深入解析容器与虚拟化:技术、对比与生态
深入解析容器与虚拟化:技术、对比与生态
文章目录
- 深入解析容器与虚拟化:技术、对比与生态
- 容器和虚拟化的基本概念和原理
- 容器的定义和特点
- 虚拟化的定义和特点
- 容器使用场景
- 容器和虚拟机的对比
- 虚拟化技术的四个特点
- 容器实现虚拟化的原理
- 常见容器引擎和容器生态的开源基金会
- 常见容器引擎
- Docker简介
- Docker的技术架构
- Containerd简介
- iSula简介
- 容器生态的标准与开源基金会
- 容器与虚拟化安全
- 安全容器的概念和技术
- 容器和虚拟机的融合 - 安全容器
- 容器隔离和安全性的挑战
- 容器运行时监控和安全策略
容器和虚拟化的基本概念和原理
容器的定义和特点
定义
容器是一个独立运行的软件包,包含应用程序、运行时环境和所有相关的依赖项(库、配置文件等)。它将应用程序与底层操作系统进行隔离,使应用程序能够在不同的主机上以一致的方式运行。
容器可以被看成是一种轻量级虚拟化技术,利用namespace和Cgroup等隔离技术,将一个或者一组进程运行在一个相对独立的资源空间内
特点
- 轻量级: 与传统虚拟机相比,容器更加轻量级,因为它们共享宿主操作系统的内核。每个容器只需包含应用程序所需的最小运行时组件,减少了资源消耗和启动时间。
- 高度可移植: 容器可以在不同的环境中运行,包括开发人员的本地机器、测试服务器和生产环境等。容器提供了一种可移植的部署方式,确保应用程序在不同环境中具有一致的行为。
- 快速启动和部署: 由于容器共享操作系统内核并且只运行所需的组件,它们的启动速度比传统虚拟机更快。容器可以在几秒钟内启动,并且可以快速部署和扩展,满足动态的需求。
- 隔离性: 容器在逻辑上隔离了应用程序及其运行时环境,使它们相互隔离并保护宿主系统的稳定性。每个容器都有自己的文件系统、进程空间、网络接口和用户空间。
- 可伸缩性: 容器技术可以支持水平和垂直的扩展,根据应用程序的需求进行快速的扩容或缩减。这种弹性能力使得容器在面对变化的负载和流量时非常有用。
虚拟化的定义和特点
定义
虚拟化是将计算机的硬件资源(如处理器、内存、存储和网络等)进行抽象和隔离,以创建多个虚拟的资源实例,每个实例都可以运行独立的操作系统和应用程序。
特点
- 资源的抽象化:虚拟化技术将物理资源抽象为虚拟资源,使它们可以被多个虚拟机或容器共享和使用。这样,每个虚拟机/容器就可以独立地管理和利用这些资源。
- 资源的隔离和安全性:虚拟化提供了强大的隔离机制,使每个虚拟机/容器之间相互隔离,互不干扰。这样可以保证应用程序之间的安全性和稳定性。
- 资源的动态分配和管理:虚拟化技术可以根据需求自动调整虚拟机/容器所需的资源,实现资源的弹性分配和管理。这样可以最大程度地提高资源利用率,并根据需求进行动态扩展或收缩。
- 虚拟机的迁移和高可用性:虚拟化技术使得虚拟机可以在物理主机之间进行迁移,实现负载均衡、故障恢复和高可用性。这样可以提高系统的可靠性和稳定性。
- 平台无关性:通过虚拟化,应用程序和操作系统可以独立于底层硬件平台运行。这意味着开发人员可以在不同的硬件平台上部署和运行相同的应用程序,提高了应用程序的可移植性和灵活性。
容器使用场景
- 部署无状态服务
- CI/CD、DevOps及微服务的场景
- 跨Region、跨数据中心的混合云场景
- 版本变更比较频繁的业务
容器和虚拟机的对比
优势
容器 | 虚拟机 | |
---|---|---|
启动速度 | 秒甚至毫秒启动 | 数秒至数十秒 |
系统内核 | 共享内核 | 不共享内核 |
实现技术 | 利用Linux内核技术Namespace/Cgroup等实现。 | 依赖虚拟化技术实现,由Hypervisor层实现对资源的隔离 |
隔离效果 | 进程级别的隔离 | 系统资源级别的隔离 |
资源消耗(性能) | 容器中的应用只是宿主机上的一个普通进程 | 使用虚拟化技术,就会有额外的资源消耗和占用 |
资源调用(敏捷性) | 应用进程直接由宿主机OS管理 | 应用进程需经过Hypervisor的拦截和处理,才能调用系统资源 |
运行数量 | 一台服务器上能启动1000+容器 | 一台服务器上一般不超过100台虚拟机 |
应用 | DevOps、微服务等 | 用于硬件资源划分 |
镜像 | 分层镜像 | 非分层镜像 |
不足
容器的实现方式注定了容器无法彻底的隔离,因此带来了一些不如虚拟机的地方
- 安全性:容器之间共享主机操作系统的内核,因此可能存在一些安全风险。例如,一个容器中的恶意应用程序可能会影响到其他容器或主机操作系统。
- 隔离性:容器之间的隔离级别较低,容器之间可以相互访问。如果一个容器被攻击或感染了病毒,它可能会影响到其他容器或主机操作系统。
- 资源限制:虽然容器可以使用 Linux 控制组(cgroups)和命名空间(namespace)等技术限制资源使用,但这些技术并不像虚拟机那样提供完全的资源隔离和限制。因此,容器之间可能会互相影响,导致资源争用和性能问题。
容器不仅是一种虚拟化技术,更重要的是一种应用打包机制
应用运行需要依赖包括操作系统在内的库,容器镜像可以将应用及其所有依赖进行打包,使应用在不同平台(开发、测试或者生产)上拥有相同的运行环境
容器提供的是PaaS服务
有了容器后,传统的应用部署方式发生了变化。以前用户需要先申请一个虚拟机或者安装一台物理机,然后使用脚本或者手动的方式部署应用。由于容器镜像将应用及其依赖进行了打包,部署时,仅需要将镜像解压即可
虚拟化技术的四个特点
- 分区:每个运行在容器内的应用都有自己的硬件资源
- 隔离:通过分区所建立的多个容器之间采用逻辑隔离措施,防止相互影响
- 封装:封装意味着将整个容器储存在独立于物理硬件的一小组文件中
- 独立:容器可以被运行在相同linux内核的linux发行版内,和硬件无关
容器实现虚拟化的原理
- 容器也是一种虚拟化技术
- 虚拟化是通过hypervisor进行硬件的模拟,从而实现虚拟化的
- 容器是容器引擎通过namespace和Cgroup对应用进行欺骗,从而实现虚拟化的
常见容器引擎和容器生态的开源基金会
常见容器引擎
Docker
其他
- Containerd
- Podman
- iSula
- Rocket
Docker简介
容器的精髓在于镜像,而docker是容器镜像标准的制定者,因此,学习容器是绕不开docker的
2013年,dotCloud公司将docker项目开源
Docker项目:
- GitHub上开发的Moby开源项目的一部分
- 遵循Apache License 2.0许可证协议
- Go语言编写
Docker是一个开源的引擎,可以轻松的为任何应用创建一个轻量级的、可移植的、自给自足的容器
Docker公司目前推出两个版本:
- Docker CE(社区版)
- Docker EE(企业版)
Docker的技术架构
Containerd简介
- Containerd是Docker公司于2017年捐赠给CNCF社区的一个项目
- 2019年2月28日,Containerd从CNCF毕业,是一个符合行业标准的运行时
- Containerd支持Linux系统和Windows系统
iSula简介
- 在居住中南美洲亚马逊丛林的巴西原住民眼里,iSula是一种非常强大的蚂蚁,学术上称为“子弹蚁”,因为被它咬一口,犹如被子弹打到那般疼痛,它是世界上最强大的昆虫之一
- iSula为全量的容器软件栈,包括引擎、网络、存储、工具集与容器OS
- iSulad作为其中轻量化的容器引擎与子弹蚂蚁“小个头、大能量”的形象不谋而合
容器生态的标准与开源基金会
OCI和CNCF
- OCI是由多家公司共同成立的基金会,以RunC为依据制定的一套容器和镜像的标准和规范
- CNCF是一个以kubernetes为核心的容器编排开源基金会
RunC和Runtime
- Runtime是对容器运行时的相关状态和操作进行管理的工具,所有的runtime共同遵守的OCI的标准和规范
- RunC是runtime的一种,由docker公司2015年发布的符合OCI规范的runtime工具
内容 | |
---|---|
bundle.md(Filesystem Bundle ) | bundle中包含了运行容器所需要的所有信息,主要是config.json文件和rootfs。Runtime根据bundle启动容器 |
config.md | 包含对容器实施标准操作所必需的元数据,存放于config.json文件中。如oci版本、rootfs路径、mount目录、process、platform、容器hostname等 |
config-linux.md | Linux平台上对config.md的扩展,内容也包含在config.json文件中。如namespace、devices、CgroupPath、resources、sysctl、readonlyPaths等 |
runtime.md | 定义了3部分内容:容器状态(如status、pid等)、容器相关操作(如create、kill等)、容器生命周期 |
runtime-linux.md | 是Linux平台上对runtime.md的补充 |
容器与虚拟化安全
安全容器的概念和技术
安全容器是指在容器化环境中增强应用程序和数据的安全性的技术措施。这些措施包括但不限于密钥管理、访问控制、安全审计、漏洞管理和防护等。
安全容器技术的目标是确保容器内部和容器之间的隔离,并提供强大的安全策略和机制来保护容器的运行环境。
容器和虚拟机的融合 - 安全容器
- 安全容器融合了容器和虚拟机的特性
- 容器之间使用hypervisor隔离,可以达到虚拟机的安全性
- 轻量级的hypervisor可以使安全容器的启动达到容器级别
和普通容器相比,安全容器最主要的区别是每个容器(准确地说是pod)都运行在一个单独的微型虚拟机中,拥有独立的操作系统内核,以及虚拟化层的安全隔离。
因为云容器实例采用的是共享多租集群,因此容器的安全隔离比用户独立拥有私有Kubernetes集群有更严格的要求。
通过安全容器,不同租户之间的容器之间,内核、计算资源、存储和网络都是隔离开的。保护了用户的资源和数据不被其他用户抢占和窃取
容器隔离和安全性的挑战
容器隔离是保证容器之间资源和环境隔离的关键
- 跨容器隔离:不同容器之间可能共享内核,从而增加了容器之间的攻击风险。
- Linux 内核漏洞:如果底层的 Linux 内核有漏洞,攻击者可能通过容器逃逸获取主机权限。
- 资源耗尽攻击:恶意容器可能通过滥用资源来拒绝服务或影响其他容器的性能。
- 应用程序漏洞:容器中的应用程序可能存在安全漏洞,可能导致数据泄露或系统受到攻击。
容器运行时监控和安全策略
为了提高容器环境的安全性,可以采取以下措施:
- 容器镜像的验证:使用签名和哈希等技术验证容器镜像的完整性和来源。
- 访问控制和权限管理:限制容器的访问权限,确保只有授权的用户和服务可以访问容器内部。
- 安全审计和日志记录:详细记录容器运行时的活动和事件,以便进行安全审计和排查问题。
- 漏洞管理和补丁管理:定期更新容器镜像和基础组件,修补已知漏洞,减少攻击面。
- 网络隔离和安全策略:使用网络隔离和防火墙等技术限制容器之间的通信,实施安全策略。
- 运行时监控和威胁检测:实时监控容器的运行状态和行为,检测和应对潜在的威胁。
相关文章:

深入解析容器与虚拟化:技术、对比与生态
深入解析容器与虚拟化:技术、对比与生态 文章目录 深入解析容器与虚拟化:技术、对比与生态容器和虚拟化的基本概念和原理容器的定义和特点虚拟化的定义和特点 容器使用场景容器和虚拟机的对比虚拟化技术的四个特点容器实现虚拟化的原理常见容器引擎和容器…...
制作游戏demo的心得
制作这个游戏demo出来的心得 https://www.bilibili.com/video/BV1cF411m7Dh/ 制作游戏demo的心得 制作游戏demo,主要是为了表现自己的技术,那就一门心思想着如何提高表现力就行了,在整体的画面渲染风格方面或许没有什么可选择的,…...

Web Tour Server窗口闪现
1.打开该文件所在位置 2.右击选择编辑,在最后一行加上pause,保存后重新打开Server窗口 3.重新打开后,若出现以下情况: 以管理员身份打开cmd命令行,输入命令netstat -aon|findstr “1080”,查看1080端口占用…...

Linux下的基本指令
目录 01. ls 指令 02. pwd命令 03. cd 指令 04. touch指令 05.mkdir指令(重要): 06.rmdir指令 && rm 指令(重要): 07.man指令(重要): 08mv指令ÿ…...
随机数生成器代码HTML5
代码如下 <!DOCTYPE html> <html> <head> <title>随机数生成器</title> <meta name"viewport" content"widthdevice-width, initial-scale1.0"> <style> body { text-align: center; bac…...

正确理解redux Toolkits中createSlice的action.payload
使用redux Toolkits中的createSlice编写extraReducers经常看到使用action.payload来更新state状态值: 那么action.payload指的到底是什么? 让我们看看action的定义部分: 注意: action.payload不是上面ajax请求的返回内容&#x…...

YOLOv8快速复现 官网版本 ultralytics
YOLOV8环境安装教程.:https://www.bilibili.com/video/BV1dG4y1c7dH/ YOLOV8保姆级教学视频:https://www.bilibili.com/video/BV1qd4y1L7aX/ b站视频:https://www.bilibili.com/video/BV12p4y1c7UY/ 1 平台搭建YOLOv8 平台:https://www.a…...

Haproxy搭建 Web 群集实现负载均衡
目录 1 Haproxy 1.1 HAProxy的主要特性 1.2 HAProxy负载均衡策略 1.3 LVS、Nginx、HAproxy的区别 2 Haproxy搭建 Web 群集 2.1 haproxy 服务器部署 2.1.1 关闭防火墙 2.1.2 内核配置(实验环境可有可无) 2.1.3 安装 Haproxy 2.1.4 Haproxy服务…...

Tessy 5.0.4
Tessy 5.0.4 Linux 2692407267qq.com,更多内容请见http://user.qzone.qq.com/2692407267/...
mybatis-plus根据指定条件批量更新
1.service实现类中 比如我这里只针对UserEntity,在UserServiceImpl下(该实现类是继承了mybatis-plus的ServiceImpl的)新增如下代码: public boolean updateBatchByQueryWrapper(Collection<UserEntity> entityList, Funct…...

虹科方案 | LIN/CAN总线汽车零部件测试方案
文章目录 摘要一、汽车零部件测试的重要性?二、虹科的测试仿真工具如何在汽车零部件测试展露头角?三、应用场景**应用场景1:方向盘开关的功能测试****应用场景2:各类型电机的控制测试****应用场景3:RGB氛围灯的功能测试…...
[solidity]合约调用合约
先写一个简单的合约将其部署,部署后的合约地址为:0xd9145CCE52D386f254917e481eB44e9943F39138 // SPDX-License-Identifier: MIT pragma solidity ^0.8.0;contract A{string myname;function setName(string memory _name) public{myname_name;}functi…...

Vulnhub系列靶机---JANGOW 1.0.1
文章目录 网卡配置信息收集主机发现端口扫描 漏洞利用反弹Shell提权 靶机文档:JANGOW 1.0.1 下载地址:Download (Mirror) 难易程度:. 网卡配置 水果味儿 信息收集 主机发现 端口扫描 访问80端口 点击site目录 点击页面上方的一个选项&…...

肖sir__项目环境之全流程__005
一、测试流程(h模型) 1、需求文档(产品) 需求文档(软件需求规格说明书srs) (1)如何分析需求 a、显示需求(主流程、功能,业务) b、隐性需求&#x…...
搜狗输入法下键翻页
搜狗输入法下键翻页 从官网下载 搜狗输入法智慧版关闭超级候选关闭候选...

C#多线程
一、多线程实现方式 1. 使⽤Thread类: System.Threading.Thread 类是C#中最基本的多线程编程⼯具。 2. 使⽤ThreadPool: 线程池是⼀个管理和重⽤线程的机制,它可以在应⽤程序中创建和使 ⽤多个线程,⽽⽆需显式地管理线程的…...
Unity 编辑器常用方法
unity编辑器开发 脚本注解1. RuntimeInitializeOnLoadMethod2. ColorUsage3. Header4. SerializeField5. HideInInspector6. Space7. Range8. Multiline9.[RequireComponent(typeof())]10.HelpURL 右键菜单注解1. CreateAssetMenu - 针对ScriptableObject 菜单栏注解1. MenuIt…...

21 mysql ref 查询
前言 这里主要是 探究一下 explain $sql 中各个 type 诸如 const, ref, range, index, all 的查询的影响, 以及一个初步的效率的判断 这里会调试源码来看一下 各个类型的查询 需要 lookUp 的记录 以及 相关的差异 此系列文章建议从 mysql const 查询 开始看 测试表结构…...

启山智软/一款包含主流商城类型的一款电商中台系统100%开源
文章目录 介绍一、Smart Shop JAVA 微服务电商中台优势二、电商中台包含那些主流商城模式1.S2B2C供应链商城2.B2B2C多商户商城3.B2C单商户商城4.O2O外卖配送商城5.社区团购商城 6.演示地址总结 介绍 想要了解代码规范,学习商城解决方案,点击下方官网链接…...

【C语言】指针的进阶(四)—— 企业笔试题解析
笔试题1: int main() {int a[5] { 1, 2, 3, 4, 5 };int* ptr (int*)(&a 1);printf("%d,%d", *(a 1), *(ptr - 1));return 0; } 【答案】在x86环境下运行 【解析】 &a是取出整个数组的地址,&a就表示整个数组,因此…...

SpringBoot-17-MyBatis动态SQL标签之常用标签
文章目录 1 代码1.1 实体User.java1.2 接口UserMapper.java1.3 映射UserMapper.xml1.3.1 标签if1.3.2 标签if和where1.3.3 标签choose和when和otherwise1.4 UserController.java2 常用动态SQL标签2.1 标签set2.1.1 UserMapper.java2.1.2 UserMapper.xml2.1.3 UserController.ja…...

C++实现分布式网络通信框架RPC(3)--rpc调用端
目录 一、前言 二、UserServiceRpc_Stub 三、 CallMethod方法的重写 头文件 实现 四、rpc调用端的调用 实现 五、 google::protobuf::RpcController *controller 头文件 实现 六、总结 一、前言 在前边的文章中,我们已经大致实现了rpc服务端的各项功能代…...
【Linux】shell脚本忽略错误继续执行
在 shell 脚本中,可以使用 set -e 命令来设置脚本在遇到错误时退出执行。如果你希望脚本忽略错误并继续执行,可以在脚本开头添加 set e 命令来取消该设置。 举例1 #!/bin/bash# 取消 set -e 的设置 set e# 执行命令,并忽略错误 rm somefile…...

RocketMQ延迟消息机制
两种延迟消息 RocketMQ中提供了两种延迟消息机制 指定固定的延迟级别 通过在Message中设定一个MessageDelayLevel参数,对应18个预设的延迟级别指定时间点的延迟级别 通过在Message中设定一个DeliverTimeMS指定一个Long类型表示的具体时间点。到了时间点后…...
Leetcode 3576. Transform Array to All Equal Elements
Leetcode 3576. Transform Array to All Equal Elements 1. 解题思路2. 代码实现 题目链接:3576. Transform Array to All Equal Elements 1. 解题思路 这一题思路上就是分别考察一下是否能将其转化为全1或者全-1数组即可。 至于每一种情况是否可以达到…...

Qt/C++开发监控GB28181系统/取流协议/同时支持udp/tcp被动/tcp主动
一、前言说明 在2011版本的gb28181协议中,拉取视频流只要求udp方式,从2016开始要求新增支持tcp被动和tcp主动两种方式,udp理论上会丢包的,所以实际使用过程可能会出现画面花屏的情况,而tcp肯定不丢包,起码…...

云启出海,智联未来|阿里云网络「企业出海」系列客户沙龙上海站圆满落地
借阿里云中企出海大会的东风,以**「云启出海,智联未来|打造安全可靠的出海云网络引擎」为主题的阿里云企业出海客户沙龙云网络&安全专场于5.28日下午在上海顺利举办,现场吸引了来自携程、小红书、米哈游、哔哩哔哩、波克城市、…...

渗透实战PortSwigger靶场-XSS Lab 14:大多数标签和属性被阻止
<script>标签被拦截 我们需要把全部可用的 tag 和 event 进行暴力破解 XSS cheat sheet: https://portswigger.net/web-security/cross-site-scripting/cheat-sheet 通过爆破发现body可以用 再把全部 events 放进去爆破 这些 event 全部可用 <body onres…...
基于Uniapp开发HarmonyOS 5.0旅游应用技术实践
一、技术选型背景 1.跨平台优势 Uniapp采用Vue.js框架,支持"一次开发,多端部署",可同步生成HarmonyOS、iOS、Android等多平台应用。 2.鸿蒙特性融合 HarmonyOS 5.0的分布式能力与原子化服务,为旅游应用带来…...
服务器硬防的应用场景都有哪些?
服务器硬防是指一种通过硬件设备层面的安全措施来防御服务器系统受到网络攻击的方式,避免服务器受到各种恶意攻击和网络威胁,那么,服务器硬防通常都会应用在哪些场景当中呢? 硬防服务器中一般会配备入侵检测系统和预防系统&#x…...