Linux
文章平均质量分 79
学习 分享 笔记
hNicholas
这个作者很懒,什么都没留下…
展开
-
Linux文件和目录高级管理命令总结——setuid、setgid、stick bit、chattr、lsattr命令
中文件/目录除了有可读、可写和可执行这三种权限外,还存在比较特殊的权限,这些特殊权限就包括和这两种。 和位是让普通用户可以以用户的角色运行只有帐号才能运行的程序或命令。例如我们用普通用户运行命令来更改自己的口令,实际上最终更改的是文件,我们知道文件是用户管理的 配置文件,只有权限的用户才能更改,正是因为命令被设置了权限才能使得普通用户也可以修改其配置文件的内容。 文件/目录权限是使用常见的八进制权限掩码来表示的,通常都是用三位数表示,但确切地说,它是用四位数表示的,因为除了读、写和执行权限以外还有特转载 2022-06-30 15:39:16 · 1445 阅读 · 0 评论 -
BGP原理与运用场景
在小型网络中 由于设备的个数和距离的原因,ospf和rip就足以满足所需,但是对于运行商来说就不足以满足需求,就诞生了BGP协议。BGP主要用于运行商,在大型的网络中来使用,本章就来探讨他的原理。边界网关协议(BGP)是运行于 TCP 上的一种自治系统的路由协议。 BGP 是唯一一个用来处理像因特网大小的网络的协议,也是唯一能够妥善处理好不相关路由域间的多路连接的协议。 BGP 构建在 EGP 的经验之上。 BGP 系统的主要功能是和其他的 BGP 系统交换网络可达信息。网络可达信息包括列出的自治系统(AS翻译 2022-06-09 17:01:36 · 2608 阅读 · 0 评论 -
linux系统双内核的快速切换机制(kexec)
概述:快速启动机制:允许通过已经运行的内核的上下文启动另一个Linux内核,不需要经过BIOS。BIOS可能会消耗很多时间,特别是带有众多数量的外设的大型服务器。这种办法可以为经常启动机器的开发者节省很多时间。使用该机制要满足两个基本条件:1)内核版本必需为 2.6.13 或以上,因为自该版本起,linux内核中加入了 kexec system call 模块。2)系统需要安装 kexec-tools工具,提供用户空间的kexec 命令。如何配置即使用快速启动机制:1)确定正在运行的...转载 2022-05-20 10:36:58 · 2815 阅读 · 0 评论 -
Dokan:Windows下的用户空间文件系统
Dokan:Windows下的mount命令http://dokan.github.io原始帖子:http://www.aiseminar.cn/bbs/forum.php?mod=viewthread&tid=1825Dokan Library 帮助程序员在windows系统下轻松建立用户级文件系统,不需要写设备驱动,其与FUSE(Linux user mode file system)类似。Dokan官网:http://dokan-dev.github.iohttps://git转载 2022-05-16 10:39:08 · 5343 阅读 · 0 评论 -
利⽤dokan作虚拟磁盘开发
dokan是⽤户态的⽂件系统驱动,可以称之为fuse for windows。可以⽤来开发虚拟磁盘,即在“我的电脑”中虚拟出⼀个硬盘来,可以是硬盘,也可以是可移动磁盘或者⽹络硬盘。CreateFile、FindFiles、GetFileInformation需要最优先实现,有了这两个接⼝,就可以浏览⽬录了。进⼊CreateFile,需要判断请求的虚拟⽂件是⽬录还是⽂件,如果是⽬录,则需要设置DokanFileInfo->IsDirectory为True,并直接返回成功。虚拟⽂件的打开可.转载 2022-05-16 10:32:00 · 820 阅读 · 1 评论 -
MySQL 查看数据库表容量大小
1.查看所有数据库容量大小select table_schema as '数据库',sum(table_rows) as '记录数',sum(truncate(data_length/1024/1024, 2)) as '数据容量(MB)',sum(truncate(index_length/1024/1024, 2)) as '索引容量(MB)'from information_schema.tablesgroup by table_schemaorder by sum(data_le转载 2022-05-10 10:38:22 · 10935 阅读 · 0 评论 -
SSD应用于Ceph集群的四种典型使用场景
在虚拟化及云计算技术大规模应用于企业数据中心的科技潮流中,存储性能无疑是企业核心应用是否虚拟化、云化的关键指标之一。传统的做法是升级存储设备,但这没解决根本问题,性能和容量不能兼顾,并且解决不好设备利旧问题。因此,企业迫切需要一种大规模分布式存储管理软件,能充分利用已有硬件资源,在可控成本范围内提供最佳的存储性能,并能根据业务需求变化,从容量和性能两方面同时快速横向扩展。这就是Server SAN兴起的现实基础。Ceph作为Server SAN的最典型代表,可对外提供块、对象、文件服务的分布式统一存..转载 2022-04-19 15:49:49 · 660 阅读 · 0 评论 -
Linux服务器如何加入AD域
一 摘要在企业中为了对所有服务器的帐号和密码进行统一的管理,可以采用windows活动目录的解决方案;对于windows服务器,直接将服务器加入域即可;对于Linux服务器,如果要将Linux服务器加入域,还需要其他的软件的协助,本文介绍通过Samba和Winbind的协助将Linux加入活动目录,实现帐号和密码统一管理。二 正文1. 安装配置Samba和Winbind组件1.1 安装samba和winbind组件[root@localhost cdrom]# yum...转载 2022-04-12 17:36:15 · 6875 阅读 · 0 评论 -
交换机与Linux服务器多网卡bond模式对接
交换机多端口和服务器对接时,需要确定是否需要配置聚合或者不配置聚合,并且配置聚合的时候还需要确认是静态聚合还是动态聚合,当然这和当前服务器网卡的bond模式有关。下面我们了解下Linux服务器的7种bond模式,说明如下:第一种模式:mod=0 ,即:(balance-rr) Round-robin policy(平衡抡循环策略)特点:传输数据包顺序是依次传输(即:第1个包走eth0,下一个包就走eth1….一直循环下去,直到最后一个传输完毕),此模式提供负载平衡和容错能力;但是我们知道如果一个连接转载 2022-04-07 10:04:07 · 2076 阅读 · 0 评论 -
Linux内存cache占用过高分析和优化
1、什么是buffer/cache ? buffer/cache其实是作为服务器系统的文件数据缓存使用的,尤其是针对进程对文件存在 read/write操作的时候,所以当你的服务进程在对文件进行读写的时候,Linux内核为了提高服务的读写速度,则将会把文件放在此处的 buffer/cache中进行缓存使用,由于Linux服务的特点便是任何事物都会以文件的形式进行存在,所以你会发现不管你是否对文件做了大规模的读写,机器的 buffer/cache是一直都存在的,并且持续的增高不下,这是因为...转载 2022-02-07 17:52:39 · 10439 阅读 · 0 评论 -
开源自动扫描工具OpenSCAP介绍
OpenSCAP 是一个获得`SCAP`认证的免费开源的自动化扫描,基线核查,报告和自动修复工具,目前主要由Redhat 进行维护。OpenSCAP 由工具和基线库两个部分组成,两者没有紧密的耦合关系,比如使用`http://vuls.io`也可以运行部分基线库,基线库部分功能也支持使用 ansible 和 bash 来执行。SCAP,Security Content Automation Protocol,即安全内容自动化协议。是由NIST(National Institute of Stand.转载 2021-12-01 10:21:12 · 4344 阅读 · 0 评论 -
KVM中的Hyper-V接口
前言从Windows 7开始,微软为了使Windows操作系统能够在自研的Hyper-V平台得到更好性能,在Windows操作系统内嵌了许多半虚拟化接口,这些半虚拟化接口通过TLFS规范对外公开。假设其他虚拟化平台(KVM、Xen、VMware)实现了和Hyper-V一样的接口暴露给Guest,那么Windows内部的半虚拟化特性也会被激活,此时这些虚拟化平台被称为Hyper-V兼容平台。KVM就是一个Hyper-V兼容平台,KVM提供了部分关键的兼容接口,本文将详细描述这些接口。CPUID在使转载 2021-11-29 15:19:39 · 2827 阅读 · 0 评论 -
TCM和TPM
TPM说到可信计算,就不能不提TPM安全芯片。所谓TPM安全芯片,是指符合TPM标准的安全芯片,它能有效地保护PC,防止非法用户访问。TPM标准由可信赖计算组织(Trusted Computing Group,TCG)制定。TCG的前身是多家IT巨头联合发起成立的可信赖运算平台联盟(TCPA),在2003年3月,TCPA改组为可信赖计算组织。 TCG是专门致力于制定可信计算标准的非营利性机构,它从安全的BIOS、安全的硬件、安全的操作系统、安全的网络连接等PC平台的各个方面入手来重新构建一个可信的转载 2021-11-29 11:28:21 · 4430 阅读 · 1 评论 -
galera mysql 宕机_Mariadb Galera Cluster 故障快速拉起
galera mysql 宕机_Mariadb Galera Cluster 故障快速拉起Openstack 的控制节点使用了3个节点的Mariadb Galera Cluster集群。当Mariadb集群因故障重启时,有时会遇到MariadbGalera Cluster集群无法正常启动的情况。有很多方式能将数据库拉起,但是如何做到快速启动,又不丢失数据呢?经分析日志发现Mariadb Galera Cluster节点宕机时会在日志中打印出如下信息:[Note] WSREP: New clus.转载 2021-10-29 15:39:42 · 813 阅读 · 0 评论 -
RabbitMQ heartbeat原理
RabbitMQ的heartbeat是用于客户端与RabbitMQ之间连接的存活状态检测,类似于tcp keepalives功能。本文将介绍RabbitMQ的heartbeat功能何时被创建以及如何检测连接存活状态。1. RabbitMQ连接建立的协议流程对于本文的研究主要聚焦到connection.tune和connection.tune-ok流程进行说明。2.channel_max,frame_max,heartbeat参数值说明客户端与RabbitMQ之间建立连接的流程图如上...转载 2021-10-19 16:40:40 · 1566 阅读 · 0 评论 -
Huge pages (标准大页)和 Transparent Huge pages(透明大页)
在Linux中大页分为两种:Huge pages (标准大页)和Transparent Huge pages(透明大页)。内存是以块即页的方式进行管理的,当前大部分系统默认的页大小为4096 bytes即4K。1MB内存等于256页;1GB内存等于256000页。CPU拥有内置的内存管理单元,包含这些页面的列表,每个页面通过页表条目引用。当内存越来越大的时候,CPU需要管理这些内存页的成本也就越高,这样会对操作系统的性能产生影响。...转载 2021-09-03 11:33:28 · 4378 阅读 · 0 评论 -
DNS域名解析中A、AAAA、CNAME、MX、NS、TXT、SRV、SOA、PTR各项记录的作用
域名注册完成后首先需要做域名解析,域名解析就是把域名指向网站所在服务器的IP,让人们通过注册的域名可以访问到网站。IP地址是网络上标识服务器的数字地址,为了方便记忆,使用域名来代替IP地址。域名解析就是域名到IP地址的转换过程,域名的解析工作由DNS服务器完成。DNS服务器会把域名解析到一个IP地址,然后在此IP地址的主机上将一个子目录与域名绑定。域名解析时会添加解析记录,这些记录有:A记录、AAAA记录、CNAME记录、MX记录、NS记录、TXT记录、SRV记录、URL转发。1. DNS域名解析中转载 2021-08-23 13:53:09 · 8310 阅读 · 0 评论 -
Haproxy中DNS的解析配置
默认情况下,Haproxy中的server的配置行是支持 HostName 的,并在 haproxy 中启动后,解析hostName得到IP地址,并将IP地址缓存到 haproxy 整个生命期,但这种情况会出现一个问题,如果后端服务器的hostName的 IP 更改了,无法更新已缓存的 IP 。此时haproxy就无法访问该后端服务器了,本文解决的就是这个问题。在Haproxy增加 DNS的解析设置,并在每次健康检测的时候,解析HostName,并验证。这样一旦后端服务器 HostName 对应的IP 更改转载 2021-08-17 17:19:33 · 1805 阅读 · 0 评论 -
国密算法和GmSSL介绍
GmSSL是一个开源的密码工具箱,支持SM2/SM3/SM4/SM9/ZUC等国密(国家商用密码)算法、SM2国密数字证书及基于SM2证书的SSL/TLS安全通信协议,支持国密硬件密码设备,提供符合国密规范的编程接口与命令行工具,可以用于构建PKI/CA、安全通信、数据加密等符合国密标准的安全应用。GmSSL项目是OpenSSL项目的分支,并与OpenSSL保持接口兼容。因此GmSSL可以替代应用中的OpenSSL组件,并使应用自动具备基于国密的安全能力。GmSSL项目采用对商业应用友好的类BSD开源许可证原创 2021-08-17 10:27:47 · 4542 阅读 · 0 评论 -
zookeeper的zoo.cfg配置参数详解
配置参数详解(主要是%ZOOKEEPER_HOME%/conf/zoo.cfg文件)参数名说明clientPort客户端连接server的端口,即对外服务端口,一般设置为2181吧。dataDir存储快照文件snapshot的目录。默认情况下,事务日志也会存储在这里。建议同时配置参数dataLogDir, 事务日志的写性能直接影响zk性能。tickTimeZK中的一个时间单元。ZK中所有时间都是以这个时间单元为基础,进行整数倍配置的。例如,session的最小超时时间是2*tickTi.转载 2021-06-08 11:32:54 · 1973 阅读 · 0 评论 -
rabbitMQ集群异常
执行命令:rabbitmqctl join_cluster rabbit@hostname1异常信息:unable to connect to epmd (port 4369) on vm-246: nxdomain (non-existing domain)转载 2021-06-01 17:29:47 · 3660 阅读 · 4 评论 -
Memcache---集群方案
Memcache—集群方案magent一、伪集群方案最常见的做法:memcache安装后,在一台机器或多台机器上启动多个实例,客户端配置memcache节点的ip,port即可。由客户端实现分布式缓存效果,其实是伪集群。memcache节点之间不通信,无数据备份,负载均衡由客户端实现,存在单点故障。客户端可设置故障恢复和故障转移机制。二、简单集群方案使用Magent代理组件搭建集群服务。集群特性:1)memcache节点宕机后,客户端能自动重连。2)有数据备份,比如部署了memcach转载 2021-05-19 17:39:18 · 1603 阅读 · 0 评论 -
DHCP租约时间
DHCP租约时间一旦DHCP 客户端成功地从服务器哪里取得DHCP 租约之后,除非其租约已经失效并且IP地址也重新设定回0.0.0.0,否则就无需再发送DHCPdiscover信息了,而会直接使用已经租用到的IP 地址向之前之DHCP 服务器发出DHCPrequest信息,DHCP服务器会尽量让客户端使用原来的IP地址,如果没问题的话,直接响应DHCPack 来确认则可。如果该地址已经失效或已经被其它机器使用了,服务器则会响应一个DHCPNACK 封包给客户端,要求其从新执行DHCPdiscover。转载 2021-03-31 17:56:48 · 5516 阅读 · 0 评论 -
如何远程拷贝稀疏文件(scp sparse file -- raw or qcow2)
如何远程拷贝稀疏文件?how to remote copy sparse file?何谓稀疏文件就是有空洞的文件,空洞并没有实际占用硬盘的物理空间。Linux中常见的qcow2文件和raw文件,都是稀疏文件。上图中的disk size < virtual size 的文件就是sparse file.how to query sparse file’s real size ?最通用的方式是:qemu-img info很多地方写着ls -ls [sparse file] 也能显示出 s转载 2021-03-26 20:14:47 · 2081 阅读 · 0 评论 -
HAproxy配置参数说明
HAproxy配置参数说明HAproxy配置参数说明:根据功能用途不同,其配置文件主要由五个部分组成,分别为global部分,defaults部分,frontend部分,backend部分,listen部分1)global部分用于设置全局配置参数,属于进程级的配置,通常与操作系统配置相关defaults部分 默认参数的配置部分。在些部分设置的参数,默认会自动引用到下面的frontend, backend和listen部分 frontend部分 用于设置接收用户请求的前端虚拟节点。fro转载 2021-03-17 15:13:04 · 2110 阅读 · 0 评论 -
haproxy日志格式
haproxy日志格式官网链接如下http://cbonte.github.io/haproxy-dconv/configuration-1.4.html#8英文的没办法 慢慢看吧haproxy日志级别有tcp跟http 2种 现在来讲例子吧 因为我线上没tcp的日志 我就用官网的来举例吧 (相当于翻译下)Feb 6 12:12:56 这个不用多讲吧localhost 这个大家也知道haproxy[14387] haproxy pid10.0.1.2...转载 2021-03-17 15:04:30 · 1691 阅读 · 0 评论 -
PCI/PCIe基础
PCI/PCIe基础处理器系统中的PCIPCI总线全称Peripheral Component Interconnect,它是处理器系统的一部分,属于局部总线,其主要功能是连接外部设备。PCI总线有独立的地址空间,它与处理器地址空间是隔离的。隔离两者的是一种叫做Host Bus Controller的组件。下面是一个具有PCI总线的系统的逻辑示意图:首先是CPU的结构,下面以Intel I7处理器为例:上图还没有涉及到PCI的部分,PCI部分位于上图的Chipset中(其实CP.转载 2021-03-15 17:13:43 · 491 阅读 · 0 评论 -
SSO常见解决方案及基本原理
sso完整的写法是Single Sign On,中文的意思是单点登陆,更详细的解释是:在多个应用系统中,只需要登录一次,就可以访问其他相互信任的应用系统。如果不采用单点登陆系统,那么用户访问多个应用时是这样的:但如果采用了单点登陆系统,那就简便了很多:也就是,当你有多个系统时(一般大型企业应用中会有这种需求,比如阿里巴巴),用户只需要登陆一次,即可访问所有应用系统,而不需要频繁登陆。为什么为什么要采用sso,它有什么样的应用场景呢?前面我们提了一句,就是为了增加用户体验,避免用户重复登陆。特别转载 2021-03-12 15:19:29 · 1023 阅读 · 0 评论 -
TLS termination and TLS Origination
HTTP 代理服务器两个常见的功能,TLS Termination 和 Origination。TLS Termination这可能是我们用得最多的场景了。它的主要作用是,作为一个前置代理服务器接收外部到达的加密 TLS 流量,然后将其解密为 HTTP 明文,最后再将流量转发到内部的某个服务。在实际应用中,内部的服务通常是以 HTTP 明文的方式通信,然后通过一个边界入口网关(ingress gateway)统一处理所有的 TLS 流量。这样 TLS 对所有的内部服务都是透明的,无需对每个服务去配置转载 2021-02-04 10:51:52 · 1434 阅读 · 0 评论 -
如何使用systemd-nspawn进行Linux系统恢复
systemd linux_如何使用systemd-nspawn进行Linux系统恢复systemd linux只要存在GNU / Linux系统,系统管理员就需要从根文件系统损坏,意外的配置更改或其他阻止系统启动到“正常”状态的情况中恢复。Linux发行版通常在启动时提供一个或多个菜单选项(例如,在GRUB菜单中),这些菜单选项可用于营救损坏的系统。 通常,他们在禁用大多数系统服务的情况下将系统引导到单用户模式。 在最坏的情况下,用户可以修改引导加载程序中的内核命令行,以将标准外壳用作初始化.转载 2021-02-01 16:04:00 · 1857 阅读 · 0 评论 -
容器技术:systemd-nspawn
容器是什么?一个容器就是一个用户空间实例,它能够在与托管容器的系统(叫做宿主系统)相隔离的环境中运行一个程序或者一个操作系统。这和 chroot 或 虚拟机 的思想非常类似。运行在容器中的进程是由与宿主操作系统相同的内核来管理的,但它们是与宿主文件系统以及其它进程隔离开的。什么是 systemd-nspawn?systemd 项目认为应当将容器技术变成桌面的基础部分,并且应当和用户的其余系统集成在一起。为此,systemd 提供了 systemd-nspawn,这款工具能够使用多种 Linux 技术创转载 2021-02-01 11:30:46 · 1595 阅读 · 0 评论 -
logrotate故障排除分享:使用copytruncate轮询日志文件
我使用iotop工具定期抓取本地的io统计数据,通过zabbix客户端的key发送给zabbix服务器。这样就可以在zabbix上实时看到所有服务器的io数据了。在使用过程中发现。存放io数据的文件iotop.log增长很快。为了有效利用磁盘,就使用logrotate功能,对iotop.log文件进行rotate。配置如下:/var/log/iotop.log { daily dateext rotate 5 create 0755 root root ...转载 2021-01-26 14:53:12 · 3593 阅读 · 0 评论 -
Filebeat如何保证logrotate时依然正确读取文件
我们的日志收集系统使用Filebeat来收集日志文件,部署时并没有多想,只配置了一下监控的日志文件名。上线几个月,日志监控从没出过问题。后来想想其实这里面有很多点需要考虑的,没出问题真是感谢Filebeat默认配置下想的就很周全。业务系统使用logback作为日志框架。通过查看源码,发现logback日志切割用的是JDK里File#renameTo()方法。如果该方法失败,就再尝试使用复制数据的方式切割日志。查找该方法相关资料得知,只有当源文件和目标目录处于同一个文件系统、同volumn(即window转载 2021-01-25 13:59:37 · 2541 阅读 · 4 评论 -
图解三种备份方式(LAN,LAN free,Server free)
1、LAN备份这种方式很简单,直接在生产服务器上安装备份代理,部署一台备份服务器,这样即可完成备份,不过这种方式不适合数据量非常大的环境。因为如果备份数据量非常大,会占用以太网的带宽,虽然说备份操作一般在晚上进行。但是这种方式还是不适合大数据量的情况。因此有了LAN free备份。、2、LAN free备份Lan free,顾名思义,即释放了LAN的压力。如上图所示,数据流直接从File server经过FC switch备份到Tape,而不经过Lan,这样就不会占用主网络的带宽。但是.转载 2021-01-13 11:23:12 · 5953 阅读 · 0 评论 -
防止ceph 集群 IO hang
在ceph集群的使用过程中,经常会遇到一种情况,当ceph集群出现故障,比如网络故障,导致集群无法链接时,作为客户端,所有的IO都会出现hang的现象。这样的现象对于生产业务来说是很不能忍受的。举例如下:环境./vstart.sh -l -k --bluestoreid: 338b8b2e-fe88-4f2c-af4d-2359994a7da9 application not enabled on 1 pool(s)mon: 3 daemons, quorum...转载 2021-01-12 17:23:40 · 882 阅读 · 0 评论 -
PVID和VID的理解
VID解释 VID(VLAN ID)是VLAN的标识,在交换机里面用来划分端口。比如一个交换机有8个端口,现在将port1,port2,port5三个端口的VID设置成1111,那么这三个端口就能接收vlantag=1111的数据包。 拥有和数据帧TAG标记一致的VID的物理端口,不论是否在这个VID上是Untagged Port或者tagged Port,都可以接受来自交换机内部的标记了这个TAG标记的tagged 数据帧。 拥有和数据帧TAG标记一致的VID的物理端口,只有在这个VID..转载 2021-01-11 11:31:27 · 5050 阅读 · 0 评论 -
高可用,容灾,RTO,RPO等解释
基本概念可用性(availability)是系统能够正常运行的时间比例。经常用两次故障之间的时间长度或在出现故障时系统能够恢复正常的速度来表示。可靠性(reliability)是软件系统在应用或系统错误面前,在意外或错误使用的情况下维持软件系统的功能特性的基本能力。高可用性(High Availability)是指提供在本地系统单个组件故障情况下,能继续访问应用的能力,无论这个故障是业务流程、物理设施、IT软/硬件的故障。MTBF(Mean Time Between Failure),系统.原创 2020-12-17 11:35:37 · 6832 阅读 · 1 评论 -
prometheus和zabbix的对比
一、两种监控工具的历史简介:prometheus:Kubernetes自从2012年开源以来便以不可阻挡之势成为容器领域调度和编排的领头羊,Kubernetes是Google Borg系统的开源实现,于此对应Prometheus则是Google BorgMon的开源实现。Prometheus是由SoundCloud开发的开源监控报警系统和时序列数据库。从字面上理解,Prometheus由两个部分组成,一个是监控报警系统,另一个是自带的时序数据库(TSDB)。2016年,由Google发起的Linux基金转载 2020-11-26 15:23:22 · 307 阅读 · 0 评论 -
MySQL Galera Cluster grastate.dat文件详解
介绍一个Galera 集群中非常重要的一个文件即grastate.dat,他位于MySQL的数据文件目录,即datadir1. 定位最近状态的节点当我们关闭一个节点时,其seqno会写入grastate.dat文件中,这时后续的seqno该节点将无法接收到注意数据库开启状态或者异常关闭时seqno值为-1当我们将所有节点关闭,准备重启时我们需要知道哪个节点是最后关闭的,并使用它来引导集群这时查看seqno的值即可,最大的即可2. 安全引导保护...转载 2020-11-23 16:46:22 · 1977 阅读 · 0 评论 -
Linux bridge hairpin mode
hairpin中文翻译为发卡。bridge不允许包从收到包的端口发出,比如bridge从一个端口收到一个广播报文后,会将其广播到所有其他端口。bridge的某个端口打开hairpin mode后允许从这个端口收到的包仍然从这个端口发出。这个特性用于NAT场景下,比如docker的nat网络,一个容器访问其自身映射到主机的端口时,包到达bridge设备后走到ip协议栈,经过iptables规则的dnat转换后发现又需要从bridge的收包端口发出,需要开启端口的hairpin mode。Seehttps:/.转载 2020-11-19 10:22:02 · 3098 阅读 · 0 评论