等技术，对进程进行封装隔离，属于 操作 系统层面的虚拟化技术。由于隔离的进程独立于宿主和其它的隔离的进程，因此也称其为容 器。最初实现是基于 LXC，从 0.7 版本以后开始去除 LXC，转而使用自行开发的 libcontainer，从 1.11 开始，则进一步演进为使用 runC 和 containerd。 Docker 在容器的基础上，进行了进一步的封装，从文件系统、网络互联到进程隔离等等，极 Docker 技术比虚拟机技术更为轻便、快捷。 下面的图片比较了 Docker 和传统虚拟化方式的不同之处。传统虚拟机技术是虚拟出一套硬件 后，在其上运行一个完整操作系统，在该系统上再运行所需应用进程；而容器内的应用进程 直接运行于宿主的内核，容器内没有自己的内核，而且也没有进行硬件虚拟。因此容器要比 传统虚拟机更为轻便。 图 1.4.1.1 - 传统虚拟化 什么是 Docker 15 图 1 一样，镜像是静态的定义，容器是镜像运行时的实体。容器可以被创建、启动、停止、删 除、暂停等。 容器的实质是进程，但与直接在宿主执行的进程不同，容器进程运行于属于自己的独立的 命 名空间。因此容器可以拥有自己的 root 文件系统、自己的网络配置、自己的进程空间，甚 至自己的用户 ID 空间。容器内的进程是运行在一个隔离的环境里，使用起来，就好像是在一 个独立于宿主的系统下操作一样。这种特性使得容器封装的应用比直接在宿主运行更加安

作者简介 丁威，《RocketMQ 技术内幕》作者，RocketMQ 官方社区优秀布道师，荣获 CSDN2020 博客之星亚军；担任中通快递研发中心资深架构师，维护『中间件兴趣圈』公 众号，主打成体系剖析 Java 主流中间件，尝试从源码分析、架构设计、实战、故障分析等 维度深刻揭晓中间件技术，已覆盖 RocketMQ、Dubbo、Sentienl、Kafka、Canal、 MyCat 踩坑记：rocketmq-console 消费 TPS 为 0，但消息积压数却在降低是个什么 “鬼” 49 1.6 RocketMQ 一个新的消费组初次启动时从何处开始消费呢？ 64 1.7 一次 RocketMQ 进程自动退出排查经验分享 78 1.8 RocketMQ 主题扩分片后遇到的坑 82 1.9 RocketMQ 消息发送 system busy、broker busy 原因分析与解决方案坑 91 Nameserver 集群中数据一致性采取的最终一致性。 2. Broker 消息存储服务器，分为两种角色：Master 与 Slave，上图中呈现的就是 2 主 2 从的部 署架构，在 RocketMQ 中，主服务承担读写操作，从服务器作为一个备份，当主服务器存 在压力时，从服务器可以承担读服务（消息消费）。所有 Broker，包含 Slave 服务器每隔 30s 会向 Nameserver 发送心跳包，心跳包中会包含存在在

第 第 1 章 章 了解网 了解网络 络 7 安装程序置 安装程序置备 备的基 的基础 础架 架构 构 安装程序部署并配置运行集群的基础架构。 kubelet 在集群的每个节点上运行的一个主节点代理，以确保容器在 pod 中运行。 Kubernetes NMState Operator Kubernetes NMState Operator 提供了一个 Kubernetes API，用于使用 加到集群中时，MetalLB 可为该服务添加外部 IP 地址。 multicast 通过使用 IP 多播，数据可同时广播到许多 IP 地址。 命名空 命名空间 间 命名空间隔离所有进程可见的特定系统资源。在一个命名空间中，只有属于该命名空间的进程才能看 到这些资源。 networking OpenShift Container Platform 集群的网络信息。 node OpenShift Container Container Platform 实例，以及使用安全 shell (SSH) 访问 control plane 节点。 2.1. 访问安装程序置备的基础架构集群中 AMAZON WEB SERVICES 上的主 机 OpenShift Container Platform 安装程序不会为任何置备 OpenShift Container Platform 集群的 Amazon Elastic Compute

Container Network Interface (CNI) 插件之一提供的主要集群网络： OVN-Kubernetes 网络插件，默认插件 OpenShift SDN 网络插件 经认证的第三方替代主网络插件 用于网络插件管理的 Cluster Network Operator 用于 TLS 加密 Web 流量的 Ingress Operator 用于名称分配的 DNS Operator 用于裸机集群上的流量负载均衡的 Platform 4.13 网 网络 络 10 安装程序置 安装程序置备 备的基 的基础 础架 架构 构 安装程序部署并配置运行集群的基础架构。 kubelet 在集群的每个节点上运行的一个主节点代理，以确保容器在 pod 中运行。 Kubernetes NMState Operator Kubernetes NMState Operator 提供了一个 Kubernetes API，用于使用 加到集群中时，MetalLB 可为该服务添加外部 IP 地址。 multicast 通过使用 IP 多播，数据可同时广播到许多 IP 地址。 命名空 命名空间 间 命名空间隔离所有进程可见的特定系统资源。在一个命名空间中，只有属于该命名空间的进程才能看 到这些资源。 networking OpenShift Container Platform 集群的网络信息。 node OpenShift Container

OpenShift Logging 5.0.0 1.2.11.1. 新功能及功能增强 Cluster Logging 变为 Red Hat OpenShift Logging 每个索引最多五个主分片 更新了 OpenShift Elasticsearch Operator 名称和成熟度等级 OpenShift Elasticsearch Operator 报告 CSV 成功 减少 Elasticsearch Elasticsearch 节点磁盘的洪水水位线 12.5.6. Elasticsearch JVM 堆使用率是高 12.5.7. 聚合日志记录系统 CPU 为高 12.5.8. Elasticsearch 进程 CPU 为高 12.5.9. Elasticsearch 磁盘空间现为低 12.5.10. Elasticsearch FileDescriptor 使用为高 第 第 13 章 章 卸 卸载 载 Logging 5.0。 每个索引最多五个主分片 每个索引最多五个主分片 在这个版本中，OpenShift Elasticsearch Operator（EO）会根据为集群定义的数据节点数量来设置一个 或多个索引的主分片数量。 在以前的版本中，EO 会将索引的分片数量设置为数据节点的数量。当 Elasticsearch 中的索引被配置为带 有多个副本时，它会为每个主分片创建多个副本，而不是每个索引。因此，因为索引分片，集群中存在更

—— 从入门到实践 2 vi. 自定义网桥 vii. 工具和示例 viii. 编辑网络配置文件 ix. 实例：创建一个点到点连接 11. 实战案例 i. 使用 Supervisor 来管理进程 ii. 创建 tomcat/weblogic 集群 iii. 多台物理主机之间的容器互联 iv. 标准化开发测试和生产环境 12. 安全 i. 内核名字空间 ii. 控制组 iii. 利用容器来运行应用。 容器是从镜像创建的运行实例。它可以被启动、开始、停止、删除。每个容器都是相互隔离的、保证安全 的平台。 可以把容器看做是一个简易版的 Linux 环境（包括root用户权限、进程空间、用户空间和网络空间等）和运 行在其中的应用程序。 *注：镜像是只读的，容器在启动的时候创建一层可写层作为最上层。 Docker 容器 Docker —— 从入门到实践 13 容器 -t 标记来添加 tag，指定新的镜像的用户信息。 “.” 是 Dockerfile 所在的路径（当前目录），也可以 替换为一个具体的 Dockerfile 的路径。 可以看到 build 进程在执行操作。它要做的第一件事情就是上传这个 Dockerfile 内容，因为所有的操作都要 依据 Dockerfile 来进行。 然后，Dockfile 中的指令被一条一条的执行。每一步都创建了一个新的容器，在

关于自定义节点选择器 12.3.1.4. 禁用或启用网络资源注入器 12.3.1.5. 禁用或启用 SR-IOV Operator 准入控制器 Webhook 12.3.1.6. 为 SR-IOV 网络配置守护进程配置自定义 NodeSelector 12.3.2. 后续步骤 12.4. 配置 SR-IOV 网络设备 12.4.1. SR-IOV 网络节点配置对象 12.4.1.1. SR-IOV 网络节点配置示例 OCTAVIA 为入站流量扩展 第 第 20 章 章 将二 将二级 级接口指 接口指标 标与网 与网络 络附加关 附加关联 联 20.1. 将二级接口指标与网络附加关联 20.1.1. 网络指标守护进程 20.1.2. 带有网络名称的指标 227 229 229 230 231 232 232 232 232 234 234 234 234 234 235 236 237 237 237 实例，以及使用安全 shell (SSH) 访问 control plane 节点（也称为 master 节点）。 2.1. 访问安装程序置备的基础架构集群中 AMAZON WEB SERVICES 上的主 机 OpenShift Container Platform 安装程序不会为任何置备 OpenShift Container Platform 集群的 Amazon Elastic Compute

DNS 名称与本地主机名不同，则必须修改 --quayHostname。 2. 当镜像 registry 在代理后面设置时，会使用 --sslCheckSkip，并且公开的主机名与内部 Quay 主 机名不同。当用户不希望在安装过程中对提供的 Quay 主机名验证证书时，也可以使用它。 其他 其他资 资源 源 使用 SSL 保护到 Red Hat Quay 的连接 OpenShift Container 命令，则需要使用 SSH 代理进行管 理。 注意 注意 在某些发行版中，会自动管理默认 SSH 私钥（如 ~/.ssh/id_rsa 和 ~/.ssh/id_dsa）。 a. 如果 ssh-agent 进程还没有针对您的本地用户运行，请将其作为后台任务启动： 输出示例 出示例 注意 注意 如果您的集群采用 FIPS 模式，则只使用 FIPS 兼容算法来生成 SSH 密钥。密 钥必须是 RSA 或 可选：选择用来访问集群机器的 SSH 密钥。 注意 注意 对于您要在其上执行安装调试或灾难恢复的生产环境 OpenShift Container Platform 集群，请指定 ssh-agent 进程使用的 SSH 密钥。 b. 选择 aws 作为目标平台。 c. 如果计算机上没有保存 Amazon Web Services (AWS) 配置集，请为您配置用于运行安装程序 的用户输入 AWS

quayHostname 标志不支持使用 IP 地址的安装。需要使用主机名进行安装。 2. 当镜像 registry 在代理后面设置时，会使用 --sslCheckSkip，并且公开的主机名与内部 Quay 主 机名不同。当用户不希望在安装过程中对提供的 Quay 主机名验证证书时，也可以使用它。 3.2.9. Mirror registry for Red Hat OpenShift 发现注记 mirror 代理管理，才能在集群节点上进行免密 码 SSH 身份验证。 注意 注意 在某些发行版中，自动管理默认 SSH 私钥身份，如 ~/.ssh/id_rsa 和 ~/.ssh/id_dsa。 a. 如果 ssh-agent 进程尚未为您的本地用户运行，请将其作为后台任务启动： 输 输出示例 出示例 注意 注意 如果集群处于 FIPS 模式，则只使用 FIPS 兼容算法来生成 SSH 密钥。密钥必 须是 RSA 或 ECDSA。 可选： 选择用于访问集群机器的 SSH 密钥。 注意 注意 对于您要在其上执行安装调试或灾难恢复的生产环境 OpenShift Container Platform 集群，请指定 ssh-agent 进程使用的 SSH 密钥。 ii. 选择 alibabacloud 作为目标平台。 iii. 选择要将集群部署到的区域。 iv. 选择集群要部署到的基域。基域与您为集群创建的公共 DNS 区对应。

最低 IBM Z 系统环境 硬件要求 操作系统要求 IBM Z 网络连接要求 z/VM 客户虚拟机的磁盘存储 存储/主内存 9.1.3.6. 首选 IBM Z 系统环境 硬件要求 操作系统要求 IBM Z 网络连接要求 z/VM 客户虚拟机的磁盘存储 存储/主内存 9.1.3.7. 证书签名请求管理 9.1.4. 创建用户置备的基础架构 9.1.4.1. 用户置备的基础架构对网络的要求 最低 IBM Z 系统环境 硬件要求 操作系统要求 IBM Z 网络连接要求 z/VM 客户虚拟机的磁盘存储 存储/主内存 9.2.3.6. 首选 IBM Z 系统环境 硬件要求 操作系统要求 IBM Z 网络连接要求 z/VM 客户虚拟机的磁盘存储 存储/主内存 9.2.3.7. 证书签名请求管理 9.2.4. 创建用户置备的基础架构 9.2.4.1. 用户置备的基础架构对网络的要求 硬件要求 操作系统要求 IBM Power 客户机虚拟机的磁盘存储 PowerVM 客体虚拟机的网络 存储/主内存 11.1.2.6. 推荐的 IBM Power 系统要求 硬件要求 操作系统要求 IBM Power 客户机虚拟机的磁盘存储 PowerVM 客体虚拟机的网络 存储/主内存 11.1.2.7. 证书签名请求管理 11.1.3. 创建用户置备的基础架构 11.1.3.1.