沙箱技术和容器技术（沙箱的用途）

本篇文章给大家谈谈沙箱技术和容器技术，以及沙箱的用途对应的知识点，希望对各位有所帮助，不要忘了收藏本站喔。 今天给各位分享沙箱技术和容器技术的知识，其中也会对沙箱的用途进行解释，如果能碰巧解决你现在面临的问题，别忘了关注本站，现在开始吧！

本文目录一览：

• 1、什么是沙箱技术
• 2、docker 入门（二）：docker 和 沙盒、虚拟机以及 Kubernetes 的关系
• 3、虚拟化有哪些应用？
• 4、沙箱技术到底是什么？谁能用最直白的话写出来
• 5、云原生应用是什么？它的特点有哪些？

什么是沙箱技术

沙箱技术：在计算机领域指一种虚拟技术，且多用于计算机安全技术。安全软件可以先让它在沙盒中运行，如果含有恶意行为，则禁止程序的进一步运行，而这不会对系统造成任何危害。

1、它创造了一个类似沙盒的独立作业环境，在其内部运行的程序并不能对硬盘产生永久性的影响。其为一个独立的虚拟环境，可以用来测试不受信任的应用程序或上网行为。

2、沙箱是一种按照安全策略限制程序行为的执行环境。早期主要用于测试可疑软件等，比如黑客们为了试用某种病毒或者不安全产品，往往可以将它们在沙箱环境中运行。

3、经典的沙箱系统的实现途径一般是通过拦截系统调用，监视程序行为，然后依据用户定义的策略来控制和限制程序对计算机资源的使用，比如改写注册表，读写磁盘等。

扩展资料：

1、沙箱（SandBox） 无论何时加载远程网站上代码并在本地执行，安全都是至关重要的问题。点击一个链接可以启动Java Web Start 应用程序。访问一个网页时，其中的所有Applet也会自动地启动。

2、如果再点击一个链接，或者访问一个网页时，在用户的机器上能够安装任意的代码，那么犯罪分子就可能在此时窃听机密信息、读取财务数据或者接管用户机器来发送广告。

3、在所有的平台上，远程代码可以做什么呢？它可以显示图像、播放音乐、获得用户的键盘输入和鼠标点击，以及将用户的输入送回加载代码所在的主机。

4、这些功能足以能够显示信息和图片，或者获得用户为订单所输入的信息。这种受限制的执行环境称为沙箱（sandbox）。在沙箱中运行的代码不能够修改或查看用户系统。

参考资料：百度百科-沙箱（网络编程虚拟执行环境）

参考资料：百度百科-沙盒原理

docker 入门（二）：docker 和 沙盒、虚拟机以及 Kubernetes 的关系

做开发的基本都听说过沙盒 (Sandbox) 和虚拟机 (Virtual Machine，简称 VM) ，如今容器技术很火，其中以 docker 最受大家欢迎。作为一种集群管理工具，K8s 最近也是火的不要不要的。 我们经常会讲 docker 和 K8s 联系起来，那么两者之间又存在什么关联呢？

首先 Sandbox 和 VM 都是属于 虚拟技术 ，用来虚拟软件运行环境并具有资源隔离的功能。Sandbox 比较“轻”（只需要虚拟出一个小的环境）且一旦退出就释放之前占用的资源；VM 则比较重（虚拟出整个操作系统，相当于子电脑）。关于 Sandbox 和 VM 的区别可以参考博客： https://www.jianshu.com/p/6acdfd60b014 。
容器是属于 Sandbox 的一种。 顾名思义，沙盒就是能够像一个集装箱一样，把你的应用“装”起来的技术。这样，应用与应用之间，就因为有了边界而不至于相互干扰；而被装进集装箱的应用，也可以被方便地搬来搬去。 容器技术的核心功能 ，就是通过 约束和修改进程的动态表现 ，从而为其 创造出一个“边界” 。正是因为这个边界才会让容器里面的程序看不到宿主机上其他的程序从而给程序一种它就是在一个独立的操作系统上的假象。容器具有如下几个优点：

Docker 是一种 轻量级的虚拟化 技术，即容器技术。随着 Docker 的开源，docker 凭借其“轻”的特点得到迅速的普及。

这三个优点恰是 VM 的缺点。

Docker 原意是指处理码头集装箱的工人。 首先需要注意的是， Docker 本身不是容器 ，而是一个 开源的应用容器引擎 。Docker 让开发者可以以统一的方式 打包 他们的 应用以及依赖包 到一个 可移植的容器 中，然后 发布 到任何 安装了docker引擎的服务器上 （包括流行的Linux机器、windows机器），也可以实现虚拟化。从这个描述可以看出 Docker 的几种常用任务：

Docker 的两句口号很准确地描述了其功能：

1. Build, ship and run
顾名思义，创建、运输和运行。
举个例子来理解：比如说我在 A 地建好了一个厂区，该厂区主要的是车间，其次还有一些配套的生活设施（比如食堂、超市、宿舍、水电等）。现在我要将厂迁到 B 地，按照常规思路就是把 A 地的车间拆了运到 B 地重新组装、并在 B 地建好配套的生活设施，工程量明显很大。假设现在有一种魔法能够在A地将车间及其配套的生活设施 复制一份并打包成一个镜像 image（文件） ，然后将该镜像迁移到 B 地，这样在B地马上就能够投入使用，省去了拆机、重装以及搭建配套生活设施的工作，非常方便快捷。
现在我们将 车间类比成一个application ，将 配套的生活设施类比成依赖 ，那么 docker 就是这种魔法 。

2. Build once, run anywhere
顾名思义，一次创建、随地运行。
我们知道 车间是用于工业生产的 ，即一个application。在这个世界，还存在很多其他的application，比如学校、医院、写字楼、商场、体育场等，它们各自负责不同的用途。假设这些 application 都是能够共享的，那么这个效率将会很高，比如国家A需要用到体育馆，可以从国家B复制一个过来；国家B需要用到学校，可以从国家A复制一个过来。Docker 使用的就是这种理念，Docker 中包含三个核心部分：

镜像仓库（Repository）可以是私有的（比如本地机器的 Docker repository），也可以是公有的（比如 Docker 官方提供的Docker Hub、第三方的 Hub）。 负责管理镜像仓库（Repository）的是 Docker Registry 服务 （就像是图书馆管理员）。Docker 官方提供的 Docker Hub 对于镜像来源有着严格的把控，有很多高质量的 application 镜像，也是开发人员用的最多的public registry 服务。

那么为什么需要 Kubernetes 呢？就在 Docker 容器技术被炒得热火朝天之时，大家发现，如果想要将 Docker 应用于具体的业务实现（当 容器和服务器的数量达到一定规模 的时候，就会碰到管理的
问题，即 如何有效管理大量的服务器和容器 ，保证 应用的稳定运行、方便升级和故障的快速解决 ），是存在困难的—— 编排、管理和调度等各个方面都不容易 。于是就迫切 需要一套容器编排工具 ，能够对 Docker 和容器进行 更高级、灵活的管理 。容器编排工具提供图形化界面或者命令行来管理容器和服务器集群，提供容器配置、任务发布、服务发现、负载均衡、系统监控和故障恢复、声明式系统配置以及有关容器部署和性能的规则和约束定义机制等。
就在这个时候， Google开发的 Kubernetes 从众多编排工具中脱颖而出 ，赢下了容器编排工具大战。Kubernetes 是一种 基于容器的集群管理平台 。Kubernetes 是希腊语，意为“舵手、领航员”，大家都习惯将 Kubernetes 简称为K8s（ubernete 包含8个字母）。K8s 最初由 Google 创建而后加入 openstack 基金会并发布了 K8s V1.0。

Docker 公司自己有一款名为 Docker Swarm的产品，它是一个容器集群和调度工具，功能类似于Kubernetes。相比 Kubernetes，Swarm在集群搭建和使用上要相对简单一些，学习和部署成本相对低一些。较新版本的Docker已经集成了Swarm。Swarm支持跨多个主机进行编排，管理较小规模的容器集群也绰绰有余，对于初学者也可以很快的部署和运行。

笔者水平有限，如有错误，敬请指正！

参考：
https://www-blogs.com/misswangxing/p/10669444.html
https://blog.csdn-/fly910905/article/details/98962455

虚拟化有哪些应用？

近年来，云原生 （Cloud Native）可谓是 IT 界最火的概念之一，众多互联网巨头都已经开始积极拥抱云原生。而说到云原生，我们就不得不了解本文的主角 —— 容器（container）。容器技术可谓是撑起了云原生生态的半壁江山。容器作为一种先进的虚拟化技术，已然成为了云原生时代软件开发和运维的标准基础设施，在了解它之前，我们不妨从虚拟化技术说起。

何谓虚拟化技术

1961 年 —— IBM709 机实现了分时系统

计算机历史上首个虚拟化技术实现于 1961 年，IBM709 计算机首次将 CPU 占用切分为多个极短 (1/100sec) 时间片，每一个时间片都用来执行着不同的任务。通过对这些时间片的轮询，这样就可以将一个 CPU 虚拟化或者伪装成为多个 CPU，并且让每一颗虚拟 CPU 看起来都是在同时运行的。这就是虚拟机的雏形。

容器的功能其实和虚拟机类似，无论容器还是虚拟机，其实都是在计算机不同的层面进行虚拟化，即使用逻辑来表示资源，从而摆脱物理限制的约束，提高物理资源的利用率。虚拟化技术是一个抽象又内涵丰富的概念，在不同的领域或层面有着不同的含义。

这里我们首先来粗略地讲讲计算机的层级结构。计算机系统对于大部分软件开发者来说可以分为以下层级结构：

应用程序层
函数库层
操作系统层
硬件层

各层级自底向上，每一层都向上提供了接口，同时每一层也只需要知道下一层的接口即可调用底层功能来实现上层操作（不需要知道底层的具体运作机制）。

但由于早期计算机厂商生产出来的硬件遵循各自的标准和规范，使得操作系统在不同计算机硬件之间的兼容性很差；同理，不同的软件在不同的操作系统下的兼容性也很差。于是，就有开发者人为地在层与层之间创造了抽象层：

应用层
函数库层
API抽象层
操作系统层
硬件抽象层
硬件层

就我们探讨的层面来说，所谓虚拟化就是在上下两层之间，人为地创造出一个新的抽象层，使得上层软件可以直接运行在新的虚拟环境上。简单来说，虚拟化就是通过模访下层原有的功能模块创造接口，来“欺骗”上层，从而达到跨平台开发的目的。

综合上述理念，我们就可以重新认识如今几大广为人知的虚拟化技术：

虚拟机：存在于硬件层和操作系统层间的虚拟化技术。

虚拟机通过“伪造”一个硬件抽象接口，将一个操作系统以及操作系统层以上的层嫁接到硬件上，实现和真实物理机几乎一样的功能。比如我们在一台 Windows 系统的电脑上使用 Android 虚拟机，就能够用这台电脑打开 Android 系统上的应用。

容器：存在于操作系统层和函数库层之间的虚拟化技术。

容器通过“伪造”操作系统的接口，将函数库层以上的功能置于操作系统上。以 Docker 为例，其就是一个基于 Linux 操作系统的 Namespace 和 Cgroup 功能实现的隔离容器，可以模拟操作系统的功能。简单来说，如果虚拟机是把整个操作系统封装隔离，从而实现跨平台应用的话，那么容器则是把一个个应用单独封装隔离，从而实现跨平台应用。所以容器体积比虚拟机小很多，理论上占用资源更少。

JVM：存在于函数库层和应用程序之间的虚拟化技术。

Java 虚拟机同样具有跨平台特性，所谓跨平台特性实际上也就是虚拟化的功劳。我们知道 Java 语言是调用操作系统函数库的，JVM 就是在应用层与函数库层之间建立一个抽象层，对下通过不同的版本适应不同的操作系统函数库，对上提供统一的运行环境交给程序和开发者，使开发者能够调用不同操作系统的函数库。

在大致理解了虚拟化技术之后，接下来我们就可以来了解容器的诞生历史。虽然容器概念是在 Docker 出现以后才开始在全球范围内火起来的，但在 Docker 之前，就已经有无数先驱在探索这一极具前瞻性的虚拟化技术。

容器的前身 “Jail”

1979 年 —— 贝尔实验室发明 chroot

容器主要的特性之一就是进程隔离。早在 1979 年，贝尔实验室在 Unix V7 的开发过程中，发现当一个系统软件编译和安装完成后，整个测试环境的变量就会发生改变，如果要进行下一次构建、安装和测试，就必须重新搭建和配置测试环境。要知道在那个年代，一块 64K 的内存条就要卖 419 美元，“快速销毁和重建基础设施”的成本实在是太高了。

开发者们开始思考，能否在现有的操作系统环境下，隔离出一个用来重构和测试软件的独立环境沙箱技术和容器技术？于是，一个叫做 chroot（Change Root）的系统调用功能就此诞生。

chroot 可以重定向进程及其子进程的 root 目录到文件系统上的新位置，也就是说使用它可以分离每个进程的文件访问权限，使得该进程无法接触到外面的文件，因此这个被隔离出来的新环境也得到了一个非常形象的命名，叫做 Chroot Jail （监狱）。之后只要把需要的系统文件一并拷贝到 Chroot Jail 中，就能够实现软件重构和测试。这项进步开启了进程隔离的大门，为 Unix 提供了一种简单的系统隔离功能，尤其是 jail 的思路为容器技术的发展奠定了基础。但是此时 chroot 的隔离功能仅限于文件系统，进程和网络空间并没有得到相应的处理。

进入21世纪，此时的虚拟机（VM）技术已经相对成熟，人们可以通过虚拟机技术实现跨操作系统的开发。但由于 VM 需要对整个操作系统进行封装隔离，占用资源很大，在生产环境中显得太过于笨重。于是人们开始追求一种更加轻便的虚拟化技术，众多基于 chroot 扩展实现的进程隔离技术陆续诞生。

2000 年 —— FreeBSD 推出 FreeBSD Jail

在 chroot 诞生 21 年后，FreeBSD 4.0 版本推出了一套微型主机环境共享系统 FreeBSD Jail，将 chroot 已有的机制进行了扩展。在 FreeBSD Jail 中，程序除了有自己的文件系统以外，还有独立的进程和网络空间，Jail 中的进程既不能访问也不能看到 Jail 之外的文件、进程和网络资源。

2001 年 —— Linux VServer 诞生

2001年，Linux 内核新增 Linux VServer（虚拟服务器），为 Linux 系统提供虚拟化功能。Linux VServer 采取的也是一种 jail 机制，它能够划分计算机系统上的文件系统、网络地址和内存，并允许一次运行多个虚拟单元。

2004 年 —— SUN 发布 Solaris Containers

该技术同样由 chroot 进一步发展而来。2004 年 2 月，SUN 发布类 Unix 系统 Solaris 的 10 beta 版，新增操作系统虚拟化功能 Container，并在之后的 Solaris 10 正式版中完善。Solaris Containers 支持 x86 和 SPARC 系统，SUN 创造了一个 zone 功能与 Container 配合使用，前者是一个单一操作系统中完全隔离的虚拟服务器，由系统资源控制和 zones 提供的边界分离实现进程隔离。

2005 年 —— OpenVZ 诞生

类似于 Solaris Containers，它通过对 Linux 内核进行补丁来提供虚拟化、隔离、资源管理和状态检查 checkpointing。每个 OpenVZ 容器都有一套隔离的文件系统、用户及用户组、进程树、网络、设备和 IPC 对象。

这个时期的进程隔离技术大多以 Jail 模式为核心，基本实现了进程相关资源的隔离操作，但由于此时的生产开发仍未有相应的使用场景，这一技术始终被局限在了小众而有限的世界里。

就在此时，一种名为“云”的新技术正悄然萌发……

“云”的诞生

2003 年至 2006 年间，Google 公司陆续发布了 3 篇产品设计论文，从计算方式到存储方式，开创性地提出了分布式计算架构，奠定了大数据计算技术的基础。在此基础上，Google 颠覆性地提出“Google 101”计划，并正式创造“云”的概念。一时间，“云计算”、“云存储”等全新词汇轰动全球。随后，亚马逊、IBM 等行业巨头也陆续宣布各自的“云”计划，宣告“云”技术时代的来临。

也是从这时期开始，进程隔离技术进入了一个更高级的阶段。在 Google 提出的云计算框架下，被隔离的进程不仅仅是一个与外界隔绝但本身却巍然不动的 Jail，它们更需要像一个个轻便的容器，除了能够与外界隔离之外，还要能够被控制与调配，从而实现分布式应用场景下的跨平台、高可用、可扩展等特性。

2006 年 —— Google 推出 Process Containers，后更名为 Cgroups

Process Container 是 Google 工程师眼中“容器”技术的雏形，用来对一组进程进行限制、记账、隔离资源（CPU、内存、磁盘 I/O、网络等）。这与前面提到的进程隔离技术的目标其实是一致的。由于技术更加成熟，Process Container 在 2006 年正式推出后，第二年就进入了 Linux 内核主干，并正式更名为 Cgroups，标志着 Linux 阵营中“容器”的概念开始被重新审视和实现。

2008 年 —— Linux 容器工具 LXC 诞生

在 2008 年，通过将 Cgroups 的资源管理能力和 Linux Namespace（命名空间）的视图隔离能力组合在一起，一项完整的容器技术 LXC（Linux Container）出现在了 Linux 内核中，这就是如今被广泛应用的容器技术的实现基础。我们知道，一个进程可以调用它所在物理机上的所有资源，这样一来就会挤占其它进程的可用资源，为了限制这样的情况，Linux 内核开发者提供了一种特性，进程在一个 Cgroup 中运行的情况与在一个命名空间中类似，但是 Cgroup 可以限制该进程可用的资源。尽管 LXC 提供给用户的能力跟前面提到的各种 Jails 以及 OpenVZ 等早期 Linux 沙箱技术是非常相似的，但伴随着各种 Linux 发行版开始迅速占领商用服务器市场，包括 Google 在内的众多云计算先锋厂商得以充分活用这一早期容器技术，让 LXC 在云计算领域获得了远超前辈的发展空间 。

同年，Google 基于 LXC 推出首款应用托管平台 GAE （Google App Engine），首次把开发平台当做一种服务来提供。GAE 是一种分布式平台服务，Google 通过虚拟化技术为用户提供开发环境、服务器平台、硬件资源等服务，用户可以在平台基础上定制开发自己的应用程序并通过 Google 的服务器和互联网资源进行分发，大大降低了用户自身的硬件要求。

值得一提的是，Google 在 GAE 中使用了一个能够对 LXC 进行编排和调度的工具 —— Borg （Kubernetes 的前身）。Borg 是 Google 内部使用的大规模集群管理系统，可以承载十万级的任务、数千个不同的应用、同时管理数万台机器。Borg 通过权限管理、资源共享、性能隔离等来达到高资源利用率。它能够支持高可用应用，并通过调度策略减少出现故障的概率，提供了任务描述语言、实时任务监控、分析工具等。如果说一个个隔离的容器是集装箱，那么 Borg 可以说是最早的港口系统，而 LXC + Borg 就是最早的容器编排框架。此时，容器已经不再是一种单纯的进程隔离功能，而是一种灵活、轻便的程序封装模式。

2011 年 —— Cloud Foundry 推出 Warden

Cloud Foundry 是知名云服务供应商 VMware 在 2009 年推出的一个云平台，也是业内首个正式定义 PaaS （平台即服务）模式的项目，“PaaS 项目通过对应用的直接管理、编排和调度让开发者专注于业务逻辑而非基础设施”，以及“PaaS 项目通过容器技术来封装和启动应用”等理念都出自 Cloud Foundry。Warden 是 Cloud Foundry 核心部分的资源管理容器，它最开始是一个 LXC 的封装，后来重构成了直接对 Cgroups 以及 Linux Namespace 操作的架构。

随着“云”服务市场的不断开拓，各种 PaaS 项目陆续出现，容器技术也迎来了一个爆发式增长的时代，一大批围绕容器技术进行的创业项目陆续涌现。当然，后来的故事很多人都知道了，一家叫 Docker 的创业公司横空出世，让 Docker 几乎成为了“容器”的代名词。

Docker 横空出世

2013 年 —— Docker 诞生

Docker 最初是一个叫做 dotCloud 的 PaaS 服务公司的内部项目，后来该公司改名为 Docker。Docker 在初期与 Warden 类似，使用的也是 LXC ，之后才开始采用自己开发的 libcontainer 来替代 LXC 。与其沙箱技术和容器技术他只做容器的项目不同的是，Docker 引入了一整套管理容器的生态系统，这包括高效、分层的容器镜像模型、全局和本地的容器注册库、清晰的 REST API、命令行等等。

Docker 本身其实也是属于 LXC 的一种封装，提供简单易用的容器使用接口。它最大的特性就是引入了容器镜像。Docker 通过容器镜像，将应用程序与运行该程序需要的环境，打包放在一个文件里面。运行这个文件，就会生成一个虚拟容器。

更为重要的是，Docker 项目还采用了 Git 的思路 —— 在容器镜像的制作上引入了“层”的概念。基于不同的“层”，容器可以加入不同的信息，使其可以进行版本管理、复制、分享、修改，就像管理普通的代码一样。通过制作 Docker 镜像，开发者可以通过 DockerHub 这样的镜像托管仓库，把软件直接进行分发。

也就是说，Docker 的诞生不仅解决了软件开发层面的容器化问题，还一并解决了软件分发环节的问题，为“云”时代的软件生命周期流程提供了一套完整的解决方案。

很快，Docker 在业内名声大噪，被很多公司选为云计算基础设施建设的标准，容器化技术也成为业内最炙手可热的前沿技术，围绕容器的生态建设风风火火地开始了。

容器江湖之争

一项新技术的兴起同时也带来了一片新的市场，一场关于容器的蓝海之争也在所难免。

2013 年 —— CoreOS 发布

在 Docker 爆火后，同年年末，CoreOS 应运而生。CoreOS 是一个基于 Linux 内核的轻量级操作系统，专为云计算时代计算机集群的基础设施建设而设计，拥有自动化、易部署、安全可靠、规模化等特性。其在当时有一个非常显眼的标签：专为容器设计的操作系统。

借着 Docker 的东风，CoreOS 迅速在云计算领域蹿红，一时间，Docker + CoreOS 成为业内容器部署的黄金搭档。同时，CoreOS 也为 Docker 的推广与社区建设做出了巨大的贡献。

然而，日渐壮大的 Docker 似乎有着更大的“野心”。不甘于只做“一种简单的基础单元”的 Docker，自行开发了一系列相关的容器组件，同时收购了一些容器化技术的公司，开始打造属于自己的容器生态平台。显然，这对于 CoreOS 来说形成了直接的竞争关系。

2014 年 —— CoreOS 发布开源容器引擎 Rocket

2014 年末，CoreOS 推出了自己的容器引擎 Rocket （简称 rkt），试图与 Docker 分庭抗礼。rkt 和 Docker 类似，都能帮助开发者打包应用和依赖包到可移植容器中，简化搭环境等部署工作。rkt 和 Docker 不同的地方在于，rkt 没有 Docker 那些为企业用户提供的“友好功能”，比如云服务加速工具、集群系统等。反过来说，rkt 想做的，是一个更纯粹的业界标准。

2014 年 —— Google 推出开源的容器编排引擎 Kubernetes

为了适应混合云场景下大规模集群的容器部署、管理等问题，Google 在 2014 年 6 月推出了容器集群管理系统 Kubernetes （简称 K8S）。K8S 来源于我们前面提到的 Borg，拥有在混合云场景的生产环境下对容器进行管理、编排的功能。Kubernetes 在容器的基础上引入了 Pod 功能，这个功能可以让不同容器之间互相通信，实现容器的分组调配。

得益于 Google 在大规模集群基础设施建设的强大积累，脱胎于 Borg 的 K8S 很快成为了行业的标准应用，堪称容器编排的必备工具。而作为容器生态圈举足轻重的一员，Google 在 Docker 与 rkt 的容器之争中站在了 CoreOS 一边，并将 K8S 支持 rkt 作为一个重要里程碑。

2015 年 —— Docker 推出容器集群管理工具 Docker Swarm

作为回应，Docker 公司在 2015 年发布的 Docker 1.12 版本中也开始加入了一个容器集群管理工具 Docker swarm 。

随后，Google 于 2015 年 4 月领投 CoreOS 1200 万美元， 并与 CoreOS 合作发布了首个企业发行版的 Kubernetes —— Tectonic 。从此，容器江湖分为两大阵营，Google 派系和 Docker 派系。

两大派系的竞争愈演愈烈，逐渐延伸到行业标准的建立之争。

2015 年 6 月 —— Docker 带头成立 OCI

Docker 联合 Linux 基金会成立 OCI （Open Container Initiative）组织，旨在“制定并维护容器镜像格式和容器运行时的正式规范（“OCI Specifications”），围绕容器格式和运行时制定一个开放的工业化标准。

2015 年 7 月 —— Google 带头成立 CNCF

而战略目标聚焦于“云”的 Google 在同年 7 月也联合 Linux 基金会成立 CNCF （Cloud Native Computing Foundation）云原生计算基金会，并将 Kubernetes 作为首个编入 CNCF 管理体系的开源项目，旨在“构建云原生计算 —— 一种围绕着微服务、容器和应用动态调度的、以基础设施为中心的架构，并促进其广泛使用”。

这两大围绕容器相关开源项目建立的开源基金会为推动日后的云原生发展发挥了重要的作用，二者相辅相成，制定了一系列行业事实标准，成为当下最为活跃的开源组织。

Kubernetes 生态一统江湖

虽然这些年来 Docker 一直力压 rkt，成为当之无愧的容器一哥，但作为一个庞大的容器技术生态来说，Docker 生态还是在后来的容器编排之争中败给了 Google 的 Kubernetes 。

随着越来越多的开发者使用 Docker 来部署容器，编排平台的重要性日益突出。在 Docker 流行之后，一大批开源项目和专有平台陆续出现，以解决容器编排的问题。Mesos、Docker Swarm 和 Kubernetes 等均提供了不同的抽象来管理容器。这一时期，对于软件开发者来说，选择容器编排平台就像是一场豪赌，因为一旦选择的平台在以后的竞争中败下阵来，就意味着接下来开发的东西在未来将失去市场。就像当初 Android、iOS 和 WP 的手机系统之争一样，只有胜利者才能获得更大的市场前景，失败者甚至会销声匿迹。容器编排平台之争就此拉开帷幕。

2016 年 —— CRI-O 诞生

2016 年，Kubernetes 项目推出了 CRI （容器运行时接口），这个插件接口让 kubelet（一种用来创建 pod、启动容器的集群节点代理）能够使用不同的、符合 OCI 的容器运行时环境，而不需要重新编译 Kubernetes。基于 CRI ，一个名为 CRI-O 的开源项目诞生，旨在为 Kubernetes 提供一种轻量级运行时环境。

CRI-O 可以让开发者直接从 Kubernetes 来运行容器，这意味着 Kubernetes 可以不依赖于传统的容器引擎（比如 Docker ），也能够管理容器化工作负载。这样一来，在 Kubernetes 平台上，只要容器符合 OCI 标准（不一定得是 Docker），CRI-O 就可以运行它，让容器回归其最基本的功能 —— 能够封装并运行云原生程序即可。

同时，CRI-O 的出现让使用容器技术进行软件管理和运维的人们发现，相对于 Docker 本身的标准容器引擎， Kubernetes 技术栈（比如编排系统、 CRI 和 CRI-O ）更适合用来管理复杂的生产环境。可以说，CRI-O 将容器编排工具放在了容器技术栈的重要位置，从而降低了容器引擎的重要性。

在 K8S 顺利抢占先机的情况下，Docker 在推广自己的容器编排平台 Docker Swarm 时反而犯下了错误。2016 年底，业内曝出 Docker 为了更好地适配 Swarm，将有可能改变 Docker 标准的传言。这让许多开发者在平台的选择上更倾向于与市场兼容性更强的 Kubernetes 。

因此，在进入 2017 年之后，更多的厂商愿意把宝压在 K8S 上，投入到 K8S 相关生态的建设中来。容器编排之争以 Google 阵营的胜利告一段落。与此同时，以 K8S 为核心的 CNCF 也开始迅猛发展，成为当下最火的开源项目基金会。这两年包括阿里云、腾讯、百度等中国科技企业也陆续加入 CNCF ，全面拥抱容器技术与云原生。

结语

从数十年前在实验室里对进程隔离功能的探索，再到如今遍布生产环境的云原生基础设施建设，可以说容器技术凝聚了几代开发者的心血，才从一个小小的集装箱发展到一个大型的现代化港口。可以预见的是，从现在到未来很长一段时间里，容器技术都将是软件开发和运维的重要基础设施。

沙箱技术到底是什么？谁能用最直白的话写出来

现实中的沙箱，是一种儿童玩具，类如KFC中一个装满小球的容器，儿童可以在随意玩耍，起到保护儿童的作用。（也可以理解为一种安全环境）。同样在网络技术中也是一种按照安全策略限制程序行为的执行环境。
近年来，随着网络安全问题的日益突出，人们更多的将沙箱技术应用于网上冲浪方面。从技术实现角度而言，就是从原有的阻止疑程序对系统访问，转变成将可疑程序对磁盘、注册表等的访问重定向到指定
文件夹下，从而消除对系统的危害。
所谓的沙箱技术，其实就是Sandboxie，360仅仅是挂名，这项核心技术并不是360自主研发的。更加不是首创，因为Sandboxie自带一个快捷方式，就是在沙盘中运行IE。 Sandboxie是一款专业的虚拟类软件，它的工作软件：通过重定向技术，把程序生成和修改的文件，定向到自身文件夹中。当然，这些数据的变更，包括注册表和一些系统的核心数据。通过加载自身的驱动来保护底层数据，属于驱动级别的保护。我个人是用Sandboxie来测试病毒的，在里面运行病毒可以说也是安全操作。 在360浏览器的文件夹中（桌面快捷方式的目标的上一级路径，除了浏览器程序之外还有一个文件夹），你可以找到Sandboxie的安全程序，以及调出它的程序控制台SbieCtrl.exe。版本是英文的，但官方有中文版。 360浏览器为什么安全？不是因为它是360的产品，也不是因为它的浏览器程序是The World，也不是什么扫描检查。是因为Sandboxie这个软件
如金山的沙箱 PC保鲜盒的沙箱

云原生应用是什么？它的特点有哪些？

云并非把原先在物理服务器上跑的东西放到虚拟机里跑，真正的云化不仅是基础设施和平台的事情，应用也要做出改变，改变传统的做法，实现云化的应用——应用的架构、应用的开发方式、应用部署和维护技术都要做出改变，真正的发挥云的弹性、动态调度、自动伸缩??一些传统IT所不具备的能力。这里说的“云化的应用”也就是“云原生应用”。云原生架构和云原生应用所涉及的技术很多，如容器技术、微服务等，
而云原生应用最大的特点就是可以迅速部署新业务。在企业里，提供新的应用程序环境及部署软件新版本通常所需时间以日、周甚至以月计算。这种速度严重限制了软件发布所能承受的风险，因为犯错及改错也需要花费同样的时间成本，竞争优势就会由此产生。
所以云原生不是一个产品，而是一套技术体系和一套方法论，而数字化转型是思想先行，从内到外的整体变革。云原生包括DevOps、持续交付、微服务、敏捷基础设施、康威定律等，以及根据商业能力对公司进行重组的能力，既包含技术、也包含管理，可以说是一系列云技术和企业管理方法的集合，通过实践及与其他工具相结合更好地帮助用户实现数字化转型。
CNCF(云原生计算基金会)认为云原生系统需包含的属性：
1、容器化封装：以容器为基础，提高整体开发水平，形成代码和组件重用，简化云原生应用程序的维护。在容器中运行应用程序和进程，并作为应用程序部署的独立单元，实现高水平资源隔离。
2、自动化管理：统一调度和管理中心，从根本上提高系统和资源利用率，同时降低运维成本。
3、面向微服务：通过松耦合方式，提升应用程序的整体敏捷性和可维护性。 关于沙箱技术和容器技术和沙箱的用途的介绍到此就结束了，不知道你从中找到你需要的信息了吗 ？如果你还想了解更多这方面的信息，记得收藏关注本站。 沙箱技术和容器技术的介绍就聊到这里吧，感谢你花时间阅读本站内容，更多关于沙箱的用途、沙箱技术和容器技术的信息别忘了在本站进行查找喔。

版权声明：本文内容由网络用户投稿，版权归原作者所有，本站不拥有其著作权，亦不承担相应法律责任。如果您发现本站中有涉嫌抄袭或描述失实的内容，请联系我们jiasou666@gmail.com 处理，核实后本网站将在24小时内删除侵权内容。