docker应用防火墙配置不生效

防火墙导致网络不通，这点别忽略，安排在局域网中，为了保障安全，很多朋友都安装了一些防火墙，这样很容易造成一些假故障，例如拼不通，但是却可以访问对方的计算机，不能够上网，却可以使用 qq 等 判断是否是防火墙导致的故障。很简单，你只需要将防火墙暂时关闭，然后再检查故障是否存在即可。而出现这种故障的原因可能是源自于手滑。例如用户初次使用 i 一访问某个网站时，防火墙会询问是否允许该程序访问网络， 一些用户因为手滑点了不允许，这样以后就会沿用这个设置了，自然导致网络不通了。比较彻底的解决办法是在防火墙中去除这个限制。我是歪大飞，下期我们讲解为啥网线都会限制传输距离为一百米。

duck 是 什么？它能给软件开发带来哪些便利？看完这期视频，你将有清晰的认识。想象你是一名软件开发者，负责开发一款电商应用。这款应用由多个组建构成，像前端页面，后端服务器数据库等。 开发阶段，你在自己电脑上把各个组建都调试的好好的，运行也很顺畅。可当要把应用部署到测试环境或者生产环境时，问题就来了。测试环境的服务器和你开发用的电脑配置不同，安装的软件版本也有差异，这就导致应用在测试环境无法正常运行。 你不得不花费大量时间去排查问题，调整配置，让应用能在新环境中跑起来。而且后续如果要部署到不同的生产环境，又得重复这些繁琐的工作， 这是软件开发中常见的痛点。那么有没有办法解决这个问题，让应用能在不同环境中快速稳定地部署呢？答案就是 doker。 本地环境的困境我们先从软件开发的本地环境说起。在开发应用时，每个组建都有自己依赖的软件和配置，比如后端服务器可能依赖特定版本的编程语言，数据库可能需要特定的配置参数。 这些依赖和配置就像是一个个小零件，在本地环境中，你得小心翼翼地把它们组装好，应用才能正常运行。但不同开发者的电脑配置不同， 安装的软件版本也可能不一样，这就导致同一个应用在不同人电脑上可能会出现各种问题。就像搭积木一样，每个人的积木可能形状大小都有差异，搭出来的东西自然也不一样， 这就是本地环境的困境，很难保证应用在不同环境中的一致性。容器化的诞生为了解决本地环境的困境， 人们想到了容器化的概念。容器就像是一个独立的小盒子，把应用和它所有的依赖配置都装在里面。这个小盒子可以在不同的环境中移动，而且里面的东西不会受到外界环境的影响。就好比你把一件珍贵的物品放在一个密封的盒子里，无论你把盒子搬到哪里， 里面的物品都不会损坏。在软件开发中，容器可以把应用的代码、运行环境、依赖库等都打包在一起，形成一个独立的运行单元。这样应用就可以在任何支持容器技术的环境中运行，而不需要担心环境差异带来的问题。 刀客的出现刀客就是一种流行的容器化技术，它提供了一套工具和平台，让开发者可以轻松地创建、部署和管理容器。 使用 docker， 你 可以通过一个 docker file 文件来定义容器的内容和配置。 docker file 就 像是一份菜谱， 里面详细说明了容器需要哪些软件配置和步骤来构建。开发者只需要编辑好 docker file， 然后使用 docker 命令，就可以快速创建出一个容器。 docker 还提供了一个镜像仓库，就像一个图书馆， 里面存放着各种已经构建好的容器。镜像开发者可以从镜像仓库中下载需要的镜像，也可以把自己构建的镜像上传到仓库中供其他人使用。这样 开发者就可以共享和附用容器镜像，大大提高了开发效率。 docker 给软件开发带来的便利 docker 给软件开发带来了很多便利。首先是环境一致性， 使用 docker 开发者可以确保应用在开发、测试和生产环境中的环境配置完全一致，这样应用在不同环境中运行的结果就会相同，减少了因环境差异导致的问题。 其次是快速部署，由于容器是独立的运行单元，只需要把容器镜像复制到目标环境中就可以快速启动应用， 这比传统的部署方式要快得多，大大缩短了应用的上线时间。再者是资源隔离，每个容器都有自己独立的资源空间，不会相互影响，这就意味着多个应用可以在同一台服务器上安全地运行， 提高了服务器的资源利用率。最后是可移植性 dunk， 容器可以在任何支持 dunk 的 环境中运行，无论是本地电脑、云服务器还是虚拟机， 都可以轻松部署和运行应用。 doker 的 概念总结 doker 是 一种容器化技术，它通过容器把应用和其依赖配置打包在一起， 形成独立的运行单元。 doker 提供了创建、部署和管理容器的工具和平台，让开发者可以轻松地实现应用的环境一致性。快速部署、 资源隔离和可移植性刀克尔在软件开发、测试、部署等环节都有广泛的应用，是现代软件开发中不可或缺的工具。现在大家对刀克尔有一定了解了吧， 不过刀克尔在实际应用中还有很多高级特性和使用场景，比如刀克 compost 可以 用来管理多个容器的编排。刀克 swam 和 cubanetis 可以 实现容器的集群管理，这些内容我们下期再详细介绍。

hello， 大家好，上一集我介绍了感知系统集成框架，讲了我是怎么把不同算法模型接到一起，并且在工程中是如何运行的。 第二集我们依旧不讲模型，不讲算法，我们讲一个所有感知工程绕不开但是几乎没人系统讲过的东西，底层支撑环境。 呃，很多人一上来就坑蒙带毛跑 demo。 呃，但是如果你不使用 doker 的 话，你的项目一定会遇到这三件事情，呃，我的能跑，你的你那跑不了，哭，打 part 曲 rose 版本冲突半年后自己都付现不了，结果， 呃，我的话是用 doker 去解决这个问题。在这里我简单介绍一下 doker。 dork 是 一种开源的容器化平台，它能把应用程序和运行所需要的环境打包成一个标准化的容器，让应用在任何地方都能以相同的方式运行。 嗯，镜像的话是指读模板，包括应用和依赖类，类似于安装盘容器的话是镜像的运行时例带有可写尘，类似于装好的系统。呃， doker 仓库是存放和发放镜像的地方， 比如说 doker have 就是 一个 doker 仓库。我们平常的操作就是从 doker 仓库里 呃，将包含自己想要环境版本的镜像拉取下来，然后用这个镜像去创建一个容器，这个容器就当类似于优班图操作系统去使用。 真正的工程项目里，第一步永远是环境，看你的环境能不能稳定复现，而多尔的话是目前感知系统工程里唯一可控的起点。 接下来我将按照目录里的顺序去介绍都可在感知工程里解决什么问题，那都可进项时遇到的问题的三种解决方案，容器的构建方法都可进项容器一直的两种方案，这些都是我在工程中的动机和遇到的问题的解决方案。 首先我们面临的工程问题包括扩大依赖、复杂、版本不一致、 roles 和他下属容易冲突，呃，多人协助时环境不统一，线上部署难以复现。这些问题在暑期项目中非常常见。 dok 的 优势在于，呃镜像锁匙依赖，避免返本漂移，容器隔离解决库冲突，环境一致，方便协助镜像及交互部署更高效。呃，我的工程策略是使用 dok 锁匙环境移直镜像完成的环境部署。 首先是确定自己所需要的环境版本，呃，要先确定扩展版本，比如说我自己安装的就是十二点一的版本的扩展，再再定一下 python 版本，最后定 rose 版本， 最后用 docker 去拉取包含你环境的镜像。 我的基础环境构建的时候遇到的第一个问题就是，呃 door 环境拉镜像拉不下来，典型症状就是会卡很久，然后显示连接超时，原因可能是网络问题， 网上搜的办法是换镜像原，但是我换了很多原还是没有解决问题，反而在这个过程中我找到了一种可以一键换原和一键安装 rose 系统的方法，就是用余香 rose 的 这个指令 可以演示一下， 这个就是我的 tool 环境， 把这个指令输进去， 就可以一键换原和一键安装 ross 版， ross 可以 选在里面选中数字来选择 ross 相关的，可以一键安装 ross， 这些的话我们用谷也可以安装。然后这个的话就是去配置原， 在这里我们就不安装了。 第二个方法的话就是去英伟达的仓库去呃拉取进项元，呃，刚才不是说在 在 dokerhub， dokerhub 是 doker 的 官网，是他的 doker 仓库，呃。去拉取镜像是最官方的做法，但是，呃如果你拉不下来的话，去英伟达的官网去拉取也是可以的。就是这个网址 我这里已经打开了，就这个网址进来以后在这里可以看到各种不一样的版本。 呃，比如说我用的就是这个二十三点零七的版本，这个是优班图，比如说它支持看它里面这个镜像里面就可以安装优班图是二十二点零四版本的，然后 python 是 三点十，然后扩大是十二点一， 然后就是然后你找到这个版本以后，找到这个版本号二十三点零七， 然后用这个指令就把这里改成二三点零七，去把这个指令输到终端里去，从因为达的官网去拉起镜像圆就可以了。 第三种方法的话就是去别的别人发布的网站去拉取。这个的话是我在 get 上找的一个项目，它里面所用的镜像， 然后我直接把它所它已经呃安装好它自己所需要环境的。呃镜像，呃发布在网上，我直接用这个指令就可以把它拉取下来。 镜像拉下来以后你就可以用镜像构建自己的容器了。呃，你在容器里做了一些工作以后可以用 可以用两种方法把它进行移植，一种就是把容器保存成压缩文件进行移植，呃，这种就是，呃把你的容器给变成一个镜像， 呃，就是这个就是多块一个转化，把你的这个是你的容器名称，然后转化成一个镜像的名称，镜像的版本，把它转化成它，然后再把镜像，把这个镜像， 把这个保存下来的镜像， 把这个保存下来的镜像保存为压缩文件。呃，最后移置到另外一台机器上，使用这个指令 去把你的镜，把你的压缩文件去加载到你的系统里， 然后你就可以在你的系统里看见你的这个镜像，然后你再用这个镜像去构建容器，就可以把你先前的工作全部保存下来。 呃，容器，第二种方案的话就是容器保存，一直就是把你所有的，把你这个正在运行的，运行中的容器，这个是你运行中容器的 id 啊，把它保存成一个压缩文件，到了另外一台，也可以，可以把这个压缩文件再压缩一下，但这个文件很大，也可以不压缩， 然后到了另外一个容到另外一个机器上，使用这个指令把你的这个压缩文件去导入到你的系统里， 把这个文件的话就是保存你的镜像，保存成一个镜像，然后用这个镜像去构建， 去构建一个新的容器，这个容器跟你在呃第一台工作站上的所有的环境还有你的工作内容都是一样的， 这个这个指令很重要，在容器里完成工作后，你可以通过这个指令把容器里所有的环境保持成新的镜像，呃，也可以达到保存工作进度的效果。 底层环境支撑就介绍到这里，如果有的小伙伴还有问题的话可以在评论区留言，我看到了会统一回复，下一集我们会真正进入感知系统的第一层，传感器驱动设计，看数据是怎么从硬件走到算法的。

这次视频是手把手安装 docker 的 教程视频，对于新手初学者而言，可以作为 docker 入门的参考。 这里先说一下二零二四年之后， docker 服务已经无法换成国内原下载镜像了，对于这种情况有很多的办法，本视频只提供演示一种方式的实现。 至于部署 docker 环境的操作系统，肯定是要采用 linux 系统部署 docker 环境， windows 上使用 docker 在 性能上肯定是不行的，所以 windows 系统部署 docker 不 建议大家使用。在操作开始之前，先说一下准备工作，这里我们采用 santos 七 linux， 外置防火墙和内置防火墙全部都已经提前关闭掉了，样品仓库也已经配置完成了。 首先原有的 yam 原仓库可能无法使用或安装 dock， 所以 这里我们先将 yam 进行换原。这里我已经将命令给提前准备好了，这里直接把 yam 命令粘贴进来执行一下即可。 需要命令的小伙伴可以截个图哈， 然后清除 yam 全部的缓存数据，然后重新生成重建 yam 新缓存。 这里稍微耐心等待自动商城完成即可。因为安装 docker 的 核心组建需要提供 young config manager 工具，所以这里我们需要安装 young mutos 辅助工具集。 然后我们需要设置一下 docker 的 镜像源。这里我已经提前准备好这个命令了，复制一下粘贴进来执行即可。需要的小伙伴可以自行截图。 然后接下来安装 docker c docker c cle c o n t i n e r d 点 i o 三个服务，因为这三个服务是 docker 官方社区的三个核心组件。 然后我们切换到 et cetera 路径下的 docker 路径， 这里我们需要定义一个名为 daemon 文件，对于 docker 来说，这个文件的功能就是依赖定义运行参数网络存储镜像源， 这里我已经把所有的参数提前准备好了，需要的小伙伴自行截图，这里直接复制粘贴了。 然后我们接下来就可以启动 docker 了，我们测试一下 docker 命令，比如查看 docker 的 相关信息， docker info， 这样就罗列出了该 docker 版本的相关信息等等。 如果我们想查看 dakker 下已经存在了哪些镜像服务，可以执行 dakker emoji 命令，然后我们查看一下是否成功加载了 dakker 的 镜像文件。配置的镜像加速器 可以看到，这里 dakker 的 镜像源信息已经加载识别到 dakker emoji 提示里的源了。 然后接下来可以尝试拉取一个常见的 docker 镜像，比如 hello world， 我 们使用 docker port 命令拉取一下， 这里提示 latest， 翻译过来就是最后的，其实就是代表正在默认拉取最新版本的 hello world 镜像命令执行完成了，这里提示 port complete， 其实就代表提示你已经拉取完成了。 然后我们再尝试拉取一个镜像服务，比如买搜扣数据库的镜像服务，如果不加参数的话，默认拉取的就是最新的镜像，这里的话我们再买搜扣，后面加五点七参数，就相当于拉取五点七这个指定版本的镜像服务了， 这样一来就自动拉取该镜像服务的所有相关组建了，因为视频采用的是镜像加速器的方式来演示 docker 操作。如果你对拉取下载的速度有严格的要求，感兴趣的话你可以了解一下。通过代理网络网关的方式来使用 docker 全部提示泊 complete 拉取完成了，然后我们执行一下 docker， 查看 docker 此时哪些镜像服务进程正在运行，可以看到没有运行中的服务。 接下来我们准备运行镜像服务，就拿买搜扣服务来举个例子，如果你参考过我之前二禁制软件包的方式安装买搜扣服务，都知道需要配置服务的密码，又要下载安装文件，甚至是配置一些相关的服务端口策略等等等等，非常多而且很繁琐的步骤， 这回我们学习了 docker， 我 们只需要执行这样的一条命令，就能启动买搜扣这个镜像服务，直接一条命令就能实现买搜扣服务，这就是 docker 的 强大之处。 docker run 命令就是用来启动一个服务的镜像容器，后面的参数就是负责配置该服务的环境变量端口映设，给服务容器起名字。 哎哎，这怎么开始拉取镜像服务了？我才发现是命令敲错了，买搜扣镜像指定没有加双引号，算了，错了就错了吧。正好接下来给大家演示一下这种命令参数写错的情况该如何解决。 可以看到我们修改了命令也是执行失败，因为刚刚拉取的镜像容器已经占用了运行进程，所以接下来我们要终止并关闭容器进程，执行这条命令，终止关闭镜像服务容器， 然后我们在执行修改之后的 docker run 命令，这样一来就没有什么毛病了。 执行 docker 命令可以查看到 mesco 服务容器的进程正在运行工作， 因为我们拉取在运行的是买搜扣镜像服务容器，所以我们这里使用一个数据库图形化软件工具来测试一下。买搜扣镜像服务容器，这里采用 navicat 数据库图形化软件工具来进行测试。 这里主机的话，我们要写成 linux 服务器端的网络 ip 地址，这里我们执行 if config 命令，查看一下 ip 地址，这里的 n 三十三网卡对应的 ip 地址就是复制一下粘贴就好， 可以看到远程连接成功了，这就证明采用 docker 镜像服务容器的方式运行买 solo 服务已经是成功了。这样一来，通过 docker 成功部署了买 solo 服务，写一些 solo 语句什么的也都是正常执行，没有任何问题毛病。 然后我们再拉取一个 ninks 镜像服务，如果你想查看某个服务镜像容器都有哪些版本， 可以使用达克儿 search 命令来查看，比如查询搜索勾栏服务容器的版本，这里的话远程连接被拒绝了，这就是网络问题了，反正也是时好时坏，说不定什么时候执行这个命令就能成功。 然后我们再拉取一个一点二四版本的勾栏服务容器，这里版本的话，如果达克儿搜索命令的反馈提示一直是被拒绝连接，其实可以在达克儿官方网站进行查看，挑选版本，然后正常拉取即可。 执行一下 docker image 命令，查看一下都有哪些镜像服务容器。假如说我们想删除掉某个服务容器，接下来我演示一下如何删除， 比如说我想删除 hello world 的 容器，可以使用 docker remy 命令来执行。这里参数写错了，错了一个字母，纠正一下， 然后再查一下容器列表，可以发现 heller 的 容器已经没了，这就代表该容器已经删除成功了。 当然这属于是根据名字和标签的方式进行删除容器，其实还可以通过容器对应的 id 号来删除。接下来我们删除一下高量容器试一试。 找到准备删除的容器对应的 id 号，复制一下，然后粘贴到 duckery 命令的后面即可。再查看一下，竟像容器列表成功删除了。勾冷容器。

大家好，我是精彩网的技术，下面呢我们继续讲啊，基于写啊应用协议的策略路由啊，我们用外板方式呢来配置这个防火墙 啊，在这里面的话，我们电脑呢通过交换机呢连接到防火墙上啊，那防火墙的这个内网接口十点一点一点一呢，是我们 pc 一 pc 二的网关啊，这个防火墙呢，它啊有两条 出口啊，一条呢就是是上行的这条链路啊，这是一个高速链路啊，是个高速链路啊，流量速度快啊，贷款高。然后呢我们还有一条链路这条链路呢，它是一个低速啊链路，然后呢？呃我们连接的我们互联网 啊，也就说在这里面的话，我们来应用协议啊，就是根据我们 p c e p c r 电脑来使用不同的协议来让防火墙呢自选啊，比如说啊，我要跑啊，我们公司的业务 啊，就是业务流量啊，那比如说一些商务系统啊，这样一流呢，他自动呢去走高速流量啊，走走高速。 然后呢？呃其他的，比如说一些娱乐类的啊，或者是其他类的，那么他自动呢去走我的下行的这条流量啊，这样的话保证我们这个公司的业务流量呢啊，稳定高效啊。在这里面的话就说如果上行流量断开或者是下行流量断开的话 啊，就说上限流量呢，他会自动切到下面来啊，当或者是下面流量断开以后， 电路断开以后呢啊所有流量呢去切上限，那么这里面的话就我们用到了这个啊，策略路由啊策略路由，那我下面的话我们去看一下这个是如何配置的 啊？防火墙啊，我们用 web 方式来配置啊，所以呢啊，防火墙呢，就是我们已经把这个接口呢接到我的本地虚拟网卡上了，然后呢已经该接口已经开启了 http 的 啊，协议 啊，所以呢我们打用浏览器呢直接去登录 http， 冒号两斜杠幺九二点幺六八点幺三七点二，端口号是八四三。好，我们先连接到防火墙上， 用户名艾德米啊，密码呢是艾德米一二三四五六 啊，登录进去以后呢，我们先取消啊，确定啊，同意啊，确定啊，在这里面的话，我们根据这个防火墙呢来做这样的配置 啊，防火墙呢连接内网，这边呢是 trust 区域，连接公网，这边呢是 untrust 区。 那首先呢我们把防火墙呢放小一点，然后呢我们去看怎么配 啊？首先呢我们配置防火墙的接口啊，内网接口啊，一杠零，杠零啊，这个接口，我们把它配置一下，这个接口呢它属于 trust 区域的 ip 地址啊，十点一点一点一，填满了，二十四， 好，确定啊，然后呢这边呢是公网接口啊，两个公网接口一杠零杠一 啊，连接啊，它的高速流量啊，所以呢这边呢区域呢是 untrust 区域啊，这边的 ip 地址呢是十点十点一点一，野马呢，二十四位。 好，那下面一杠零杠二啊，这个接口呢啊，它连接的是低速的链路 untrust 啊，安全区域十点二零 十点二，十点一点啊，一点一啊， 也满了，二十四位。好，确定，这样的话我们接口呢先配置好啊，然后这个 ip 呢这个地方是一啊。好，然后呢我们再去看，呃， 那么我们在这里面的话，就说内网呢，去访问外网，对吧？啊，我们把安全策略呢，可以先配置一下啊，所以呢，策略，安全策略啊， 内部主机去访问互联网啊，内部主机呢是 trust 区啊， 目的安全区域呢？是 untrust 区域啊。啊，这里面的话，我们原地址我们可以限定啊，也可以不用限定啊，因为目前呢，只有一个网段，你可以写啊，十点一点一点一点零这个网段 啊。啊，或者呢，你不写也行啊，如果有多个网站的话，你可以不允许去写也行啊，另外在这里面的话，呃，这是我们安全策略啊， 另外一个呢，还有就是呢，就是什么呢？就说，呃，我内部的主机流量啊，如果过来 从这边接口出去是吧？呃，我们这边呢，我们把这个 get 侧流呢一并先配置掉啊，配置完以后呢，最后我们去配置侧流都有，那么也就是说我们从数据流进来，如果从一杠零杠一这个接口出去， 那么它转换成十点十点一点一这个 ip 地址啊，如果这个 ip 地址要从一点一杠零杠二这个接口出去，那么转换成十点二十点一点一的这个地址，所以呢，我们在这里呢再去配置。 net 策略啊，新建。 net 策略啊，新建 一个呢，就是内部主机啊，图访问 internet 啊，原区域呢？是我们 trust 的 区域啊，然后出接口呢，从我们这个出接口出去啊，这出接口呢，是如果从一杠零杠一这个接口出去啊，我们把它转换成的地址呢，就是出接口的地址。 好，这是一个安全策略，那么我啊。 net 策略啊，还有一个啊，就从下面这个接口出去，所以呢我们还要新建一个，也是 internet， 这是一啊，安全区域 trust， 出接口是一杠零杠二 啊，转换成出接口的地址好确定，这样的话。 net 策略呢就完成了，完成以后呢，我们下面的话还要去做什么呢？就是根据应用协议的。哎，策略路由啊，就说是业务流量啊，他自动走上面啊，非业务流量啊， 走其他的流量就走下面了。呃，我们在这里看啊，就是在系统里面， 然后呢这里面的话我们可以去啊，有一个高可信啊，就是 ip link， 这个 ip link 呢，就是检测链路的啊，检测到的链路是否通啊，如果通啊，我们就关联什么我们的策略路由啊，如果不通啊，关联的策略路由呢，他会 啊，它会失效，然后呢它会根据我们防火墙的本地路由呢去转发业务流量，所以在这里面的话，我们可以去 检测一下这条链路的通信情况啊，这条链路通信情况啊，然后呢把这个 ip link 啊检测出来的这个结果和我们的策略路由呢做一个绑定， 所以呢在这里新建啊， p p r。 策略路由一 啊，然后呢发包时间啊，它有点像我们的 n q a 啊， n q a 啊，是吧啊？网络质量检测，它可以检测我们的这个，呃呃，链路它的通断情况啊，检测链路，是啊，它的抖动呀，网络质量等等 啊，发包的间隔五秒啊，这个都有默认失败次数三次啊，如果失败次数三次呢，他就认为这条链路不通了 啊，虽然这是一个默认之。我们新建，然后呢 i i p i 啊 i p v 四的啊，协议 s c m p 啊，就是我们拼啊，实际上就是有防火墙的这个点拼对端，这个点 目的地址呢是十点十点一点二，它的对端是十点十点一点二啊，但这个呢你也可以拼一些，其他的也行。出接口是一杠零杠一的这个接口 啊，吓一跳的类型的话，我们这边呢啊去选择自动获取，然后确定啊， ok， 确定啊，这是一个啊，就检测上行上面这个电路，然后呢我们也检测下面这个电路 p p r 杠二， 然后新建。那我们测试的呢就是下面这个啊，十点二十点一点二， 十点二十点二，出接口呢？是啊，一杠零杠二 自动获取好，确定，然后呢再点确定啊，这时候呢我们设置好以后呢，其实它 啊它会检测防火墙和啊对这两条链路呢进行自动去检测啊，啊，目前是一个初试状态，那么啊检测完成以后呢，它就是一个 up 状态啊啊 啊，我们可以先不管它，我们稍等上一会，它会显示一个结果，那么我们下面呢去配置它的这个策略路由 啊，选择网络路由啊，配置智能选路啊，智能选路里面呢有一个策略路由，然后新建这个策略路由 啊，这特鲁路路由的名称呢，有两条是吧？第一条是 pbr 杠一啊啊，这名称跟刚才那个检测链路名称是一致的啊，是一样的啊，当然不一样也行。好，那我在这里面的话，我们的安全区域呢，就是从 trust 区过来的数据包 啊，原地址的话就是十点一点一点零，可以不用选啊，目的地址我们也可以不允许去选啊，因为他访问互联网，我们也不知道他访问的目的是什么，但是这里面要注意，我们要把这个应用去选择一下啊，因为我们是记应用协协议，所以呢我们选择应用啊，应用比如说我 我公司的商啊，就说啊，应用呢是商务系统里面的这些应用，那么它自动走上面这这条线路啊，所以呢就是这个商务系统，然后呢我们往下 啊，有个转发，是吧？动作，动作肯定是转发，就是啊，我们检测到你是走的是商务系统的流量，那么我们先转发啊，从单接口啊，从哪一个接口转发出去呢？是一杠零杠一这个接口转发出去 啊，下一跳是什么呢？就是这个啊，十点十点一点二 啊，就十点十点一点二啊，然后呢我们再去看一下他的监控，监控的话我们刚才是讲了我们要去减绑定这个 啊，到十点一点一点二的这个电路啊，所以呢要绑定啊，这电路名称呢是第一个啊，确定这是一个安全策略 啊，这是走上面啊，那么我们下面呢还要去走第二个安全策略啊， p b r 啊，安全区域的还是啊？安全区域是 trust 区域的数据包啊，应用的话，在这里面的话，我们其实 在这里面的话，我们选择 any 就 行啊，因为为啥呢？如果你要精准的去选啊，比如说我选上一些啊，娱乐什么的， 但是除了这些娱乐这些流量以外的其他流量有可能你就匹配不到啊，因为他既匹配不到上面的流量，也匹配不到上面下面流量，所以呢他有可能他就会什么啊，流量没办法出去啊，他就会断开，所以在这里面的话，我们使用爱你啊啊，就是除了这个 刚才这个商务系统里面的流量以外，其他的流量呢，我们可以匹配到啊，就是这一条，然后呢出接口呢是一杠零杠二啊，下一条呢是十点二，十点一点二， 然后呢我们和下面的这个 ip link 呢进行绑定 二确定，这样的话我们这个策略路由呢，我们就配置完成啊，配置完成啊，这里面还有一个是什么问题呢？就说啊，当我们上行的链路断开，我的数据包怎么走的问题。呃断开以后呢防火墙呢，他会查找什么 自身的路由表，但是他的这个自身的这个路由表的话，大家可以看到啊，都是我的直链路由， 所以呢他的流量要自动切换到下面的话，他还没办法去切换，所以呢我们需要在呃路由里面我们还要配置两条缺失的出出去的路由啊，一条呢是走上面的 十点十点一点二啊，什么意思呢？就说呃， 默认可以走上面是吧？也可以默认走下面啊，十点二十点一点二 啊，也就说这两条本地路由，因为他的优先级是低于策策略路由的，如果你能匹配到策略路由，他就走策略路由啊，匹配这个策略路由如果链路断开，匹配本地路由本地路由的话啊，刚才我们已经配置的这两条路由， 因为上面线路断开，实际上呢啊上面的这条路由呢，他也不会，他会丢，他就直接删除掉了，从路由边删删掉了，所以呢他走会自动会走下面这条路，所以呢电路他会切换到下面来啊，同样的道理啊，你比如说下面这条线路断开了， 客流路由失效了，那么他会什么？他依据本地这条路由那么走出去了啊，所以呢，保证我们网络呢不会中断啊，这是这一块啊，另外在这里面的话，我们刚才说的这个，还有就是这个，呃， 高可高可口型 ip link 啊，这里面还是一个出事状态啊，为什么出事状态呢啊？后面因为这两个接口没有配 ip 啊，所以呢它不通啊，在这里面的话，我们可以啊配置啊，零杠零杠零 接口的 ip 呢，是十点十点一点二，原码二十四位。好啊，下面这个呢，我们也配置上 零杠零杠零 ip 地址呢是十点二十点一点二点满二十四位啊，这两个接口 up 起来以后呢，我们的这个状态呢，应该就 up 起来了， 睡眠要是稍微稍等一下啊。 哦，这里面注意啊，还有一个问题啊， ip 令刻的功能要启不起来，所以呢，有时候只看定着下面啊，上面要打上勾啊 啊，这时候呢，已经 up 起来了啊， up 起来的话，那么说明，呃，我们这条链路是通着的，那么策略路由呢？它会生效，那我们去做一下测试啊，做一下测试，我们来验证一下啊， 比如说我 pc 一 啊，十点一点一点十，本关十点一点一点一啊，比如说我先去访问这个啊，我我首先访问这个十点十点一点二吧，看它通不通，大家可以猜猜一下结果啊 啊，在这里面的话，大家会发现呢，我是走不通的，为什么不通？原因是我拼的这个协议，它不在我这个业务流量里面 啊，所以呢他不属于这个流量范畴啊，所以呢他属于这个其他类的啊，所以呢如果我评十点十点一点二，他是评不通的，但是呢我现在呢要去评十点二十点一点二呢 啊，他能够正常通行啊，啊，当我们把下面这条链路给他断开，我们再来看一下啊， 我们把这个接口呢，把它上的断掉啊，这个接口断掉，那么下面这个链路呢肯定是不通了，对吧？然后我当然你要拼下面它肯定是不通啊，肯定是不通，那么这时候呢它的流量会切到上面去， 十点二点，十点一点二，这时候呢，你看他会发现通了没有通了，这也就是说当这条链路断开以后呢，他会去查找防火墙的 路由表，而我这个路由表呢有一条什么指向的缺省路由指向的下一条指向的 a、 r、 e， 所以呢我们就自动呢可以拼啊，上上行流量呢就是通着的，在这里面的话还要注意一下，就什么呢？就说，呃，这个商务系统 在应用里面，在对象应用里面的这个应用啊，这里面呢，比如说有，呃，是这个商务系统 啊，有商务系统啊，这个商务系统它包含的内容有哪些？我们可以看一下啊，啊，在这边啊商务系统，你看，也就是说凡是访问这个商务系统里面的这些啊，它都是可以什么 啊？他可以走高速啊，他都可以去走高速啊，但是呢因为我们公司有一些业务呢，可能不一定就在这个商务系统里面，这时候呢你就要需要去新新建一个啊，新建一个商务系统 啊。那么你去选择商务系统啊，指定啊，或者不指定，然后使用的规则是什么？就说我要访问某某啊，自己公司内部的一个商务系统啊，比如说目的地址是什么？ 协议是什么啊？使用的端口号是什么啊？对吧？然后呢下面呢可以做一些精准的匹配 啊，精准的匹配这样的话就没问题了。好，这块的话就是我们是基于应用协议的策略路由来精确的让流量呢自动去走不同的电路。

逼自己一个月学完，其实你天生就是黑客，存下吧，全一百九十八集真的很难找全的警告，本系列视频耗时三个半月，制作共计四百七十分钟，带你一口气从零基础入门到入狱，这应该是目前抖音仅有的入门到进阶的全套零基础黑客教程。 要想系统学好网络攻防技术，我自己录制的二百节从零到进阶的视频教程可以分享给你，主流的网络攻击和防御的技术都讲的清清楚楚，只要是粉丝留三百三十三，或者看主页置顶视频，只希望你能把学到的技术用在正道上。 这节课我们来学习容器技术 docker， 除了前面讲的虚拟化技术之外，在服务器资源管理的领域，我们还经常用到一种叫做容器化的技术，而且现在用的越来越多， 它是 devops 里面一种非常重要的技术和手段， devops 叫做开发运为一体化。 我们先简单的了解一下 docker， 方便大家和虚拟机对比学习 docker 的 全部的内容，大家可以在提升阶段的课程里面去学习。那么在网络安全的领域里面呢，我们去安装各种各样的软件，搭建漏洞、靶场环境，都会用到 docker 容器技术。 比如说我们现在需要去部署一个项目，在这个项目里面呢，他有依赖很多的其他的组建，比如他是一个 java 外的项目啊，他会去依赖他们开的版本，去依赖其他的下包等等等等。 如果我们要去重新部署的话，就会非常的耗时，而且有可能移植到别的平台的时候呢，出现问题，我们把它做成一个 dk 的 镜像之后呢，发布到 dk 的 仓库里面啊，现在我们只需要从 仓库里面去获取到这个镜像，并且呢启动一个容器项目就可以访问了，不管部署多少次都很简单，而且 能够解决环境差异的一个问题啊。那比如说现在我们去安装 python， 安装 linux， 安装 my secret， 安装 tomcat， 安装各种各样的 vibe 的 环境，甚至我们去安装操作系统 都可以用 docker 一 键搭建， ok， 比如我们在国内呢，有一个这样的一个打场的网站，就是这个啊，叫做 v u l hub， 注意跟那个 v u n n 这里少了一个 n， 而且呢它的这个域名是 organization， organization 的 啊， o r g 的 一个域名，那么这个里面呢，它就是用 darker 去一键搭建各种各样的漏洞测试的靶场，比如这个里面有哪些漏洞的环境呢？显示所有，来看一下啊， iq 的 反虚量化漏洞，可以用 这个 vr hub 的 环境呢，一键搭建，只要你在它的目录下面运行银行这样的命令就可以了。或者呢我们又想要去复现这个 discuss 的 这样的漏洞，我们想要去复现一个 ac shop 的 漏洞， 我们想要去复现一个阿帕奇的一个漏洞，想要去复现 ngx 的 漏洞，等等等等等等。通过 vr hub 呢，我们都可以用 docker 非常简单的去搭建啊， ok， 那 么这个就是我们使用 docker 的 一个主要的一个场景， 在我们的这个教程合集里面啊，第一节课的课程资料里面也有给大家去准备一个用 dk 安装 via-hub， 把它产生这样的一个教程，比如说很简单，把它的 dchat 上面的这个源代码下载下来之后呢， 我们只需要在某一个组建的版本里面呢，去执行这样的一个命令就可以了，这个命令只需要执行一次，后面只需要用 up down d 可以 直接启动这样的场景，启动这个场景之后呢，大家会看到 你看他会下载一二三四五六七八，有可能有一些组建大一点的环境，复杂一点他会下载更多的一个一个环境，哎，这个是不是就就是我们刚才讲的 dock 这个工具呢和 dock compose， 它帮我们去解决了各种各样的依赖的问题。如果我自己要去搭建这个环境，我是不是这个组件我下载下来，那个组件我下载下来，然后我我把它们全部都配置好，非常的耗时。但是用了 dock 以后呢， 只要用一行命令，他就会帮你去下载，帮你去配置，帮你去运行一个命令，搞定环境的问题啊。所以 docker 我 们也用的非常的多啊。现在我们来总结一下 docker 这个这种容器化的技术有哪些特点啊？第一个是开箱即用， 他的依赖环境全部都已经配置好了，你拿到就可以用了，有可能是你自己做好的，也有可能是别人做好的，发布到一个 仓库里面去了。第二个呢，可以实现快速的布局，也就是只要使用很简单的命令，就可以实现自动化的部署的全部的流程。第三个可移植性强， 只要有一个刀刻环境，那么我们可以实现在不同的操作系统里面运行，得到一样的效果。 第四个它可以实现环境的隔离，它跟虚拟化的技术也是一样的啊，我可以有运行很多很多个的容器，那么大家各自 独立运行，互相互干扰，这个是 docker 的 一些特点。那么 docker 它的原理是什么啊？那大家现在其实还不需要去学习，我们简单提一句啊， docker 它实际上是利用到了 linux 操作系统里面的几个核心的技术，一个叫做 name space， 一个叫做 seed group， 还有一个是镜像管理文件操作系统，也就是大家去想象一下啊，他们是怎么做到 各自运行，然后使用自己的资源，不影响别人呢？那么这个啊，就要使用到 name space， 那 么他是怎么做到我只给他分配多少的磁盘，给他分配多少的内存，分配多少的 cpu 呢？那么他用到的是 c group 的 技术，那然后他又是怎么做到 他有一个自己的独立的这个跟路径呢？好，那他用到就是镜像管理文件套系统啊，我操作我的文件系统，跟你的文件系统，或者跟你的那个文件的跟目录没有任何的关系，主要是用到了这些技术。 docker 他 还有一个特点，就是 他使用的是我们的物理机的操作系统的内核，他跟虚拟机的那个软件不一样的啊，虚拟机他有一个自己独立的操作系统，但是刀客他没有自己的独立的操作系统，他用的是物理机的操作系统的内核。那么 这个呢，也带来了两个特点，第一个就是他的资源利用率大大的下降了啊，如果现在要去跑一个 虚拟机软，跑一个虚拟机的软件啊，在这个里面去运行一个操作系统，少说他带来的内存的消耗至少是几百个 g， 几百个几百兆起步的啊。但是呢， 我们用刀客的技术去运行一个环境，他有可能只需要用几兆的几十兆的一个资源，他因为他不需要运行操作系统嘛，操作系统本身会带来一个开销，是吧？当然他他也会有另外一个特点，就是既然你 也同时使用了主机的内核的话，他有可能会带来一些安全性的问题，那么有可能会造成这个刀口的逃逸，也就是获得了物理机的内核的权限啊。这个呢，在其他的课程里面我们会讲啊，这里大家只需要简单的了解一下就行了。现在我们再来做一个对比， 虚拟机技术，虚拟化的技术和 docker 容器的技术，他们之间的一个区别到底是什么呢？其实最最最大的一个区别就是虚拟机它是 操作系统级别的，它会独立出来一个自己的操作系统。而容器技术呢，比如 docker， 它是进程级别的，它仅仅是只有一个自己的进程啊，它使用的还是物理级的操作系统，它没有自己的操作系统。 现在我们再来通过一张表格详细的来对比一下。虚拟机一般启动呢，是分钟级别的，有可能要一两分钟，因为他要启动一个操作系统，而容器除去他去下载那些镜像所花的时间，就也就是你是下载好了之后的， 你去运行一个容器呢，基本上几秒钟，十几秒钟就能够搞定了。虚拟机你如果要去，比如同样的是安装一个欧版图的操作系统， 你去创建和运行一个虚拟机，它非常的慢，但是容器呢，非常的快，从前面的这个价格头里面看得到啊，只要你的这个镜像仓库里面有一个雾斑头的操作箱，那我把它拉取过来铺过来，然后呢让一下是非常的快的。 从硬盘使用的这个角度来讲，虚拟机他一般至少要占用你几个 g 的 内存，有些比较大的啊，四十个 g， 八十个 g 的 这种虚拟机的操作系统都有，但是容器呢，他占用的这个存储空间一般是照 小的几兆几十兆，大的也不过就几百兆啊，他不会是几个 g 几个 g 的 使用性能角度来讲，虚拟机他是弱于原声系统的，为什么呢？因为他自己的那个操作系统就有损耗，而容器 他是直接使用我们的物理机的操作系统的内核的，所以他基本上是没有损耗的。你的性能就同样是运行一个应用啊，你在虚拟虚拟机里面去运行，他会稍微的性能有折扣，但是在容器里面就跟你在原生的系统不熟，是没有基本上没有区别的。 资源利用率的角度来来说呢啊，在我们的物理机里面，你如果要去安安装或者同时运行虚拟机，一般撑死了也不过就几十个啊。像我这里，虽然看起来我的虚拟机非常的多，但是呢，我同时运行，我我还没有尝试过运行那么七八个以上哦， 因为你的物理机的资源也就那么多啊，每一个虚拟机它消耗的这个资源太多了，但是对于容器来说啊，轻轻松松去运行 几千个容器是没有问题的。从隔离性的角度来说，我们刚才已经已经说了啊，虚拟机有一个自己的操作系统，它是系统级别的隔离， 安全性非常好。而容器呢，它只是进程之间的隔离，大家还是使用了同一个操作系统的内核，所以它的隔离性是弱的，会存在一些安全性的问题。好， ok， 我们也思考一个问题，我明明已经有了虚拟机了，它可以做到提升资源利用率和隔离环境，为什么我们还需要这个叫做容器技术的东西呢？主要其实根本上面他们他们的解决的问题是不一样的，他们的侧重点是不一样的。虚拟机它的诞生呢是为了 解决资源硬件资源利用率的问题的，它是用来隔离资源的。而容器呢，它其实最主要的还是解决那个环境依赖的问题。比如我要跑一个非常复杂的一个外部的项目，就跟我们看到的这一图一样，他如果要有十几个依赖的组建， 那就不好弄了。但是用刀砍呢？只要你配置好了，只要一个命令，就可以把这样的一个复杂的有非常多依赖的环境给运行起来。

怎么在嵌入式 linux 上用刀刻快速构建和部署自己的应用？没错，刀刻不止在服务器上能用，在嵌入式环境中也能帮你大大简化开发流程。 首先，在安装刀刻之前，我们需要检查一下嵌入式 linux 内核是否支持，你可以用一个现成的检查脚本运行之后，重点关注几个关键内核配置，比如网络过滤、 nat 文件器这些选项需要开启 检查，通过后就可以安装 doc 了。推荐使用官方提供的便捷安装脚本。或者为了更快的下载速度，我们可以配置使用国内的镜像源，比如清华源，只需替换一下软件地址就行。 安装命令很简单，依次执行更新软件列表、安装证书工具、添加刀可 gpg 密钥和软电源。最后安装刀可 c e 等一系列包。安装好之后，还有关键一步，配置国内镜像加速器， 因为直接拉取 doc hub 的 镜像可能会比较慢，我们可以修改这个文件，添加几个国内的镜像加速地址。配置完重启一下 doc 服务之后，你拉取镜像的速度就会有明显的提升，赶紧动手试试吧！

一天一个计算机知识，今天要讲的是 docker 以及它的架构。你是一家互联网公司的运维人员，维护公司的多个应用服务。随着业务的快速发展，公司新开发了很多应用，每个应用都有不同的运行环境要求， 比如有的应用需要特定版本的 python， 有 的需要特定版本的数据库。你要把这些应用部署到服务器上，问题就来了。在传统的部署方式下，你得在服务器上手动安装和配置每个应用所需的环境，这不仅耗时费力，而且很容易出错。 一旦某个环境配置出了问题，应用就可能无法正常运行，还可能影响到其他应用。而且当你需要把应用迁移到其他服务器或者不同的云平台时，又得重新进行一遍繁琐的环境配置工作，效率极低。 那么有没有一种办法能让应用的部署和运行变得更简单、更高效，并且能保证应用在不同环境下都能稳定运行呢？这时候 docker 就 闪亮登场了。本地环境隔离我们先从简单的情况说起。 想一下，你有一个房间，你要在这个房间里同时进行绘画、做手工和做实验。不同的活动需要不同的工具和材料，而且它们之间不能相互干扰。 如果把这个房间比作服务器，不同的活动比作不同的应用，那么你就需要一种方式来把这个房间隔成不同的区域，每个区域专门用于一种活动。在计算机里，我们也可以对应用的运行环境进行类似的隔离， 就像我们可以在服务器上创建多个虚拟的小空间，每个空间里安装特定应用所需的环境，这样不同的应用就可以在各自的小空间里独立运行，互不干扰。这种在服务器下为应用创建独立运行环境的方式就是所谓的本地环境隔离。但是这种本地环境隔离也有一些问题， 如果每个应用的环境都完全独立，会占用大量的服务器资源，而且管理起来也很麻烦。容器化部署 为了更高效地利用服务器资源和管理应用环境，我们可以把每个应用及其所需的环境打包成一个独立的包裹，这个包裹就是 docker 的 容器。 就好比你把绘画活动所需的工具和材料都装在一个大箱子里，这个箱子就是一个容器，你可以很方便地把这个箱子搬到其他房间。 在新的房间里，这个箱子里的绘画工具和材料依然可以正常使用，不需要重新准备。同样的， docker 容器可以在不同的服务器或者云平台上快速部署和运行，因为它已经包含了应用运行所需的一切。但是多个容器在同一个服务器上运行时，也会存在一些问题， 比如不同容器可能会竞争服务器的资源，像 c、 p、 u、 内存等。这就好比多个箱子放在一个房间里，可能会互相挤压空间。为了解决这个问题， docker 引入了资源限制机制， 就像你可以规定每个箱子只能占用房间的一定空间一样， docker 可以 限制每个容器使用服务器资源的上限，保证每个容器都能稳定运行。镜像和仓库刚刚我们提到了把应用及其环境打包成容器，那么这个打包的模板是什么呢？这就是 docker 镜像。镜像就像是容器的蓝图， 它包含了应用运行所需的所有文件和配置信息，你可以根据这个蓝图创建出多个相同的容器。想象一下，你有一张绘画活动的设计图，根据这张设计图，你可以制作出多个相同的绘画工具箱子。为了方便管理和分享这些镜像， dawk 还提供了镜像仓库。 镜像仓库就像是一个大的仓库，里面存放着各种各样的镜像。你可以把自己制作的镜像上传到仓库里，也可以从仓库里下载别人制作好的镜像。 就像你可以把自己的绘画设计图存放在一个公共的图纸库里，也可以从这个图纸库里找到别人设计的图纸。 docker 的 架构现在我们来看看 docker 的 整体架构。 docker 主要由 docker 客户端、 docker 守护进程、 docker 镜像、 docker 容器和 docker 仓库组成。 docker 客户端就像是你的遥控器，你可以通过它向 docker 守护进程发送各种命令，比如创建容器、启动容器等。 dock 守护进程就像是一个大管家，它负责接收客户端的命令，管理镜像、容器等资源。 dock 镜像和容器我们前面已经讲过了，而 dock 仓库则提供了镜像的存储和分发功能。 dock 是 什么？简单来说， dock 是 一个用于开发、部署和运行应用的开源平台， 它通过容器化技术，让应用的部署和运行变得更加简单高效。 dock 可以 把应用及其所需的环境打包成一个独立的容器， 这个容器可以在不同的环境中快速部署和运行，而且不会受到环境差异的影响。 docker 的 应用场景非常广泛，比如在开发过程中，开发人员可以使用 docker 快 速搭建开发环境， 保证开发环境和生产环境的一致性。在部署过程中，运维人员可以使用 docker 快 速部署应用，提高部署效率。在测试过程中，测试人员可以使用 docker 创建多个独立的测试环境，保证测试的准确性。现在大家明白了吗？最后遗留一个问题， docker 目前的容器都是在单个服务器上运行的， 如果要实现大规模的应用部署，需要多个服务器上运行的。下期我们聊聊这个话题，我们下期见。

各位朋友大家好，今天我再跟大家分享一个比较实用的技能，我们不需要增加任何设备，就在我们的操作系统上就可以完成， 这是我们的 windows 防火墙操作。那么在操作之前，我们先抛出一个需求， 假如说我们在企业里面有这样一个需求，我们安装了一些浏览器，他经常会带一些广告，就我们的呃，我这里不指定是哪些浏览器啊，我是举个例子让大家去看明白， 然后大家看到这个视频以后，也是能够举一反三，自己去应用。比如说我们今天的需求是通过火锅浏览器，我们不允许他去访问某个页面，但是我们的谷歌浏览器，我们就又允许他 去访问这样的操作，这样的一个要求我们实现起来其实是比较困难的，那么今天我们就教大家一种方法如何去实现。而且在我们企业里面，比如说我们的邮箱服务器， 我们可以通过一些客户端，通过 foursmile otlok 都可以去访问他，我们也可以通过网页去访问他。那么如果你有一种需求，禁止网页访问，只允许 otlok 去访问，那么你也可以用这种方法去操作。 我这只是给大家举例一下，列出这个需求。再比如说我们企业里面，为了达到一些安全性，我们可以在 toulete 设备的时候， 他是铭文传输的，我们不允许他开外的去访问，但是如果他通过 ssh 访问，那我们又是允许他的。那么接下来这一期的操作该如何去操作呢？我接下来给大家演示一下。 比如说我现在在给三 w 点百度，我用虎狐浏览器去访问百度测试一下，看看能不能通讯， 可以通讯的， ok， 我们刷新一下，那么这个时候我们百度是可以正常访问的，对不对？那么我想实现 火锅浏览器不能访问，然后谷歌浏览器可以访问，那么这个需求我们该如何实现？接下来我给大家演示一遍。我们首先打开这个 cmd 窗口，通过右击管理员方式运行， 窗口放大一点，因为它面积比较长，我从这里粘贴一下给大家看一下。 好，我给大家来解释一下这个命令的一些格式，这是一条命令啊，它是比较长的， 首先这个耐特 sh， 他是命令的启用防护墙去配置，我们的防护墙的一个命令就是 advertise adv， 然后 free world， 这是我们的高级防护墙高级配置。然后这是防护墙 a、 d， d， 我们首先一个添加，我们添加一个 read 推这个防火墙规则，它的名字内幕我们可以随便取，我这是 delay。 然后一个四十三端口 用，我们访问百度的时候是一个数字三吗？而且只是个名字而已。然后他协议浦头口，我们使用 tcp 协议，那么协议的话应该大家有一些基础的话，就能知道是 tcpudp 协议吗？ 然后我们通过的一个 direct 是连接的方式，它是一个出方向的防雾墙，分为入站方向和出站方向，我们这是一个出方向的一个策略。然后 remote ip， 就是我们的远程 ip， 是幺二零点二三二幺四五点幺四四，我们可以看一下啊。 ok， 我们通过 ns look up 去解析这个百度服务器的 ip 地址，它就会写到幺二零八三二幺四五点幺四四，那么这里就有一个幺四五点幺四四，然后 remote 端口输入上 端口，这个地方就是我们的 htps， 因为百度访问的话，它是自动做了证书加密的，是有四十三端口，然后它的一个 x 动作是 block 给它阻断。 如果在后面这一节不写的话，那么我所有的协议应用，那么只要你去访问这个地址的数字上档口都会被拒绝。但是我这里指定了一个程序，就是应用程序，我指定的是我的火锅浏览器，就是福瑞福克斯这个路径，我可以给大家看一下他的一个路径，我从这里复制 这个路径，那么他就会实现火锅亮起，不能防卫，我们可以回车。 呃，这个地方他报了一个错，我们看一下是指定的植物无效。植物无效？是哪个植物无效？我看一下啊， remote ip， remote put 啊，这里多了一个引号，应该是我看一下， 好，我们回车之后再确定。 ok， 那么这个时候你去刷新的话，我们来刷新我们浏览器看一下， 他一样可以访问，原因是什么原因？我们是百度做了一个集群，这服务器集群他有几台服务器，我们提供服务，还有个幺八五的服务器， 所以我们把这个 ip 也加上去，我这里之前没有一次性加，我是为为了让大家看到这个效果，你可以在这个地方加一个逗号，然后把它 ip 也加进去， 那么这个时候我们再来刷新看一下，他就告诉你连接失败了，这百度已经访问不了了，访问不了，只是你用火锅浏览器访问不了，我们用谷歌浏览器来访问，试一下， ok， 谷歌访谷歌浏览器访问依然是没有问题，对不对？只是我们的火狐浏览器不能访问， 我们打开百度，他直接会连接失败了，那么你还可以这种方式，我们可以把那个随便找个地址往上 w 点剪新的地址， 好，一二三，等他把 ip 解析出来，我看 ip 是幺八三的。 ok， 我们把 ip 复制一 一下，我们从火锅里面去去访问一下，三 w 点，好，一二三， 他只是百度的，百度服务器不能访问，那好，一二三，这个网站还是一样可以访问的，那么我们在这个地方再把那个 ip 加一下， 打个勾后，我们可以写多个 ip 让回车，这个时候我们再来刷新看一下， 还是可以把我们看一下是，是不是有多个 ip 地址。二三幺九二零幺。 呼呼，有点气， 他可能不是用的四十三端口，我们改成八零端口看一下， 他没有加密的，刷新看一下， ok， 连接失败了，用好 一二三，他没有使用那个加密服务器，四十三端口安全访问，他是一个 htp 的协议八零端口，那么这个时候我们设置好之后，他就无法访问了，但是我们谷歌浏览器不管你是四十三还是八零，对他没有影响， ok， 是正常的。那么我直接举这个例子的话，只是希望大家能够通过这种方式去举一反三，在企业里面时间用的时候，对于这种比较特别的需求，那我们也有一个很好的解决方案。 呃，通过这次分享的话，希望大家能够有所收获，如果你看我的视频有所收获，或者是有所疑问，我们在评论区去交流一下， 最后如果视频对你有所帮助，希望你能够点赞收藏一下，感谢你的观看。那么我们现在最后给大家恢复一下这个场景如何去，呃， 给他把这个策略给删掉，如果你想恢复了，那么你只要把前面这一段就是复制一下 nat sh， 然后 alt y 把它忘死 freewill， 然后后面是加一个 el ete， 我们是三组的命令，然后规则入了 name， 等于我们这个 delay 粘下来回车，他就把这五项规则全部删掉了，删掉之后我们可以看一下，马上可以看到效果，他是一个立竿见影的啊，刷新 可以访问的好，一二三可以访问，然后我们看我的百度刷屏可以访问的啊，谢谢大家观看，谢谢。

还在死磕 docker 容器镜像优化？醒醒吧，你费尽心机把镜像从一至压到一百兆，在 web 三 boy 面前依然像个笨重的铁疙瘩。很多人觉得 wosam 只是跑在浏览器里的玩具，但这正是最大的偏见。 当你在为 fast 函数计算那几百毫秒的冷启动头突时， watson 已经实现了微秒级的启动。今天我就要告诉你，为什么 watson 才是让 docker 看起来像上个世纪产物的云原声终结者， 为什么它这么快？核心逻辑在于， docker 是 操作系统级虚拟化，而 watson 是 指令级虚拟化。 最硬核的底层逻辑是它的限性内存模型。 watson 模块不直接访问系统内存，而是被分配一块连续的数组缓冲区。这意味着它不需要像 jvm 那 样进行复杂的垃圾回收管理，也不需要 docker 那 样的 name space 和 crooks 切换。 启动一个 watson， 实力本质上只是加载一段二禁制代码并映射一块内存，这比你打开一个网页还要快。这种纳米级并发，让传统的 k 八 s 调度看起来像是在开拖拉机。 看这段 rust 代码翻译成 watson 后只有几 kb。 在 传统的云源生链路里，你需要写 docker file， 构建镜像推送到仓库， k 八 s 拉取镜像，创建容器，启动 os 进程。 而在 watson 架构下，这一切被简化为编写代码，编一成指令级，直接在 watson 运行时秒开。这不只是性能的提升，这是架构的彻底解偶。 如果你还在开发高并发、低延迟的边缘计算或 serverless 应用， wasn't 不是 选项，而是必选。