HQY 一个和谐有爱的空间

之前我们介绍Network Namespace（以下简称netns）和veth pair时说过docker是使用这些技术来实现的网络隔离，今天我们就来一探究竟，看下docker到底是如何做到的。启动一个无网络的容器首先我们使用 --net=none 参数启动一个无网络的容器，为了方便调试，这里我们使用了centos镜像。docker run -itd --name centos-test --net=none cen

在开发或者调试时，我们经常需要和本地的服务器进行通信，例如启动nginx之后，在浏览器输入lcoalhost或者127.0.0.1就可以访问到本机上面的http服务。Linux是如何访问本机IP的？大多数操作系统都在网络层实现了环回能力，通常是使用一个虚拟的环回网络接口来实现。这个虚拟的环回网络接口看着像是一个真实的网卡，实际上是操作系统用软件模拟的，它可以通过TCP/IP与同一台主机上的其他服务进行通信，以127开头的IPv4地址就是为它保留的，主流Linux操作系统为环回网卡分配的地址都是1

echo "fs.file-max=655350" >>/etc/sysctl.conf echo "* soft nofile 655350"  >> /etc/security/limits.conf echo "* hard nofile 655350"  >> /etc/security/limits.conf ulimit -n 655350

压缩qcow2首先，需要对虚拟机剩余空间进行写零操作：dd if=/dev/zero of=/zero.dat删除 zero.dat：rm /zero.dat关闭虚拟机，执行qemu-img的convert命令进行转换：qemu-img convert -c -O qcow2 /path/old.img.qcow2 /path/new.img.qcow2

什么是VXLAN？VXLAN是一种隧道封装协议，在三层网络上封装二层网络数据报文。简单来说就是可以在已经规划好网络拓扑的设备上封装出一个新的二层网络，因此VXLAN这类网络又被称之为overylay网络，底下承载VXLAN网络的就被称之为underlay网络。VXLAN解决了什么问题？最近几年，阿里云，腾讯云，京东云，华为云等等厂商每到节日都会打折出售大量云服务器，1核1G内存50G磁盘的服务器几十块就能买到一年的使用权，作为一个专业的羊毛党，哪个手里没有几台小破水管机器？但是这么多的云服务器是

OpenvSwitch flow table 流表OpenFlow（OF）被认为是第一个软件定义网络（SDN）标准之一。它最初在SDN环境中定义了通信协议，使SDN控制器能够与物理和虚拟的交换机和路由器等网络设备的转发平面直接进行交互，从而更好地适应不断变化的业务需求。如果把OpenFlow控制器比作“大脑”，OVS流表就像是“大腿”一样接受来自“大脑”的指令，决定要向哪个方向前进。但OVS流表功能更加强大，在没有OpenFlow控制器时，也可以自主工作，它本身也供一些命令让我们可以直接管理流表

前言当我们想要在不影响虚拟网络设备数据报文收发的情况下获取对应虚拟网络设备的流量时，端口镜像是一个很好的选择。端口镜像是指将经过指定端口（镜像端口）的报文复制一份到另一个指定端口（观察端口），通过观察端口接收到的数据报文，就可以有效识别虚拟网络的运行情况。OVS提供了相关命令来配置或删除端口镜像，下面我们来实验一下。如何使用端口镜像类型端口镜像分为镜像源和镜像目的两部分。镜像源select_all：布尔类型（true，false）。设置为 true 时，表示此网桥上的所有流量。select_ds

使用OVS构建分布式隔离网络前言上一节我们使用OVS构建了单机隔离网络，但是随着网络规模的扩张，单节点已经不再能满足业务的需要，分布式网络成了必不可少的环节。分布式网络与单节点网络在细节实现上基本一致，只有物理环境网络连线上的一点区别。实验1：分布式无隔离网络网络拓扑如下图所示，我们每一台节点都有两张网卡，一张用于管理，一张用于业务。之所以使用两张网卡有两个原因：管理网卡用于日常的维护登录，业务网卡用于传输虚拟节点的数据报文，避免相互之间影响。我们要将业务网卡绑定到OVS网桥上，也就是Norma

前言在前面我们已经使用Linux Bridge完成了多台网络设备的通信，但是它对于网络隔离的支持不是很好，长期以来，在Linux平台上缺少一个功能完备的虚拟交换机，直到OVS的出现。实验接下来我们来尝试完成两个实验，单机无隔离网络、单机隔离网络。实验一：单机无隔离网络使用ovs构建无隔离网络非常简单，只需要添加一个网桥，然后在这个网桥上再增加几个内部端口，最后把端口移动到netns中即可。# 添加网桥 ovs-vsctl add-br br-int&nbs

OVS简介Open vSwitch 是什么？Open vSwitch(以下简称OVS)是一个用C语言开发的多层虚拟交换机，使用Apcahe 2开源许可证，现如今基本上已经成为了开源SDN（软件定义网络）基础设施层的事实标准。OVS支持哪些功能？支持NetFlow、sFlow(R)、IPFIX、SPAN、RSPAN和GRE隧道镜像等多种流量监控协议支持LACP (IEEE 802.1AX-2008)支持标准802.1Q VLAN协议，允许端口配置trunk模式支持组播支持BFD和802.1ag链路

前言你是否遇到过这样的场景，服务器不能上网，但是又需要安装某个软件，面对如蛛网般杂乱的rpm包依赖关系，放弃或许是最好的选择，这样你就不必再为无法完成工作而痛苦又懊恼。但是今天，你有了一个更好的选择。4DNAT4DNAT取名源自4和DNAT。这个工具工作在OSI模型的第四层传输层，同时4和for谐音，意为专门为目标地址转换而服务的工具。4DNAT使用go语言开发，具有天然的跨平台性，并且完全使用go标准库开发，没有任何的第三方依赖，编译之后只有一个二进制可执行文件。它有4种工作模式：转发模式接受

前言作为一个称职的打工人，电脑上常备一个Vmware不是什么新鲜事了，但是它和Docker for Windows不兼容往往很让人头大。通过查找资料，发现提供的解决方案大致有三种先使用Vmware创建一台Linux虚拟机，在这台Linux虚拟机上再安装docker。配置Vmware作为Docker for Windows的运行平台。使用微软的Hyper-v来创建虚拟机。对我而言，第一种不太优雅，第二种配置繁琐，第三种不会用。直到我发现了vctl这个好东西。vctl 是什么？vctl 是一款捆绑在

Linux Bridge 详解Linux Bridge（网桥）是用纯软件实现的虚拟交换机，有着和物理交换机相同的功能，例如二层交换，MAC地址学习等。因此我们可以把tun/tap，veth pair等设备绑定到网桥上，就像是把设备连接到物理交换机上一样。此外它和veth pair、tun/tap一样，也是一种虚拟网络设备，具有虚拟设备的所有特性，例如配置IP，MAC地址等。Linux Bridge通常是搭配KVM、docker等虚拟化技术一起使用的，用于构建虚拟网络，因为此教程不涉及虚拟化技术，

Linux veth pair 详解veth pair是成对出现的一种虚拟网络设备接口，一端连着网络协议栈，一端彼此相连。如下图所示：由于它的这个特性，常常被用于构建虚拟网络拓扑。例如连接两个不同的网络命名空间(netns)，连接docker容器，连接网桥(Bridge)等，其中一个很常见的案例就是OpenStack Neutron底层用它来构建非常复杂的网络拓扑。如何使用？创建一对vethip link add <veth name>&nbs

Network Namespace （以下简称netns）是Linux内核提供的一项实现网络隔离的功能，它能隔离多个不同的网络空间，并且各自拥有独立的网络协议栈，这其中便包括了网络接口（网卡），路由表，iptables规则等。例如大名鼎鼎的docker便是基于netns实现的网络隔离，今天我们就来手动实验一下netns的隔离特性。使用方式使用ip netns help查看使用帮助Usage: ip netns list    

tcpwall当我们想要阻止某些TCP连接的建立，在Linux平台上有一个很好的解决方案iptables，但是对那些已经建立的tcp连接，iptables就不能做到随心所欲的阻断了。我在互联网上检索的时候发现了tcpkill这个工具，tcpkill是一个网络分析工具集dsniff中的一个小工具。在Linux上可以直接通过dsniff包安装，使用方式也非常简单。通过测试我发现tcpkill在执行命令之后并不会立刻阻断tcp连接，而是等待有数据传输时，才会阻断，因此在执行完命令之后程序并不会主动退出

WAF不是万能的，安全需要换个思路WAF 这个产品大家都不会陌生，可以帮助我们拦截掉很大一部分网络攻击，但 0day 这种未公开的攻击手段，WAF 没有对应的规则，基本上是没用的。这其实是个挺尴尬的现实。我们花大价钱上了WAF，配了专家服务，结果黑客利用一个从未公开的0day漏洞发起攻击，WAF的规则库里一片空白，攻击流量就这么畅通无阻地过去了。这感觉就像你给家门装了顶级的防盗锁，结果小偷直接开了个传送门进到你客厅。此时，服务器和应用后台就如同处于裸奔状态，毫无防护地暴露在攻击者面前。防不住，那

还在对着黑乎乎的 Docker 命令行抓耳挠腮？复杂的命令参数，动不动就报错，简直是程序员发际线的头号杀手！别慌，今天给大家推荐一款专为国人打造的 Docker 可视化神器：DPanel，让你彻底告别命令行，轻松玩转 Docker 容器！项目地址：https://github.com/donknap/dpanelDocker 虽好，但命令行劝退！Docker 的强大毋庸置疑，但对于很多开发者来说，学习和使用 Docker 的最大障碍就是命令行。命令太多记不住：docker run、docker

根据对300个新站的跟踪测试，系统化执行收录策略的网站中，78%能在7天内被索引。本文将详解一套经过验证的操作流程：从通过谷歌站长工具精准提交网站，到优化加载速度、搭建内容框架，再到通过行业论坛获取首条外链每个步骤都提供可量化的执行标准（如移动端加载速度需控制在2秒内，首月内容字数建议在800-1200字区间）。刚建好的网站如何让谷歌快速发现主动告诉谷歌"我上线了"（基础提交）很多新手误以为网站上线后谷歌会自动发现，实际上测试数据显示，未主动提交的新站平均需要27天才能被收录

部署一台usb打印机网络共享器，为什么要用这个设备呢？主要还是公司电脑操作系统有win7,win10,win11，甚至还有xp,民企么，正常要节省点，不到坏是不可能换的。一台usb部署在一台老的win7系统上，但是有两台win10系统没法共享连接打印机，反正各种错误。最后考虑到各种操作系统都要连接共享打印机共享，网上查了下，就申请购买了一台绿联的usb打印机网络共享器。拿到设备后就开始按照说明书部署了。   部署也比较简单，图例如下：配置好LAN口IP地址后，关闭了无线AP和