张忠琳
张忠琳

【kubernetes/k8s源码分析】calico node felix源码分析之一

github: https://github.com/projectcalico/felix

 

    本文分析数据平面內容

 

      Felix是一个守护程序,在每个 endpoints 的节点上运行。Felix 负责编制路由和 ACL 规则等,以便为该主机上的 endpoints 资源正常运行提供所需的网络连接。

     Felix负责以下任务:

  • 管理网络接口,Felix 将有关接口的一些信息写到内核,以使内核能够正确处理该 endpoint 发出的流量。 特别是,它将确保主机正确响应来自每个工作负载的ARP请求,并将为其管理的接口启用IP转发支持。它还监视网络接口的出现和消失,以便确保针对这些接口的编程得到了正确的应用。
  • 编写路由,Felix负责将到其主机上endpoints的路由编写到Linux内核FIB(转发信息库)中。 这可以确保那些发往目标主机的endpoints的数据包被正确地转发。
  • 编写 ACLs,Felix还负责将ACLs编程到Linux内核中。 这些ACLs用于确保只能在endpoints之间发送有效的网络流量,并确保endpoints无法绕过Calico的安全措施。
  • 报告状态,Felix 负责提供有关网络健康状况的数据。 特别是,它将报告配置其主机时发生的错误和问题。 该数据会被写入etcd,以使其对网络中的其他组件和操作才可见

 

Run

    -->  StartDataplaneDriver

    -->  newConnector

 

1. Run 函数

     这个函数做的事情比较多,逐个分析

// Initialising early logging config (log format and early debug settings).
//
// Parsing command line parameters.
//
// Loading datastore configuration from the environment or config file.
//
// Loading more configuration from the datastore (this is retried until success).
//
// Starting the configured internal (golang) or external dataplane driver.
//
// Starting the background processing goroutines, which load and keep in sync with the
// state from the datastore, the "calculation graph".
//
// Starting the usage reporting and prometheus metrics endpoint threads (if configured).
//
// Then, it defers to monitorAndManageShutdown(), which blocks until one of the components
// fails, then attempts a graceful shutdown.  At that point, all the processing is in
// background goroutines.
//
// To avoid having to maintain rarely-used code paths, Felix handles updates to its
// main config parameters by exiting and allowing itself to be restarted by the init
// daemon.
func Run(configFile string) {
	// Go's RNG is not seeded by default.  Do that now.
	rand.Seed(time.Now().UTC().UnixNano())

    1.1 LoadConfigFromEnvironment

"ipv6support"="false"

"felixhostname"="master-node"

"etcdcertfile"=""

"logseverityscreen"="info"

"etcdscheme"=""

"defaultendpointtohostaction"="ACCEPT"

"etcdaddr"=""

"datastoretype"="kubernetes"

"etcdkeyfile"=""

"healthenabled"="true"

"ipinipmtu"="1440"

"etcdendpoints"=""

"etcdcafile"=""

// LoadConfigFromEnvironment extracts raw config parameters (identified by
// case-insensitive prefix "felix_") from the given OS environment variables.
// An environment entry of "FELIX_FOO=bar" is translated to "foo": "bar".
func LoadConfigFromEnvironment(environ []string) map[string]string {
	result := make(map[string]string)
	for _, kv := range environ {
		splits := strings.SplitN(kv, "=", 2)
		if len(splits) < 2 {
			log.Warningf("Ignoring malformed environment variable: %#v",
				kv)
			continue
		}
		key := strings.ToLower(splits[0])
		value := splits[1]
		if strings.Index(key, "felix_") == 0 {
			splits = strings.SplitN(key, "_", 2)
			paramName := splits[1]
			log.Infof("Found felix environment variable: %#v=%#v",
				paramName, value)
			result[paramName] = value
		}
	}
	return result
}

    1.2 从配置文件 /etc/calico/felix.cfg 读取

[global]
MetadataAddr = None
LogFilePath = None
LogSeverityFile = None
LogSeveritySys = None

func LoadConfigFile(filename string) (map[string]string, error) {
	if _, err := os.Stat(filename); os.IsNotExist(err) {
		log.Infof("Ignoring absent config file: %v", filename)
		return nil, nil
	}
	data, err := ioutil.ReadFile(filename)
	if err != nil {
		return nil, err
	}
	return LoadConfigFileData(data)
}

    剩下的一堆堆也是在拿到配置,此处略

 

    1.3 StartDataplaneDriver

      调用接口 netlink.LinkByName 查找 kube-ipvs0 是否使用 IPVS

4: dummy0: mtu 1500 qdisc noop state DOWN qlen 1000
    link/ether c2:cb:fa:27:5e:c0 brd ff:ff:ff:ff:ff:ff
5: kube-ipvs0: mtu 1500 qdisc noop state DOWN 
    link/ether 62:ef:f4:5d:a5:02 brd ff:ff:ff:ff:ff:ff
    inet 10.200.254.254/32 brd 10.200.254.254 scope global kube-ipvs0
       valid_lft forever preferred_lft forever
    inet 10.200.32.204/32 brd 10.200.32.204 scope global kube-ipvs0
       valid_lft forever preferred_lft forever
    inet 10.200.112.119/32 brd 10.200.112.119 scope global kube-ipvs0
       valid_lft forever preferred_lft forever
    inet 10.200.114.89/32 brd 10.200.114.89 scope global kube-ipvs0
       valid_lft forever preferred_lft forever
    inet 10.200.0.1/32 brd 10.200.0.1 scope global kube-ipvs0
       valid_lft forever preferred_lft forever

func StartDataplaneDriver(configParams *config.Config,
	healthAggregator *health.HealthAggregator,
	configChangedRestartCallback func()) (DataplaneDriver, *exec.Cmd) {
	if configParams.UseInternalDataplaneDriver {
		log.Info("Using internal (linux) dataplane driver.")
		// If kube ipvs interface is present, enable ipvs support.
		kubeIPVSSupportEnabled := ifacemonitor.IsInterfacePresent(intdataplane.KubeIPVSInterface)
		if kubeIPVSSupportEnabled {
			log.Info("Kube-proxy in ipvs mode, enabling felix kube-proxy ipvs support.")
		}
		if configChangedRestartCallback == nil {
			log.Panic("Starting dataplane with nil callback func.")
		}

    1.3.1 mark bit

     acceptMark=0x10000 endpointMark=0xfff00000 endpointMarkNonCali=0x100000 passMark=0x20000 scratch0Mark=0x40000 scratch1Mark=0x80000

-A cali-PREROUTING -i cali+ -m comment --comment "cali:EWMPb0zVROM-woQp" -j MARK --set-xmark 0x40000/0x40000
-A cali-FORWARD -m comment --comment "cali:vjrMJCRpqwy5oRoX" -j MARK --set-xmark 0x0/0xe0000
-A cali-INPUT -m comment --comment "cali:d4znnv6_6rx6sE6M" -j MARK --set-xmark 0x0/0xfff00000
-A cali-INPUT -m comment --comment "cali:czgL26xl8reOnh13" -j MARK --set-xmark 0x0/0xf0000
-A cali-OUTPUT -m comment --comment "cali:qO3aVIhjZ5EawFCC" -j MARK --set-xmark 0x0/0xf0000
-A cali-forward-endpoint-mark -m comment --comment "cali:96HaP1sFtb-NYoYA" -j MARK --set-xmark 0x0/0xfff00000

markBitsManager := markbits.NewMarkBitsManager(configParams.IptablesMarkMask, "felix-iptables")
// Dedicated mark bits for accept and pass actions.  These are long lived bits
// that we use for communicating between chains.
markAccept, _ := markBitsManager.NextSingleBitMark()
markPass, _ := markBitsManager.NextSingleBitMark()
// Short-lived mark bits for local calculations within a chain.
markScratch0, _ := markBitsManager.NextSingleBitMark()
markScratch1, _ := markBitsManager.NextSingleBitMark()
if markAccept == 0 || markPass == 0 || markScratch0 == 0 || markScratch1 == 0 {
	log.WithFields(log.Fields{
		"Name":     "felix-iptables",
		"MarkMask": configParams.IptablesMarkMask,
	}).Panic("Not enough mark bits available.")
}

    1.3.2 NewIntDataplaneDriver

      第 2 章节讲解

intDP := intdataplane.NewIntDataplaneDriver(dpConfig)
intDP.Start()

 

2. NewIntDataplaneDriver

     这主要是设置 iptables 规则

      路径 dataplane/linux/int_dataplane.go

func NewIntDataplaneDriver(config Config) *InternalDataplane {
	log.WithField("config", config).Info("Creating internal dataplane driver.")
	ruleRenderer := config.RuleRendererOverride
	if ruleRenderer == nil {
		ruleRenderer = rules.NewRenderer(config.RulesConfig)
	}

    2.1 NewRenderer 函数

      2.1.1 根据 EndpointToHostAction:"ACCEPT",允许 workload 到 host 的数据

func NewRenderer(config Config) RuleRenderer {
	log.WithField("config", config).Info("Creating rule renderer.")
	config.validate()
	// Convert configured actions to rule slices.
	// First, what should we do with packets that come from workloads to the host itself.
	var inputAcceptActions []iptables.Action
	switch config.EndpointToHostAction {
	case "DROP":
		log.Info("Workload to host packets will be dropped.")
		inputAcceptActions = []iptables.Action{iptables.DropAction{}}
	case "ACCEPT":
		log.Info("Workload to host packets will be accepted.")
		inputAcceptActions = []iptables.Action{iptables.AcceptAction{}}
	default:
		log.Info("Workload to host packets will be returned to INPUT chain.")
		inputAcceptActions = []iptables.Action{iptables.ReturnAction{}}
	}

      2.1.2 根据 IptablesFilterAllowAction:"ACCEPT"

       filter 表允许数据包立刻通过

	// What should we do with packets that are accepted in the forwarding chain
	var filterAllowAction, mangleAllowAction iptables.Action
	switch config.IptablesFilterAllowAction {
	case "RETURN":
		log.Info("filter table allowed packets will be returned to FORWARD chain.")
		filterAllowAction = iptables.ReturnAction{}
	default:
		log.Info("filter table allowed packets will be accepted immediately.")
		filterAllowAction = iptables.AcceptAction{}
	}

      2.1.3 根据 IptablesMangleAllowAction:"ACCEPT"

      mangle 表允许数据包立刻通过

	switch config.IptablesMangleAllowAction {
	case "RETURN":
		log.Info("mangle table allowed packets will be returned to PREROUTING chain.")
		mangleAllowAction = iptables.ReturnAction{}
	default:
		log.Info("mangle table allowed packets will be accepted immediately.")
		mangleAllowAction = iptables.AcceptAction{}
	}

	return &DefaultRuleRenderer{
		Config:             config,
		inputAcceptActions: inputAcceptActions,
		filterAllowAction:  filterAllowAction,
		mangleAllowAction:  mangleAllowAction,
	}

    2.2 iptables 表需要设置的参数   

// AllHistoricChainNamePrefixes lists all the prefixes that we've used for chains.  Keeping
// track of the old names lets us clean them up.
AllHistoricChainNamePrefixes = []string{
   // Current.
   "cali-",

   // Early RCs of Felix 2.1 used "cali" as the prefix for some chains rather than
   // "cali-".  This led to name clashes with the DHCP agent, which uses "calico-" as
   // its prefix.  We need to explicitly list these exceptions.
   "califw-",
   "calitw-",
   "califh-",
   "calith-",
   "calipi-",
   "calipo-",

   // Pre Felix v2.1.
   "felix-",
}
// Most iptables tables need the same options.
iptablesOptions := iptables.TableOptions{
	HistoricChainPrefixes: rules.AllHistoricChainNamePrefixes,
	InsertMode:            config.IptablesInsertMode,
	RefreshInterval:       config.IptablesRefreshInterval,
	PostWriteInterval:     config.IptablesPostWriteCheckInterval,
	LockTimeout:           config.IptablesLockTimeout,
	LockProbeInterval:     config.IptablesLockProbeInterval,
	BackendMode:           config.IptablesBackend,
	LookPathOverride:      config.LookPathOverride,
}

    2.3 实例化 mangle nat raw filter 表

	mangleTableV4 := iptables.NewTable(
		"mangle",
		4,
		rules.RuleHashPrefix,
		iptablesLock,
		featureDetector,
		iptablesOptions)
	natTableV4 := iptables.NewTable(
		"nat",
		4,
		rules.RuleHashPrefix,
		iptablesLock,
		featureDetector,
		iptablesNATOptions,
	)
	rawTableV4 := iptables.NewTable(
		"raw",
		4,
		rules.RuleHashPrefix,
		iptablesLock,
		featureDetector,
		iptablesOptions)
	filterTableV4 := iptables.NewTable(
		"filter",
		4,
		rules.RuleHashPrefix,
		iptablesLock,
		featureDetector,
		iptablesOptions)

    2.4 开启 VXLAN,未开启,暂时略过

if config.RulesConfig.VXLANEnabled {
	routeTableVXLAN := routetable.New([]string{"vxlan.calico"}, 4, true, config.NetlinkTimeout)
	dp.routeTables = append(dp.routeTables, routeTableVXLAN)
	vxlanManager := newVXLANManager(
		ipSetsV4,
		config.MaxIPSetSize,
		config.Hostname,
		routeTableVXLAN,
		"vxlan.calico",
		config.RulesConfig.VXLANVNI,
		config.RulesConfig.VXLANPort,
		config.ExternalNodesCidrs,
	)
	go vxlanManager.KeepVXLANDeviceInSync(config.VXLANMTU)
	dp.RegisterManager(vxlanManager)
}

    2.5 根据 XDPEnabled:false,先略过

if config.XDPEnabled {
	if err := bpf.SupportsXDP(); err != nil {
		log.WithError(err).Warn("Can't enable XDP acceleration.")
	} else {
		st, err := NewXDPState(config.XDPAllowGeneric)
		if err != nil {
			log.WithError(err).Warn("Can't enable XDP acceleration.")
		} else {
			dp.xdpState = st
			dp.xdpState.PopulateCallbacks(callbacks)
			log.Info("XDP acceleration enabled.")
		}
	}
} else {
	log.Info("XDP acceleration disabled.")
}

    2.6 注册一堆 manager

     包括 ipset hostip policy endpoint floatingip masq

ipsetsManager := newIPSetsManager(ipSetsV4, config.MaxIPSetSize, callbacks)
dp.RegisterManager(ipsetsManager)
dp.ipsetsSourceV4 = ipsetsManager
dp.RegisterManager(newHostIPManager(
	config.RulesConfig.WorkloadIfacePrefixes,
	rules.IPSetIDThisHostIPs,
	ipSetsV4,
	config.MaxIPSetSize))
dp.RegisterManager(newPolicyManager(rawTableV4, mangleTableV4, filterTableV4, ruleRenderer, 4, callbacks))
epManager := newEndpointManager(
	rawTableV4,
	mangleTableV4,
	filterTableV4,
	ruleRenderer,
	routeTableV4,
	4,
	epMarkMapper,
	config.RulesConfig.KubeIPVSSupportEnabled,
	config.RulesConfig.WorkloadIfacePrefixes,
	dp.endpointStatusCombiner.OnEndpointStatusUpdate,
	callbacks)
dp.RegisterManager(epManager)
dp.endpointsSourceV4 = epManager
dp.RegisterManager(newFloatingIPManager(natTableV4, ruleRenderer, 4))
dp.RegisterManager(newMasqManager(ipSetsV4, natTableV4, ruleRenderer, config.MaxIPSetSize, 4))

    总结,主要针对 iptables 进行初始化工作,包括四个表,乱七八糟的规则

    2.6.1 hostip_mgr OnUpdate 函數

    路徑 dataplane/linux/hostip_mgr.go,更新 hostIPManager 緩存 hostIfaceToAddrs

func (m *hostIPManager) OnUpdate(msg interface{}) {
	switch msg := msg.(type) {
	case *ifaceAddrsUpdate:
		log.WithField("update", msg).Info("Interface addrs changed.")
		if m.nonHostIfacesRegexp.MatchString(msg.Name) {
			log.WithField("update", msg).Debug("Not a real host interface, ignoring.")
			return
		}
		if msg.Addrs != nil {
			m.hostIfaceToAddrs[msg.Name] = msg.Addrs
		} else {
			delete(m.hostIfaceToAddrs, msg.Name)
		}

		// Host ip update is a relative rare event. Flush entire ipsets to make it simple.
		metadata := ipsets.IPSetMetadata{
			Type:    ipsets.IPSetTypeHashIP,
			SetID:   m.hostIPSetID,
			MaxSize: m.maxSize,
		}
		m.ipsetsDataplane.AddOrReplaceIPSet(metadata, m.getCurrentMembers())
	}
}

 

3. Start 函数

    简单清晰,逐个进行分析

func (d *InternalDataplane) Start() {
	// Do our start-of-day configuration.
	d.doStaticDataplaneConfig()

	// Then, start the worker threads.
	go d.loopUpdatingDataplane()
	go d.loopReportingStatus()
	go d.ifaceMonitor.MonitorInterfaces()
}

    3.1 doStaticDataplaneConfig 函数

     配置内核参数详情看后文 rp_filter 说明部分

     /proc/sys/net/ipv4/conf/default/rp_filter 设置为 1 

// doStaticDataplaneConfig sets up the kernel and our static iptables  chains.  Should be called
// once at start of day before starting the main loop.  The actual iptables programming is deferred
// to the main loop.
func (d *InternalDataplane) doStaticDataplaneConfig() {
	// Check/configure global kernel parameters.
	d.configureKernel()

	// Endure that the default value of rp_filter is set to "strict" for newly-created
	// interfaces.  This is required to prevent a race between starting an interface and
	// Felix being able to configure it.
	writeProcSys("/proc/sys/net/ipv4/conf/default/rp_filter", "1")

【kubernetes/k8s源码分析】calico node felix源码分析之一_第1张图片

【kubernetes/k8s源码分析】calico node felix源码分析之一_第2张图片

         引用网上其他同学的图片 

    3.1.1 raw 表规则链

        Raw表——两个链:OUTPUT、PREROUTING,作用:决定数据包是否被状态跟踪机制处理 内核模块:iptable_raw

for _, t := range d.iptablesRawTables {
	rawChains := d.ruleRenderer.StaticRawTableChains(t.IPVersion)
	t.UpdateChains(rawChains)
	t.SetRuleInsertions("PREROUTING", []iptables.Rule{{
		Action: iptables.JumpAction{Target: rules.ChainRawPrerouting},
	}})
	t.SetRuleInsertions("OUTPUT", []iptables.Rule{{
		Action: iptables.JumpAction{Target: rules.ChainRawOutput},
	}})
}

    3.1.2 filter 表规则链

       filter表——三个链:INPUT、FORWARD、OUTPUT,作用:过滤数据包 内核模块:iptables_filter.

for _, t := range d.iptablesFilterTables {
	filterChains := d.ruleRenderer.StaticFilterTableChains(t.IPVersion)
	t.UpdateChains(filterChains)
	t.SetRuleInsertions("FORWARD", []iptables.Rule{{
		Action: iptables.JumpAction{Target: rules.ChainFilterForward},
	}})
	t.SetRuleInsertions("INPUT", []iptables.Rule{{
		Action: iptables.JumpAction{Target: rules.ChainFilterInput},
	}})
	t.SetRuleInsertions("OUTPUT", []iptables.Rule{{
		Action: iptables.JumpAction{Target: rules.ChainFilterOutput},
	}})
}

    3.2 loopUpdatingDataplane

func (d *InternalDataplane) loopUpdatingDataplane() {
	log.Info("Started internal iptables dataplane driver loop")
	healthTicks := time.NewTicker(healthInterval).C
	d.reportHealth()

    3.2.1 定义函数 processMsgFromCalcGraph

processMsgFromCalcGraph := func(msg interface{}) {
	log.WithField("msg", proto.MsgStringer{Msg: msg}).Infof(
		"Received %T update from calculation graph", msg)
	d.recordMsgStat(msg)
	for _, mgr := range d.allManagers {
		mgr.OnUpdate(msg)
	}
	switch msg.(type) {
	case *proto.InSync:
		log.WithField("timeSinceStart", time.Since(processStartTime)).Info(
			"Datastore in sync, flushing the dataplane for the first time...")
		datastoreInSync = true
	}
}

    3.2.2 定義 processIfaceUpdate 函數

processIfaceUpdate := func(ifaceUpdate *ifaceUpdate) {
	log.WithField("msg", ifaceUpdate).Info("Received interface update")
	if ifaceUpdate.Name == KubeIPVSInterface {
		d.checkIPVSConfigOnStateUpdate(ifaceUpdate.State)
		return
	}

	for _, mgr := range d.allManagers {
		mgr.OnUpdate(ifaceUpdate)
	}
	for _, routeTable := range d.routeTables {
		routeTable.OnIfaceStateChanged(ifaceUpdate.Name, ifaceUpdate.State)
	}
}

      for 循环一大堆 channel 这些就是传来传去的

 

      比较重要的执行了 apply 函数,第 4 章节讲解

     

    3.3 MonitorInterfaces 函数

      路径 iface_monitor/iface_monitor.go

      使用 updates 與 addrUpdates 來監管 iface 與 addr 的變化更新

func (m *InterfaceMonitor) MonitorInterfaces() {
	log.Info("Interface monitoring thread started.")

	updates := make(chan netlink.LinkUpdate, 10)
	addrUpdates := make(chan netlink.AddrUpdate, 10)
	if err := m.netlinkStub.Subscribe(updates, addrUpdates); err != nil {
		log.WithError(err).Panic("Failed to subscribe to netlink stub")
	}
	log.Info("Subscribed to netlink updates.")

	// Start of day, do a resync to notify all our existing interfaces.  We also do periodic
	// resyncs because it's not clear what the ordering guarantees are for our netlink
	// subscription vs a list operation as used by resync().
	err := m.resync()
	if err != nil {
		log.WithError(err).Panic("Failed to read link states from netlink.")
	}

    3.4 onIfaceAddrsChange 函數

     如果 iface 有更新,則調用該函數,扔到 channel ifaceAddrUpdates 中

// onIfaceAddrsChange is our interface address monitor callback.  It gets called
// from the monitor's thread.
func (d *InternalDataplane) onIfaceAddrsChange(ifaceName string, addrs set.Set) {
	log.WithFields(log.Fields{
		"ifaceName": ifaceName,
		"addrs":     addrs,
	}).Info("Linux interface addrs changed.")
	d.ifaceAddrUpdates <- &ifaceAddrsUpdate{
		Name:  ifaceName,
		Addrs: addrs,
	}
}

 

loopUpdatingDataplane

      -->  apply

               -->  CompleteDeferredWork

 

4. apply 函数在数据平面更新操作

func (d *InternalDataplane) apply() {
	// Update sequencing is important here because iptables rules have dependencies on ipsets.
	// Creating a rule that references an unknown IP set fails, as does deleting an IP set that
	// is in use.

	// Unset the needs-sync flag, we'll set it again if something fails.
	d.dataplaneNeedsSync = false

    4.1 注册的 managers 更新 ipset 和 iptables

       包括 ipset hostip policy endpoint floatingip masq

// First, give the managers a chance to update IP sets and iptables.
for _, mgr := range d.allManagers {
	err := mgr.CompleteDeferredWork()
	if err != nil {
		d.dataplaneNeedsSync = true
	}
}

    4.2 将每一个路由表结构至为非 insync

if d.forceRouteRefresh {
	// Refresh timer popped.
	for _, r := range d.routeTables {
		// Queue a resync on the next Apply().
		r.QueueResync()
	}
	d.forceRouteRefresh = false
}

    4.3 ipSets ApplyUpdates

       主要是调用 ipset list 与 ipset restore 命令同步与更新操作

       看文章 https://blog.csdn.net/zhonglinzhang/article/details/98174781 第 2 章节分析

    4.4 routetable Apply 函数

       主要功能是调用 route add 添加路由,如果 ipv4 有mac地址则添加静态 arp 

// Update the routing table in parallel with the other updates.  We'll wait for it to finish
// before we return.
var routesWG sync.WaitGroup
for _, r := range d.routeTables {
	routesWG.Add(1)
	go func(r *routetable.RouteTable) {
		err := r.Apply()
		if err != nil {
			log.Warn("Failed to synchronize routing table, will retry...")
			d.dataplaneNeedsSync = true
		}
		routesWG.Done()
	}(r)
}

 

5. 实例化 DataplaneConnector

func newConnector(configParams *config.Config,
	configUpdChan chan<- map[string]string,
	datastore bapi.Client,
	dataplane dp.DataplaneDriver,
	failureReportChan chan<- string,
) *DataplaneConnector {
	felixConn := &DataplaneConnector{
		config:                     configParams,
		configUpdChan:              configUpdChan,
		datastore:                  datastore,
		ToDataplane:                make(chan interface{}),
		StatusUpdatesFromDataplane: make(chan interface{}),
		InSync:                     make(chan bool, 1),
		failureReportChan:          failureReportChan,
		dataplane:                  dataplane,
	}
	return felixConn
}

 

数据平面总结:

     建立 iptables 规则,更新 Ipset 表

     更新路由

 

rp_filter 说明

     reverse-pathfiltering,反向过滤技术,系统在接收到一个IP包后,检查该IP是不是合乎要求,不合要求的IP包会被系统丢弃。该技术就称为rpfilter。

     例如,用户在A网口上收到一个IP包,检查其IP为B。然后考查:对于B这个IP,在发送时应该用哪个网口,“如果在不应该接收到该包的网口上接收到该IP包,则认为该IP包是hacker行为”。

  参数示例

假设机器有2个网口:

eth0: 192.168.1.100

eth1:200.153.1.122

数据包源IP:10.75.153.98,目的IP:200.153.1.122

系统路由表配置为:

[root@localhost ~]# route -n

Kernel IP routing table

Destination     Gateway         Genmask         Flags Metric Ref    Use Iface

default      192.168.1.234      0.0.0.0       UG    0      0        0 eth0  

192.168.120.0   0.0.0.0         255.255.255.0   U     0      0        0 eth0

10.75.153.98    0.0.0.0         255.255.255.0   U     0      0        0 eth0

系统rp_filter参数的配置为:

[root@localhost ~]# sysctl -a | grep rp_filter

net.ipv4.conf.all.rp_filter=1

net.ipv4.conf.default.rp_filter=1

  如上所示,数据包发到了eth1网卡,如果这时候开启了rp_filter参数,并配置为1,则系统会严格校验数据包的反向路径。从路由表中可以看出,返回响应时数据包要从eth0网卡出,即请求数据包进的网卡和响应数据包出的网卡不是同一个网卡,这时候系统会判断该反向路径不是最佳路径,而直接丢弃该请求数据包。(业务进程也收不到该请求数据包)

【kubernetes/k8s源码分析】calico node felix源码分析之一_第3张图片

   

开启rp_filter参数的作用

1. 减少DDoS攻击

校验数据包的反向路径,如果反向路径不合适,则直接丢弃数据包,避免过多的无效连接消耗系统资源。

2. 防止IP Spoofing

校验数据包的反向路径,如果客户端伪造的源IP地址对应的反向路径不在路由表中,或者反向路径不是最佳路径,则直接丢弃数据包,不会向伪造IP的客户端回复响应。

 

    参考: https://www.cnblogs.com/lipengxiang2009/p/7446388.html 

你可能感兴趣的:(kubernetes,CNI,网络)

  • 目标检测实践过程中,遇到“No module named ‘torch._six’”报错的一个快速解决方案(无需重装PyTorch) Cold_Rain02 深度学习Python目标检测人工智能计算机视觉
    很多人在按照网络、书籍教程中的流程尝试自己实现一个基于Faster-RCNN的目标检测模型时,如果调用了PyTorch官方github上的文件时,coco_eval.py文件中会触发报错。1.报错原因PyTorch在2.0之后的版本中移除了_six,导致在coco_eval.py中调用torch._six失败2.解决方案(1)直接根据代码内容修改代码我们仔细观察coco_eval.py的代码,发现
  • python3+TensorFlow 2.x 基础学习(一) 刀客123 python学习tensorflow学习人工智能
    目录TensorFlow2.x基础1、安装TensorFlow2.x2、TensorFlow2.x基础概念2、1EagerExecution2、2TensorFlow张量(Tensor)3、使用Keras构建神经网络模型3、1构建Sequential模型3、2编译模型1、Optimizer(优化器)2、Loss(损失函数)3、Metrics(评估指标)3、3训练模型3、4评估模型3、5预测4、使用
  • 【Java】已解决:java.util.concurrent.ExecutionException HoRain云小助手 java开发语言
    HoRain云小助手:个人主页个人专栏:《Linux系列教程》《c语言教程》⛺️生活的理想,就是为了理想的生活!⛳️推荐前些天发现了一个超棒的服务器购买网站,性价比超高,大内存超划算!忍不住分享一下给大家。点击跳转到网站。专栏介绍专栏名称专栏介绍《C语言》本专栏主要撰写C干货内容和编程技巧,让大家从底层了解C,把更多的知识由抽象到简单通俗易懂。《网络协议》本专栏主要是注重从底层来给大家一步步剖析网
  • 【Java】已解决:jorg.springframework.beans.factory.BeanDefinitionStoreException HoRain云小助手 java开发语言
    HoRain云小助手:个人主页个人专栏:《Linux系列教程》《c语言教程》⛺️生活的理想,就是为了理想的生活!⛳️推荐前些天发现了一个超棒的服务器购买网站,性价比超高,大内存超划算!忍不住分享一下给大家。点击跳转到网站。专栏介绍专栏名称专栏介绍《C语言》本专栏主要撰写C干货内容和编程技巧,让大家从底层了解C,把更多的知识由抽象到简单通俗易懂。《网络协议》本专栏主要是注重从底层来给大家一步步剖析网
  • 什么是BT种子、迅雷下载链接、磁力链接 HoRain云小助手 服务器运维
    ‌BT种子、迅雷下载链接、磁力链接是在网络上分享和下载文件时常用的标识方式,它们各自具有不同的特点和用途BT种子(BitTorrent种子):1.BT种子是一种包含文件元数据的小文件,用于描述要下载的文件或资源。2.BT种子文件通常以.torrent为扩展名,它包含了文件的名称、大小、哈希值和下载地址等信息。3.BT种子文件可以通过BitTorrent协议进行传输和下载。4.当用户打开BT种子文件
  • 经典卷积网络算法-VGG16 終不似少年遊* 人工智能学习进阶网络算法python人工智能神经网络图像识别
    目录前言TensorFlow2.x中的tf.keras.applications使用示例主要参数迁移学习TensorFlow2.x的优势VGG16前置理解:全连接池化层具体作用与1x1池化的区别使用场景示例与1x1池化的对比总结VGG16的原始结构全局平均池化层在VGG16中的应用1.替代全连接层2.优势修改后的VGG16结构示例修改后的模型结构对比原始VGG16和修改后的模型使用场景总结前言ti
  • 如何理解分布式光纤测温DTS的分布式的概念? 无锡布里渊 分布式
    分布式传感技术是一种相对于点式传感技术的创新型传感方式,通过将传感器分散在整个被测区域内,形成一个连续的传感网络。相较于传统的点式传感技术,分布式传感技术具有许多独特的优势。以温度传感为例,让我们来深入了解其应用与优势。假设我们在一个被测区域内,使用1000个温度传感器间隔1米串联,每个传感器的尺寸为5毫米。当我们在其中一个传感器附近使用打火机进行近距离加热时,这个传感器可以感知到温度的变化。然而
  • 消息队列篇--通信协议篇--网络通信模型(OSI7层参考模型,TCP/IP分层模型) weisian151 消息队列篇tcp/ip网络网络协议
    一、OSI参考模型(OpenSystemsInterconnectionModel)OSI参考模型是一个用于描述和标准化网络通信功能的七层框架。它由国际标准化组织(ISO)提出,旨在为不同的网络设备和协议提供一个通用的语言和结构,以促进相互操作和标准化。OSI模型将网络通信过程划分为七个层次,每一层都有特定的功能,并与相邻层进行交互。从下到上,这七层分别是:1、物理层(PhysicalLayer)
  • 2025数学建模美赛——神经网络预测模型详解 前程算法屋 数学建模教程数学建模神经网络人工智能
    2025数学建模美赛——神经网络预测模型详解一、神经网络预测模型基础1.1、神经网络概述神经网络是一种模拟人脑神经元工作方式的计算模型,它由大量的节点(或称为神经元)组成,这些节点通过连接权重相互连接。这种模型能够进行复杂的非线性数据处理,通过调整连接权重,可以从数据中学习到复杂的模式和关系。神经网络的基本结构包括输入层、隐藏层和输出层。输入层接收外部数据,隐藏层对数据进行处理,输出层则给出模型的
  • 2025年转行进入网络安全领域薪资及工作安排与前景如何 程序员羊羊 学习web安全安全开发语言服务器
    如果你计划在2025年转行到网络安全领域,以下是一些建议,可以帮助你顺利过渡并打下坚实的基础:1.薪资情况初级职位(0-3年经验)薪资范围:大约8k-15k/月(根据地区、公司规模和工作内容有所不同)。职位类型:包括网络安全运维、信息安全管理员、安全工程师等。工作内容:监控网络、实施基本的安全防护措施、分析安全事件日志等。中级职位(3-7年经验)薪资范围:大约15k-30k/月。职位类型:包括网络
  • [Python从零到壹] 七十七.图像识别及经典案例篇之目标检测入门普及和ImageAI对象检测详解 Eastmount Python从零到壹python目标检测ImageAI图像是被基础系列
    欢迎大家来到“Python从零到壹”,在这里我将分享约200篇Python系列文章,带大家一起去学习和玩耍,看看Python这个有趣的世界。所有文章都将结合案例、代码和作者的经验讲解,真心想把自己近十年的编程经验分享给大家,希望对您有所帮助,文章中不足之处也请海涵。Python系列整体框架包括基础语法10篇、网络爬虫30篇、可视化分析10篇、机器学习20篇、大数据分析20篇、图像识别30篇、人工智
  • PON 网络相关 星寂樱易李 网络网络智能路由器网络协议信息与通信
    应用层传输层--四层交换机四层路由器网络层--三层交换机路由器链路层–以太网交换机网卡物理层–中继器集线器双绞线PON系统分为三部分,分别是OLT(光线路终端)、ODN(无源光分路器)和ONU(光网络单元)OLT--光线路终端OLT是PON网络中的核心设备,通常位于运营商的局端。它负责与核心网络进行连接,同时为ONU提供光信号。OLT具有多个PON端口,可以支持多个用户同时接入。OLT的主要功能包
  • CNN+LSTM+AM研究方向初尝试 qzhqbb 勇闯学术圈机器学习cnnlstm人工智能笔记
    CNN+LSTM+AM研究方向初尝试简单介绍CNNCNN的基本结构卷积层(ConvolutionalLayer):该层通过卷积操作提取输入数据的特征。卷积操作使用多个卷积核(滤波器)对输入图像进行局部感知,从而识别出边缘、纹理等基本特征。卷积层的输出称为特征图(FeatureMap)。激活层(ActivationLayer):常用的激活函数包括ReLU(线性整流单元),用于引入非线性,使网络能够学
  • Greenplum基础 Aimyon_36 PostgreSqlpostgresql数据库
    Greenplum基础MPP架构一、Greenplum架构1.1Master/Coordinator节点1.2Segment节点1.3Interconnect二、Greenplum基本使用2.1登录2.2数据类型2.2.1枚举类型2.2.2几何类型2.2.3网络地址类型2.2.4JSON类型2.2.5数组类型2.2.6复合类型三、DDL(DataDefinitionLanguage)数据定义语言3
  • 探秘Xss:原理、类型与防范全解析 咕德猫宁丶 网络xssjava
    一、Xss究竟是什么?(一)Xss的定义简述Xss全称是跨站脚本攻击(CrossSiteScripting),为了不和层叠样式表(CascadingStyleSheets,CSS)的缩写混淆,故将其缩写为Xss。它是一种常见的网络安全漏洞,指的是攻击者利用网站对用户输入内容校验不严格等漏洞,将恶意脚本(通常是JavaScript,也可以是Java、VBScript、ActiveX、Flash等)注
  • 从零开始搭建 Maven 私有仓库并上传 Jar 包 咕德猫宁丶 mavenjar
    一、为何搭建Maven私有仓库?在开发过程中,搭建Maven私有仓库有着诸多重要的优势,以下为你详细阐述:加速依赖下载当我们进行项目构建时,如果依赖的是公共的Maven中央仓库,由于使用人数众多且服务器可能位于国外等因素,下载速度往往会受到影响,特别是在网络环境不佳或者需要频繁下载大量依赖的时候,等待时间会很长。而搭建了私有仓库后,对于已经下载过的依赖,后续项目再次使用时可以直接从本地的私有仓库获
  • 【面试】【详解】计算机网络(TCP 三次握手,四次挥手) 患得患失949 面试考题专栏(前后端)面试计算机网络tcp/ip
    一、计算机网络详解(一)计算机网络概述定义:计算机网络是通过传输介质将多台计算机连接起来,以实现数据通信和资源共享的系统。功能:(1)数据通信:实现不同设备之间的数据传输。(2)资源共享:硬件资源(如打印机)和软件资源(如数据库)共享。(3)分布式处理:多台计算机协作完成任务。(二)TCP三次握手1.定义TCP(三次握手)是建立可靠连接的重要步骤,确保双方准备好通信并初始化必要的参数。2.过程详解
  • Nginx Stream模块的安装与配置 m0_74823947 nginx运维
    首先检查是否启用Stream模块如果你的系统上没有找到ngx_stream_module.so文件,这可能意味着在你的Nginx安装中没有启用Stream模块。Stream模块用于处理TCP和UDP流量,通常用于代理、负载均衡和其他网络层级的操作。要启用Stream模块,你需要重新编译Nginx并在编译选项中包含--with-stream。这将确保Stream模块被编译并生成ngx_stream_
  • 激石官网是哪个? jishigw 行业资讯区块链业界资讯
    在互联网时代,官方网站是公司形象和信息传递的关键平台。今天,我们来介绍激石的官网。激石官网地址激石的官网地址是平台集成了激石的产品信息、新闻动态、客户服务等,方便用户获取最新资讯和服务。官网地址变更由于国内网络政策的变化,激石官网地址可能会定期更新。如果无法访问官网,可能是网址已更改或暂时的网络问题。如何获取最新官网地址获取激石最新官网地址的方法很简单:可以联系在线客服,我们会即时提供更新的官网链
  • 分布式架构 linzheda
    什么是分布式架构分布式系统(distributedsystem)是建立在网络之上的软件系统。内聚性是指每一个数据库分布节点高度自治,有本地的数据库管理系统。透明性是指每一个数据库分布节点对用户的应用来说都是透明的,看不出是本地还是远程。在分布式数据库系统中,用户感觉不到数据是分布的,即用户不须知道关系是否分割、有无副本、数据存于哪个站点以及事务在哪个站点上执行等。简单来讲:在一个分布式系统中,一组
  • 《Go底层原理与工程化实践》发布啦! go后端
    为什么要深入学习Go语言  Go语言是目前的主流语言之一,具有入门快、高性能、开发效率高等特点,目前越来越多的互联网企业都在使用Go语言。另外,原生体系中的Kubernetes、Docker等开源项目就是基于Go语言开发的,想要深入研究云原生技术,就必须精通Go语言。最后,只有对Go语言底层有一定了解,才能开发出高性能、高可用的Go服务,并在解决线上问题、性能调优时游刃有余。本书特色掌握Go高并发
  • 100%全国产化时钟服务器、全国产化校时服务器、全国产化授时服务器 小歆884 服务器运维
    全国产化时钟服务器是指采用国产芯片、操作系统、软件等关键技术和组件,实现从硬件到软件的自主可控,能够为各种网络设备和系统提供高精度时间同步服务的设备,以下将从其特点、应用领域、代表产品等维度展开介绍:计算机网络、计算机应用系统、流程控制管理系统、电力厂(站)和电网中心调度的时间统一系统及各种时间显示屏、电子商务系统、B2B网上系统以及数据库的保存及维护等系统、广电、金融、移动通信、石油、电力、交通
  • “选择最佳数据库解决方案:MySQL、SQL Server 和 PostgreSQL 的比较与实际应用指南“ AMIOKATT 数据库mysqlpostgresql
    目录典型中高端数据库服务器硬件配置CPU内存存储网络操作系统不同数据库系统在上述硬件上的性能表现MySQLPostgreSQLSQLServer具体硬件配置示例示例配置1:中小型Web应用示例配置2:复杂查询和事务处理示例配置3:企业级数据仓库和分析其他优化建议典型中高端数据库服务器硬件配置CPU型号:IntelXeon或AMDEPYC系列核心数:8至32个物理核心(多线程,通常2倍的逻辑核心)主
  • Pinterest打不开怎么办?先从这几个方面排查 跨境一哥 人工智能大数据物联网网络搜索引擎ip
    Pinterest作为社交种草、推广营销和灵感分享的重要平台,是众多用户的每日必用工具。如果无法正常打开和使用,必然会有不小的负面影响。可以参考本文整理的可能原因和解决方法。一、可能原因1.网络连接问题移动数据网络信号弱、网络延迟严重、Wi-Fi信号不稳定、Pinterest联网权限未打开……这些都是导致Pinterest打不开的常见网络连接问题。2.浏览器问题使用的浏览器缓存文件太冗杂、Cook
  • “2022年江苏省职业院校技能大赛”高职组详解——Debian 你可知这世上再难遇我 2022全国职业技能大赛网络系统管理-Debiandebian运维网络系统管理
    目录网络系统管理竞赛一、竞赛内容分布二、竞赛时间三、竞赛注意事项四、竞赛结果文件的提交第一部分:Linux网络服务一、竞赛简介二、初始化环境1.默认账号及默认密码2.操作系统配置三、项目任务描述1.拓扑图2.网络地址规划ISPSRVAppSrvSTORAGESRVROUTERSRVINSIDECLIOUTSIDECLI四、项目任务清单服务器IspSrv工作任务1.DHCP2.DNS3.CHRONY
  • 2023年 全国职业院校技能大赛——网络系统管理:Windows & Linux 服务部署“答题卡“ 你可知这世上再难遇我 windowslinux运维网络系统管理
    目录服务部署答题卡(400)职业素养(25)Windows部分(150)Linux部分(225)服务部署答题卡(400)要求:使用下面指令查看其运行状态,并使用FSCapture截图软件进行截图,将输入结果的截图插入到文档中。职业素养(25)截图文档整洁规范,根据题目要求进行截图。整理赛位,工具、设备归位,保持赛后整洁有序。遵守赛项记录,听从裁判安排。Windows部分(150)基础配置任务查看D
  • SQL进阶——优化思路 mjr sql数据库
    优化注意事项:尽量避免使用select*在实际业务场景中,真正需要使用的只有其中一两列。写SQL语句时,有时候为了方便,直接使用select*,一次性查出表中所有列的数据。多查出来的数据,在网络传输的过程中,会增加数据传输的时间。更重要的是,select不会走覆盖索引,会出现大量的回表操作,从而导致查询性能很低。小表驱动大表即用小表的数据集驱动大表的数据集。假如有order和user两张表,其中o
  • 介绍图片的三种格式:GIF、JPEG、PNG 水银嘻嘻 基础知识
    如今的网络缺少不了图片,但是我们应该把我们的图片设置为哪种格式最为合适呢?下面就简单介绍我们应该知道的图片格式知识:GIF格式GIF格式LZW压缩,是以压缩相同颜色的色块来减少图像大小的。由于LZW压缩不会造成任何品质上的损失,且压缩效率高,再加上GIF在各种平台上都可使用,所以很适合在互联网上使用,所以很适合在互联网上使用,但GIF只能处理256色。JPEG格式对于照片之类的全彩的图像,通常都以
  • shell经典面试题2 酥暮沐 linux服务器
    1、需求:判断192.168.8.0/24网络中,当前在线的ip有哪些,并编写脚本打印出来。#实际应该是{1..255},下列为实例:foriin{128..135};doping-c1192.168.8.$i&>/dev/nullif[$?-eq0];thenecho"$iisonline..."elseecho"$iisnotexit..."fidone2、设计一个Shell程序,在/user
  • 深入探讨:如何在 Debian 系统中实施有效的安全配置 Echo_Wish 运维探秘让你快速入坑运维debian安全运维
    深入探讨:如何在Debian系统中实施有效的安全配置在如今的网络环境中,服务器的安全配置已经成为每个运维工程师的必备技能。无论是个人网站还是企业应用,确保服务器的安全性都是至关重要的。作为一名运维领域的自媒体创作者,我将分享一些在Debian系统中实施安全配置的技巧。这些技巧不仅能够提升服务器的安全性,还能帮助你防范常见的安全威胁。一、系统更新与包管理1.1定期更新系统保持系统和软件的最新状态是确
  • 分享100个最新免费的高匿HTTP代理IP mcj8089 代理IP代理服务器匿名代理免费代理IP最新代理IP
      推荐两个代理IP网站:   1. 全网代理IP:http://proxy.goubanjia.com/   2. 敲代码免费IP:http://ip.qiaodm.com/     120.198.243.130:80,中国/广东省 58.251.78.71:8088,中国/广东省 183.207.228.22:83,中国/
  • mysql高级特性之数据分区 annan211 java数据结构mongodb分区mysql
    mysql高级特性 1 以存储引擎的角度分析,分区表和物理表没有区别。是按照一定的规则将数据分别存储的逻辑设计。器底层是由多个物理字表组成。 2 分区的原理 分区表由多个相关的底层表实现,这些底层表也是由句柄对象表示,所以我们可以直接访问各个分区。存储引擎管理分区的各个底层 表和管理普通表一样(所有底层表都必须使用相同的存储引擎),分区表的索引只是
  • JS采用正则表达式简单获取URL地址栏参数 chiangfai js地址栏参数获取
    GetUrlParam:function GetUrlParam(param){ var reg = new RegExp("(^|&)"+ param +"=([^&]*)(&|$)"); var r = window.location.search.substr(1).match(reg); if(r!=null
  • 怎样将数据表拷贝到powerdesigner (本地数据库表) Array_06 powerDesigner
    ================================================== 1、打开PowerDesigner12,在菜单中按照如下方式进行操作 file->Reverse Engineer->DataBase 点击后,弹出 New Physical Data Model 的对话框 2、在General选项卡中 Model name:模板名字,自
  • logbackのhelloworld 飞翔的马甲 日志logback
    一、概述 1.日志是啥? 当我是个逗比的时候我是这么理解的:log.debug()代替了system.out.print(); 当我项目工作时,以为是一堆得.log文件。 这两天项目发布新版本,比较轻松,决定好好地研究下日志以及logback。 传送门1:日志的作用与方法: http://www.infoq.com/cn/articles/why-and-how-log 上面的作
  • 新浪微博爬虫模拟登陆 随意而生 新浪微博
    转载自:http://hi.baidu.com/erliang20088/item/251db4b040b8ce58ba0e1235     近来由于毕设需要,重新修改了新浪微博爬虫废了不少劲,希望下边的总结能够帮助后来的同学们。      现行版的模拟登陆与以前相比,最大的改动在于cookie获取时候的模拟url的请求
  • synchronized 香水浓 javathread
        Java语言的关键字,可用来给对象和方法或者代码块加锁,当它锁定一个方法或者一个代码块的时候,同一时刻最多只有一个线程执行这段代码。当两个并发线程访问同一个对象object中的这个加锁同步代码块时,一个时间内只能有一个线程得到执行。另一个线程必须等待当前线程执行完这个代码块以后才能执行该代码块。然而,当一个线程访问object的一个加锁代码块时,另一个线程仍然
  • maven 简单实用教程 AdyZhang maven
    1. Maven介绍  1.1. 简介 java编写的用于构建系统的自动化工具。目前版本是2.0.9,注意maven2和maven1有很大区别,阅读第三方文档时需要区分版本。 1.2. Maven资源 见官方网站;The 5 minute test,官方简易入门文档;Getting Started Tutorial,官方入门文档;Build Coo
  • Android 通过 intent传值获得null aijuans android
    我在通过intent 获得传递兑现过的时候报错,空指针,我是getMap方法进行传值,代码如下 1 2 3 4 5 6 7 8 9 public void getMap(View view){            Intent i =
  • apache 做代理 报如下错误:The proxy server received an invalid response from an upstream baalwolf response
    网站配置是apache+tomcat,tomcat没有报错,apache报错是: The proxy server received an invalid response from an upstream server. The proxy server could not handle the request GET /. Reason: Error reading fr
  • Tomcat6 内存和线程配置 BigBird2012 tomcat6
    1、修改启动时内存参数、并指定JVM时区 (在windows server 2008 下时间少了8个小时) 在Tomcat上运行j2ee项目代码时,经常会出现内存溢出的情况,解决办法是在系统参数中增加系统参数:  window下, 在catalina.bat最前面 set JAVA_OPTS=-XX:PermSize=64M -XX:MaxPermSize=128m -Xms5
  • Karam与TDD bijian1013 KaramTDD
    一.TDD         测试驱动开发(Test-Driven Development,TDD)是一种敏捷(AGILE)开发方法论,它把开发流程倒转了过来,在进行代码实现之前,首先保证编写测试用例,从而用测试来驱动开发(而不是把测试作为一项验证工具来使用)。         TDD的原则很简单: a.只有当某个
  • [Zookeeper学习笔记之七]Zookeeper源代码分析之Zookeeper.States bit1129 zookeeper
    public enum States { CONNECTING, //Zookeeper服务器不可用,客户端处于尝试链接状态 ASSOCIATING, //??? CONNECTED, //链接建立,可以与Zookeeper服务器正常通信 CONNECTEDREADONLY, //处于只读状态的链接状态,只读模式可以在
  • 【Scala十四】Scala核心八:闭包 bit1129 scala
    Free variable A free variable of an expression is a variable that’s used inside the expression but not defined inside the expression. For instance, in the function literal expression (x: Int) => (x
  • android发送json并解析返回json ronin47 android
    package com.http.test; import org.apache.http.HttpResponse; import org.apache.http.HttpStatus; import org.apache.http.client.HttpClient; import org.apache.http.client.methods.HttpGet; import
  • 一份IT实习生的总结 brotherlamp PHPphp资料php教程php培训php视频
    今天突然发现在不知不觉中自己已经实习了 3 个月了,现在可能不算是真正意义上的实习吧,因为现在自己才大三,在这边撸代码的同时还要考虑到学校的功课跟期末考试。让我震惊的是,我完全想不到在这 3 个月里我到底学到了什么,这是一件多么悲催的事情啊。同时我对我应该 get 到什么新技能也很迷茫。所以今晚还是总结下把,让自己在接下来的实习生活有更加明确的方向。最后感谢工作室给我们几个人这个机会让我们提前出来
  • 据说是2012年10月人人网校招的一道笔试题-给出一个重物重量为X,另外提供的小砝码重量分别为1,3,9。。。3^N。 将重物放到天平左侧,问在两边如何添加砝码 bylijinnan java
    public class ScalesBalance { /** * 题目: * 给出一个重物重量为X,另外提供的小砝码重量分别为1,3,9。。。3^N。 (假设N无限大,但一种重量的砝码只有一个) * 将重物放到天平左侧,问在两边如何添加砝码使两边平衡 * * 分析: * 三进制 * 我们约定括号表示里面的数是三进制,例如 47=(1202
  • dom4j最常用最简单的方法 chiangfai dom4j
    要使用dom4j读写XML文档,需要先下载dom4j包,dom4j官方网站在 http://www.dom4j.org/目前最新dom4j包下载地址:http://nchc.dl.sourceforge.net/sourceforge/dom4j/dom4j-1.6.1.zip 解开后有两个包,仅操作XML文档的话把dom4j-1.6.1.jar加入工程就可以了,如果需要使用XPath的话还需要
  • 简单HBase笔记 chenchao051 hbase
     一、Client-side write buffer 客户端缓存请求 描述:可以缓存客户端的请求,以此来减少RPC的次数,但是缓存只是被存在一个ArrayList中,所以多线程访问时不安全的。 可以使用getWriteBuffer()方法来取得客户端缓存中的数据。 默认关闭。 二、Scan的Caching 描述: next( )方法请求一行就要使用一次RPC,即使
  • mysqldump导出时出现when doing LOCK TABLES daizj mysqlmysqdump导数据
      执行 mysqldump -uxxx -pxxx -hxxx -Pxxxx database tablename > tablename.sql  导出表时,会报 mysqldump: Got error: 1044: Access denied for user 'xxx'@'xxx' to database 'xxx' when doing LOCK TABLES 解决
  • CSS渲染原理 dcj3sjt126com Web
      从事Web前端开发的人都与CSS打交道很多,有的人也许不知道css是怎么去工作的,写出来的css浏览器是怎么样去解析的呢?当这个成为我们提高css水平的一个瓶颈时,是否应该多了解一下呢?          一、浏览器的发展与CSS           
  • 《阿甘正传》台词 dcj3sjt126com
    Part Ⅰ: 《阿甘正传》Forrest Gump经典中英文对白 Forrest: Hello! My names Forrest. Forrest Gump. You wanna Chocolate? I could eat about a million and a half othese. My momma always said life was like a box ochocol
  • Java处理JSON dyy_gusi json
    Json在数据传输中很好用,原因是JSON 比 XML 更小、更快,更易解析。 在Java程序中,如何使用处理JSON,现在有很多工具可以处理,比较流行常用的是google的gson和alibaba的fastjson,具体使用如下: 1、读取json然后处理 class ReadJSON { public static void main(String[] args)
  • win7下nginx和php的配置 geeksun nginx
    1.  安装包准备 nginx :  从nginx.org下载nginx-1.8.0.zip php: 从php.net下载php-5.6.10-Win32-VC11-x64.zip, php是免安装文件。 RunHiddenConsole: 用于隐藏命令行窗口   2. 配置 # java用8080端口做应用服务器,nginx反向代理到这个端口即可 p
  • 基于2.8版本redis配置文件中文解释 hongtoushizi redis
    转载自: http://wangwei007.blog.51cto.com/68019/1548167        在Redis中直接启动redis-server服务时, 采用的是默认的配置文件。采用redis-server   xxx.conf 这样的方式可以按照指定的配置文件来运行Redis服务。下面是Redis2.8.9的配置文
  • 第五章 常用Lua开发库3-模板渲染 jinnianshilongnian nginxlua
    动态web网页开发是Web开发中一个常见的场景,比如像京东商品详情页,其页面逻辑是非常复杂的,需要使用模板技术来实现。而Lua中也有许多模板引擎,如目前我在使用的lua-resty-template,可以渲染很复杂的页面,借助LuaJIT其性能也是可以接受的。   如果学习过JavaEE中的servlet和JSP的话,应该知道JSP模板最终会被翻译成Servlet来执行;而lua-r
  • JZSearch大数据搜索引擎 颠覆者 JavaScript
    系统简介: 大数据的特点有四个层面:第一,数据体量巨大。从TB级别,跃升到PB级别;第二,数据类型繁多。网络日志、视频、图片、地理位置信息等等。第三,价值密度低。以视频为例,连续不间断监控过程中,可能有用的数据仅仅有一两秒。第四,处理速度快。最后这一点也是和传统的数据挖掘技术有着本质的不同。业界将其归纳为4个“V”——Volume,Variety,Value,Velocity。大数据搜索引
  • 10招让你成为杰出的Java程序员 pda158 java编程框架
    如果你是一个热衷于技术的  Java 程序员, 那么下面的 10 个要点可以让你在众多 Java 开发人员中脱颖而出。    1. 拥有扎实的基础和深刻理解 OO 原则   对于 Java 程序员,深刻理解 Object Oriented Programming(面向对象编程)这一概念是必须的。没有 OOPS 的坚实基础,就领会不了像 Java 这些面向对象编程语言
  • tomcat之oracle连接池配置 小网客 oracle
    tomcat版本7.0 配置oracle连接池方式: 修改tomcat的server.xml配置文件: <GlobalNamingResources> <Resource name="utermdatasource" auth="Container" type="javax.sql.DataSou
  • Oracle 分页算法汇总 vipbooks oraclesql算法.net
        这是我找到的一些关于Oracle分页的算法,大家那里还有没有其他好的算法没?我们大家一起分享一下! -- Oracle 分页算法一 select * from ( select page.*,rownum rn from (select * from help) page -- 20 = (currentPag
按字母分类: ABCDEFGHIJKLMNOPQRSTUVWXYZ其他