Hujin Blog

Stay hungry Stay foolish

Neuvector源码之 dp引流的实现

背景 在neuvector中通过监听runtime事件来动态维护节点上容器基础信息,在界面支持策略配置、模式管理都对容器流量产生影响。用户从学习模式调整成保护模式时可以对容器流量进行阻断操作,那么agent 中是如何实现阻断的? 这里我们将核心流程抽离出来,通过demo的方式来介绍具体的实现细节 原理 默认形态 开始之前先看下默认情况下容器的网络形态(以calico为例): 容...

Posted by hujin on August 23, 2022

Neuvector源码之 网络抓包

功能介绍 抓包功能是针对容器的功能,用户在界面选择某个容器点击抓包功能,可以控制抓包开始和结束,可以选择抓包时间;完成后可以下载对应的pcap格式的文件, 在本地的wireshark中直接打开进行分析。底层实际还是通过进入容器的网络namespace,执行tcpdump命令来实现。 说明下:hostnetwork的容器暂不支持抓包功能 API接口: 1 2 3 4 5 6 7 8...

Posted by hujin on August 10, 2022

Neuvector 初探

介绍 NeuVector 是业界首个端到端的开源容器安全平台,唯一为容器化工作负载提供企业级零信任安全的解决方案。 NeuVector 可以提供实时深入的容器网络可视化、东西向容器网络监控、主动隔离和保护、容器主机安全以及 容器内部安全,容器管理平台无缝集成并且实现应用级容器安全的自动化,适用于各种云环境、跨云或者本地部署等容器生产环境。 我们重点看neuvector的网络功能。 n...

Posted by hujin on August 9, 2022

5分钟快速部署Kubernetes集群

环境信息 操作系统:centos7.6 4C8G 节点个数:1master+2node 内核版本:3.10.0-1127.el7.x86_64 网络信息:1管理 1业务 准备(master+node) 每个节点修改hostname 1 hostnamectl set-hostname nodex 配置/etc/hosts 1 2 3 4 cat /etc/h...

Posted by hujin on August 9, 2022

Istio Bookinfo

架构图 在k8s中通过deployment安装一些微服务并通过service暴露出来,包括 productpage: python编写,服务主界面,或者叫index页面,页面中会访问其他微服务 reviews: java编写,书籍评价微服务 details: ruby编写,书籍详情信息微服务 ratings: nodejs编写,数据推荐指数微服务,rating serv...

Posted by hujin on April 15, 2022

Istio集成测试

简介 istio集成测试使用go test,会自动读取源码目录下面名为 *_test.go 的文件,生成并运行测试用的可执行文件。istio集成测试脚本中根据case定义一般会先部署istio集群,再部署对应的echo instance,最后执行具体的case。 准备 修改master节点apiserver参数 这里需要支持第三方token(third-party-token),默认k8s...

Posted by hujin on December 24, 2021

DockerCE20.10版本打包流程

背景 Docker-CE分支在v20.10版本之后将会停止更新,原先的docker-ce将拆分成docker/cli和moby/moby两个项目,其中docker/cli就是docker的客户端,也就是我们常用的docker命令行工具所属的项目;moby/moby项目就是原先docker engine的部分 环境准备 在编译docker源码之前,需要安装docker-ce 1 yum ...

Posted by hujin on October 21, 2021

Tungstenfabric CNI源码 -- NetworkPolicy

背景 tungstenfabric cni通过watch kubernetes apiserver中指定的资源,并在sdn中创建对应的网络设备来实现对应功能。本文重点介绍cni针对networkpolicy的处理,根据源码逐步分析。 架构&流程图 源码解析 在process方法中会处理networkpolicy的创建、更新和删除。这里我们先看下创建和更新 创建和更新方法中...

Posted by hujin on September 28, 2021

Istio初探

背景 网络上很多理论性的说明,包括istio的前世今生,这里就不赘述了,本文将通过安装和实际操作的方式来简单了解下istio的特性. 准备 下载最新版本istio 1 2 3 yum install -y socat curl -L https://istio.io/downloadIstio | sh - cd istio-1.11.2 安装istioctl 1 cp bin/i...

Posted by hujin on September 26, 2021

Docker Containerd CRI-O Runc等概念的区别[译]

cri oci

背景 从Docker引发这场热潮以来,越来越多的工具和标准涌现,来帮助用户使用“容器”这个技术 大型的技术公司由于相互之间的竞争,引入越来越多的技术概念和实现,使得普通用户很容易困惑和不理解。 本文将详细介绍所有相关的概念名称,并尝试解释具体术语,解释容器生态系统如何在2021年协同工作。 你不是唯一一个不理解这些概念的人,也不是最后一个… 理解Docker 区别Docker这个公司...

Posted by hujin on August 6, 2021

FEATURED TAGS
kubernetes k8s neuvector cni istio calico docker tungstenfabric vllm
ABOUT ME

For the next quantum leap
离开世界之前,一切都是过程