18video性欧美19sex,欧美高清videosddfsexhd,性少妇videosexfreexxx片中国,激情五月激情综合五月看花,亚洲人成网77777色在线播放

搜索歷史

清空
搜索熱詞
      0
      • 聊天消息
      • 系統(tǒng)消息
      • 評(píng)論與回復(fù)
      VIP于 到期 續(xù)費(fèi)
      登錄后你可以
      • 下載海量資料
      • 學(xué)習(xí)在線課程
      • 觀看技術(shù)視頻
      • 寫(xiě)文章/發(fā)帖/加入社區(qū)
      會(huì)員中心
      創(chuàng)作中心
      發(fā)布
      創(chuàng)作活動(dòng)

      完善資料讓更多小伙伴認(rèn)識(shí)你,還能領(lǐng)取20積分哦,立即完善>

      3天內(nèi)不再提示

      Linux網(wǎng)絡(luò)管理的關(guān)鍵技術(shù)和最佳實(shí)踐

      馬哥Linux運(yùn)維 ? 來(lái)源:馬哥Linux運(yùn)維 ? 2025-07-09 09:53 ? 次閱讀
      加入交流群
      微信小助手二維碼

      掃碼添加小助手

      加入工程師交流群

      一、引言

      在大型互聯(lián)網(wǎng)企業(yè)中,Linux網(wǎng)絡(luò)管理是運(yùn)維工程師的核心技能之一。面對(duì)海量服務(wù)器、復(fù)雜網(wǎng)絡(luò)拓?fù)?、高并發(fā)流量,運(yùn)維人員需要掌握從基礎(chǔ)網(wǎng)絡(luò)配置到高級(jí)網(wǎng)絡(luò)優(yōu)化的全套技術(shù)棧。本文將結(jié)合大廠實(shí)際場(chǎng)景,深入解析Linux網(wǎng)絡(luò)管理的關(guān)鍵技術(shù)和最佳實(shí)踐。

      二、網(wǎng)絡(luò)基礎(chǔ)架構(gòu)與規(guī)劃

      2.1 大廠網(wǎng)絡(luò)架構(gòu)設(shè)計(jì)

      典型三層網(wǎng)絡(luò)架構(gòu):

      ┌─────────────────────────────────────────────────────────┐
│          核心層 (Core Layer)          │
│ ┌─────────────┐       ┌─────────────┐      │
│ │  Core-1  │──────────────│  Core-2  │      │
│ └─────────────┘       └─────────────┘      │
└─────────────────────────────────────────────────────────┘
             │
┌─────────────────────────────────────────────────────────┐
│         匯聚層 (Aggregation Layer)       │
│ ┌─────────────┐       ┌─────────────┐      │
│ │  Agg-1   │──────────────│  Agg-2   │      │
│ └─────────────┘       └─────────────┘      │
└─────────────────────────────────────────────────────────┘
             │
┌─────────────────────────────────────────────────────────┐
│          接入層 (Access Layer)         │
│ ┌─────────────┐ ┌─────────────┐ ┌─────────────┐   │
│ │  TOR-1   │ │  TOR-2   │ │  TOR-3   │   │
│ └─────────────┘ └─────────────┘ └─────────────┘   │
└─────────────────────────────────────────────────────────┘

      VLAN劃分策略:

      # 管理網(wǎng)絡(luò)
VLAN 100: 192.168.100.0/24 # 服務(wù)器管理接口
VLAN 101: 192.168.101.0/24 # 網(wǎng)絡(luò)設(shè)備管理

# 業(yè)務(wù)網(wǎng)絡(luò)
VLAN 200: 10.10.200.0/24  # Web前端服務(wù)
VLAN 201: 10.10.201.0/24  # 應(yīng)用服務(wù)層
VLAN 202: 10.10.202.0/24  # 數(shù)據(jù)庫(kù)層

# 存儲(chǔ)網(wǎng)絡(luò)
VLAN 300: 10.10.300.0/24  # 分布式存儲(chǔ)
VLAN 301: 10.10.301.0/24  # 備份網(wǎng)絡(luò)

      2.2 網(wǎng)絡(luò)接口配置與管理

      網(wǎng)絡(luò)接口配置(CentOS/RHEL):

      # /etc/sysconfig/network-scripts/ifcfg-eth0
TYPE=Ethernet
BOOTPROTO=static
DEFROUTE=yes
PEERDNS=yes
PEERROUTES=yes
IPV4_FAILURE_FATAL=no
IPV6INIT=yes
IPV6_AUTOCONF=yes
IPV6_DEFROUTE=yes
IPV6_PEERDNS=yes
IPV6_PEERROUTES=yes
IPV6_FAILURE_FATAL=no
NAME=eth0
UUID=12345678-1234-1234-1234-123456789abc
DEVICE=eth0
ONBOOT=yes
IPADDR=10.10.200.100
NETMASK=255.255.255.0
GATEWAY=10.10.200.1
DNS1=8.8.8.8
DNS2=8.8.4.4

      網(wǎng)絡(luò)接口配置(Ubuntu/Debian):

      # /etc/netplan/00-installer-config.yaml
network:
version:2
renderer:networkd
ethernets:
 eth0:
  addresses:
   -10.10.200.100/24
  gateway4:10.10.200.1
  nameservers:
   addresses:[8.8.8.8,8.8.4.4]
 eth1:
  addresses:
   -10.10.201.100/24

      網(wǎng)絡(luò)綁定(Bonding)配置:

      # /etc/sysconfig/network-scripts/ifcfg-bond0
DEVICE=bond0
TYPE=Bond
BONDING_MASTER=yes
BOOTPROTO=static
ONBOOT=yes
IPADDR=10.10.200.100
NETMASK=255.255.255.0
GATEWAY=10.10.200.1
BONDING_OPTS="mode=802.3ad miimon=100 lacp_rate=fast"

# /etc/sysconfig/network-scripts/ifcfg-eth0
DEVICE=eth0
TYPE=Ethernet
BOOTPROTO=none
ONBOOT=yes
MASTER=bond0
SLAVE=yes

# /etc/sysconfig/network-scripts/ifcfg-eth1
DEVICE=eth1
TYPE=Ethernet
BOOTPROTO=none
ONBOOT=yes
MASTER=bond0
SLAVE=yes

      三、網(wǎng)絡(luò)性能監(jiān)控與調(diào)優(yōu)

      3.1 網(wǎng)絡(luò)性能監(jiān)控工具

      實(shí)時(shí)網(wǎng)絡(luò)監(jiān)控腳本:

      #!/bin/bash
# 網(wǎng)絡(luò)性能監(jiān)控腳本
INTERFACE="eth0"
INTERVAL=5

echo"網(wǎng)絡(luò)接口:$INTERFACE"
echo"監(jiān)控間隔:$INTERVAL秒"
echo"時(shí)間戳     接收(MB/s) 發(fā)送(MB/s) 丟包率(%)"
echo"=================================================="

whiletrue;do
 # 獲取網(wǎng)絡(luò)統(tǒng)計(jì)信息
  RX1=$(cat/sys/class/net/$INTERFACE/statistics/rx_bytes)
  TX1=$(cat/sys/class/net/$INTERFACE/statistics/tx_bytes)
  RX_DROPPED1=$(cat/sys/class/net/$INTERFACE/statistics/rx_dropped)
  TX_DROPPED1=$(cat/sys/class/net/$INTERFACE/statistics/tx_dropped)
  RX_PACKETS1=$(cat/sys/class/net/$INTERFACE/statistics/rx_packets)
  TX_PACKETS1=$(cat/sys/class/net/$INTERFACE/statistics/tx_packets)
 
 sleep$INTERVAL
 
  RX2=$(cat/sys/class/net/$INTERFACE/statistics/rx_bytes)
  TX2=$(cat/sys/class/net/$INTERFACE/statistics/tx_bytes)
  RX_DROPPED2=$(cat/sys/class/net/$INTERFACE/statistics/rx_dropped)
  TX_DROPPED2=$(cat/sys/class/net/$INTERFACE/statistics/tx_dropped)
  RX_PACKETS2=$(cat/sys/class/net/$INTERFACE/statistics/rx_packets)
  TX_PACKETS2=$(cat/sys/class/net/$INTERFACE/statistics/tx_packets)
 
 # 計(jì)算速率
  RX_RATE=$(echo"scale=2; ($RX2-$RX1) / 1024 / 1024 /$INTERVAL"| bc)
  TX_RATE=$(echo"scale=2; ($TX2-$TX1) / 1024 / 1024 /$INTERVAL"| bc)
 
 # 計(jì)算丟包率
  TOTAL_PACKETS=$((RX_PACKETS2 - RX_PACKETS1 + TX_PACKETS2 - TX_PACKETS1))
  DROPPED_PACKETS=$((RX_DROPPED2 - RX_DROPPED1 + TX_DROPPED2 - TX_DROPPED1))
 
 if[$TOTAL_PACKETS-gt 0 ];then
    DROP_RATE=$(echo"scale=2;$DROPPED_PACKETS* 100 /$TOTAL_PACKETS"| bc)
 else
    DROP_RATE=0
 fi
 
 printf"%-15s %10s %10s %10s
"
   "$(date '+%H:%M:%S')"
   "$RX_RATE"
   "$TX_RATE"
   "$DROP_RATE"
done

      高級(jí)網(wǎng)絡(luò)監(jiān)控工具使用:

      # iftop - 實(shí)時(shí)網(wǎng)絡(luò)流量監(jiān)控
iftop -i eth0 -P -n

# nethogs - 按進(jìn)程顯示網(wǎng)絡(luò)使用情況
nethogs eth0

# ss - 查看網(wǎng)絡(luò)連接狀態(tài)
ss -tuln | grep :80
ss -i # 顯示詳細(xì)連接信息

# nload - 實(shí)時(shí)網(wǎng)絡(luò)流量圖形化顯示
nload -m eth0

# tcpdump - 網(wǎng)絡(luò)包捕獲分析
tcpdump -i eth0 -n -c 100'port 80 or port 443'

      3.2 網(wǎng)絡(luò)參數(shù)調(diào)優(yōu)

      TCP參數(shù)優(yōu)化:

      # /etc/sysctl.conf
# TCP緩沖區(qū)優(yōu)化
net.core.rmem_default = 262144
net.core.rmem_max = 16777216
net.core.wmem_default = 262144
net.core.wmem_max = 16777216
net.ipv4.tcp_rmem = 4096 87380 16777216
net.ipv4.tcp_wmem = 4096 65536 16777216

# TCP連接優(yōu)化
net.ipv4.tcp_fin_timeout = 30
net.ipv4.tcp_keepalive_time = 1200
net.ipv4.tcp_max_syn_backlog = 8192
net.ipv4.tcp_max_tw_buckets = 5000
net.ipv4.tcp_syncookies = 1
net.ipv4.tcp_tw_recycle = 1
net.ipv4.tcp_tw_reuse = 1

# 網(wǎng)絡(luò)隊(duì)列優(yōu)化
net.core.netdev_max_backlog = 5000
net.core.netdev_budget = 600

# 應(yīng)用優(yōu)化
sysctl -p

      網(wǎng)絡(luò)接口隊(duì)列優(yōu)化:

      #!/bin/bash
# 網(wǎng)絡(luò)接口多隊(duì)列配置
INTERFACE="eth0"
CPU_CORES=$(nproc)

# 啟用多隊(duì)列
ethtool -L$INTERFACEcombined$CPU_CORES

# 設(shè)置中斷親和性
for((i=0; i<$CPU_CORES; i++));?do
? ? IRQ=$(grep?"$INTERFACE-TxRx-$i"?/proc/interrupts | awk?'{print $1}'?|?tr?-d?':')
? ??if?[ -n?"$IRQ"?];?then
? ? ? ??echo?$((1?<< i)) > /proc/irq/$IRQ/smp_affinity
 fi
done

# 優(yōu)化網(wǎng)絡(luò)接口參數(shù)
ethtool -G$INTERFACErx 4096 tx 4096
ethtool -C$INTERFACEadaptive-rx on adaptive-tx on

      四、網(wǎng)絡(luò)安全與防護(hù)

      4.1 iptables防火墻配置

      企業(yè)級(jí)防火墻規(guī)則:

      #!/bin/bash
# 企業(yè)級(jí)iptables配置腳本

# 清空現(xiàn)有規(guī)則
iptables -F
iptables -X
iptables -Z

# 設(shè)置默認(rèn)策略
iptables -P INPUT DROP
iptables -P FORWARD DROP
iptables -P OUTPUT ACCEPT

# 允許本地回環(huán)
iptables -A INPUT -i lo -j ACCEPT
iptables -A OUTPUT -o lo -j ACCEPT

# 允許已建立的連接
iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT

# SSH訪問(wèn)控制(僅允許特定IP)
iptables -A INPUT -p tcp --dport 22 -s 192.168.1.0/24 -j ACCEPT
iptables -A INPUT -p tcp --dport 22 -s 10.0.0.0/8 -j ACCEPT

# Web服務(wù)端口
iptables -A INPUT -p tcp --dport 80 -j ACCEPT
iptables -A INPUT -p tcp --dport 443 -j ACCEPT

# 數(shù)據(jù)庫(kù)訪問(wèn)控制
iptables -A INPUT -p tcp --dport 3306 -s 10.10.201.0/24 -j ACCEPT
iptables -A INPUT -p tcp --dport 5432 -s 10.10.201.0/24 -j ACCEPT

# 防止SYN洪水攻擊
iptables -A INPUT -p tcp --syn -mlimit--limit1/s --limit-burst 3 -j ACCEPT
iptables -A INPUT -p tcp --syn -j DROP

# 防止端口掃描
iptables -A INPUT -m state --state NEW -p tcp --tcp-flags ALL ALL -j DROP
iptables -A INPUT -m state --state NEW -p tcp --tcp-flags ALL NONE -j DROP

# 限制ICMP
iptables -A INPUT -p icmp --icmp-type echo-request -mlimit--limit1/s -j ACCEPT

# 保存規(guī)則
iptables-save > /etc/iptables/rules.v4

      4.2 網(wǎng)絡(luò)入侵檢測(cè)

      基于日志的入侵檢測(cè)腳本:

      #!/bin/bash
# 網(wǎng)絡(luò)入侵檢測(cè)腳本
LOG_FILE="/var/log/secure"
ALERT_EMAIL="admin@company.com"
THRESHOLD=10

# 檢測(cè)SSH暴力破解
check_ssh_brute_force() {
 localfailed_attempts=$(grep"Failed password"$LOG_FILE| 
    grep"$(date '+%b %d')"| 
    awk'{print $11}'|sort|uniq-c | 
    awk -v threshold=$THRESHOLD'$1 > threshold {print $2, $1}')
 
 if[ -n"$failed_attempts"];then
   echo"SSH暴力破解檢測(cè)到:"
   echo"$failed_attempts"
   
   # 自動(dòng)封禁IP
   echo"$failed_attempts"|whilereadip count;do
      iptables -A INPUT -s$ip-j DROP
     echo"已封禁IP:$ip(失敗次數(shù):$count)"
   done
 fi
}

# 檢測(cè)端口掃描
check_port_scan() {
 localscan_attempts=$(netstat -an | grep SYN_RECV | 
    awk'{print $5}'|cut-d: -f1 |sort|uniq-c | 
    awk -v threshold=50'$1 > threshold {print $2, $1}')
 
 if[ -n"$scan_attempts"];then
   echo"端口掃描檢測(cè)到:"
   echo"$scan_attempts"
 fi
}

# 執(zhí)行檢測(cè)
check_ssh_brute_force
check_port_scan

      五、高可用網(wǎng)絡(luò)架構(gòu)

      5.1 負(fù)載均衡配置

      HAProxy配置示例:

      # /etc/haproxy/haproxy.cfg
global
  daemon
  maxconn 4096
  user haproxy
  group haproxy
 
defaults
  mode http
 timeoutconnect 5000ms
 timeoutclient 50000ms
 timeoutserver 50000ms
  option httplog
  option dontlognull
  option redispatch
  retries 3

frontend web_frontend
 bind*:80
 bind*:443 ssl crt /etc/ssl/certs/server.pem
  redirect scheme httpsif!{ ssl_fc }
  default_backend web_servers

backend web_servers
  balance roundrobin
  option httpchk GET /health
  server web1 10.10.200.10:80 check
  server web2 10.10.200.11:80 check
  server web3 10.10.200.12:80 check

listen stats
 bind*:8080
  statsenable
  stats uri /stats
  stats refresh 30s

      Keepalived高可用配置:

      # /etc/keepalived/keepalived.conf
vrrp_script chk_haproxy {
  script"/bin/curl -f http://localhost:80/health || exit 1"
  interval 2
  weight -2
  fall 3
  rise 2
}

vrrp_instance VI_1 {
  state MASTER
  interface eth0
  virtual_router_id 51
  priority 100
  advert_int 1
  authentication {
    auth_type PASS
    auth_pass mypassword
  }
  virtual_ipaddress {
    10.10.200.100/24
  }
  track_script {
    chk_haproxy
  }
}

      5.2 網(wǎng)絡(luò)故障切換

      自動(dòng)故障切換腳本:

      #!/bin/bash
# 網(wǎng)絡(luò)故障自動(dòng)切換腳本
PRIMARY_GATEWAY="10.10.200.1"
BACKUP_GATEWAY="10.10.200.2"
TEST_HOST="8.8.8.8"
INTERFACE="eth0"

check_connectivity() {
 localgateway=$1
  ping -c 3 -W 2$gateway> /dev/null 2>&1
 return$?
}

switch_gateway() {
 localnew_gateway=$1
  ip route del default
  ip route add default via$new_gatewaydev$INTERFACE
 echo"已切換到網(wǎng)關(guān):$new_gateway"
}

# 主循環(huán)
whiletrue;do
  current_gateway=$(ip route show default | awk'{print $3}')
 
 if["$current_gateway"="$PRIMARY_GATEWAY"];then
   if! check_connectivity$PRIMARY_GATEWAY;then
     echo"主網(wǎng)關(guān)故障,切換到備用網(wǎng)關(guān)"
      switch_gateway$BACKUP_GATEWAY
   fi
 else
   ifcheck_connectivity$PRIMARY_GATEWAY;then
     echo"主網(wǎng)關(guān)恢復(fù),切換回主網(wǎng)關(guān)"
      switch_gateway$PRIMARY_GATEWAY
   fi
 fi
 
 sleep30
done

      六、網(wǎng)絡(luò)故障排查與診斷

      6.1 網(wǎng)絡(luò)連通性診斷

      網(wǎng)絡(luò)診斷工具集:

      #!/bin/bash
# 網(wǎng)絡(luò)故障診斷腳本
TARGET_HOST="$1"
TARGET_PORT="$2"

if[ -z"$TARGET_HOST"];then
 echo"用法:$0<目標(biāo)主機(jī)> [端口]"
 exit1
fi

echo"=== 網(wǎng)絡(luò)診斷報(bào)告 ==="
echo"目標(biāo)主機(jī):$TARGET_HOST"
echo"目標(biāo)端口:${TARGET_PORT:-N/A}"
echo"診斷時(shí)間:$(date)"
echo

# 1. 基礎(chǔ)連通性測(cè)試
echo"1. PING測(cè)試:"
ifping -c 4$TARGET_HOST> /tmp/ping_result 2>&1;then
 echo"  ? PING成功"
  grep"rtt"/tmp/ping_result
else
 echo"  ? PING失敗"
 cat/tmp/ping_result
fi
echo

# 2. 路由跟蹤
echo"2. 路由跟蹤:"
traceroute$TARGET_HOST2>/dev/null |head-10
echo

# 3. DNS解析測(cè)試
echo"3. DNS解析:"
ifnslookup$TARGET_HOST> /tmp/dns_result 2>&1;then
 echo"  ? DNS解析成功"
  grep"Address"/tmp/dns_result |tail-1
else
 echo"  ? DNS解析失敗"
fi
echo

# 4. 端口連通性測(cè)試
if[ -n"$TARGET_PORT"];then
 echo"4. 端口連通性:"
 ifnc -zv$TARGET_HOST$TARGET_PORT2>&1 | grep -q"succeeded";then
   echo"  ? 端口$TARGET_PORT開(kāi)放"
 else
   echo"  ? 端口$TARGET_PORT不可達(dá)"
 fi
 echo
fi

# 5. 網(wǎng)絡(luò)接口狀態(tài)
echo"5. 本地網(wǎng)絡(luò)接口狀態(tài):"
ip addr show | grep -E"inet|state"
echo

# 6. 路由表
echo"6. 路由表:"
ip route show
echo

# 7. 防火墻狀態(tài)
echo"7. 防火墻狀態(tài):"
iptables -L -n |head-20

      6.2 網(wǎng)絡(luò)性能分析

      網(wǎng)絡(luò)性能測(cè)試腳本:

      #!/bin/bash
# 網(wǎng)絡(luò)性能測(cè)試腳本
SERVER_IP="$1"
TEST_DURATION=30

if[ -z"$SERVER_IP"];then
 echo"用法:$0<服務(wù)器IP>"
 exit1
fi

echo"=== 網(wǎng)絡(luò)性能測(cè)試 ==="
echo"服務(wù)器:$SERVER_IP"
echo"測(cè)試時(shí)長(zhǎng):$TEST_DURATION秒"
echo

# TCP帶寬測(cè)試
echo"1. TCP帶寬測(cè)試:"
ifcommand-v iperf3 &> /dev/null;then
  iperf3 -c$SERVER_IP-t$TEST_DURATION
else
 echo"  iperf3 未安裝,跳過(guò)帶寬測(cè)試"
fi
echo

# 延遲測(cè)試
echo"2. 網(wǎng)絡(luò)延遲測(cè)試:"
ping -c 10$SERVER_IP|tail-1
echo

# 并發(fā)連接測(cè)試
echo"3. 并發(fā)連接測(cè)試:"
foriin{1..10};do
  (timenc -zv$SERVER_IP80 2>&1) 2>&1 | grep real &
done
wait
echo

# 丟包率測(cè)試
echo"4. 丟包率測(cè)試:"
ping -c 100$SERVER_IP| grep"packet loss"

      七、容器網(wǎng)絡(luò)管理

      7.1 Docker網(wǎng)絡(luò)配置

      Docker網(wǎng)絡(luò)管理:

      #!/bin/bash
# Docker網(wǎng)絡(luò)配置腳本

# 創(chuàng)建自定義網(wǎng)絡(luò)
docker network create --driver bridge 
  --subnet=172.20.0.0/16 
  --ip-range=172.20.240.0/20 
  --gateway=172.20.0.1 
  custom_network

# 創(chuàng)建macvlan網(wǎng)絡(luò)
docker network create -d macvlan 
  --subnet=192.168.1.0/24 
  --gateway=192.168.1.1 
  -o parent=eth0 
  macvlan_network

# 容器網(wǎng)絡(luò)監(jiān)控
monitor_container_network() {
 echo"容器網(wǎng)絡(luò)使用情況:"
  docker stats --no-stream --format"table {{.Container}}	{{.NetIO}}"
 
 echo-e"
容器網(wǎng)絡(luò)詳情:"
  docker networkls
 
 echo-e"
網(wǎng)絡(luò)接口統(tǒng)計(jì):"
 forcontainerin$(docker ps -q);do
    name=$(docker inspect --format='{{.Name}}'$container| sed's////')
   echo"容器:$name"
    dockerexec$containercat/proc/net/dev | grep -v"lo:"|tail-n +3
   echo
 done
}

monitor_container_network

      7.2 Kubernetes網(wǎng)絡(luò)管理

      Kubernetes網(wǎng)絡(luò)故障排查:

      #!/bin/bash
# K8s網(wǎng)絡(luò)故障排查腳本

# 檢查Pod網(wǎng)絡(luò)連通性
check_pod_connectivity() {
 localpod_name=$1
 localnamespace=${2:-default}
 
 echo"檢查Pod:$pod_name(namespace:$namespace)"
 
 # 獲取Pod IP
  pod_ip=$(kubectl get pod$pod_name-n$namespace-o jsonpath='{.status.podIP}')
 echo"Pod IP:$pod_ip"
 
 # 檢查Pod網(wǎng)絡(luò)接口
  kubectlexec$pod_name-n$namespace-- ip addr show
 
 # 檢查Pod路由
  kubectlexec$pod_name-n$namespace-- ip route show
 
 # 測(cè)試DNS解析
  kubectlexec$pod_name-n$namespace-- nslookup kubernetes.default.svc.cluster.local
}

# 檢查Service網(wǎng)絡(luò)
check_service_network() {
 localservice_name=$1
 localnamespace=${2:-default}
 
 echo"檢查Service:$service_name"
 
 # 獲取Service信息
  kubectl get svc$service_name-n$namespace-o wide
 
 # 檢查Endpoints
  kubectl get endpoints$service_name-n$namespace
 
 # 檢查Service的iptables規(guī)則
  iptables -t nat -L | grep$service_name
}

# 網(wǎng)絡(luò)策略檢查
check_network_policies() {
 echo"當(dāng)前網(wǎng)絡(luò)策略:"
  kubectl get networkpolicies --all-namespaces
 
 echo-e"
網(wǎng)絡(luò)策略詳情:"
  kubectl get networkpolicies --all-namespaces -o yaml
}

# 使用示例
# check_pod_connectivity "my-pod" "default"
# check_service_network "my-service" "default"
# check_network_policies

      八、網(wǎng)絡(luò)自動(dòng)化管理

      8.1 Ansible網(wǎng)絡(luò)自動(dòng)化

      網(wǎng)絡(luò)配置自動(dòng)化Playbook:

      # network_config.yml
---
-name:網(wǎng)絡(luò)配置自動(dòng)化
hosts:servers
become:yes
vars:
 network_interfaces:
  -name:eth0
   ip:"{{ ansible_default_ipv4.address }}"
   netmask:"255.255.255.0"
   gateway:"{{ ansible_default_ipv4.gateway }}"
  -name:eth1
   ip:"10.10.201.{{ ansible_host.split('.')[3] }}"
   netmask:"255.255.255.0"
 
tasks:
 -name:配置網(wǎng)絡(luò)接口
  template:
   src:ifcfg-interface.j2
   dest:"/etc/sysconfig/network-scripts/ifcfg-{{ item.name }}"
  loop:"{{ network_interfaces }}"
  notify:restartnetwork
 
 -name:配置防火墻規(guī)則
  iptables:
   chain:INPUT
   protocol:tcp
   destination_port:"{{ item }}"
   jump:ACCEPT
  loop:
   -22
   -80
   -443
 
 -name:優(yōu)化網(wǎng)絡(luò)參數(shù)
  sysctl:
   name:"{{ item.name }}"
   value:"{{ item.value }}"
   state:present
   reload:yes
  loop:
   -{name:"net.ipv4.tcp_fin_timeout",value:"30"}
   -{name:"net.ipv4.tcp_keepalive_time",value:"1200"}
   -{name:"net.core.rmem_max",value:"16777216"}
   -{name:"net.core.wmem_max",value:"16777216"}
 
 -name:安裝網(wǎng)絡(luò)監(jiān)控工具
  package:
   name:"{{ item }}"
   state:present
  loop:
   -iftop
   -nethogs
   -tcpdump
   -nmap

handlers:
 -name:restartnetwork
  service:
   name:network
   state:restarted

      8.2 網(wǎng)絡(luò)監(jiān)控自動(dòng)化

      Prometheus網(wǎng)絡(luò)監(jiān)控配置:

      # prometheus.yml
global:
scrape_interval:15s
evaluation_interval:15s

rule_files:
-"network_rules.yml"

scrape_configs:
-job_name:'node-exporter'
 static_configs:
  -targets:['localhost:9100']
 scrape_interval:5s
 metrics_path:/metrics

-job_name:'snmp-network'
 static_configs:
  -targets:
   -192.168.1.1# 路由器
   -192.168.1.2# 交換機(jī)
 metrics_path:/snmp
 params:
  module:[if_mib]
 relabel_configs:
  -source_labels:[__address__]
   target_label:__param_target
  -source_labels:[__param_target]
   target_label:instance
  -target_label:__address__
   replacement:127.0.0.1:9116# SNMP exporter

      網(wǎng)絡(luò)告警規(guī)則:

      # network_rules.yml
groups:
-name:network_alerts
 rules:
  -alert:HighNetworkTraffic
   expr:rate(node_network_receive_bytes_total[5m])>100000000
   for:2m
   labels:
    severity:warning
   annotations:
    summary:"高網(wǎng)絡(luò)流量告警"
    description:"{{ $labels.instance }}網(wǎng)絡(luò)接收流量超過(guò)100MB/s"
  
  -alert:NetworkInterfaceDown
   expr:node_network_up==0
   for:1m
   labels:
    severity:critical
   annotations:
    summary:"網(wǎng)絡(luò)接口故障"
    description:"{{ $labels.instance }}網(wǎng)絡(luò)接口{{ $labels.device }}已斷開(kāi)"
  
  -alert:HighPacketLoss
   expr:rate(node_network_receive_drop_total[5m])>1000
   for:2m
   labels:
    severity:warning
   annotations:
    summary:"網(wǎng)絡(luò)丟包告警"
    description:"{{ $labels.instance }}網(wǎng)絡(luò)丟包率過(guò)高"

      九、網(wǎng)絡(luò)安全最佳實(shí)踐

      9.1 網(wǎng)絡(luò)安全加固

      網(wǎng)絡(luò)安全檢查腳本:

      #!/bin/bash
# 網(wǎng)絡(luò)安全檢查腳本

echo"=== 網(wǎng)絡(luò)安全檢查報(bào)告 ==="
echo"檢查時(shí)間:$(date)"
echo

# 1. 開(kāi)放端口檢查
echo"1. 開(kāi)放端口檢查:"
netstat -tuln | grep LISTEN |whilereadline;do
  port=$(echo$line| awk'{print $4}'|cut-d: -f2)
  protocol=$(echo$line| awk'{print $1}')
 echo"  開(kāi)放端口:$port($protocol)"
done
echo

# 2. 防火墻狀態(tài)檢查
echo"2. 防火墻狀態(tài):"
ifsystemctl is-active --quiet iptables;then
 echo"  ? iptables 服務(wù)運(yùn)行中"
  rule_count=$(iptables -L | grep -c"^Chain")
 echo"  防火墻規(guī)則鏈數(shù):$rule_count"
else
 echo"  ? iptables 服務(wù)未運(yùn)行"
fi
echo

# 3. SSH配置檢查
echo"3. SSH安全配置檢查:"
ssh_config="/etc/ssh/sshd_config"
if[ -f"$ssh_config"];then
 # 檢查關(guān)鍵配置項(xiàng)
  root_login=$(grep"^PermitRootLogin"$ssh_config| awk'{print $2}')
  password_auth=$(grep"^PasswordAuthentication"$ssh_config| awk'{print $2}')
  port=$(grep"^Port"$ssh_config| awk'{print $2}')
 
 echo"  SSH端口:${port:-22}"
 echo"  Root登錄:${root_login:-yes}"
 echo"  密碼認(rèn)證:${password_auth:-yes}"
 
 if["$root_login"="no"];then
   echo"  ? 已禁用Root登錄"
 else
   echo"  ? 建議禁用Root登錄"
 fi
fi
echo

# 4. 網(wǎng)絡(luò)連接檢查
echo"4. 可疑網(wǎng)絡(luò)連接檢查:"
netstat -an | grep ESTABLISHED | awk'{print $5}'|cut-d: -f1 |sort|uniq-c |sort-nr |head-10
echo

# 5. 失敗登錄嘗試檢查
echo"5. 失敗登錄嘗試:"
if[ -f"/var/log/secure"];then
  grep"Failed password"/var/log/secure |tail-5
else
 echo"  無(wú)法訪問(wèn)登錄日志"
fi

      9.2 DDoS防護(hù)

      DDoS防護(hù)腳本:

      #!/bin/bash
# DDoS防護(hù)腳本

# 限制連接數(shù)
iptables -A INPUT -p tcp --dport 80 -m connlimit --connlimit-above 20 -j REJECT

# 限制新連接速率
iptables -A INPUT -p tcp --dport 80 -m state --state NEW -m recent --set
iptables -A INPUT -p tcp --dport 80 -m state --state NEW -m recent --update --seconds 60 --hitcount 10 -j DROP

# SYN Flood防護(hù)
echo1 > /proc/sys/net/ipv4/tcp_syncookies
echo2048 > /proc/sys/net/ipv4/tcp_max_syn_backlog
echo3 > /proc/sys/net/ipv4/tcp_synack_retries

# 配置連接跟蹤
echo65536 > /proc/sys/net/netfilter/nf_conntrack_max
echo300 > /proc/sys/net/netfilter/nf_conntrack_tcp_timeout_established

# 自動(dòng)封禁攻擊IP
monitor_ddos() {
 whiletrue;do
   # 檢測(cè)異常連接
    netstat -an | grep :80 | grep SYN_RECV | awk'{print $5}'|cut-d: -f1 |sort|uniq-c |whilereadcount ip;do
     if[$count-gt 50 ];then
       echo"檢測(cè)到DDoS攻擊,封禁IP:$ip"
        iptables -A INPUT -s$ip-j DROP
     fi
   done
   sleep10
 done
}

# 啟動(dòng)監(jiān)控
monitor_ddos &

      十、總結(jié)與展望

      10.1 運(yùn)維最佳實(shí)踐總結(jié)

      1.標(biāo)準(zhǔn)化配置管理:使用配置管理工具(Ansible、Puppet)實(shí)現(xiàn)網(wǎng)絡(luò)配置的標(biāo)準(zhǔn)化和自動(dòng)化。

      2.全面監(jiān)控體系:建立從基礎(chǔ)設(shè)施到應(yīng)用層的全棧網(wǎng)絡(luò)監(jiān)控,及時(shí)發(fā)現(xiàn)和處理網(wǎng)絡(luò)問(wèn)題。

      3.安全防護(hù)策略:實(shí)施多層次的網(wǎng)絡(luò)安全防護(hù),包括防火墻、入侵檢測(cè)、訪問(wèn)控制等。

      4.故障快速響應(yīng):建立完善的故障處理流程和自動(dòng)化故障切換機(jī)制。

      5.性能持續(xù)優(yōu)化:定期進(jìn)行網(wǎng)絡(luò)性能評(píng)估和調(diào)優(yōu),確保網(wǎng)絡(luò)基礎(chǔ)設(shè)施能夠支撐業(yè)務(wù)發(fā)展。

      10.2 技術(shù)發(fā)展趨勢(shì)

      ?軟件定義網(wǎng)絡(luò)(SDN):通過(guò)軟件控制網(wǎng)絡(luò)行為,提高網(wǎng)絡(luò)的靈活性和可管理性。

      ?網(wǎng)絡(luò)功能虛擬化(NFV):將網(wǎng)絡(luò)功能從專用硬件中解耦,實(shí)現(xiàn)更靈活的網(wǎng)絡(luò)服務(wù)部署。

      ?邊緣計(jì)算網(wǎng)絡(luò):隨著邊緣計(jì)算的發(fā)展,網(wǎng)絡(luò)架構(gòu)將更加分布式和智能化。

      ?AI驅(qū)動(dòng)的網(wǎng)絡(luò)運(yùn)維:利用人工智能技術(shù)實(shí)現(xiàn)網(wǎng)絡(luò)的自動(dòng)化運(yùn)維和智能故障診斷。

      結(jié)語(yǔ)

      Linux網(wǎng)絡(luò)管理是大廠運(yùn)維工程師必須掌握的核心技能。通過(guò)本文介紹的技術(shù)和實(shí)踐,運(yùn)維人員可以構(gòu)建穩(wěn)定、高效、安全的網(wǎng)絡(luò)基礎(chǔ)設(shè)施,為企業(yè)業(yè)務(wù)發(fā)展提供堅(jiān)實(shí)的技術(shù)保障。

      在實(shí)際工作中,運(yùn)維人員需要結(jié)合具體業(yè)務(wù)場(chǎng)景,靈活運(yùn)用這些技術(shù),并持續(xù)學(xué)習(xí)新的網(wǎng)絡(luò)技術(shù)和工具,以應(yīng)對(duì)不斷變化的業(yè)務(wù)需求和技術(shù)挑戰(zhàn)。

      本文內(nèi)容基于大廠實(shí)際生產(chǎn)環(huán)境經(jīng)驗(yàn)總結(jié),如有疑問(wèn)或需要進(jìn)一步交流,歡迎討論。

      聲明:本文內(nèi)容及配圖由入駐作者撰寫(xiě)或者入駐合作網(wǎng)站授權(quán)轉(zhuǎn)載。文章觀點(diǎn)僅代表作者本人,不代表電子發(fā)燒友網(wǎng)立場(chǎng)。文章及其配圖僅供工程師學(xué)習(xí)之用,如有內(nèi)容侵權(quán)或者其他違規(guī)問(wèn)題,請(qǐng)聯(lián)系本站處理。 舉報(bào)投訴
      • 互聯(lián)網(wǎng)
        +關(guān)注

        關(guān)注

        55

        文章

        11289

        瀏覽量

        108500
      • Linux
        +關(guān)注

        關(guān)注

        88

        文章

        11581

        瀏覽量

        217166
      • 網(wǎng)絡(luò)管理
        +關(guān)注

        關(guān)注

        0

        文章

        126

        瀏覽量

        28993

      原文標(biāo)題:運(yùn)維必備:大廠Linux網(wǎng)絡(luò)管理技術(shù)實(shí)戰(zhàn)指南

      文章出處:【微信號(hào):magedu-Linux,微信公眾號(hào):馬哥Linux運(yùn)維】歡迎添加關(guān)注!文章轉(zhuǎn)載請(qǐng)注明出處。

      收藏 人收藏
      加入交流群
      微信小助手二維碼

      掃碼添加小助手

      加入工程師交流群

        評(píng)論

        相關(guān)推薦
        熱點(diǎn)推薦

        網(wǎng)絡(luò)化HRM系統(tǒng)關(guān)鍵技術(shù)研究與實(shí)現(xiàn)

        和系統(tǒng)權(quán)限控制與管理等。本學(xué)位論文針對(duì)跨地域大型煤礦公司HRM系統(tǒng)的需求,研究網(wǎng)絡(luò)化HRM系統(tǒng)的關(guān)鍵技術(shù),包括:B/S結(jié)構(gòu)的多層Web應(yīng)用系統(tǒng)、J2EE體系結(jié)構(gòu)、JSP/Servlet開(kāi)發(fā)模式
        發(fā)表于 04-24 09:21

        汽車總線及其關(guān)鍵技術(shù)的研究

        汽車總線及其關(guān)鍵技術(shù)的研究
        發(fā)表于 07-10 11:33

        CDMA原理與關(guān)鍵技術(shù)

        CDMA原理與關(guān)鍵技術(shù)
        發(fā)表于 08-16 20:25

        智能電網(wǎng)的網(wǎng)絡(luò)通信架構(gòu)及關(guān)鍵技術(shù)解析

        中心議題: *智能電網(wǎng)的網(wǎng)絡(luò)通信架構(gòu) *智能電網(wǎng)的關(guān)鍵技術(shù)解決方案: *TE 彈性屬性決定在鏈路故障或結(jié)點(diǎn)失效時(shí)采取的策略1引言 建設(shè)信息化、自動(dòng)化、互動(dòng)化為特征的堅(jiān)強(qiáng)智 能電網(wǎng)(Smart
        發(fā)表于 10-09 11:42

        詳解5G的六大關(guān)鍵技術(shù)

        過(guò)程中會(huì)遇到哪些問(wèn)題?在5G研發(fā)剛起步的情況下,如何建立一套全面的5G關(guān)鍵技術(shù)評(píng)估指標(biāo)體系和評(píng)估方法,實(shí)現(xiàn)客觀有效的第三方評(píng)估,服務(wù)技術(shù)與資源管理的發(fā)展需要,同樣是當(dāng)前5G技術(shù)發(fā)展所面
        發(fā)表于 12-07 18:40

        利用CAN總線構(gòu)建一個(gè)車內(nèi)網(wǎng)絡(luò),需要解決的關(guān)鍵技術(shù)問(wèn)題有哪些?

        CAN-BUS系統(tǒng)主要包括哪些部件?車載網(wǎng)絡(luò)的應(yīng)用分類有哪幾種?利用CAN總線構(gòu)建一個(gè)車內(nèi)網(wǎng)絡(luò),需要解決的關(guān)鍵技術(shù)問(wèn)題有哪些?
        發(fā)表于 05-13 06:07

        數(shù)字家庭網(wǎng)絡(luò)關(guān)鍵技術(shù)是什么?

        數(shù)字家庭網(wǎng)絡(luò)提供的業(yè)務(wù)類別以及需求有哪些?數(shù)字家庭網(wǎng)絡(luò)關(guān)鍵技術(shù)是什么?
        發(fā)表于 05-26 06:20

        WCDMA中的關(guān)鍵技術(shù)網(wǎng)絡(luò)規(guī)劃中的應(yīng)用是什么

        WCDMA中的關(guān)鍵技術(shù)網(wǎng)絡(luò)規(guī)劃中的應(yīng)用是什么
        發(fā)表于 05-27 06:15

        ASON網(wǎng)絡(luò)關(guān)鍵技術(shù)有哪些?

        ASON光網(wǎng)絡(luò)由哪幾部分組成?ASON網(wǎng)絡(luò)關(guān)鍵技術(shù)有哪些?ASON的亮點(diǎn)是什么?
        發(fā)表于 05-28 06:48

        車載移動(dòng)異構(gòu)無(wú)線網(wǎng)絡(luò)架構(gòu)及關(guān)鍵技術(shù)是什么?

        車載移動(dòng)異構(gòu)無(wú)線網(wǎng)絡(luò)架構(gòu)及關(guān)鍵技術(shù)是什么?
        發(fā)表于 06-07 06:29

        POE的關(guān)鍵技術(shù)有哪些?

        使用以太網(wǎng)線供電的優(yōu)勢(shì)是什么?PoE設(shè)備是怎么供電的?POE的關(guān)鍵技術(shù)有哪些?
        發(fā)表于 06-10 09:26

        CatM的關(guān)鍵技術(shù)有哪些?CatNB和CatM有什么區(qū)別?

        物聯(lián)網(wǎng)市場(chǎng)的網(wǎng)絡(luò)特性是什么?CatNB和CatM有什么區(qū)別?CatM的關(guān)鍵技術(shù)有哪些?
        發(fā)表于 06-30 08:02

        明白VPP關(guān)鍵技術(shù)有哪些

        隨著人工智能技術(shù)的不斷發(fā)展,越來(lái)越多的行業(yè)開(kāi)始使用人工智能技術(shù),這也使得智能虛擬代理技術(shù)得到了廣泛的應(yīng)用。為了能夠深入了解智能虛擬代理技術(shù),需要明白VPP
        發(fā)表于 08-31 07:28

        視覺(jué)導(dǎo)航關(guān)鍵技術(shù)及應(yīng)用

        由于視覺(jué)導(dǎo)航技術(shù)的應(yīng)用越來(lái)越普及 ,因此 ,有必要對(duì)視覺(jué)導(dǎo)航中的關(guān)鍵技術(shù)及應(yīng)用進(jìn)行研究。文章對(duì)其中的圖像處理技術(shù)和定位與跟蹤技術(shù)進(jìn)行了詳細(xì)研究 ,并與此相對(duì)應(yīng) ,介紹的相關(guān)的應(yīng)用。
        發(fā)表于 09-25 08:09

        部署Linux最佳實(shí)踐探索

        編者按:本文節(jié)選自節(jié)選自《基于Linux的企業(yè)自動(dòng)化》第五章?!暗?章,使用Ansible構(gòu)建用于部署的虛擬機(jī)模板,通過(guò)構(gòu)建虛擬機(jī)模板來(lái)探索部署Linux最佳實(shí)踐,虛擬機(jī)模板將以實(shí)際
        的頭像 發(fā)表于 05-16 09:35 ?914次閱讀