iptables

当我们在Docker的宿主机里面启动Docker的时候，他们之间是可以互相通信的，那么外界是如何访问容器的呢？ 看看下面这张简图 宿主机上的真正网卡是eth0，他的IP是 10.0.0.11， 当我们配置了docker之后，他会自动生成一个虚拟的网卡 docker0, IP是 172.17.0.1，这个子网是docker容器之间通讯的子网，所有的docker容器会自动生成一个vethxxx的虚拟网卡，IP地址都是172.17.0.0/24这个范围，他们之间通过一个 docker0的网桥虚拟机进行联系。那么外界如何来访问172.17.0.0/24这个内网系统呢？ 我们通过DNAT 端口映射来实现。他会把eth0的宿主机的IP和端口和 对应的容器的IP和端口进行映射。 这个映射是通过Linux的防火墙iptables来实现的，不过我们不需要手动配置，而是在启动run命令 的时候用-p选项指定即可 ifconfig查看网卡 [root@ip-172-16-1-150 ec2-user]# docker run -d -p 8000:80 nginx 6bf871a60c8110f3389db0a02a5ff45f8713c157f9cb5fa946e40638acf494a3 [root@ip-172-16-1-150 ec2-user]# ifconfig docker0: flags

啦啦啦，琢磨了两天，看了很多文档，看了太多抄的帖子了，所以最后特别想写个这个文档，算是给自己复习吧，步骤肯定是没有问题的，如果要细看，就各种慢慢百度去吧 背景：zabbix4.0需要监控别的机器的tomcat，而且那个tomcat 的端口用的是9090的，废话不多说，直接上图看着来弄吧 1、zabbix server 端，要安装些东西，名字叫 zabbix-java-gateway，我的方法是，先弄个zabbix repo源，然后，直接在server端执行这个命令 yum install --downloadonly --downloaddir=/home/zhou zabbix-java-gateway 就可以把需要的包装到 /home/zhou 目录下，然后再该目录下执行命令，强行安装： rpm -Uvh *.rpm --nodeps --force 然后，安装这块的就完成了，下面就是配置的事情了，直接上图完事 2、对 zabbix_server.conf 进行注释的去掉，zabbix-gateway.conf 就不用动了，默认就好了 3、下面就是到客户端了，打开客户端 192.168.44.135 的tomcat目录，编辑 catalina.sh 文件，进行下面文件的添加 CATALINA_OPTS="$CATALINA_OPTS -Dcom.sun.management

Calico 是一种容器之间互通的网络方案。在虚拟化平台中，比如 OpenStack、Docker 等都需要实现 workloads 之间互连，但同时也需要对容器做隔离控制，就像在 Internet 中的服务仅开放80端口、公有云的多租户一样，提供隔离和管控机制。而在多数的虚拟化平台实现中，通常都使用二层隔离技术来实现容器的网络，这些二层的技术有一些弊端，比如需要依赖 VLAN、bridge 和隧道等技术，其中 bridge 带来了复杂性，vlan 隔离和 tunnel 隧道则消耗更多的资源并对物理环境有要求，随着网络规模的增大，整体会变得越加复杂。我们尝试把 Host 当作 Internet 中的路由器，同样使用 BGP 同步路由，并使用 iptables 来做安全访问策略，最终设计出了 Calico 方案。 适用场景：k8s环境中的pod之间需要隔离 设计思想：Calico 不使用隧道或 NAT 来实现转发，而是巧妙的把所有二三层流量转换成三层流量，并通过 host 上路由配置完成跨 Host 转发。 架构图： Calico网络模型主要工作组件： 1.Felix：运行在每一台 Host 的 agent 进程，主要负责网络接口管理和监听、路由、ARP 管理、ACL 管理和同步、状态上报等。 2.etcd：分布式键值存储，主要负责网络元数据一致性，确保Calico网络状态的准确性

Calico 是一种容器之间互通的网络方案。在虚拟化平台中，比如 OpenStack、Docker 等都需要实现 workloads 之间互连，但同时也需要对容器做隔离控制，就像在 Internet 中的服务仅开放80端口、公有云的多租户一样，提供隔离和管控机制。而在多数的虚拟化平台实现中，通常都使用二层隔离技术来实现容器的网络，这些二层的技术有一些弊端，比如需要依赖 VLAN、bridge 和隧道等技术，其中 bridge 带来了复杂性，vlan 隔离和 tunnel 隧道则消耗更多的资源并对物理环境有要求，随着网络规模的增大，整体会变得越加复杂。我们尝试把 Host 当作 Internet 中的路由器，同样使用 BGP 同步路由，并使用 iptables 来做安全访问策略，最终设计出了 Calico 方案。 适用场景：k8s环境中的pod之间需要隔离 设计思想：Calico 不使用隧道或 NAT 来实现转发，而是巧妙的把所有二三层流量转换成三层流量，并通过 host 上路由配置完成跨 Host 转发。 架构图： Calico网络模型主要工作组件： 1.Felix：运行在每一台 Host 的 agent 进程，主要负责网络接口管理和监听、路由、ARP 管理、ACL 管理和同步、状态上报等。 2.etcd：分布式键值存储，主要负责网络元数据一致性，确保Calico网络状态的准确性

centos 7 中没有iptables 和service iptables save 指令使用失败问题解决方案 参考文章： （1）centos 7 中没有iptables 和service iptables save 指令使用失败问题解决方案 （2）https://www.cnblogs.com/AmbitiousMice/p/8486049.html 备忘一下。 来源： oschina 链接： https://my.oschina.net/u/4432649/blog/4606113

1.harbor双主架构同步镜像失败 错误信息如下： 2020-08-26T07:46:58Z [INFO] initialization completed: repository: library/alpine, tags: [latest], source registry: URL- http://192.168.126.137 insecure-true, destination registry: URL- http://192.168.126.134 insecure-true 2020-08-26T07:46:59Z [ERROR] [job_logger.go:81]: failed to get project library from source registry: Get http://192.168.126.137/api/projects?name=library : dial tcp 192.168.126.137:80: getsockopt: no route to host 原因：怀疑是防火墙原因导致 解决方案： 1）停止dockers服务 systemctl stop docker 2）开始刷新iptables规则 iptables --flush iptables -tnat --flush 3）然后再启动服务 systemctl

好久没来了，这段沉浸的时间都在专注学习云计算相关的解决方案和进行实战，这一次更新那当然是有项目在个人的努力下，落地了！！！！ 所以过来更新下，我在项目中的各个状态。当然仍然是用第一视角的去解读，这也是一次汇总和回顾，有很多主管的想法在里面，不喜勿喷。 先在“ 上菜 ”前，开放的聊聊我个人理解中的云计算是什么样子的？到底什么样的业务部署形式才属于真正的云计算部署？到底我们在云计算这样的趋势下如何合理运用好云计算的特点去提×××适的技术解决方案？ 首先，我个人的总结了几点： 1. 改变了传统IT运营交付模式， 减少了传统IT对网络高级工程师需求，降低对运维团队的投入 。 2. 动态弹性调整，按需使用，按量付费 。完全灵活自主，若企业过于庞大，预算控制等相关IT治理流量冗长，对于业务团队开发效率是致命打击。无法很好的控制预算申请额度，还要考虑传统的设备利旧等等问题，接踵而至的管理上的问题，都是传统IT治理中无法避免的。在企业应用上线初期保证业务系统架构和IAAS架构高可用的情况下，可以用最低的资源配置让业务快速上线进行demo的环境的ready，等待业务经过压力评测后，在平滑的进行资源配置提升。在成本控制上也是boss非常乐意看到的。 3. DDOS***的包袱、IT基础资源的硬件维护投入（每年维保服务）、机房的风火水电维护、中国多家运营商之间的异网传输问题，应用和网络安全的的包袱

在开始写今天的文档之前, 我自己先BB几句, 还记得自己刚大学毕业的时候, 连一个windows的cmd命令都不会, 感觉别人玩一个ping, 或者查看个ip和mac地址啥的, 都觉得牛逼的不得了.算起来自己也是从linux入门计算机,shell应该是自己接触到的第一个开发黑窗口了, 后来慢慢会了, 才觉得也就是那么回事吧.呵呵 如果大家想快速学习一下, 还是推介大家看一下这个网址, 网址为: http://www.apelearn.com/study_v2/index.html , 其实我自己就是阿铭老师一个弟子, 在他的带领下自己才走入互联网的公司大门. 接下来, 就来整理一下自己曾经学到的一些知识吧 1. linux的发行版本 其实说实话, 我自己对linux的发行版本也不是很了解, 你如果网上一搜的话, 一大堆, 较知名的发行版有：Ubuntu、RedHat、CentOS、Debain、Fedora、SuSE、OpenSUSE、TurboLinux、BluePoint、RedFlag、Xterm、SlackWare等, 但是就这么多版本中, 我就接触过前三个, 可能自己比较垃圾吧(嘿嘿) 其实说起linux, 我在第一份工作的时候, 最新接触的是unix系统, 后来才知道unix是linux系统的前身, 命令啥的都差不多, 但是还是有一些细小的差距.但是当时我在银行的系统中