【从零造容器】Network Namespace:给你的进程接上虚拟网线
上一篇我们用 clone() 隔离了 PID、主机名和挂载点,但那个'容器'连 lo 都 ping 不通。本文从 CLONE_NEWNET 出发,用 veth pair + bridge + iptables MASQUERADE,一步步给容器接上网。
iptables 标签归档
共 8 篇文章 · 返回首页
【从零造容器】容器网络性能真相:veth vs macvlan vs eBPF 数据面
容器网络为什么比裸机慢?veth + bridge 每个包经过两次 netfilter,macvlan 跳过了 bridge,Cilium 用 eBPF 替掉了 iptables。到底慢多少?我们用 iperf3、wrk 和自定义 echo server 实测。
【Kubernetes 网络深度系列】Netfilter 与 iptables:Linux 防火墙的灵魂
Netfilter 五个 hook 点、四表五链的真实遍历顺序、conntrack 状态机与性能开销、SNAT/DNAT/MASQUERADE 辨析,再到 nftables 替代方案和 eBPF 数据面——从内核视角拆解 Linux 防火墙。
【Kubernetes 网络深度系列】Service 与 kube-proxy:ClusterIP 背后的四种实现
从 userspace 到 eBPF,拆解 kube-proxy 四种模式的实现原理与性能权衡
【Kubernetes 网络深度系列】Calico:BGP + iptables/eBPF 的网络与安全一体化
Felix、BIRD、Typha 四大组件拆解,从纯 BGP 路由到 eBPF 数据面的 Calico 全景
【Kubernetes 网络深度系列】Network Policy 入门到精通:不只是 YAML 游戏
从默认放行到零信任白名单,NetworkPolicy 的实现原理、策略模式与 CRD 扩展
【Kubernetes 网络深度系列】eBPF 与 Netfilter 的安全能力对比:谁是更好的防火墙
iptables、nftables、eBPF 三种防火墙机制的架构差异、性能对比与迁移路径
【eBPF 系列】eBPF + 容器:Cilium 的数据面为什么不再需要 iptables
5000 个 Service、十万条 iptables 规则、一次更新锁五秒——这就是 kube-proxy 的现实。Cilium 用 eBPF Map 的 O(1) 查找干掉了整条 KUBE-SERVICES 链,顺便把 sidecar 也一起埋了。