式，可以提升资源利用率。 按需弹性伸缩在体验与成本之间达成平衡 联动弹性伸缩 应用运行到容器，按需分配资源之后，理想情况下，Kubernetes的池子里没有空闲的资源。这时候扩容应用实例数，新扩容的实例会因资源不足调度失败。这时候需要资源池能自动扩容，加入新的虚拟机，调度新扩容的应用。 由于应用对资源的配比与Flavor有要求，因此新加入的虚拟机，应当是与应用所需要的资源配比与Flavor一致的。缩容也是类似。 弹性伸缩还有一个诉求点是“平滑”，对业务做到不感知，也称为“优雅”扩容/缩容。 请求风暴 上面提到的弹性伸缩一般是有计划或缓慢增压的场景，存在另外一种无法预期的请求风暴场景，这种场景的特征是无法预测、突然请求量增大数倍或数十倍、持续时间短。典型的例子如行情交易系统，当行情突变的时候，用户访问量徒增，持续几十分钟或一个小时。 这种场景的弹性诉求，要求短时间内能将资源池扩大数倍，关键是速度要快（秒级），否则会来不及扩容，系统已经被冲垮（如果无限流的话）。 目前基于 Virtual Kubelet 与云厂家的 Serverless 容器，理论上可以提供应对请求风暴的方案。不过在具体实施时候，需要考虑传统托管式Kubernetes容器管理平台与Serverless容器之间互通的问题，需要基于具体厂家提供的能力来评估。 基于容器技术实现计算调度平台 计算（大数据/AI训练等）场景的特征是短时间内需要大量算力，算完即释放。容器的环境一致性以及调度便利性适合这种场景。 技术选型 容器技术是属于基础设施范围，但是与传统虚拟化技术（Xen/KVM）比较，容器技术是应用虚拟化，不是纯粹的资源虚拟化，与传统虚拟化存在差异。在容器技术选型时候，需要结合当前团队在应用管理与资源管理的现状，对照容器技术与虚拟化技术的差异，选择最合适的容器技术栈。 什么是容器技术 (1)容器是一种轻量化的应用虚拟化技术。 在讨论具体的容器技术栈的时候，先介绍目前几种常用的应用虚拟化技术，当前有3种主流的应用虚拟化技术: LXC，MicroVM，UniKernel（LibOS）。 LXC: Linux Container，通过 Linux的 namespace/cgroups/chroot 等技术隔离进程资源，目前应用最广的docker就是基于LXC实现应用虚拟化的。 MicroVM: MicroVM 介于 传统的VM 与 LXC之间，隔离性比LXC好，但是比传统的VM要轻量，轻量体现在体积小（几M到几十M）、启动快（小于1s）。 AWS Firecracker 就是一种MicroVM的实现，用于AWS的Serverless计算领域，Serverless要求启动快，租户之间隔离性好。 UniKernel: 是一种专用的（特定编程语言技术栈专用）、单地址空间、使用 library OS 构建出来的镜像。UniKernel要解决的问题是减少应用软件的技术栈层次，现代软件层次太多导致越来越臃肿：硬件+HostOS+虚拟化模拟+GuestOS+APP。UniKernel目标是：硬件+HostOS+虚拟化模拟+APP-with-libos。 三种技术对比表： 开销 体积 启动速度 隔离/安全 生态 LXC 低（几乎为0） 小 快（等同进程启动） 差（内核共享） 好 MicroVM 高 大 慢(小于1s) 好 中（Kata项目） UniKernel 中 中 中 好 差 根据上述对比来看，LXC是应用虚拟化首选的技术，如果LXC无法满足隔离性要，则可以考虑MicroVM这种技术。当前社区已经在着手融合LXC与MicroVM这两种技术，从应用打包/发布调度/运行层面统一规范，Kubernetes集成Kata支持混合应用调度特性可以了解一下。 UniKernel 在应用生态方面相对比较落后，目前在追赶中，目前通过 linuxkit 工具可以在UniKernel应用镜像中使用docker镜像。这种方式笔者还未验证过，另外docker镜像运行起来之后，如何监控目前还未知。 从上述三种应用虚拟化技术对比，可以得出结论: （2)容器技术与传统虚拟化技术不断融合中。 再从规范视角来看容器技术，可以将容器技术定义为: (3)容器=OCI+CRI+辅助工具。 OCI规范包含两部分，镜像规范与运行时规范。简要的说，要实现一个OCI的规范，需要能够下载镜像并解压镜像到文件系统上组成成一个文件目录结构，运行时工具能够理解这个目录结构并基于此目录结构管理（创建/启动/停止/删除）进程。 容器(container)的技术构成就是实现OCI规范的技术集合。 对于不同的操作系统（Linux/Windows），OCI规范的实现技术不同，当前docker的实现，支持Windows与Linux与MacOS操作系统。当前使用最广的是Linux系统，OCI的实现，在Linux上组成容器的主要技术： chroot: 通过分层文件系统堆叠出容器进程的rootfs，然后通过chroot设置容器进程的根文件系统为堆叠出的rootfs。 cgroups: 通过cgroups技术隔离容器进程的cpu/内存资源。 namesapce: 通过pid, uts, mount, network, user namesapce 分别隔离容器进程的进程ID，时间，文件系统挂载，网络，用户资源。 网络虚拟化: 容器进程被放置到独立的网络命名空间，通过Linux网络虚拟化veth, macvlan, bridge等技术连接主机网络与容器虚拟网络。 存储驱动: 本地文件系统，使用容器镜像分层文件堆叠的各种实现驱动，当前推荐的是overlay2。 广义的容器还包含容器编排，即当下很火热的Kubernetes。Kubernetes为了把控容器调度的生态，发布了CRI规范，通过CRI规范解耦Kubelet与容器，只要实现了CRI接口，都可以与Kubelet交互，从而被Kubernetes调度。OCI规范的容器实现与CRI标准接口对接的实现是CRI-O。 辅助工具用户构建镜像，验证镜像签名，管理存储卷等。 容器定义 容器是一种轻量化的应用虚拟化技术。 容器=OCI+CRI+辅助工具。 容器技术与传统虚拟化技术不断融合中。 什么是容器编排与调度 选择了应用虚拟化技术之后，还需要应用调度编排，当前Kubernetes是容器领域内编排的事实标准，不管使用何种应用虚拟化技术，都已经纳入到了Kubernetes治理框架中。 Kubernetes 通过 CRI 接口规范，将应用编排与应用虚拟化实现解耦：不管使用何种应用虚拟化技术（LXC, MicroVM, LibOS），都能够通过Kubernetes统一编排。 当前使用最多的是docker，其次是cri-o。docker与crio结合kata-runtime都能够支持多种应用虚拟化技术混合编排的场景，如LXC与MicroVM混合编排。 docker(now): Moby 公司贡献的 docker 相关部件，当前主流使用的模式。 docker(daemon) 提供对外访问的API与CLI(docker client) containerd 提供与 kubelet 对接的 CRI 接口实现 shim负责将Pod桥接到Host namespace。 cri-o: 由 RedHat/Intel/SUSE/IBM/Hyper 公司贡献的实现了CRI接口的符合OCI规范的运行时，当前包括 runc 与 kata-runtime ，也就是说使用 cir-o 可以同时运行LXC容器与MicroVM容器，具体在Kata介绍中有详细说明。 CRI-O: 实现了CRI接口的进程，与 kubelet 交互 crictl: 类似 docker 的命令行工具 conmon: Pod监控进程 other cri runtimes: 其他的一些cri实现，目前没有大规模应用到生产环境。 容器与传统虚拟化差异 容器(container)的技术构成 前面主要讲到的是容器与编排，包括CRI接口的各种实现，我们把容器领域的规范归纳为南向与北向两部分，CRI属于北向接口规范，对接编排系统，OCI就属于南向接口规范，实现应用虚拟化。 简单来讲，可以这么定义容器： 容器(container) ~= 应用打包(build) + 应用分发(ship) + 应用运行/资源隔离(run)。 build-ship-run 的内容都被定义到了OCI规范中，因此也可以这么定义容器： 容器(container) == OCI规范 OCI规范包含两部分，镜像规范与运行时规范。简要的说，要实现一个OCI的规范，需要能够下载镜像并解压镜像到文件系统上组成成一个文件目录结构，运行时工具能够理解这个目录结构并基于此目录结构管理（创建/启动/停止/删除）进程。 容器(container)的技术构成就是实现OCI规范的技术集合。 对于不同的操作系统（Linux/Windows），OCI规范的实现技术不同，当前docker的实现，支持Windows与Linux与MacOS操作系统。当前使用最广的是Linux系统，OCI的实现，在Linux上组成容器的主要技术： chroot: 通过分层文件系统堆叠出容器进程的rootfs，然后通过chroot设置容器进程的根文件系统为堆叠出的rootfs。 cgroups: 通过cgroups技术隔离容器进程的cpu/内存资源。 namesapce: 通过pid, uts, mount, network, user namesapce 分别隔离容器进程的进程ID，时间，文件系统挂载，网络，用户资源。 网络虚拟化: 容器进程被放置到独立的网络命名空间，通过Linux网络虚拟化veth, macvlan, bridge等技术连接主机网络与容器虚拟网络。 存储驱动: 本地文件系统，使用容器镜像分层文件堆叠的各种实现驱动，当前推荐的是overlay2。 广义的容器还包含容器编排，即当下很火热的Kubernetes。Kubernetes为了把控容器调度的生态，发布了CRI规范，通过CRI规范解耦Kubelet与容器，只要实现了CRI接口，都可以与Kubelet交互，从而被Kubernetes调度。OCI规范的容器实现与CRI标准接口对接的实现是CRI-O。 容器与虚拟机差异对比 容器与虚拟机的差异可以总结为2点：应用打包与分发的差异，应用资源隔离的差异。当然，导致这两点差异的根基是容器是以应用为中心来设计的，而虚拟化是以资源为中心来设计的，本文对比容器与虚拟机的差异，更多的是站在应用视角来对比。 从3个方面对比差异：资源隔离，应用打包与分发，延伸的日志/监控/DFX差异。 1.资源隔离 隔离机制差异 容器 虚拟化 mem/cpu cgroup, 使用时候设定 require 与 limit 值 QEMU, KVM network Linux网络虚拟化技术(veth,tap,bridge,macvlan,ipvlan), 跨虚拟机或出公网访问:SNAT/DNAT, service转发:iptables/ipvs, SR-IOV Linux网络虚拟化技术(veth,tap,bridge,macvlan,ipvlan), QEMU, SR-IOV storage 本地存储: 容器存储驱动 本地存储：virtio-blk 差异引入问题与实践建议 应用程序未适配 cgroup 的内存隔离导致问题: 典型的是 JVM 虚拟机，在 JVM 启动时候会根据系统内存自动设置 MaxHeapSize 值，通常是系统内存的1/4，但是 JVM 并未考虑 cgroup 场景，读系统内存时候任然读取主机的内存来设置 MaxHeapSize，这样会导致内存超过 cgroup 限制从而导致进程被 kill 。问题详细阐述与解决建议参考Java inside docker: What you must know to not FAIL。 多次网络虚拟化问题: 如果在虚拟机内使用容器，会多一层网络虚拟化，并加入了SNAT/DNAT技术, iptables/ipvs技术，对网络吞吐量与时延都有影响（具体依赖容器网络方案），对问题定位复杂度变高，同时还需要注意网络内核参数调优。 典型的网络调优参数有：转发表大小 /proc/sys/net/netfilter/nf_conntrack_max 使用iptables 作为service转发实现的时候，在转发规则较多的时候，iptables更新由于需要全量更新导致非常耗时，建议使用ipvs。详细参考[华为云在 K8S 大规模场景下的 Service 性能优化实践](https://zhuanlan.zhihu.com/p/37230013)。 容器IP地址频繁变化不固定，周边系统需要协调适配，包括基于IP地址的白名单或防火墙控制策略需要调整，CMDB记录的应用IP地址需要适配动态IP或者使用服务名替代IP地址。 存储驱动带来的性能损耗: 容器本地文件系统是通过联合文件系统方式堆叠出来的，当前主推与默认提供的是overlay2驱动，这种模式应用写本地文件系统文件或修改已有文件，使用Copy-On-Write方式，也就是会先拷贝源文件到可写层然后修改，如果这种操作非常频繁，建议使用 volume 方式。 2.应用打包与分发 应用打包/分发/调度差异 容器 虚拟化 打包 打包既部署 一般不会把应用程序与虚拟机打包在一起，通过部署系统部署应用 分发 使用镜像仓库存储与分发 使用文件存储 调度运行 使用K8S亲和/反亲和调度策略 使用部署系统的调度能力 差异引入问题与实践建议 部署提前到构建阶段，应用需要支持动态配置与静态程序分离；如果在传统部署脚本中依赖外部动态配置，这部分需要做一些调整。 打包格式发生变化，制作容器镜像需要注意安全/效率因素，可参考Dockerfile最佳实践 容器镜像存储与分发是按layer来组织的，镜像在传输过程中放篡改的方式是传统软件包有差异。 3.监控/日志/DFX 差异 容器 虚拟化 监控 cpu/mem的资源上限是cgroup定义的；containerd/shim/docker-daemon等进程的监控 传统进程监控 日志采集 stdout/stderr日志采集方式变化；日志持久化需要挂载到volume；进程会被随机调度到其他节点导致日志需要实时采集否则分散很难定位 传统日志采集 问题定位 进程down之后自动拉起会导致问题定位现场丢失；无法停止进程来定位问题因为停止即删除实例 传统问题定位手段 差异引入问题实践与建议 使用成熟的监控工具，运行在docker中的应用使用cadvisor+prometheus实现采集与警报，cadvisor中预置了常用的监控指标项 对于docker管理进程（containerd/shim/docker-daemon）也需要一并监控 使用成熟的日志采集工具，如果已有日志采集Agent，则可以考虑将日志文件挂载到volume后由Agent采集；需要注意的是stderr/stdout输出也要一并采集 如果希望容器内应用进程退出后保留现场定位问题，则可以将Pod的restartPolicy设置为never，进程退出后进程文件都还保留着(/var/lib/docker/containers)。但是这么做的话需要进程没有及时恢复，会影响业务，需要自己实现进程重拉起。 团队配合 与周边的开发团队、架构团队、测试团队、运维团队评审并交流方案，与周边团队达成一致。 落地策略与注意事项 逐步演进过程中网络互通 根据当前已经存在的基础实施情况，选择容器化落地策略。通常使用逐步演进的方式，由于容器化引入了独立的网络namespace导致容器与传统虚拟机进程网络隔离，逐步演进过程中如何打通隔离的网络是最大的挑战。 分两种场景讨论： 不同服务集群之间使用VIP模式互通: 这种模式相对简单，基于VIP做灰度发布。 不同服务集群之间使用微服务点对点模式互通(SpringCloud/ServiceComb/Dubbo都是这一类): 这种模式相对复杂，在逐步容器化过程中，要求容器网络与传统虚拟机网络能够互通（难点是在虚拟机进程内能够直接访问到容器网络的IP地址），当前解决这个问题有几种方法。 自建Kubernetes场景，可使用开源的kube-router，kube-router 使用BGP协议实现容器网络与传统虚拟机网络之间互通，要求网络交换机支持BGP协议。 使用云厂商托管Kubernetes场景，选择云厂商提供的VPC-Router互通的网络插件，如阿里云的Terway网络插件, 华为云的Underlay网络模式。 选择物理机还是虚拟机 选择物理机运行容器还是虚拟机运行容器，需要结合基础设施与业务隔离性要求综合考虑。分两种场景：自建IDC、租用公有云。 自建IDC: 理想情况是使用物理机组成一个大集群，根据业务诉求，对资源保障与安全性要求高的应用，使用MicorVM方式隔离；普通应用使用LXC方式隔离。所有物理机在一个大集群内，方便削峰填谷提升资源利用率。 租用公有云：当前公有云厂家提供的裸金属服务价格较贵且只能包周期，使用裸金属性价比并不高，使用虚拟机更合适。 集群规模与划分 选择集群时候，是多个应用共用一个大集群，还是按应用分组分成多个小集群呢？我们把节点规模数量>=1000的定义为大集群，节点数<1000的定义为小集群。 大集群的优点是资源池共享容器，方便资源调度（削峰填谷）；缺点是随着节点数量与负载数量的增多，会引入管理性能问题（需要量化）: DNS 解析表变大，增加/删除 Service 或 增加/删除 Endpoint 导致DNS表刷新慢 K8S Service 转发表变大，导致工作负载增加/删除刷新iptables/ipvs记录变慢 etcd 存储空间变大，如果加上ConfigMap，可能导致 etcd 访问时延增加 小集群的优点是不会有管理性能问题，缺点是会导致资源碎片化，不容易共享。共享分两种情况: 应用之间削峰填谷：目前无法实现 计算任务与应用之间削峰填谷：由于计算任务是短时任务，可以通过上层的任务调度软件，在多个集群之间分发计算任务，从而达到集群之间资源共享的目的。 选择集群规模的时候，可以参考上述分析，结合实际情况选择适合的集群划分。 Helm? Helm是为了解决K8S管理对象散碎的问题，在K8S中并没有"应用"的概念，只有一个个散的对象(Deployment, ConfigMap, Service, etc)，而一个"应用"是多个对象组合起来的，且这些对象之间还可能存在一定的版本配套关系。 Helm 通过将K8S多个对象打包为一个包并标注版本号形成一个"应用"，通过 Helm 管理进程部署/升级这个"应用"。这种方式解决了一些问题（应用分发更方便）同时也引入了一些问题（引入Helm增加应用发布/管理复杂度、在K8S修改了对象后如何同步到Helm）。对于是否需要使用Helm，建议如下： 在自运维模式下不使用Helm: 自运维模式下，很多场景是开发团队交付一个运行包，运维团队负责部署与配置下发，内部通过兼容性或软件包与配置版本配套清单、管理软件包与配置的配套关系。 在交付软件包模式下使用Helm: 交付软件包模式下，Helm 这种把散碎组件组装为一个应用的模式比较适合，使用Helm实现软件包分发/部署/升级场比较简单。 Reference DOCKER vs LXC vs VIRTUAL MACHINES Cgroup与LXC简介 Introducing Container Runtime Interface (CRI) in Kubernetes frakti rkt appc-spec OCI 和 runc：容器标准化和 docker Linux 容器技术史话：从 chroot 到未来 Linux Namespace和Cgroup Java inside docker: What you must know to not FAIL QEMU,KVM及QEMU-KVM介绍 kvm libvirt qemu实践系列(一)-kvm介绍 KVM 介绍（4）：I/O 设备直接分配和 SR-IOV [KVM PCI/PCIe Pass-Through SR-IOV] prometheus-book 到底什么是Unikernel？ The Rise and Fall of the Operating System The Design and Implementation of the Anykernel and Rump Kernels UniKernel Unikernel：从不入门到入门 OSv 京东如何打造K8s全球最大集群支撑万亿电商交易 Cloud Native App Hub 更多云最佳实践 https://best.practices.cloud 本篇文章为转载内容。原文链接：https://blog.csdn.net/sinat_33155975/article/details/118013855。 该文由互联网用户投稿提供，文中观点代表作者本人意见，并不代表本站的立场。 作为信息平台，本站仅提供文章转载服务，并不拥有其所有权，也不对文章内容的真实性、准确性和合法性承担责任。 如发现本文存在侵权、违法、违规或事实不符的情况，请及时联系我们，我们将第一时间进行核实并删除相应内容。

...广泛应用以及云计算、容器化技术的发展，MySQL数据库的部署和管理方式也在持续演进。例如，用户现在可以通过Docker轻松部署MySQL服务器，简化了安装与配置过程，同时也便于实现跨环境的一致性。 近期，微软Azure云平台推出了针对MySQL的完全托管服务，用户无需关心底层基础设施，只需通过图形化界面或API即可完成数据库的创建、配置及扩展等操作。对于那些关注性能优化和高可用性的用户，可以进一步探索MySQL 8.0中的新特性，如窗口函数、原子DDL操作、资源组管理和CACHING_sha2_password身份验证插件等，以提升数据库的稳定性和安全性。 此外，随着DevOps文化的普及，越来越多的企业采用自动化工具（如Ansible、Chef或Puppet）进行MySQL数据库的运维管理，包括自动备份恢复、监控告警、性能调优等任务，大大提高了工作效率和系统稳定性。 而对于深入学习MySQL的开发者和技术人员，建议阅读官方文档和社区发布的最新教程，了解如何在不同场景下利用MySQL命令行、Workbench图形工具或者PHPMyAdmin等第三方工具进行数据库设计、SQL查询优化以及权限管理等高级实践。同时，跟踪MySQL官方博客和社区论坛上的讨论，及时获取关于安全更新、补丁发布以及最佳实践的最新资讯，确保在享受MySQL强大功能的同时，能够紧跟时代步伐，应对不断变化的技术挑战。

在利用Docker的期间，数据路径是至关重要的。Docker是利用映像的方式构建容器，容器中的数据也需要存储在本地，因此Docker的数据管控是依赖于存储卷（Volume）和存储卷容器（Volume Container）达成的。 存储卷是Docker提供的一种方式，可以将本地宿主机的目录及文件装载到容器内部。存储卷可以保证容器中的数据持久保存，且容器的数据可以在不同的容器之间分享。比如，下面的命令将本地目录 /data 装载到容器内部的 /app 目录： docker run -v /data:/app image_name 利用这种方式，容器中的数据发生变化时，本地宿主机的数据也会随之更新，也可以通过修改本地宿主机上的文件来修改容器中的文件。 存储卷容器是一种特殊的容器，用于管理存储卷。存储卷容器与存储卷的关系就像是一个储藏室和一个存储空间的关系。存储卷容器负责构建存储卷和管理存储卷的生命周期，而其他容器可以通过装载存储卷容器来利用存储卷。比如，下面的命令构建一个名为 my_data 的存储卷容器： docker create -v /app --name my_data busybox 利用这种方式，可以通过装载 my_data 存储卷容器来利用存储卷，比如： docker run --volumes-from my_data image_name 在利用存储卷的期间，还有一些需要注意的细节。首先，不同的容器中装载的存储卷是相互隔离的，因此不同的容器不能利用相同的目录装载存储卷；其次，利用 -v 参数构建容器时，如果本地目录不存在，则会自动构建；最后，存储卷的更新和删除需要手动执行，否则存储卷和容器中的数据将一直存在。

Docker是什么？它是一种开源的容器技术平台，它可以让程序员将应用程序和系统服务封装到一个容器中，并在不同的环境中高效地发布和执行这些容器。 $ docker run hello-world 这个简单的指令会从Docker Hub获取一个hello-world映像，并在一个全新的容器中执行它。通过Docker，我们可以方便地操控容器，如开启、终止、暂停或删除容器。 Docker的优点是什么？它可以让程序员在不同的环境中高效地发布应用程序，并且可以通过Docker Hub来分享和操控自己的应用。此外，Docker还可以提高应用程序的可移植性和可伸缩性。 $ docker build -t myapp . $ docker run -p 80:80 myapp 这个指令使用Dockerfile构建了一个全新的映像，然后使用这个映像来执行一个全新的容器。在这个例子中，我们将容器的80端口映射到主机上的80端口，这样就可以通过主机上的浏览器访问到容器中的应用程序。 总之，Docker是一个非常有用的工具，可以让程序员更轻松地操控和发布他们的应用程序。它的容器化技术可以提高应用程序的可移植性和可伸缩性，使得程序员可以更加方便地构建、测试和发布他们的应用。

Docker是一种容器技术，可以将应用程序和它们的依赖资源封装在一个容器中，使它们可以在任何系统上运行。但是，有时候Docker容器或许会崩溃，这时需要重启容器。 docker ps -a // 查看现有全部容器以及运行情况 docker start<容器ID>// 开启已暂停的容器 docker attach<容器ID>// 登陆容器 ctrl + p + q // 离开并将容器暂停 docker exec -it<容器ID>/bin/bash // 以命令行交互模式方式登陆容器 docker top<容器ID>// 显示容器内运行的进程 docker logs<容器ID>// 查看容器的日志 docker stats<容器ID>// 查看容器的资源占用情况 如果以上命令无法解决问题，可以考虑删除容器重新构建并运行： docker stop<容器ID>// 停止当前崩溃的容器 docker rm<容器ID>// 删除容器 docker images // 查看所有镜像 docker rmi<镜像ID>// 删除相关的镜像 docker build -t<新容器名称>. // 构建新容器 docker run -d<新容器名称>// 运行新容器 重启Docker容器的方法有许多，需要依据具体问题具体分析，选择最佳方案进行重启。

...不仅管理着系统的启动流程和服务，还引入了目标（target）的概念，使得服务的启动顺序更为灵活和高效。 近期，Linux内核社区对Bootloader引导程序的研发也取得了一系列突破。比如，UEFI Secure Boot功能增强了系统的安全启动机制，GRUB2作为主流Linux发行版支持的引导加载程序，已经能够良好地兼容并利用这一特性，确保操作系统在启动过程中免受恶意篡改。 此外，随着容器技术和轻量级虚拟化技术的发展，如Docker和Kubernetes等，Linux系统的启动过程也在不断优化以适应快速部署、动态扩展的需求。这些新技术使得服务的启停更加快速、便捷，同时也为系统资源的有效管理和调度提供了全新的解决方案。 对于有志于深入研究Linux系统启动原理和技术细节的读者，可以阅读《Understanding the Linux Kernel》这本书，它详细剖析了Linux内核的工作原理，包括内核的初始化、模块加载以及系统调用等核心内容。同时，关注Linux基金会及各大Linux发行版的官方博客和开发文档，及时跟进最新的启动技术进展，也是提升专业技能的良好途径。

...，随着DevOps和容器化技术的普及，对进程间通信和错误恢复机制的需求日益增强，trap命令的重要性更加凸显。 例如，在Kubernetes集群环境中，Pod内的容器可能需要优雅地处理SIGTERM信号以确保在被删除或重新调度时能完成必要的清理工作，如关闭数据库连接、保存临时数据等。通过设置适当的trap命令，可以极大地提升系统的稳定性和可靠性。 另外，Linux内核社区最近发布的版本中，针对信号处理机制也进行了优化和完善，例如改进了信号队列的处理效率，使得在高并发场景下，通过trap命令设置的复杂信号响应逻辑能够更高效地执行。 此外，对于Shell脚本开发者而言，学习和借鉴业界成熟的开源项目，如Apache Hadoop、Docker等，是如何巧妙运用trap命令进行错误恢复和资源管理的，不失为一种深度学习和实践的方式。 总之，《精通Unix/Linux Shell编程》、《Advanced Linux Programming》等经典书籍以及各大技术博客和论坛上的最新实践分享，都是深入研究和掌握trap命令及其应用场景的理想延伸阅读资料，帮助读者将理论知识转化为解决实际问题的能力。

...易蜂巢平台创建和管理容器的详细流程后，我们进一步探讨容器技术在现代云计算领域的应用与发展。近期，Docker与Kubernetes等开源容器技术正在持续推动云原生应用的发展潮流。例如，阿里云日前发布了全新的ACK Anywhere服务，让企业能够在任意基础设施上部署和管理Kubernetes集群，实现混合云、多云环境下的容器统一管理，这无疑为企业提供了更大的灵活性与可控性。 此外，随着安全问题日益突出，如何保障容器环境的安全也成为了业界关注焦点。例如，腾讯云推出了基于密钥注入机制的容器安全解决方案，通过严格的权限控制和SSH密钥对管理，确保容器在构建和运行过程中的安全性，这一举措与文中提到的网易蜂巢容器SSH密钥登录机制不谋而合，凸显出业界对于容器安全性的高度重视。 与此同时，容器镜像仓库作为容器生态链中不可或缺的一环，其标准化与合规化同样至关重要。近日，华为云发布了统一的容器镜像标准，旨在提升镜像质量，简化镜像分发和维护流程，为开发者提供更为便捷、高效的镜像服务体验，这也启示我们在利用如网易蜂巢等平台创建自定义镜像时，应注重遵循行业规范与最佳实践。 总之，容器技术在不断提升效率的同时，也在不断强化安全性和规范化建设，以满足企业和开发者日趋复杂的应用场景需求。对于用户而言，在熟练掌握如网易蜂巢容器管理操作的基础上，紧跟容器技术领域的新趋势与新发展，将有利于更好地运用容器技术驱动业务创新与增长。

...或虚拟机，它负责运行容器化应用。节点由Master组件管理，并通过kubelet代理与Master通信。节点包含运行Pod所需的环境和服务，如Docker、kube-proxy和kubelet等。 Taint 和 Label , 在Kubernetes中，Label是用于对对象（如节点、Pods、服务等）进行分类和组织的关键字/值对，使得用户可以根据标签来选择和操作资源。而Taint则是节点的一个属性，带有特定taint的节点只能调度接受相应toleration（即能容忍该taint）的Pod，用以实现节点的亲和性和反亲和性策略。 Pod , 在Kubernetes中，Pod是最小的部署单元，它是容器的逻辑分组，代表集群上运行的一个进程及其存储资源。一个Pod中可以包含一个或多个紧密相关的容器，这些容器共享网络命名空间、IP地址以及存储卷，从而形成一个协同工作的应用程序单元。 kubectl , kubectl是Kubernetes提供的命令行工具，用于与集群进行交互，执行各种操作，例如创建、修改、删除资源对象，检查集群状态，以及获取日志和监控信息等。在处理Pod不在预期节点上运行的问题时，运维人员会频繁使用kubectl执行诸如查看节点状态、编辑DaemonSet配置、调整Pod数量等相关操作。

.... 引言 当我们使用Docker来部署MySQL数据库时，一个常常引起开发者好奇心的现象是：即使我们没有明确指定MySQL数据存储的宿主机目录进行挂载，Docker仍然会为我们自动配置一个数据卷。这究竟是怎么一回事儿，为啥Docker会做出这样的选择呢？别急，本文就要带你一起揭开这个谜底，就像探险家挖掘宝藏那样，我们会通过实实在在的代码实例，一步步揭示这背后的神秘机制和它所带来的实际价值，让你恍然大悟，拍案叫绝！ 1. Docker数据卷的概念与作用 首先，让我们回顾一下Docker数据卷（Data Volume）的基本概念。在Docker的天地里，数据卷可是个了不起的角色。它就像一个超长待机的移动硬盘，不随容器的生死存亡而消失，始终保持独立。也就是说，甭管你的容器是歇菜重启了，还是彻底被删掉了，这个数据卷都能稳稳地保存住里面的数据，让重要信息时刻都在，安全无忧。对于像MySQL这样的数据库服务而言，数据的持久性尤为重要，因此默认配置下，Docker会在启动MySQL容器时不经意间创建一个匿名数据卷以保证数据安全。 2. MySQL容器未显式挂载data目录时的行为 当我们在不设置任何数据卷挂载的情况下运行MySQL Docker镜像，Docker实际上会自动生成一个匿名数据卷用于存放MySQL的数据文件。这是因为Docker官方提供的MySQL镜像已经预设了数据目录（如/var/lib/mysql）为一个数据卷。例如，如果我们执行如下命令： bash docker run -d --name mysql8 -e MYSQL_ROOT_PASSWORD=your_password mysql:8.0 虽然这里没有手动指定-v或--mount选项来挂载宿主机目录，但MySQL容器内部的数据变化依旧会被持久化存储到Docker管理的一个隐藏数据卷中。 3. 查看自动创建的数据卷 若想验证这个自动创建的数据卷，可以通过以下命令查看： bash docker volume ls 运行此命令后，你会看到一个无名（匿名）卷，它就是Docker为MySQL容器创建的用来持久化存储数据的卷。 4. 明确指定数据卷挂载的优势 尽管Docker提供了这种自动创建数据卷的功能，但在实际生产环境中，我们通常更倾向于明确地将MySQL的数据目录挂载至宿主机上的特定路径，以便更好地管理和备份数据。比如： bash docker run -d \ --name mysql8 \ -v /path/to/host/data:/var/lib/mysql \ -e MYSQL_ROOT_PASSWORD=your_password \ mysql:8.0 在此示例中，我们指定了MySQL容器内的 /var/lib/mysql 目录映射到宿主机上的 /path/to/host/data。这么做的妙处在于，我们能够直接在主机上对数据库文件“动手”，不论是备份还是迁移，都不用费劲巴拉地钻进容器里面去操作了。 5. 结论与思考 Docker之所以在启动MySQL容器时不显式配置也自动创建数据卷，是为了保障数据库服务的默认数据持久化需求。不过，对于我们这些老练的开发者来说，一边摸透和掌握这个机制，一边也得明白一个道理：为了追求更高的灵活性和可控性，咱应该积极主动地去声明并管理数据卷的挂载点，就像是在自己的地盘上亲手搭建一个个储物柜一样。这样一来，我们不仅能确保数据安全稳妥地存起来，还能在各种复杂的运维环境下游刃有余，让咱们的数据库服务变得更加结实耐用、值得信赖。 总的来说，Docker在简化部署流程的同时，也在幕后默默地为我们的应用提供了一层贴心保护。每一次看似“自动”的背后，都蕴含着设计者对用户需求的深刻理解和精心考量。在我们每天的工作里，咱们得瞅准自己项目的实际需求，把这些特性玩转起来，让Docker彻底变成咱们打造微服务架构时的得力小助手，真正给力到家。

...时，对于微服务架构和容器化部署场景，通常采用框架或容器（如Spring Boot、Docker等）来管理应用的生命周期，它们提供了自定义启动器和引导过程，不再强制要求每个服务包含一个main方法。在这种情况下，业务逻辑被封装在服务类中，由框架统一调度执行。 此外，随着函数式编程思想在Java领域的普及，Java开发者开始更多地利用Lambda表达式和函数接口，甚至借助第三方库（如JavaFX、Quarkus、Vert.x等）提供的无main方法运行模式，简化了小型脚本和事件驱动型应用的编写和执行流程。 总而言之，在当今Java开发领域中，虽然main方法仍然是独立Java应用程序的标准入口点，但随着技术进步和编程范式的演变，Java代码的执行和编译机制正变得日益丰富和多元化。为了紧跟这一发展步伐，开发者需要不断学习和掌握新的工具、框架及编程模式，以应对日益复杂的应用场景需求。

...业和个人用户简化部署流程，提升运维效率，降低出错概率。例如，通过Terraform可以以声明式的方式编写基础设施配置，并在云端统一管理和更新。 另外，关于旗鱼云梯所引领的轻量化、低成本云端服务器管理模式，其背后是SaaS（Software as a Service）模式的成功应用。这种模式不仅改变了传统运维方式，也为中小微企业提供了更为经济高效的运维方案，降低了IT运维的技术门槛和成本压力。 值得一提的是，在未来发展中，随着容器技术（Docker、Kubernetes）以及无服务器架构(Serverless)的广泛应用，云端运维将更加便捷灵活，用户无需关心底层服务器细节，只需关注业务逻辑本身，这将进一步推动Linux面板向更高层次的云端化、智能化发展。 综上所述，无论是大型云服务商的运维产品升级，还是新兴运维工具及SaaS模式的应用，都揭示了云端化服务器管理正逐步成为行业发展的必然趋势，为用户提供更安全、便捷、高效的运维环境。

...aScript 状态容器，提供可预测化的状态管理。在 dva.js 中，Redux 被用作核心的数据流方案，帮助开发者集中管理和维护应用的所有组件状态。通过单一不可变数据源（store），Redux 提供了明确的 actions、reducers 来处理状态变化，并允许时间旅行式的调试体验，使得复杂应用的状态控制变得清晰、易于理解和调试。 Redux-Saga , Redux-Saga 是 Redux 生态系统中的一款中间件，用于处理异步逻辑。在 dva.js 框架中，Redux-Saga 与 Redux 结合使用，让开发者能够以更直观的 saga 流程来编写异步操作。Saga 监听指定的 Redux actions，并触发相应的副作用（如网络请求或调用 API），然后根据返回结果发起新的 actions 更新 store，从而实现对异步流程的集中控制和管理。 Hot Module Replacement (HMR) , Hot Module Replacement 是一种 Webpack 等模块打包工具提供的特性，它允许在开发过程中热更新修改过的模块，而无需刷新整个页面。dva.js 通过 babel-plugin-dva-hmr 实现了 components、routes 和 models 的 HMR 功能，这意味着当开发者修改代码后，浏览器会自动替换并重新加载变动的部分，极大地提高了开发效率和实时预览体验。 插件机制 , 插件机制是一种软件设计模式，允许通过扩展添加新功能或改变现有行为。在 dva.js 中，插件机制体现在可以通过安装额外的插件（如 dva-loading）来增强框架的功能，无需手动重复编写特定业务逻辑。而在 umijs 中，完整的插件系统涵盖了从源码到生产的每个生命周期，开发者可以根据需求定制和安装各种插件，比如自动处理 loading 状态、支持 PWA、路由级按需加载等。 路由级按需加载 , 路由级按需加载是现代前端框架的一项性能优化技术，它允许应用程序仅在用户访问特定路由时动态加载对应的组件和资源。umijs 支持这种高级路由功能，意味着只有当用户导航到特定页面时，才会加载该页面所需的代码，有效减少了首屏加载时间和总体资源体积，提升了用户体验和应用性能。

名词 , 容器化。 解释 , 容器化是指通过容器技术（如Docker）将应用程序及其依赖打包成独立、可移植的单元，使应用可以在任何环境中运行，不受底层操作系统、硬件或库版本的影响。容器化有助于实现应用的快速部署、扩展和管理，提高资源利用率，并简化跨环境的一致性。 名词 , 云原生。 解释 , 云原生是一种设计和构建应用程序的方法，旨在充分利用云计算的优势，如自动扩展、高可用性、容器化和微服务架构。云原生应用被设计为可部署到云平台，具有高度的灵活性、可移植性和可伸缩性，能够快速响应业务需求的变化，提高开发效率和运营成本效益。 名词 , 微服务架构。 解释 , 微服务架构是一种将大型应用程序分解为一组小型、独立、可部署的服务的设计模式。每个服务负责处理特定的业务功能，通过API进行通信。这种架构提高了系统的可维护性、可扩展性和可重用性，允许团队并行开发和部署服务，同时也降低了单点故障的风险。微服务架构适用于需要高度定制化、快速迭代和灵活部署的应用场景。

...和技术。随着云计算和容器化技术的飞速发展，越来越多的企业开始采用Docker等容器技术进行应用部署，其中包括Nginx服务。通过Docker镜像的方式，即使在离线环境下也能实现高效、一致的Nginx部署。 例如，在Kubernetes集群中，运维人员可以预先下载所需的Nginx官方镜像并推送到私有镜像仓库，随后在离线节点上拉取这些镜像以完成Nginx服务的搭建。这种方式不仅简化了依赖库的管理，同时也提高了部署的标准化程度和效率。 另外，对于持续集成/持续部署（CI/CD）流程中的离线环境支持，也有一些工具如Ansible、Puppet等自动化运维工具提供了完善的解决方案，它们能够帮助用户在无网络连接或受限网络条件下，实现复杂服务栈的自动化安装配置。 此外，随着开源生态的发展，一些Linux发行版开始提供更全面的离线包管理方案，比如Fedora Silverblue项目就引入了模块化操作系统理念，使得离线安装大量软件变得更加方便和快捷。未来，离线安装技术将更加智能化和便捷化，为企业级应用部署提供更多可能。

...ring Boot和Docker等技术的普及，开发者在处理项目部署时有了更为便捷高效的解决方案。 例如，Spring Boot通过内嵌的Tomcat服务器简化了Java Web应用的部署流程，只需构建一个可执行的JAR或WAR文件，便能在任何支持Java环境的地方启动项目，无需繁琐的服务器配置。对于版本适配问题，Spring Boot会自动管理依赖库的版本，确保项目的稳定运行。 同时，容器化技术如Docker为软件部署提供了标准化、轻量级的方式。通过编写Dockerfile定义应用环境，开发者可以快速创建包含应用程序及其所有依赖项的镜像，并在任何安装有Docker的环境中一键部署，极大提升了部署的一致性和可移植性。 另外，云原生技术的发展也改变了传统的服务器管理模式，Kubernetes作为容器编排工具，能够实现自动化部署、扩展和管理容器化应用，有效解决了多实例、动态扩容等问题，使得项目管理和运维更加灵活高效。 总之，在Eclipse等IDE之外，掌握现代化的项目部署与服务器管理技术将有助于开发者应对更多实际场景中的挑战，提升开发效率及系统的稳定性。因此，深入学习Spring Boot、Docker以及Kubernetes等相关知识，是每一位Web开发者持续进阶的必修课。

...往往采用微服务架构、容器化部署（如Docker）、持续集成/持续部署（CI/CD）流程、服务网格等技术，以实现快速迭代、高效交付和低成本运营。云原生技术使企业能够在云平台上构建、部署和管理现代应用程序和服务。

...将第一时间进行核实并删除相应内容。 这篇文章希望能够帮助读者深入理解Docker的命令，还有容器（container）和镜像（image）之间的区别，并深入探讨容器和运行中的容器之间的区别。 当我对Docker技术还是一知半解的时候，我发现理解Docker的命令非常困难。于是，我花了几周的时间来学习Docker的工作原理，更确 切地说，是关于Docker统一文件系统（the union file system）的知识，然后回过头来再看Docker的命令，一切变得顺理成章，简单极了。 题外话：就我个人而言，掌握一门技术并合理使用它的最好办法就是深入理解这项技术背后的工作原理。通常情况 下，一项新技术的诞生常常会伴随着媒体的大肆宣传和炒作，这使得用户很难看清技术的本质。更确切地说，新技术总是会发明一些新的术语或者隐喻词来帮助宣 传，这在初期是非常有帮助的，但是这给技术的原理蒙上了一层砂纸，不利于用户在后期掌握技术的真谛。 Git就是一个很好的例子。我之前不能够很好的使用Git，于是我花了一段时间去学习Git的原理，直到这时，我才真正明白了Git的用法。我坚信只有真正理解Git内部原理的人才能够掌握这个工具。 Image Definition 镜像（Image）就是一堆只读层（read-only layer）的统一视角，也许这个定义有些难以理解，下面的这张图能够帮助读者理解镜像的定义。 从左边我们看到了多个只读层，它们重叠在一起。除了最下面一层，其它层都会有一个指针指向下一层。这些层是Docker内部的实现细节，并且能够 在主机（译者注：运行Docker的机器）的文件系统上访问到。统一文件系统（union file system）技术能够将不同的层整合成一个文件系统，为这些层提供了一个统一的视角，这样就隐藏了多层的存在，在用户的角度看来，只存在一个文件系统。 我们可以在图片的右边看到这个视角的形式。 你可以在你的主机文件系统上找到有关这些层的文件。需要注意的是，在一个运行中的容器内部，这些层是不可见的。在我的主机上，我发现它们存在于/var/lib/docker/aufs目录下。 sudo tree -L 1 /var/lib/docker/ /var/lib/docker/├── aufs├── containers├── graph├── init├── linkgraph.db├── repositories-aufs├── tmp├── trust└── volumes7 directories, 2 files Container Definition 容器（container）的定义和镜像（image）几乎一模一样，也是一堆层的统一视角，唯一区别在于容器的最上面那一层是可读可写的。 细心的读者可能会发现，容器的定义并没有提及容器是否在运行，没错，这是故意的。正是这个发现帮助我理解了很多困惑。 要点：容器 = 镜像 + 可读层。并且容器的定义并没有提及是否要运行容器。 接下来，我们将会讨论运行态容器。 Running Container Definition 一个运行态容器（running container）被定义为一个可读写的统一文件系统加上隔离的进程空间和包含其中的进程。下面这张图片展示了一个运行中的容器。 正是文件系统隔离技术使得Docker成为了一个前途无量的技术。一个容器中的进程可能会对文件进行修改、删除、创建，这些改变都将作用于可读写层（read-write layer）。下面这张图展示了这个行为。 我们可以通过运行以下命令来验证我们上面所说的： docker run ubuntu touch happiness.txt 即便是这个ubuntu容器不再运行，我们依旧能够在主机的文件系统上找到这个新文件。 find / -name happiness.txt /var/lib/docker/aufs/diff/860a7b...889/happiness.txt Image Layer Definition 为了将零星的数据整合起来，我们提出了镜像层（image layer）这个概念。下面的这张图描述了一个镜像层，通过图片我们能够发现一个层并不仅仅包含文件系统的改变，它还能包含了其他重要信息。 元数据（metadata）就是关于这个层的额外信息，它不仅能够让Docker获取运行和构建时的信息，还包括父层的层次信息。需要注意，只读层和读写层都包含元数据。 除此之外，每一层都包括了一个指向父层的指针。如果一个层没有这个指针，说明它处于最底层。 Metadata Location: 我发现在我自己的主机上，镜像层（image layer）的元数据被保存在名为”json”的文件中，比如说： /var/lib/docker/graph/e809f156dc985.../json e809f156dc985...就是这层的id 一个容器的元数据好像是被分成了很多文件，但或多或少能够在/var/lib/docker/containers/<id>目录下找到，<id>就是一个可读层的id。这个目录下的文件大多是运行时的数据，比如说网络，日志等等。 全局理解（Tying It All Together） 现在，让我们结合上面提到的实现细节来理解Docker的命令。 docker create <image-id> docker create 命令为指定的镜像（image）添加了一个可读写层，构成了一个新的容器。注意，这个容器并没有运行。 docker start <container-id> Docker start命令为容器文件系统创建了一个进程隔离空间。注意，每一个容器只能够有一个进程隔离空间。 docker run <image-id> 看到这个命令，读者通常会有一个疑问：docker start 和 docker run命令有什么区别。 从图片可以看出，docker run 命令先是利用镜像创建了一个容器，然后运行这个容器。这个命令非常的方便，并且隐藏了两个命令的细节，但从另一方面来看，这容易让用户产生误解。 题外话：继续我们之前有关于Git的话题，我认为docker run命令类似于git pull命令。git pull命令就是git fetch 和 git merge两个命令的组合，同样的，docker run就是docker create和docker start两个命令的组合。 docker ps docker ps 命令会列出所有运行中的容器。这隐藏了非运行态容器的存在，如果想要找出这些容器，我们需要使用下面这个命令。 docker ps –a docker ps –a命令会列出所有的容器，不管是运行的，还是停止的。 docker images docker images命令会列出了所有顶层（top-level）镜像。实际上，在这里我们没有办法区分一个镜像和一个只读层，所以我们提出了top-level 镜像。只有创建容器时使用的镜像或者是直接pull下来的镜像能被称为顶层（top-level）镜像，并且每一个顶层镜像下面都隐藏了多个镜像层。 docker images –a docker images –a命令列出了所有的镜像，也可以说是列出了所有的可读层。如果你想要查看某一个image-id下的所有层，可以使用docker history来查看。 docker stop <container-id> docker stop命令会向运行中的容器发送一个SIGTERM的信号，然后停止所有的进程。 docker kill <container-id> docker kill 命令向所有运行在容器中的进程发送了一个不友好的SIGKILL信号。 docker pause <container-id> docker stop和docker kill命令会发送UNIX的信号给运行中的进程，docker pause命令则不一样，它利用了cgroups的特性将运行中的进程空间暂停。具体的内部原理你可以在这里找到：https://www.kernel.org/doc/Doc ... m.txt，但是这种方式的不足之处在于发送一个SIGTSTP信号对于进程来说不够简单易懂，以至于不能够让所有进程暂停。 docker rm <container-id> docker rm命令会移除构成容器的可读写层。注意，这个命令只能对非运行态容器执行。 docker rmi <image-id> docker rmi 命令会移除构成镜像的一个只读层。你只能够使用docker rmi来移除最顶层（top level layer）（也可以说是镜像），你也可以使用-f参数来强制删除中间的只读层。 docker commit <container-id> docker commit命令将容器的可读写层转换为一个只读层，这样就把一个容器转换成了不可变的镜像。 docker build docker build命令非常有趣，它会反复的执行多个命令。 我们从上图可以看到，build命令根据Dockerfile文件中的FROM指令获取到镜像，然后重复地1）run（create和start）、2）修改、3）commit。在循环中的每一步都会生成一个新的层，因此许多新的层会被创建。 docker exec <running-container-id> docker exec 命令会在运行中的容器执行一个新进程。 docker inspect <container-id> or <image-id> docker inspect命令会提取出容器或者镜像最顶层的元数据。 docker save <image-id> docker save命令会创建一个镜像的压缩文件，这个文件能够在另外一个主机的Docker上使用。和export命令不同，这个命令为每一个层都保存了它们的元数据。这个命令只能对镜像生效。 docker export <container-id> docker export命令创建一个tar文件，并且移除了元数据和不必要的层，将多个层整合成了一个层，只保存了当前统一视角看到的内容（译者注：expoxt后 的容器再import到Docker中，通过docker images –tree命令只能看到一个镜像；而save后的镜像则不同，它能够看到这个镜像的历史镜像）。 docker history <image-id> docker history命令递归地输出指定镜像的历史镜像。 参考： http://www.cnblogs.com/bethal/p/5942369.html 本篇文章为转载内容。原文链接：https://blog.csdn.net/u010098331/article/details/53485539。 该文由互联网用户投稿提供，文中观点代表作者本人意见，并不代表本站的立场。 作为信息平台，本站仅提供文章转载服务，并不拥有其所有权，也不对文章内容的真实性、准确性和合法性承担责任。 如发现本文存在侵权、违法、违规或事实不符的情况，请及时联系我们，我们将第一时间进行核实并删除相应内容。

...将第一时间进行核实并删除相应内容。 本文系转载。文中的“我”均为原作者 作者：张彦飞allen 十年，一个听起来感觉很长的时间，已经从我身边悄悄地滑过了。一直想写点什么，却也一直也没时间动笔。今天捡了个周末，就随点写点流水文吧，写到哪儿算哪儿。 01 职场首站 我是 2010 年硕士毕业。还记得在 2009 年 11 月的校园招聘季的时候，我当时只面试了两家公司。一家是中科大洋，承诺 100% 解决户口。另外一家就是腾讯，技术面试全部通过以后，hr面试中各种旁敲侧击发现我还是希望长期在北京发展（当时我面试的是深圳的岗位），而且也有解决户口的工作后，就卡了我的offer。 现在回想起来，其实反而还有点感谢当时的腾讯 hr。因为我确实是想在北京长期发展的，北京的户口只有毕业的时候最好拿。错过了这次机会后会非常的难得到。进大厂机会多的是，但是户口的窗口却很少很少。 面试完这两家公司以后，我就没再面试其它公司。而是开始准备将我的一篇 ICPR 论文(https://projet.liris.cnrs.fr/imagine/pub/proceedings/ICPR-2010/data/4109b670.pdf) 里的算法去申请了个专利，然后去安安心心去中科大洋实习。 在第一家公司工作的时候，我不局限于完成自己的任务，而是花时间去看团队里的所有代码。这种工作方式刚开始的时候会比较吃力。因为我不仅仅只是把问题处理完了就完事，而是非得想把和它相关的周边业务逻辑都挖一遍才甘心。因此，班也没少加，好多个周末我都一个人在公司看代码，做测试。 不过这种方式的好处也是显而易见的，我花了大概一年的时间就熟悉了团队里的各种模块和业务。当有老员工离职的时候，我们领导很惆怅。我告诉他不用担心，这些模块我能顶住。有了前期看代码的积累，确实后来的各种事情处理起来都非常的得心应手。入职一年就顶起了团队里的大梁。 而且我还发现我们公司的客户端软件在启动的时候比较慢，通过主动调研和测试，最后给领导提交了一个客户端启动加速的方案。现在能想起来的方式其中一个技术方式是 DLL 的基地址重定位。 02 入职腾讯 在 2011 年下半年，工作了一年多的时候，感觉广播电视领域整体的盘子还是太小了，当时领头企业的营业额一年也就才十个亿左右。再通过和自己在腾讯的同学交流，还是觉得互联网的空间更大。所以也婉拒了领导给的副组长的提拔挽留，又毅然跳到了北京腾讯。 我是 2011 年 11 月加入腾讯的。在项目上，仍然保持和第一家公司时工作类似的风格，全力以赴。不仅仅局限于完成自己手头的工作，主动做一切可能有价值的事情。其中一件事情就是我发现在当时的项目中，存在很多运营后台的开发需求。每次开发一个后台都得有人力去投入。 后来我就在老大的所开发的一套 PHP 框架的基础上进行改进。实现了只要指定一张 Mysql 数据库中的表，就可以自动生成 bootstrap 样式的管理后台界面。支持列表展示、搜索、删除、批量删除、文本框、时间控件等等一切基础功能。再以后涉及管理后台的功能，只需要在这个基础上改造就行了，人力投入降低了很多，风格也得到了统一。这个工具现在在我们团队内部仍然还在广泛地使用。 还有个故事我也讲过，就是老大分配给我一个图片下载的任务。我不局限于完成完成任务，而且还把文件系统、磁盘工作原理都深入整理了一遍，就是这篇《Linux文件系统十问》 03 转战搜狗 2013 下半年的时候，我第一次感受到了工作岗位的震荡。我还专注解决某一个 bug，花了不少精力都还没查到 bug 的原因。这时候，部门助理突然招呼我们所有人都下楼，在银科腾讯的 Image 印象店集合。在那里，见到了腾讯的总裁 Martin。这还是第一次离大老板只有一米远的距离。 所有人都是一脸困惑，突然把大家召集下来是干嘛呢。原来就在几个小时前，腾讯总办已经和搜狗达成了协议。腾讯收购搜狗的一部分股份，并把我们连人带业务一起注入到了搜狗。 没想到，是老板用一种更牛逼的方式帮我把 bug 给解决了。 14 年 1 月正式到了搜狗以后，我们没有继续做搜索了。而是内部 Transfer 到了另外一个部门。做起了搜狗网址导航、搜狗手机助手、搜狗浏览器等业务。我也是从那个时间点，开始带团队的，也是从那以后慢慢开始从个人贡献者到带团队集体输出的角色的转变。 在搜狗工作的这 7 年的时间里，我仍然也是延续之前的风格。不拘泥于完成工作中的产品需求，以及老大交付的任务。而是主动去探索各种项目中有价值的事情。 比如在手机助手的推广中，我琢磨了新用户的安装流程的各个环节后，找出影响用户安装率提升的关键因素。然后对新版本安装包采用了多种技术方案，将单用户获取成本削减了20%+，这一年下来就是千万级别的成本节约。 我们还主动在手机助手的搜索模块中应用了简单的学习算法。采用了用户协同，标签相似，点击反馈等方法将手机助手的搜索转化率提升了数个百分点。 除了用技术提升业务以外，我还结合工作中的问题进行了很多的深度技术思考。 如有一次我们自己维护了一个线上的redis（当时工程部还没有redis平台，redis服务要业务自己维护）。为了优化性能，我把后端的请求由短连接改成了长连接。虽然看效果性能确实是优化了，但是我的思考并没有停止。我们所有的后端机都会连接这个redis。这样在这个redis实例上可能得有6000多条并发连接存在。我就开始疑惑，Linux 最多能有多少个TCP连接呢，我这 6000 条长连接会不会把这个服务器玩坏？ 再比如，我们组的服务器遭遇过几次连接相关的线上问题。其中一次是因为端口紧张而导致 CPU 消耗飙升。后来我又深入研究了一下。 最近，由于 Docker 的广泛应用。底层的网络工作方式已经在悄悄地发生变化了。所以我又开辟了一个网络虚拟化的坑，来一点一点地填。 现在我们的「开发内功修炼」公众号和 Github 就是在作为一个我和大家分享我的技术思考的一个窗口。 04 重回腾讯 时隔 7 年，我又以一种奇特的方式变回了腾讯人的身份。 腾讯再一次收购了搜狗的股份，这一次不再是控股，而是全资。 在离开腾讯的这 7 年多的时间里，腾讯的内部技术工作方式已经发生了翻天覆地的变化。 所以在刚转回腾讯的这一段时间里，我花了大量的精力来熟悉腾讯基于 tRPC 的各种技术生态。除了工作日，也投入了不少周末的精力。 05 再叨叨几句 最后，水文里挤干货，通过我今天的文章我想给大家分享这么几点经验。 第一，是要学会抬头看路，选择一个好的赛道进去。我非常庆幸我当年从广电赛道切换到了互联网，获得了更大的舞台。不过其实我自己在这点上做的也不是特别好，2013年底入职搜狗前拒绝了字节大把期权的offer，要不然我我早就财务自由了。 第二，不要光被动接收领导的指令干活。要主动积极思考项目中哪些地方是待改进的，想到了你就去做。领导都非常喜欢积极主动的员工。我自己也是喜欢招一些能主动思考，积极推进的同学。这些人能创造意外的价值。 第三，工作中除了业务以外还要主动技术的深度思考。毕竟技术仍然是开发的立命之本。在晋升考核的时候，业务数据做的再好也代替不了技术实力的核心位置。把工作中的技术点总结一下，在公司内分享出来。不涉及机密的话在外网分享一下更好。对你自己，对你的团队，都是好事。 技术交流群 最近有很多人问，有没有读者交流群，想知道怎么加入。 最近我创建了一些群，大家可以加入。交流群都是免费的，只需要大家加入之后不要随便发广告，多多交流技术就好了。 目前创建了多个交流群，全国交流群、北上广杭深等各地区交流群、面试交流群、资源共享群等。 有兴趣入群的同学，可长按扫描下方二维码，一定要备注：全国 Or 城市 Or 面试 Or 资源，根据格式备注，可更快被通过且邀请进群。 ▲长按扫描 往期推荐 武大94年博士年薪201万入职华为！学霸日程表曝光，简直降维打击！ 腾讯三面：40亿个QQ号码如何去重？ 我被开除了。。只因为看了骂公司的帖子 如果你喜欢本文, 请长按二维码，关注 Hollis. 转发至朋友圈，是对我最大的支持。 点个 在看 喜欢是一种感觉 在看是一种支持 ↘↘↘ 本篇文章为转载内容。原文链接：https://blog.csdn.net/hollis_chuang/article/details/121738393。 该文由互联网用户投稿提供，文中观点代表作者本人意见，并不代表本站的立场。 作为信息平台，本站仅提供文章转载服务，并不拥有其所有权，也不对文章内容的真实性、准确性和合法性承担责任。 如发现本文存在侵权、违法、违规或事实不符的情况，请及时联系我们，我们将第一时间进行核实并删除相应内容。