网络端口

想在集群外部访问集群内部服务该如何，在k8s集群内部，pod对整个集群都是可见的，但是跨越集群步可以没因为是私有地址， 在k8s上可以定义一种ingress组件，入站请求组件，把url映射出去，/tomcat 尝试去部署一个k8s集群，三个节点 kubernetes_installation.pdfa安装文档 69扮演三个角色，etcd，master，registry私有仓库，，chrony server集群中的时间需要同步 **node3 当master ** 做一下免密登录 把文件复制过去，名称解析，时间同步都ok了，确保每个节点都配置extras仓库 确保防火墙关闭，并且开机不自启动 etcd其实就是kv store存储 leader election 领导选举 centralized locking 中心锁 ，分布式锁 仅用于服务注册和服务发现的，airbnbmsmartstack，netflix的eureka，bitly的nsq lookupd serf，skydns 简单来讲，etcd就是一个开源的键值存储，支持服务发现，支持leader选举功能 etcd使用go语言研发，类似zookeepe，访问接口是http+json格式的API。，resultfull风格的api接口 配置文件 unit file etcd。service 输出的是api，就需要编程交互

随着人们对于数据中心的扩建与可扩展性要求的不断增大，如何实现数据中心从40G/100G向400G的平滑演进成为一个在问题，提升竞争力成为布线甚而设施必须实现可靠性、可管理性和灵活性。光纤连接解决方案可以 使数据中心的甚而设施满足当前和未来对数据传输速率的要求。 数据中心变革史 现在的数据中心 1、传统10G常采用SFP+光模块，双芯LC接口互联； 2、40G以太网规范要求8芯互联，4发4收，采用12芯光缆布线解决方案，每个信道拥有4条专用发射光纤和4条专用接收光纤，中间4条光纤保持闲置； 3、100G以太网常解决方案规定使用24条光纤，分为两个12芯阵列，一个阵列专用于发射，别一阵列专用于接收，每个阵列中间10条光纤用于传输流量，而两端2条光纤闲置。 传输类型 在传统的串行传输中，数据是通过一对光纤传输的，一条光纤发射（Tx）一条光纤接收（Rx）。在1G和10G的传输速度下，收发器的选择并非至关紧要，因为所有收发器均以相同的方式和相同的波长运行。当网络速度逐渐增加到40/100G时，市面上出现了不同（专有）的WDM技术，此后收发器的选择开始变得更为关键，因为有些收发器采用两种不同波长，而有些收发器采用四种不同波长，致使他们与IEEE批准的使用并行光学传输的SR4协议并不兼容。 并行光学传输 并行光学传输 使用并行光学接口在多条光纤上同时传输和接受数据并通常应用于中短距离传输

目录 一、简介与分类 1.1系统的运行级别 1.2 运行级别命令 2.服务的分类 3.服务与端口 二、RPM包服务管理 三、源码包服务管理 四、服务管理总结 一、简介与分类 1.1系统的运行级别 linux有 7 个运行级别 运行级别 含义 0 关机 1 单用户模式，可以想象成windows的安全模式，主要用于系统修复 2 不完全的命令行模式，不颔NFS服务q 3 完全的命令行模式，就是标准字符界面 4 系统保留 5 图形模式 6 重启动 我们常用级别3或级别5，当比如忘记root密码等，可以进级别1进行修复。 1.2 运行级别命令 runlevel ：查看运行级别命令 [root@localhost ~]# runlevel N 5 表示我们当前在5级别，第一个数字表示我们的前一个级别，我们一进入系统，便在5级别，所以显示为N(null)。 init : 修改运行级别命令，比如 init 0 进行关机， init 6 进行重启系统，当然这只是Linux重启、关机命令的一种方式。 那如何修改系统默认运行级别呢？，比如一开机就进入 级别3 . vim /etc/inittab id:3:initdefault: 修改后即能让系统开机后直接进入哪个运行级别，不过这点呢，在centos7中发生了变化，可自查。 2.服务的分类 我们知道，系统服务是在后台运行的应用程序

博文目录 一、什么是NAT? 二、如何解决源地址转换环境下的环路和无效ARP问题？ 三、什么是Server-map表？ 四、NAT对报文的处理流程 五、开始配置NAT 一、什么是NAT？ NAT技术是用来解决当今IP地址资源枯竭的一种技术，同时也是IPv4到IPv6的过渡技术，绝大多数网络环境中在使用NAT技术。此博文重点是华为相关的NAT知识上。 1、NAT分类 在内外网的边界，流量有出、入两个方向，所以NAT技术包含源地址转换和目标地址转换两类。 一般情况下，源地址转换主要用于解决内部局域网计算机访问Internet的场景；而目标地址转换主要用于解决Internet用户访问局域网服务器的场景，目标地址通常被称为服务器地址映射。 华为支持的源地址转换方式有如下几类： NAT No-PAT：类似于Cisco的动态转换，只转换源IP地址，不转换端口，属于多对多转换，不能节约公网IP地址，实际情况下使用比较少，主要适用于需要上网的用户较少，而公网地址又足够的场景下。 NAPT（Network Address and Port Translation网络地址和端口转换）：类似于Cisco的PAT转换，NAPT即转换报文的源地址，又转换源端口。转换后的地址不能是外网接口IP地址，属于多对多或多对一转换，可以节约IP地址，使用场景较多，主要适用于内部大量用户需要上网

一、容器于pod资源对象 现代的容器技术被设计用来运行单个进程时，该进程在容器中pid名称空间中的进程号为1，可直接接收并处理信号，于是，在此进程终止时，容器即终止退出。若要在一个容器中运行多个进程，则需要为这些进程提供一个类似于linux操作系统init进程的管控类进程，以树状结构完成多进程的生命周期管理。绝大多数场景中都应该于一个容器中仅运行一个进程，它将日志信息直接输出至容器的标准输出。不过，分别运行于各自容器的进程之间无法实现基于ipc的通信机制，此时，容器间的隔离机制对于依赖于此类通信方式的进程来说却又成了阻碍。pod资源抽象正是用来解决此类问题的组件。pod对象是一组容器的集合，这些容器共享network、uts及ipc名称空间，因此具有相同的域名、主机名和网络接口，并可通过ipc直接通信。为一个pod对象中的各容器提供网络名称空间等共享机制的是底层基础容器pause。 尽管可以将pod类比为物理机或vm，但一个pod内通常仅应该运行一个应用，除非多个进程间有密切关系。不过，有些场景要求必须于同一pod中同时运行多个容器，此时，这些分布式应用必须遵循某些最佳实践机制或基本准则。事实上，k8s并非期望成为一个管理系统，而是一个支持这些最佳实践的向开发人员或管理人员提供更高级别服务的系统。分布式系统设计通常包含以下几种模型： 1、sidecar pattern

一、docker的数据管理 在docker中，为了方便查看容器内产生的数据或者将多个容器之间的数据实现共享，会涉及到容器的数据管理操作，管理docker容器中的数据主要有两种方式：数据卷和数据卷容器。 1、数据卷 数据卷是一个供容器使用的特殊目录，位于容器中，可将宿主机的目录挂载到数据卷上，对数据卷的修改操作立即可见，并且更新数据不会影响镜像，从而实现数据在宿主机与容器之间的迁移，数据卷的使用类似于Linux下对目录进行的mount挂载操作（注意：是将宿主机本地的目录挂载到容器中，举例：若宿主机本地/data目录挂载的是/dev/sdb1，那么要将/data做数据卷映射时，容器中指定的目录使用的文件系统也是/dev/sdb1，我不知道这样解释，你们能不能理解它的工作原理）。 挂载宿主机目录作为数据卷举例： 使用-v选项可以创建数据卷（只是运行容器时，创建一个目录），创建数据卷的同时将宿主机的目录挂载到数据卷上使用，以实现宿主机与容器之间的数据迁移。 需要注意的是，宿主机本地目录的路径必须是使用绝对路径，如果路径不存在，Docker会自动创建相应的路径。 [root@localhost ~]# docker run -d -p 5000:5000 -v /data/registry/:/tmp/registry docker.io/registry #这是运行了一个私有仓库的容器

防火墙的五元组：源IP，目的IP，源端口，目的端口，协议。 防火墙配置文件中一个策略中都有什么，有哪些元素：源地址，源端口，目的地址，目的端口，源zone，目的zone，服务，时间，状态，描述。其中zone、时间、状态都是唯一的其他均可多个。 源地址： 地址簿： IP地址具体展现的几种方式： IP/掩码：10.1.1.1/16或者10.1.1.1 255.255.0.0 ip范围：10.1.1.1-10.1.1.100或range 引用地址簿： 山石eg: address FCI-10.1.89.14 ip 10.1.89.14/32 exit address FCI-10.1.89.15 ip 10.1.89.15/32 exit 地址组： 同上地址簿的IP地址：具体差别需要看手册文档 引用地址簿： 引用地址组： 山石eg： address DNS-DENY-G member 10.1.88.74/32 member DOC-10.1.88.7 member FAQS-10.1.88.6 member intra-10.1.88.12 member RPTS-10.1.88.1 member SUMMIT-10.1.88.80 member ZH-10.1.88.187 description trust exit address DNS-GROUP-88 member

现在我们已经可以熟练的使用docker命令操作镜像和容器，并学会了如何进入到容器中去，那么实际的工作中，我们通常是在Docker中部署服务，我们需要在外部通过IP和端口进行访问的，那么如何访问到Docker的内部服务呢？ 在后面我们会有专门的章节来讲解Docker的网络配置，这里我们先学习一个比较简单的通过网络访问容器的方法，就是端口映射。 容器中可以运行一些网络应用，要让外部也可以访问这些应用，可以通过 -P 或 -p 参数来指定端口映射。 随机映射 当使用 -P 标记时，Docker 会随机映射一个 49000~49900 的端口到内部容器开放的网络端口。 下面我们以一个nginx的容器为例子来测试一下-P的功能，大家可以使用search搜索下nginx镜像，我们使用官方的nginx镜像来启动一个容器。 [root@linux-node1 ~]# docker search nginx 这次我们不执行docker pull。直接来启动容器，你会发现docker会先查找你本地是否有该镜像，如果没有它会自动下载后，然后启动容器。 [root@linux-node1 ~]# docker run -d -P nginx Unable to find image 'nginx:latest' locally latest: Pulling from library/nginx

二层交换技术是发展比较成熟，二层交换机属数据链路层设备，可以识别数据包中的MAC地址信息，根据MAC地址进行转发，并将这些MAC地址与对应的端口记录在自己内部的一个地址表中。具体的工作流程如下： 　　（1） 当交换机从某个端口收到一个数据包，它先读取包头中的源MAC地址，这样它就知道源MAC地址的机器是连在哪个端口上的； 　　（2） 再去读 取包头中的目的MAC地址，并在地址表中查找相应的端口； 　　（3） 如表中有与这目的MAC地址对应的端口，把数据包直接复制到这端口上； 　　（4） 如表中找不到相应的端口则把数据包广播到所有端口上，当目的机器对源机器回应时，交换机又可以学习一目的MAC地址与哪个端口对应，在下次传送数据时就不再需要对所有端口进行广播了。 　　不断的循环这个过程，对于全网的MAC地址信息都可以学习到，二层交换机就是这样建立和维护它自己的地址表。 　　从二层交换机的工作原理可以推知以下三点： 　　（1） 由于交换机对多数端口的数据进行同时交换，这就要求具有很宽的交换总线带宽，如果二层交换机有N个端口，每个端口的带宽是M，交换机总线带宽超过N×M，那么这交换机就可以实现线速交换； 　　（2） 学习端口连接的机器的MAC地址，写入地址表，地址表的大小（一般两种表示方式：一为BEFFER RAM，一为MAC表项数值），地址表大小影响交换机的接入容量； 　　（3）

原文链接： Contour 学习笔记（一）：使用 Contour 接管 Kubernetes 的南北流量 在 Kubernetes 中运行大规模以 Web 为中心的工作负载，最关键的需求之一就是在 L7 层实现高效流畅的入口流量管理。自从第一批 Kubernetes Ingress Controller 开发完成以来， Envoy （由 Matt Klein 和 Lyft 团队开发）已经成为云原生生态系统中的新生力量。Envoy 之所以受到支持，因为它是一个 CNCF 托管的项目，与整个容器圈和云原生架构有着天然的支持。 容器公司 Heptio 开源的项目 Contour 使用 Envoy 作为 Kubernetes 的 Ingress Controller 实现，为大家提供了一条新的 Kubernetes 外部负载均衡实现思路。 据 官方博客 介绍， Heptio Contour 可以为用户提供以下好处： 一种简单的安装机制来快速部署和集成 Envoy。 与 Kubernetes 对象模型的集成。 Ingress 配置的动态更新，而无需重启底层负载均衡器。 项目成熟后，将允许使用 Envoy 一些强大的功能，如熔断器、插件式的处理器链，以及可观测性和可调试性，可以非常方便地对接监控系统。 IngressRoute 之间可以级联，用来做蓝绿部署非常方便。 下面我们就来试用一下。 1