大名网站建设公司,安徽合肥做网站的公司,旅游网站建设背景,网页制作素材代码1、DH 算法会因为传输随机数被破解吗#xff1f;
答#xff1a;DH 算法的交换材料要分公钥部分和私钥部分#xff0c;公钥部分和其他非对称加密一样#xff0c;都是可以传输的#xff0c;所以对于安全性是没有影响的#xff0c;而且传输材料远比传输原始的公钥更加安全。…1、DH 算法会因为传输随机数被破解吗
答DH 算法的交换材料要分公钥部分和私钥部分公钥部分和其他非对称加密一样都是可以传输的所以对于安全性是没有影响的而且传输材料远比传输原始的公钥更加安全。私钥部分是谁都不能给的因此也是不会截获到的。
2、移动网络是如何控制不同优先级的用户的上网流量的吗
答这个其实是 PCRF 协议进行控制的它可以下发命令给 PGW 来控制上网的行为和特性。
3、SDN 控制器是什么东西
答SDN 控制器是一个独立的集群主要是在管控面因为要实现一定的高可用性。
主流的开源控制器有 OpenContrail、OpenDaylight 等。当然每个网络硬件厂商都有自己的控制器而且可以实现自己的私有协议进行更加细粒度的控制所以江湖一直没有办法统一。
流表是在每一台宿主机上保存的大小限制取决于内存而集中存放的缺点就是下发会很慢。
4、iptables 如何通过 QUEUE 实现负载均衡
答可以在 iptables 里面添加下面的规则
-A PREROUTING -p tcp -m set --match-set minuteman dst,dst -m tcp --tcp-flags FIN,SYN,RST,ACK SYN -j NFQUEUE --queue-balance 50:58
-A OUTPUT -p tcp -m set --match-set minuteman dst,dst -m tcp --tcp-flags FIN,SYN,RST,ACK SYN -j NFQUEUE --queue-balance 50:58
NFQUEUE 的规则表示将把包的处理权交给用户态的一个进程。–queue-balance 表示会将包发给几个 queue。
libnetfilter_queue 是一个用户态库用户态进程会使用 libnetfilter_queue 连接到这些 queue 中将包读出来根据包的内容做决策后再放回内核进行发送。
5、一个控制云中的虚拟机的入口流量的方式
答在云平台中我们可以限制一个租户的默认带宽我们仍然可以配置点对点的流量控制。
在发送方的 OVS 上我们可以统计发送方虚拟机的网络统计数据上报给管理面。在接收方的 OVS 上我们同样可以收集接收方虚拟机的网络统计数据上报给管理面。
当流量过大的时候我们虽然不能控制接收方的入口流量但是我们可以在管理面下发一个策略控制发送方的出口流量。
6、对于 HTB 借流量的情况借出去的流量能够抢回来吗
答借出去的流量当自己使用的时候是能够抢回来的。
7、虽然 VXLAN 可以支持组播但是如果虚拟机数目比较多在 Overlay 网络里面广播风暴问题依然会很严重你能想到什么办法解决这个问题吗
答很多情况下物理机可以提前知道对端虚拟机的 MAC 地址因而当发起 ARP 请求的时候不用广播全网只要本地返回就可以了在 Openstack 里面称为 L2Population。
8、通过 Flannel 的网络模型可以实现容器与容器直接跨主机的互相访问那你知道如果容器内部访问外部的服务应该怎么融合到这个网络模型中吗
答Pod 内到外部网络是通过 docker 引擎在 iptables 的 POSTROUTING 中的 MASQUERADE 规则实现的将容器的地址伪装为 node IP 出去回来时再把包 nat 回容器的地址。
有的时候我们想给外部的一个服务使用一个固定的域名这就需要用到 Kubernetes 里 headless service 的 ExternalName。我们可以将某个外部的地址赋给一个 Service 的名称当容器内访问这个名字的时候就会访问一个虚拟的 IP。然后在容器所在的节点上由 iptables 规则映射到外部的 IP 地址。
9、将 Calico 部署在公有云上的时候经常会选择使用 IPIP 模式你知道这是为什么吗
答一个原因是中间有路由如果 VPC 网络是平的但是公有云经常会有一个限制那就是器的 IP 段是用户自己定义的一旦出虚拟机的时候云平台发现不是它分配的 IP很多情况下直接就丢弃了。如果是 IPIP出虚拟机之后IP 还是虚拟机的 IP就没有问题。
10、 用Service Mesh时 希望 Envoy 能够在服务不感知的情况下将服务之间的调用全部代理了你知道怎么做到这一点吗
答
iptables 规则可以这样来设置
首先定义的一条规则是 ISTIO_REDIRECT 转发链。这条链不管三七二十一都将网络包转发给 envoy 的 15000 端口。但是一开始这条链没有被挂到 iptables 默认的几条链中所以不起作用。
接下来在 PREROUTING 规则中使用这个转发链。从而进入容器的所有流量都被先转发到 envoy 的 15000 端口。而 envoy 作为一个代理已经被配置好了将请求转发给 productpage 程序。
当 productpage 往后端进行调用的时候就碰到了 output 链。这个链会使用转发链将所有出容器的请求都转发到 envoy 的 15000 端口。
这样无论是入口的流量还是出口的流量全部用 envoy 做成了“汉堡包”。envoy 根据服务发现的配置做最终的对外调用。
这个时候iptables 规则会对从 envoy 出去的流量做一个特殊处理允许它发出去不再使用上面的 output 规则。 此文章为10月Day14学习笔记内容来源于极客时间《趣谈网络协议》推荐该课程。
