ETH感知网

『壹』 华为eth-trunk配置

VRRP与接口状态联动简介

VRRP主备备份功能有时需要额外的技术来完善其工作。例如，Master设备到达某网络的链路突然断掉时，VRRP无法感知故障进行切换，导致主机无法通过Master设备远程访问该网络。此时，可以通过VRRP与接口状态联动，解决这个问题。

当Master设备发现上行接口发生故障时，Master设备降低自己的优先级（使得Master设备的优先级低于Backup设备的优先级），并立即发送VRRP报文。Backup设备接收到优先级比自己低的VRRP报文后，切换至Master状态，充当VRRP备份组中新的Master设备，从而保证了流量的正常转发。

配置注意事项

· 保证同一备份组的设备上配置相同的备份组号（virtual-router-id）。

· 不同备份组之间的虚拟IP地址不能重复，并且必须和接口的IP地址在同一网段。

· 一个VRRP备份组最多可以配置监视8个接口。并且，当设备为IP地址拥有者时，不允许对其配置监视接口。

组网需求

如图1所示，用户通过Switch双归属到SwitchA和SwitchB。用户希望实现：

· 正常情况下，主机以SwitchA为默认网关接入Internet，当SwitchA或者其上下行接口故障时，SwitchB接替作为网关继续进行工作，实现网关的冗余备份。

· SwitchA和SwitchB之间增加带宽，实现链路冗余备份，提高链路可靠性。

· SwitchA故障恢复后，可以在20秒内重新成为网关。

配置思路

采用VRRP主备备份实现网关冗余备份，配置思路如下：

1. 配置各设备接口IP地址及路由协议，使各设备间网络层连通。

2. 在SwitchA和SwitchB上部署VLAN聚合，实现VLAN101~VLAN180二层隔离三层互通，节省了IP地址。

3. 在SwitchA和SwitchB上创建Eth-Trunk接口并加入成员接口，实现增加链路带宽，提供链路冗余备份。

4. 在SwitchA和SwitchB上配置VRRP备份组。其中，SwitchA上配置较高优先级和20秒抢占延时，作为Master设备承担流量转发；SwitchB上配置较低优先级，作为备用设备，实现网关冗余备份。

5. 在SwitchA上配置VRRP与接口状态联动，监视接口GE1/0/1和接口GE1/0/2，实现主设备故障时，VRRP备份组及时感知并进行主备切换。

『贰』 亿咖通放出智能座舱核弹！AMD芯片上车现场玩《古墓丽影》

车东西（公众号：chedongxi）

作者 ｜ Juice

编辑 ｜ 志豪

智能座舱领域也要“卷上天了”！

就在昨晚，亿咖通在武汉发布了四款全新产品，分别为智能座舱计算平台安托拉（Antora）1000、安托拉（Antora）1000 Pro、面向全球的座舱平台马卡鲁（Makalu）和中央计算大脑Super Brain。

▲亿咖通Super Brain

这一产品集成了“龙鹰一号”和黑芝麻A1000芯片，这一产品可以将整车的线束降低5%，进一步降低车辆的复杂度；同时在研发成本方面则可以实现15%的降低；而整车的BOM成本可以降低20%。

<p class="ql-align-ju

【本文来自易车号作者车东西，版权归作者所有,任何形式转载请联系作者。内容仅代表作者观点，与易车无关】

『叁』 【重识云原生】第2.3节——主流虚拟化技术之Xen

Xen知识地图：

        Xen是由剑桥大学计算机实验室开发的一个开源项目，是一个开源的可直接运行于硬件层之上的虚拟化软件，它属于type-I型虚拟化系统，支持万贯虚拟化和超虚拟化，以高性能、占用资源少著称，赢得了IBM、AMD、HP、Red Hat和Novell等众多世界级软硬件厂商的高度认可和大力支持，已被国内外众多企事业用户用来搭建高性能的虚拟化平台。

        Xen仅对CPU和Memory直接接管，而其它IO硬件驱动则由其上运行的第一个虚拟机来提供支持，它能够在计算机硬件上并发的运行多个客户操作系统（Guest OS）。支持x86、x86-64、安腾( Itanium)、Power PC和ARM多种处理器，因此Xen可以在大量的计算设备上运行，目前Xen支持Linux、NetBSD、FreeBSD、Solaris、 Windows和其他常用的操作系统作为客户操作系统在其管理程序上运行。

    Xen默认认为自己是直接运行于硬件层之上的虚拟化软件（即Xen Hypervisor层），并且可以直接驱动CPU和内存，需注意CPU和内存是所有想要运行的操作系统必须能直接支持的，但Xen为保证自身的小巧，它并没有提供虚拟机的管理接口，因此它采用了一种独特的方式，先运行一台特权虚拟机（即Domain 0），且这台VM必须支持Kernel的修改，因此选择开源的Linux做为特权VM是最合适的，这样也可方便采用Linux所支持的方式来开发虚拟机管理接口，实现与Xen Hypervisor层直接交互来完成为VM分配CPU和内存资源及创建、删除、停止、启动VM的管理接口。通常这台特权虚拟机一定会采用当前比较流行的Linux发行版，因为它能支持更多IO硬件设备，如：网卡，磁盘，显卡，声卡等；到目前为止，NetBSD，GNU/Linux，FreeBSD和Plan 9，OpenSolaris等系统已经支持已半虚拟化方式运行在Xen的DomU中。目前Xen已经支持x86、x86_64和ARM等平台，并正在向IA64、PPC移植。移植到其他平台从技术上是可行的，未来有可能会实现。

        Xen虚拟机支持在不停止的情况下在多个物理主机之间实时迁移。在操作过程中，虚拟机在没有停止工作的情况下内存被反复地复制到目标机器。虚拟机在最终目的地开始执行之前，会有一次60-300毫秒的非常短暂的暂停以执行最终的同步化，给人无缝迁移的感觉。类似的技术被用来暂停一台正在运行的虚拟机到磁盘，并切换到另外一台，第一台虚拟机在以后可以恢复。

如上图所示，Xen虚拟环境由三部分组件组成：

XEN Hypervisor

        Xen Hypervisor 是介于操作系统和硬件之间的一个软件抽象层。它负责在各个虚拟机之间进行CPU调度和内存分配。Xen Hypervisor不仅抽象出虚拟机的硬件，同时还控制着各个虚拟机的执行。Xen Hypervisor不会处理网络、存储设备、视频以及其他 I/O。

Domain 0 Guest

        Domain 0是特权域，是一个修改过的Linux kernel，是唯一运行在 Xen Hypervisor之上的虚拟机，它拥有访问物理 I/O 资源的权限，同时和系统上运行的其他虚拟机（Domain U: PV and HVM Guest）进行交互。Domain 0需要在其它Domain启动之前启动。

        Domain 0 中有两个驱动 Network Backend Driver 和 Block Backend Driver，它们分别用来处理来自 Domain U 的网络和本地磁盘请求。 Network Backend Driver与本地网络硬件直接通信，以此来处理来自于Domain U所有虚拟机访问网络设备的请求；Block Backend Drive与本地存储设备进行通信，以此来处理来自于Domain U的磁盘数据读写的请求。

Domain U Guest(Dom U)

        Domain U没有直接访问物理硬件的权限（Domain U的"U"是来自于英文单词 unprivileged，是指没有权限的），但Domain 0有。

        运行在 Xen Hypervisor 上的所有半虚拟化（paravirtualized）虚拟机被称为“Domain U PV Guests”，其上运行着被修改过内核的操作系统，如 Linux、Solaris、FreeBSD 等其它 UNIX 操作系统。

        所有的全虚拟化虚拟机被称为“Domain U HVM Guests”，其上运行着不用修改内核的操作系统，如 Windows 等。

        Domain U PV Guest 中也包括两个驱动“PV Network Driver”和“PV Block Driver”，它们分别也是用来处理发送网络和本地磁盘请求用的，这与 Domain 0 中的两个驱动是相对应的。

     Xen对虚拟机的虚拟化分为两大类，半虚拟化（Para virtualization）和完全虚拟化（Hardware VirtualMachine）。

       半虚拟化（Paravirtualization）有些资料称为“超虚拟化”，简称为PV，是Xen主导的虚拟化技术。这种技术允许虚拟机操作系统感知到自己运行在Xen Hypervisor上而不是直接运行在硬件上，同时也可以识别出其他运行在相同环境中的客户虚拟机。

       在Xen Hypervisor上运行的半虚拟化的操作系统，为了调用系统管理程序（Xen Hypervisor），要有选择地修改操作系统，然而却不需要修改操作系统上运行的应用程序。由于 Xen 需要修改操作系统内核，所以您不能直接让当前的 Linux 内核在 Xen 系统管理程序中运行，除非它已经移植到了Xen 架构。不过，如果当前系统可以使用新的已经移植到 Xen 架构的Linux 内核，那么您就可以不加修改地运行现有的系统。

       完全虚拟化（Hardware Virtual Machine）又称“硬件虚拟化”，简称HVM，是指运行在虚拟环境上的虚拟机在运行过程中始终感觉自己是直接运行在硬件之上的，并且感知不到在相同硬件环境下运行着其他虚拟机的虚拟技术。此种虚拟化需要借助于Intel的VT-x 或 AMD的AMD-v 等硬件辅助虚拟化技术（详细技术原理参见1.5.1节）及Qemu的IO硬件模拟技术，才能支持GuestOS的kernel不修改,就可直接被DomU支持。

       在Xen Hypervisor运行的完全虚拟化虚拟机，所运行的操作系统都是标准的操作系统，即：无需任何修改的操作系统版本。同时也需要提供特殊的硬件设备。

       值的注意的是，在Xen上虚拟的Windows虚拟机必须采用完全虚拟化技术。

       为了提高性能，完全虚拟化的Guests可以使用特殊的半虚拟设备驱动程序（PVHVM或PV-on-HVM驱动）。这些驱动程序在HVM环境下优化你的 PV驱动，模拟的磁盘和网络IO旁路运行，从而让你的PV在HVM中有更好的性能。这意味着你在用户窗口操作方面可以得到最佳的性能。

       注意，Xen项目PV（半虚拟化）的Guest自动使用PV驱动，因此不需要这些驱动程序，因为你已经自动使用优化的驱动程序。PVHVM只会在HVM（全虚拟化）guest虚拟机中需要。

       Xen 的 VMM ( Xen Hypervisor ) 位于操作系统和硬件之间，负责为上层运行的操作系统内核提供虚拟化的硬件资源，负责管理和分配这些资源，并确保上层虚拟机（称为域 Domain）之间的相互隔离。Xen采用混合模式，因而设定了一个特权域用以辅助Xen管理其他的域，并提供虚拟的资源服务，该特权域称为Domain 0，而其余的域则称为Domain U。

       Xen向Domain提供了一个抽象层，其中包含了管理和虚拟硬件的API。Domain 0内部包含了真实的设备驱动（原生设备驱动），可直接访问物理硬件，负责与 Xen 提供的管理 API 交互，并通过用户模式下的管理工具来管理 Xen 的虚拟机环境。

       Xen2.0之后，引入了分离设备驱动模式。该模式在每个用户域中建立前端（front end）设备，在特权域(Dom0)中建立后端(back end)设备。所有的用户域操作系统像使用普通设备一样向前端设备发送请求，而前端设备通过IO请求描述符(IO descripror ring)和设备通道（device channel）将这些请求以及用户域的身份信息发送到处于特权域中的后端设备。这种体系将控制信息传递和数据传递分开处理。

       在Xen体系结构设计中，后端设备运行的特权域被赋予一个特有的名字---隔离设备域(Isolation Device Domain, IDD)，而在实际设计中，IDD 就处在Dom0中。所有的真实硬件访问都由特权域的后端设备调用本地设备驱动 (native device driver)发起。前端设备的设计十分简单，只需要完成数据的转发操作，由于它们不是真实的设备驱动程序，所以也不用进行请求调度操作。而运行在IDD中的后端设备，可以利用Linux的现有设备驱动来完成硬件访问，需要增加的只是IO请求的桥接功能---能完成任务的分发和回送。

1）半虚拟化技术实现原理

       采用半虚拟化技术的虚拟机操作系统能够识别到自己是运行在Xen Hypervisor而非直接运行于硬件之上，并且也可以识别到在相同的机器上运行的其他虚拟机系统。而且运行的操作系统都需要进行相应的修改。

       半虚拟化客户机（Domain U PV Guests）包含两个用于操作网络和磁盘的驱动程序，PV Network Driver 和PV Block Driver。

       PV Network Driver负责为Domain U提供网络访问功能。PV Block Driver负责为Domain U提供磁盘操作功能。

2）完全虚拟化技术实现原理

       完全虚拟化客户机（Domain U HVM Guests）运行的是标准版本的操作系统，因此其操作系统中不存在半虚拟化驱动程序（PV Driver），但是在每个完全虚拟化客户机都会在Domain 0中存在一个特殊的精灵程序，称作：Qemu-DM，Qemu-DM帮助完全虚拟化客户机（Domain U HVM Guest）获取网络和磁盘的访问操作。

       完全虚拟化客户机必须和在普通硬件环境下一样进行初始化，所以需要在其中加入一个特殊的软件Xen virtual firmware，来模拟操作系统启动时所需要的BIOS。

       开源社区中将一系列的Linux精灵程序分类为“管理”和“控制”两大类。这些服务支撑着整个虚拟环境的管理和控制操作，并且存在于Domain 0虚拟机中。

       下面将对直接服务进行详细的描述。

       注：为了清晰的描述Xen的运行流程，画图时将精灵程序放在Domain 0外部来描述，但事实上所有精灵程序都存在于Domain 0 之中。

1）Xend

       Xend精灵线程是一个Python应用程序，它作为Xen环境的系统管理员。它利用Libxenctrl类库向Xen Hypervisor发出请求。

       所有Xend处理的请求都是由XM工具使用XML RPC接口发送过来的。

2）Xm

       用于将用户输入通过XML RPC接口传递到Xend中的命令行工具。

3）Xenstored

       Xenstored精灵程序用于维护注册信息，这些信息包括内存和在连接Domain 0和所有其他Domain U之间的事件通道。Domain 0虚拟机利用这些注册信息来与系统中其他虚拟机建立设备通道，即帮助Domain U虚拟机访问硬件资源。

4）Libxenctrl

       Libxenctrl是C程序类库，用于让Xend具有通过Domain 0与Xen Hypervisor进行交互的能力。在Domain 0中存在一个特殊的驱动程序称作privcmd，它将请求发送给Hypervisor。

5）Qemu-DM

       在Xen环境下，每个完全虚拟化虚拟机都需要拥有自己的Qemu精灵程序。Qemu-DM处理在Xen环境下完全虚拟化客户机所能允许执行的所有关于网络 和磁盘请求和操作。Qemu程序必须存在于Hypervisor之外同时又需要访问网络和I/O，所以Qemu-DM必须存在于Domain 0 中（参见前面章节对Domain 0 的描述）。

       未来版本的Xen中，一种新的工具Stub-DM将会提供一系列对所有完全虚拟化客户机都可用的服务，以此来替代需要在每个虚拟机上都生成一个Qemu的逻辑。

6）Xen Virtual Firmware

       Xen Virtual Firmware是被嵌入到所有完全虚拟化客户机中的虚拟BIOS系统，来确保所有客户操作系统在正常启动操作中接收到标准的启动指令集并提供标准的软件兼容环境。

       根据前几章节所述，Xen Hypervisor不负责处理网络和磁盘请求，因此半虚拟化客户机（Domain U PV）必须通过Domain 0 与Xen Hypervisor进行通信，从而完成网络和磁盘的操作请求。下面以半虚拟化客户机（Domain U PV）执行向本地磁盘写入数据为例描述Domain 0与Domain U PV的交互过程。

       半虚拟化客户机（Domain U PV）的PV Block Driver接收到要向本地磁盘写入数据的请求，然后通过Xen Hypervisor将与Domain 0共享的本地内存中的数据写入到本地磁盘中。在Domain 0 和半虚拟化Domain U之间存在事件通道，这个通道允许它们之间通过存在于Xen Hypervisor内的异步中断来进行通信。Domain 0将会接收到一个来自于Xen Hypervisor的系统中断，并触发Domain 0中的Block Backend驱动程序去访问本地系统内容，并从与半虚拟化客户机的共享内存中读取适合的数据块。从共享内存中读取的数据随后被写入到本地磁盘的指定位置中。

     上图中所显示的事件通道是直接连接Domain 0 和Domain U PV是为了清晰和简单的描述系统是如何运行的。但事实上，事件通道（Event Channel）运行于Xen Hypervisor中，并在Xenstored中注册特定的系统中断，以此来让Domain 0 和Domain U PV能够通过本地内存快速的共享信息。

Xen在给VM提供CPU的虚拟化时，它采用的也是在Xen hypervisor层启动一个线程，并将这些线程映射到某个物理核心上，当然通过DomU的配置文件中的cpus可以指定将这些模拟CPU的线程绑定到某几个物理核心上；而内存的虚拟化则是内存页的映射，将物理内存上多个连续或不连续的内存页映射给VM，让VM看来这就是一个完整的连续的内存空间。

当启动一个用户VM(DomU)时，该VM所需的CPU和内存都由Xen Hypervisor提供，而它若需要使用IO设备时，则向特权VM(即Dom0)发起请求，特权VM会为该用户VM创建一个模拟的硬件设备线程，并运行于特权VM的用户空间，当用户VM向该IO硬件发起调用时，特权VM上相应的模拟设备接收请求并将其转化为特权VM对IO硬件的操作，交给特权VM的内核来代为完成其操作。这里需注意这些虚拟IO硬件需要由Qemu来模拟，Xen本身并没有提供相应的模拟功能。（注：特权VM的CPU和内存也是有Xen Hypervisor提供）

1）Qemu模拟IO设备(完全虚拟化方式)

Qemu模拟IO设备(完全虚拟化方式)：假如用户VM向特权VM请求磁盘，特权VM可以将一个分区、文件等，通过Qemu将其模拟成一个磁盘设备，就拿文件来说，特权VM先创建一个映像文件，再通过Qemu为该文件模拟一个磁盘控制器芯片；然后，将其映射到用户VM上，当然模拟的这个磁盘控制器芯片一定是一个最常见的，用户VM的Kernel一定支持的，但需注意：模拟的磁盘可能会与实际的物理磁盘不同，因为要尽可能兼容。这样一来用户VM假如要写数据到磁盘的过程如下：

用户VM-APP--->用户VM-Kernel调用虚拟磁盘的驱动进行写数据前的准备(如：数据写入到磁盘中的扇区位置/数据编码等)--->

用户VM-Kernel将编码后的信息发给特权VM的模拟磁盘进程--->

特权VM的模拟磁盘进程再将编号信息还原后发给特权VM-kernel--->

特权VM-kernel调用真实物理磁盘的驱动对数据进行写前准备--->最后磁盘驱动调度磁盘完成写入

摘录补充:（ http://my.oschina.net/davehe/blog/94039?fromerr=mOuCyx6W ）

        Xen向Domain提供了一个抽象层，其中包含了管理和虚拟硬件的API。Domain 0内部包含了真实的设备驱动（原生设备驱动），可直接访问物理硬件，Xen 提供的管理 API 可与其交互，并通过用户模式下的管理工具(如：xm/xend、xl等)来管理 Xen 的虚拟机环境。

2）半虚拟化IO设备

        半虚拟化的IO设备：它与模拟最大不同是DomU知道自己是运行在虚拟化环境中的，并且知道这个磁盘不是真正的磁盘，它只是Xen模拟的一个磁盘前端驱动(Disk Frontend)，它要写数据时，直接将数据交给Disk Frontend，而不再去调用磁盘驱动进行数据编码，当特权VM端的Disk backend收到来自DomU的数据时，也是直接转给特权VM-Kernel，由其直接调用物理磁盘驱动来对这些原始数据进行处理并写入磁盘。

摘录补充：（ http://my.oschina.net/davehe/blog/94039?fromerr=mOuCyx6W ）

Xen2.0之后，引入了分离设备驱动模式。该模式在每个用户域中建立前端（front end）设备，在特权域(Dom0)中建立后端(back end)设备。所有的用户域操作系统像使用普通设备一样向前端设备发送请求，而前端设备通过IO请求描述符(IO descripror ring)和设备通道（device channel）将这些请求以及用户域的身份信息发送到处于特权域中的后端设备。这种体系将控制信息传递和数据传递分开处理（类似云计算中常说的控制面与数据面分离设计）。

半虚拟化客户机（Domain U PV）的PV Block Driver接收到要向本地磁盘写入数据的请求，然后通过Xen Hypervisor将自己与Domain 0共享的本地内存中的数据写入到本地磁盘中。在Domain 0 和半虚拟化Domain U之间存在事件通道，这个通道允许它们之间通过存在于Xen Hypervisor内的异步中断来进行通信。Domain 0将会接收到一个来自于Xen Hypervisor的系统中断，并触发Domain 0中的Block Backend驱动程序去访问本地系统内容，并从自己与半虚拟化客户机的共享内存中读取适合的数据块后，随即被写入到本地磁盘的指定位置中。

    但无论采用模拟或半虚拟化最终都是对物理磁盘的操作，假如当前只有一个物理磁盘，众多用户VM都在进行大量的读写请求，此时，为了避免用户VM无限制的向特权VM发起请求，特权VM中采用一个环状缓存区，每到一个IO请求，就先将其塞入这个环状缓冲区的槽位中，若缓冲区满了，就会告诉用户VM IO设备繁忙。当然其它各种IO设备大致都采用这种机制来控制。

        在虚拟化环境中虚拟网络是十分重要但又比较难,需要特别注意；

在Linux中实现虚拟网络的方法中比较常用的工具有两个：bridge-utils 和 openvswitch，它们创建的虚拟网络设备是不能相互使用的，比如：bridge-utils创建的桥设备，openvswitch是无法识别的。

用下图来做简单说明：

1）Bridge模式

Xend启动时流程：

1、创建虚拟网桥 xenbr0；

2、停止物理网卡 eth0；

3、物理网卡 eth0 的 MAC 地址和 IP 地址被复制到虚拟网卡 veth0；

4、物理网卡 eth0 重命名为 peth0；

5、Veth0 重命名为 eth0；

6、Peth0 的 MAC 地址更改（ FE:FF:FF:FF:FF:FF ），ARP 功能关闭；

7、连接 peth0、vif0.0 到网桥 xenbr0

8、启动 peth0、vif0.0、xenbr0

Domain U 启动时的流程：

1、vif<domainID>.0 连接到 xenbr0

2、启动vif<domainID>.0

2）Route 模式

Xend启动时的流程：

1、开启Domain 0的IP Forward。

Domain U启动时的流程：

1、创建 vif<domainID>.0 ，dom U eth0的IP地址被拷贝到vif<domainID>。

2、启动 vif<domainID>.0。

3、为domU的配置文件中指向虚拟接口vif.0分配的IP地址增加静态路由。

3）NAT模式

NAT 模式会使用虚拟局域网 virbr0

    安装了Xen的Linux机器，在Dom 0中能看到以下几类网卡（网络接口设备 ）：

(X ，Y都为数字)

pethY

ethY

xenbrY

virbrY

vifX.Y（X为DomaiID，Y表示该虚拟网卡是该Domain的第几块虚拟网卡）

vethY （一般在Xend启动完成以后就不存在了）

xend : 这是Xen Hypervisor的Dom0上运行的服务,此服务用来监控xm命令发来的指令,并完成相应的动作。

xm : Xen Management,用来管理VM的创建、删除、启动、快照、删除、停止等的管理工具。

xl : 这是一个基于libxenlight库的一个轻量级VM管理工具，它从Xen4.1开始出现,从4.3以后,它被作为主要的VM管理工具,而xm这个重量级管理工具开始被提示废弃.以下为xm、xl的对比图:

    xl 和 xm都需要调用libxenlight，但xl不需要运行任何服务,它可直接调用libxenlight完成相关操作。

xe/XAPI，是xend的一个API管理接口,通常用于Xen Cloud环境中：Xen Server, XCP

virsh/ libvirt : 这是Redhat发起开发的一套用于管理众多不同类别的VM的管理工具。

virsh : 这是一个命令行工具

libvirt: 则是一个lib库, libvirtd守护进程用于监听virsh命令操作,并调用lbvirt完成相关操作.

10年4月Xen4.0.0发布，改进后Xen的DomU最大可支持虚拟CPU 64颗，Xen主机可支持1TB内存和128颗物理CPU，磁盘可支持快照和克隆；HVM客户机支持虚拟内存页共享；

11年4月发布的Xen4.1版后，xm/xend开始被提示废弃，xl这个更轻量级的Xen VM管理工具逐渐成为主流。

15年为止已经发布Xen4.5版本，目前yum源可用的最新版Xen是4.6.1版的(http://mirrors.skyshe.cn/centos/6.7/virt/x86_64/xen-46/)。

Linux2.6.37：kernel开始对Xen进行支持,并加其加入到Kernel中。

Linux3.0：Kernel开始对Xen的关键部分进行优化。

RHEL对Xen的支持概况：

Redhat系列对Xen的支持情况：

RHEL5.7 ~ 及以前版本：默认的企业虚拟化技术为Xen。

但Redhat提供了两种内核：

kernel-... ：这是仅允许RHEL系统的内核，不能运行在DomU中。

kernel-xen.. ：这是需要部署XenServer时,使用的Kernel版本。

RHEL6 ~ 及以后版本：默认支持KVM(收购自以色列的一款虚拟化工具)，并且不在对Xen做任何支持，但允许自己运行在DomU中。

Linux内核态、用户态简介与IntelCPU特权级别--Ring0-3_weixin_30784501的博客-CSDN博客

云计算技术 — 云计算技术发展编年史_烟云的计算-CSDN博客_云计算编年史

虚拟化技术原理（CPU、内存、IO）_joneslee的博客-CSDN博客_虚拟化原理

五种主流的虚拟化技术_远有青山-CSDN博客_虚拟化技术

Xen原理

Xen原理 - 张朝锋 - 博客园

Xen虚拟化技术原理_IT人生活的技术博客_51CTO博客

Xen虚拟化基本原理详解

Xen虚拟化基本原理详解 - stardsd - 博客园

Xen工作原理_为幸福写歌的博客-CSDN博客_xen原理

Xen_网络

『肆』 Filecoin能给我们带来怎样的改变未来又会发生什么

IPFS能为我们改变什么

一、IPFS，Dapp分布式应用的温床

以分布式存储作为内核的IPFS，将去中心化结构发挥到了极致。IPFS碎片式数据管理方式，将我们所保存的数据“零碎”地分布于整个网络之中，极大避免了各种外在因素所造成的数据泄露与丢失问题，也可以让更多有价值的数据等永久保存。

在这样的前提下，不觉让人联想到未来DApp的应用问题（去中心化应用）。

一个好的DApp，固然是建立在一个优质的去中心化储存网络之上，DApp第一步所要解决的是数据在去中心网络中的搭建与上链的问题。传统的Dapp多数都是以EOS网络构建，这主要是得益于EOS“相对”快速的TPS，但网络回滚与弱中心问题而带来的安全隐患，始终备受外界的诟病。

随着ETH的最终共识机制可能转为PoS，坊间也开始流传EOS也将基于IPFS存储网络接入其DApp的生态。Filecoin白皮书最后一章有提到“IPFS的桥接”功能，这将意味着理论上Filecoin可运行任何DApp，也代表着其他DApp也可运行Filecoin的智能合约。

基于此前提，我们可以想象的是，未来的现象级的DApp极有可能诞生于IPFS网络之中。

二、IPFS可能是最合适的知识产权解决方案

“版权”问题无疑是知识产权的重灾区，虽然传统行业中已经做出了许多尝试，但依旧无法杜绝。就现在而言，一般都是中心化的解决方式，但这种解决方式很容被攻破。理由很简单，版权利益仅仅来自于个人，而非集体。

如果将版权问题接入IPFS网络中，将网络中各节点做捆绑，利用通证形式作为激励，就很容易的做到自发性的“内容付费”或“内容变现”。

三、三大领域与IPFS

随着协议实验室的不懈努力、全球学者的研究，以及爱好者的推动，IPFS越发紧扣我们的生活，最显著而影响深远的目前莫过于5G、物联网和区块链这三大领域，所以我们从这三大领域来解构IPFS与他们产生的市场合力。

1、5G+IPFS

5G技术是最新一代蜂窝移动通信技术。它的性能目标是高数据速率、减少延迟、节省能源、降低成本、提高系统容量和大规模设备连接。

5G的发展主要有两个驱动力。一方面以长期演进技术为代表的第四代移动通信系统4G已全面商用，对下一代技术的讨论提上日程；另一方面，移动数据的需求爆炸式增长，现有移动通信系统难以满足未来需求，急需研发新一代5G系统。

IPFS的出现就是为了革新传统的HTTP协议，改变服务端与客户端的信息传输模式。

IPFS最大的优势在于将高活跃度的公有文件进行统一的分发和存储，节省存储空间的同时节省带宽资源，还能为用户提供一个稳定的高速分发途径。相信，在5G技术的加持下，我们的网络世界会进一步高效、升级。

2、物联网+IPFS

物联网（简称IOT）是指通过各种信息传感器红外感应器、激光扫描器等各种装置与技术，实时采集任何需要监控、连接、互动的物体或过程，采集其声、光、热、电、位置等各种需要的信息，通过各类可能的网络接入，实现物与物、物与人的泛在连接，实现对物品和过程的智能化感知、识别和管理。

而IPFS能以此集成为一种容器化的网络应用程序，运行在独立节点上，以Web服务的形式，供大家使用访问。随着与IPFS技术的结合，物联网技术的发展不仅降低了基础设施的成本，还提高了带宽的性能，万物互联的时代，将成为可能。

3、区块链+IPFS

区块链诞生是为了去中心化，在没有中心机构的情况下达成共识，共同维护一个账本。

IPFS与区块链协同工作，能够补充区块链的两大缺陷：一是区块链存储效率低，成本高；二是跨链需要各个链之间协同配合，难以协调。

针对第一个问题，IPFS有一个解决方法：使用IPFS存储文件数据并将唯一永久可用的IPFS地址放置到区块链事务中，而不必将数据本身放在区块链中。针对第二个问题，IPFS能协助各个不同的区块链网络传递信息和文件。

IPFS是一个伟大的分布式存储技术的先行者，它是一个具有区块链特征的数据系统。如果IPFS得到普及，即使每个矿工只存储一点点的内容，但是累计的空间、带宽、可靠性也将远大于现有的互联网能提供的。在这种情况下，以区块链+IPFS为基础的分布式web将有望变成世界上最快、最可靠的超级数据库。

IPFS未来会怎样

在2021年的8月中旬，momack2发布了庆祝Filecoin100万区块高度的好消息，来感谢参与IPFS的参与者存储提供商、开发人员和激励币持有者，是这些参与组合让过去的百万个时代变得伟大。感谢大家为这个网络和社区所做的一切！目前流通的FIL总量157,159,038 FIL （包括FIL 销毁和抵押品）Incineration: 27,350,111 FIL。

Filecoin 社区生态Web3.storageWeb3.storage 发布！Web3.storage 允许开发人员以最佳方式与Filecoin/IPFS 集成。Web3.storage 由两部分组成。

一种跨多个Filecoin 存储提供商和公共IPFS 网络冗余存储数据的服务，提供有关数据存储位置的信息，并通过CID 检索数据。

HTTP 端点、Javascript 客户端库和用于与服务交互的Web UI。

以上是Filecoin 最近发生的一件大事，展示了Filecoin 如何改进和发展。随着时间的推移，未来会有越来越多的人跟踪IPFS。

Filecoin 未来会发生什么？对于FIL的未来趋势，仍然非常乐观。为什么说从整个生态的角度来看，整个发行、每日销毁、锁定和抵押等不仅有助于整个生态的发展，还有助于币价上涨？连日来，不少人都在等待国庆后的行情，纷纷猜测牛市浪潮即将来临。如果30天平均算力超过60天平均算力，从技术上讲，后续上涨的概率会远远大于下跌的概率。整个市场目前正在调整中，现在可以随时参与进来。

还可以使用Filecoin 参与挖矿吗？当然可以，则挖矿风险较低。挖矿不仅是熊市，短期内也可能出现在货币和牛市中。如果货币价格下跌，您可以使用生成的货币来弥补您的损失。FIL现在仍然可以开采，目前网络流通率只有7.86%，活跃矿工数量超过2000。

现在FIL币便宜，设备便宜，质押币和gas随着之前的主网升级减少了。这也是挖矿的第二个黄金时代。很多人认为挖矿效率低，但减持更多的是挖矿效率，投资成本比较高。之前的1T算力高达19000/1T。当前激励币价格的回报期更长，最大的优点是它每天都在不断地生产。转移成本阻止了许多矿工进入市场，低成本矿工正在崛起。

目前挖矿的优势是什么？ 第一：激励币价格变低第二：合同成本变低第三：现有设备更便宜第四：挖矿风险低于囤币第五：投资回收期缩短。完成度越高，对未来发展越好，所以现在是挖矿的好时机。

『伍』 IPVS从入门到精通kube-proxy实现原理

我们知道容器的特点是快速创建、快速销毁，Kubernetes Pod和容器一样只具有临时的生命周期，一个Pod随时有可能被终止或者漂移，随着集群的状态变化而变化，一旦Pod变化，则该Pod提供的服务也就无法访问，如果直接访问Pod则无法实现服戚渗务的连续性和高可用性，因此显然不能使用Pod地址作为服务暴露端口。

解决这个问题的办法和传统数据中心解决无状态服务高可用的思路完全一样，通过负载均衡和VIP实现后端真实服务的自动转发、故障转移。

这个负载均衡在Kubernetes中称为Service，VIP即Service ClusterIP，因此可以认为Kubernetes的Service就是一个四层负载均衡，Kubernetes对应的还有七层负载均衡Ingress，本文仅介绍Kubernetes Service。

这个Service就是由kube-proxy实现的，ClusterIP不会因为Podz状态改变而变，需要注意的是VIP即ClusterIP是个假的IP，这个IP在整个集群中根本不存在，当然也就无法通过IP协议栈无法路由，底层underlay设备更无法感知这个IP的存在，因此ClusterIP只能是单主机(Host Only）作用域可见，这个IP在其他节点以及集群外均无法访问。

Kubernetes为了实现在集群所有的节点都能够访问Service，kube-proxy默认会在所有的Node节点都创建这个VIP并且实现负载，所以在部署Kubernetes后发现kube-proxy是一个DaemonSet。

而Service负载之所以能够在Node节点上实现是因为无论Kubernetes使用哪个网兄差络模型，均需要保证满足如下三个条件：

至少第2点是必须满足的，有了如上几个假设，Kubernetes Service才能在Node上实现，否则Node不通Pod IP也就实现不了了。

有人说既然kube-proxy是四层负载均衡，那kube-proxy应该可以使用haproxy、nginx等作为负载后端啊？

事实上确实没有问题，不过唯一需要考虑的就是性能问题，如上这些负载均衡功能都强大，但毕竟还是基于用户态转发或者反向代理实现的，性能必然不如在内核态直接转发处理好。

因此kube-proxy默认会优先选择基于内核态的负载作为后端实现机制，目前kube-proxy默认是通过iptables实现负载的，在此之前还有一种称为userspace模式，其实也是基于iptables实现，可以认为当前的iptables模式是对之前userspace模式的优化。

本节接下来将详细介绍kube-proxy iptables模式的实现原理。

首先创建了一个ClusterIP类型的Service:

其中ClusterIP为10.106.224.41，我们可以验证这个IP在羡仔皮本地是不存在的:

所以 不要尝试去ping ClusterIP，它不可能通的 。

此时在Node节点192.168.193.172上访问该Service服务，首先流量到达的是OUTPUT链，这里我们只关心nat表的OUTPUT链：

该链跳转到 KUBE-SERVICES 子链中:

我们发现与之相关的有两条规则：

其中 KUBE-SVC-RPP7DHNHMGOIIFDC 子链规则如下:

这几条规则看起来复杂，其实实现的功能很简单:

我们查看其中一个子链 KUBE-SEP-FTIQ6MSD3LWO5HZX 规则:

可见这条规则的目的是做了一次DNAT，DNAT目标为其中一个Endpoint，即Pod服务。

由此可见子链 KUBE-SVC-RPP7DHNHMGOIIFDC 的功能就是按照概率均等的原则DNAT到其中一个Endpoint IP，即Pod IP，假设为10.244.1.2，

此时相当于:

接着来到POSTROUTING链:

这两条规则只做一件事就是只要标记了 0x4000/0x4000 的包就一律做MASQUERADE（SNAT)，由于10.244.1.2默认是从flannel.1转发出去的，因此会把源IP改为flannel.1的IP 10.244.0.0 。

剩下的就是常规的走Vxlan隧道转发流程了，这里不再赘述，感兴趣的可以参考我之前的文章 浅聊几种主流Docker网络的实现原理 。

接下来研究下NodePort过程，首先创建如下Service:

其中Service的NodePort端口为30419。

假设有一个外部IP 192.168.193.197，通过 192.168.193.172:30419 访问服务。

首先到达PREROUTING链:

PREROUTING的规则非常简单，凡是发给自己的包，则交给子链 KUBE-NODEPORTS 处理。注意前面省略了判断ClusterIP的部分规则。

KUBE-NODEPORTS 规则如下:

这个规则首先给包打上标记 0x4000/0x4000 ，然后交给子链 KUBE-SVC-RPP7DHNHMGOIIFDC 处理， KUBE-SVC-RPP7DHNHMGOIIFDC 刚刚已经见面过了，其功能就是按照概率均等的原则DNAT到其中一个Endpoint IP，即Pod IP，假设为10.244.1.2。

此时发现10.244.1.2不是自己的IP，于是经过路由判断目标为10.244.1.2需要从flannel.1发出去。

接着到了 FORWARD 链，

FORWARD表在这里只是判断下，只允许打了标记 0x4000/0x4000 的包才允许转发。

最后来到 POSTROUTING 链，这里和ClusterIP就完全一样了，在 KUBE-POSTROUTING 中做一次 MASQUERADE (SNAT)，最后结果:

我们发现基于iptables模式的kube-proxy ClusterIP和NodePort都是基于iptables规则实现的，我们至少发现存在如下几个问题：

本文接下来将介绍kube-proxy的ipvs实现，由于本人之前也是对ipvs很陌生，没有用过，专门学习了下ipvs，因此在第二章简易介绍了下ipvs，如果已经很熟悉ipvs了，可以直接跳过，这一章和Kubernetes几乎没有任何关系。

另外由于本人对ipvs也是初学，水平有限，难免出错，欢迎指正！

我们接触比较多的是应用层负载均衡，比如haproxy、nginx、F5等，这些负载均衡工作在用户态，因此会有对应的进程和监听socket，一般能同时支持4层负载和7层负载，使用起来也比较方便。

LVS是国内章文嵩博士开发并贡献给社区的（ 章文嵩博士和他背后的负载均衡帝国 )，主要由ipvs和ipvsadm组成，ipvs是工作在内核态的4层负载均衡，和iptables一样都是基于内核底层netfilter实现，netfilter主要通过各个链的钩子实现包处理和转发。ipvsadm和ipvs的关系，就好比netfilter和iptables的关系，它运行在用户态，提供简单的CLI接口进行ipvs配置。

由于ipvs工作在内核态，直接基于内核处理包转发，所以最大的特点就是性能非常好。又由于它工作在4层，因此不会处理应用层数据，经常有人问ipvs能不能做SSL证书卸载、或者修改HTTP头部数据，显然这些都不可能做的。

我们知道应用层负载均衡大多数都是基于反向代理实现负载的，工作在应用层，当用户的包到达负载均衡监听器listening后，基于一定的算法从后端服务列表中选择其中一个后端服务进行转发。当然中间可能还会有一些额外操作，最常见的如SSL证书卸载。

而ipvs工作在内核态，只处理四层协议，因此只能基于路由或者NAT进行数据转发，可以把ipvs当作一个特殊的路由器网关，这个网关可以根据一定的算法自动选择下一跳，或者把ipvs当作一个多重DNAT，按照一定的算法把ip包的目标地址DNAT到其中真实服务的目标IP。针对如上两种情况分别对应ipvs的两种模式–网关模式和NAT模式，另外ipip模式则是对网关模式的扩展，本文下面会针对这几种模式的实现原理进行详细介绍。

ipvsadm命令行用法和iptables命令行用法非常相似，毕竟是兄弟，比如 -L 列举， -A 添加， -D 删除。

但是其实ipvsadm相对iptables命令简直太简单了，因为没有像iptables那样存在各种table，table嵌套各种链，链里串着一堆规则，ipvsadm就只有两个核心实体，分别为service和server，service就是一个负载均衡实例，而server就是后端member,ipvs术语中叫做real server，简称RS。

如下命令创建一个service实例 172.17.0.1:32016 ， -t 指定监听的为 TCP 端口， -s 指定算法为轮询算法rr(Round Robin)，ipvs支持简单轮询(rr)、加权轮询(wrr)、最少连接(lc)、源地址或者目标地址散列(sh、dh)等10种调度算法。

然后把10.244.1.2:8080、10.244.1.3:8080、10.244.3.2:8080添加到service后端member中。

其中 -t 指定service实例， -r 指定server地址， -w 指定权值， -m 即前面说的转发模式，其中 -m 表示为 masquerading ，即NAT模式， -g 为 gatewaying ，即直连路由模式， -i 为 ipip ,ji即IPIP隧道模式。

与iptables-save、iptables-restore对应的工具ipvs也有ipvsadm-save、ipvsadm-restore。

NAT模式由字面意思理解就是通过NAT实现的，但究竟是如何NAT转发的，我们通过实验环境验证下。

现环境中LB节点IP为192.168.193.197，三个RS节点如下:

为了模拟LB节点IP和RS不在同一个网络的情况，在LB节点中添加一个虚拟IP地址:

创建负载均衡Service并把RS添加到Service中:

这里需要注意的是，和应用层负载均衡如haproxy、nginx不一样的是，haproxy、nginx进程是运行在用户态，因此会创建socket，本地会监听端口，而 ipvs的负载是直接运行在内核态的，因此不会出现监听端口 :

可见并没有监听10.222.0.1:8080 Socket 。

Client节点IP为192.168.193.226，为了和LB节点的虚拟IP 10.222.0.1通，我们手动添加静态路由如下:

此时Client节点能够ping通LB节点VIP:

可见Client节点到VIP的链路没有问题，那是否能够访问我们的Service呢？

我们验证下:

非常意外的结果是并不通。

在RS节点抓包如下:

我们发现数据包的源IP为Client IP，目标IP为RS IP，换句话说，LB节点IPVS只做了DNAT，把目标IP改成RS IP了，而没有修改源IP。此时虽然RS和Client在同一个子网，链路连通性没有问题，但是由于Client节点发出去的包的目标IP和收到的包源IP不一致，因此会被直接丢弃，相当于给张三发信，李四回的信，显然不受信任。

既然IPVS没有给我们做SNAT，那自然想到的是我们手动做SNAT，在LB节点添加如下iptables规则：

再次检查Service是否可以访问:

服务依然不通。并且在LB节点的iptables日志为空:

也就是说，ipvs的包根本不会经过iptables nat表POSTROUTING链？

那mangle表呢？我们打开LOG查看下:

此时查看日志如下：

我们发现在mangle表中可以看到DNAT后的包。

只是可惜mangle表的POSTROUTING并不支持NAT功能:

对比Kubernetes配置发现需要设置如下系统参数:

再次验证：

终于通了，查看RS抓包：

如期望，修改了源IP为LB IP。

原来需要配置 net.ipv4.vs.conntrack=1 参数，这个问题折腾了一个晚上，不得不说目前ipvs的文档都太老了。

前面是通过手动iptables实现SNAT的，性能可能会有损耗，于是如下开源项目通过修改lvs直接做SNAT:

除了SNAT的办法，是否还有其他办法呢？想想我们最初的问题，Client节点发出去的包的目标IP和收到的包源IP不一致导致包被丢弃，那解决问题的办法就是把包重新引到LB节点上，只需要在所有的RS节点增加如下路由即可:

此时我们再次检查我们的Service是否可连接:

结果没有问题。

不过我们是通过手动添加Client IP到所有RS的明细路由实现的，如果Client不固定，这种方案仍然不太可行，所以通常做法是干脆把所有RS默认路由指向LB节点，即把LB节点当作所有RS的默认网关。

由此可知，用户通过LB地址访问服务，LB节点IPVS会把用户的目标IP由LB IP改为RS IP，源IP不变，包不经过iptables的OUTPUT直接到达POSTROUTING转发出去，包回来的时候也必须先到LB节点，LB节点把目标IP再改成用户的源IP，最后转发给用户。

显然这种模式来回都需要经过LB节点，因此又称为双臂模式。

网关模式（Gatewaying）又称为直连路由模式（Direct Routing）、透传模式， 所谓透传即LB节点不会修改数据包的源IP、端口以及目标IP、端口 ，LB节点做的仅仅是路由转发出去，可以把LB节点看作一个特殊的路由器网关，而RS节点则是网关的下一跳，这就相当于对于同一个目标地址，会有多个下一跳，这个路由器网关的特殊之处在于能够根据一定的算法选择其中一个RS作为下一跳，达到负载均衡和冗余的效果。

既然是通过直连路由的方式转发，那显然LB节点必须与所有的RS节点在同一个子网，不能跨子网，否则路由不可达。换句话说， 这种模式只支持内部负载均衡(Internal LoadBalancer) 。

另外如前面所述，LB节点不会修改源端口和目标端口，因此这种模式也无法支持端口映射，换句话说 LB节点监听的端口和所有RS节点监听的端口必须一致 。

现在假设有LB节点IP为 192.168.193.197 ，有三个RS节点如下:

创建负载均衡Service并把RS添加到Service中:

注意到我们的Service监听的端口30620和RS的端口是一样的，并且通过 -g 参数指定为直连路由模式(网关模式)。

Client节点IP为192.168.193.226，我们验证Service是否可连接：

我们发现并不通，在其中一个RS节点192.168.193.172上抓包:

正如前面所说，LB是通过路由转发的，根据路由的原理，源MAC地址修改为LB的MAC地址，而目标MAC地址修改为RS MAC地址，相当于RS是LB的下一跳。

并且源IP和目标IP都不会修改。问题就来了，我们Client期望访问的是RS，但RS收到的目标IP却是LB的IP，发现这个目标IP并不是自己的IP，因此不会通过INPUT链转发到用户空间，这时要不直接丢弃这个包，要不根据路由再次转发到其他地方，总之两种情况都不是我们期望的结果。

那怎么办呢？为了让RS接收这个包，必须得让RS有这个目标IP才行。于是不妨在lo上添加个虚拟IP，IP地址伪装成LB IP 192.168.193.197:

问题又来了，这就相当于有两个相同的IP，IP重复了怎么办？办法是隐藏这个虚拟网卡，不让它回复ARP，其他主机的neigh也就不可能知道有这么个网卡的存在了，参考 Using arp announce/arp ignore to disable ARP 。

此时再次从客户端curl:

终于通了。

我们从前面的抓包中知道，源IP为Client IP 192.168.193.226，因此直接回包给Client即可，不可能也不需要再回到LB节点了，即A->B,B->C，C->A，流量方向是三角形状的，因此这种模式又称为三角模式。

我们从原理中不难得出如下结论：

前面介绍了网关直连路由模式，要求所有的节点在同一个子网，而ipip隧道模式则主要解决这种限制，LB节点IP和RS可以不在同一个子网，此时需要通过ipip隧道进行传输。

现在假设有LB节点IP为 192.168.193.77/25 ，在该节点上增加一个VIP地址:

ip addr add 192.168.193.48/25 dev eth0

有三个RS节点如下:

如上三个RS节点子网掩码均为255.255.255.128，即25位子网，显然和VIP 192.168.193.48/25不在同一个子网。

创建负载均衡Service并把RS添加到Service中:

注意到我们的Service监听的端口30620和RS的端口是一样的，并且通过 -i 参数指定为ipip隧道模式。

在所有的RS节点上加载ipip模块以及添加VIP(和直连路由类型）:

Client节点IP为192.168.193.226/25，我们验证Service是否可连接：

Service可访问，我们在RS节点上抓包如下：

我们发现和直连路由一样，源IP和目标IP没有修改。

所以IPIP模式和网关(Gatewaying)模式原理基本一样，唯一不同的是网关(Gatewaying)模式要求所有的RS节点和LB节点在同一个子网，而IPIP模式则可以支持跨子网的情况，为了解决跨子网通信问题，使用了ipip隧道进行数据传输。

ipvs是一个内核态的四层负载均衡，支持NAT、Gateway以及IPIP隧道模式，Gateway模式性能最好，但LB和RS不能跨子网，IPIP性能次之，通过ipip隧道解决跨网段传输问题，因此能够支持跨子网。而NAT模式没有限制，这也是唯一一种支持端口映射的模式。

我们不难猜想，由于Kubernetes Service需要使用端口映射功能，因此kube-proxy必然只能使用ipvs的NAT模式。

使用kubeadm安装Kubernetes可参考文档 Cluster Created by Kubeadm ，不过这个文档的安装配置有问题 kubeadm #1182 ，如下官方配置不生效:

需要修改为如下配置:

可以通过如下命令确认kube-proxy是否修改为ipvs:

创建一个ClusterIP类似的Service如下:

ClusterIP 10.96.54.11为我们查看ipvs配置如下：

可见ipvs的LB IP为ClusterIP，算法为rr，RS为Pod的IP。

另外我们发现使用的模式为NAT模式，这是显然的，因为除了NAT模式支持端口映射，其他两种均不支持端口映射，所以必须选择NAT模式。

由前面的理论知识，ipvs的VIP必须在本地存在，我们可以验证:

可见kube-proxy首先会创建一个mmy虚拟网卡kube-ipvs0，然后把所有的Service IP添加到kube-ipvs0中。

我们知道基于iptables的Service，ClusterIP是一个虚拟的IP，因此这个IP是ping不通的，但ipvs中这个IP是在每个节点上真实存在的，因此可以ping通:

当然由于这个IP就是配置在本地虚拟网卡上，所以对诊断问题没有一点用处的。

我们接下来研究下ClusterIP如何传递的。

当我们通过如下命令连接服务时:

此时由于10.96.54.11就在本地，所以会以这个IP作为出口地址，即源IP和目标IP都是10.96.54.11，此时相当于:

其中xxxx为随机端口。

然后经过ipvs，ipvs会从RS ip列中选择其中一个Pod ip作为目标IP，假设为10.244.2.2:

我们从iptables LOG可以验证:

我们查看OUTPUT安全组规则如下:

其中ipsetj集合 KUBE-CLUSTER-IP 保存着所有的ClusterIP以及监听端口。

如上规则的意思就是除了Pod以外访问ClusterIP的包都打上 0x4000/0x4000 。

到了POSTROUTING链:

如上规则的意思就是只要匹配mark 0x4000/0x4000 的包都做SNAT，由于10.244.2.2是从flannel.1出去的，因此源ip会改成flannel.1的ip 10.244.0.0 ：

最后通过Vxlan 隧道发到Pod的Node上，转发给Pod的veth，回包通过路由到达源Node节点，源Node节点通过之前的MASQUERADE再把目标IP还原为10.96.54.11。

查看Service如下：

Service kubernetes-bootcamp-v1的NodePort为32016。

现在假设集群外的一个IP 192.168.193.197访问192.168.193.172:32016:

最先到达PREROUTING链:

如上4条规则看起来复杂，其实就做一件事，如果目标地址为NodeIP，则把包标记 0x4000 ， 0x4000 。

我们查看ipvs:

我们发现和ClusterIP实现原理非常相似，ipvs Service的VIP为Node IP，端口为NodePort。ipvs会选择其中一个Pod IP作为DNAT目标，这里假设为10.244.3.2：

剩下的到了POSTROUTING链就和Service ClusterIP完全一样了，只要匹配 0x4000/0x4000 的包就会做SNAT。

Kubernetes的ClusterIP和NodePort都是通过ipvs service实现的，Pod当作ipvs service的server，通过NAT MQSQ实现转发。

简单来说kube-proxy主要在所有的Node节点做如下三件事:

使用ipvs作为kube-proxy后端，不仅提高了转发性能，结合ipset还使iptables规则变得更“干净”清楚，从此再也不怕iptables。

更多关于kube-proxy ipvs参考 IPVS-Based In-Cluster Load Balancing Deep Dive .

本文首先介绍了kube-proxy的功能以及kube-proxy基于iptables的实现原理，然后简单介绍了ipvs，了解了ipvs支持的三种转发模式，最后介绍了kube-proxy基于ipvs的实现原理。

ipvs是专门设计用来做内核态四层负载均衡的，由于使用了hash表的数据结构，因此相比iptables来说性能会更好。基于ipvs实现Service转发，Kubernetes几乎能够具备无限的水平扩展能力。随着Kubernetes的部署规模越来越大，应用越来越广泛，ipvs必然会取代iptables成为Kubernetes Service的默认实现后端。

转自 https://zhuanlan.hu.com/p/94418251

『陆』 华为ict大赛要学什么

华为ict大赛要学的内容：

一、数通方向涵盖盯弊大内容

1．数通基础知识、TCP/IP协议基础知识。

2.STP、RSTP和MSTP文

交换原理、应用和配置。

3. TCP/IP协议栈基础、广域网（如PPP)协议、凯竖PPPoE协议以及这些协议在华为路由器上的应用。

4．以太网技术、VLAN、Eth-Trunk、iStack的原理和应用。

5. IPv6基础知识、无状态自动配置、DHCPv6和IPv6过渡技术的原理和应用。

6．静态路由、路由策略、OSPF、OSPFv3、ISIS (IPv4)、ISIS (IPv6)、BGP和BGP4+的原理和应用。

7. MPLS、MPLS VPN、GRE VPN、L2TP、ACL、VRRP和BFD的原理和配置。

8. Telnet、FTP、DHCP的原理和配置。

9.编程自动化的原理和配置，网络自动化的实现。

10.SDN的原理和组网，如VXLAN、BGP EVPN、iMaster NCE应用。

11.组播的原理和配置。

12.QoS的原理和配置。

13.SR原理，如SR-MPLS和SRv6。

三、WLAN方向涵盖内容

1. WLAN工作原理和部署

2. WLAN拓扑、802.11协议、802.11物理层技术、CAPWAP基本原理。

3. WLAN配置、漫游、双机热备、组播和安全配置。

4. WLAN定位技术。

5. WLAN服务质量和网络优化。

6. Wi-Fi6技术和产品。

7. WLAN网络、规划和设计。

8. WLAN IPv6网络、IPv6基础知识、网络安全。

9. WLAN故障排除。

10.CloudCampus解决方案、VXLAN、Underlay、Fabric、overlay。

『柒』 夺宝平台三大常见骗局，帮你识清骗钱套路！

一、传统夺宝公平公正，但其实算法差异巨大

许多夺宝平台可媲美小型综合电商，品类覆盖齐全，也容易命中用户，激起购买欲望。

然而商品受欢迎的程度不尽相同，特别是在初期玩家少的时候，需要及时的将所有商品或快或慢的售完开奖，是有难度的。加入虚拟用户购买能有效解决这一问题，让玩家在可接受的时间内得知自己是否中奖并能继续下一次购买。

虚拟用户购买本身不会改变真实玩家的中奖概率，例如100元商品某个真实玩家购买了10元并拿到了10个号码，其它90元是虚拟还是真实玩家购买都不能改变该玩家中奖概率为10%的事实。反而加入虚拟购买也有成本并会增加平台风险，例如平台标价7580元苹果手机，虚拟用户购买了7000元，如果真实玩家中奖了，平台只收入了580元但要给玩家发一个手机，会造成大幅亏损。

如果这种不确定的亏损如果无限放大（通俗的讲某天开出了很多手机金条和汽车，而被真实玩家中走的商品价值远高于他们投入的钱）很多平台是无法承担的。

而事实是还是很多平台各种豪车金条购物卡开奖极快甚至秒开，他们敢加入大量虚拟用户购买而忽略风险秘密就在于将虚拟购买和算法漏洞结合起来，讲本该真实玩家中奖的奖品给了虚拟用户，平台就能达到操控玩家能否中奖并只赚不赔的目的，这时虚拟用户就变成作弊的帮凶，也就是常说的：内部人员中奖了！

二、夺宝业内通用算法

夺宝业内的通用算法是使用一个数字N对商品售卖份数取余再加1，例如售卖100份的商品，用N对100取余后余数范围为0-99，加1后范围是1-100，刚好对应卖出去的100个号码（是否加1不重要，有人问号码就差了1是不是这个加1的原因，这个只是为了取余以后能对应而已）。是否公平取决于这个数字N的构成以及是否平台可操控。

目前平台的数字N一般使用A＋B模式，每个平台使用的A和B不尽相同。A都是平台自己提供，例如最后多少条购买记录时间相加等，理论上平台是可以控制的。即使不去控制也存在没有公信力的问题。所以目前产品大多引入了第三方数字B。而整个数值N是否可控从而达到操纵结果将奖品分给虚拟用户就取决于数字B，大家可以打开任意一款产品，查看开奖算法，然后看下面的逐一分析！

（****只研究算法缺陷以及推测可信度，不做该平台一定造假的定论****）

三、不同平台，夺宝算法差异巨大

［1: 只有数字A］这种是最直接的可操控，A是多少平台说了算，导致中奖结果可控。简单的讲，如果按照最后购买记录时间得到A并计算出来某个玩家中了价值5万元的金元宝，平台只需要改一下最后购买时间再公布就可以更换中奖用户，最后购买时间按毫秒计算，改一下你完全没有感知。代表平台：一元云X，夺X高手。

［2: 数字B为定值］所谓定值就是数字B使用商品本身的价格来做B或者给你固定数字例如00000，这种方法和没有B是一样的原理。因为B是知道的，中奖结果取决于平台给出的A。代表产品：窝X折，惠夺X，一元抢X。

［3: 秒开／PK］所谓秒开／PK就是卖完等10秒就开奖。抓住部分玩家求追求极速开奖，急于知道结果的心理。这种方法和没有数字B是一样的原理。中奖结果取决于平台给出的A。代表产品：许愿X宝，零钱X宝。

［4: 数字A预先给出，数值B是出A的时候不知道的最新一期彩票］

此类产品在商品全部售出并等待开奖的瞬间先公示数值A，并公示数值B选取的是哪一期的彩票，并且去彩票官网查询该期还在等待开奖。因为数值B不确定，数值A已经公示，最后的结果完全只取决于为开奖的下一期彩票号码，平台无法控制。此类产品的算法没有漏洞。代表产品：核桃X宝，一元X宝。

随着区块链行业的发展， 现在也浮现了一些区块链通证夺宝平台，比如糖果奇兵、币得、云保链CIC等，这些平台都做到了和区块链不可篡改的特点相结合，所以没有平台的作弊空间。

以糖果奇兵举例：这个平台的开奖方式为当抽奖号码售罄时，系统会等待当前ETH区块链网络上最新的区块号（哈希值）生成，该随机码为64位16进制数值，待幸运区块号确认后（大约3-5分钟），取幸运区块号哈希值的最后8位，转成10进制数字，基于抽奖总人次进行取余+10000001，得到的数字即为幸运号码。

算法符合“数字A预先给出，数值B是出A的时候不知道的最新一个哈希值”，没有漏洞。

平台上的所有参与记录都一键上链，全网公开，区块哈希值为随机数，无法人为干预，所以保证了幸运号码的随机性和公正性。

目前主流的算法就上面几种，可能某些平台使用了其中一种或多种方法。此类平台太多无法一一验证，名字图标也是雷同无辨识度，但是只要依照上面几个步骤查看能识别绝大部分算法漏洞。

有人也许会说，我中奖了就行了，不关注过程。而这样的平台往往抓住人的这种心理，在开始的时候让你中些小奖，而长期来看让你大幅亏损。

以上是实测分析，大家可以亲测，觉得有道理的点个赞，让更多人更加了解夺宝的产品。最后为了方便查看，将上述鉴别方法列成一个表格供大家参考：

『捌』 在linux下,NetworkManager是怎么工作的 能否告诉我他的工作方式和工作原理.

什么是NetworkManager?

NetworkManager由几个部分组成：一个管理系统网络连接、并且将其状态通过D-BUS进行报告的后台服务，以及一个允许用户管理网络连接的客户端程序。开发NetworkManager的初衷是简化网络连接的工作，让桌面本身和其睁铅拦他应用程序能感知网络。

绝大部分用户不必关心NetworkManager的后台服务，他们只通过GUI的applets来管理网络连接。对于GNOME和Xfce那就是 nm-applet工具，而对于KDE用户来说就是KNetworkManager了。

许多Linux用户不记得，甚至根本不曾认识到在早期Linux里面管理网络连接时的那种折腾与痛苦。尤其是对于笔记本用户这种需要连接到两个甚至更多网 络的悉胡情况。虽然早期版本的NetworkManager用起来也是一种痛苦（那个时候曾经有个外号叫NetworkMangler，即网络磨肉机），不过现在它已经成为了一个强大的工具，让管理网络不再痛苦。

比如说吧，我记得两年前我把我的Verizon无线EV-DO卡装入openSUSE 11.0的时候，NetworkManager根本不需要任何设置。它识别了这张卡，并且出现在GNOME工具栏的下拉菜单里面，唯一须要进行的操作就是 点击“连接”。这是这些年来我碰到的最简单的配置无线网卡的方式。

不过总是有需要改进的地方，因此NetworkManager也在继续发展。即将到来的0.8.1版本已经可以在Fedora 13中找到，带来了许许多多的改进和新功能。

0.8.1的新功能

最新版本的NetworkManager包括了许多新的特征，其中绝大部分都跟支持更多的的网络设备有关。移动用户将会很喜欢这个版本，因为 0.8.1增加了用于GSM、UMTS和CDMA卡等移动宽带设备ModemManager的支持。使用ModemManager也有新的功能，比如信号强度显示和选择2G/3G模式的功能。最后（当然并不止这些），你还可以关掉漫游功能以避免产生额外的连接费用。

0.8.1还支持使用蓝牙，不仅支持个人区域网络(PAN)上网，也支持老的蓝牙拨号网络(DUN)协议。所有（或者说最多）支持的设备可以在 wiki上找到。

如果你是为数不多的使用IPv6联网的用户之一（事实上他们发誓以后每个人都会用上），你会很高兴地发现现在NetworkManager支持 IPv6的自动配置和静态IP了。0.8.1版本还会带来IPv6的DHCP支持。

尽管大多数最近的改变都是增强设备或者协议的支持，可0.8.1也同样给我们代来了激侍一个新的漂亮的客户端界面。

命令行接口

在我看来，0.8.1中最有趣的特征是nmcli，一个NetworkManager的命令行接口。虽然NetworkManager在管理网络连接方面有着巨大的飞跃，但是有一点倒退到老风格的管理方式的是忽略了命令行接口。只用GUI配置网络有错吗？

有几个问题。一部分用户可能没有使用能够方便地支持NetworkManager的applet的桌面环境或者窗口管理器。有些人或者根本就没有使用GUI环境。用户也有可能想通过编写脚本的方式来管理网络接口，如果唯一可用的控制器是GUI的话这会变得非常困难。

终于，NetworkManager有了自己 的CLI工具，nmcli。使用nmcli用户可以查询网络连接的状态，也可以用来管理。这个工具依然有点原始，不过其语法相对简单，并且对于那些真正需 要在CLI中使用NetworkManager的人来说并不太难掌握。比如，列举系统中的网络接口只需要运行：

nmcli dev list就会显示一些类似于下面的输出:

- Device: eth0 -----------------------------------------------------------------
Type 802-3-ethernet
Driver pcnet32
State connected
Default no
HW Address 00:0C:29:C3:87:30

Capabilities:
Carrier Detect yes

Wired Properties
Carrier on

IPv4 Settings:
Address 172.16.146.140
Prefix 24 (255.255.255.0)
Gateway 172.16.146.2

DNS 172.16.146.2

如果你想要关闭一个连接，你可以使用诸如nmcli con down id <id>的东西, 这里<id>是某个连接的ID。nmcli现在还不像ifconfig那样灵活和功能完善，不过这仅仅是一个开始。

展望未来

毫无疑问，NetworkManager尚未完成，或许永远也不可能完成。总有新的设备需要支持，新的功能需要增加。另外，NetworkManager在让许多用户在使用主流、标准的网络配置时变得简便，但未必适应那些不常见的配置。

比如，很有可能在0.8.2或者以后版本中出现的功能有 网络接口bonding 和为一个以太网接口 同时分配一个PPPoE地址和本地地址。

不管怎么说，NetworkManager已经成为Linux桌面的一项杀手级功能。如果你不曾想过管理家里，办公室和旅途中的各种网络连接是多么的复杂，那么你可以感谢NetworkManager，是它让你的生活变得更加轻松。

『玖』 安兔兔超100万分，高通新骁龙8还变得更“凉快”了

12月1日，高通在2021骁龙技术峰会上正式推出了全新一代骁龙8移动平台，在简化了命名规则的同时，新骁龙8也全面升级了新的架构，在我们多项行业综合基准测试中，搭载新骁龙8的工程机(8GB内存)表现纷纷刷新了骁龙移动平台的新高。
快速简单了解下骁龙8的规格：三老察星4nm工艺制程，基于Armv9架构的全新KyroCPU，由1个Cortex-X2超大核(3.0GHz)+3个Cortex-A710大核(2.5GHz)+4个Cortex-A510小核(1.8GHz)组成，全新高通AdrenoGPU，配备了第7代AI引擎。
新骁龙8工程机跑分成绩汇总：
-安兔兔(v9.2.1)：1022414分
-GeekBench(v5.4.2)：单核1241分，多核3843分
-AI-Benchmark(v4.0.4)：555.4
-.1(v5.0)：176Fps;
-.1(v5.0)：98Fps;
安兔兔综合测试：1022414分
安兔兔是国内知名度比较高的综合性能测试软件，能多维度地对CPU、GPU、AI、内存等进行测试，较为全方位地了解芯片平台的性能表现。此次，新骁龙8的安兔兔成绩比较稳定地超过了100万分大关，也是目前骁龙移动平台的新高。
此前基于骁龙888Plus以及16GB内存满血组合的黑鲨4SPro成绩大肢差概在88万分左右，而仅在8GB内存下，新骁龙8平台的性能已经轻松超过满血骁龙888Plus机器的15%以上。考虑到此次测试的新骁龙8工程样机在配置和调校上以稳为主，我们相信最终零售版搭载新骁龙8平台的机型在性能输出上会更具看点。
现场测试过程中，同一个测试应用软件，我们一般会尽量跑至少两次，最终取中间的分值，如在安兔兔测试中，我们测试最高成绩为103万分+，最低则在100万分+，我们取中间值102万分。下面的测试成绩同理。
此外，相信发热也是大家关注的焦点之一，在安兔兔测试后，新骁龙8工程机温升并不明显，从测试前的34°C升至38°C，温度仅上升4°C，手部可以感知到温度的上升变化，但只是有温感。不知道大家对于这温控表现是否满意呢?
GeekBench测评：侍饥茄单核1241分，多核3843分
Geekbench是我们经常用来全面和准确地衡量处理器和内存性能的测试软件。相较搭载骁龙888和12GB内存的小米11(单核1140，多核3774)来说，新骁龙8工程机的性能提长已经相当不错，而且还是在只有8GB内存的情况下实现的。
AI-Benchmark：555.4
AIBenchmark是苏黎世联邦理工学院(ETH)推出的AI性能测试应用，使用了-V1、InceptionV3、Resnet-V1等在内的9种神经网络模型进行测试，其测试效果得到行业内比较广泛的认同。目前在AI-Benchmark测试中排名第一的是采用自研SoCTensor芯片的谷歌Pixel6Pro，成绩为303.6，而新骁龙8平台的成绩则直接暴涨至555.4。
老实说，我们都预估到新骁龙8的AI性能会更上一层楼，只是没想到跑分数据上会有如此大的提升幅度，这让我们对新骁龙8平台上第7代AI引擎的未来在拍照、语音、健康等方面的应用充满期待。
GFXbench：176Fps和98Fps
GFXbench是厂商和用户常用的的GPU测试软件，我们现场测试了Manhattan(曼哈顿离屏)和CarChase(飞车离屏)两个场景，测试得到的帧率分别为176Fps和98Fps;
总结：
以上是我们在骁龙技术峰会现场对新骁龙8移动平台工程机的测试结果，哪怕抛开工程机在配置和系统调度上的优化问题，新骁龙8的性能提升仍相当可观。(本文转自PConline)

『拾』 centos7.6网卡配置mac

首页
API接口管理
Eolink技术文档
API自动化测试
网关
关键词
首页 Eolink技术文档 接口 文章正文
CentOS6 网络管理之网卡配置及简单路由设置（centos6升级到centos7）
admin 470 2022-09-14

本文转载自网络公开信息
CentOS6 网络管理之网卡配置及简单路由设置（centos6升级到centos7）

CentOS6中关于网络配置的命令有很多，本文将介绍几个平时最长用的几个命令，以及网卡IP地址的配置和简单路由配置。

1、经常使用的查看IP地址命令为 ifconfig，不跟参数的情况下默认查看所有已启用的网卡信息，如下图所示：

如果想查看具体某块网卡信息，则可以在ifconfig后面跟上网卡设备，如只查看eth0的信息则执行：ifconfig eht0 即可。

禁用某块网卡：结合down命令可以禁用某块网卡，如要禁用eth0网卡，则执行：ifconfig eth0 down 即可，这种禁用只是临时性的，当主机一重启则会自动启用。

启用某块网卡：介个up命令可以启用某块网卡，如将eth0启用，则执行：ifconfig eth0 up 即可。

ifconfig -a 命令可以查看所有网卡信息，包括禁用的。

2、NetworkManager服务可以自动检测网络并自动连接网络的程序，优点是简化网络连接的工作，让桌面本身和其他应用程序能感知网络。但是有的时候通过修改配置文件修改网络时会出现问题，因此大多情况下都会把这个服务禁用掉。禁用方式如下：

service NetworkManager stop       #关闭NetworkManager服务

chkconfig NetworkManager off     #禁止NetworkManager服务开机自启

3、配置网卡IP地址

使用ifconfig配置，该方法配置的IP地址立即生效，但是只是临时生效，当主机重启后失效。语法：ifconfig IFACE IP/MASK [up]  或 ifconfig IFACE IP netmask MASK

使用setup或system-config-network命令掉出图形工具配置IP地址，配完之后需要手动重启network服务，重启后永久生效，重启命令为 service network restart，图形配置界面如下

通过修改配置文件设置IP地址，配置文件路径为/etc/sysconfig/network-scripts/ifcfg-IFACE,配置文件修改完后也需要重启network服务才能生效，且永久生效。配置文件中各项参数说明：DEVICE：此配置文件应用到的设备，需要填写设备名，如eth0；HWADDR：对应设备的MAC地址，如果需要手动修改MAC地址的话需要把HWADDR改成MACADDR；BOOTPROTO：激活对应设备时使用的协议，常用的有dhcp、static、none、bootp；NM_CONTROLLED：NM是NetworkManager的缩写，表示此网卡是否接受NM控制，CentOS6中建议设置为“no”；ONBOOT：在系统引导时是否激活此设备；TYPE：设备接口类型，常见的有Ethernet、Bridge；UUID：设备的唯一标识；IPADDR：指明要设置的IP地址；NETMASK：IP地址的子网掩码，也可以使用“PREFIX=网络位”的方式表示；GATEWAY：设置默认网关地址；DNS1、DNS2、DNS3：设置DNS服务器地址，可以同时设置三个地址；USERCTL：普通用户是否可控制次设备；PEEDNS：该选项配合BOOTPROTO使用，如果BOOTPROTO的值为dhcp，则表示是否允许DHCP分配的dns地址覆盖至/etc/reslov.conf文件中（该文件是存放DNS服务器地址的）；

如下图，一般情况下配置文件中需要填写的内容：

4、一个网卡配置多个IP地址：可通过网卡别名的方式将多个IP地址绑定到一个网卡上，网卡别名为冒号加数字的形式出现，如eht0:1，并且需要单独创建一个对应的配置文件，可在配置文件里设置IP地址，IP地址必须是静态的，不能使用DHCP获取。具体设置步骤如下：

以在eht1上绑定多个ip地址为例：

第一步：在/etc/sysconfig/network-scripts/目录下新建一个配置文件，如 ifcfg-eth1:1，并添加必要信息，如下图：（在eth1网卡上每绑定一个地址都需要建一个对应的配置文件）

第二步：重启network服务使之生效（service network restart）

一个网卡上绑定多个地址需要注意的是主网卡可以使用DHCP自动获取地址，但是绑定的ip则不能使用DHCP获取地址，只能设置静态IP地址。

5、多个网卡共用一个IP地址：这种方式可实现高可用或者负载均衡，可通过bonding的方式实现，bonding的工作模式有三种，分别为：

Mode0（balance-rr）：轮询（Round-robin）策略，以轮询的方式在每一个网卡接口上发送数据包，这种模式可提供负载均衡和容错的能力

Mode1（active-backup）：活动-备份（热备）策略，在绑定的多个网卡中，只有一个被激活，其他的都是备用状态，当且仅当活动的接口出现问题时，会自动的激活另外一个网卡接口。

Mode3（broadcast）：广播策略，在所有绑定的接口上转发所有报文，这种模式可提供容错能力

下面用eth0和eth1做bonding，使用mode1模式，

第一步：先在/etc/sysconfig/network-scripts/目录下创建一个bonding的配置文件，命名为 ifcfg-bond0，并填写必要信息，如下图

其中miimon是用来进行链路检测的，如果miimon=100，那么系统每100ms检测一次链路连接状态，如果有一条线路不通就会自动转到另一条线路。

第二步：修改eth0和eth1两个网卡的配置文件，如下图

SLAVE=yes：表示该网卡作为备用

MASTER=bond0：表示使用bond0设备作为主用

第三步：重启network服务，使之生效，生效后查看如下图

从图上可以看到物理网卡的MAC地址都是一样的，并且eth0作为主用，eth1作为备用

第四步，测试，手动断开eht0观察eth1是否变成主用，然后在手动断开eth1看能否自动切换到eht0

6、路由设置，可以通过route命令手动添加和删除静态路由

查看路由的命令为：route -n

添加路由语法为：route add [-net|-host] target [netmask Nm] [gw Gw] [[dev] If]

如下图，添加一条去往10.1.1.0/24的路由，该路由从eth1口出来，下一跳是192.168.1.2

删除路由语法为：route del [-net|-host] target [gw Gw] [netmask  Nm] [[dev] If]

如下图，删除一条去往123.10.1.0/24网段的静态路由

通过以上手动修改路由可以发现，CentOS可以充当路由器，实现路由转发功能，但是需要开启路由转发功能，即将/proc/sys/net/ipv4/ip_forword值修改为1，可以通过下面命令修改：

echo 1 > /proc/sys/net/ipv4/ip_forword

标签：接口 配置 文件