转发 加速同节点pod间通信 cilium 使用 eBPF 程序，借助 bpf_redirect() 或 bpf_redirect_peer() 等 helper 函数，快速帮助同宿主机间 的流量转发，节省了大量的内核协议栈 处理流程 pod 1 process kernel network stack raw PREROUTING mangle PREROUTING iptables 等 技术，降低了访 问延时。例如在相同环境下，service 数量达到3K，kube-proxy iptables下 的的延时为0.6ms，而cilium的延时为 0.3ms XDP 加速南北向 nodePort 访问 cilium 借助 eBPF 程序 ，能快速完 成 nodePort 、 LoadBalancer service 的解析和转发，其转发性能能比肩 DPDK 技术，且能节省大量CPU资源 kube-proxy SNAT worker node nodePort request backend endpoint tc eBPF NAT XDP eBPF NAT DSR 加速南北向 nodePort 访问 传统的 nodePort 转发，伴随着 SNAT的发生。而 Cilium 为 nodePort 提供了 native 和 IPIP 等方式的 DSR （direct server

openEuler 24.03 LTS 技术白皮书 openEuler 发布面向嵌入式领域的版本 openEuler 24.03 LTS Embedded，构建了一个相对完整的综合嵌入系统软件平台，在 南北向生态、关键技术特性、基础设施、落地场景等方面都有显著的进步。 openEuler Embedded 围绕以制造、机器人为代表的 OT 领域持续深耕，通过行业项目垂直打通，不断完善和丰富嵌入式系统 PID 为粒度，进行实时跟 踪监控。OLK 6.6 下 MPAM 重构的版本提供若干新特性： 1）完整支持 L2 cache 分区隔离和监控功能，其中关于监控功能，支持统计缓存占用量，同时监控缓存带宽流量。 2）支持任务之间根据优先级的差异，动态调整共享资源配置。 3）支持任务共享资源的保底设置。 • CPU QoS 优先级负载均衡特性：在离线混部 CPU QoS 隔离增强 , 支持多核 CPU 路由器、代理式唤醒等机制实现自适应网络模型调度，udp 多节点的组播模型，满足任意网络应用场景。 • 易用性（即插即用）：基于 LD_PRELOAD 实现业务免配套，真正实现零成本部署。 • 易运维（运维工具）：具备流量统计、指标日志、命令行等完整运维手段。 新增特性 • 新增支持单 vlan 模式、bond4 与 bond6 模式、网线插拔后网卡自愈功能。 • 全面支持鲲鹏 920 虚拟机单实例 redis

与以太网络请参考下节说明。至于偏向软件的部分则是由逻辑链接层 (logical link control, LLC) 所控制，主要在多任务处理来自上层的封包数据 (packet) 并转 成 MAC 的格式， 负责的工作包括讯息交换、流量控制、失误问题的处理等等。 Layer 3 网络 层 Network Layer 这一层是我们最感兴趣的啰，因为我们提及的 IP (Internet Protocol) 就是在这一层 定义的。 上面的路由协议与变化是相当复杂的，因为 Internet 上面的路由并不是静态的，他可以随时因为环境的变化而修订每个封包的传送方向。 举例来说，数年前在新竹因为土 木施工导致台湾西部整个网络缆线的中断。 不过南北的网络竟然还是能通，为什么呢？因为路由已经判断出西部缆线 的终止， 因此他自动的导向台湾东部的花莲路线，虽然如此一来绕了一大圈，而且造成网络的大塞车， 不过封包还 4.3. 2.3 TCP/IP 为啥每个 TCP 封包都有所谓的『状态』条件！那就是因为联机方向的不同所致啊！底下我们会进一步讨论喔！ 至于 其他的数据，就得请您自行查询网络相关书籍了！ Window (滑动窗口)主要是用来控制封包的流量的，可以告知对方目前本身有的缓冲器容量(Receive Buffer) 还可以接收封包。当 Window=0 时，代表缓冲器已经额满，所以应该要暂停传输数据。 Window 的单位是 byte。

期的芯片组通常分为两个桥接器来控制各元件的沟通， 分别是：（1）北桥：负责链接速度较快的CPU、内存与显卡 接口等元件；（2）南桥：负责连接速度较慢的设备接口， 包括硬盘、USB、网卡等等。（芯片组的南北桥与三国的 大小乔没有关系 @_@）。不过由于北桥最重要的就是 CPU 与内存之间的桥接，因此目前的主流架构中， 大多将北 桥内存控制器整合到 CPU 封装当中了。所以上图你只会看到 CPU 而没有看到以往的北桥芯片喔！ 而没有看到以往的北桥芯片喔！ 0.2 个人电脑架构与相关设备元件 2.2. 0.2 个人电脑架构与相关设备元件 - 28 - 本文档使用 书栈(BookStack.CN) 构建 Tips 早期芯片组分南北桥，北桥可以连接 CPU、内存与显卡。只是 CPU 要读写到内存的动作，还需要北桥的支 持，也就是 CPU 与内存的交流， 会瓜分掉北桥的总可用带宽，真浪费！因此目前将内存控制器整合到 CPU 后， 将内部所有的元件拆开， 并且依序列出： CPU的厂牌、型号、最高频率； 内存的容量、接口 （DDR/DDR2/DDR3 等）； 显卡的接口 （AGP/PCIe/内置） 与容量 主板的厂牌、南北桥的芯片型号、BIOS的厂牌、有无内置的网卡或声卡等 硬盘的连接接口 （SATA/SAS等）、硬盘容量、转速、缓冲内存容量等。然后再将他组装回去。注意， 拆装前务必先取得你主板的说明书，因此你可能必须要上网查询上述的各项数据。

包括硬盘、USB、网卡等等。（芯片组的南北桥与三国的大小乔没有关系 @_@）。不过由于北桥最重要的就是 CPU 与内存之间的桥接，因此目前的主流架构中， 大 多将北桥内存控制器整合到 CPU 封装当中了。所以上图你只会看到 CPU 而没有看到以往的 北桥芯片喔！ 鸟哥的 Linux 私房菜：基础学习篇 第四版 42 0.2 个人电脑架构与相关设备元件 Tips 早期芯片组分南北桥，北桥可以连接 CPU、内存与显卡。只是 将内部所有的元件拆开，并且依序列出： CPU的厂牌、型号、最高频率； 内存的容量、接口 （DDR/DDR2/DDR3 等）； 显卡的接口 （AGP/PCIe/内置） 与容量 主板的厂牌、南北桥的芯片型号、BIOS的厂牌、有无内置的网卡或声卡等 硬盘的连接接口 （SATA/SAS等）、硬盘容量、转速、缓冲内存容量等。然后再将 他组装回去。注意，拆装前务必先取得你主板的说明书，因此你可能必须要上网查 ，因此网络流量会比较大一点。 此时 Linux主机的网卡就需要比较好些的配备。其他的CPU、RAM、硬盘等等的影响就小很多。 事实上，单利用Linux作为NAT主机来分享IP是很不智的～因为PC的耗电能力比IP分享器要大 的多～ 那么为什么你还要使用Linux作为NAT呢？因为Linux NAT还可以额外的加装很多分析软件， 可以用来分析用户端的连线，或者是用来控制带宽与流量，达到更公平的带宽使用呢！

firewall-config 和 TCP Wrappers 等防火墙策略配置服务来完成数十个根据真实工作需 求而设计的防火墙策略配置实验。在完成这些实验之后，读者不仅可以熟练地过滤请 求的流量，还可以基于服务程序的名称对流量进行允许和拒绝操作，使用 Cockpit 轻 松监控系统运行状态，确保 Linux 系统的安全性万无一失。 ➢ 9 ssh ：本章讲解了如何使用 nmtui 命令配置网络参数， 命令来查看本机当前的网卡配置与网络状态等信息时，其实主要查看的就 是网卡名称、inet 参数后面的 IP 地址、ether 参数后面的网卡物理地址（又称为 MAC 地址）， 以及 RX、TX 的接收数据包与发送数据包的个数及累计流量（即下面加粗的信息内容）： [root@linuxprobe~]# ifconfig ens160: flags=4163 命令进行关闭。 7．使用 ifconfig 命令查看网络状态信息时，需要重点查看的 4 项信息分别是什么？ 这 4 项重要的信息分别是网卡名称、IP 地址、网卡物理地址以及 RX/TX 的收发流量 数据大小。 8．使用 uptime 命令查看系统负载时，对应的负载数值如果是 0.91、0.56、0.32，那么最近 15 分钟内负载压力最大的是哪个时间段？ 通过负载数值可以看出，最近

①firewalld 预定义区域 区域 说明 trusted 允许所有传入流量进入系统 public 与出流量相关（tcp）或与 ssh、dhcpv6-client 预定义服务匹配 的流量可传入 work 与出流量相关（tcp）或与 ssh、dhcpv6-client、ipp-client 预定义服务匹配 的 流量可传入 home 与出流量相关（tcp）或与 ssh、dhcpv6-client、ipp- s、Samba-client 预定义服务匹配 的流量可传入 internal 同 home external 与出流量相关（tcp）或与 ssh 预定义服务匹配 的流量可传入 dmz 与出流量相关（tcp）或与 ssh 预定义服务匹配 的流量可传入 block 与出流量相关（tcp） 的流量可传入 drop 与出流量相关（tcp） 的流量可传入 网卡的默认加入区域为 public firewalld #firewall-cmd source address="192.168.1.0/24" service name="mysql" accept' ⑥恐慌模式 Panic（会丢弃所有的入站和出站流量） #firewall-cmd --panic-on //开启恐慌模式 #firewall-cmd --panic-off //关闭恐慌模式 #firewall-cmd --query-panic

给⽬标发送各种钓⻥链接,⽐如, 利⽤各种⽬标登录⼝的钓⻥⻚⾯来窃取各种内⽹账号密码 Vpn Mail OA Net ntlm hash [ 远程模板注⼊,pdf...钓hash,国内ISP过滤SMB流量不适⽤ ] ...... 0x05 主机安全 [提权利⽤，防御重点] 以下只单独挑了⼀些在 通⽤性, 稳定性, 易⽤性, 实际成功率 都相对较好的洞 和 ⽅式 其它的⼀些"边缘性"的 利⽤都暂未提及 [Vmware ESX] 内⽹堡垒机... 内⽹运维,研发 部⻔员⼯的机器 内⽹路由,交换设备... 等等等... 针对以上的各种常规内⽹探测扫描,其实在流量上都会有⾮常清晰的表现 通过在⼀些关键节点设备/服务器上部署探针搜集流量 再配合⼤数据关联分析查找各种敏感特征,理论上是相对容易发现各类扫描探测痕迹的 针对各类已知系统⾼危 RCE 漏洞的批量探测识别与利⽤ MS08-067 极少更新,故,还是有存在的可能 ] MS17-010 CVE-2019-0708 其实针对此类漏洞的攻击利⽤识别,就显得⽐较直⽩了 通过深⼊分析每种漏洞在实际攻击利⽤过程所产⽣的⼀些典型 流量特征 和 系统⽇志即可⼤致判断 0x07 内⽹安全 [各类敏感凭证 "搜集" 与 "窃取"] 主动密码搜集 注:如下某些操作肯定是需要事先⾃⼰想办法先拿到管理权限或者在指定⽤户权限下才能正常进⾏的

• 所有程序运⾏行行在Linux裸机 • ⼏几乎全部机器器都是单点故障 • 软件升级和变更更是⾼高⻛风险活动 • ⽆无法扩容 2014架构运维问题与挑战 • 流量量⼀一年年涨5倍 • 不不变的话, ⼏几个⽉月后会被流量量压垮 2016年年架构 Demand Supply Optic Disco Geobase RTAPI Eyeball requests Trip requests 仍然运⾏行行在Linux裸机 • 服务管理理依赖Puppet和Clusto • 变更更管理理⽋欠缺 • 依赖关系混乱 2016架构运维运维与挑战 • 优步, 设⽴立北北京和上海海数据中⼼心 • Uber Eats流量量激增 三年年来的运维强化(2016-2019) 架构调整: 多活, 容器器化, 软件⽹网络 部署管理理: ⾃自动化部署uDeploy 变更更管理理: P3系统 监控优化: M3监控系统, Traffic Controller Health Controller Host B Service B Service C RPC Muttley ⼿手动发送1%流量量到新集群 服务健康检查，⾃自动流量量切换 部署管理理 •逐步部署 •Staging •Shadow •Canary •⾃自动部署 •⾃自动触发+⼈人⼯工审核 •根据监控⾃自动回滚 变更更管理理

何实现集群内服务间的高效互通、满足应用 SLA 诉求已成为数据中心面临的关键问题，对云基础设施提出了很高的要求。 基于 K8S 的云基础设施能够帮助应用实现敏捷的部署管理，但在应用流量编排方面有所欠缺，服务网格的出现很好的 弥补了 K8S 流量编排的缺陷，与 K8S 互补，真正实现敏捷的云应用开发运维。但随着对服务网格应用的逐步深入，当前服 务网格的代理架构，数据面引入了额外的时延底噪开销，已成为业界共识的性能问题。 的部署密度。 Kmesh 基于可编程内核，将服务治理下沉 OS，实现高性能服务网格数据面，服务间通信时延对比业界方案提升 5 倍。 • 支持对接遵从 XDS 协议的网格控制面（如 istio） • 流量编排能力 - 负载均衡：支持轮询等负载均衡策略。 - 路由：支持 L4、L7 路由规则。 - 灰度：支持百分比灰度方式选择后端服务策略。 • sockamp 网格加速能力：以典型的 service OS (ipstack + iptables) 服务 A 服务 B 服务 A 服务 B 服务治理 流量治理 流量治理 服务治理 OS (Kmesh) Kmesh 基于可编程内核，将流量治理下沉 OS，实现流量路径多跳变一跳 业界网格 : 路径过长导致时延性能 X 倍增长 Kmesh: 流量路径多跳变一跳 特性增强 20 openEuler 23.09 技术白皮书 注： 1. 使能