在这里插入图片描述

前言

Docker 是一个开源的应用容器引擎，让开发者可以打包他们的应用以及依赖包到一个可移植的容器中,然后发布到任何流行的Linux或Windows操作系统的机器上,也可以实现虚拟化,容器是完全使用沙箱机制,相互之间不会有任何接口。

📕作者简介：热爱跑步的恒川，致力于C/C++、Java、Python等多编程语言，热爱跑步，喜爱音乐的一位博主。
📗本文收录于恒川的日常汇报系列，大家有兴趣的可以看一看
📘相关专栏C语言初阶、C语言进阶系列等，大家有兴趣的可以看一看
📙Python零基础入门系列，Java入门篇系列正在发展中，喜欢Python、Java的朋友们可以关注一下哦！

Docker中Linux 容器、网络虚拟化与虚拟局域网的技术特点

1. Linux 容器
2. 网络虚拟化
3. 虚拟局域网
- 3.1 常见形式
- 3.2 虚拟专用网络
- 3.3 技术特点
- 3.4 主要优势
4. 恒川赠书活动

1. Linux 容器

在这里插入图片描述

借助于namespace的隔离机制和cgroup限额功能，LXC提供了一套统一的API和工具来建立和管理container, LXC利用了如下 kernel 的features

Kernel namespaces (ipc, uts, mount, pid, network and user)
Apparmor and SELinux profiles
Seccomp policies
Chroots (using pivot_root)
Kernel capabilities
Control groups (cgroups)

LXC 向用户屏蔽了以上 kernel 接口的细节, 提供了如下的组件大大简化了用户的开发和使用工作:

The liblxc library
Several language bindings (python3, lua and Go)
A set of standard tools to control the containers
Container templates

在这里插入图片描述

LXC 旨在提供一个共享kernel的 OS 级虚拟化方法，在执行时不用重复加载Kernel, 且container的kernel与host共享，因此可以大大加快container的启动过程，并显著减少内存消耗。在实际测试中，基于LXC的虚拟化方法的IO和CPU性能几乎接近 baremetal 的性能 , 大多数数据有相比 Xen具有优势。当然对于KVM这种也是通过Kernel进行隔离的方式, 性能优势或许不是那么明显, 主要还是内存消耗和启动时间上的差异。在参考文献中提到了利用iozone进行 Disk IO吞吐量测试KVM反而比LXC要快，而且笔者在device mapping driver下重现同样case的实验中也确实能得到如此结论。参考文献从网络虚拟化中虚拟路由的场景(网络IO和CPU角度)比较了KVM和LXC, 得到结论是KVM在性能和隔离性的平衡上比LXC更优秀 - KVM在吞吐量上略差于LXC, 但CPU的隔离可管理项比LXC更明确。

2. 网络虚拟化

在这里插入图片描述

网络虚拟化的内容一般指虚拟专用网络 (VPN)。VPN 对网络连接的概念进行了抽象，允许远程用户访问组织的内部网络，就像物理上连接到该网络一样。网络虚拟化可以帮助保护 IT 环境，防止来自 Internet 的威胁，同时使用户能够快速安全的访问应用程序和数据。

“Virtual Private Network”。vpn被定义为通过一个公用网络(通常是因特网)建立一个临时的、安全的连接，是一条穿过混乱的公用网络的安全、稳定隧道。使用这条隧道可以对数据进行几倍加密达到安全使用互联网的目的。

3. 虚拟局域网

比较常见的网络虚拟化应用包括虚拟局域网，即VLAN，虚拟专用网，VPN，以及虚拟网络设备等。
VLAN如图1所示，是指管理员能够根据实际应用需求，把同一物理局域网内的不同用户，从逻辑上划分为不同的广播域，即实现了VLAN。每一个VLAN相当于一个独立的局域网络。同一个VLAN中的计算机用户可以互连互通，而不同VLAN之间的计算机用户不能直接互连互通。只有通过配置路由等技术手段才能实现不同VLAN之间的计算机的互连互通。
我们知道，局域网的特点，就是里面的计算机之间是互联互通的。可见从用户使用的角度来看，模拟出来的逻辑网络与物理网络在体验上是完全一样的。

3.1 常见形式

在这里插入图片描述

基于网络的虚拟化方法是在网络设备之间实现存储虚拟化功能，具体有下面几种方式：

基于互联设备的虚拟化
基于互联设备的方法如果是对称的，那么控制信息和数据走在同一条通道上;如果是不对称的，控制信息和数据走在不同的路径上。在对称的方式下，互联设备可能成为瓶颈，但是多重设备管理和负载平衡机制可以减缓瓶颈的矛盾。同时，多重设备管理环境中，当一个设备发生故障时，也比较容易支持服务器实现故障接替。但是，这将产生多个SAN孤岛，因为一个设备仅控制与它所连接的存储系统。非对称式虚拟存储比对称式更具有可扩展性，因为数据和控制信息的路径是分离的。
基于互联设备的虚拟化方法能够在专用服务器上运行，使用标准操作系统，例如Windows、Sun Solaris、Linux或供应商提供的操作系统。这种方法运行在标准操作系统中，具有基于主机方法的诸多优势–易使用、设备便宜。许多基于设备的虚拟化提供商也提供附加的功能模块来改善系统的整体性能，能够获得比标准操作系统更好的性能和更完善的功能，但需要更高的硬件成本。
但是，基于设备的方法也继承了基于主机虚拟化方法的一些缺陷，因为它仍然需要一个运行在主机上的代理软件或基于主机的适配器，任何主机的故障或不适当的主机配置都可能导致访问到不被保护的数据。同时，在异构操作系统间的互操作性仍然是一个问题。
基于路由器的虚拟化
基于路由器的方法是在路由器固件上实现存储虚拟化功能。供应商通常也提供运行在主机上的附加软件来进一步增强存储管理能力。在此方法中，路由器被放置于每个主机到存储网络的数据通道中，用来截取网络中任何一个从主机到存储系统的命令。

3.2 虚拟专用网络

在这里插入图片描述

虚拟专用网络VPN“Virtual Private Network。vpn被定义为通过一个公用网络(通常是因特网)建立一个临时的、安全的连接，是一条穿过混乱的公用网络的安全、稳定隧道。使用这条隧道可以对数据进行几倍加密达到安全使用互联网的目的。虚拟专用网是对企业内部网的扩展。虚拟专用网可以帮助远程用户、公司分支机构、商业伙伴及供应商同公司的内部网建立可信的安全连接，用于经济有效地连接到商业伙伴和用户的安全外联网虚拟专用网。VPN主要采用隧道技术、加解密技术、密钥管理技术和使用者与设备身份认证技术。
功能
VPN可以提供的功能：防火墙功能、认证、加密、隧道化。
VPN可以通过特殊加密的通讯协议连接到Internet上，在位于不同地方的两个或多个企业内部网之间建立一条专有的通讯线路，就好比是架设了一条专线一样，好比通过安全隧道，到达目的地，而不用为隧道的建设付费，但是它并不需要真正的去铺设光缆之类的物理线路。这就好比去电信局申请专线，但是不用给铺设线路的费用，也不用购买路由器等硬件设备。VPN技术原是路由器具有的重要技术之一，在交换机，防火墙设备或Windows 2000及以上操作系统中都支持VPN功能，一句话，VPN的核心就是利用公共网络建立虚拟私有网。

3.3 技术特点

安全保障
虽然实现VPN的技术和方式很多，但所有的VPN均应保证通过公用网络平台传输数据的专用性和安全性。在安全性方面，由于VPN直接构建在公用网上，实现简单、方便、灵活，但同时其安全问题也更为突出。企业必须确保其VPN上传送的数据不被攻击者窥视和篡改，并且要防止非法用户对网络资源或私有信息的访问。
服务质量保证(QoS)
VPN网应当为企业数据提供不同等级的服务质量保证。不同的用户和业务对服务质量保证的要求差别较大。在网络优化方面，构建VPN的另一重要需求是充分有效地利用有限的广域网资源，为重要数据提供可靠的带宽。广域网流量的不确定性使其带宽的利用率很低，在流量高峰时引起网络阻塞，使实时性要求高的数据得不到及时发送;而在流量低谷时又造成大量的网络带宽空闲。
QoS通过流量预测与流量控制策略，可以按照优先级实现带宽管理，使得各类数据能够被合理地先后发送，并预防阻塞的发生。
可扩充性和灵活性
VPN必须能够支持通过Intranet和Extranet的任何类型的数据流，方便增加新的节点，支持多种类型的传输媒介，可以满足同时传输语音、图像和数据等新应用对高质量传输以及带宽增加的需求。
可管理性
从用户角度和运营商角度应可方便地进行管理、维护。VPN管理的目标为：减小网络风险、具有高扩展性、经济性、高可靠性等优点。事实上，VPN管理主要包括安全管理、设备管理、配置管理、访问控制列表管理、QoS管理等内容。

3.4 主要优势

在这里插入图片描述

1)建网快速方便　用户只需将各网络节点采用专线方式本地接入公用网络，并对网络进行相关配置即可。
2)降低建网投资　由于VPN是利用公用网络为基础而建立的虚拟专网，因而可以避免建设传统专用网络所需的高额软硬件投资。
3)节约使用成本　用户采用VPN组网，可以大大节约链路租用费及网络维护费用，从而减少企业的运营成本。
4)网络安全可靠　实现VPN主要采用国际标准的网络安全技术，通过在公用网络上建立逻辑隧道及网络层的加密，避免网络数据被修改和盗用，保证了用户数据的安全性及完整性。
5)简化用户对网络的维护及管理　大量的网络管理及维护工作由公用网络服务提供商来完成。

关于CPU, DiskIO, network IO 和 memory 在KVM和LXC中的比较还是需要更多的实验才能得出可信服的结论。

4. 恒川赠书活动

恒川赠书活动第五期：
在这里插入图片描述

618，清华社 IT BOOK 多得图书活动开始啦！活动时间为2023年6月7日至6月18日，清华社为您精选多款高分好书，涵盖了C++、Java、Python、前端、后端、数据库、算法与机器学习等多个IT开发领域，适合不同层次的读者。全场5折，扫码领券更有优惠哦！

特惠购书查看详细

抽奖活动：

《 Python高效编程——基于Rust语言》
《 PyTorch深度学习简明实战》
《图解数据智能》
《 Spring Cloud微服务快速上手》
《项目驱动零起点学Java 》

⭐本次活动一共赠书3本，评论区抽取3位小伙伴免费送出！！
⭐参与方式：关注博主、点赞、收藏、评论区评论 “ 人生苦短，我爱Python！”（切记要点赞+收藏，否则抽奖无效，每个人最多评论三次！！！）
⭐ 活动截止时间：2023-06-17 22:30:00
⭐通知方式：私信通知 （五十多本书里面选一本）