网络端口

作者 | 叶磊（稻农）阿里巴巴高级技术专家 本文整理自《CNCF x Alibaba 云原生技术公开课》第 25 讲， 点击直达课程页面 。 关注“阿里巴巴云原生”公众号，回复关键词 “入门” ，即可下载从零入门 K8s 系列文章 PPT。 导读 ：本文将基于之前介绍的 基本网络模型 ，进行更深入的一些了解，希望给予读者一个更广更深的认知。首先简单回顾一下容器网络的历史沿革，剖析一下 Kubernetes 网络模型的由来；其次会剖析一个实际的实现（Flannel Hostgw），展现了数据包从容器到宿主机的变换过程；最后对于和网络息息相关的 Servcie 做了比较深入的机制和使用介绍，通过一个简单的例子说明了 Service 的工作原理。 Kubernetes 网络模型来龙去脉 容器网络发端于 Docker 的网络。Docker 使用了一个比较简单的网络模型，即内部的网桥加内部的保留 IP。这种设计的好处在于容器的网络和外部世界是解耦的，无需占用宿主机的 IP 或者宿主机的资源，完全是虚拟的。它的设计初衷是：当需要访问外部世界时，会采用 SNAT 这种方法来借用 Node 的 IP 去访问外面的服务。比如容器需要对外提供服务的时候，所用的是 DNAT 技术，也就是在 Node 上开一个端口，然后通过 iptable 或者别的某些机制，把流导入到容器的进程上以达到目的。

作者 | 叶磊（稻农）阿里巴巴高级技术专家 本文整理自《CNCF x Alibaba 云原生技术公开课》第 25 讲， 点击直达课程页面 。 关注“阿里巴巴云原生”公众号，回复关键词 “入门” ，即可下载从零入门 K8s 系列文章 PPT。 导读 ：本文将基于之前介绍的 基本网络模型 ，进行更深入的一些了解，希望给予读者一个更广更深的认知。首先简单回顾一下容器网络的历史沿革，剖析一下 Kubernetes 网络模型的由来；其次会剖析一个实际的实现（Flannel Hostgw），展现了数据包从容器到宿主机的变换过程；最后对于和网络息息相关的 Servcie 做了比较深入的机制和使用介绍，通过一个简单的例子说明了 Service 的工作原理。 Kubernetes 网络模型来龙去脉 容器网络发端于 Docker 的网络。Docker 使用了一个比较简单的网络模型，即内部的网桥加内部的保留 IP。这种设计的好处在于容器的网络和外部世界是解耦的，无需占用宿主机的 IP 或者宿主机的资源，完全是虚拟的。它的设计初衷是：当需要访问外部世界时，会采用 SNAT 这种方法来借用 Node 的 IP 去访问外面的服务。比如容器需要对外提供服务的时候，所用的是 DNAT 技术，也就是在 Node 上开一个端口，然后通过 iptable 或者别的某些机制，把流导入到容器的进程上以达到目的。

Firewalld必备命令 关闭firewalld systemctl stop firewalld.service 启动firewalld systemctl start firewalld.service 把firewalld加入到系统服务 systemctl enable firewalld.service 从系统服务移除 systemctl disable firewalld.service 查看firewalld状态 两种方法2选1即可 firewall-cmd --state systemctl status firewalld 重读防火墙 以 root 身份输入以下命令，重新加载防火墙，并不中断用户连接，即不丢失状态信息： firewall-cmd --reload 以 root 身份输入以下信息，重新加载防火墙并中断用户连接，即丢弃状态信息： firewall-cmd --complete-reload 注意:通常在防火墙出现严重问题时，这个命令才会被使用。比如，防火墙规则是正确的，但却出现状态信息问题和无法建立连接。 Firewalld区域操作 获取支持的区域(zone)列表 firewall-cmd --get-zone 获取所有支持的服务 firewall-cmd --get-services 获取所有支持的ICMP类型 firewall-cmd --get

运用Ntop监控网络流量 ____ 网络流量反映了网络的运行状态，是判别网络运行是否正常的关键数据，在实际的网络中，如果对网络流量控制得不好或发生网络拥塞，将会导致网络吞吐量下降、网络性能降低。通过流量测量不仅能反映网络设备（如路由器、交换机等）的工作是否正常，而且能反映出整个网络运行的资源瓶颈，这样管理人员就可以根据网络的运行状态及时采取故障补救措施和进行相关的业务部署来提高网络的性能。对网络进行流量监测分析，可以建立网络流量基准，通过连接会话数的跟踪、源/目的地址对分析、TCP流的分析等，能够及时发现网络中的异常流量，进行实时告警，从而保障网络安全。本节将介绍的Ntop便可以提供详细的网络流量明细表。在Ossim系统中集成了Ntop可以直接使用。 1．Ntop简介 ____ Ntop是一种监控网络流量的工具，用NTOP显示网络的使用情况比其他一些网管软件更加直观、详细。NTOP甚至可以列出每个节点计算机的网络带宽利用率。 2.Ntop主要功能 Ntop主要提供以下一些功能： ①.自动从网络中识别有用的信息； ②.将截获的数据包转换成易于识别的格式； ③.对网络环境中通信失败的情况进行分析； ④.探测网络环境中的通信瓶颈,记录网络通信的时间和过程。 ____ Ntop可以通过分析网络流量来确定网络上存在的各种问题；也可以用来判断是否有黑客正在攻击网络系统

1. 本周学习总结 以你喜欢的方式（思维导图、OneNote或其他）归纳总结多网络相关内容。 2. 书面作业 1. 网络基础 1.1 比较ping www.baidu.com与ping cec.jmu.edu.cn，分析返回结果有何不同？为什么会有这样的不同？ 可以看到回复的IP地址、回复的时间、TTL不同。每个域名都有相对应的IP地址，标识该应用程序。相较于IP地址，域名更易被记住。ping的时间指的是网络延时，跟服务器的远近有关，还与服务器的响应时间、访问服务器之间的节点、服务器负载、连接速度等有关。112.80.248.74是江苏省南京市 联通，210.34.128.152是福建省厦门市 教育，服务器距离更近所以210.34.128.152回复的时间更短。 1.2 telnet bbs.newsmth.net，上面这条命令连接的是远程主机的什么端口号？ TCP23号端口。 1.3 telnet cec.jmu.edu.cn 80，尝试回答：你从屏幕看到的是一些什么内容？返回的内容是不是cec.jmu.edu.cn的主页内容？尝试使用GET /index HTTP/1.0命令，会返回什么？见实验任务书题目1 提示连接失败的相关信息。返回的不是主页内容。 返回cec.jmu.edu.cn主页源代码的内容。 1.4 启动ConnectionWatcher，

2.1 框架图 -->PREROUTING-->[ROUTE]-->FORWARD-->POSTROUTING--> mangle | mangle ^ mangle nat | filter | nat | | | | v | INPUT OUTPUT | mangle ^ mangle | filter | nat v ------>local------->| filter 2.2 链和表 表 filter： 顾名思义，用于过滤的时候 nat： 顾名思义，用于做 NAT 的时候 NAT：Network Address Translator 链 INPUT： 位于 filter 表，匹配目的 IP 是本机的数据包 FORWARD： 位于 filter 表，匹配穿过本机的数据包， PREROUTING： 位于 nat 表，用于修改目的地址（DNAT） POSTROUTING：位于 nat 表，用于修改源地址 （SNAT） 3.1 iptables 语法概述 iptables [-t 要 操作 的表] < 操作 命令> [要 操作 的链] [规则号码] [匹配条件] [-j 匹配到以后的动作] 3.2 命令概述 操作 命令（-A、-I、-D、-R、-P、-F） 查看命令（-[vnx]L） 3.2.1 -A -A <链名> APPEND，追加一条规则（放到最后） 例如：

1 传输控制协议端口服务多路开关选择器 2 compressnet 管理实用程序 3 压缩进程 5 远程作业登录 7 回显 (Echo) 9 丢弃 11 在线用户 13 时间 15 netstat 17 每日引用 18 消息发送协议 19 字符发生器 20 文件传输协议 ( 默认数据口 ) 21 文件传输协议 ( 控制 ) 22 SSH 远程登录协议 23 telnet 终端仿真协议 24 预留给个人用邮件系统 25 smtp 简单邮件发送协议 27 NSW 用户系统现场工程师 29 MSG ICP 31 MSG 验证 33 显示支持协议 35 预留给个人打印机服务 37 时间 38 路由访问协议 39 资源定位协议 41 图形 42 WINS 主机名服务 43 " 绰号 " who is 服务 44 MPM( 消息处理模块 ) 标志协议 45 消息处理模块 46 消息处理模块 ( 默认发送口 ) 47 NI FTP 48 数码音频后台服务 49 TACACS 登录主机协议 50 远程邮件检查协议 51 IMP( 接口信息处理机 ) 逻辑地址维护 52 施乐网络服务系统时间协议 53 域名服务器 54 施乐网络服务系统票据交换 55 ISI 图形语言 56 施乐网络服务系统验证 57 预留个人用终端访问 58 施乐网络服务系统邮件 59 预留个人文件服务 60 未定义 61 NI

1 传输控制协议端口服务多路开关选择器 2 compressnet 管理实用程序 3 压缩进程 5 远程作业登录 7 回显 (Echo) 9 丢弃 11 在线用户 13 时间 15 netstat 17 每日引用 18 消息发送协议 19 字符发生器 20 文件传输协议 ( 默认数据口 ) 21 文件传输协议 ( 控制 ) 22 SSH 远程登录协议 23 telnet 终端仿真协议 24 预留给个人用邮件系统 25 smtp 简单邮件发送协议 27 NSW 用户系统现场工程师 29 MSG ICP 31 MSG 验证 33 显示支持协议 35 预留给个人打印机服务 37 时间 38 路由访问协议 39 资源定位协议 41 图形 42 WINS 主机名服务 43 " 绰号 " who is 服务 44 MPM( 消息处理模块 ) 标志协议 45 消息处理模块 46 消息处理模块 ( 默认发送口 ) 47 NI FTP 48 数码音频后台服务 49 TACACS 登录主机协议 50 远程邮件检查协议 51 IMP( 接口信息处理机 ) 逻辑地址维护 52 施乐网络服务系统时间协议 53 域名服务器 54 施乐网络服务系统票据交换 55 ISI 图形语言 56 施乐网络服务系统验证 57 预留个人用终端访问 58 施乐网络服务系统邮件 59 预留个人文件服务 60 未定义 61 NI

1 传输控制协议端口服务多路开关选择器 2 compressnet 管理实用程序 3 压缩进程 5 远程作业登录 7 回显 (Echo) 9 丢弃 11 在线用户 13 时间 15 netstat 17 每日引用 18 消息发送协议 19 字符发生器 20 文件传输协议 ( 默认数据口 ) 21 文件传输协议 ( 控制 ) 22 SSH 远程登录协议 23 telnet 终端仿真协议 24 预留给个人用邮件系统 25 smtp 简单邮件发送协议 27 NSW 用户系统现场工程师 29 MSG ICP 31 MSG 验证 33 显示支持协议 35 预留给个人打印机服务 37 时间 38 路由访问协议 39 资源定位协议 41 图形 42 WINS 主机名服务 43 " 绰号 " who is 服务 44 MPM( 消息处理模块 ) 标志协议 45 消息处理模块 46 消息处理模块 ( 默认发送口 ) 47 NI FTP 48 数码音频后台服务 49 TACACS 登录主机协议 50 远程邮件检查协议 51 IMP( 接口信息处理机 ) 逻辑地址维护 52 施乐网络服务系统时间协议 53 域名服务器 54 施乐网络服务系统票据交换 55 ISI 图形语言 56 施乐网络服务系统验证 57 预留个人用终端访问 58 施乐网络服务系统邮件 59 预留个人文件服务 60 未定义 61 NI

1 传输控制协议端口服务多路开关选择器 2 compressnet 管理实用程序 3 压缩进程 5 远程作业登录 7 回显(Echo) 9 丢弃 11 在线用户 13 时间 15 netstat 17 每日引用 18 消息发送协议 19 字符发生器 20 文件传输协议(默认数据口) 21 文件传输协议(控制) 22 SSH远程登录协议 23 telnet 终端仿真协议 24 预留给个人用邮件系统 25 smtp 简单邮件发送协议 27 NSW 用户系统现场工程师 29 MSG　ICP 31 MSG验证 33 显示支持协议 35 预留给个人打印机服务 37 时间 38 路由访问协议 39 资源定位协议 41 图形 42 WINS 主机名服务 43 "绰号" who is服务 44 MPM(消息处理模块)标志协议 45 消息处理模块 46 消息处理模块(默认发送口) 47 NI FTP 48 数码音频后台服务 49 TACACS登录主机协议 50 远程邮件检查协议 51 IMP(接口信息处理机)逻辑地址维护 52 施乐网络服务系统时间协议 53 域名服务器 54 施乐网络服务系统票据交换 55 ISI图形语言 56 施乐网络服务系统验证 57 预留个人用终端访问 58 施乐网络服务系统邮件 59 预留个人文件服务 60 未定义 61 NI邮件? 62 异步通讯适配器服务 63