EP191:虚拟化与容器化

Posted on 2025-12-01

假日期间,Verizon 为所有人提供更优惠的价格(赞助内容)

可靠性不应该额外收费——Verizon 就证明了这一点。他们以客户为先的设计理念,包括 myPlan、myHome 以及业内首创的三年价值保证,在不收取高价的情况下提供优质的网络质量。

揭晓超值优惠:

  • 在 Verizon 开通新号码并选择任意 myPlan 套餐,即可获赠 iPhone 17 Pro Max。此外,选择联网设备套餐,还可免费获赠 Apple Watch Series 11 和 iPad(A16)(价值 1830 美元)。

  • 凡购买 myPlan 套餐,即可免费获赠 Galaxy S25 Ultra、Galaxy Watch8 和 Galaxy Tab S10 FE 5G(价值 1800 美元)。

  • 切换到 Verizon 家庭互联网套餐,即可选择三星 43 英寸电视、三星 Galaxy Tab S10 FE 5G、Marshall Kilburn III、Stream TV 条形音箱、三星 32 英寸智能显示器或价值 200 美元的 Target 礼品卡(Verizon 提供)。

每个人都能获得更好的待遇——灵活的方案、节省开支,以及无需额外费用的支持。

探索假日优惠

本周系统设计回顾:

  • ⏳ 限时特惠:一站式面试准备资料黑色星期五促销

  • 虚拟化与容器化

  • 5 种 REST API 身份验证方法

  • AirTags的工作原理是什么?

  • 什么是防火墙?

  • 调制解调器与路由器

  • 赞助我们

⏳ 限时特惠:一站式面试准备资料黑色星期五促销

No alternative text description for this image

一年一度的黑色星期五促销活动现已开始!结账时使用优惠码BF2025 ,即可享受一站式面试准备在线课程 30% 的折扣。

要享受此限时优惠,请在太平洋标准时间 12 月 1 日星期一晚上 11:59 之前订阅。

点击此处获取

虚拟化与容器化

在容器技术简化部署之前,虚拟化改变了我们使用硬件的方式。两者都能隔离工作负载,但方式不同。

Image

  • 虚拟化(硬件级隔离):每个虚拟机运行一个完整的操作系统,可以是 Windows、Fedora 或 Ubuntu,拥有独立的内核、驱动程序和库。虚拟机管理程序(VMware ESXi、Hyper-V、KVM)直接运行在硬件上,为每个客户操作系统模拟物理机。

    这使得虚拟机占用资源较多,但具有高度隔离性。需要在同一台机器上同时运行 Windows 和 Linux 系统?虚拟机可以轻松应对。典型的虚拟机启动时间以分钟计,因为您需要从头开始启动整个操作系统。

  • 容器化(操作系统级隔离):容器共享宿主机操作系统的内核。每个容器没有独立的操作系统,只有各自独立的进程,拥有自己的文件系统和依赖项。

    容器引擎(Docker、containerd、CRI-O、Podman)负责管理生命周期、网络和隔离,但所有这些都运行在同一个共享内核之上。轻量级且速度极快。容器启动只需几毫秒,因为你无需启动操作系统,只需启动一个进程。

    但这里有个关键点:主机上的所有容器都必须与该主机的内核兼容。不能在 Linux 主机上运行 Windows 容器(除非使用嵌套虚拟化技巧)。

轮到你了:你通常采用哪种部署方式:虚拟机中的容器、裸机容器,还是其他方式?

5 种 REST API 身份验证方法

Image

  1. 基本身份验证:客户端在每个请求头中包含经过 Base64 编码的用户名和密码,这种方法虽然简单,但安全性不高,因为凭据以明文形式传输。适用于快速原型开发或通过安全网络提供的内部服务。

  2. 会话认证:登录后,服务器会创建一个会话记录并颁发一个 cookie。后续请求会发送该 cookie,以便服务器验证用户状态。此技术用于传统 Web 应用程序。

  3. 令牌认证:客户端只需进行一次身份验证即可获得签名令牌,然后在每次请求中提供该令牌,实现无状态身份验证。此方法适用于需要可扩展、无状态身份验证的单页应用程序和现代 API。

  4. 基于 OAuth 的身份验证:客户端通过 OAuth 提供商的授权获得访问令牌,然后使用该令牌代表用户调用资源服务器。此方法适用于第三方集成或需要委派访问用户数据的应用程序。

  5. API密钥认证:客户端在每次请求中提供预定义的密钥(通常在请求头或查询字符串中)。服务器验证该密钥以授权访问。此方法用于服务间或机器间API,在这些场景中,简单的凭据检查就足够了。

轮到你了:你还见过哪些其他的 API 身份验证方法?

AirTags的工作原理是什么?

Image

AirTags 的工作原理是利用蓝牙技术和庞大的苹果设备网络来帮助您找到丢失的物品。
以下是它们工作原理的详细说明:

  1. 蓝牙信号:每个 AirTag 都会发出安全的蓝牙信号,附近的 Apple 设备(iPhone、iPad 等)可以在“查找我的设备”网络中检测到该信号。

  2. 查找我的网络:当 AirTag 进入“查找我的网络”中 Apple 设备的范围内时,该设备会匿名且安全地将 AirTag 的位置信息转发到 iCloud。

  3. 位置追踪:然后您可以使用 Apple 设备上的“查找”应用程序在地图上查看 AirTag 的大致位置。

局限性:
请注意,AirTag 依赖于蓝牙技术和“查找我的 Apple 设备”网络中的 Apple 设备。如果您的 AirTag 位于 Apple 设备较少的区域,其位置更新频率和准确性可能会降低。

什么是防火墙?

每次连接到互联网时,防火墙都会默默地决定哪些流量可以进入,哪些流量必须被阻止。防火墙是网络的第一道防线。它会根据您定义的规则,按 IP 地址、协议、端口、程序甚至关键字过滤流量。每个试图进出您网络的数据包都必须经过这个检查点。

Image

主要有两种类型:

  1. 网络防火墙:位于网络边缘,连接您的基础设施和互联网。它可以是物理硬件、虚拟化软件或云部署服务。它运行在 OSI 模型的第 3 层和第 4 层。在流量到达您的内部网络之前,它会根据 IP 地址、协议和端口对其进行过滤。

    一次性保护整个网络。这是您的第一道防线。互联网流量在到达您的路由器、接触任何内部系统之前,都会先经过网络防火墙。

  2. 基于主机的防火墙:这种防火墙以软件形式运行在单个设备上,例如您的笔记本电脑或服务器。它工作在第 3 层到第 7 层,对数据包进行更深层次的检查,并仅保护该特定设备。

    您的桌面电脑有自己的主机防火墙,您的服务器也有自己的主机防火墙。每个防火墙都是独立配置的。这是您的最后一道防线,以防有威胁绕过网络防火墙。

    它们共同构成了一道多层屏障,既能阻挡不必要的流量,又能让合法的通信自由流动。

轮到你了:你是否曾经遇到过防火墙规则配置错误,导致意外阻止了关键数据的情况?具体是什么问题?你花了多长时间才找到原因?

调制解调器与路由器

大多数人认为他们的WiFi路由器就能提供互联网连接。其实不然。路由器只是管理你家内部的网络流量。真正的互联网连接来自调制解调器。

Image

以下是它们各自的实际功能:

  • 调制解调器:调制解调器将您连接到互联网服务提供商 (ISP)。它负责在 ISP 的网络和您的家庭网络之间转换信号。根据服务类型的不同,数字链路可能使用同轴电缆、光纤或蜂窝网络连接。调制解调器将这些信号转换成您的设备可以理解的数据。

    它提供一个公网 IP 地址,也就是一个互联网连接。如果您将单个设备通过以太网线直接连接到调制解调器,该设备即可通过公网 IP 地址访问互联网。

  • 路由器:路由器会在您的家中创建一个私有网络。它会从调制解调器获取一个公共 IP 地址,并使用网络地址转换 (NAT) 将其分配给多个设备。网络上的每个设备都会获得一个私有 IP 地址,通常类似于 192.168.1.x。路由器会跟踪哪个设备请求了哪些数据,并将响应路由回正确的设备。

    DHCP 会自动分配这些私有 IP 地址。你的手机连接到 WiFi 后,路由器会给它分配一个 IP 地址,然后它就可以通过路由器访问互联网了。

现代设备通常将这两种功能结合起来,即调制解调器和路由器的组合,但了解它们的区别有助于您排查网速慢或网络掉线等问题。

轮到你了:你有什么快速诊断网速慢是调制解调器还是路由器导致的常用方法?

赞助我们

让您的产品触达超过 100 万名科技专业人士。

我们的新闻简报会将您的产品和服务直接推送给重要的受众——数十万名工程领导者和高级工程师——他们对重大的技术决策和大宗采购具有影响力。

名额有限,立即预订!

广告位通常提前约 4 周售罄。为确保您的广告触达这一极具影响力的受众群体,请立即发送电子邮件至[email protected] 预订您的广告位。

原文: https://blog.bytebytego.com/p/ep191-virtualization-vs-containerization