ebtables

hairpin中文翻译为发卡。bridge不允许包从收到包的端口发出，比如bridge从一个端口收到一个广播报文后，会将其广播到所有其他端口。bridge的某个端口打开hairpin mode后允许从这个端口收到的包仍然从这个端口发出。这个特性用于NAT场景下，比如docker的nat网络，一个容器访问其自身映射到主机的端口时，包到达bridge设备后走到ip协议栈，经过iptables规则的dnat转换后发现又需要从bridge的收包端口发出，需要开启端口的hairpin mode。See https://wiki.mikrotik.com/wiki/Hairpin_NAT 我们在使用Kubernetes的时候遇到了一个大流量的问题，集群计算节点偶然流量突增，机器ping不通。 网络运营的同事反馈说从交换机上发现这些服务器组播包很多 对其进行了抓包分析和系统各模块梳理排查，但是只能截取到VRRP组播报文。 分析不出来，限流组播报文！ ebtables -A INPUT --pkttype-type multicast --limit 1000/s -j ACCEPT, ebtables -A INPUT --pkttype-type multicast -j DROP 发现Ebtables drop规则计数偶现增长 => 写脚本抓取计数增长时刻的报文并告警 => 禁止IPv6

一、firewalld服务 firewalld是CentOS 7.0新推出的管理netfilter的工具 firewalld是配置和监控防火墙规则的系统守护进程。可以实现iptables,ip6tables,ebtables的功能 firewalld服务由firewalld包提供 firewalld支持划分区域zone,每个zone可以设置独立的防火墙规则 归入zone顺序： 先根据数据包中源地址，将其纳为某个zone 纳为网络接口所属zone 纳入默认zone，默认为public zone,管理员可以改为其它zone 网卡默认属于public zone,lo网络接口属于trusted zone 二、firewall-cmd命令行工具 # yum -y install firewalld # systemctl start firewalld --get-services 查看预定义服务列表 --get-zones 列出所有可用区域 --get-default-zone 查询默认区域 --set-default-zone=public 设置默认区域 --get-active-zones 列出当前正使用的区域 --add-source=192.168.0.6 --zone=public 添加源地址的流量到指定区域，如果无--zone= 选项，使用默认区域 --remove

环境ubuntu-server 20.04 参考 https://kubernetes.io/zh/docs/setup/production-environment/tools/kubeadm/install-kubeadm/ https://kubernetes.io/docs/setup/production-environment/tools/kubeadm/create-cluster-kubeadm/ 同步集群时间 # 设定时区, 选择Asia -> 再选择Shanghai -> OK： sudo dpkg-reconfigure tzdata # 安装ntpdate工具 sudo apt-get install ntpdate # 将系统时间与网络同步 sudo ntpdate cn.pool.ntp.org #将时间写入硬件 sudo hwclock --systohc 编辑ubuntu apt使用阿里云镜像 sudo vi /etc/apt/sources.list deb http://mirrors.aliyun.com/ubuntu/ focal main restricted universe multiverse deb-src http://mirrors.aliyun.com/ubuntu/ focal main restricted

1、用户 Linux是个多用户、多任务的操作系统 多个用户：多个用户同时登入 多任务：每个用户可以执行多个任务 用户： 管理Linux系统而存在的 用户一般分为用户名和用户ID（UID） 用户名方便管理员使用，用户ID是唯一区别一个用户(计算机只识别ID) 文件和进程对应用户关系 linux里所有的用户和进程都要有用户对应。 文件存在必须对应用户 进程运行必须对应用户 Linux用户分类 超级管理员：root UID为0 如果用户对应的用户ID（UID）都有root的对应权限 [root@oldboyedu ~]# id root #查看用户ID d=0(root) gid=0(root) groups=0(root) [root@oldboyedu ~]# id uid=0(root) gid=0(root) groups=0(root) context=unconfined_u:unconfined_r:unconfined_t:s0-s0:c0.c1023 [root@oldboyedu ~]# su - oldboy #切换用户 [oldboy@oldboyedu ~]$ logout [root@oldboyedu ~]# vim /etc/passwd #修改用户ID root:x:0:0:root:/root:/bin/bash bin:x:1:1:bin:/bin:

著名的木桶效应告诉我们：“一只水桶能盛多少水取决于最短的那块木板”。在企业纷纷走上数字化转型的过程中，底层支撑的IT基础设施服务能否跟得上企业发展的节奏是关键。过去几年，计算能力通过GPU、FPGA等硬件发生了巨大的突破，存储性能也随着SSD固态硬盘的普及大幅提升，作为IT基础架构重要组成部分的网络如何利用SDN、IPv6等技术进行改革，才能避免成为阻碍企业数字化转型的“短板”？ 除此之外，下一代网络该如何应对25G甚至是100G网卡带来的性能挑战？UCloud虚拟网络是如何演进并解决这些问题的？12月21日UCloud用户大会上海站“产品和技术专场”将会为你带来下一代网络这一主题的分享。届时UCloud技术副总裁杨镭将带着对这些问题的深入思考，引领大家走进下一代网络的技术风口。 云计算给虚拟网络带来新挑战 我们知道传统的数据中心网络由物理交换机和路由器组成，但到了云时代，随着SDN和NFV等技术的参与，数据中心的网络边界正在不断扩大，从云服务器内部的虚拟网络再到数据中心互联的虚拟网络。其实网络虚拟化并不是一个云计算时代才新兴的概念，简单来说就是在一个物理网络上模拟出多个逻辑网络来，常见的形式有VLAN、VPC、VPN等。那么，在公有云环境下，虚拟网络迎来了哪些新的挑战？ 首先，网络虚拟化需要具备多租户隔离的能力。最早的VLAN协议中的 VID只有12个bit