key_3_feng的博客

Docker Engine 是典型的客户端 / 服务器（C/S）架构，命令行工具 Docker 直接面对用户，后面的 Docker daemon 和 Registry 协作完成各种功能。

要真正发挥容器技术的实力，你就不能仅仅局限于对 Linux 容器本身的钻研和使用。

Kubernetes 项目的本质，是为用户提供一个具有普遍意义的容器编排工具。

数字化转型的蓬勃发展给云计算带来巨大的机会，同时促使云原生作为云计算的服务新界面进入快速发展阶段，进而赋予企业新的增长机遇。就像集装箱加速贸易全球化进程一样，云原生技术正在助力云计算普及和企业数字化转型。全面使用云计算服务和云原生技术落地系统架构的时代已经到来。作为释放云计算技术红利的新方式，云原生架构如果结合企业架构的特点，从方法和理论、工具集、技术最佳实践角度出发，重塑和升级整个企业架构，改变企业的 IT 根基，则能助力企业的数字化转型。随着云原生持续的推进，行业内有很多头部安全企业和创业公司正在推进

在云原生架构中，尤其是云原生网络安全的建设和规划中，以零信任的架构和思路实现云原生网络的微隔离和访问控制是必要的。什么是微隔离微隔离就是一种更细粒度的网络隔离技术，其核心能力的诉求也是聚焦在东西向流量，对传统环境、虚拟化环境、混合云环境、容器环境等东西向流量进行隔离和控制，重点在于阻止当黑客进入数据中心网络或者云虚拟网络后进行的横向移动。微隔离有别于传统的基于边界的防火墙隔离技术，微隔离技术通常是采用一种软件定义的方式，其策略控制中心与策略执行单元是分离的，而且通常具备分布式和自适应等特点。策略控制中

着云原生技术的不断发展和演进，实现容器间互联的云原生网络架构也在不断地进行优化和完善，从 Docker 本身的动态端口映射网络模型到 CNCF 的 CNI 容器网络接口，再到“Service Mesh+CNI”层次化的 SDN。容器网络以容器的典型实现 Docker 为例，其自身在网络架构上默认采用桥接模式，即 Linux 网桥模式，创建的每一个 Docker 容器都会桥接到这个 docker0 的网桥上，形成一个二层互联的网络。同时还支持 Host 模式、Container 模式、None 模式的组网

分布式追踪是实现应用链路追踪的一种重要技术手段，同时也是实现云原生可观测性的重要组成部分，其主要用于应用程序性能管理（APM，ApplicationPerformance Management）和故障定位等。其中常用的开源分布式追踪工具为 Zipkin、Jaeger、SkyWalking 和 Pinpoint。这些分布式追踪工具大致可分为以下三类。1）基于 SDK 的分布式追踪工具。以 Jaeger 为例，Jaeger 提供了大量可供追踪使用的 API，通过侵入微服务业务的软件系统，在系统源代码中添加追踪

云原生观测性随着云原生、微服务等新架构、新生态的引入和发展，可观测性（Observability）越来越多地被提及和重视。为什么云原生一定需要可观测性架构复杂在云原生时代，容器化的基础设施使应用自身变得更快、更轻，一台主机上可以快速部署和运行几十个甚至上百个容器[1]，而Kubernetes等容器编排平台又提供了良好的负载均衡、任务调度、容错等管理机制。这样，在云原生中，一台主机上应用程序的部署密度及变化频率较传统环境有着巨大的变化。因此，需要可观测性来清晰地发现和记录主机快速变化的应用行为。