强制实施新策略，如安全组、多活规则等。传统的防火墙基于 conntrack 模块（有状态），对于已经存在的连接一般不会实施新策略，比如我们想要即刻关掉某端口的对外开放，新策略只会对新连接生效，老连接则会忽略新策略，与我们预期不符。该场景下，我们可以人为终结不符合预期的连接来落实新策略

在容器化环境中，我们经常会遇到一些网络问题：容器 A 访问 coreDNS 不通，容器 A 访问容器 B 不通，容器 A 访问外网地址不通 等等。

namespace 是容器隔离的基础，而 network namespace 则使得每个 namespace 独享 IP address、port、routing tables、iptables 等网络相关资源。这就意味着，数据包在容器和宿主机上经历的 iptables 是不一样的。

在前文《Linux 路由三大件》中，我们提到了 iptables 可以修改数据包的特征从而影响其路由。这个功能无论是传统场景下的 防火墙，还是云原生场景下的 服务路由（k8s service）、网络策略(calico network policy) 等都有依赖。

当我们发出一个包的时候，Linux 是如何决策该从哪个网卡（假设有多个网卡）、哪个下一跳发出这个包，用什么 IP 作为 source......

“流量劫持” 目前还没有成为一个学术性的词汇，它可能是一个安全话题，也可能是一个网络话题。从网络视角出发，我们劫持流量通常是为了做审计、路由、流量治理等方面的事情，本文就从这个角度来分析和整理一下目前比较常见的流量劫持技术及其应用场景，希望读者能从五花八门的技术中，选出最合适自己的那一款。

服务网格是一项热门技术，有时甚至被吹捧为微服务成功的必要条件。然而，像许多抽象一样，服务网格可以节省实施时间，但不能节省学习时间。事实上，许多小平台团队都因为服务网格所增加的复杂性而感到不堪重负，尤其是在部署完成后的运维工作中。

随着 eBPF 的发展，我们已经可以将 eBPF/XDP 程序直接部署在普通服务器上来实现负载均衡，从而去掉用于专门部署 LVS 的机器。本系列文章就是基于这个出发点，以演进的形式，分析和探讨一些实现思路。

随着 eBPF 的发展，我们已经可以将 eBPF/XDP 程序直接部署在普通服务器上来实现负载均衡，从而节省掉用于专门部署 LVS 的机器。

事实上，我的测试内核版本是 6.1.11，它包含了这个commit [[链接]], 及其系列 [[链接]]。所以测试内核中 TCP_SYN_RECV 已经不是原始 TCP 协议中 server 收到第一个 syn 包的状态了，取而代之的是 TCP_NEW_SYN_RECV，TCP_SYN_RECV 本身主要被用于支持 fastopen 特性了。

各位读者无论是作为候选人还是面试官，想必对 “TCP 三步握手，四步挥手” 都烂熟于心了。但是百闻不如一见，今天我们就来 在真实环境中把这个过程可视化，实地看一看，TCP的状态到底是如何转化的。

本文不打算直接到这一步，而是首先看看如何用 eBPF/XDP 按照常规模式来替代 LVS，也就是说我们还是将负载均衡程序（software load balance 简称 SLB）部署在专用机器上，只不过不用 LVS，而是用 eBPF/XDP 来实现。

当我们做技术预研/业务起步的时候，功能性（Functionality）是最重要的，能跑通就行。对于最流行的C/S架构来说，下面的架构就是能满足功能需求的最简模式：

经常有人问：“浏览器输入url后发生了什么”，这个问题看似简单，但是却能全面的考察一个人对系统的了解程度。如果把这个问题引申到k8s领域，就可以问出“K8sClient提交Yaml后发生了什么”这样类似的问题。同样的，要回答这个问题，需要我们对k8s的设计有一个比较完整的了解。本文就试图回答这个问题，带着大家体验一下一份Y...

后端好书阅读与推荐系列文章：后端好书阅读与推荐后端好书阅读与推荐（续）后端好书阅读与推荐（续二）后端好书阅读与推荐（续三）后端好书阅读与推荐（续四）后端好书阅读与推荐（续五）后端好书阅读与推荐（续六）后端好书阅读与推荐（续七）后端好书阅读与推荐（续八）阿里巴巴Java开发手册阿里巴巴Java开发手册 (豆...

1.意义 代理模式的定义：为其它对象提供一种代理以控制对这个对象的访问。 这句话非常简洁，一下子可能感受不到代理模式的强大，直到接触大量业务后才能体会它的应用之丰富： 监控：在原始方法前后进行记录，可以度量方法的处理时间、qps、参数分布等； 限流：依据监控的数据对该方法的不同请求进行限流，特定一段时间内...

高可用架构团队是阿里巴巴负责阿里巴巴核心高可用产品的研发团队，提供的高可用架构基础设施直面双11洪峰流量，包括全链路压测、容量规划、准入控制、限流降级、流量调度等；通过攻防演练、环境隔离、业务对账等常态稳定性保障技术，提前暴露风险，低成本发现系统隐患；通过同城双活、异地多活、单元化体系建设，支撑阿...

left join在我们使用mysql查询的过程中可谓非常常见，比如博客里一篇文章有多少条评论、商城里一个货物有多少评论、一条评论有多少个赞等等。但是由于对join、on、where等关键字的不熟悉，有时候会导致查询结果与预期不符，所以今天我就来总结一下，一起避坑。

高可用架构团队是阿里巴巴保障稳定性的护航舰队，提供的高可用架构基础设施直面双11洪峰流量，包括全链路压测、容量规划、准入控制、限流降级、流量调度等；通过攻防演练、环境隔离、业务对账等常态稳定性保障技术，提前暴露风险，低成本发现系统隐患；通过同城双活、异地多活、单元化体系建设，支撑阿里巴巴电商链路的...

Spring体系用来做微服务在当下可谓是风头正劲，这本书就用一个实例来手把手教我们实现微服务。实战系列的口碑一直不错，这本也不例外，看完就可以对微服务的概念有一个完整的理解，并且想上手也有路可寻。

Elasticsearch是一个强大的开源搜索引擎（不仅如此，还是一个分布式存储、实时分析系统），作为后端开发者，我们常常需要用到它，甚至是借鉴其原理来实现自己特定的功能，因为了解一下是很有必要的。这本书不仅讲了使用方法，还讲了原理，很适合我们学习与查阅。

最近在看kafka的代码，就免不了想看看消息队列的一些要点：服务质量（QOS）、性能、扩展性等等，下面一一探索这些概念，并谈谈在特定的消息队列如kafka或者mosquito中是如何具体实现这些概念的。

Kafka是一款很棒的消息系统，可以看看我之前写的 后端好书阅读与推荐来了解一下它的整体设计。今天我们就来深入了解一下它的实现细节（我fork了一份代码），首先关注Producer这一方。

Raft是当前分布式领域最重要的一致性算法之一，今天我们就来好好研究研究这个算法的论文, 还有对应网站, 动画, 不想看英文的也有中文的翻译，所以我这边就不翻译了，主要还是记录一下论文重点和自己的心得。

David John Wheeler有一句名言“计算机科学中的任何问题都可以通过加上一层间接层来解决”，一层不够就再加一层。后半句是我加的 (*￣︶￣) ，虽然有点玩笑的意思，但是也的确能说明一些问题。计算机科学的确是靠着一层又一层的抽象与封装解决了巨量的问题。

我们知道java在运行的时候有两个地方可能用到重排序，一个是编译器编译的的时候，一个是处理器运行的时候。那么我们就应该问问为啥要用指令重排序呢？

把debian1作为调度服务器承担请求分发的任务，即用户访问的是debian1，然后debain1把请求按照一定的策略发送给应用服务器：debian2或者debain3，甚至更多的debain4、5、6......

NameNode : 维护 DataNode节点 列表，用心跳检测 DataNode（一般被动，被动失效时主动询问三次），节点增减等系统信息变化时调整数据并通知 Client；

通过前面这本书我们已经知道redis怎么用比较好了，现在我们来看看 Redis 的实现原理。这本书是作者自己看着源码写出来的，不得不佩服作者的智慧与毅力。这本书基于redis3.0，此刻redis最新版是4.0.9，我们看书的时候可以自己去看看源码，看看redis有啥变化没，源码在此。

分布式中一致性是非常重要的，分为弱一致性和强一致性。现在主流的一致性协议一般都选择的是弱一致性的特殊版本：最终一致性。下面就从分布式系统的基本原则讲起，再整理一些遵循这些原则的协议或者机制，争取通俗易懂。但是要真正实施起来把这些协议落地，可不是一片文章能说清楚的，有太多的细节，要自己去看论文呐（...