[防火墙端口配置]的搜索结果

...更多在于公有云服务在防火墙内的延伸，其初衷是“将数据迁移到中心云上”，这同样不适合，更难以匹配中国企业希望“将云移动到数据上”的最终目标。 正是源于这些客户“痛点”和市场现状，让华云数据产生了打造一款通用型云操作系统的想法。今年3月1日，华云数据宣布对超融合软件厂商Maxta全部资产完成了合法合规收购。至此，华云数据将独家拥有Maxta的包括产品技术、专利软著、品牌、市场在内的全球范围的资产所有权。 在此基础上，华云数据又把Maxta与华云自身的优势产品相融合，正式推出了安超OS国产通用型云操作系统，并在国产化与通用型方向做了三个方面的重要演进： 首先，兼容国产服务器、CPU、操作系统。安超OS对代码进行了全新的架构扩展，创建并维护新的一套代码分支，从源码级完成众多底层的对国产服务器、CPU、操作系统的支持。 其次，扩展通用型云操作系统的易用性。安超OS以VM为核心做为管理理念，以业务应用的视觉管理基础设施，为云操作系统开发了生命周期管理系统（LCM），提供像服务器操作系统的光盘ISO安装方式，可以30分钟完成云操作系统的搭建，并具备一键集群启停、一键日志收集、一键运维巡检业务等通用型云操作系统所必备的易用性功能。 最后，增强国内行业、企业所需的安全性。安超OS的所有源代码都通过了相关部门的安全检查，确保没有“后门”等漏洞，杜绝安全隐患，并且通过了由中国数据中心联盟、云计算开源产业联盟组织，中国信息通信研究院（工信部电信研究院）测试评估的可信云认证。 不难看出，安超OS不仅具有全球领先的技术，同时又充分满足中国市场和中国客户的需求。正如华云数据集团董事长、总裁许广彬所言：“唯改革者进，唯创新者强，华云数据愿意用全球视野推动中国云计算发展，用云创新驱动数字经济挺进新纵深，植根中国，奉献中国，引领中国，腾飞中国。” 五大维度解读安超OS 那么，什么是云操作系统？安超OS通用型云操作系统又有什么与众不同之处呢? 华云数据集团联席总裁、首席技术官谭瑞忠 在华云数据集团联席总裁、首席技术官谭瑞忠看来，云操作系统是基于服务器操作系统，高度的融合了基础设施的资源，实现了资源弹性伸缩扩展，以及具备运维自动化智能化等云计算的特点。同时，云操作系统具有和计算机操作系统一样的高稳定性，高性能，高易用性等特征。 但是，相比计算机操作系统，云计算的操作系统会更为复杂，属于云计算后台数据中心的整体管理运营系统，是构架于服务器、存储、网络等基础硬件资源和PC操作系统、中间件、数据库等基础软件之上的、管理海量的基础硬件、软件资源的云平台综合管理系统。 更为关键的是，和国内外很多基础设备厂商基于自已的产品与理解推出了云操作系统不同，安超OS走的是通用型云操作系统的技术路线，它不是采用软硬件一体的封闭或半封闭的云操作系统平台，所以这也让安超OS拥有安全稳定、广泛兼容、业务优化、简洁运维、高性价比方面的特性，具体而言： 一是，在安全稳定方面，安超OS采用全容错架构设计，从数据一致性校验到磁盘损坏，从节点故障到区域性灾难，提供端到端的容错和灾备方案，为企业构筑高可用的通用型云环境，为企业的业务运营提供坚实与安全可靠的基础平台。 二是，在广泛兼容方面，安超OS所有产品技术、专利软著、品牌都拥有国内自主权，符合国家相关安全自主可信的规范要求，无服务器硬件锁定，支持国内外主流品牌服务器，同时适配大多数芯片、操作系统和中间件，支持利旧与升级，更新硬件时无需重新购买软件，为企业客户提供显著的投资保护，降低企业IT成本。 三是，在业务优化方面，安超OS具备在同一集群内提供混合业务负载的独特能力，可在一套安超OS环境内实现不同业务的优化：为每类应用定制不同的存储数据块大小，优化应用读写效率，提供更高的业务性能；数据可按组织架构逻辑隔离，部门拥有独立的副本而无需新建一套云环境，降低企业IT的成本与复杂度；数据重构优先级保证关键业务在故障时第一时间恢复，也能避免业务链启动错误的场景出现。 四是，在简捷运维方面，安超OS是一款轻量级云创新平台，其所有管理策略以虚拟机和业务为核心，不需要配置或管理卷、LUN、文件系统、RAID等需求，从根本上简化了云操作系统的管理。通过标准ISO安装，可实现30分钟平台极速搭建，1分钟业务快速部署，一键集群启停与一键运维巡检。降低企业IT技术门槛，使IT部门从技术转移并聚焦于业务推进和变革，助力企业实现软件定义数据中心。 五是，在高性价比方面，安超OS在设计之初，华云数据就考虑到它是一个小而美、大而全的产品，所以给客户提供组件化授权，方便用户按需购买，按需使用，避免一次性采购过度，产生配置浪费。并且安超OS提供在线压缩等容量优化方案，支持无限个数无损快照，无硬件绑定，支持License迁移。 由此可见，安超OS通用型云操作系统的本质，其实就是一款以安全可信为基础，以业务优化为核心的轻量级云创新平台，能够让中国政府和企业在数字化转型中，更好的发挥云平台的价值，同时也能有效的支持他们的业务创新。 生态之上的云操作系统 纵观IT发展的过程，每个时代都离不开通用型操作系统：在PC时代，通用型操作系统是Windows、Linux；在移动互联时代，通用型操作系统是安卓(Android)，而这些通用型操作系统之所以能够成功，背后其实也离不开生态的开放和壮大。 如果以此类比的话，生态合作和生态开放同样也是华云安超OS产品的核心战略，这也让安超OS超越了传统意义上的云创新平台，是一款架构于生态开放之上的云操作系统。 华云数据集团副董事长、执行副总裁马杜 据华云数据集团副董事长、执行副总裁马杜介绍，目前华云数据正与业内众多合作伙伴建立了生态合作关系，覆盖硬件、软件、芯片、应用、方案等多个领域，通过生态合作，华云数据希望进一步完善云数据中心的产业链生态，与合作伙伴共建云计算生态圈。 其中，在基础架构方面，华云数据与飞腾、海光、申威等芯片厂商以及中标麒麟、银河麒麟等国产操作系统实现了互认证，与VMware、Dell EMC、广达、浪潮、曙光、长城、Citrix、Veeam、SevOne、XSKY、锐捷网络、上海仪电、NEXIFY等多家国内外知名IT厂商达成了战略合作，共同为中国政企用户提供基于云计算的通用行业解决方案与垂直行业解决方案，助推用户上云实现创新加速模式。 同时，在解决方案方面，华云数据也一直在完善自身的产业链，建立最广泛的生态体系。例如，PaaS平台领域的合作伙伴包括灵雀云、Daocloud、时速云、优创联动、长城超云、蓝云、星环科技、华夏博格、时汇信息、云赛、热璞科技、思捷、和信创天、酷站科技、至臻科技达成合作关系；数据备份领域有金蝶、爱数、Veeam、英方云、壹进制；安全领域有亚信安全、江南安全、绿盟、赛亚安全、默安科技；行业厂商包括善智互联、蓝美视讯、滴滴、天港集团、航天科工等合作伙伴，由此形成了非常有竞争力的整体解决方案。 不仅如此，华云数据与众多生态厂家共同完成了兼容性互认证测试，构建了一个最全面的基础架构生态体系，为推出的国产通用型云操作系统提供了一个坚实的基础。也让该系统提高了其包括架构优化能力、技术研发能力、资源整合能力、海量运营能力在内的综合能力，为客户提供稳定、可靠的上云服务，赋能产业变革。 值得一提的是，华云数据还发布了让利于合作伙伴的渠道合作策略，通过和合作伙伴的合作共赢，华云数据希望将安超OS推广到国内的全行业，让中国企业都能用上安全、放心的国产通用型云操作系统，并让安超OS真正成为未来中国企业上云的重要推手。 显而易见，数字化的转型与升级，以及数字经济的落地和发展，任重而道远，艰难而伟大，而华云数据正以安超OS云操作系统为核心构建的新生态模式和所释放的新能力，不仅会驱动华云数据未来展现出更多的可能性，激发出更多新的升维竞争力，更将会加速整个中国政府和企业的数字化转型步伐。 全文总结，在云计算落地中国的过程中，华云数据既是早期的探索者，也是落地的实践者，更是未来的推动者。特别是安超OS云操作系统的推出，背后正是华云凭借较强的技术驾驭能力，以及对中国企业用户痛点的捕捉，使得华云能够走出一条差异化的创新成长之路，也真正重新定义了“中国云”未来的发展壮大之路。 申耀的科技观察，由科技与汽车跨界媒体人申斯基（微信号：shenyao）创办，16年媒体工作经验，拥有中美两地16万公里自驾经验，专注产业互联网、企业数字化、渠道生态以及汽车科技内容的观察和思考。 本篇文章为转载内容。原文链接：https://blog.csdn.net/W5AeN4Hhx17EDo1/article/details/99899011。 该文由互联网用户投稿提供，文中观点代表作者本人意见，并不代表本站的立场。 作为信息平台，本站仅提供文章转载服务，并不拥有其所有权，也不对文章内容的真实性、准确性和合法性承担责任。 如发现本文存在侵权、违法、违规或事实不符的情况，请及时联系我们，我们将第一时间进行核实并删除相应内容。

...r包），而部署模板、配置由运维人员负责；有的企业开发人员负责构建并部署到测试环境；有的企业开发人员直接可以部署到生产环境。这些不同的场景，对CI/CD的流程、权限管控都有定制需求。 提升资源利用率 OCI标准包含容器镜像标准与容器运行时标准两部分，容器运行时标准聚焦在定义如何将镜像包从镜像仓库拉取到本地并更新、如何隔离运行时资源这些方面。得益于分层存储与打包即部署的特性，容器镜像从到镜像仓库拉取到本地运行速度非常快（通常小于30秒，依赖镜像本身大小等因素），基于此可以实现按需分配容器运行时资源（cpu与内存），并限定单个容器资源用量；然后根据容器进程资源使用率设定弹性伸缩规则，实现自动的弹性伸缩。 这种方式相对于传统的按峰值配置资源方式，可以提升资源利用率。 按需弹性伸缩在体验与成本之间达成平衡 联动弹性伸缩 应用运行到容器，按需分配资源之后，理想情况下，Kubernetes的池子里没有空闲的资源。这时候扩容应用实例数，新扩容的实例会因资源不足调度失败。这时候需要资源池能自动扩容，加入新的虚拟机，调度新扩容的应用。 由于应用对资源的配比与Flavor有要求，因此新加入的虚拟机，应当是与应用所需要的资源配比与Flavor一致的。缩容也是类似。 弹性伸缩还有一个诉求点是“平滑”，对业务做到不感知，也称为“优雅”扩容/缩容。 请求风暴 上面提到的弹性伸缩一般是有计划或缓慢增压的场景，存在另外一种无法预期的请求风暴场景，这种场景的特征是无法预测、突然请求量增大数倍或数十倍、持续时间短。典型的例子如行情交易系统，当行情突变的时候，用户访问量徒增，持续几十分钟或一个小时。 这种场景的弹性诉求，要求短时间内能将资源池扩大数倍，关键是速度要快（秒级），否则会来不及扩容，系统已经被冲垮（如果无限流的话）。 目前基于 Virtual Kubelet 与云厂家的 Serverless 容器，理论上可以提供应对请求风暴的方案。不过在具体实施时候，需要考虑传统托管式Kubernetes容器管理平台与Serverless容器之间互通的问题，需要基于具体厂家提供的能力来评估。 基于容器技术实现计算调度平台 计算（大数据/AI训练等）场景的特征是短时间内需要大量算力，算完即释放。容器的环境一致性以及调度便利性适合这种场景。 技术选型 容器技术是属于基础设施范围，但是与传统虚拟化技术（Xen/KVM）比较，容器技术是应用虚拟化，不是纯粹的资源虚拟化，与传统虚拟化存在差异。在容器技术选型时候，需要结合当前团队在应用管理与资源管理的现状，对照容器技术与虚拟化技术的差异，选择最合适的容器技术栈。 什么是容器技术 (1)容器是一种轻量化的应用虚拟化技术。 在讨论具体的容器技术栈的时候，先介绍目前几种常用的应用虚拟化技术，当前有3种主流的应用虚拟化技术: LXC，MicroVM，UniKernel（LibOS）。 LXC: Linux Container，通过 Linux的 namespace/cgroups/chroot 等技术隔离进程资源，目前应用最广的docker就是基于LXC实现应用虚拟化的。 MicroVM: MicroVM 介于 传统的VM 与 LXC之间，隔离性比LXC好，但是比传统的VM要轻量，轻量体现在体积小（几M到几十M）、启动快（小于1s）。 AWS Firecracker 就是一种MicroVM的实现，用于AWS的Serverless计算领域，Serverless要求启动快，租户之间隔离性好。 UniKernel: 是一种专用的（特定编程语言技术栈专用）、单地址空间、使用 library OS 构建出来的镜像。UniKernel要解决的问题是减少应用软件的技术栈层次，现代软件层次太多导致越来越臃肿：硬件+HostOS+虚拟化模拟+GuestOS+APP。UniKernel目标是：硬件+HostOS+虚拟化模拟+APP-with-libos。 三种技术对比表： 开销 体积 启动速度 隔离/安全 生态 LXC 低（几乎为0） 小 快（等同进程启动） 差（内核共享） 好 MicroVM 高 大 慢(小于1s) 好 中（Kata项目） UniKernel 中 中 中 好 差 根据上述对比来看，LXC是应用虚拟化首选的技术，如果LXC无法满足隔离性要，则可以考虑MicroVM这种技术。当前社区已经在着手融合LXC与MicroVM这两种技术，从应用打包/发布调度/运行层面统一规范，Kubernetes集成Kata支持混合应用调度特性可以了解一下。 UniKernel 在应用生态方面相对比较落后，目前在追赶中，目前通过 linuxkit 工具可以在UniKernel应用镜像中使用docker镜像。这种方式笔者还未验证过，另外docker镜像运行起来之后，如何监控目前还未知。 从上述三种应用虚拟化技术对比，可以得出结论: （2)容器技术与传统虚拟化技术不断融合中。 再从规范视角来看容器技术，可以将容器技术定义为: (3)容器=OCI+CRI+辅助工具。 OCI规范包含两部分，镜像规范与运行时规范。简要的说，要实现一个OCI的规范，需要能够下载镜像并解压镜像到文件系统上组成成一个文件目录结构，运行时工具能够理解这个目录结构并基于此目录结构管理（创建/启动/停止/删除）进程。 容器(container)的技术构成就是实现OCI规范的技术集合。 对于不同的操作系统（Linux/Windows），OCI规范的实现技术不同，当前docker的实现，支持Windows与Linux与MacOS操作系统。当前使用最广的是Linux系统，OCI的实现，在Linux上组成容器的主要技术： chroot: 通过分层文件系统堆叠出容器进程的rootfs，然后通过chroot设置容器进程的根文件系统为堆叠出的rootfs。 cgroups: 通过cgroups技术隔离容器进程的cpu/内存资源。 namesapce: 通过pid, uts, mount, network, user namesapce 分别隔离容器进程的进程ID，时间，文件系统挂载，网络，用户资源。 网络虚拟化: 容器进程被放置到独立的网络命名空间，通过Linux网络虚拟化veth, macvlan, bridge等技术连接主机网络与容器虚拟网络。 存储驱动: 本地文件系统，使用容器镜像分层文件堆叠的各种实现驱动，当前推荐的是overlay2。 广义的容器还包含容器编排，即当下很火热的Kubernetes。Kubernetes为了把控容器调度的生态，发布了CRI规范，通过CRI规范解耦Kubelet与容器，只要实现了CRI接口，都可以与Kubelet交互，从而被Kubernetes调度。OCI规范的容器实现与CRI标准接口对接的实现是CRI-O。 辅助工具用户构建镜像，验证镜像签名，管理存储卷等。 容器定义 容器是一种轻量化的应用虚拟化技术。 容器=OCI+CRI+辅助工具。 容器技术与传统虚拟化技术不断融合中。 什么是容器编排与调度 选择了应用虚拟化技术之后，还需要应用调度编排，当前Kubernetes是容器领域内编排的事实标准，不管使用何种应用虚拟化技术，都已经纳入到了Kubernetes治理框架中。 Kubernetes 通过 CRI 接口规范，将应用编排与应用虚拟化实现解耦：不管使用何种应用虚拟化技术（LXC, MicroVM, LibOS），都能够通过Kubernetes统一编排。 当前使用最多的是docker，其次是cri-o。docker与crio结合kata-runtime都能够支持多种应用虚拟化技术混合编排的场景，如LXC与MicroVM混合编排。 docker(now): Moby 公司贡献的 docker 相关部件，当前主流使用的模式。 docker(daemon) 提供对外访问的API与CLI(docker client) containerd 提供与 kubelet 对接的 CRI 接口实现 shim负责将Pod桥接到Host namespace。 cri-o: 由 RedHat/Intel/SUSE/IBM/Hyper 公司贡献的实现了CRI接口的符合OCI规范的运行时，当前包括 runc 与 kata-runtime ，也就是说使用 cir-o 可以同时运行LXC容器与MicroVM容器，具体在Kata介绍中有详细说明。 CRI-O: 实现了CRI接口的进程，与 kubelet 交互 crictl: 类似 docker 的命令行工具 conmon: Pod监控进程 other cri runtimes: 其他的一些cri实现，目前没有大规模应用到生产环境。 容器与传统虚拟化差异 容器(container)的技术构成 前面主要讲到的是容器与编排，包括CRI接口的各种实现，我们把容器领域的规范归纳为南向与北向两部分，CRI属于北向接口规范，对接编排系统，OCI就属于南向接口规范，实现应用虚拟化。 简单来讲，可以这么定义容器： 容器(container) ~= 应用打包(build) + 应用分发(ship) + 应用运行/资源隔离(run)。 build-ship-run 的内容都被定义到了OCI规范中，因此也可以这么定义容器： 容器(container) == OCI规范 OCI规范包含两部分，镜像规范与运行时规范。简要的说，要实现一个OCI的规范，需要能够下载镜像并解压镜像到文件系统上组成成一个文件目录结构，运行时工具能够理解这个目录结构并基于此目录结构管理（创建/启动/停止/删除）进程。 容器(container)的技术构成就是实现OCI规范的技术集合。 对于不同的操作系统（Linux/Windows），OCI规范的实现技术不同，当前docker的实现，支持Windows与Linux与MacOS操作系统。当前使用最广的是Linux系统，OCI的实现，在Linux上组成容器的主要技术： chroot: 通过分层文件系统堆叠出容器进程的rootfs，然后通过chroot设置容器进程的根文件系统为堆叠出的rootfs。 cgroups: 通过cgroups技术隔离容器进程的cpu/内存资源。 namesapce: 通过pid, uts, mount, network, user namesapce 分别隔离容器进程的进程ID，时间，文件系统挂载，网络，用户资源。 网络虚拟化: 容器进程被放置到独立的网络命名空间，通过Linux网络虚拟化veth, macvlan, bridge等技术连接主机网络与容器虚拟网络。 存储驱动: 本地文件系统，使用容器镜像分层文件堆叠的各种实现驱动，当前推荐的是overlay2。 广义的容器还包含容器编排，即当下很火热的Kubernetes。Kubernetes为了把控容器调度的生态，发布了CRI规范，通过CRI规范解耦Kubelet与容器，只要实现了CRI接口，都可以与Kubelet交互，从而被Kubernetes调度。OCI规范的容器实现与CRI标准接口对接的实现是CRI-O。 容器与虚拟机差异对比 容器与虚拟机的差异可以总结为2点：应用打包与分发的差异，应用资源隔离的差异。当然，导致这两点差异的根基是容器是以应用为中心来设计的，而虚拟化是以资源为中心来设计的，本文对比容器与虚拟机的差异，更多的是站在应用视角来对比。 从3个方面对比差异：资源隔离，应用打包与分发，延伸的日志/监控/DFX差异。 1.资源隔离 隔离机制差异 容器 虚拟化 mem/cpu cgroup, 使用时候设定 require 与 limit 值 QEMU, KVM network Linux网络虚拟化技术(veth,tap,bridge,macvlan,ipvlan), 跨虚拟机或出公网访问:SNAT/DNAT, service转发:iptables/ipvs, SR-IOV Linux网络虚拟化技术(veth,tap,bridge,macvlan,ipvlan), QEMU, SR-IOV storage 本地存储: 容器存储驱动 本地存储：virtio-blk 差异引入问题与实践建议 应用程序未适配 cgroup 的内存隔离导致问题: 典型的是 JVM 虚拟机，在 JVM 启动时候会根据系统内存自动设置 MaxHeapSize 值，通常是系统内存的1/4，但是 JVM 并未考虑 cgroup 场景，读系统内存时候任然读取主机的内存来设置 MaxHeapSize，这样会导致内存超过 cgroup 限制从而导致进程被 kill 。问题详细阐述与解决建议参考Java inside docker: What you must know to not FAIL。 多次网络虚拟化问题: 如果在虚拟机内使用容器，会多一层网络虚拟化，并加入了SNAT/DNAT技术, iptables/ipvs技术，对网络吞吐量与时延都有影响（具体依赖容器网络方案），对问题定位复杂度变高，同时还需要注意网络内核参数调优。 典型的网络调优参数有：转发表大小 /proc/sys/net/netfilter/nf_conntrack_max 使用iptables 作为service转发实现的时候，在转发规则较多的时候，iptables更新由于需要全量更新导致非常耗时，建议使用ipvs。详细参考[华为云在 K8S 大规模场景下的 Service 性能优化实践](https://zhuanlan.zhihu.com/p/37230013)。 容器IP地址频繁变化不固定，周边系统需要协调适配，包括基于IP地址的白名单或防火墙控制策略需要调整，CMDB记录的应用IP地址需要适配动态IP或者使用服务名替代IP地址。 存储驱动带来的性能损耗: 容器本地文件系统是通过联合文件系统方式堆叠出来的，当前主推与默认提供的是overlay2驱动，这种模式应用写本地文件系统文件或修改已有文件，使用Copy-On-Write方式，也就是会先拷贝源文件到可写层然后修改，如果这种操作非常频繁，建议使用 volume 方式。 2.应用打包与分发 应用打包/分发/调度差异 容器 虚拟化 打包 打包既部署 一般不会把应用程序与虚拟机打包在一起，通过部署系统部署应用 分发 使用镜像仓库存储与分发 使用文件存储 调度运行 使用K8S亲和/反亲和调度策略 使用部署系统的调度能力 差异引入问题与实践建议 部署提前到构建阶段，应用需要支持动态配置与静态程序分离；如果在传统部署脚本中依赖外部动态配置，这部分需要做一些调整。 打包格式发生变化，制作容器镜像需要注意安全/效率因素，可参考Dockerfile最佳实践 容器镜像存储与分发是按layer来组织的，镜像在传输过程中放篡改的方式是传统软件包有差异。 3.监控/日志/DFX 差异 容器 虚拟化 监控 cpu/mem的资源上限是cgroup定义的；containerd/shim/docker-daemon等进程的监控 传统进程监控 日志采集 stdout/stderr日志采集方式变化；日志持久化需要挂载到volume；进程会被随机调度到其他节点导致日志需要实时采集否则分散很难定位 传统日志采集 问题定位 进程down之后自动拉起会导致问题定位现场丢失；无法停止进程来定位问题因为停止即删除实例 传统问题定位手段 差异引入问题实践与建议 使用成熟的监控工具，运行在docker中的应用使用cadvisor+prometheus实现采集与警报，cadvisor中预置了常用的监控指标项 对于docker管理进程（containerd/shim/docker-daemon）也需要一并监控 使用成熟的日志采集工具，如果已有日志采集Agent，则可以考虑将日志文件挂载到volume后由Agent采集；需要注意的是stderr/stdout输出也要一并采集 如果希望容器内应用进程退出后保留现场定位问题，则可以将Pod的restartPolicy设置为never，进程退出后进程文件都还保留着(/var/lib/docker/containers)。但是这么做的话需要进程没有及时恢复，会影响业务，需要自己实现进程重拉起。 团队配合 与周边的开发团队、架构团队、测试团队、运维团队评审并交流方案，与周边团队达成一致。 落地策略与注意事项 逐步演进过程中网络互通 根据当前已经存在的基础实施情况，选择容器化落地策略。通常使用逐步演进的方式，由于容器化引入了独立的网络namespace导致容器与传统虚拟机进程网络隔离，逐步演进过程中如何打通隔离的网络是最大的挑战。 分两种场景讨论： 不同服务集群之间使用VIP模式互通: 这种模式相对简单，基于VIP做灰度发布。 不同服务集群之间使用微服务点对点模式互通(SpringCloud/ServiceComb/Dubbo都是这一类): 这种模式相对复杂，在逐步容器化过程中，要求容器网络与传统虚拟机网络能够互通（难点是在虚拟机进程内能够直接访问到容器网络的IP地址），当前解决这个问题有几种方法。 自建Kubernetes场景，可使用开源的kube-router，kube-router 使用BGP协议实现容器网络与传统虚拟机网络之间互通，要求网络交换机支持BGP协议。 使用云厂商托管Kubernetes场景，选择云厂商提供的VPC-Router互通的网络插件，如阿里云的Terway网络插件, 华为云的Underlay网络模式。 选择物理机还是虚拟机 选择物理机运行容器还是虚拟机运行容器，需要结合基础设施与业务隔离性要求综合考虑。分两种场景：自建IDC、租用公有云。 自建IDC: 理想情况是使用物理机组成一个大集群，根据业务诉求，对资源保障与安全性要求高的应用，使用MicorVM方式隔离；普通应用使用LXC方式隔离。所有物理机在一个大集群内，方便削峰填谷提升资源利用率。 租用公有云：当前公有云厂家提供的裸金属服务价格较贵且只能包周期，使用裸金属性价比并不高，使用虚拟机更合适。 集群规模与划分 选择集群时候，是多个应用共用一个大集群，还是按应用分组分成多个小集群呢？我们把节点规模数量>=1000的定义为大集群，节点数<1000的定义为小集群。 大集群的优点是资源池共享容器，方便资源调度（削峰填谷）；缺点是随着节点数量与负载数量的增多，会引入管理性能问题（需要量化）: DNS 解析表变大，增加/删除 Service 或 增加/删除 Endpoint 导致DNS表刷新慢 K8S Service 转发表变大，导致工作负载增加/删除刷新iptables/ipvs记录变慢 etcd 存储空间变大，如果加上ConfigMap，可能导致 etcd 访问时延增加 小集群的优点是不会有管理性能问题，缺点是会导致资源碎片化，不容易共享。共享分两种情况: 应用之间削峰填谷：目前无法实现 计算任务与应用之间削峰填谷：由于计算任务是短时任务，可以通过上层的任务调度软件，在多个集群之间分发计算任务，从而达到集群之间资源共享的目的。 选择集群规模的时候，可以参考上述分析，结合实际情况选择适合的集群划分。 Helm? Helm是为了解决K8S管理对象散碎的问题，在K8S中并没有"应用"的概念，只有一个个散的对象(Deployment, ConfigMap, Service, etc)，而一个"应用"是多个对象组合起来的，且这些对象之间还可能存在一定的版本配套关系。 Helm 通过将K8S多个对象打包为一个包并标注版本号形成一个"应用"，通过 Helm 管理进程部署/升级这个"应用"。这种方式解决了一些问题（应用分发更方便）同时也引入了一些问题（引入Helm增加应用发布/管理复杂度、在K8S修改了对象后如何同步到Helm）。对于是否需要使用Helm，建议如下： 在自运维模式下不使用Helm: 自运维模式下，很多场景是开发团队交付一个运行包，运维团队负责部署与配置下发，内部通过兼容性或软件包与配置版本配套清单、管理软件包与配置的配套关系。 在交付软件包模式下使用Helm: 交付软件包模式下，Helm 这种把散碎组件组装为一个应用的模式比较适合，使用Helm实现软件包分发/部署/升级场比较简单。 Reference DOCKER vs LXC vs VIRTUAL MACHINES Cgroup与LXC简介 Introducing Container Runtime Interface (CRI) in Kubernetes frakti rkt appc-spec OCI 和 runc：容器标准化和 docker Linux 容器技术史话：从 chroot 到未来 Linux Namespace和Cgroup Java inside docker: What you must know to not FAIL QEMU,KVM及QEMU-KVM介绍 kvm libvirt qemu实践系列(一)-kvm介绍 KVM 介绍（4）：I/O 设备直接分配和 SR-IOV [KVM PCI/PCIe Pass-Through SR-IOV] prometheus-book 到底什么是Unikernel？ The Rise and Fall of the Operating System The Design and Implementation of the Anykernel and Rump Kernels UniKernel Unikernel：从不入门到入门 OSv 京东如何打造K8s全球最大集群支撑万亿电商交易 Cloud Native App Hub 更多云最佳实践 https://best.practices.cloud 本篇文章为转载内容。原文链接：https://blog.csdn.net/sinat_33155975/article/details/118013855。 该文由互联网用户投稿提供，文中观点代表作者本人意见，并不代表本站的立场。 作为信息平台，本站仅提供文章转载服务，并不拥有其所有权，也不对文章内容的真实性、准确性和合法性承担责任。 如发现本文存在侵权、违法、违规或事实不符的情况，请及时联系我们，我们将第一时间进行核实并删除相应内容。

...此外，我们还可以使用防火墙等工具来限制对DorisDB的访问。 总的来说，DorisDB提供了一套强大的用户权限管理系统，可以帮助我们有效地管理和保护数据安全。希望本文能对你有所帮助！

...如，我们可以检查一下防火墙是否阻止了Atlas的访问。 3.2 清理浏览器缓存 如果是因为浏览器缓存问题导致的，我们就需要清理一下浏览器的缓存。一般来说，我们只需要按照浏览器的提示操作就可以了。 3.3 更换浏览器 如果以上两种方法都无法解决问题，我们还可以尝试更换一个浏览器试试。因为不同的浏览器可能会有不同的兼容性问题。 四、代码示例 在这里，我想给大家举几个使用Apache Atlas的代码示例，希望大家能够通过这些示例更好地理解和使用这个工具。 4.1 获取资源 java AtlasResource resource = client.get("/api/resources/" + resourceId); 4.2 创建资源 java Map properties = new HashMap<>(); properties.put("name", "My Resource"); resource.create(properties); 4.3 删除资源 java client.delete("/api/resources/" + resourceId); 五、结论 总的来说，Apache Atlas是一个非常好用的数据治理平台，但是在使用的过程中我们也可能会遇到一些问题。只要我们get到了正确的处理方式和小窍门，就完全能够麻溜地找出问题所在，并且妥妥地把它们解决掉。同时，我也希望大家能够通过这篇文章了解到更多关于Apache Atlas的知识，从而提高自己的工作效率。

...，咱们还可以用上一些防火墙和入侵检测系统，就像给咱的网络装上电子眼和防护盾一样，实时留意着流量动态，一旦发现有啥不对劲的行为，就能立马出手拦截，确保安全无虞。 当然，除了上述方法外，还有很多其他的方法可以防止跨站脚本攻击（XSS），比如使用验证码、限制用户提交的内容类型等等。这些都是值得我们深入研究和实践的技术。 总的来说，防止访问网站时出现的安全性问题，如跨站脚本攻击（XSS）或SQL注入，是一项非常重要的任务。作为开发小哥/小姐姐，咱们得时刻瞪大眼睛，绷紧神经，不断提升咱的安全防护意识和技术能力。这样一来，才能保证我们的网站能够安安稳稳、健健康康地运行，不给任何安全隐患留空子钻。只有这样，我们才能赢得用户的信任和支持，实现我们的业务目标。"

...更为高效且强大的本地防火墙系统，并与Pi-hole结合，实现全方位的家庭网络安全防护。 此外，开源社区围绕Pi-hole开发了许多增强功能和插件，以适应不断变化的网络环境。TechCrunch发表的一篇文章介绍了几个重要的Pi-hole拓展工具，它们能够帮助用户更精细地管理网络流量，优化家庭网络体验，同时确保个人隐私不受侵犯。 总之，在数字化生活越发普及的今天，深入了解和运用像Pi-hole这样的开源解决方案，不仅能有效提升网络安全性，也是对个人隐私保护意识的重要体现。通过持续关注相关的技术发展和实践案例，我们可以更好地应对未来的网络挑战。

...了解Docker容器端口映射的基础操作后，我们还可以进一步探索更复杂且实用的网络配置场景。例如，近期Docker官方发布了对多主机网络（Overlay Network）和服务发现功能的优化升级，使得在集群环境中管理容器间的端口映射和服务访问更加便捷高效。通过Swarm模式或Kubernetes等编排工具，可以实现跨节点的容器服务自动端口映射与负载均衡。 此外，在安全领域，如何合理规划和限制端口映射以增强容器安全性也是一大议题。有鉴于此，一些企业开始采用安全策略驱动的网络模型，如Calico提供的网络策略，它允许管理员精细控制进出容器的流量，包括端口范围、协议类型甚至基于标签的访问规则，从而有效防止未经授权的外部访问。 深入到技术原理层面，Docker使用的iptables和ipVS等Linux内核网络技术在端口映射中起到关键作用。理解这些底层机制有助于开发者在遇到复杂的网络问题时进行诊断和优化。例如，当需要处理大量并发连接时，可以通过调整内核参数或使用ipVS的负载均衡特性来提升性能。 总之，Docker端口映射虽为基础功能，但在实际生产环境中的应用却千变万化，从简单的单机部署到大规模分布式系统，都需要我们不断深化理解并灵活运用相关知识，以适应不断发展的云计算和容器化技术趋势。

...上下文和模块的定制化配置，可以在保持系统安全的同时确保服务正常运行。 近期（根据实际日期填写），Zabbix官方社区发布了一篇关于如何在启用SELinux环境下正确配置Zabbix的文章，详细阐述了如何编写自定义SELinux模块，为Zabbix服务创建适当的端口、文件和目录类型的标签，以及如何设置布尔值以允许Zabbix与必要的套接字进行交互。通过遵循这些指导步骤，用户可以在享受SELinux提供的强大安全保障的同时，避免因权限问题导致的服务启动失败。 此外，Linux内核开发者和安全专家也不断强调，不应轻易禁用SELinux，而是应深入了解并利用其规则来优化系统安全性。例如，在一篇由Red Hat发布的技术博客中，作者深入剖析了SELinux的工作原理，并给出了针对类似“Permission denied”错误的实战解决方案，其中包括如何查看和修改SELinux上下文，以及使用audit2allow工具生成自定义模块。 总之，面对Zabbix等应用程序与SELinux之间的兼容性问题，应当优先选择细化SELinux策略，而不是简单地禁用它。通过查阅最新的官方文档、社区讨论和技术博客，可以获取到实时有效的解决方案，帮助系统管理员更好地驾驭SELinux，确保系统的安全稳定运行。

...虚拟容器的网络链接、端口转发、虚拟容器的网络地址等问题。下面是一些接入Docker虚拟容器的方法： docker run -p 8080:80 nginx 上述命令将Nginx虚拟容器的80端口转发到主机的8080端口。现在，您可以通过接入主机的http://localhost:8080地址来接入Nginx服务器。 docker inspect container_name 如果您需要知道Docker虚拟容器的网络地址，可以使用上面的命令。它会输出一个JSON格式的数据，包括虚拟容器的网络配置信息和其他详细信息。 如果您正在使用Docker Compose，可以在docker-compose.yml文件中使用ports关键字来映射端口。例如： ports: - "8080:80" 此配置将将Nginx虚拟容器的80端口转发到主机的8080端口。 除了上述方法，还有其他方式可以从Docker虚拟容器外部接入应用。如果您想深入了解Docker虚拟容器网络和端口转发的更多细节，请查看Docker官方文档。

...打开 MySQL 的配置文件 sudo nano /etc/mysql/my.cnf 在配置文件中查找 bind-address 即可看到 MySQL 的安装路径 bind-address = /var/run/mysqld/mysqld.sock 上面的配置文件中的示例路径/var/run/mysqld/mysqld.sock就是 MySQL 的安装路径。除此之外，还可以通过以下命令来查看 MySQL 的安装路径： 切换到 MySQL 目录下 cd /usr/bin 查看当前目录下包含 mysqld 的文件，然后找到 mysqld 程序的绝对路径 find ./ -name mysqld 执行上述命令会返回 MySQL 的安装路径，如/usr/bin/mysqld。 总之，通过配置文件或 find 命令，可以很容易地找到 MySQL 在 Linux 上的安装路径。

...及其依赖环境（如库、配置文件等）打包成独立的、可移植的单元——容器。在Docker这样的容器化平台上，每个容器都运行在宿主机操作系统上，但拥有隔离的用户空间，从而实现轻量级的资源隔离和部署。这意味着开发者可以将应用及其所有依赖项封装在一个容器中，在任何支持Docker的环境中，只需简单命令即可启动并运行该应用，确保了跨环境的一致性和便捷性。 Docker Hub , Docker Hub是Docker官方提供的镜像仓库服务，类似于软件开发中的代码仓库，但它存储的是Docker镜像。开发者可以在Docker Hub上查找、下载、分享和管理自己的Docker镜像，极大地简化了镜像分发与复用的过程。例如，通过docker run hello-world命令就能从Docker Hub拉取并运行hello-world镜像，体现了Docker Hub作为中心化镜像仓库的核心价值。 镜像 , 在Docker环境下，镜像是创建和运行容器的基础模板，包含了应用程序及其运行所需的所有文件和配置信息。镜像以层式结构构建，每层代表应用程序的一个修改或添加，从而使得镜像具有高效存储和快速分发的特点。例如，使用docker build -t myapp .命令基于当前目录下的Dockerfile构建一个名为myapp的新镜像，然后通过docker run -p 80:80 myapp命令使用这个新镜像启动一个容器，并映射端口以便外部访问。这样，无论何时何地，只要有了这个镜像，就可以快速且一致地创建出能够运行特定应用程序的容器实例。

...像中，并暴露3000端口以供服务访问，最后指定启动命令为npm start。通过执行docker build命令，Docker会根据Dockerfile中的指令逐行构建出一个定制化的Docker镜像。 Docker Compose , Docker Compose是Docker提供的一款工具，用于对多个Docker容器进行定义和编排，实现容器化应用的生命周期管理。在团队协作场景下，Docker Compose通过配置文件（如docker-compose.yml）来描述多容器应用程序的服务、网络和数据卷等组件间的依赖关系。用户只需通过一条简单的docker-compose up命令，即可一次性启动、停止或重启所有相关的服务容器，极大地简化了复杂微服务架构下的环境搭建和维护工作，增强了团队开发与协作的便利性。

...和管理结构化数据。 配置文件（my.cnf或my.ini） , 在MySQL安装目录下，存在一个名为my.cnf（Unix/Linux系统中常见）或my.ini（Windows系统中常见）的配置文件，用于存储MySQL服务器的全局配置参数。用户可以在此文件中设置如数据库连接密码、端口号、数据存放路径等各种启动选项，当MySQL服务启动时，会读取这些配置信息以初始化和运行数据库服务。 命令行工具 , 命令行工具是一种通过文本界面与计算机系统交互的应用程序，用户通过输入特定指令来执行操作。在MySQL环境下，命令行工具即MySQL客户端，允许用户直接通过键盘输入SQL语句来查询、修改数据库中的数据，以及进行诸如查看和重置密码等管理操作，无需图形用户界面。例如，在文章中提到的“mysql -u root -p”命令就是利用MySQL命令行工具登录MySQL服务器的方式。

... // SSH端口 // SSH到MySQL服务器 $connection = ssh2_connect($ssh_host, $ssh_port); if (ssh2_auth_password($connection, $ssh_user, $ssh_password)) { // SSH认证成功 $tunnel = ssh2_tunnel($connection, $host, 3306); // 连接MySQL服务器 $conn = mysqli_connect('127.0.0.1', $user, $password, $database, '3306', $tunnel); // 检测连接是否成功 if (!$conn) { die('连接不成功: ' . mysqli_connect_error()); } // 查询数据 $sql = 'SELECT FROM user'; $result = mysqli_query($conn, $sql); // 处理查询结果 if (mysqli_num_rows($result) >0) { while ($row = mysqli_fetch_assoc($result)) { echo '账号: ' . $row['username'] . ', 口令: ' . $row['password'] . ' '; } } else { echo '没有结果'; } // 关闭连接 mysqli_close($conn); } else { // SSH认证不成功 die('SSH认证不成功'); } SSH连接的代码相对复杂，需要用ssh2_connect()函数连接SSH服务器，用ssh2_auth_password()函数进行SSH认证，然后用ssh2_tunnel()函数创建隧道，最后用mysqli_connect()函数连接MySQL服务器和数据库。SSH连接的好处是可以通过SSH隧道连接到远程的MySQL服务器，提升了数据传输的安全性。

...么可能是你的Solr配置出现了问题。 Solr配置出现问题？ 接下来，我们需要检查你的Solr配置。你得保证你的Solr集群已经绑定了正确的ZooKeeper服务器集合，这一步可不能马虎。以下是配置示例： json localhost:2181 在这个示例中，localhost是你ZooKeeper服务器的IP地址，2181是ZooKeeper服务器的端口号。你得把这个值换成你ZooKeeper服务器真实的IP地址和端口号码，就像你在现实生活中填写详细地址一样，这里也需要填写服务器的具体“住址”和“门牌号”。 如果你的ZooKeeper服务器列表中有多个服务器，你需要将它们用逗号分隔开。例如： json localhost1:2181,localhost2:2181,localhost3:2181 在这个示例中，localhost1、localhost2和localhost3都是你的ZooKeeper服务器的IP地址。 示例代码 以下是一段使用Solr创建集群的示例代码： java SolrClient client = new HttpSolrClient.Builder("http://localhost:8983/solr").build(); SolrCloudManager.createCluster(client); 在这个示例中，我们首先创建了一个HttpSolrClient实例，并指定了ZooKeeper服务器的URL。然后，我们调用了createCluster方法来创建集群。 结论 如果你遇到了无法通过ZooKeeper发现集群节点的问题，你可能需要检查你的ZooKeeper集群和Solr配置。如果你已经确认了这两个方面都没有问题，那么你可能需要进一步检查你的网络环境或者硬件设备。无论如何，你都需要耐心地排查问题，才能找到解决的方法。

...浏览器约束，可以通过配置服务器端的Access-Control-Allow-Origin头部信息来处理跨域问题。 总之，JSON是一种十分重要的数据交换格式，掌握JSON的转换方式是必不可少的。

...境，将虚拟环境的80端口映射到主机的80端口上。用户可以通过主机的IP地址或域名访问该Nginx虚拟环境。 除了使用Docker Hub上的公共映像外，用户还可以使用Dockerfile自己创建映像。Dockerfile是一个文本文件，其中包含了创建Docker映像所需要的命令和参数。用户可以通过Dockerfile自定义自己的Docker映像，并通过docker build命令来创建映像。 示例：使用Dockerfile创建一个简单的Java Web应用映像 新建一个名为“myjavaapp”的目录，并在该目录下新建一个名为“Dockerfile”的文件 FROM tomcat:8.5.60-jdk8-openjdk-slim-buster COPY ./myapp.war /usr/local/tomcat/webapps/ 上述Dockerfile基于Tomcat 8.5.60-jdk8-openjdk-slim-buster映像创建映像。将myapp.war文件复制到/usr/local/tomcat/webapps/目录下，使得该Java Web应用可以在Tomcat虚拟环境中启动。 Docker已经发展成为一个庞大的生态圈，提供众多应用和技术栈的虚拟环境化，例如Kubernetes、Swarm、Mesos等。使用Docker可以优化应用的开发、安装和运维过程，提高应用的稳定性和扩展性。

...独立的文件系统、网络配置、进程空间等资源，从而确保应用的部署不受底层基础设施差异的影响。在文中，Docker作为容器化技术的典型代表，实现了应用程序及其依赖项的一致性和可移植性。 Dockerfile , Dockerfile是一个文本文件，其中包含了用户自定义的用于构建Docker镜像的一系列指令。在Docker中，开发者通过编写Dockerfile来详细描述如何从基础镜像开始逐步构建目标容器镜像的过程，包括安装软件包、设置环境变量、复制文件、暴露端口等操作。在文章给出的示例中，Dockerfile指定了使用的父镜像、容器启动时执行的命令、工作目录、挂载本地文件夹以及安装应用所需依赖等步骤，是构建Docker容器镜像的关键蓝图。

...独立的文件系统、网络配置和资源限制。容器提供了隔离且一致的运行环境，使得应用程序可以在不同环境中实现无缝迁移和快速部署。 端口映射 , 端口映射是在Docker容器与宿主机之间建立的一种网络通信机制，通过-p选项在docker run命令中指定。例如，-p 80:80表示将宿主机的80端口与容器内部的80端口进行映射，这样外部客户端可以通过访问宿主机的80端口来与容器内的服务进行通信。 Docker Compose , 尽管文章没有直接提到，但它是Docker生态中的一个重要工具，用于定义和运行多容器应用程序。通过编写一个YAML格式的docker-compose.yml文件，可以轻松地定义一组相关联的服务以及它们之间的依赖关系，然后使用一条命令来启动和协调所有容器的生命周期。 Kubernetes（简称K8s） , 虽然在给出的文章摘要中未详细阐述，但在现代云原生架构中，Kubernetes是一个流行的开源容器编排系统，它可以自动化容器应用的部署、扩展和管理。在文中提及的新版Docker优化了与Kubernetes的集成体验，意味着用户能够更加便捷地将基于Docker的容器部署到Kubernetes集群中，实现大规模容器集群的高效管理和调度。

...onf文件中添加一些配置。具体来说，我们需要添加以下两个配置： javascript add_header 'Access-Control-Allow-Origin' ''; add_header 'Access-Control-Allow-Methods' 'GET, POST, OPTIONS'; 这两个配置的作用分别是： Access-Control-Allow-Origin：指定允许跨域请求的来源。 Access-Control-Allow-Methods：指定允许跨域请求的方法。 注意，我们在location块中添加了proxy_pass指令，这个指令的作用是转发HTTP请求到另一个服务器。嘿，伙计，这次的情况是这样的，我们把请求给“嗖”地一下转送到了localhost那个家伙的8080端口上啦。 现在，我们已经成功地在Nginx服务器上解决了浏览器跨域问题。我们可以再次访问http://localhost/来测试。 总结 总的来说，使用Docker启动Nginx服务器是一种非常简单且有效的方式来解决浏览器跨域问题。只需要几个简单的步骤，咱们就能轻松搞定Nginx服务器的配置，让它帮咱们顺顺利利解决跨域这个小麻烦。而且，这种方式还可以让我们更方便地管理和扩展我们的应用程序。如果你还没有尝试过使用Docker和Nginx，那么我强烈建议你去试试看！

...力，也可能是Solr配置出了点岔子，再不然就是查询语句有点问题，总之是这些家伙在捣乱啦。 三、解决“Unexpected response from server”的方法 1. 检查网络连接 首先，我们需要检查我们的网络连接是否正常。可以通过ping命令来测试网络连通性： bash ping 如果无法ping通，那么就可能是因为网络问题导致的。 2. 检查Solr配置 其次，我们需要检查Solr的配置文件。确保端口号正确无误，并且没有任何语法错误。 3. 检查索引状态 如果上述步骤都无法解决问题，那么就需要检查索引的状态。可以使用以下命令查看索引的状态： bash curl -X GET http://:8983/solr/admin/cores | jq '. cores[] | select(.core == "").state' 如果状态显示为"UNLOADING"或"STOPPED"，那么可能是因为索引出现了问题。 4. 检查查询语句 最后，我们需要检查我们的查询语句。确保查询语句没有语法错误，并且符合Solr的要求。 5. 使用日志信息 在上述步骤都完成之后，如果还是无法解决问题，那么就需要通过查看Solr的日志信息来寻找答案。可以在Solr的日志目录中找到相关的日志文件。 四、结论 总的来说，“Unexpected response from server”是一个常见的Solr错误，它的原因多种多样。我们需要从多个方面去排查和解决问题。希望这篇文章能帮助你更好地理解和解决这个问题。 五、参考文献 1. Apache Solr官方文档 https://lucene.apache.org/solr/guide/ 2. Stack Overflow上的相关问题 https://stackoverflow.com/questions/tagged/apache-solr

...r镜像创建，并且可以配置资源限制、网络设置以及存储卷等。 Docker镜像 , Docker镜像是创建Docker容器的基础模板，是一个包含应用程序及其所有依赖组件（包括操作系统层）的静态文件集合。镜像以层级结构保存，遵循可复用原则，允许开发人员构建分层的、模块化的软件交付物。在Docker中，用户可以通过编写Dockerfile来定义镜像的具体构建过程，然后使用docker build命令生成新的镜像。 Docker Compose , Docker Compose是一款用于定义和运行多容器Docker应用程序的工具，它通过一个名为docker-compose.yml的YAML文件来描述多个容器服务、网络及数据卷等组件间的依赖关系和服务配置。借助Docker Compose，开发者能够简化多容器应用的部署与管理，轻松地在一个命令下启动、停止或重新配置整个应用栈，极大地提升了开发效率和生产力。例如，在docker-compose.yml文件中，可以定义web服务器容器和数据库容器，并配置它们之间的网络连接、端口映射和环境变量等信息。