大雪，沙雪。

到晴岚桥等送葬队伍时，非常冷。

转头一望，发现送葬的几位师傅在渠渡庙门口就地取材生起了火堆取暖。这样寒冷的天气下，很有种惊喜的感觉。

送葬路上又是风又是雪，像是老天也在哀伤。辉辉说这还是他第一次在风雪天里送葬，我也有同感。到了山上，雨伞上已经结了薄薄一层冰，老爸跟老妈衣服也冻上了冰晶，辉辉更是头发都冻上了。风雪之中，二爷爷被葬在我家后山。

已过了立冬，却没想象中的那么冷。

忽闻堂弟打算去河南，而且后天就走。

一瞬间感觉生活有点梦幻，惶惶然又脱离了掌控。

又想到今年找到的新工作，梦幻般的待遇，不限量的三餐供应，窗明几净的落地窗工位，这一切都像是在做梦。

「此岸弃草，彼岸繁花。」取自前永动机主唱「河津樱/白金」的个人简介

今天想推几首歌 emmmm

音乐插件出了点毛病，直接上链接了：

https://music.163.com/#/playlist?id=901077788

本文仅针对 ipv4 网络

本文先介绍 iptables 的基本概念及常用命令，然后分析 docker/podman 是如何利用 iptables 和 Linux 虚拟网络接口实现的单机容器网络。

一、iptables

iptables 提供了包过滤、NAT 以及其他的包处理能力，iptables 应用最多的两个场景是 firewall 和 NAT

本文用到的字符画工具：vscode-asciiflow2

注意: 本文中使用 ip 命令创建或修改的任何网络配置，都是未持久化的，主机重启即消失。

Linux 具有强大的虚拟网络能力，这也是 openstack 网络、docker 容器网络以及 kubernetes 网络等虚拟网络的基础。

文中的命令均在 macOS Big Sure 和 openSUSE Tumbleweed 上测试通过

socat & netcat

netcat(network cat) 是一个历史悠久的网络工具包，被称作 TCP/IP 的瑞士军刀，各大 Linux 发行版都有默认安装 openbsd 版本的 netcat，它的命令行名称为 nc.

本文可能充斥着学生型思维，请谨慎阅读…

年轻真好

最近看了些前辈们的博客，很多是在计算机行业工作几十年的前辈，还有许嵩的文章。

我更深刻地认识到了一件事：我当下的很多文章，都能看得出我在很认真的思考、总结，但是总是有很明显的稚嫩的感觉在里面——我自认为这是「学生型思维」。

2022-02-09 更新：2022 年再回看这篇文章，明显感觉到我的进步很大很大，不论是工作文化与环境、薪资、吃喝玩乐、还是接触到的线上环境规模都有了质的变化，详情见2021 年总结。目前对自己的认知更清晰了，期待 2022 年我能「更上一层楼」哈哈~

注意：这篇文章并不是一篇入门教程，学习 Argo Workflows 请移步官方文档Argo Documentation

Argo Workflows 是一个云原生工作流引擎，专注于编排并行任务。它的特点如下：

Vault 是 hashicorp 推出的 secrets 管理、加密即服务与权限管理工具。它的功能简介如下：

1. secrets 管理：支持保存各种自定义信息、自动生成各类密钥，vault 自动生成的密钥还能自动轮转(rotate)
2. 认证方式：支持接入各大云厂商的账号体系（比如阿里云RAM子账号体系）或者 LDAP 等进行身份验证，不需要创建额外的账号体系。
3. 权限管理：通过 policy，可以设定非常细致的 ACL 权限。
4. 密钥引擎：也支持接管各大云厂商的账号体系（比如阿里云RAM子账号体系），实现 API Key 的自动轮转。
5. 支持接入 kubernetes rbac 认证体系，通过 serviceaccount+role 为每个 Pod 单独配置认证角色。

• 支持通过 sidecar/init-container 将 secrets 注入到 pod 中，或者通过 k8s operator 将 vault 数据同步到 k8s secrets 中

在使用 Vault 之前，我们是以携程开源的 Apollo 作为微服务的分布式配置中心。