junjie xu
junjie xu

OVN 流表基础 -- 基于 kubeOVN (一)

文章目录

  • Kubectl ko 工具分析
    • Nbctl Sbctl
    • Trace
  • Ovn 流表
    • Match
    • Action
    • Register
    • Table 介绍
      • Logical Switch Datapaths
      • Logical Router Datapaths

Kubectl ko 工具分析

Kubectl ko 下可以执行 nbctl,sbctl,vsctl,ofctl,trace 等等命令

# kubectl ko --help
kubectl ko {subcommand} [option...]
Available Subcommands:
  [nb|sb] [status|kick|backup|dbstatus|restore]     ovn-db operations show cluster status, kick stale server, backup database, get db consistency status or restore ovn nb db when met 'inconsistent data' error
  nbctl [ovn-nbctl options ...]    invoke ovn-nbctl
  sbctl [ovn-sbctl options ...]    invoke ovn-sbctl
  vsctl {nodeName} [ovs-vsctl options ...]   invoke ovs-vsctl on the specified node
  ofctl {nodeName} [ovs-ofctl options ...]   invoke ovs-ofctl on the specified node
  dpctl {nodeName} [ovs-dpctl options ...]   invoke ovs-dpctl on the specified node
  appctl {nodeName} [ovs-appctl options ...]   invoke ovs-appctl on the specified node
  tcpdump {namespace/podname} [tcpdump options ...]     capture pod traffic
  trace {namespace/podname} {target ip address} [target mac address] {icmp|tcp|udp} [target tcp or udp port]    trace ovn microflow of specific packet
  diagnose {all|node} [nodename]    diagnose connectivity of all nodes or a specific node
  env-check check the environment configuration
  tuning {install-fastpath|local-install-fastpath|remove-fastpath|install-stt|local-install-stt|remove-stt} {centos7|centos8}} [kernel-devel-version]  deploy  kernel optimisation components to the system
  reload restart all kube-ovn components

Nbctl Sbctl

先获取到 leader pod,如 ovn-nb-leader,和 ovn-sb-leader

kubectl get pod -n kube-system -l ovn-nb-leader=true | grep ovn-central | head -n 1 | awk '{print $1}'
kubectl get pod -n kube-system -l ovn-sb-leader=true | grep ovn-central | head -n 1 | awk '{print $1}'

然后进入到 leader pod 中执行

kubectl exec "$OVN_NB_POD" -n $KUBE_OVN_NS -c ovn-central -- ovn-nbctl "$@"
kubectl exec "$OVN_SB_POD" -n $KUBE_OVN_NS -c ovn-central -- ovn-sbctl "$@"

即查看流表命令 ovn-sbctl lflow-list == kubectl ko sbctl lflow-list

Trace

展示流表匹配流程
Kubectl ko trace {namespace/podname} {target ip address} [target mac address] {icmp|tcp|udp} [target tcp or udp port]

  • namespace/podname 选定 pod
  • Target ip address 访问的 IP 地址
  • Target mac address 访问的 Mac 地址
  • 协议类型,icmp/tcp/udp
  • Target tcp or udp port,tcp 或 udp 端口号
kubectl ko trace default/pod8 10.96.0.10 udp 53

// 即 trace pod8 访问 10.96.0.10 的 udp 53 端口
  • Ko 背后逻辑
    先找到 ovn-sb-leader $OVN_SB_POD

ls: 通过 pod annotation 获取到的 logical_switch
Inport:pod 的 logical_switch_port 的命名
Mac:通过 annotation 获取到的 mac
gwMac:通过 ovn 查询 logical_route_port 看 mac (underlay 模式,需要访问网关获取)
af:4 or 6
type:tcp or udp

kubectl exec "$OVN_SB_POD" -n $KUBE_OVN_NS -c ovn-central -- ovn-trace --ct=new "$ls" "inport == \"$podName.$namespace\" && ip.ttl == 64 && eth.src == $mac && ip$af.src == $podIP && eth.dst == $gwMac && ip$af.dst == $dst && $type.src == 10000 && $type.dst == $4"

kubectl exec ovn-central-7f7c579877-qlkbb -n kube-system -c ovn-central -- ovn-trace --ct=new ovn-default "inport == \"pod8.default\" && ip.ttl == 64 && eth.src == 00:00:00:1B:3E:8B && ip4.src == 10.16.3.47 && eth.dst == 00:00:00:63:B3:F9 && ip4.dst == 10.96.0.10 && udp.src == 10000 && udp.dst == 53" 


# udp,reg14=0x1e,vlan_tci=0x0000,dl_src=00:00:00:1b:3e:8b,dl_dst=00:00:00:63:b3:f9,nw_src=10.16.3.47,nw_dst=10.96.0.10,nw_tos=0,nw_ecn=0,nw_ttl=64,tp_src=10000,tp_dst=53

ingress(dp="ovn-default", inport="pod8.default")
------------------------------------------------
 0. ls_in_port_sec_l2 (northd.c:5607): inport == "pod8.default", priority 50, uuid 59013590
    next;
 6. ls_in_pre_lb (northd.c:6002): ip4 && ip4.dst == 10.96.0.0/12, priority 100, uuid 95834334
    reg0[2] = 1;
    next;
 7. ls_in_pre_stateful (northd.c:6042): reg0[2] == 1 && ip4 && udp, priority 120, uuid b6ecaf0b
    reg1 = ip4.dst;
    reg2[0..15] = udp.dst;
    ct_lb_mark;

ct_lb_mark
----------
 8. ls_in_acl_hint (northd.c:6119): ct.new && !ct.est, priority 7, uuid 325fce8b
    reg0[7] = 1;
    reg0[9] = 1;
    next;
 9. ls_in_acl (northd.c:6713): ip && (!ct.est || (ct.est && ct_mark.blocked == 1)), priority 1, uuid 6a459a10
    reg0[1] = 1;
    next;
12. ls_in_lb (northd.c:7028): ct.new && ip4.dst == 10.96.0.10 && udp.dst == 53, priority 120, uuid fba6a6c7
    reg0[1] = 0;
    reg1 = 10.96.0.10;
    reg2[0..15] = 53;
    ct_lb_mark(backends=10.16.0.48:53,10.16.0.5:53);

ct_lb_mark /* default (use --ct to customize) */
------------------------------------------------
14. ls_in_after_lb (northd.c:7165): ip4.dst == 10.16.0.5, priority 50, uuid 92e4c3a1
    eth.dst = 00:00:00:3e:8e:4f;
    next;
16. ls_in_pre_hairpin (northd.c:7253): ip && ct.trk, priority 100, uuid 2478265d
    reg0[6] = chk_lb_hairpin();
    reg0[12] = chk_lb_hairpin_reply();
    *** chk_lb_hairpin_reply action not implemented
    next;
25. ls_in_l2_lkup (northd.c:8674): eth.dst == 00:00:00:3e:8e:4f, priority 50, uuid 49fad5a5
    outport = "coredns-6d8c4cb4d-6c4rb.kube-system";
    output;

egress(dp="ovn-default", inport="pod8.default", outport="coredns-6d8c4cb4d-6c4rb.kube-system")
----------------------------------------------------------------------------------------------
 0. ls_out_pre_lb (northd.c:6012): ip, priority 100, uuid dfdb1c2b
    reg0[2] = 1;
    next;
 2. ls_out_pre_stateful (northd.c:6062): reg0[2] == 1, priority 110, uuid 953b71bb
    ct_lb_mark;

ct_lb_mark /* default (use --ct to customize) */
------------------------------------------------
 3. ls_out_acl_hint (northd.c:6182): ct.est && ct_mark.blocked == 0, priority 1, uuid bc0f3aca
    reg0[10] = 1;
    next;
 9. ls_out_port_sec_l2 (northd.c:5704): outport == "coredns-6d8c4cb4d-6c4rb.kube-system", priority 50, uuid c717b137
    output;
    /* output to "coredns-6d8c4cb4d-6c4rb.kube-system", type "" */

稍后会结合功能讲解流表,这里不再赘述

Ovn 流表

流表示例如下:

Datapath: "join" (73d52ffc-620d-4fc5-b6b3-19becad7623c)  Pipeline: ingress
  table=0 (ls_in_port_sec_l2  ), priority=100  , match=(eth.src[40]), action=(drop;)
  table=0 (ls_in_port_sec_l2  ), priority=100  , match=(vlan.present), action=(drop;)
  table=0 (ls_in_port_sec_l2  ), priority=50   , match=(inport == "join-ovn-cluster"), action=(next;)
  table=0 (ls_in_port_sec_l2  ), priority=50   , match=(inport == "node-master"), action=(next;)
  table=0 (ls_in_port_sec_l2  ), priority=50   , match=(inport == "node-worker"), action=(next;)
  table=0 (ls_in_port_sec_l2  ), priority=50   , match=(inport == "node-worker2"), action=(next;)
  table=1 (ls_in_port_sec_ip  ), priority=0    , match=(1), action=(next;)
  table=2 (ls_in_port_sec_nd  ), priority=0    , match=(1), action=(next;)
  table=3 (ls_in_lookup_fdb   ), priority=0    , match=(1), action=(next;)
  table=4 (ls_in_put_fdb      ), priority=0    , match=(1), action=(next;)
  table=5 (ls_in_pre_acl      ), priority=110  , match=(eth.dst == $svc_monitor_mac), action=(next;)
  ......

Datapath:logical_router or logical_switch
Pipeline:ingress or egress,代表流方向。 Ovn 流水线 pipleline 的方式处理
table=0(ls_in_port_sec_l2 ):table 索引和名称
priority:在该 table 里的优先级,越大越高
match:匹配规则
action:操作

Ovs 流表查看:kubectl ko ofctl master dump-flows br-int

Match

  • eth.src[40] 源地址广播/组播

广播/组播 源 mac 为 xxxxxxx1 xxxxxxxx xxxxxxxx xxxxxxxx xxxxxxxx xxxxxxxx,广播是特殊的组播包为全1,像 01:02:03:04:05:06 就是组播包源 mac;
match=(eth.src[40]), action=(drop;) 第一条意思就是 组播包丢弃

  • vlan.present 带 vlan 的包
    match=(vlan.present), action=(drop;) 带 vlan 丢弃

  • inport == “node-master” 从 node-master port 进来的包

Node-master 是 logical_switch_port

# kubectl ko vsctl master list Interface  | grep -C 20 ovn0 // 在 master 看 ovs port
// 缩略
external_ids        : {iface-id=node-master, ip="100.64.0.2,dd:100:64::2", ovn-installed="true", ovn-installed-ts="1663729450921"}
mac_in_use          : "00:00:00:21:85:b9"
mtu                 : 1400
name                : ovn0
type                : internal

可以看到 在 master 节点 ovn0 在 ovs 上的配置,iface-id 即 lsp 标记。
match=(inport == “node-master”), action=(next;) 从 node-master 进来的包送到下一张表。

  • outport == “coredns-6d8c4cb4d-6c4rb.kube-system” 从 lsp 出去的包

  • ip4.dst == 100.64.0.2 / ip6.dst == dd: 100:64::2 / eth.dst == 00:00:00:21:85:b9 / ip6.src == dd: 100:64::/64 / ip4.src == 127.0.0.0/8 / ip4.src == {10.16.0.1, 10.16.255.255} / icmp4.type == 8 && icmp4.code == 0 / icmp6.type == 128 && icmp6.code == 0 / ip4 / ip6 / arp/ arp.tpa == 100.64.0.1 / arp.op == 1

    • ipv4 or ipv6 的源,目的网段
    • 源或目的 mac 地址
    • ipv4 or ipv6 的地址范围
    • icmp4.type == 8 && icmp4.code == 0 icmp4 request;icmp6.type == 128 && icmp6.code == 0 icmp6 request。
    • 单纯只写 ip4 or ip6
    • Arp
    • arp.tpa or arp.op
      arp.op:ARP请求(1),ARP应答(2),RARP请求(3),RARP应答(4)。
      arp.tpa:target protocol address 目标 IP 地址
      unsigned char arp_sha[6]; /* sender hardware address /
      unsigned long arp_spa; /       sender protocol address /
      unsigned char arp_tha[6]; /       target hardware address /
      unsigned long arp_tpa; /       target protocol address */

  • nd || nd_rs || nd_ra || mldv1 || mldv2

    • ND 邻居发现(Neighbor Discovery)
    • RS 路由请求(Router Soliciation)
    • RA 路由回答(Router Adertisment)
    • mldv1 || mldv2 MulticastListenerDiscovery 协议 IPv6组播

  • reg0[2] == 1 && ip4 && tcp
    reg0: 寄存器0[2] 是 1 且 是 ipv4 tcp。

  • ct.new, ct.est,ct.trk,ct.rel,ct.rpl

ct:ovs 的 conntrack 功能增加了 ct 流表的概念,将需要跟踪状态的报文提交进 ct 里去,标记连接状态,供后续报文查询连接状态使用。
参考:http://www.openvswitch.org//support/dist-docs/ovs-fields.7.txt

new:数据包来自一个新的连接
est:数据包来自一个已经建立的连接
rel:数据包与一个已存在的连接相关联
rpl:数据包来自一个连接的回复方向
ink:数据包状态是无效的
trk:数据包已经过 conntrack

Action

  • Drop 丢弃
  • Next 到下一张 table
  • Output
Datapath: "join" (73d52ffc-620d-4fc5-b6b3-19becad7623c)  Pipeline: ingress
...

table=25(ls_in_l2_lkup      ), priority=50   , match=(eth.dst == 00:00:00:21:85:b9), action=(outport = "node-master"; output;)

示例流表即到 join 上的流,如果目的 mac 是 master 节点的 ovn0 网卡的 mac,就从 node-master 这个 lsp 丢出。

  • 其他
    • ct_lb_mark / ct_lb_mark(backends=10.16.0.48:9153,10.16.0.5:9153) 连接 LB 跟踪器
    • ct_snat / (ct_snat(10.16.0.1); ) 源 nat 成 10.16.0.1
    • (arp { eth.dst = ff:ff:ff:ff:ff:ff; arp.spa = reg1; arp.tpa = reg0; arp.op = 1; output; }; )
      构造 arp 请求包。
    • action=(reg0 = 0; handle_dhcpv6_reply;) 向代理路由器发送 IPv6 前缀代理消息
    • (ip4.dst <-> ip4.src; ip.ttl = 255; icmp4.type = 0; flags.loopback = 1; next; )
      回复 icmp4
    • (reg9[2] = lookup_arp(inport, arp.spa, arp.sha); next;)
      reg9[2] will be 1 if the lookup_arp in the previous table was successful or skipped, meaning no need to learn mac binding from the packet
      这里是标记 reg9[2] 的意思。
    • (reg0[6] = chk_lb_hairpin(); reg0[12] = chk_lb_hairpin_reply(); next;)
      检查 lb_hairpin,标记 reg0[6] 和 reg0[12],主要是判断 访问者本身就是 endpoint,经过 lb 后源 和 目的 IP 相同;后面看 hairping LB 再详细介绍。

Register

ovs 寄存器,当一个数据包进入交换机时,所有的寄存器都被清零,用户可以通过 Action 的指令修改寄存器中的值。
一般有 reg(32 bits,reg0-reg15),xreg(64 bits,xreg0-xreg7),xxreg(128 bits,xxreg0-xxreg3);

xxreg ipv6 广泛使用

路由时 lb 时 Arp or ipv6 ND 其他
reg0 下一跳 ipv4 地址 reg0[11],查询是否 inport 是否在 mac learning table reg0[1] :是否需要 tracker 流 for acl;reg0[2]:是否需要 tracker 流 for LB;reg0[3]:dhcp 配置是否获取成功;reg0[4]:dns 是否解析成功;reg0[5]:IPv6 RA 配置是否获取成功;reg0[6] 和reg0[12]:一个是 检查 lb_hairpin,一个是检查 lb_hairpin_reply。reg0[7]:acl 可能 allow,且流是被追踪的;reg0[8]:acl 可能 allow,且流是未被追踪的;reg0[9]:acl 可能 drop;reg0[10]:acl 可能是 drop,且需要改 tracker;reg0[13]:stateful 流
reg1 网关 ipv4 地址,所选择的 router_port IPv4 地址。 vip
reg2 前 16 位:vip_port;transport port
reg7 从 Logical Router Port 来的流量在 lr_in_ip_routing_pre table 中设置为 0;
reg8 前 16 位:ecmp group id;后 16 位:ecmp number id
reg9 reg9[16…31]:目的端口,LB 的 DNAT 会通过此值获得端口。 (不止 lb,发往 ovs contrack 的所有) 去 OVN_Southbound mac_binding 表查询;reg9[2] = 1,代表已有或者 不需要 mac_learn。

具体使用介绍 https://github.com/ovn-org/ovn/blob/main/northd/ovn-northd.8.xml

Table 介绍

分为 logical switch 和 logical router 表,且 ingress 和 egress 不同。

Logical Switch Datapaths

  • Ingress
    table=0 (ls_in_port_sec_l2 ):准入控制
    • 如之前所说的带 vlan 或 组播包丢弃
    • 如 match=(inport == “pod8.default”), action=(next;) 允许 pod8 的流量进入

table=1 (ls_in_port_sec_ip ):准入控制

  • 如 inport == “kata2.default” && eth.src == 00:00:00:fb:cc:14 && ip4.src == {192.166.100.5}), action=(next;) 要求 kata2 进来的包 mac 和 ip 匹配到到下一个表 (匹配不到会有 drop)

table=5/6 (ls_in_pre_acl/ls_in_pre_lb): prepares flows acl 和 lb

  • 如 match=(ip4 && ip4.dst == 10.96.0.0/12), action=(reg0[2] = 1; next;)目的地址到 10.96.0.0/12 网段的流量标记 reg0[2]
    table=7 (ls_in_pre_stateful):prepares flows for 有状态流
  • 如 match=(reg0[2] == 1 && ip4 && udp), action=(reg1 = ip4.dst; reg2[0…15] = udp.dst; ct_lb_mark;) reg[0] == 1 就是上面 lb 标记的流量,加上匹配 udp/tcp/sctp 过滤后,reg1 存目的地址,reg2[0…15] 16 存端口号

table=8 (ls_in_acl_hint):设置 hints,为后续处理设置一些提示

  • 如 match=(ct.new && !ct.est), action=(reg0[7] = 1; reg0[9] = 1; next;) 如果 conntrack 是一个新连接,则标记 reg0[7],[9];并不是为了判断 ct 状态,而是不同 ct 状态有不同的 acl 不需要匹配。

table=9 (ls_in_acl):acl

  • 如配置安全组后流表 match=(reg0[9] == 1 && ([email protected] && ip4 && ip4.dst==0.0.0.0/0 && icmp4)), action=(/* drop */) 从 sg1 安全组的端口发出的 icmp 包 被drop 掉。
    注:在 ls inport 等于实际 pod 或 vm 的 egress 策略

table=10/11 (ls_in_qos_mark/ls_in_qos_meter):nbctl 里的 qos table,关于 dscp marking。未使用

table=12 (ls_in_lb):LB 规则

  • 如 match=(ct.new && ip4.dst == 10.96.0.10 && tcp.dst == 53), action=(reg0[1] = 0; reg1 = 10.96.0.10; reg2[0…15] = 53; ct_lb_mark(backends=10.16.0.48:53,10.16.0.5:53); ) 设置寄存器并 ct_lb 处理。
    对应 service 如下:
  Name:              kube-dns
  Namespace:         kube-system
  Selector:          k8s-app=kube-dns
  Type:              ClusterIP
  IP Family Policy:  SingleStack
  IP Families:       IPv4
  IP:                10.96.0.10
  IPs:               10.96.0.10
  Port:              dns  53/UDP
  TargetPort:        53/UDP
  Endpoints:         10.16.0.48:53,10.16.0.5:53
  Port:              dns-tcp  53/TCP
  TargetPort:        53/TCP
  Endpoints:         10.16.0.48:53,10.16.0.5:53

table=13 (ls_in_acl_after_lb):配置 acl 时选项 --apply-after-lb,字面意思,未使用
table=14 (ls_in_after_lb):after lb 的操作

  • 如 match=(ip4.dst == 10.16.4.138), action=(eth.dst = 00:00:00:c6:a4:f9; next;) 目的 IP 为 10.16.4.138,目的 mac 设为 00:00:00:c6:a4:f9

table=16 (ls_in_pre_hairpin) 配置 lb 后,如果 匹配 ip && ct.trk(ct 跟踪),则需要 hairpinned

  • 如 match=(ip && ct.trk), action=(reg0[6] = chk_lb_hairpin(); reg0[12] = chk_lb_hairpin_reply(); next;);

table=17 (ls_in_nat_hairpin):需要 hairpin 的,snat 操作

  • 如 match=(ip && ct.new && ct.trk && reg0[6] == 1), action=(ct_snat_to_vip; next;) action 为 ct_snat_to_vip

table=18 (ls_in_hairpin):hairpin 操作

  • 如 match=((reg0[6] == 1 || reg0[12] == 1)), action=(eth.dst <-> eth.src; outport = inport; flags.loopback = 1; output;) ,源目的 mac 互换,output 直接设置为 input,然后返回

table=19 (ls_in_arp_rsp):arp 回复流表

  • 如 match=(arp.tpa == 192.168.2.1 && arp.op == 1), action=(eth.dst = eth.src; eth.src = 00:00:00:c1:89:90; arp.op = 2; /* ARP reply */ arp.tha = arp.sha; arp.sha = 00:00:00:c1:89:90; arp.tpa = arp.spa; arp.spa = 192.168.2.1; outport = inport; flags.loopback = 1; output;),如果请求 192.168.2.1 的 mac,action 目的 mac 设为请求包的源 mac,源 mac 设为 00:00:00:c1:89:90,output 设为 inport。然后发出完成 arp 回复

table=20 (ls_in_dhcp_options):获取 dhcp 配置,对应 subnet 创建时的 dhcpOptions 的配置。

  • 如 match=(inport == “pod9.default” && eth.src == 00:00:00:08:7e:05 && ip4.src == 0.0.0.0 && ip4.dst == 255.255.255.255 && udp.src == 68 && udp.dst == 67), action=(reg0[3] = put_dhcp_opts(offerip = 192.168.2.16, lease_time = 3600, netmask = 255.255.255.0, router = 192.168.2.1, server_id = 169.254.0.254); next;),如果是 pod9,源 mac 为 00:00:00:08:7e:05,源 0.0.0.0/68,目的 255.255.255.255/67,获取到 action 中的 dhcp 配置

table=21 (ls_in_dhcp_response):dhcp 回复

  • 如 match=(inport == “pod9.default” && eth.src == 00:00:00:08:7e:05 && ip4 && udp.src == 68 && udp.dst == 67 && reg0[3]), action=(eth.dst = eth.src; eth.src = 00:00:02:2E:2F:B8; ip4.src = 169.254.0.254; udp.src = 67; udp.dst = 68; outport = inport; flags.loopback = 1; output;),匹配条件加上了 table=20 action 中的 reg0[3] 的标识;然后构造 dhcp 回复报文发回。

table=22/23 (ls_in_dns_lookup/ls_in_dns_response):查询 dns 配置和回复 dns 请求,未使用

table=24 (ls_in_external_port):从 external logical ports,如 localnet 来的流,未使用

table=25 (ls_in_l2_lkup):实际的交换行为

  • 如 match=(eth.dst == 00:00:00:08:7e:05), action=(outport = “pod9.default”; output;),目的 mac 是 00:00:00:08:7e:05 从 pod9 的 lsp 发出

table=26 (ls_in_l2_unknown):未知流的处理

  • 如 match=(outport == “none”), action=(drop;),未设置 output 的流,drop。

  • Egress
    table=0 (ls_out_pre_lb):与 ingress ls_in_pre_lb 类似

    • 如 match=(ip && outport == “subnet-ovn-cluster”), action=(next;),output 为到 router port,next
      table=1-9 (ls_out_pre_acl,ls_out_pre_stateful,ls_out_acl_hint,ls_out_acl,ls_out_stateful,ls_out_port_sec_ip,ls_out_port_sec_l2)与 ingress 对应流表功能类似

Logical Router Datapaths

  • ingress
    table=0 (lr_in_admission):准入控制
    • 如 match=(vlan.present || eth.src[40]), action=(drop;) vlan 或组播丢弃

table=1 (lr_in_lookup_neighbor):arp 和 ipv6 nd,判断是否需要学习 mac binding。如果已有不需要学习,设置 reg9[2]。

  • 如 match=(inport == “ovn-cluster-subnet” && arp.spa == 192.168.2.0/24 && arp.op == 1), action=(reg9[2] = lookup_arp(inport, arp.spa, arp.sha); next;) subnet 上发出的 arp 请求,如果已记录的进行 reg9[2] 设置。

table=2 (lr_in_learn_neighbor):判断是否 reg9[2] == 1,如果不为 1,则需要记录 mac binding。

  • priority=100 , match=(reg9[2] == 1), action=(next;)
  • priority=90 , match=(arp), action=(put_arp(inport, arp.spa, arp.sha); next;)
  • reg9[2] 不为 1 时,learn mac binding

table=3 (lr_in_ip_input):logical_router 核心表,基础功能。

  • 如 match=(ip4.dst == 192.168.2.1 && icmp4.type == 8 && icmp4.code == 0), action=(ip4.dst <-> ip4.src; ip.ttl = 255; icmp4.type = 0; flags.loopback = 1; next; ),ping 网关,lr 回复的流表

ipv6 icmp:match=(ip6.dst == {dd:10:16::1, fe80::200:ff:fe63:b3f9} && icmp6.type == 128 && icmp6.code == 0), action=(ip6.dst <-> ip6.src; ip.ttl = 255; icmp6.type = 129; flags.loopback = 1; next; )

  • 如 match=(ip4.dst == {192.168.2.1}), action=(drop;),如果到网关的其他流量 drop。

table=4(lr_in_unsnat):egress 时做了 snat,那么回包需要取消之前的 snat

table=5(lr_in_defrag):将数据包发送到连接跟踪器进行跟踪,如在 lr 上的 三层,四层 lb

kubectl ko nbctl lb-add lb0 10.96.99.99:8080 10.16.0.10:80,10.16.0.15:80,10.16.0.2:80 tcp
kubectl ko nbctl lr-lb-add ovn-cluster lb0

  • 如 match=(ip && ip4.dst == 10.96.99.99 && tcp), action=(reg0 = 10.96.99.99; reg9[16…31] = tcp.dst; ct_dnat;),如果匹配到 lb vip,reg0 存 vip 地址,reg9[16…31] 存目的 port (8080),然后 ct_dnat 进行处理。

table=6(lr_in_dnat):数据包 dnat 处理

  • 如 match=(ct.new && ip4 && reg0 == 10.96.99.99 && tcp && reg9[16…31] == 8080), action=(ct_lb_mark(backends=10.16.0.10:80,10.16.0.15:80,10.16.0.2:80); ),匹配到 table5 的标记后,ct_lb_mark 后端几个 endpoint。

table=7(lr_in_ecmp_stateful):ECMP对称应答处理

table=8(lr_in_nd_ra_options):IPv6 ND RA 配置处理

  • 如 match=(inport == “ovn-cluster-subnet-dual” && ip6.dst == ff02::2 && nd_rs), action=(reg0[5] = put_nd_ra_opts(addr_mode = “dhcpv6_stateful”, slla = 00:00:00:37:30:f1, prefix = bb00::/64); next;) ,其中 subnet-dual 是个在 ovn-cluster vpc 里的双栈子网,从 subnet-dual port 来的流量,目的 mac 是 ff02::2(rs 报文目的 mac),回复 dhcp,mode 为 dhcpv6_stateful,前缀 bb00::/64。

table=9(lr_in_nd_ra_response) :IPv6 RA 回复

  • 如 match=(inport == “ovn-cluster-subnet-dual” && ip6.dst == ff02::2 && nd_ra && reg0[5]), action=(eth.dst = eth.src; eth.src = 00:00:00:37:30:f1; ip6.dst = ip6.src; ip6.src = fe80::200:ff:fe37:30f1; outport = inport; flags.loopback = 1; output;),对应上条 table 进行回复。

table=10(lr_in_ip_routing_pre):路由转发前配置,通常为 logical_route_port 带 options:route_table 配置的使用,未使用

table=11(lr_in_ip_routing):路由转发

  • 如 match=(ip4.dst == 192.168.2.0/24), action=(ip.ttl–; reg8[0…15] = 0; reg0 = ip4.dst; reg1 = 192.168.2.1; eth.src = 00:00:00:c1:89:90; outport = “ovn-cluster-subnet”; flags.loopback = 1; next;),目的地址是 lr 下的子网,ttl 减1,设置寄存器,设置源 mac 为网关(192.168.2.1 lrp)的 mac,设置 outport 为 lrp。

table=12(lr_in_ip_routing_ecmp):ECMP 路由

table=13(lr_in_policy):策略路由

  • 如 match=(ip4.src == $subnet.master_ip4), action=(reg0 = 100.64.0.2; reg1 = 100.64.0.1; eth.src = 00:00:00:e9:15:ff; outport = “ovn-cluster-join”; flags.loopback = 1; reg8[0…15] = 0; next;),如果源地址是 master 节点上 subnet 子网上的 port,源 mac 改为 join 网络网关的 mac,然后 outport 设置为 join 子网的网关 port。

由此可以看出先匹配静态路由,再匹配策略路由,静态路由会先设置 outport,但不会发出,然后过策略路由表,策略路由匹配上会更改 outport。

table=14(lr_in_policy_ecmp):ECMP 策略路由

table=15(lr_in_arp_resolve):arp/nd 决定,根据之前路由设置的 outport 和 寄存器 reg0 存的 ip 设置目的 mac

  • 如 match=(outport == “ovn-cluster-join” && reg0 == 100.64.0.2), action=(eth.dst = 00:00:00:21:85:b9; next;),匹配到上面 table13 的流量,设置目的 mac 为 100.64.0.2 的 mac,即 master 节点上 ovn0 的 mac。

table=16(lr_in_chk_pkt_len):检查包长度,在给 gw_port 设置 options:gateway_mtu 时生效。

table=17(lr_in_larger_pkts):同上,为从 logical_router_port 到 gw_port 的流量使用。

table=18(lr_in_gw_redirect):分布式逻辑路由中,当 logical_router_port 设置 chassises 时使用。

table=19(lr_in_arp_request):如果 目的 mac 未确定,通过 reg0 和 reg1 存的 ip 地址进行 arp 请求;如果确定 mac,则发出。

  • match=(eth.dst == 00:00:00:00:00:00 && ip4), action=(arp { eth.dst = ff:ff:ff:ff:ff:ff; arp.spa = reg1; arp.tpa = reg0; arp.op = 1; output; }; )

  • match=(1), action=(output;)

  • Egress
    table=0(lr_out_chk_dnat_local):检查是否需要 DNAT,通常与 ingress 中 SNAT 对应
    table=1(lr_out_undnat):已经建立连接后的流是否做 dnat,不如创建 lr-lb,就会多出下面流表

    • match=(ip), action=(flags.loopback = 1; ct_dnat;),去 ct_dnat 里检查
      table=2(lr_out_post_undnat):相对于上一张表,如果是新连接 ct_commit。
      table=3(lr_out_snat):查询 LR Snat 的配置
      table=4(lr_out_post_snat):执行 Snat,通常设置 force_snat_for_lb 时使用,后续有机会介绍。
      table=5(lr_out_egr_loop):分布式 LR,且一个 LRP 配置了 gw chassis 时使用。
      table=6(lr_out_delivery):发送。
    • match=(outport == “ovn-cluster-join”), action=(output;),outport + output

参考文档:https://www.mankier.com/8/ovn-northd

你可能感兴趣的:(OVN,CNI,Kubernetes,网络)

  • 为什么说网络安全行业是IT行业最后的红利? 网络安全技术分享地 web安全安全docker网络安全网络攻击模型
    一、为什么选择网络安全?这几年随着我国《国家网络空间安全战略》《网络安全法》《网络安全等级保护2.0》等一系列政策/法规/标准的持续落地,网络安全行业地位、薪资随之水涨船高。未来3-5年,是安全行业的黄金发展期,提前踏入行业,能享受行业发展红利。二、为什么说网络安全行业是IT行业最后的红利?根据腾讯安全发布的《互联网安全报告》,目前中国网络安全人才供应严重匮乏,每年高校安全专业培养人才仅有3万余人
  • deepin系统升级后网络模块丢失问题的解决方案 deepin
    摘要:在deepin操作系统的升级过程中,用户可能会遇到网络模块丢失的问题,这通常与升级命令处理推荐依赖的方式有关。本文将探讨这一问题的成因,并提供推荐的升级方法和解决方案,以确保系统升级的完整性和功能的完整性。引言deepin操作系统在升级过程中,如果使用不当的命令,可能会导致部分功能模块丢失,如网络模块。这可能会影响用户的正常使用。本文将提供解决方案,帮助用户恢复丢失的网络模块。问题分析2.1
  • deepin操作系统任务栏网络图标异常问题解决指南 deepin
    摘要:在使用deepin操作系统时,用户可能会遇到任务栏网络图标显示异常的情况,即使网络连接正常,图标也可能错误地提示无法访问互联网。本文将探讨这一问题的成因,并提供一系列解决方案,以帮助用户解决任务栏网络图标状态异常的问题。引言deepin操作系统的任务栏网络图标有时会出现状态异常,这可能是由于网络检测机制的误判或配置文件的错误。本文将提供详细的解决方案,以确保网络图标能够准确反映网络连接状态。
  • 融云 IM 干货丨使用IMKit时,如何处理网络异常? 融云即时通讯im
    在使用IMKit时,处理网络异常是非常重要的,以下是一些常见的处理方法和建议:1.设置连接状态监听器通过设置IM连接状态监听器,可以在应用内正确处理连接状态变化。如果遇到连接问题,可以检查网络连接,并确保AppKey和Token是有效的。2.重连机制IMKitSDK内部已经实现了重连机制。在应用的整个生命周期内,开发者只需要调用一次im.connect()建立连接。当网络异常中断时,SDK内部会尝
  • deepin 系统网络信息查看指南 deepin
    deepin系统网络信息查看指南在Linux操作系统,如deepin和Ubuntu中,我们可以通过多种shell命令来查看网络信息和网络状态。本文将介绍这些命令,帮助您更好地理解和监控您的网络环境。1.ifconfig命令ifconfig是查看所有网卡信息的命令,但已被弃用,推荐使用ip命令。ifconfig2.ip命令ip命令用于查看所有网卡的信息。#查看所有接口信息:ipaddrshow#查看
  • android wifi 流程图_实现双wifi的方法及Android终端与流程 weixin_39719427 androidwifi流程图
    本发明涉及无线通信技术领域,尤其涉及一种实现双wifi的方法及Android终端。背景技术:在楼宇对讲产品中,楼宇对讲的家庭设备,如平板,需要连接到楼宇对讲的局域网络,以实现与楼宇内的相关设备进行对讲等。然而楼宇对讲所在的局域网络通常为内网,加上现有的基于Android系统的平板仅支持一路wifi热点连接功能,导致已连接了内网的平板无法再同时连接公网,即互联网,进而也就无法在通过平板使用需要连接公
  • Axios封装一款前端项目网络请求实用插件 smart_ljh 前端vue.jsvuejsaxios网络
    前端项目开发非常经典的插件axios大家都很熟悉,它是一个Promise网络请求库,可以用于浏览器和node.js支持的项目中。像一直以来比较火的Vue.js开发的几乎所有项目网络请求用的都是axios。那么我们在实际的项目中,有时候为了便于维护、请求头信息统一处理、统一拦截器设置以及响应数据统一处理,需要在项目中针对axios封装一个网络请求插件。接下来就介绍一下针对以上这些输出具体的解决方案和
  • 游戏业者必看!从中心化到分布式,分布式架构对游戏业带来的优势与收益
    游戏行业在全球范围内的蓬勃增长引发了从技术到架构的飞速革新与演变。推动技术发展的重要因素是玩家的体验,任何一个游戏行业的参与者都将玩家的体验是为业务的核心服务目标,而在优化玩家体验的道路上,游戏业者仍有很长的旅程。尤其是对于在线游戏商来说,全球复杂的网络环境让延迟变得更加难以控制。在线游戏可以说是所有行业中对延迟最敏感的行业,这使得它特别容易受到传统集中式云计算架构的缺点的影响,在这种架构中,数据
  • 海康/大华/宇视等网络摄像头云台控制功能探测方法解析 摄像头开发rtsp流媒体
    熟悉我们的小伙伴都知道,当我们的RTSP/Onvif流媒体服务器与摄像头可以进行网络连接时,通过RTSP/Onvif流媒体服务器自带的Onvif探测即可实现Onvif摄像头的设备IP探测,成功后返回需要的流地址,实现摄像头的PTZ云台控制,PTZ控制包含转动、变焦等。但是我们经常会遇到有用户反馈,第一、不知道自己的摄像头是否支持Onvif协议;第二、自己探测显示支持Onvif协议,但是通过Onvi
  • 松散比较(PHP)(小迪网络安全笔记~ 1999er 网络安全学习笔记phpweb安全笔记网络安全安全
    免责声明:本文章仅用于交流学习,因文章内容而产生的任何违法&未授权行为,与文章作者无关!!!附:完整笔记目录~ps:本人小白,笔记均在个人理解基础上整理,若有错误欢迎指正!1.3松散比较(PHP)引子:本章主要介绍一些由PHP自身语言特性可能产生的脆弱性,该内容往往被应用于PHPCTF入门题中,但在PHPWeb开发时也可能被使用。====是php中的比较运算符,用于判断==左右两边的值是否相等。若
  • 操作系统之输入输出管理 DKPT #操作系统开发语言学习c语言笔记算法
    操作系统中的输入输出(I/O)管理主要涉及I/O设备的分配、控制以及数据的传输。以下是对操作系统中I/O管理的详细解释:一、I/O设备I/O设备是计算机中用于数据输入和输出的外部设备,如键盘、鼠标、显示器、打印机等。这些设备按照不同的分类标准可以分为多种类型,如按使用特性分为人机交互类设备、存储设备和网络通信设备;按传输速率分为低速设备、中速设备和高速设备;按信息交换的单位分为块设备和字符设备等。
  • 线上线下陪玩系统源码提供陪玩服务的平台,支持三端 前端后端mysql服务器
    一、定义与特点线上陪玩系统主要通过网络平台提供服务,如游戏陪玩、语音聊天等。用户可以通过手机、电脑等终端与陪玩人员进行实时互动。这种系统具有不受地域限制、即时沟通、个性化服务等特点。二、主要功能用户注册与登录:用户可以通过手机号、邮箱等方式进行注册和登录。陪玩者资料展示:系统展示陪玩者的基本信息、技能水平、服务价格等,以便用户选择合适的陪玩者。预约与匹配:用户可以根据自己的需求预约陪玩服务,系统也
  • 读零信任网络:在不可信网络中构建安全系统14流量信任 躺柒 网络安全网络安全计算机安全系统安全零信任
    1.流量信任1.1.网络流的验证和授权是零信任网络至关重要的机制1.2.零信任并非完全偏离已知的安全机制,传统的网络过滤机制在零信任网络中仍然扮演着重要的角色2.加密和认证2.1.加密和认证通常是紧密相关的,尽管其目的截然不同2.1.1.加密提供机密性,用于确保只有接收者才能读取发送的数据2.1.2.认证则用于确保接收者可以验证消息确实是由所声称的对象发送的2.2.认证还有另外一个有趣的特性,为了
  • 新手安装Arkime不求人 OpenSource SIM 开源Arkime
    Arkime(原名Moloch)是一个开源数据包捕获软件,它可以收集到PCAP数据并对其索引,用于浏览和搜索捕获的并建立索引的网络流量。虽说可以在Arkime官方(https://arkime.com/)下载适用于CentOS(rpm)和Ubuntu(deb)的安装包安装。官网也有非常详细的文档资料(https://arkime.com/learn)。然而项目的压力使得我们无法充分学习技术,而且对
  • 逆袭之路(11)——python网络爬虫:原理、应用、风险与应对策略 凋零的蓝色玫瑰 逆袭之路php开发语言python
    困厄铸剑心,逆袭展锋芒。寒苦凝壮志,腾跃绘华章。我要逆袭。目录一、引言二、网络爬虫的基本原理(一)网络请求与响应(二)网页解析(三)爬行策略三、网络爬虫的应用领域(一)搜索引擎(二)数据挖掘与分析(三)金融领域(四)学术研究(五)社交媒体监测四、网络爬虫带来的风险(一)法律风险(二)隐私风险(三)安全风险五、网络爬虫风险的应对策略(一)遵守法律法规(二)加强技术防护(三)提高道德意识六、结论一、引
  • 基于STM32 + W5500的以太网功能开发与时间同步方案 嵇英芹
    基于STM32+W5500的以太网功能开发与时间同步方案STM32W5500移植NTP更新时间.rar项目地址:https://gitcode.com/open-source-toolkit/60355概述本项目展示了如何在STM32微控制器上集成W5500以太网控制器,实现了网络通信的基础,特别地,通过移植Ethernet相关驱动文件,结合NTP协议,实现了精确的RTC(实时时钟)对时功能。此外
  • 配置基于VLAN的VLAN Mapping示例(2 to 1) 数字化信息化智能化解决方案 网络
    此举例是2to1VLANMapping中的N:1场景,因为外层和内层VLANTag不同的业务报文,外层映射到了同一个VLAN。如图10-7所示,用户通过家庭网关、楼道交换机和小区交换机接入汇聚层网络,为了节省运营商网络VLAN资源,及实现不同用户相同业务在传输过程中相互隔离,可以在楼道交换机上部署QinQ功能,在小区交换机上部署VLANMapping功能。图10-72:1VLANMapping组网
  • docker-compose。yml文件简单编辑 㲸逆 #dockerdocker
    docker-compose.yml文件编辑文章目录docker-compose.yml文件编辑1compose文件的基本结构2compose编写操作首先拉取一个镜像为了方便yml文件的编写我们将镜像名字缩短进入docker-compose.yml中运行compose停止compose运行即停止并移除由docker-compose.yml文件定义的所有服务、网络和卷1compose文件的基本结构1
  • 如何抓取社交媒体上的公开用户信息:完整的Python爬虫教程与实战 Python爬虫项目 媒体python爬虫selenium开发语言ajax
    引言社交媒体平台如Twitter、Instagram、Facebook和LinkedIn等,成为了现代社会中获取信息、表达观点、社交互动的主要场所。通过社交媒体,用户分享个人信息、兴趣、活动以及与他人的互动数据,极大地丰富了网络世界的内容。在数据分析、市场研究、舆情监控等领域,抓取社交媒体上的公开用户信息是非常重要的任务。对于很多数据科学家、市场分析师、爬虫开发者来说,如何高效地抓取社交媒体平台的
  • 【漏洞预警】FortiOS 和 FortiProxy 身份认证绕过漏洞(CVE-2024-55591) 李火火安全阁 漏洞预警Fortinet
    文章目录一、产品简介二、漏洞描述三、影响版本四、漏洞检测方法五、解决方案一、产品简介FortiOS是Fortinet公司核心的网络安全操作系统,广泛应用于FortiGate下一代防火墙,为用户提供防火墙、VPN、入侵防御、应用控制等多种安全功能。FortiProxy则是Fortinet提供的企业级安全代理产品,主要用于内容过滤、Web访问控制和数据安全防护等场景。下一代防火墙产品FortiGate
  • npm install CERT_HAS_EXPIRED解决方法 奔跑吧邓邓子 常见问题解答(FAQ)npm前端node.jsexpirednpminstall
    提示:“奔跑吧邓邓子”的常见问题专栏聚焦于各类技术领域常见问题的解答。涵盖操作系统(如CentOS、Linux等)、开发工具(如AndroidStudio)、服务器软件(如Zabbix、JumpServer、RocketMQ等)以及远程桌面、代码克隆等多种场景。针对如远程桌面无法复制粘贴、Kubernetes报错、自启动报错、各类软件安装报错、内存占用问题、网络连接问题等提供了详细的问题描述与有效
  • 100条Linux命令汇总 Xudde. 笔记笔记linux学习运维
    本文章为个人成长笔记之一,感谢您的阅览。内容简介文件和目录操作命令(14个)查看文件及内容处理命令(14个)文件压缩及解压缩命令(4个)信息显示命令(11个)用户管理命令(10个)基础网络操作命令(12个)进程管理相关命令(15个)其他常用命令(10个)文件和目录操作命令(14个)ls:列出目录的内容及其内容属性信息。cd:从当前工作目录切换到指定工作目录。cp:复制文件或目录。find:用于查找
  • 径向基函数网络(RBF):让数据“点亮”神经网络的“灯塔” ningaiiii 机器学习与深度学习神经网络php人工智能
    径向基函数网络(RBF):让数据“点亮”神经网络的“灯塔”1.引言径向基函数网络(RadialBasisFunctionNetwork,RBF)是一种特殊的前馈神经网络,它的核心思想是通过“灯塔”来照亮数据的分布。RBF网络使用径向基函数(如高斯函数)作为隐层神经元的激活函数,能够快速学习数据的局部特征,特别适合分类和函数逼近问题。2.算法原理2.1网络结构RBF网络的基本组成包括:输入层:接收原
  • 【Python】爬虫实战03:自动化抢票脚本【某麦网】 m0_74825152 python爬虫自动化
    1.脚本介绍1.1背景介绍在这个数字化时代,演唱会、体育赛事和各种活动的门票销售往往在线上进行。由于热门活动的高需求和门票的有限供应,抢票成为了一场激烈的竞争。许多粉丝和爱好者经常因为手速不够快或网络延迟而错失购票机会。为了提高抢票的成功率,自动化抢票脚本应运而生。以下这个脚本是一个用Python编写的自动化抢票程序,利用Selenium库来模拟用户在网页上的操作。下面是脚本的详细功能和结构介绍:
  • 35. IP地址的组成 MineGi #网络基础网络
    IP地址的组成IP地址(InternetProtocolAddress)是用于在Internet上唯一标识一个设备(如计算机、路由器、服务器等)的数字标签。它遵循特定的格式和规则,以确保全球范围内的唯一性和可路由性。IP地址的组成通常分为两部分:网络部分(NetworkID):这部分标识了设备所在的网络。在IPv4中,网络部分可能占用IP地址的前几位到几十位不等,具体取决于所使用的子网掩码(Sub
  • Nginx UI:一款开源的Nginx可视化管理界面,让你轻松管理nginx的配置 小华同学ai nginxui开源
    嗨,大家好,我是小华同学,关注我们获得“最新、最全、最优质”开源项目和工作学习方法NginxUI是由0xJacky和Hintay共同开发的一款Nginx网络管理界面。它旨在为Nginx提供一个易于使用的图形界面,让用户可以在线查看服务器状态、编辑配置文件、管理网站和证书等。想要一睹为快?访问https://demo.nginxui.com/使用以下凭据登录:用户名:admin密码:admin特色功
  • 当使用 npm 时,出现 `certificate has expired` 错误通常意味着请求的证书已过期。 程序员WANG 工具npm前端node.js
    当使用npm时,出现certificatehasexpired错误通常意味着请求的证书已过期。这可能是由于以下几种情况:网络代理问题:如果使用了网络代理,代理服务器的证书可能过期或配置有误。系统时间错误:系统时间不准确可能导致证书验证失败,因为证书的有效期是基于时间的。远程服务器证书问题:https://registry.npm.taobao.org/@vue%2fcli的证书可能在服务器端过期或
  • 大数据湖仓一体架构未来思考 王知无(import_bigdata) 架构
    湖仓一体架构是最近1-2年时间开始频繁出现在数据开发领域的新名词。也是各大公司竞相投入的对象。网络上关于湖仓一体架构的实践文章很多,看得也很眼花缭乱。我们今天站在一个「接地气」的角度,来说一说湖仓一体架构中未来需要关注的核心框架有哪些。文章内容也没有经过仔细的斟酌,完全是一点不成熟的想法,而且站的角度不是高屋建瓴的而是从下往上的。一个基本判断是湖仓一体架构在形式上不止一种大家可以从网上看到很多关于
  • iOS 性能优化:实战案例分享 忆江南的博客 ios
    摘要:本文将深入探讨iOS性能优化的重要性,并通过一系列实际开发案例,展示如何解决常见的性能问题,包括内存管理、CPU性能、网络性能、UI性能和启动性能等方面的优化,帮助iOS开发者打造更流畅、高效的应用程序。一、引言在当今竞争激烈的移动应用市场中,性能优化对于iOS应用的成功至关重要。用户期望应用程序能够快速启动、流畅运行,并且不会出现卡顿或崩溃的情况。然而,随着应用功能的增加和复杂性的提升,性
  • http和https分别是什么?区别是什么? 神明木佑 httphttps网络协议
    HTTP和HTTPS是两种常见的网络协议,用于在Web上进行数据传输。以下是它们的简要解释和主要区别:HTTP(HypertextTransferProtocol)HTTP是一种应用层协议,用于在Web上传输数据。它是互联网上应用最为广泛的一种网络协议,所有的WWW文件都必须遵守这个标准。HTTP协议通常承载于TCP协议之上,有时也承载于TLS或SSL协议层之上,这个时候,就成了我们常说的HTTP
  • TOMCAT在POST方法提交参数丢失问题 357029540 javatomcatjsp
    摘自http://my.oschina.net/luckyi/blog/213209 昨天在解决一个BUG时发现一个奇怪的问题,一个AJAX提交数据在之前都是木有问题的,突然提交出错影响其他处理流程。 检查时发现页面处理数据较多,起初以为是提交顺序不正确修改后发现不是由此问题引起。于是删除掉一部分数据进行提交,较少数据能够提交成功。 恢复较多数据后跟踪提交FORM DATA ,发现数
  • 在MyEclipse中增加JSP模板 删除-2008-08-18 ljy325 jspxmlMyEclipse
    在D:\Program Files\MyEclipse 6.0\myeclipse\eclipse\plugins\com.genuitec.eclipse.wizards_6.0.1.zmyeclipse601200710\templates\jsp  目录下找到Jsp.vtl,复制一份,重命名为jsp2.vtl,然后把里面的内容修改为自己想要的格式,保存。 然后在 D:\Progr
  • JavaScript常用验证脚本总结 eksliang JavaScriptjavaScript表单验证
         转载请出自出处:http://eksliang.iteye.com/blog/2098985        下面这些验证脚本,是我在这几年开发中的总结,今天把他放出来,也算是一种分享吧,现在在我的项目中也在用!包括日期验证、比较,非空验证、身份证验证、数值验证、Email验证、电话验证等等...! &nb
  • 微软BI(4) 18289753290 微软BI SSIS
    1) Q:查看ssis里面某个控件输出的结果:  A MessageBox.Show(Dts.Variables["v_lastTimestamp"].Value.ToString()); 这是我们在包里面定义的变量 2):在关联目的端表的时候如果是一对多的关系,一定要选择唯一的那个键作为关联字段。 3) Q:ssis里面如果将多个数据源的数据插入目的端一
  • 定时对大数据量的表进行分表对数据备份 酷的飞上天空 大数据量
    工作中遇到数据库中一个表的数据量比较大,属于日志表。正常情况下是不会有查询操作的,但如果不进行分表数据太多,执行一条简单sql语句要等好几分钟。。   分表工具:linux的shell + mysql自身提供的管理命令 原理:使用一个和原表数据结构一样的表,替换原表。   linux shell内容如下: =======================开始 
  • 本质的描述与因材施教 永夜-极光 感想随笔
             不管碰到什么事,我都下意识的想去探索本质,找寻一个最形象的描述方式。        我坚信,世界上对一件事物的描述和解释,肯定有一种最形象,最贴近本质,最容易让人理解        &
  • 很迷茫。。。 随便小屋 随笔
    小弟我今年研一,也是从事的咱们现在最流行的专业(计算机)。本科三流学校,为了能有个更好的跳板,进入了考研大军,非常有幸能进入研究生的行业(具体学校就不说了,怕把学校的名誉给损了)。   先说一下自身的条件,本科专业软件工程。主要学习就是软件开发,几乎和计算机没有什么区别。因为学校本身三流,也就是让老师带着学生学点东西,然后让学生毕业就行了。对专业性的东西了解的非常浅。就那学的语言来说
  • 23种设计模式的意图和适用范围 aijuans 设计模式
    Factory Method 意图 定义一个用于创建对象的接口,让子类决定实例化哪一个类。Factory Method 使一个类的实例化延迟到其子类。   适用性 当一个类不知道它所必须创建的对象的类的时候。   当一个类希望由它的子类来指定它所创建的对象的时候。   当类将创建对象的职责委托给多个帮助子类中的某一个,并且你希望将哪一个帮助子类是代理者这一信息局部化的时候。 Abstr
  • Java中的synchronized和volatile aoyouzi javavolatilesynchronized
    说到Java的线程同步问题肯定要说到两个关键字synchronized和volatile。说到这两个关键字,又要说道JVM的内存模型。JVM里内存分为main memory和working memory。 Main memory是所有线程共享的,working memory则是线程的工作内存,它保存有部分main memory变量的拷贝,对这些变量的更新直接发生在working memo
  • js数组的操作和this关键字 百合不是茶 js数组操作this关键字
    js数组的操作;   一:数组的创建: 1、数组的创建 var array = new Array(); //创建一个数组 var array = new Array([size]); //创建一个数组并指定长度,注意不是上限,是长度 var arrayObj = new Array([element0[, element1[, ...[, elementN]]]
  • 别人的阿里面试感悟 bijian1013 面试分享工作感悟阿里面试
    原文如下:http://greemranqq.iteye.com/blog/2007170         一直做企业系统,虽然也自己一直学习技术,但是感觉还是有所欠缺,准备花几个月的时间,把互联网的东西,以及一些基础更加的深入透析,结果这次比较意外,有点突然,下面分享一下感受吧!    &nb
  • 淘宝的测试框架Itest Bill_chen springmaven框架单元测试JUnit
    Itest测试框架是TaoBao测试部门开发的一套单元测试框架,以Junit4为核心, 集合DbUnit、Unitils等主流测试框架,应该算是比较好用的了。 近期项目中用了下,有关itest的具体使用如下: 1.在Maven中引入itest框架: <dependency>   <groupId>com.taobao.test</groupId&g
  • 【Java多线程二】多路条件解决生产者消费者问题 bit1129 java多线程
    package com.tom; import java.util.LinkedList; import java.util.Queue; import java.util.concurrent.ThreadLocalRandom; import java.util.concurrent.locks.Condition; import java.util.concurrent.loc
  • 汉字转拼音pinyin4j 白糖_ pinyin4j
    以前在项目中遇到汉字转拼音的情况,于是在网上找到了pinyin4j这个工具包,非常有用,别的不说了,直接下代码:   import java.util.HashSet; import java.util.Set; import net.sourceforge.pinyin4j.PinyinHelper; import net.sourceforge.pinyin
  • org.hibernate.TransactionException: JDBC begin failed解决方案 bozch ssh数据库异常DBCP
    org.hibernate.TransactionException: JDBC begin failed:     at org.hibernate.transaction.JDBCTransaction.begin(JDBCTransaction.java:68)    at org.hibernate.impl.SessionImp
  • java-并查集(Disjoint-set)-将多个集合合并成没有交集的集合 bylijinnan java
    import java.util.ArrayList; import java.util.Arrays; import java.util.HashMap; import java.util.HashSet; import java.util.Iterator; import java.util.List; import java.util.Map; import java.ut
  • Java PrintWriter打印乱码 chenbowen00 java
    一个小程序读写文件,发现PrintWriter输出后文件存在乱码,解决办法主要统一输入输出流编码格式。 读文件: BufferedReader 从字符输入流中读取文本,缓冲各个字符,从而提供字符、数组和行的高效读取。 可以指定缓冲区的大小,或者可使用默认的大小。大多数情况下,默认值就足够大了。 通常,Reader 所作的每个读取请求都会导致对基础字符或字节流进行相应的读取请求。因
  • [天气与气候]极端气候环境 comsci 环境
          如果空间环境出现异变...外星文明并未出现,而只是用某种气象武器对地球的气候系统进行攻击,并挑唆地球国家间的战争,经过一段时间的准备...最大限度的削弱地球文明的整体力量,然后再进行入侵......      那么地球上的国家应该做什么样的防备工作呢?  &n
  • oracle order by与union一起使用的用法 daizj UNIONoracleorder by
    当使用union操作时,排序语句必须放在最后面才正确,如下: 只能在union的最后一个子查询中使用order by,而这个order by是针对整个unioning后的结果集的。So: 如果unoin的几个子查询列名不同,如 Sql代码  select supplier_id, supplier_name  from suppliers  UNI
  • zeus持久层读写分离单元测试 deng520159 单元测试
    本文是zeus读写分离单元测试,距离分库分表,只有一步了.上代码: 1.ZeusMasterSlaveTest.java package com.dengliang.zeus.webdemo.test; import java.util.ArrayList; import java.util.List; import org.junit.Assert; import org.j
  • Yii 截取字符串(UTF-8) 使用组件 dcj3sjt126com yii
    1.将Helper.php放进protected\components文件夹下。 2.调用方法:   Helper::truncate_utf8_string($content,20,false);   //不显示省略号  Helper::truncate_utf8_string($content,20);  //显示省略号  &n
  • 安装memcache及php扩展 dcj3sjt126com PHP
    安装memcache    tar zxvf memcache-2.2.5.tgz     cd memcache-2.2.5/     /usr/local/php/bin/phpize (?)    ./configure --with-php-confi
  • JsonObject 处理日期 feifeilinlin521 javajsonJsonOjbectJsonArrayJSONException
        写这边文章的初衷就是遇到了json在转换日期格式出现了异常 net.sf.json.JSONException: java.lang.reflect.InvocationTargetException  原因是当你用Map接收数据库返回了java.sql.Date 日期的数据进行json转换出的问题话不多说  直接上代码  &n
  • Ehcache(06)——监听器 234390216 监听器listenerehcache
    监听器          Ehcache中监听器有两种,监听CacheManager的CacheManagerEventListener和监听Cache的CacheEventListener。在Ehcache中,Listener是通过对应的监听器工厂来生产和发生作用的。下面我们将来介绍一下这两种类型的监听器。  
  • activiti 自带设计器中chrome 34版本不能打开bug的解决 jackyrong Activiti
      在acitivti modeler中,如果是chrome 34,则不能打开该设计器,其他浏览器可以, 经证实为bug,参考 http://forums.activiti.org/content/activiti-modeler-doesnt-work-chrome-v34 修改为,找到 oryx.debug.js 在最头部增加 if (!Document.
  • 微信收货地址共享接口-终极解决 laotu5i0 微信开发
       最近要接入微信的收货地址共享接口,总是不成功,折腾了好几天,实在没办法网上搜到的帖子也是骂声一片。我把我碰到并解决问题的过程分享出来,希望能给微信的接口文档起到一个辅助作用,让后面进来的开发者能快速的接入,而不需要像我们一样苦逼的浪费好几天,甚至一周的青春。各种羞辱、谩骂的话就不说了,本人还算文明。    如果你能搜到本贴,说明你已经碰到了各种 ed
  • 关于人才 netkiller.github.com 工作面试招聘netkiller人才
    关于人才 每个月我都会接到许多猎头的电话,有些猎头比较专业,但绝大多数在我看来与猎头二字还是有很大差距的。 与猎头接触多了,自然也了解了他们的工作,包括操作手法,总体上国内的猎头行业还处在初级阶段。 总结就是“盲目推荐,以量取胜”。 目前现状 许多从事人力资源工作的人,根本不懂得怎么找人才。处在人才找不到企业,企业找不到人才的尴尬处境。 企业招聘,通常是需要用人的部门提出招聘条件,由人
  • 搭建 CentOS 6 服务器 - 目录 rensanning centos
    (1) 安装CentOS ISO(desktop/minimal)、Cloud(AWS/阿里云)、Virtualization(VMWare、VirtualBox) 详细内容 (2) Linux常用命令 cd、ls、rm、chmod...... 详细内容 (3) 初始环境设置 用户管理、网络设置、安全设置...... 详细内容 (4) 常驻服务Daemon
  • 【求助】mongoDB无法更新主键 toknowme mongodb
      Query query = new Query();          query.addCriteria(new Criteria("_id").is(o.getId()));                &n
  • jquery 页面滚动到底部自动加载插件集合 xp9802 jquery
    很多社交网站都使用无限滚动的翻页技术来提高用户体验,当你页面滑到列表底部时候无需点击就自动加载更多的内容。下面为你推荐 10 个 jQuery 的无限滚动的插件: 1. jQuery ScrollPagination jQuery ScrollPagination plugin 是一个 jQuery 实现的支持无限滚动加载数据的插件。 2. jQuery Screw S
按字母分类: ABCDEFGHIJKLMNOPQRSTUVWXYZ其他