一、防火墙原理防火墙一种位于内部网络与外部网络之间的网络安全系统。一项信息安全的防护系统。按照给定的规则，允许或者限制网络报文通过。防火墙根据其管理的范围来分可以将其划分为主机防火墙和网络防火墙；根据其工作机制来区分又可分为包过滤型防火墙（netfilter）和代理服务器（Proxy）。主要工作在网络层，针对TCP/IP数据包实施过滤和限制，属于典型的包过滤防火墙（或称为网络层防火墙）。在这里主要通过iptables工具添加“规则”，Linux主机防火墙由用户态iptables工具和内核态netfilter模块来实现。二、包过滤型防火墙的工作原理包过滤型防火墙主要依赖于Linux内核软件net

一、概述本文针对我们生产上出现的流量不均的问题，深层次地分析问题产生原因，对其中的一些机制做一些介绍。k8s是一个特别复杂的系统，而网络相关的问题是其中最复杂的问题，要通过一两篇文章介绍清楚是很难的。这个流量不均的问题出现的原因并不复杂，就是因为kube-proxy使用了iptables做负载均衡，而它是以概率的方式转发，使用长连接且连接数较少时，偏差会比较大。虽然原因不复杂，但是我们希望能把这其中的整个流程和原理梳理清楚，在介绍过程中，同时介绍一些底层的东西，但是不会太深入。二、背景介绍本章主要介绍一些相关的背景，包括出问题的系统，生产上的现象等。2.1生产问题描述出问题的系统是一个以Dub

一、概述本文针对我们生产上出现的流量不均的问题，深层次地分析问题产生原因，对其中的一些机制做一些介绍。k8s是一个特别复杂的系统，而网络相关的问题是其中最复杂的问题，要通过一两篇文章介绍清楚是很难的。这个流量不均的问题出现的原因并不复杂，就是因为kube-proxy使用了iptables做负载均衡，而它是以概率的方式转发，使用长连接且连接数较少时，偏差会比较大。虽然原因不复杂，但是我们希望能把这其中的整个流程和原理梳理清楚，在介绍过程中，同时介绍一些底层的东西，但是不会太深入。二、背景介绍本章主要介绍一些相关的背景，包括出问题的系统，生产上的现象等。2.1生产问题描述出问题的系统是一个以Dub