如何设置容器的网络类型

㈠ WINDOWS2003考试提问

1、主频不低于 550 MHz ；
2、A.“控制面板”中的“电源选项”;
3、C.用户无法从硬盘上活的超过配额的信息资源，哪怕这些资源是用户有权访问的；
4、A；
5、A;
6、B；
7、B；
8、E；
9、B；
10、D；
填空题没有看明白什么意思
简单
一、要使用RIS远程安装，网络中必须有DHCP、DNS、Active Directory三种网络服务，而且，只有Windows2000 server以及更新的服务器操作系统如Windows.NET Server2003 产品家族可以通过运行RIS来对客户机进行操作系统的远程安装。RIS客户机须要配有PXE网卡，而当客户机不支持网络引导或者客户机的网卡不带有PXE的时候，我们可以使用RIS引导盘来对客户机实现引导。我们需要在RIS服务器中存储Windows XP CD-ROM或Remote Installation Preparation映像，而本文主要讲述在RIS服务器中存储Windows安装CD映像的情况. 如果需要实现自动化安装，存储应答文件。

操作过程：
一. 配置DNS服务器
在完成域的创建过程中，完成DNS服务的配置。
二.配置DHCP服务器
1.依次点击“开始→设置→控制面板→添加/删除程序→添加/删除Windows组件”，用鼠标左键点击选中对话框的“组件”列表框中的“网络服务”一项，单击[详细信息]按钮，出现带有具体内容的对话框。
2.在对话框“网络服务的子组件”列表框中勾选“动态主机配置协议（DHCP）”，单击[确定]按钮，根据屏幕提示在windows sever 2003的虚拟镜像盘中复制所需要的程序。重新启动计算机后，在“开始→程序→管理工具”下就会出现“DHCP”一项，说明DHCP服务安装成功。
3.DHCP服务器的授权出于对网络安全管理的考虑，并不是在Windows2003Server中安装了DHCP功能后就能直接使用，还必须进行授权操作，未经授权操作的服务器无法提供DHCP服务。
4. 对DHCP服务器授权操作，依次点击“开始→程序→管理工具→DHCP”，打开DHCP控制台窗口。2.在控制台窗口中，用鼠标左键点击选中服务器名，然后单击右键，在快捷菜单中选中“授权”，此时需要几分钟的等待时间。注意：如果系统长时间没有反应，可以按F5键或选择菜单工具中的“操作”下的“刷新”进行屏幕刷新，或先关闭DHCP控制台，在服务器名上用鼠标右键点击。如果快捷菜单中的“授权”已经变为“撤消授权”，则表示对DHCP服务器授权成功。此时，最明显的标记是服务器名前面红色向上的箭头变成了绿色向下的箭头。这样，这台被授权的DHCP服务器就有分配IP的权利了。添加IP地址范围当DHCP服务器被授权后，还需要对它设置IP地址范围。通过给DHCP服务器设置IP地址范围后，当DHCP客户机在向DHCP服务器申请IP地址时，DHCP服务器就会从所设置的IP地址范围中选择一个还没有被使用的IP地址进行动态分配。
5. 添加IP地址范围，点击“开始→程序→管理工具→DHCP”，打开DHCP控制台窗口。选中DHCP服务器名，在服务器名上点击鼠标右键，在出现的快捷菜单中选择“新建作用域”，在出现的窗口中单击[下一步]按钮，在出现的对话框中输入相关信息，单击[下一步]按钮，如图所示。

6.根据自己网络的实际情况，对各项进行设置，然后单击[下一步]按钮，输入需要排除的IP地址范围。单击[下一步]按钮，在出现的“租约期限”窗口中可以设置IP地址租期的时间值。一般情况下，如果校园网络中的IP地址比较紧张的时候，可以把租期设置短一些，而IP地址比较宽松时，可以把租期设置长一些。设置完后，单击[下一步]按钮，出现“配置DHCP选项”窗口。
7.在“配置DHCP选项”窗口中，如果选择“是，我想现在配置这些选项”，此时可以对DNS服务器、默认网关、WINS服务器地址等内容进行设置；如果选择“否，我想稍后配置这些选项”，可以在需要这些功能时再进行配置。此处，我们选择前者，单击[下一步]按钮。
8.在出现的窗口中，常常输入网络中路由器的IP地址（即默认网关的IP地址）或是NAT服务器（网络地址转换服务器）的IP地址，如WinRoute、SyGate等。这样，客户机从DHCP服务器那里得到的IP信息中就包含了默认网关的设定了，从而可以接入Internet。
9.单击[下一步]按钮，在此对话框中设置有关客户机DNS域的名称，同时输入DNS服务器的名称和IP地址。，然后单击[添加]按钮进行确认。单击[下一步]按钮，在出现的窗口中进行WINS服务器的相关设置，设置完后单击[下一步]按钮。在新出现的窗口中，选择“是，我想现在激活此作用域”后，单击[下一步]按钮，在出现的窗口中单击[完成]按钮，设置结束。此时，就可以在DHCP管理器中看到我们刚刚建好的作用域。如图示：

三. 配置RIS服务器
在网络条件符合上述必要条件的前提下，我们要执行的第一步是安装RIS服务器：
( 1 ) 进入Windows 2003 server系统，打开"控制面板"，双击"添加/删除程序"，
点击"添加/删除Windows组件"选择"远程安装服务"进行对RIS服务器组件的安装，当然，也可以通过开始->程序->管理工具->设置您的服务器功能进行配置。如图所示：

（2）完成安装RIS服务器组件以后，由于RIS客户机没有配PXE网卡，所以需要制作一个RIS引导盘来对客户机实现引导。
1.关闭windows sever 2003，在虚拟机的开始界面上，选择“Edit visual machine settings”，在弹出的界面中左框选中“hard disk （SCSI0：0）”，单击add按钮，进入虚拟盘制作界面welcome to the add hardware wizard，如下图所示：

2. 根据向导选择下一步，在出现的对话框中选择“hard disk”，单击下一步，然后选择“Create a new visual disk”，单击下一步，在选择磁盘类型中选择“SCSI”单击下一步，分配磁盘大小为8.0G后，单击下一步，在弹出的specify disk file界面中单击完成。至此完成虚拟磁盘的创建。
3. 创建简单卷，使刚刚创建的虚拟盘可用，右击“我的电脑”—“管理”—“磁盘管理”在刚创建的虚拟盘上，右键选择，创建磁盘初始化向导。如下图所示：

然后根据磁盘创建向导，完成简单卷的创建，如下图：

完成向导后，此时可在我的电脑中出现新建卷（E:）。

4.创建“远程启动磁盘”，因为客户端计算机没有安装支持PXE启动的网络适配器，所以在创建虚拟磁盘的同时还要创建一个“远程启动磁盘”。在创建完软盘之后，在“我的电脑”中将软盘格式化，并且找到安装文件 i386 \system32 \reminst /rbfg.exe，然后双击启动远程启动磁盘生成器。完成软盘的创建。如下图所示：

然后关闭所有的窗口。

( 3 )正在完成安装RIS服务器组件以后，通过RISETUP工具来配置服务器的RIS:
1. 单击开始->运行，在运行的文本框中输入RISETUP，单击确定。Remote Installation Services Setup Wizard将启动，如下图所示：

[这个向导可以帮助您创建将要进行远程安装所用的文件夹，以及拷贝安装Windows XP Professional所需要的文件，配置等一下客户机的Client Installation Wizard（CIW）屏幕以及拷贝CIW文件, 更改注册表，创建必要的卷等。]
2. 单击"下一步"按钮，选择镜像文件，继续配置。
3. Remote Installation Folder Location（远程安装文件夹的位置）对话框将出现，这用于定位用于远程安装的文件夹，这个文件夹不能建立在系统引导分区中，而且必须在NTFS5（或更高版本）的分区中。在选定用于远程安装的文件夹以后，单击"下一步"以继续。

4. 系统出现Initial Settings对话框，这里有两个选项，可以选择"Respond to Client Computers Requesting Service"来让服务器响应请求服务的客户机。如果同时选择了"Do not respond to unknown client computers"，服务器便不响应未知的客户计算机。做出选择之后，单击"下一步"继续。（这一步要注意：激活虚拟光驱）
5. 系统将会出现Installation Source Files Location对话框，您需要使用这个步骤来制定Windows XP professional专业版分发文件的位置。单击"下一步"，继续配置，出现Windows Installation Image Folder Name对话框，来确定Windows XP分发文件的文件夹名称。完成此步骤后，点击"下一步"继续。
6. 系统出现"Friendly Description and Help Text"页面，虽然您可以在这里指定名称和帮助文本，但是，接受默认的Friendly Description以及Help Text看来是个更方便的方案。单击"下一步"按钮继续。
7. 最后系统将会显示Review Settings，回顾您所作的设置，检查无误后，单击"完成"。
8. 完成后，系统会按照您指定的配置将安装文件复制，几分钟内即可完成，最后，单击"关闭"结束配置。 如下图所示：

至此，完成远程安装服务的设置。
9. 完成配置服务器的RIS之后，需要用DHCP管理器来验证RIS服务器并在RIS服务器中。
(1)选择开始->程序->管理工具->DHCP ，DHCP Manager将启动，在框架左边右键单击您的DHCP服务器，并从探出的菜单中选择"Authorize"来验证RIS服务器。
验证结果如下图所示：
(3)选择开始->程序->管理工具-> Active Directory活动目录用户和计算机，用右键单击想要授权用户在其中创建计算机账号的域或者组织单元，系统会弹出菜单，选择其中的"Delegate Control"，在出现的Delegation of Control Wizard中，单击"下一步"，当出现用户和组对话框时，单击"添加…"按钮，将出现选择用户、计算机或组的对话框，选中要使用RIS来安装Windows的计算机用户或组，单击"添加…"按钮，确认全部添加后，单击"确定"回到Delegation of Control Wizard的用户和组对话框，单击"下一步"按钮，继续。
(4)在"Tasks to Delegate of Control"中选择把计算机加入域（Join aComputer to a Domain）复选框，单击"下一步"继续。最后确认配置全部正确后，单击完成。如下图示：

四. 启动Windows XP安装程序
1. 在windows sever 2003系统中，进入组策略-用户配置-windows设置-远程安装服务-选择选项，双击选择选项，对其设置如下：

2．启动windows xp professional客户计算机，并选择按F12 进入远程安装界面。

3．Client Installation Wizard (CIW)被下载到客户计算机，可以开始安装Windows XP系统。在Logon对话框中，客户机用户必须登陆到域，从而选择可用的映像来进行安装。如下图所示：

4． 然后按照需要选择"自动安装(Automatic Setup)"、"定制安装（Custom Setup）"或者"重新启动一个以前未完成的安装"等。这样，Windows XP安装程序就成功启动并开始进行安装了。

二、
数字签名原理是对原文做数字摘要和签名并传输原文，在很多场合传输的原文是要求保密的，要求对原文进行加密的数字签名方法如何实现？这里就要涉及到“数字信封”的概念。“电子信封”基本原理是将原文用对称密钥加密传输，而将对称密钥用收方公钥加密发送给对方。收方收到电子信封，用自己的私钥解密信封，取出对称密钥解密得原文。其详细过程如下：
（1） 发方A将原文信息进行哈希运算，得一哈希值即数字摘要MD；
（2） 发方A用自己的私钥PVA，采用非对称RSA算法，对数字摘要MD进行加密，即得数字签名DS；
（3） 发方A用对称算法DES的对称密钥SK对原文信息、数字签名SD及发方A证书的公钥PBA采用对称算法加密，得加密信息E；
（4） 发方用收方B的公钥PBB，采用RSA算法对对称密钥SK加密，形成数字信封DE，就好像将对称密钥SK装到了一个用收方公钥加密的信封里；
（5） 发方A将加密信息E和数字信封DE一起发送给收方B；
（6） 收方B接受到数字信封DE后，首先用自己的私钥PVB解密数字信封，取出对称密钥SK；
（7） 收方B用对称密钥SK通过DES算法解密加密信息E，还原出原文信息、数字签名SD及发方A证书的公钥PBA；
（8） 收方B验证数字签名，先用发方A的公钥解密数字签名得数字摘要MD；
（9） 收方B同时将原文信息用同样的哈希运算，求得一个新的数字摘要MD’；
（10）将两个数字摘要MD和MD’进行比较，验证原文是否被修改。如果二者相等，说明数据没有被篡改，是保密传输的，签名是真实的；否则拒绝该签名。
这样就做到了敏感信息在数字签名的传输中不被篡改，未经认证和授权的人，看不见原数据，起到了在数字签名传输中对敏感数据的保密作用。

㈡ docker 云和 docker hub的区别

1. docker version
显示 Docker 版本信息。
2. docker info
显示 Docker 系统信息，包括镜像和容器数。
3. docker search
docker search [options "o">] term
docker search -s django

从 Docker Hub 中搜索符合条件的镜像。

--automated 只列出 automated build
类型的镜像；

--no-trunc 可显示完整的镜像描述；

-s 40 列出收藏数不小于40的镜像。

4. docker pull
docker pull [-a "o">] [user/ "o">]name[:tag "o">]
docker pull laozhu/telescope:latest

从 Docker Hub 中拉取或者更新指定镜像。

-a 拉取所有 tagged 镜像 。

5. docker login
root@moon:~# docker login
Username: username
Password: ****
Email: [email protected]
Login Succeeded

按步骤输入在 Docker Hub 注册的用户名、密码和邮箱即可完成登录。
6. docker logout
运行后从指定服务器登出，默认为官方服务器。
7. docker images
docker images [options "o">] [name]

列出本地所有镜像。其中 [name] 对镜像名称进行关键词查询。

-a 列出所有镜像（含过程镜像）；

-f 过滤镜像，如： -f ['dangling=true'] 只列出满足
dangling=true 条件的镜像；

--no-trunc 可显示完整的镜像ID；

-q 仅列出镜像ID。

--tree 以树状结构列出镜像的所有提交历史。

8. docker ps
列出所有运行中容器。

-a 列出所有容器（含沉睡镜像）；

--before="nginx" 列出在某一容器之前创建的容器，接受容器名称和ID作为参数；

--since="nginx" 列出在某一容器之后创建的容器，接受容器名称和ID作为参数；

-f [exited=<int>] 列出满足
exited=<int> 条件的容器；

-l 仅列出最新创建的一个容器；

--no-trunc 显示完整的容器ID；

-n=4 列出最近创建的4个容器；

-q 仅列出容器ID；

-s 显示容器大小。

9. docker rmi
docker rmi [options "o">] <image> "o">[image...]
docker rmi nginx:latest postgres:latest python:latest

从本地移除一个或多个指定的镜像。

-f 强行移除该镜像，即使其正被使用；

--no-prune 不移除该镜像的过程镜像，默认移除。

10. docker rm
docker rm [options "o">] <container> "o">[container...]
docker rm nginx-01 nginx-02 db-01 db-02
sudo docker rm -l /webapp/redis

-f 强行移除该容器，即使其正在运行；

-l 移除容器间的网络连接，而非容器本身；

-v 移除与容器关联的空间。

11. docker history
docker history "o">[options] <image>

查看指定镜像的创建历史。

--no-trunc 显示完整的提交记录；

-q 仅列出提交记录ID。

12. docker start|stop|restart
docker start|stop "p">|restart [options "o">] <container> "o">[container...]

启动、停止和重启一个或多个指定容器。

-a 待完成

-i 启动一个容器并进入交互模式；

-t 10 停止或者重启容器的超时时间（秒），超时后系统将杀死进程。

13. docker kill
docker kill "o">[options "o">] <container> "o">[container...]

杀死一个或多个指定容器进程。

-s "KILL" 自定义发送至容器的信号。

14. docker events
docker events [options "o">]
docker events --since= "s2">"2010"
docker events --until= "s2">"20120310"

从服务器拉取个人动态，可选择时间区间。
15. docker save
docker save -i "debian.tar"
docker save > "debian.tar"

将指定镜像保存成 tar 归档文件， docker load 的逆操作。保存后再加载（saved-loaded）的镜像不会丢失提交历史和层，可以回滚。

-o "debian.tar" 指定保存的镜像归档。

16. docker load
docker load [options]
docker load < debian.tar
docker load -i "debian.tar"

从 tar 镜像归档中载入镜像， docker save 的逆操作。保存后再加载（saved-loaded）的镜像不会丢失提交历史和层，可以回滚。

-i "debian.tar" 指定载入的镜像归档。

17. docker export
docker export <container>
docker export nginx-01 > export.tar

将指定的容器保存成 tar 归档文件， docker import 的逆操作。导出后导入（exported-imported)）的容器会丢失所有的提交历史，无法回滚。
18. docker import
docker import url|- "o">[repository[:tag "o">]]
cat export.tar "p">| docker import - imported-nginx:latest
docker import http://example.com/export.tar

从归档文件（支持远程文件）创建一个镜像， export 的逆操作，可为导入镜像打上标签。导出后导入（exported-imported)）的容器会丢失所有的提交历史，无法回滚。
19. docker top
docker top <running_container> "o">[ps options]

查看一个正在运行容器进程，支持 ps 命令参数。
20. docker inspect
docker instpect nginx:latest
docker inspect nginx-container

检查镜像或者容器的参数，默认返回 JSON 格式。

-f 指定返回值的模板文件。

21. docker pause
暂停某一容器的所有进程。
22. docker unpause
docker unpause <container>

恢复某一容器的所有进程。
23. docker tag
docker tag [options "o">] <image>[:tag "o">] [repository/ "o">][username/]name "o">[:tag]

标记本地镜像，将其归入某一仓库。

-f 覆盖已有标记。

24. docker push
docker push name[:tag "o">]
docker push laozhu/nginx:latest

将镜像推送至远程仓库，默认为 Docker Hub 。
25. docker logs
docker logs [options "o">] <container>
docker logs -f -t --tail= "s2">"10" insane_babbage

获取容器运行时的输出日志。

-f 跟踪容器日志的最近更新；

-t 显示容器日志的时间戳；

--tail="10" 仅列出最新10条容器日志。

26. docker run
docker run [options "o">] <image> [ "nb">command] "o">[arg...]

启动一个容器，在其中运行指定命令。

-a stdin 指定标准输入输出内容类型，可选 STDIN/
STDOUT / STDERR 三项；

-d 后台运行容器，并返回容器ID；

-i 以交互模式运行容器，通常与 -t 同时使用；

-t 为容器重新分配一个伪输入终端，通常与 -i 同时使用；

--name="nginx-lb" 为容器指定一个名称；

--dns 8.8.8.8 指定容器使用的DNS服务器，默认和宿主一致；

--dns-search example.com 指定容器DNS搜索域名，默认和宿主一致；

-h "mars" 指定容器的hostname；

-e username="ritchie" 设置环境变量；

--env-file=[] 从指定文件读入环境变量；

--cpuset="0-2" or --cpuset="0,1,2"
绑定容器到指定CPU运行；

-c 待完成

-m 待完成

--net="bridge" 指定容器的网络连接类型，支持 bridge /
host / none
container:<name|id> 四种类型；

--link=[] 待完成

--expose=[] 待完成

㈢ 如何在Docker中使用Open vSwitch-Docker

你好，使用方法如下：
首先我们让ovsdb-server监听一个TCP端口：
ovs-appctl -t ovsdb-server ovsdb-server/add-remote ptcp:6640

接下来，启动ovn-northd后台进程。这个进程负责将来自Docker的网络信息(存储在OVN_Northbound 数据库中)转换成逻辑流存储于OVN_Southbound数据库。
/usr/share/openvswitch/scripts/ovn-ctl start_northd

2、一次性配置
在每一个你打算创建容器的主机上，你需要运行以下的命令(如果你的OVS数据库被清空，你需要再次运行这个命令。除此之外，重复运行这个命令都是没有任何影响的)。
其他的主机可以通过$LOCAL_IP地址来访问到这个主机，它就相当于本地通道的端点。
$ENCAP_TYPE是指用户想使用的通道的类型。它可以是”geneve“或者”stt“。(注意，你的内核需要支持以上两个类型，用户可以通过运行以下命令来检测内核是否支持以上类型："llsmod | grep $ENCAP_TYPE")。
ovs-vsctl set Open_vSwitch . external_ids:ovn-remote="tcp:$CENTRAL_IP:6640" external_ids:ovn-encap-ip=$LOCAL_IP external_ids:ovn-encap-type="$ENCAP_TYPE"

最后，启动ovn-controller(你需要在每一次启动时运行以下命令)：
/usr/share/openvswitch/scripts/ovn-ctl start_controller

3、启动Open vSwitch网络驱动
在默认情况下，Docker使用Linux网桥，但它支持外扩展。为了替换Linux网桥，我们需要先启动Open vSwitch驱动。
Open vSwitch驱动使用了Python Flask模块来监听Docker的网络API请求。因此，用户需要先安装Python 的Flask模块。
easy_install -U pip pip install Flask

在每一个你想要创建容器的主机上启动Open vSwitch驱动：
ovn-docker-overlay-driver --detach

Docker内部包含了一些模块，这些模块拥有类似于OVN的逻辑交换机和逻辑端口的概念。请读者仔细阅读Docker的文档来查找相关的命令。这里我们给出了一些案例：
1)创建用户自己的逻辑交换机
下面的命令创建了一个名为”foo“的逻辑交换机，它的网段为”192.168.1.0/24”：
NID=`docker network create -d openvswitch --subnet=192.168.1.0/24 foo`

2)显示已有逻辑交换机
docker network ls

你也可以通过以下命令从OVN的northbound数据库中查找到这个逻辑交换机：
ovn-nbctl --db=tcp:$CENTRAL_IP:6640 lswitch-list

3)Docker创建逻辑端口，并且将这个端口附加到逻辑网络上
比如说，将一个逻辑端口添加到容器busybox的“foo”网络上：
docker run -itd --net=foo --name=busybox busybox

4)显示所有的逻辑端口
Docker现在并没有一个CLI命令来罗列所有的逻辑端口，但是你可以从OVN的数据库中找到它们：
ovn-nbctl --db=tcp:$CENTRAL_IP:6640 lport-list $NID

5)用户也可以创建一个逻辑端口，并将它添加到一个运行中的容器上：
docker network create -d openvswitch --subnet=192.168.2.0/24 bar docker network connect bar busybox

用户可以删除逻辑端口，或者将它们从运行容器上分离出来：
docker network disconnect bar busybox

6)用户也可以删除逻辑交换机：
docker network rm bar

㈣ 如何在Docker中使用Open vSwitch-Harries Blog64

Docker 1.9.0开始支持多主机网络（multi-host networking）。我们可以通过OVNOpen vSwitch virtual network）来将Docker的网络和Open vSwitch结合起来。

简介

对于OVN和Docker的多主机网络（multi-host networking），Docker需要分布式键值对存储的支持。假设我们这里采用consul来提供分布式键值对存储，并且你的主机IP地址为$HOST_IP。用户可以使用下面的命令来启动Docker进程：
docker daemon --cluster-store=consul://127.0.0.1:8500 /
--cluster-advertise=$HOST_IP:0

OVN为容器提供了网络虚拟化技术。OVN和Docker的结合使用存在两种模式—underlay模式和overlay模式。

在underlay模式下，OVN要求配置OpenStack来提供容器网络。在这个模式下，用户可以创建逻辑网络，并且让运行在虚拟机中的容器、独立的虚拟机（没有容器运行在其中）和物理机器连接到同一个逻辑网络上。这是一种多租户、多主机的解决办法。

在overlay模式下，OVN可以为运行跨主机的容器们提供一个逻辑网络。这是一种单租户（是否能扩展到多租户取决于安全特性）、多主机的解决办法。在这种模式下，你并不需要预创建好的OpenStack。

值得注意的是，用户必须在他想要运行容器的虚拟机或主机上安装并运行Open vSwitch。

Overlay 模式

Overlay模式下，需要Open vSwitch 2.5版本或后续版本的支持。

启动核心模块
OVN架构中会有一个核心的模块来存储网络信息。因此你需要在你其中一台主机（IP地址为$CENTRAL_IP，并且已经安装和启动了Open vSwitch）上启动相关的核心服务。
首先我们让ovsdb-server监听一个TCP端口：

ovs-appctl -t ovsdb-server ovsdb-server/add-remote ptcp:6640

接下来，启动ovn-northd后台进程。这个进程负责将来自Docker的网络信息（存储在OVN_Northbound 数据库中）转换成逻辑流存储于OVN_Southbound数据库。

/usr/share/openvswitch/scripts/ovn-ctl start_northd

一次性配置
在每一个你打算创建容器的主机上，你需要运行以下的命令（如果你的OVS数据库被清空，你需要再次运行这个命令。除此之外，重复运行这个命令都是没有任何影响的）。
其他的主机可以通过$LOCAL_IP地址来访问到这个主机，它就相当于本地通道的端点。
$ENCAP_TYPE是指用户想使用的通道的类型。它可以是”geneve“或者”stt“。（注意，你的内核需要支持以上两个类型，用户可以通过运行以下命令来检测内核是否支持以上类型：“lsmod | grep $ENCAP_TYPE"）

ovs-vsctl set Open_vSwitch . external_ids:ovn-remote="tcp:$CENTRAL_IP:6640"
external_ids:ovn-encap-ip=$LOCAL_IP external_ids:ovn-encap-type="$ENCAP_TYPE"

最后，启动ovn-controller（你需要在每一次启动时运行以下命令）：

/usr/share/openvswitch/scripts/ovn-ctl start_controller

启动Open vSwitch网络驱动
在默认情况下，Docker使用Linux网桥，但它支持外扩展。为了替换Linux网桥，我们需要先启动Open vSwitch驱动。
Open vSwitch驱动使用了Python Flask模块来监听Docker的网络API请求。因此，用户需要先安装Python 的Flask模块。

easy_install -U pip
pip install Flask

在每一个你想要创建容器的主机上启动Open vSwitch驱动：

ovn-docker-overlay-driver --detach

Docker内部包含了一些模块，这些模块拥有类似于OVN的逻辑交换机和逻辑端口的概念。请读者仔细阅读Docker的文档来查找相关的命令。这里我们给出了一些案例：

NID=`docker network create -d openvswitch --subnet=192.168.1.0/24 foo`

docker network ls

你也可以通过以下命令从OVN的northbound数据库中查找到这个逻辑交换机：

ovn-nbctl --db=tcp:$CENTRAL_IP:6640 lswitch-list

docker run -itd --net=foo --name=busybox busybox

ovn-nbctl --db=tcp:$CENTRAL_IP:6640 lport-list $NID

docker network create -d openvswitch --subnet=192.168.2.0/24 bar
docker network connect bar busybox

用户可以删除逻辑端口，或者将它们从运行容器上分离出来：

docker network disconnect bar busybox

docker network rm bar

Underlay模式

在这个模式下，OVN要求用户预安装好OpenStack。
用户也可以删除逻辑交换机：
用户也可以创建一个逻辑端口，并将它添加到一个运行中的容器上：

显示所有的逻辑端口

Docker现在并没有一个CLI命令来罗列所有的逻辑端口，但是你可以从OVN的数据库中找到它们：

Docker创建逻辑端口，并且将这个端口附加到逻辑网络上

比如说，将一个逻辑端口添加到容器busybox的“foo”网络上：

显示已有逻辑交换机

创建用户自己的逻辑交换机

下面的命令创建了一个名为”foo“的逻辑交换机，它的网段为”192.168.1.0/24”：

一次性配置
一个OpenStack的租户创建了一个虚拟机，这个虚拟机拥有单张或多张网卡。如果租户想要发送虚拟机中容器的网络包，他需要获取这些网卡的port-id。port-id可以通过以下命令获得：

nova list

然后运行：

neutron port-list --device_id=$id

在虚拟机中，下载OpenStack的RC文件，这些文件包含了租户的信息（我们用openrc.sh来指代它）。编辑这个文件，并且将之前获取到的port-id以 export OS_VIF_ID=$port-id的格式加入到文件中。文件的内容如下：

!/bin/bash

export OS_AUTH_URL=http://10.33.75.122:5000/v2.0
export OS_TENANT_ID=
export OS_TENANT_NAME="demo"
export OS_USERNAME="demo"
export OS_VIF_ID=e798c371-85f4-4f2d-ad65-d09dd1d3c1c9
创建Open vSwitch网桥
如果用户的虚拟机只有一个以太网接口（比如说eth0），你需要将这个设备作为一个端口加入到Open vSwitch的”breth0”网桥上，并且移除它的IP地址，将其他相关的信息转移到这个网桥上。（如果有多个网路接口，用户自己创建Open vSwitch网桥，并且添加接口到网桥上）
如果你使用DHCP来获取IP地址，你需要关闭监听eth0的DHCP客户端，并且开启一个监听Open vSwitch breth0网桥的DHCP客户端。
你可以让以上的步骤持久化，比如说你的虚拟机是Debian/Ubuntu，你可以参考 openvswitch-switch.README.Debian，如果你的虚拟机基于RHEL，你可以阅读 README.RHEL完成持久化。
开启Open vSwitch网络驱动
Open vSwitch驱动使用了Python Flask模块来监听Docker的网络API调用。这个驱动还使用了OpenStack的python-neutronclient库。因此，如果你的主机还没有安装Python Flask或者python-neutronclient，你需要使用以下命令来安装：

easy_install -U pip
pip install python-neutronclient
pip install Flask

运行openrc文件：

../openrc.sh

开启网络驱动，并且提供OpenStack租户的密码：

ovn-docker-underlay-driver --bridge breth0 --detach

从现在开始，你可以使用和overlay模式类似的Docker命令了。请阅读“man ovn-architecture”来理解OVN的技术细节。

㈤ 请求Servlet时,部署Servlet的容器要执行哪些步骤

Servlet的生命周期是由servlet的容器来控制的。
分为3个阶段：初始化阶段、运行阶段、销毁阶段。
一、初始化阶段：

a Servlet容器加载servlet类，把它的.Class文件中的数据读到内存中。
b Servlet容器创建servletConfig对象。servletConfig对象包含了servlet的初始化配置信息。此外 servlet容器还会使得servletConfig对象与当前的web应用的servletContext对象关联。
c Servlet容器创建servlet对象。
d Servlet容器调用servlet对象的init(ServletConfig config)方法。

（2）在web.xml文件中为servlet设置了<load-on-startup>元素
<servlet>
<servlet-name>servlet1</servlet-name>
<servlet-class>servlet.servlet1</servlet-class>
<load-on-startup>0</load-on-startup>
</servlet>
说明：
在servlet的配置当中，<load-on-startup>5</load-on-startup>的含义是：
标记容器是否在启动的时候就加载这个servlet。
当值为0或者大于0时，表示容器在应用启动时就加载这个servlet；
当是一个负数时或者没有指定时，则指示容器在该servlet被选择时才加载。
正数的值越小，启动该servlet的优先级越高。

（3） 当web应用被重新启动时，web应用中的所有servlet会在特定的时间被重新初始化。

二、运行阶段
在这个阶段sevlet可以随时响应客户端的请求。当servlet容器接到访问特定的servlet请求时，servlet容器会创建针对与这个请求的servletRequest和servletResponse对象，然后调用service()方法，并把这两个对象当做参数传递给service()方法。Service()方法通过servletRequest对象获得请求信息，并处理该请求，再通过servletResponse对象生成响应结果。

【不管是post还是get方法提交，都会在service中处理，然后，由service来交由相应的doPost或doGet方法处理，如果你重写了service方法，就不会再处理doPost或doGet了，如果重写sevice()方法，可以自己转向doPost()或doGet（）方法】

注：当servlet容器把servlet生成的响应结果发送给客户后，servlet容器会销毁servletRequest和sevletResponse对象。

三、销毁阶段
当Web应用被终止时，servlet容器会先调用web应用中所有的servlet对象的destroy（）方法，然后在销毁servlet对象。此外容器还会销毁与servlet对象关联的servletConfig对象。
在destroy（）方法的实现中，可以释放servlet所占用的资源。如关闭文件输入输出流，关闭与数据库的连接。

注：sevlet的生命周期中，servlet的初始化和销毁只会发生一次，因此init()和destroy（）方法只能被servlet容器调用一次，而service()方法取决与servlet被客户端访问的次数。

㈥ 如何安装配置Active Directory

1、在开始菜单中依次单击“管理工具”→“配置您的服务器向导”菜单项。

㈦ docker run 和网络有关吗

在Docker中，run应该是用户使用最多的命令了，很多读者反馈不是很明白run命令的用法，而且相关的书籍、中文资料中对run命令的描述也不是非常完整，所以DockerOne组织翻译了Docker官方的文档，以飨读者。注意，本文基于最新的Docker 1.4文档翻译。

Docker会在隔离的容器中运行进程。当运行 docker run命令时，Docker会启动一个进程，并为这个进程分配其独占的文件系统、网络资源和以此进程为根进程的进程组。在容器启动时，镜像可能已经定义了要运行的二进制文件、暴露的网络端口等，但是用户可以通过docker run命令重新定义（译者注：docker run可以控制一个容器运行时的行为，它可以覆盖docker build在构建镜像时的一些默认配置），这也是为什么run命令相比于其它命令有如此多的参数的原因。

命令格式
最基本的docker run命令的格式如下：
$ sudo docker run [OPTIONS] IMAGE[:TAG] [COMMAND] [ARG...]

如果需要查看[OPTIONS]的详细使用说明，请参考Docker关于OPTIONS的章节。这里仅简要介绍Run所使用到的参数。OPTIONS总起来说可以分为两类：

设置运行方式：
决定容器的运行方式，前台执行还是后台执行；
设置containerID；
设置网络参数；
设置容器的CPU和内存参数；
- 设置权限和LXC参数；
设置镜像的默认资源，也就是说用户可以使用该命令来覆盖在镜像构建时的一些默认配置。

docker run [OPTIONS]可以让用户完全控制容器的生命周期，并允许用户覆盖执行docker build时所设定的参数，甚至也可以修改本身由Docker所控制的内核级参数。

Operator exclusive options
当执行docker run时可以设置以下参数：

Detached vs Foreground
Detached (-d)
- Foreground
Container Identification
Name (--name)
- PID Equivalent
IPC Setting
Network Settings
Clean Up (--rm)
Runtime Constraints on CPU and Memory
Runtime Privilege, Linux Capabilities, and LXC Configuration

接下来我们依次进行介绍。

Detached vs foreground

当我们启动一个容器时，首先需要确定这个容器是运行在前台还是运行在后台。
-d=false: Detached mode: Run container in the background, print new container id

Detached (-d)

如果在docker run后面追加-d=true或者-d，那么容器将会运行在后台模式。此时所有I/O数据只能通过网络资源或者共享卷组来进行交互。因为容器不再监听你执行docker run的这个终端命令行窗口。但你可以通过执行docker attach来重新附着到该容器的回话中。需要注意的是，容器运行在后台模式下，是不能使用--rm选项的。

Foregroud
在前台模式下（不指定-d参数即可），Docker会在容器中启动进程，同时将当前的命令行窗口附着到容器的标准输入、标准输出和标准错误中。也就是说容器中所有的输出都可以在当前窗口中看到。甚至它都可以虚拟出一个TTY窗口，来执行信号中断。这一切都是可以配置的：
-a=[] : Attach to `STDIN`, `STDOUT` and/or `STDERR`
-t=false : Allocate a pseudo-tty
--sig-proxy=true: Proxify all received signal to the process (non-TTY mode only)
-i=false : Keep STDIN open even if not attached

如果在执行run命令时没有指定-a参数，那么Docker默认会挂载所有标准数据流，包括输入输出和错误，你可以单独指定挂载哪个标准流。
$ sudo docker run -a stdin -a stdout -i -t ubuntu /bin/bash

如果要进行交互式操作（例如Shell脚本），那我们必须使用-i -t参数同容器进行数据交互。但是当通过管道同容器进行交互时，就不需要使用-t参数，例如下面的命令：
echo test | docker run -i busybox cat

容器识别

Name（--name）

可以通过三种方式为容器命名：

1. 使用UUID长命名（""）
2. 使用UUID短命令（"f78375b1c487"）
3. 使用Name("evil_ptolemy")

这个UUID标示是由Docker deamon生成的。如果你在执行docker run时没有指定--name，那么deamon会自动生成一个随机字符串UUID。但是对于一个容器来说有个name会非常方便，当你需要连接其它容器时或者类似需要区分其它容器时，使用容器名称可以简化操作。无论容器运行在前台或者后台，这个名字都是有效的。

PID equivalent

如果在使用Docker时有自动化的需求，你可以将containerID输出到指定的文件中（PIDfile），类似于某些应用程序将自身ID输出到文件中，方便后续脚本操作。
--cidfile="": Write the container ID to the file

Image[:tag]

当一个镜像的名称不足以分辨这个镜像所代表的含义时，你可以通过tag将版本信息添加到run命令中，以执行特定版本的镜像。例如: docker run ubuntu:14.04

IPC Settings

默认情况下，所有容器都开启了IPC命名空间。
--ipc="" : Set the IPC mode for the container,
'container:<name|id>': reuses another container's IPC namespace
'host': use the host's IPC namespace inside the container

IPC（POSIX/SysV IPC）命名空间提供了相互隔离的命名共享内存、信号灯变量和消息队列。

共享内存可以提高进程数据的交互速度。共享内存一般用在数据库和高性能应用（C/OpenMPI、C++/using boost libraries）上或者金融服务上。如果需要容器中部署上述类型的应用，那么就应该在多个容器直接使用共享内存了。

Network settings

默认情况下，所有的容器都开启了网络接口，同时可以接受任何外部的数据请求。
--dns=[] : Set custom dns servers for the container
--net="bridge" : Set the Network mode for the container
'bridge': creates a new network stack for the container on the docker bridge
'none': no networking for this container
'container:<name|id>': reuses another container network stack
'host': use the host network stack inside the container
--add-host="" : Add a line to /etc/hosts (host:IP)
--mac-address="" : Sets the container's Ethernet device's MAC address

你可以通过docker run --net none来关闭网络接口，此时将关闭所有网络数据的输入输出，你只能通过STDIN、STDOUT或者files来完成I/O操作。默认情况下，容器使用主机的DNS设置，你也可以通过--dns来覆盖容器内的DNS设置。同时Docker为容器默认生成一个MAC地址，你可以通过--mac-address 12:34:56:78:9a:bc来设置你自己的MAC地址。

Docker支持的网络模式有：

none。关闭容器内的网络连接
bridge。通过veth接口来连接容器，默认配置。
host。允许容器使用host的网络堆栈信息。 注意：这种方式将允许容器访问host中类似D-BUS之类的系统服务，所以认为是不安全的。
container。使用另外一个容器的网络堆栈信息。
None模式

将网络模式设置为none时，这个容器将不允许访问任何外部router。这个容器内部只会有一个loopback接口，而且不存在任何可以访问外部网络的router。

Bridge模式

Docker默认会将容器设置为bridge模式。此时在主机上面将会存在一个docker0的网络接口，同时会针对容器创建一对veth接口。其中一个veth接口是在主机充当网卡桥接作用，另外一个veth接口存在于容器的命名空间中，并且指向容器的loopback。Docker会自动给这个容器分配一个IP，并且将容器内的数据通过桥接转发到外部。

Host模式

当网络模式设置为host时，这个容器将完全共享host的网络堆栈。host所有的网络接口将完全对容器开放。容器的主机名也会存在于主机的hostname中。这时，容器所有对外暴露的端口和对其它容器的连接，将完全失效。

Container模式

当网络模式设置为Container时，这个容器将完全复用另外一个容器的网络堆栈。同时使用时这个容器的名称必须要符合下面的格式：--net container:<name|id>.

比如当前有一个绑定了本地地址localhost的Redis容器。如果另外一个容器需要复用这个网络堆栈，则需要如下操作：
$ sudo docker run -d --name redis example/redis --bind 127.0.0.1
$ # use the redis container's network stack to access localhost
$ sudo docker run --rm -ti --net container:redis example/redis-cli -h 127.0.0.1

管理/etc/hosts
/etc/hosts文件中会包含容器的hostname信息，我们也可以使用--add-host这个参数来动态添加/etc/hosts中的数据。
$ /docker run -ti --add-host db-static:86.75.30.9 ubuntu cat /etc/hosts
172.17.0.22 09d03f76bf2c
fe00::0 ip6-localnet
ff00::0 ip6-mcastprefix
ff02::1 ip6-allnodes
ff02::2 ip6-allrouters
127.0.0.1 localhost
::1 localhost ip6-localhost ip6-loopback
86.75.30.9 db-static

Clean up (--rm)

默认情况下，每个容器在退出时，它的文件系统也会保存下来，这样一方面调试会方便些，因为你可以通过查看日志等方式来确定最终状态。另外一方面，你也可以保存容器所产生的数据。但是当你仅仅需要短暂的运行一个容器，并且这些数据不需要保存，你可能就希望Docker能在容器结束时自动清理其所产生的数据。

这个时候你就需要--rm这个参数了。 注意：--rm 和 -d不能共用！
--rm=false: Automatically remove the container when it exits (incompatible with -d)

Security configuration
--security-opt="label:user:USER" : Set the label user for the container
--security-opt="label:role:ROLE" : Set the label role for the container
--security-opt="label:type:TYPE" : Set the label type for the container
--security-opt="label:level:LEVEL" : Set the label level for the container
--security-opt="label:disable" : Turn off label confinement for the container
--secutity-opt="apparmor:PROFILE" : Set the apparmor profile to be applied to the container

你可以通过--security-opt修改容器默认的schema标签。比如说，对于一个MLS系统来说（译者注：MLS应该是指Multiple Listing System），你可以指定MCS/MLS级别。使用下面的命令可以在不同的容器间分享内容：
#docker run --security-opt label:level:s0:c100,c200 -i -t fedora bash

如果是MLS系统，则使用下面的命令：
# docker run --security-opt label:level:TopSecret -i -t rhel7 bash

使用下面的命令可以在容器内禁用安全策略：
# docker run --security-opt label:disable -i -t fedora bash

如果你需要在容器内执行更为严格的安全策略，那么你可以为这个容器指定一个策略替代，比如你可以使用下面的命令来指定容器只监听Apache端口：
# docker run --security-opt label:type:svirt_apache_t -i -t centos bash

注意：此时，你的主机环境中必须存在一个名为svirt_apache_t的安全策略。

Runtime constraints on CPU and memory

下面的参数可以用来调整容器内的性能。
-m="": Memory limit (format: <number><optional unit>, where unit = b, k, m or g)
-c=0 : CPU shares (relative weight)

通过docker run -m可以调整容器所使用的内存资源。如果主机支持swap内存，那么可以使用-m可以设定比主机物理内存还大的值。

同样，通过-c可以调整容器的CPU优先级。默认情况下，所有的容器拥有相同的CPU优先级和CPU调度周期，但你可以通过Docker来通知内核给予某个或某几个容器更多的CPU计算周期。

比如，我们使用-c或者--cpu-shares =0启动了C0、C1、C2三个容器，使用-c/--cpu-shares=512启动了C3容器。这时，C0、C1、C2可以100%的使用CPU资源（1024），但C3只能使用50%的CPU资源（512）。如果这个主机的操作系统是时序调度类型的，每个CPU时间片是100微秒，那么C0、C1、C2将完全使用掉这100微秒，而C3只能使用50微秒。

Runtime privilege, Linux capabilities, and LXC configuration
--cap-add: Add Linux capabilities
--cap-drop: Drop Linux capabilities
--privileged=false: Give extended privileges to this container
--device=[]: Allows you to run devices inside the container without the --privileged flag.
--lxc-conf=[]: (lxc exec-driver only) Add custom lxc options --lxc-conf="lxc.cgroup.cpuset.cpus = 0,1"

默认情况下，Docker的容器是没有特权的，例如不能在容器中再启动一个容器。这是因为默认情况下容器是不能访问任何其它设备的。但是通过"privileged"，容器就拥有了访问任何其它设备的权限。

当操作者执行docker run --privileged时，Docker将拥有访问主机所有设备的权限，同时Docker也会在apparmor或者selinux做一些设置，使容器可以容易的访问那些运行在容器外部的设备。你可以访问Docker博客来获取更多关于--privileged的用法。

同时，你也可以限制容器只能访问一些指定的设备。下面的命令将允许容器只访问一些特定设备：
$ sudo docker run --device=/dev/snd:/dev/snd ...

默认情况下，容器拥有对设备的读、写、创建设备文件的权限。使用:rwm来配合--device，你可以控制这些权限。
$ sudo docker run --device=/dev/sda:/dev/xvdc --rm -it ubuntu fdisk /dev/xvdc

Command (m for help): q
$ sudo docker run --device=/dev/sda:/dev/xvdc:r --rm -it ubuntu fdisk /dev/xvdc
You will not be able to write the partition table.

Command (m for help): q

$ sudo docker run --device=/dev/sda:/dev/xvdc:w --rm -it ubuntu fdisk /dev/xvdc
crash....

$ sudo docker run --device=/dev/sda:/dev/xvdc:m --rm -it ubuntu fdisk /dev/xvdc
fdisk: unable to open /dev/xvdc: Operation not permitted

使用--cap-add和--cap-drop，配合--privileged，你可以更细致的控制人哦怒气。默认使用这两个参数的情况下，容器拥有一系列的内核修改权限，这两个参数都支持all值，如果你想让某个容器拥有除了MKNOD之外的所有内核权限，那么可以执行下面的命令：
$ sudo docker run --cap-add=ALL --cap-drop=MKNOD ...

如果需要修改网络接口数据，那么就建议使用--cap-add=NET_ADMIN，而不是使用--privileged。
$ docker run -t -i --rm ubuntu:14.04 ip link add mmy0 type mmy
RTNETLINK answers: Operation not permitted
$ docker run -t -i --rm --cap-add=NET_ADMIN ubuntu:14.04 ip link add mmy0 type mmy

如果要挂载一个FUSE文件系统，那么就需要--cap-add和--device了。
$ docker run --rm -it --cap-add SYS_ADMIN sshfs sshfs [email protected]:/home/sven /mnt
fuse: failed to open /dev/fuse: Operation not permitted
$ docker run --rm -it --device /dev/fuse sshfs sshfs [email protected]:/home/sven /mnt
fusermount: mount failed: Operation not permitted
$ docker run --rm -it --cap-add SYS_ADMIN --device /dev/fuse sshfs
# sshfs [email protected]:/home/sven /mnt
The authenticity of host '10.10.10.20 (10.10.10.20)' can't be established.
ECDSA key fingerprint is 25:34:85:75:25:b0:17:46:05:19:04:93:b5:dd:5f:c6.
Are you sure you want to continue connecting (yes/no)? yes
[email protected]'s password:
root@30aa0cfaf1b5:/# ls -la /mnt/src/docker
total 1516
drwxrwxr-x 1 1000 1000 4096 Dec 4 06:08 .
drwxrwxr-x 1 1000 1000 4096 Dec 4 11:46 ..
-rw-rw-r-- 1 1000 1000 16 Oct 8 00:09 .dockerignore
-rwxrwxr-x 1 1000 1000 464 Oct 8 00:09 .drone.yml
drwxrwxr-x 1 1000 1000 4096 Dec 4 06:11 .git
-rw-rw-r-- 1 1000 1000 461 Dec 4 06:08 .gitignore

如果Docker守护进程在启动时选择了lxc lxc-driver（docker -d --exec-driver=lxc），那么就可以使用--lxc-conf来设定LXC参数。但需要注意的是，未来主机上的Docker deamon有可能不会使用LXC，所以这些参数有可能会包含一些没有实现的配置功能。这意味着，用户在操作这些参数时必须要十分熟悉LXC。

特别注意：当你使用--lxc-conf修改容器参数后，Docker deamon将不再管理这些参数，那么用户必须自行进行管理。比如说，你使用--lxc-conf修改了容器的IP地址，那么在/etc/hosts里面是不会自动体现的，需要你自行维护。

Overriding Dockerfile image defaults

当开发者使用Dockerfile进行build或者使用commit提交容器时，开发人员可以设定一些镜像默认参数。

㈧ 易迈云数据中心采用的容器能够支持什么类型的网络呢

它不仅仅能够支持私有网络、共享IP网络、独享IP网络三种形式，还支持NAT网关，是非常灵活的。

㈨ 如何系统地学习 Docker

Hi， 今天我们将会学习如何使用 Weave 和 Docker 搭建 Nginx 的反向代理/负载均衡服务器。Weave 可以创建一个虚拟网络将 Docker 容器彼此连接在一起，支持跨主机部署及自动发现。它可以让我们更加专注于应用的开发，而不是基础架构。Weave 提供了一个如此棒的环境，仿佛它的所有容器都属于同个网络，不需要端口/映射/连接等的配置。容器中的应用提供的服务在 weave 网络中可以轻易地被外部世界访问，不论你的容器运行在哪里。在这个教程里我们将会使用 weave 快速并且简单地将 nginx web 服务器部署为一个负载均衡器，反向代理一个运行在 Amazon Web Services 里面多个节点上的 docker 容器中的简单 php 应用。这里我们将会介绍 WeaveDNS，它提供一个不需要改变代码就可以让容器利用主机名找到的简单方式，并且能够让其他容器通过主机名连接彼此。 在这篇教程里，我们将使用 nginx 来将负载均衡分配到一个运行 Apache 的容器集合。最简单轻松的方法就是使用 Weave 来把运行在 ubuntu 上的 docker 容器中的 nginx 配置成负载均衡服务器。 Docker之weave工具 weave是什么呢?weave创建了一个虚拟网络，用来连接部署在多台机器上的docker容器。 下面看看weave的应用场景： 应用在使用该网络的时候就像所有的容器都在同一个交换机网络下一样，不需要配置端口映射、连接等等，容器中的应用提供的服务在weaver网络中可以被外部世界访问，不论你的容器运行在哪里。同样的，已经存在的系统应用也可以暴露给容器中的应用来调用，而不用担心内部应用运行的位置。 weave可以穿透防火墙，流量是被加密的，允许主机连接通过一个不被信任的网络，使用weave你可以方便的部署多个容器在不同的地方运行 假如你有一个docker应用运行在两台不同的主机HOST1和HOST2上面，也就是我们要在这两台主机上各部署一个相同类型的docker应用。 在HOST1上面：启动weave 代码如下: #这一步先启动weave路由，需要在每一台HOST上都启动 weave launch #启动一个容器，在命令行设置了一个ip，weave run调用docker run -d，因此我们可以使用这种办法启动一个容器，同理存在weave start命令，它是调用docker start命令启动已经存在的容器，如果我们在该HOST1上有多个容器要部署，则继续执行第二行的命令即可，只要保证容器设置的ip没有冲突即可，同一个网段的ip可以到处使用 ssh=$(weave run 10/weaveworks/guides $ cd weave-gs/aws-nginx-ubuntu-simple 在克隆完仓库之后，我们执行下面的脚本，这个脚本将会部署两个 t1.micro 实例，每个实例中都是 ubuntu 作为操作系统并用 weave 跑着 docker 容器。 复制代码 代码如下: $ sudo ./demo-aws-setup.sh 在这里，我们将会在以后用到这些实例的 IP 地址。这些地址储存在一个 weavedemo.env 文件中，这个文件创建于执行 demo-aws-setup.sh 脚本期间。为了获取这些 IP 地址，我们需要执行下面的命令，命令输出类似下面的信息。 代码如下: $ cat weavedemo.env export WEAVE_AWS_DEMO_HOST1=52.26.175.175 export WEAVE_AWS_DEMO_HOST2=52.26.83.141 export WEAVE_AWS_DEMO_HOSTCOUNT=2 export WEAVE_AWS_DEMO_HOSTS=(52.26.175.175 52.26.83.141) 请注意这些不是固定的 IP 地址，AWS 会为我们的实例动态地分配 IP 地址。 我们在 bash 下执行下面的命令使环境变量生效。 代码如下: . ./weavedemo.env 2. 启动 Weave 和 WeaveDNS 在安装完实例之后，我们将会在每台主机上启动 weave 以及 weavedns。Weave 以及 weavedns 使得我们能够轻易地将容器部署到一个全新的基础架构以及配置中， 不需要改变代码，也不需要去理解像 Ambassador 容器以及 Link 机制之类的概念。下面是在第一台主机上启动 weave 以及 weavedns 的命令。 代码如下: ssh -i weavedemo-key.pem ubuntu@$WEAVE_AWS_DEMO_HOST1 $ sudo weave launch $ sudo weave launch-dns 10.2.1.1/24 下一步，我也准备在第二台主机上启动 weave 以及 weavedns。 代码如下: ssh -i weavedemo-key.pem ubuntu@$WEAVE_AWS_DEMO_HOST2 $ sudo weave launch $WEAVE_AWS_DEMO_HOST1 $ sudo weave launch-dns 10.2.1.2/24 3. 启动应用容器 现在，我们准备跨两台主机启动六个容器，这两台主机都用 Apache2 Web 服务实例跑着简单的 php 网站。为了在第一个 Apache2 Web 服务器实例跑三个容器， 我们将会使用下面的命令。 复制代码 代码如下: ssh -i weavedemo-key.pem ubuntu@$WEAVE_AWS_DEMO_HOST1 $ sudo weave run --with-dns 10.3.1.1/24 -h ws1.weave.local fintanr/weave-gs-nginx-apache $ sudo weave run --with-dns 10.3.1.2/24 -h ws2.weave.local fintanr/weave-gs-nginx-apache $ sudo weave run --with-dns 10.3.1.3/24 -h ws3.weave.local fintanr/weave-gs-nginx-apache 在那之后，我们将会在第二个实例上启动另外三个容器，请使用下面的命令。 代码如下: ssh -i weavedemo-key.pem ubuntu@$WEAVE_AWS_DEMO_HOST2 $ sudo weave run --with-dns 10.3.1.4/24 -h ws4.weave.local fintanr/weave-gs-nginx-apache $ sudo weave run --with-dns 10.3.1.5/24 -h ws5.weave.local fintanr/weave-gs-nginx-apache $ sudo weave run --with-dns 10.3.1.6/24 -h ws6.weave.local fintanr/weave-gs-nginx-apache 注意: 在这里，--with-dns 选项告诉容器使用 weavedns 来解析主机名，-h x.weave.local 则使得 weavedns 能够解析该主机。 4. 启动 Nginx 容器 在应用容器如预期的运行后，我们将会启动 nginx 容器，它将会在六个应用容器服务之间轮询并提供反向代理或者负载均衡。 为了启动 nginx 容器，请使用下面的命令。 复制代码 代码如下: ssh -i weavedemo-key.pem ubuntu@$WEAVE_AWS_DEMO_HOST1 $ sudo weave run --with-dns 10.3.1.7/24 -ti -h nginx.weave.local -d -p 80:80 fintanr/weave-gs-nginx-simple 因此，我们的 nginx 容器在 $WEAVEAWSDEMO_HOST1 上公开地暴露成为一个 http 服务器。 5. 测试负载均衡服务器 为了测试我们的负载均衡服务器是否可以工作，我们执行一段可以发送 http 请求给 nginx 容器的脚本。我们将会发送6个请求，这样我们就能看到 nginx 在一次的轮询中服务于每台 web 服务器之间。 代码如下: $ ./access-aws-hosts.sh { "message" : "Hello Weave - nginx example", "hostname" : "ws1.weave.local", "date" : "2015-06-26 12:24:23" } { "message" : "Hello Weave - nginx example", "hostname" : "ws2.weave.local", "date" : "2015-06-26 12:24:23" } { "message" : "Hello Weave - nginx example", "hostname" : "ws3.weave.local", "date" : "2015-06-26 12:24:23" } { "message" : "Hello Weave - nginx example", "hostname" : "ws4.weave.local", "date" : "2015-06-26 12:24:23" } { "message" : "Hello Weave - nginx example", "hostname" : "ws5.weave.local", "date" : "2015-06-26 12:24:23" } { "message" : "Hello Weave - nginx example", "hostname" : "ws6.weave.local", "date" : "2015-06-26 12:24:23" } 结束语 我们最终成功地将 nginx 配置成一个反向代理/负载均衡服务器，通过使用 weave 以及运行在 AWS(Amazon Web Service)EC2 里面的 ubuntu 服务器中的 docker。从上面的步骤输出可以清楚的看到我们已经成功地配置了 nginx。我们可以看到请求在一次轮询中被发送到6个应用容器，这些容器在 Apache2 Web 服务器中跑着 PHP 应用。在这里，我们部署了一个容器化的 PHP 应用，使用 nginx 横跨多台在 AWS EC2 上的主机而不需要改变代码，利用 weavedns 使得每个容器连接在一起，只需要主机名就够了，眼前的这些便捷， 都要归功于 weave 以及 weavedns。

㈩ 常见的容器安全威胁有哪些

以Docker 容器的安全问题为例

(1) Docker 自身安全

Docker 作为一款容器引擎，本身也会存在一些安全漏洞，CVE 目前已经记录了多项与 Docker 相关的安全漏洞，主要有权限提升、信息泄露等几类安全问题。

(2) 镜像安全

由于Docker 容器是基于镜像创建并启动，因此镜像的安全直接影响到容器的安全。具体影响镜像安全的总结如下。

镜像软件存在安全漏洞：由于容器需要安装基础的软件包，如果软件包存在漏洞，则可能会被不法分子利用并且侵入容器，影响其他容器或主机安全。

仓库漏洞：无论是Docker 官方的镜像仓库还是我们私有的镜像仓库，都有可能被攻击，然后篡改镜像，当我们使用镜像时，就可能成为攻击者的目标对象。

用户程序漏洞：用户自己构建的软件包可能存在漏洞或者被植入恶意脚本，这样会导致运行时提权影响其他容器或主机安全。

(3) Linux 内核隔离性不够

尽管目前Namespace 已经提供了非常多的资源隔离类型，但是仍有部分关键内容没有被完全隔离，其中包括一些系统的关键性目录（如 /sys、/proc 等），这些关键性的目录可能会泄露主机上一些关键性的信息，让攻击者利用这些信息对整个主机甚至云计算中心发起攻击。

而且仅仅依靠Namespace 的隔离是远远不够的，因为一旦内核的 Namespace 被突破，使用者就有可能直接提权获取到主机的超级权限，从而影响主机安全。

(4) 所有容器共享主机内核

由于同一宿主机上所有容器共享主机内核，所以攻击者可以利用一些特殊手段导致内核崩溃，进而导致主机宕机影响主机上其他服务。

既然容器有这么多安全上的问题，那么我们应该如何做才能够既享受到容器的便利性同时也可以保障容器安全呢？下面我带你来逐步了解下如何解决容器的安全问题。

如何解决容器的安全问题？

(1) Docker 自身安全性改进

事实上，Docker 从 2013 年诞生到现在，在安全性上面已经做了非常多的努力。目前 Docker 在默认配置和默认行为下是足够安全的。

Docker 自身是基于 Linux 的多种 Namespace 实现的，其中有一个很重要的 Namespace 叫作 User Namespace，User Namespace 主要是用来做容器内用户和主机的用户隔离的。在过去容器里的 root 用户就是主机上的 root 用户，如果容器受到攻击，或者容器本身含有恶意程序，在容器内就可以直接获取到主机 root 权限。Docker 从 1.10 版本开始，使用 User Namespace 做用户隔离，实现了容器中的 root 用户映射到主机上的非 root 用户，从而大大减轻了容器被突破的风险。

因此，我们尽可能地使用Docker 最新版本就可以得到更好的安全保障。

(2) 保障镜像安全

为保障镜像安全，我们可以在私有镜像仓库安装镜像安全扫描组件，对上传的镜像进行检查，通过与CVE 数据库对比，一旦发现有漏洞的镜像及时通知用户或阻止非安全镜像继续构建和分发。同时为了确保我们使用的镜像足够安全，在拉取镜像时，要确保只从受信任的镜像仓库拉取，并且与镜像仓库通信一定要使用 HTTPS 协议。

(3) 加强内核安全和管理

由于仅仅依赖内核的隔离可能会引发安全问题，因此我们对于内核的安全应该更加重视。可以从以下几个方面进行加强。

宿主机及时升级内核漏洞

宿主机内核应该尽量安装最新补丁，因为更新的内核补丁往往有着更好的安全性和稳定性。

使用Capabilities 划分权限

Capabilities 是 Linux 内核的概念，Linux 将系统权限分为了多个 Capabilities，它们都可以单独地开启或关闭，Capabilities 实现了系统更细粒度的访问控制。

容器和虚拟机在权限控制上还是有一些区别的，在虚拟机内我们可以赋予用户所有的权限，例如设置cron 定时任务、操作内核模块、配置网络等权限。而容器则需要针对每一项 Capabilities 更细粒度的去控制权限，例如：

cron 定时任务可以在容器内运行，设置定时任务的权限也仅限于容器内部；

由于容器是共享主机内核的，因此在容器内部一般不允许直接操作主机内核；

容器的网络管理在容器外部，这就意味着一般情况下，我们在容器内部是不需要执行ifconfig、route等命令的 。

由于容器可以按照需求逐项添加Capabilities 权限，因此在大多数情况下，容器并不需要主机的 root 权限，Docker 默认情况下也是不开启额外特权的。

最后，在执行docker run命令启动容器时，如非特殊可控情况，–privileged 参数不允许设置为 true，其他特殊权限可以使用 --cap-add 参数，根据使用场景适当添加相应的权限。

使用安全加固组件

Linux 的 SELinux、AppArmor、GRSecurity 组件都是 Docker 官方推荐的安全加固组件。下面我对这三个组件做简单介绍。

SELinux (Secure Enhanced Linux): 是 Linux 的一个内核安全模块，提供了安全访问的策略机制，通过设置 SELinux 策略可以实现某些进程允许访问某些文件。

AppArmor: 类似于 SELinux，也是一个 Linux 的内核安全模块，普通的访问控制仅能控制到用户的访问权限，而 AppArmor 可以控制到用户程序的访问权限。

GRSecurity: 是一个对内核的安全扩展，可通过智能访问控制，提供内存破坏防御，文件系统增强等多种防御形式。

这三个组件可以限制一个容器对主机的内核或其他资源的访问控制。目前，容器报告的一些安全漏洞中，很多都是通过对内核进行加强访问和隔离来实现的。

资源限制

在生产环境中，建议每个容器都添加相应的资源限制。下面给出一些执行docker run命令启动容器时可以传递的资源限制参数：

1--cpus 限制 CPU 配额

2-m, --memory 限制内存配额

3--pids-limit 限制容器的 PID 个数

例如我想要启动一个1 核 2G 的容器，并且限制在容器内最多只能创建 1000 个 PID，启动命令如下：

1 $ docker run -it --cpus=1 -m=2048m --pids-limit=1000 busybox sh

推荐在生产环境中限制CPU、内存、PID 等资源，这样即便应用程序有漏洞，也不会导致主机的资源完全耗尽，最大限度降低安全风险。

(4) 使用安全容器

容器有着轻便快速启动的优点，虚拟机有着安全隔离的优点，有没有一种技术可以兼顾两者的优点，做到既轻量又安全呢？

答案是有，那就是安全容器。安全容器是相较于普通容器的，安全容器与普通容器的主要区别在于，安全容器中的每个容器都运行在一个单独的微型虚拟机中，拥有独立的操作系统和内核，并且有虚拟化层的安全隔离。

安全容器目前推荐的技术方案是Kata Containers，Kata Container 并不包含一个完整的操作系统，只有一个精简版的 Guest Kernel 运行着容器本身的应用，并且通过减少不必要的内存，尽量共享可以共享的内存来进一步减少内存的开销。另外，Kata Container 实现了 OCI 规范，可以直接使用 Docker 的镜像启动 Kata 容器，具有开销更小、秒级启动、安全隔离等许多优点。