小天管理 发表于 2024年8月27日 发表于 2024年8月27日 背景 在某个节点上,容器进程 A 默认是将数据包发给容器进程 B ,考虑到进程 B 升级,需要将流量转到其他机器上。 尝试 使用 ebpf 劫持 connect 系统调用可以做,以及使用 tc-ebpf 实现 nat ,但是被否了!理由是不够安全,存在影响其他容器的风险。 有大佬说可以使用 tc mirror 将流量镜像到 tun ,走隧道,发给本地进程 B 的就 drop 掉(暂时还没弄明白,可不可行,有无大佬解答) iptables contrack 被禁止使用,导致无法使用其 nat 能力。 求问实现如上功能的方式
已推荐帖子