cgroup子系统net_cls 可以给 packet 打上 classid 的标签,用于过滤分类,这个classid就是用于标记skb所属的 qdisc class 的.有了这个标签,流量控制器(tc)可以对不同的 cgroup 的 packet 起作用,Netfilter(iptables)也可以基于这个标签有对应的动作.创建一个 net_cls cgroup 对应的是创建一个 net_cls.classid 文件,这个文件初始化为 0.可以写 16 进制的 0xAAAABBBB 到这个文件…

TC对带宽的描述:    mbps = 1024 kbps = 1024 * 1024 bps => byte/s    mbit = 1024 kbit => kilo bit/s.    mb = 1024 kb = 1024 * 1024 b => byte    mbit = 1024 kbit => kilo bit. TC的队列:    队列:决定了数据被发送的方式,注意是发送的方式,TC无法对接收的数据进行控制            无类队列:内部不包含可配置子类的队…

http://blog.csdn.net/wdsfup/article/details/52302142 http://www.manew.com/blog-166674-12962.html Gentoo LinuxGentoo内核(gentoo-sources)特有的选项 Gentoo Linux supportCONFIG_GENTOO_LINUX 选"Y"后,将会自动选中那些在Gentoo环境中必须开启的内核选项,以避免用户遗漏某些必要的选项,减轻一些用户配置内核的难度.建议选…

============================================================================== 深入linux kernel内核配置选项 ============================================================================== 如果自己不亲自实践配置的话,你永远也体会不到内核的真实所在. 使用过linux的发行版之一gentoo的话,你应该知道这是一个彻头彻尾的自定义…

作为公司上网的路由器需要实现的功能有nat地址转换.dhcp.dns缓存.流量控制.应用程序控制,nat地址转换通过iptables可以直 接实现,dhcp服务需要安装dhcpd,dns缓存功能需要使用bind,流量控制可以使用tc,应用程序控制:例如对qq的封锁可以使用 netfilter-layer7-v2.22+17-protocols-2009-05-28.tar.gz来实现 1.网络规划 操作系统是centos5.8 2.安装dhcpd yum install dhcp-3.0.5-3…

不管是iptables还是tc(traffic control)功能都很强大,都是与网络相关的工具,那么我们就利用这两个工具来对端口进行带宽的限制. 1.使用命令ifconfig查看服务器上的网卡信息,比如网卡eth0是用来对外的网络,也就是用户通过该网卡连接到系统,那么我们就对这个网卡进行带宽的限制 ifconfig 2.建立eth0队列 tc qdisc add dev eth0 root handle 1: htb default 20 命令解释:将一个htb队列绑定在eth0上,编号为1…

如果通过tc来限制虚拟机网卡接收方向带宽呢,实际上使用tc对接收方向限制的不够好,使用tc ingress可以限制接收,但是功能不够多,而且会形成丢包问题.一般是采用将流量重定向到一个虚拟设备ifb上,再对虚拟设备ifb的发包方向来限制带宽,以此来达到限制接收方向带宽的目的. 对于虚拟机的网卡而言,同样也可以使用ifb设备,间接来限制接收方向的带宽,但是还有一种办法是通过限制虚拟机网卡的后端设备的发,来达到限制虚拟机网卡接收带宽的目的. 1.查找虚拟机某网卡对应的后端设备 我的方法比较笨,先是在…

kubernetes集群pod使用tc进行网络资源限额 Docker容器可以实现CPU,内存,磁盘的IO限额,但是没有实现网络IO的限额.主要原因是在实际使用中,构建的网络环境是往超级复杂的大型网络.这样的网络机构,如何管理每一个容器的带宽本身就是一个挑战,对一台主机来说,你已经限制了带宽,然后你想更细颗粒度的管理里面的容器带宽,而且容器的种类特别多,而且不能一刀切解决的,所以这是非常大的挑战.所以Docker没有实现网络资源的限制,把这部分工作交给第三方工具实现. 但是在实际的使用过程中,对网…

1.namespace: Linux Namespaces机制提供一种资源隔离方案.PID,IPC,Network等系统资源不再是全局性的,而是属于特定的Namespace.每个 Namespace里面的资源对其他Namespace都是不可见的,要创建新的Namespace,只需要在调用clone时指定相应的flag.Linux Namespaces机制为实现基于容器的虚拟化技术提供了很好的基础,容器正是利用这一特性实现了资源的隔离.不同container内的 进程属于不同的Namespace,…

前段时间在做一些测试的时候接触到了Linux tc,因为需要对数据包添加延迟,用到了tc中的netem.添加简单的延迟非常简单,像这样一条命令就搞定了:$ tc qdisc add dev eth0 root netem delay 1s,你甚至不需要完全理解命令中参数的含义.但是当你想做一些更加特殊的限制的时候,(比如只对某个特定的ip端口添加延迟.或者只对入站的流量添加延迟),事情就变得有些棘手了,简单的百度貌似已经满足不了要求了.你不得不了解TC中的一些基本概念,以及tc[2]命令中相关参…