VPC网络架构下的网络上数据采集
介绍
想象这样一个场景,一开始在公司里,所有的部门的物理机、POD都在一个经典网络内,它们可以通过 IP 访问彼此,没有任何限制。因此有很多系统基于此设计了很多点对点 IP 直连的访问,比如中心控制服务器 S 会主动访问物理机上的 Agent 从而拉取信息或下发配置,假设调用频率很高,数据量很大。
现在由于各种原因,各个部门之间的网络不再被允许互通,而是出现了隔离:
- 每个部门有自己专用的物理机,每个部门的POD只能部署到本部门的物理机
- POD 与物理机的网络是隔离的
- 同一个部门的物理机是网络互通的,不同部门的物理机是网络隔离的
- 同一个部门的POD是网络互通的,不同部门的POD的网络是隔离的
- 允许给为应用申请 VIP,而该 VIP 可以被所有 VPC 访问
相当于对于每个部门来说,物理机处于一个单独的 VPC 内,POD 处于另外一个单独的 VPC 内,默认情况下 VPC 与 VPC 之间是网络隔离的。
这里我们先假设所有部门的物理机和 POD 的 IP 依旧不会重复,从而先简化问题的讨论。
上述只是我创造的一个虚拟场景,实际并不是这样的,但也不影响问题讨论。
由于网络隔离的出现它会导致:
- 部署在每台物理机上的Agent(Daemonset形式)无法访问我们的中心控制服务器S
- 中心控制服务器S无法主动访问每台物理机上的 Agent 拉取信息或下发配置
我们的系统严格依赖上述2点,因此网络隔离的出现导致我们的系统连基本功能都用不了。我们并不想为每个部门单独部署一套我们的系统(运维成本高),而是想使用一套系统服务所有部门。
解法
面对该问题考虑了如下解法:
- 改造系统架构,变成 “拉取配置”, "推送信息"
- 基于反向代理的网络访问
每个部门单独部署一套我们的系统
解法1需要将点对点访问变成边缘 Agent 对中心控制服务器 S 的访问,一般来说 Agent 访问哪台 S 都是可以的,因此可以给 S 挂一个 VIP,让 Agent 去访问该 VIP 即可。
但这涉及整个系统架构大改,暂时不考虑。
基于反向代理的网络访问
解法2的来源是想到如果每台 Agent、中心控制服务器 S 能找一个第三方组成一个 VPN 网络,那么每个成员都会有一个新的虚拟 IP,使用该新的虚拟 IP 就可以实现原来的点对点IP直连访问。而我们要做的是在访问时,查询一下原始IP对应的新的虚拟IP,然后访问该 IP 即可。
但是组 VPN 了解不够,并且只有一台VPN服务器也是不够的,应该是需要VPN集群,这对我来说就更难了。
后来经过一些调研,发现有一个技术叫做“反向代理”,相关的软件参考了 frp https://github.com/fatedier/frp
反向代理介绍
假设有如下4个角色:
A: 处于 VPC 1 内
R: 处于 VPC 1 内 (R 也可以就是 A 自身)
S: S代表一组服务器,处于 VPC 2 内; 并且它配置了一个 VIP, VIP 可以被 VPC 1 里的成员访问
B: 处于 VPC 2 内 (B 也可以就是 S 自身)
此时 VPC 1 与 VPC 2 网络不通,仅 VPC 1 的成员可以通过 S 的 VIP 访问到 S。
A 向 S 的 VIP 发起反向代理请求 (R IP, R port),S 的某个成员 S' 收到了反向代理请求 (R IP, R port),S' 为反向代理请求分配一个随机端口 S' port (也可以是固定端口,不过在我们这个场景下随机更好)。
此后,B 就可以通过 (S' IP, S' port) 访问到 (R IP, R port)。
因此,如果你有一个公网IP,那么你就可以把你某个内网的端口通过该公网IP做反向代理暴露出去。经常折腾软路由的人应该对此了解较深。
引入反向代理
假设我们在中心引入一个 proxy server (简称PS)的角色,让每台 Agent、中心控制服务器 S 通过 VIP 找到任意一台中心 PS 服务器建立反向连接,建立反向连接后可以得到一条反向链路:(某PS的IP,某PS的端口,某Agent的IP,某Agent的端口),以下简称反向连接4元组.
当我们要访问(某Agent的IP,某Agent的端口)时, 换成去访问(某PS的IP,某PS的端口)就可以了。
当每台 PS 服务器建立反向连接时,它会将该反向连接4元组记录在某个地方供后续查询。当然销毁反向连接时也要记得删除4元组。
使用代理服务器屏蔽反向连接的细节
考虑到还有其他应用也会访问物理机上的Agent,我们可以将该4元组的查询做成服务或者SDK供其他应用使用。但是这种方式对这些应用有一定侵入性,他们不一定愿意接入。
我们还可以使用 socks5 代理技术来简化其他应用访问物理机上的Agent的流程。
我们实现一个 socks5 server 的角色,对外提供一个 VIP:port 供其他应用连接,其他应用要做的仅仅只是在它们发网络请求的地方配置 socks5 代理(socks5 代理的支持很普遍的)。这个 socks5 server 的实现就是根据目标 IP 去查 4 元组,然后将请求转发到对应的 (PS IP,PS port) 上。
如果你的Agent提供的是 HTTP 服务,那么你可以提供 HTTP 代理服务器而非 socks5,那应该会更简单一些。
性能问题
- 每个反向连接会消耗一台 PS 的一个 port, 因此每台 PS 最多贡献6万个 反向连接, 保守点估算成5万. (我们假设 VIP 会尽量使得连接均匀分配到后端)
- 所有的网络流量需要经过 VIP, 它本身有带宽限制, 比如 10Gb/s; 关于这一点我们可以想办法可以PS server 挂多个 VIP, 然后再申请一个域名, 将A记录设置为这多个VIP, 应该就可以起到一个负载均衡的效果
- 如果你实现了 socks5 或 http 代理服务器, 那么它的 VIP 也是性能瓶颈
- 当 PS 故障时,一些反向连接会在短时间内不可用; 我们可以要求每个 Agent 往 PS 建立 2 个连接(并且要想办法尽可能保证2个连接落在不同的PS实例上), 每个反向连接信息里可以维护一个心跳时间, 如果一个挂了, 那么流量都走另外一个.
- 反向建连4元组脏了, 在一个非常繁忙的系统中 (S' IP, S' port) 可能被复用, 如果此时4元组数据脏了, 可能你想连到 (C IP, C port) 但实际却是连到 (D IP, D port); 关于这一点可以让每个 PS 手动维护 S' port 的分配, 在分配之前检查是否有脏数据残留; 或者可以在业务层的协议加入一个目标IP, 当Agent 收到请求时检查一下是否确实是发给自己的请求, 如果不是则报错(对业务有侵入性).
安全问题
一般来说,公司之所以要引入 VPC 网络架构,就是为了隔离各部门的网络,属于有意为之。而我们的这种做法无疑是打破了这种隔离。但好在我们打破的范围仅仅局限在我们系统的业务 POD 之间,并不涉及其他业务 POD(虽然说我们确实有这个能力)。所以我的这种做法目前是可以被接受的。
相关文章:
VPC网络架构下的网络上数据采集
介绍 想象这样一个场景,一开始在公司里,所有的部门的物理机、POD都在一个经典网络内,它们可以通过 IP 访问彼此,没有任何限制。因此有很多系统基于此设计了很多点对点 IP 直连的访问,比如中心控制服务器 S 会主动访问物…...
模拟算法(模拟算法 == 依葫芦画瓢)万字
模拟算法 基本思想引入算法题替换所有的问号提莫攻击Z字形变换外观数列数青蛙 基本思想 模拟算法 依葫芦画瓢解题思维要么通俗易懂,要么就是找规律,主要难度在于将思路转换为代码。 特点:相对于其他算法思维,思路比较简单&#x…...
QtApplets-SystemInfo
QtApplets-SystemInfo 今天是2024年1月3日09:18:44,这也是2024年的第一篇博客,今天我们主要两件事,第一件,获取系统CPU使用率,第二件,获取系统内存使用情况。 这里因为写博客的这个本本的环境配置不…...
vue3防抖函数封装与使用,以指令的形式使用
utils/debounce.js /*** 防抖函数* param {*} fn 函数* param {*} delay 暂停时间* returns */ export function debounce(fn, delay 500) {let timer nullreturn function (...args) {// console.log(arguments);// const args Array.from(arguments)if (timer) {clearTim…...
Hive学习(13)lag和lead函数取偏移量
hive里面lag函数 在数据处理和分析中,窗口函数是一种重要的技术,用于在数据集中执行聚合和分析操作。Hive作为一种大数据处理框架,也提供了窗口函数的支持。在Hive中,Lag函数是一种常用的窗口函数,可以用于计算前一行…...
Centos Unable to verify the graphical display setup
ERROR: Unable to verify the graphical display setup. 在Linux下安装Oracle时 运行 ./runInstaller 报错 ERROR: Unable to verify the graphical display setup. This application requires X display. Make sure that xdpyinfo exist under PATH variable. No X11 DISPL…...
Java 说一下 synchronized 底层实现原理?
Java 说一下 synchronized 底层实现原理? synchronized 是 Java 中用于实现同步的关键字,它保证了多个线程对共享资源的互斥访问。底层实现涉及到对象头的 Mark Word 和锁升级过程。 synchronized 可以用于方法上或代码块上,分别对应于方法…...
nginx访问路径匹配方法
目录 一:匹配方法 二:location使用: 三:rewrite使用 一:匹配方法 location和rewrite是两个用于处理请求的重要模块,它们都可以根据请求的路径进行匹配和处理。 二:location使用: 1:简单匹配…...
偌依 项目部署及上线步骤
准备实验环境,准备3台机器 1.作为前端服务器,mysql,redis服务器--同时临时作为代码打包服务器 192.168.2.65 nginx-server 2.作为后端服务器 192.168.2.66 java-server-1 192.168.2.67 java-server-2 安装nginx/mysql #安装nginx [rootweb-nginx ~]…...
PHP特性知识点扫盲 - 上篇
概述 之前在分析thinkphp源码的时候,对依赖注入等等php高级的特性一直想做一个梳理和总结,一直没有时间,好不容易抽一点时间对技术的盲点做一个扫盲和总结。 特性 1.命名空间 命名空间是在PHP5.3中引入,是一个很重要的工具&am…...
Docker一键极速安装Nacos,并配置数据库!
1 部署方式 1.1 DockerHub javaedgeJavaEdgedeMac-mini ~ % docker run --name nacos \ -e MODEstandalone \ -e JVM_XMS128m \ -e JVM_XMX128m \ -e JVM_XMN64m \ -e JVM_MS64m \ -e JVM_MMS64m \ -p 8848:8848 \ -d nacos/nacos-server:v2.2.3 a624c64a1a25ad2d15908a67316d…...
交换机04_远程连接
通过远程管理方式连接交换机 1、telnet简介 telnet 是应用层协议 基于传输层TCP协议的,默认端口:23 采用的是明文密码方式 不是很安全,一般用于内网管理。 2、ssh协议简介 ssh 是应用层的协议,基于传输层的TCP协议&#x…...
, 实现继承?)
ES6定义一个类(函数内部定义属性,,原型定义方法 ), 实现继承?
ES6中使用class关键字定义一个类,使用extends关键字实现继承。下面是一个示例: class Animal {constructor(name) {this.name name;}sayHello() {console.log(Hello, my name is ${this.name});} }class Dog extends Animal {constructor(name, breed)…...
使用 Process Explorer 和 Windbg 排查软件线程堵塞案例分享
目录 1、问题说明 2、线程堵塞的可能原因分析 3、使用Windbg和Process Explorer确定线程中发生了死循环 4、根据Windbg中显示的函数调用堆栈去查看源码,找到问题 4.1、在Windbg定位发生死循环的函数的方法 4.2、在Windbg中查看变量的值去辅助分析 4.3、是循环…...
“智慧”千里眼助力水泵站
泵站是为水提供势能和压能,解决无自流条件下的排灌、供水和水资源调配问题的唯一动力来源,在工农业用水、防洪、排涝和抗旱减灾等方面发挥着重要作用。一旦出现异常,对经济生产将造成难以估量的损失,给水利安全管理造成负担。因此…...
C++多态性——(5)运算符重载(第二节)
归纳编程学习的感悟, 记录奋斗路上的点滴, 希望能帮到一样刻苦的你! 如有不足欢迎指正! 共同学习交流! 🌎欢迎各位→点赞 👍 收藏⭐ 留言📝 身先才能率人,律己才能服人…...
ES -极客学习
Elasticsearch 简介及其发展历史 起源 Lucene 于 Java 语言开发的搜索引擎库类创建于 1999 年,2005 年成为 Apache 顶级开源项目Lucene 具有高性能、易扩展的优点Lucene 的局限性 只能基于 Java 语言开发类库的接口学习曲线陡峭原生并不支持水平扩展原生并不支持水…...
【大厂秘籍】系列 - Java多线程面试题
Java多线程面试题 友情提示,看完此文,在Java多线程这块,基本上可以吊打面试官了 线程和进程的区别 进程是资源分配的最小单位,线程是CPU调度的最小单位 线程是进程的子集,一个进程可以有很多线程,每条线…...
vue实现画笔回放,canvas转视频播放功能
示例图: 一、vue2版本 <template><div class"canvas-video"><canvasref"myCanvasByVideo"class"myCanvas"id"myCanvasByVideo":width"width":height"height"></canvas><d…...
Docker中镜像的相关操作
1.辅助操作 docker version:用查看docker客户端引擎和server端引擎版本信息。 docker info:用来查看docker引擎的详细信息。 docker --help:用来查看帮助信息。 2.镜像Image docker images:查看当前本地仓库中存在哪些镜像。 …...
Graphormer开源模型部署教程:3.7GB小模型+RTX4090一键启动分子建模服务
Graphormer开源模型部署教程:3.7GB小模型RTX4090一键启动分子建模服务 1. 项目介绍 Graphormer是一种基于纯Transformer架构的图神经网络模型,专门为分子图(原子-键结构)的全局结构建模与属性预测而设计。这个3.7GB的小模型在OG…...
新手最值得入的一款ai音乐工具
2026年,ai音乐爆发的一年。国内国外各种AI音乐工具层出不穷。想要尝试AI音乐的新手宝宝该怎么去选择呢?市面上大大小小的ai音乐创作软件我基本都尝试过。我觉得只有一款工具是最值得推荐的,也是我使用的最多的。那就是蘑兔AI,你们…...
从数据清洗到结果可视化:一份给地理学新手的R语言geodetector实战避坑指南
从数据清洗到结果可视化:一份给地理学新手的R语言geodetector实战避坑指南 第一次用R语言跑地理探测器时,我盯着满屏的报错信息差点崩溃——明明照着教程一步步操作,为什么别人的代码能跑出漂亮的结果,我的却总在数据导入环节就卡…...
货车行车记录仪被破坏手工修复成功
由于视频记录了打架过程,很重要, 客户在第一次查看时没问题,再次想拷贝,发现内容都没有了只有USC文件,使用容量也有,如图 好在客户没有再次破坏,TS视频文件,同行通过恢复软件恢复&am…...
【Agents】自定义子代理进阶:后台执行
基础篇:【Agents】Claude Code 多 Agent 入门:从一问一答到并行协作实践篇1:【Agents】Claude Code 自定义子代理:内置的不够用,就自己造实践篇2:【Agents】自定义子代理进阶:沙盒隔离 上一篇用 isolation: worktre…...
Openclaw案例之构建《全自动化、高适配、可定制”的AI绘画生产体系》
⚡⚡⚡ 欢迎预览,批评指正⚡⚡⚡ 文章目录一、需求&目标二、搭建基础环境2.1 环境准备2.2 OpenClaw与绘画模型部署启动2.3 核心配置(模型插件联动)三、核心操作3.1 多智能体角色配置(核心步骤)3.2 一键启动自动化…...
:深度优先与广度优先的实战对比)
LeetCode 200. 岛屿数量(C++):深度优先与广度优先的实战对比
1. 岛屿数量问题解析 第一次看到LeetCode 200题岛屿数量时,很多人会感到困惑:这个看似简单的矩阵遍历问题,为什么会被标记为中等难度?让我用一个生活中的例子来解释:想象你面前有一张卫星地图,上面蓝色代表…...
AI数字人开源方案:Duix.Avatar本地化部署与应用指南
AI数字人开源方案:Duix.Avatar本地化部署与应用指南 【免费下载链接】Duix-Avatar 🚀 Truly open-source AI avatar(digital human) toolkit for offline video generation and digital human cloning. 项目地址: https://gitcode.com/GitHub_Trending…...
)
STM32F407的RTC时钟不准?手把手教你用CubeMX配置LSE晶振校准(附源码)
STM32F407的RTC时钟不准?手把手教你用CubeMX配置LSE晶振校准(附源码) 在嵌入式系统开发中,实时时钟(RTC)的精度问题常常让开发者头疼。特别是使用STM32F407这类主流单片机时,即使按照官方文档配…...
”问题全面解析与修复指南)
Virtualbox “Kernel driver not installed (rc=-1908)”问题全面解析与修复指南
1. 遇到Virtualbox "Kernel driver not installed (rc-1908)"错误怎么办? 最近在Ubuntu系统上更新后,突然发现Virtualbox无法正常启动虚拟机了,屏幕上赫然显示着"Kernel driver not installed (rc-1908)"的错误提示。作为…...