【星海随笔】网络运维

[root@localhost ~]# source admin-openrc

在这里插入图片描述

RabbitMQ 工作机理

1.客户端连接到消息队列服务器,打开一个channel。
2.客户端声明一个exchange,并设置相关属性。
3.客户端声明一个queue,并设置相关属性。
4.客户端使用routing key,在exchange和queue之间建立好绑定关系。
5.客户端投递消息到exchange。
6.exchange接收到消息后,就根据消息的key和已经设置的binding,进行消息路由,将消息投递到一个或多个队列里。

创建域

openstack domain create --description "Default" Default

列出域

openstack domain list

删除域:

openstack domain delete DOMAIN_ID

查询域详情:

openstack domain show DOMAIN_ID

在这里插入图片描述

在这里插入图片描述
在这里插入图片描述

查询项目

项⽬列表查询
openstack project list
项⽬详情查询

openstack project show service

查询某⼀项⽬下的所有⽤户

openstack user list --project=service

创建

openstack project create --domain 域名 --description”对创建项⽬的描述” 项⽬名。

openstack project create --domain default --description "Service Project" service

创建一个可以被用于计费的项目。

openstack project create --domain default --description "My Project" --enable 客户项目1

查询路由

openstack router list

该命令将显示当前项目中所有路由器的列表,包括路由器的ID、名称、状态和端口信息。


查看指定路由器的详细信息:

openstack router show <router_id>

查看路由器的路由表:

openstack router show <router_id> --routes

VPC篇

创建VPC

openstack vpc create --subnet-id SUBNET_ID VPC_NAME

查看VPC

openstack vpc show VPC_ID

VPC底层使用了虚拟网络技术,通过软件定义网络(SDN)和网络功能虚拟化(NFV)等技术实现网络的隔离。虚拟机实例在VPC内部运行,并通过虚拟网络与外部通信。

权限角色 ROLE

底层是使用ACL实现的:ACL允许你给任何的用户或用户组设置任何文件/目录的访问权限。
1.可以针对用户来设置权限
2.可以针对用户组来设置权限
3.子文件/目录继承父目录的权限

创建 role

openstack role create my_role

查看 role 列表

openstack role list

添加 role 规则

openstack role add --user USER_ID --project PROJECT_ID --role ROLE_NAME

openstack中角色只是一个规则,可以绑定到用户项目,然后通过各个服务的policy.json 去进行过滤,使用白名单机制进行过滤,每个策略由单行语句定义。在每个模块运行时,会检测每个模块自己权限可以访问的本地的 policy.json 文件,然后进行使用。

1)rule为"“,表示允许all通过
“compute:get_all” : “”
目标是Compute服务的"列出所有实例” API “compute:get_all” . 规则是一个空字符串,表示"始终". 此策略允许任何人列出实例.
2)rule为"!“,表示拒绝使用API​​的权限,用于禁用某个API调用
“compute:shelve”: “!”
3)rule为"role:admin”,表示此API只能由管理员调用
“identity:create_user” : “role:admin”
此策略确保只有管理员才能在Identity数据库中创建新用户
4)使用运算符not,and,or和括号构建更复杂的规则
“stacks:create”: “not role:heat_stack_user”
具有heat_stack_user角色的任何人都不能使用heat创建stack
5)用别名定义角色role,规则rule指向role别名
定义别名:
“deny_stack_user”: “not role:heat_stack_user”
policy解析时,会分析到"deny_stack_user"不是API,因此将其解释为别名.
此时,禁止heat_stack_user角色使用heat创建stack,也可指定如下:
“stacks:create”: “rule:deny_stack_user”
6)将API属性与对象属性进行比较
“os_compute_api:servers:start” : “project_id:%(project_id)s”
指出只有实例的所有者才能启动它. 冒号之前的project_id字符串是API属性,即API用户的项目ID. 它将与对象的项目ID(在这种情况下为实例)进行比较. 更准确地说,将其与数据库中该对象的project_id字段进行比较. 如果两个值相等,则授予权限.

在这里插入图片描述

底层查看是否支持ACL:

tune2fs -l /dev/sda1 |grep "Default mount options:"
Default mount options:                 user_xattr    acl

setfacl

setfacl [-bkRd] [{-m|-x} acl参数] 文件/目录名
-m :配置后面的 acl 参数给文件/目录使用,不可与 -x 合用;
-x :删除后续的 acl 参数,不可与 -m 合用;
-b :移除所有的 ACL 配置参数;
-k :移除默认的 ACL 参数;
-R :递归配置 acl;
-d :配置“默认 acl 参数”,只对目录有效,在该目录新建的数据会引用此默认值;

获取文件权限

getfacl 文件/目录名

验证:

adduser tester
setfacl -m u:tester:rw aclfile

getfacl aclfile #查看这个文件哪些用户可以访问,采用的是白名单的方式

user::rw-
user:tester:rw-
group::rw-
mask::rw-
other::r--

创建的子文件或者子文件夹继承父文件夹的权限设置

setfacl -m d:u:tester:rwx mydir

还可以使用ip命令或iptables命令创建ACL规则。规则可以基于源IP地址、目的IP地址、协议类型和端口号等条件进行定义。

iptables -A INPUT -s <源IP地址范围> -j DROP
iptables -A INPUT -i eth0 -j DROP

可以使用iptables-save命令将规则保存到文件中
可以使用iptables -L命令检查已配置的规则


IP net

在OpenStack底层,路由的创建是通过Linux的路由功能实现的。OpenStack使用Neutron组件来管理网络资源,其中包括路由的创建。Neutron通过调用Linux的ip命令来创建路由。ip命令用于配置和显示IP路由、设备、策略路由和隧道。在OpenStack中,Neutron通过与Linux内核交互,使用ip命令来创建额外的命名空间(namespace),并在其中配置路由表。每个命名空间都有一个与之关联的路由表,用于定义流量转发规则。通过这些命名空间和路由表,OpenStack可以实现虚拟网络的隔离和流量控制。因此,OpenStack底层创建路由的过程是通过Linux的路由功能实现的。

ip netns add <namespace_name>
#查看已创建的网络命名空间:
ip netns list
#将虚拟网卡附加到命名空间:
ip link set <interface> netns <namespace_name>

创建一个新的虚拟网卡:

ifconfig eth0:0 192.168.1.5 up

删除这个网卡

 ifconfig eth0:0 down

首先确认是否安装iproute2bridge-utils

使用虚拟网卡工具创建一个虚拟网卡。可以使用以下命令创建一个名为eth0:0的虚拟网卡:

ip tuntap add mode tap eth0:0

配置其他参数

ip addr add 192.168.1.5/24 dev eth0:0

创建一个 docker-compose.yml
确保已经安装了Docker和Docker Compose

version: '3'  
services:  
  mycontainer:  
    image: ubuntu:latest  
    network: eth0:0  
    command: /bin/bash  
networks:  
  my_network:  
    driver: bridge

到该文件的目录下,启动

docker-compose up -d

启动所有容器并保持它们在后台运行。


tc命令需要得到 iproute2 和 iptables 的支持

git clone https://github.com/shemminger/iproute2
git clone git://git.netfilter.org/iptables

参考:https://www.cnblogs.com/YYFaGe/p/17476031.html

How do set about limit interface flow

tc qdisc add dev <interface> root handle 1: htb default 12

tc class add dev <interface> parent 1: classid 1:12 htb rate 10mbit burst 1mbit

这将创建一个限制速率为10Mbps的类限制。


创建过滤器:使用tc filter命令创建一个过滤器,以指定要应用限制的流量。
例如,要创建一个名为myfilter的过滤器,可以使用以下命令

tc filter add dev <interface> protocol ip parent 1:0 prio 1 handle 10 fw flowid 1:12

这将创建一个过滤器,将所有流量标记为10的流量分配给之前创建的类限制。


启用限制

tc qdisc add dev <interface> root handle 1: htb default 12  
tc class add dev <interface> parent 1: classid 1:12 htb rate 10mbit burst 1mbit  
tc filter add dev <interface> protocol ip parent 1:0 prio 1 handle 10 fw flowid 1:12

tc -s qdisc show dev <interface>
tc -s class show dev <interface>
#可以查看限制的效果。
这些命令将显示当前应用的限制和流量统计信息。

优化网络首先考虑的使用负载均衡、数据压缩等技术,提高网络吞吐量。
然后优化网络路由和交换机配置,减少数据包丢失和延迟。

使用tc qdisc命令创建一个流量整形队列。可以使用以下命令创建一个名为mysqdisc的队列:

tc qdisc add dev <interface> root handle 1: mysqdisc  #

创建过滤器:使用tc filter命令创建一个过滤器,以指定要应用流量整形的流量。你可以根据需要使用不同的过滤器条件,例如IP地址、端口等。

tc filter add dev <interface> protocol ip parent 1:0 prio 1 handle 10 fw flowid 1:10
#root handle 1:0 表示创建一个根队列,并将其标识为1:0。
#handle 队列规则句柄,可以理解为网络流量流经的路径上的一个标识,默认1:0为根节点,也可以自定义 ,比如说为10:0。
#prio 表示使用优先级调度算法,如果不指定具体的值,如tc qdisc del dev ens19 root handle 1:0 prio,则默认prio的值为1,如果不指定该参数,如tc qdisc del dev ens19 root handle 1:0不指定prio将会报错,Error: Specified qdisc kind is unknown.。

配置流量整形参数:使用tc命令的子命令tc qdisc来配置流量整形的参数。例如,你可以使用以下命令设置队列的突发限制和速率:

tc qdisc change dev <interface> root handle 1: mysqdisc burst 10000kbit rate 1mbit

这将设置队列的突发限制为10000kbit,速率限制为1mbit。你可以根据需要调整这些参数。


使用Traffic Control(tc)工具。调整网络接口的传输和接收速率限制

ip link set dev <interface> rate <rate>

rate取值范围 : 1bps到非常高的速率(比如数百兆bps或更高)之间。
如果设置的rate速率过低,可能会导致网络传输速率受到限制,影响网络性能。这可能会导致网络延迟增加、数据传输速度变慢等问题。
如果设置的rate速率过高,可能会导致网络拥塞。当网络中的数据流量超过了网络设备的处理能力时,数据包可能会在队列中积压,导致数据包延迟或丢失。这也会影响网络性能,并可能导致网络不稳定。


参考资料:

https://www.zhihu.com/tardis/bd/art/619965724?source_id=1001
https://www.kernel.org/doc/Documentation/networking
https://zhuanlan.zhihu.com/p/449755341
https://access.redhat.com/documentation/zh-cn/red_hat_enterprise_linux/9/html/configuring_and_managing_networking/updating-the-default-qdisc_linux-traffic-control
https://developer.aliyun.com/article/1297293

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:/a/272670.html

如若内容造成侵权/违法违规/事实不符,请联系我们进行投诉反馈qq邮箱809451989@qq.com,一经查实,立即删除!

相关文章

初识k8s

k8s: kubernetes:八个字母省略&#xff0c;就是k8s 自动部署&#xff0c;自动扩展和管理容器化部署的应用程序的一个开源系统 k8s是负责自动化运维管理多个容器化程序的集群&#xff0c;是一个功能强大得容器编排工具 分布式和集群化的方式进行容器管理 市面上常用的版本&…

HTTP小记2

目录 HTTP/1.1优化 QUIC协议 路由器 RTT&#xff08;Round-Trip Time&#xff09; 计算机网络体系结构 体系结构各层在整个过程中的作用 HTTP/1.1优化 1.通过缓存技术来避免/减少发送HTTP请求 2.减少HTTP请求的次数 将原本由客户端处理的重定向请求&#xff0c;交给代理…

alertmanage调用企业微信告警(k8s内部署)

一、前言 alertmanage调用企业微信应用告警会比直接使用钉钉告警更麻烦一点&#xff0c;调用企业微信应用告警需要在应用内配置企业可信ip&#xff0c;不然调用企业微信接口就会报错&#xff0c;提示ip地址有风险 二、部署 先自行创建企业微信&#xff0c;再使用管理后台创建应…

机器视觉实战应用:手势、人脸、动作以及手势鼠标构建(一)

CV实战应用手势、人脸、动作以及手势鼠标构建&#xff08;一&#xff09;总起 核心思想 手势识别是一种常见的计算机视觉应用&#xff0c;它可以通过摄像头或者预先录制的视频图像来追踪和识别人类手势。手势识别的应用非常广泛&#xff0c;例如在游戏、虚拟现实、人机交互等…

RuoYi-Cloud集成DataRoom大屏设计器

基于RuoYi-Cloud 3.6.3 版本集成 先贴一下开源地址: https://gitee.com/wxjstudy/jove-fast DataRoom开源地址: https://gitee.com/gcpaas/DataRoom 后端 新建modules 启动类 增加注解扫描,以及配置分页插件 import com.baomidou.mybatisplus.extension.plugins.MybatisPlu…

Leetcode—54.螺旋矩阵【中等】

2023每日刷题&#xff08;七十&#xff09; Leetcode—54.螺旋矩阵 实现代码 class Solution { public:vector<int> spiralOrder(vector<vector<int>>& matrix) {vector<int> ans;int m matrix.size();int n matrix[0].size();int row 0, col…

虚拟环境和Pycharm中均有transforms仍报ModuleNotFoundError:No module named ‘transformers‘

问题&#xff1a;运行新模型&#xff0c;配置了新环境&#xff0c;下载了包后&#xff0c;仍然报ModuleNotFoundError&#xff1a;No module named transformers 错误。 查看Pycharm解释器&#xff1a; 没问题&#xff01;&#xff01;&#xff01;&#xff1f; 命令行查看虚…

阿赵UE学习笔记——5、创建关卡元素

阿赵UE学习笔记目录 大家好&#xff0c;我是阿赵。   之前介绍了从空白模板创建关卡&#xff0c;接下来尝试着在这个空白的世界里面&#xff0c;创建一些内容。 一、创建地面 1、创建面片作为地面 创建——形状——平面&#xff0c;可以创建一个面片 在细节面板设置合适的…

【广州华锐互动】VR科技科普展厅平台:快速、便捷地创建出属于自己的虚拟展馆

随着科技的不断进步&#xff0c;虚拟现实(VR)技术已经在许多领域取得了显著的成果。尤其是在展馆设计领域&#xff0c;VR科技科普展厅平台已经实现了许多令人瞩目的新突破。 VR科技科普展厅平台是广州华锐互动专门为企业和机构提供虚拟展馆设计和制作的在线平台。通过这个平台&…

【微服务核心】Spring Boot

Spring Boot 文章目录 Spring Boot1. 简介2. 开发步骤3. 配置文件4. 整合 Spring MVC 功能5. 整合 Druid 和 Mybatis6. 使用声明式事务7. AOP整合配置8. SpringBoot项目打包和运行 1. 简介 SpringBoot&#xff0c;开箱即用&#xff0c;设置合理的默认值&#xff0c;同时也可以…

设计模式-单例模式(结合JVM基础知识)

1.定义介绍 所谓单例模式&#xff0c;是指在程序运行时&#xff0c;整个JVM中只有一个该类的实例对象 2. 单例模式的优点 复用性高&#xff0c;节省内存资源。类的加载、连接、初始化、使用都要占用虚拟机内存空间&#xff0c;因此&#xff0c;频繁创建对象会造成资源浪费&a…

文件夹共享(普通共享和高级共享的区别)防火墙设置(包括了jdk安装和Tomcat)

文章目录 一、共享文件1.1为什么需要配置文件夹共享功能&#xff1f;1.2配置文件共享功能1.3高级共享和普通共享的区别&#xff1a; 二、防火墙设置2.1先要在虚拟机上安装JDK和Tomcat供外部访问。2.2设置防火墙&#xff1a; 一、共享文件 1.1为什么需要配置文件夹共享功能&…

IDEA使用之打包Jar,指定main方法

前言 在某些场景&#xff0c;可能会遇到将非Spring项目打包的情况&#xff0c;我们不需要Tomcat服务器部署&#xff0c;只需要执行指定的main方法即可&#xff0c;这种情况打包成jar就比较方便了。 操作步骤 打包结果默认在项目的out目录下 使用 java -jar xxx.jar

企业微信自建应用获取用户信息

一.前言 开发企业微信自建应用的时候难免会有获取企微个人信息的业务需求,这篇博客将详细说明企微自建应用获取userId的具体流程. 二.基本概念介绍 2.1 corpid 每个企业都拥有唯一的corpid&#xff0c;获取此信息可在管理后台“我的企业”&#xff0d;“企业信息”下查看“企业…

(1)llvm学习词法分析器

首先是Token取值 下面两个值记录当前识别出来的token单元的字面量 首先是空字符&#xff0c;然后如果是空字符&#xff0c;就读下一个字符&#xff0c;知道这个字符不是空为止&#xff0c;也就是LastChar出循环的时候是下一个不为空的字符,下面两个值是记录实际值用于后续处理 …

VR渲染器怎么用之自适应图像采样器,可解决渲染黑图问题

大家好&#xff0c;相信刚接触到vr渲染器时&#xff0c;会vr的图像采样器感到迷茫&#xff0c;如何使用图像采样器&#xff1f;图像采样器有何用呢&#xff1f; 今天便为大家讲解vr中的自适应DMC图像采样器的运用。 说明&#xff1a;高版本渲染器中的渲染块整合了原有的“固定…

PYTHON入门级游戏开发:宇宙飞船游戏两万字详析

手讲解超详细python入门游戏项目‘打外星飞船’手把&#xff08;一&#xff09; 由于内容比较多&#xff0c;这里会分为五篇文章来讲解&#xff0c;从页面的创建、飞船控制、射击、外星人创建、射杀外星人五片来展开。 做一个窗口和设置响应用户 import sysimport pygame&qu…

STM32逆变器方案

输入电压&#xff1a; 额定输入电压&#xff1a;DC110V 输入电压范围&#xff1a;DC77-137.5V 额定输出参数 电压&#xff1a;200V5%&#xff08;200VAC~240VAC 可调&#xff09; 频率&#xff1a; 42Hz0.5Hz&#xff08;35-50 可调&#xff09; 额定输出容量&#xff1a;1…

CentOS7搭建Elasticsearch与Kibana服务

1.部署单点es 1.1.创建网络 因为我们还需要部署kibana容器&#xff0c;因此需要让es和kibana容器互联。这里先创建一个网络&#xff1a; docker network create es-net 1.2拉取elasticsearch镜像 docker pull elasticsearch:7.11.1 1.3.运行 运行docker命令&#xff0c;部…

致远互联FE协作办公平台 editflow_manager.jsp SQL注入漏洞

漏洞描述 致远互联FE协作办公平台是一款为企业提供全方位协同办公解决方案的产品。它集成了多个功能模块&#xff0c;旨在帮助企业实现高效的团队协作、信息共享和文档管理。致远互联FE协作办公平台editflow_manager存在sql注入漏洞&#xff0c;攻击者可以获得敏感信息。 资产…