强制实施新策略，如安全组、多活规则等。传统的防火墙基于 conntrack 模块（有状态），对于已经存在的连接一般不会实施新策略，比如我们想要即刻关掉某端口的对外开放，新策略只会对新连接生效，老连接则会忽略新策略，与我们预期不符。该场景下，我们可以人为终结不符合预期的连接来落实新策略

在容器化环境中，我们经常会遇到一些网络问题：容器 A 访问 coreDNS 不通，容器 A 访问容器 B 不通，容器 A 访问外网地址不通 等等。

namespace 是容器隔离的基础，而 network namespace 则使得每个 namespace 独享 IP address、port、routing tables、iptables 等网络相关资源。这就意味着，数据包在容器和宿主机上经历的 iptables 是不一样的。

在前文《Linux 路由三大件》中，我们提到了 iptables 可以修改数据包的特征从而影响其路由。这个功能无论是传统场景下的 防火墙，还是云原生场景下的 服务路由（k8s service）、网络策略(calico network policy) 等都有依赖。

当我们发出一个包的时候，Linux 是如何决策该从哪个网卡（假设有多个网卡）、哪个下一跳发出这个包，用什么 IP 作为 source......

“流量劫持” 目前还没有成为一个学术性的词汇，它可能是一个安全话题，也可能是一个网络话题。从网络视角出发，我们劫持流量通常是为了做审计、路由、流量治理等方面的事情，本文就从这个角度来分析和整理一下目前比较常见的流量劫持技术及其应用场景，希望读者能从五花八门的技术中，选出最合适自己的那一款。

随着 eBPF 的发展，我们已经可以将 eBPF/XDP 程序直接部署在普通服务器上来实现负载均衡，从而去掉用于专门部署 LVS 的机器。本系列文章就是基于这个出发点，以演进的形式，分析和探讨一些实现思路。

随着 eBPF 的发展，我们已经可以将 eBPF/XDP 程序直接部署在普通服务器上来实现负载均衡，从而节省掉用于专门部署 LVS 的机器。

各位读者无论是作为候选人还是面试官，想必对 “TCP 三步握手，四步挥手” 都烂熟于心了。但是百闻不如一见，今天我们就来 在真实环境中把这个过程可视化，实地看一看，TCP的状态到底是如何转化的。

本文不打算直接到这一步，而是首先看看如何用 eBPF/XDP 按照常规模式来替代 LVS，也就是说我们还是将负载均衡程序（software load balance 简称 SLB）部署在专用机器上，只不过不用 LVS，而是用 eBPF/XDP 来实现。

David John Wheeler有一句名言“计算机科学中的任何问题都可以通过加上一层间接层来解决”，一层不够就再加一层。后半句是我加的 (*￣︶￣) ，虽然有点玩笑的意思，但是也的确能说明一些问题。计算机科学的确是靠着一层又一层的抽象与封装解决了巨量的问题。

通过前面这本书我们已经知道redis怎么用比较好了，现在我们来看看 Redis 的实现原理。这本书是作者自己看着源码写出来的，不得不佩服作者的智慧与毅力。这本书基于redis3.0，此刻redis最新版是4.0.9，我们看书的时候可以自己去看看源码，看看redis有啥变化没，源码在此。

后端好书阅读与推荐系列文章：后端好书阅读与推荐后端好书阅读与推荐（续）后端好书阅读与推荐（续二） 几个月又过去了，又读了几本书，同时为了深切体会到某些书里面的要点还专门做了一个小项目，这里就把读书与小项目过程中的一些心得体会记录一下。 Effective Java Effective java 中文版（第2版） (豆瓣) [链接] 本...

续前文 后端好书阅读与推荐 - Mageek`s Wonderland ，几十天过去了，又看了两本好书（还有以前看过的书），这里依然把它们总结归纳一下，加入一些自己的看法、有用的链接和可能的延伸阅读，并推荐给需要的同学。

大四的生活就是这么无聊，我琢磨着也学了这么多东西了，为啥不能用自己的知识来给生活找点乐子呢？我想反正每天都要给Ta问候一声早安，为何不同时讲个笑话呢？如果能写个程序每天早上定时给Ta发一条问候早安同时讲一个笑话的短信该多好。说干就干，走起~

Optical Character Recognition (OCR)即光学字符辨识是把打印文本转换成一个数字表示的过程。它有各种各样的实际应用--从数字化印刷书籍、创建收据的电子记录，到车牌识别甚至破解基于图像的验证码。