系列文章:
总目录索引:九析带你轻松完爆 istio 服务网格系列教程
目录
1 前言
2 邀约
3 正文
1 前言
如果你对博客有任何疑问,请告诉我。
2 邀约
你可以从 b 站搜索 “九析”,获取免费的、更生动的视频资料:
3 正文
一切都是那么明亮,光线照在身上,暖暖的。
仰起头,依稀能听到风声。庭院里早春的鸟儿在围墙上啁啾,三五个下人在打扫着庭院,丫鬟婆子们在天井嗑着瓜子闲聊天,嬉笑声惊动了房脊上的信鸽,扑棱棱扇动双翅滑向远处湛蓝的天空……
我是刘全,和府的总管。外表虽然光鲜,实质却仍是一个仆人。我清楚知道自己的身份,每天小心谨慎、兢兢业业、如履薄冰般尽忠职守,日复一日、年复一年。
很多人背后指责我狐假虎威、狗仗人势,我不解释也不能解释。我明白很多脏活必须我来做,很多坏人必须我来当。我必须做到多面,这是我的工作,更是我的天职。我知道太多讳莫如深、彼此心知肚明、但又不能点破说破的潜规则,我只能自己默默消化。我不被人理解,我习惯了。很多时候我都必须像鹰一般敏锐注视整个府邸的动态,并时时保持警惕,我不能有一丝疏漏,我不能让大人为难。
一切波澜不惊之下往往隐藏着狂流暗涌。
庞大帝国的中枢体系并不在黄墙之内,而是尽在府邸之中。1300 万平方公里疆域的数据全部汇集于此,并在此处做流转、做分发。咫尺便是天涯、天涯又近在咫尺。
每天这里都在上演国泰民安、妻离子散;朔漠狼烟、塞外江南……
我观望、处理、不带感情。晨钟暮鼓、安之若素。
繁重的工作并没有将我压垮,因为我并不是一个人……
我的用人标准很简单:少而精、懂协作。基于此,经过层层筛选和选拔,最后我把目光锁定在五个人身上(扑入锐、英扑特、鳌扑特、佛卧德、剖思特),这五个人各司其职,协调和控制整个帝国信息流的脉络走向。
扑入锐:奏折入口。核查奏折是否跟和府有关。如果跟和府有关则将奏折转给英扑特。
英扑特:接收来自扑入锐的奏折,并做规则检查,通过的奏折转给和府内部事务部门处理
熬扑特:接受和府内部事务部门写的奏折或者批示英扑特递交的折子,并做规则检查,检查并处理完毕后交给剖思特。
佛卧德:接受来自扑入锐的奏折,这些奏折表面跟和府无关,经过规则检查之后,直接转给剖思特。
剖思特:接受来自鳌扑特和佛卧德的奏折,并做规则检查。处理完把它们送到该送的地方去。
整个数据信息流的处理极其缜密。我将他们紧紧编制在我设计的链条里。我观察着他们,规范着他们的一举一动。每天我都要把这一幕幕绘制成图,然后牢牢地印在我的脑海里。
============================================================================
数据在主机中的具体流向,一般会有三种路径:
第一:数据报文通过网络、流经网卡、进入主机。经过检查,数据报文目标如果是本机,则将报文送到用户空间中的相关进程进行处理。
第二:数据报文通过网络、流经网卡、进入主机。经过检查,数据报文目标如果不是本机,则将报文直接通过网卡再发送到其他主机
第三:用户空间的进程产生数据报文,并将此报文通过内核空间的网络协议栈发送给网卡,再通过网卡把数据报文发送给其他主机
如果数据只是在主机里流來流去,而不施加任何规则的话,世界就不会这么复杂。但是往往事与愿违,如果有人要恶意破坏系统怎么办呢?
就像刘全为了避免不利于和府的奏折流到皇上那里而设置五人关卡一样。linux 也采用了同样的机制来控制数据流,更为巧合地是,也是五道关卡。
prerouting(扑入锐)
input(英扑特)
forward(佛卧德)
output(鳌扑特)
postrouting(剖思特)
iptables 通过在上述五道关卡上设置更多的规则来对主机中流动的数据做流向控制。数据流向图如下所示:
未完待续……