开始探索 kubectl、容器、吊舱等，接着下载我们的免费的速查表，这样你就可以随时掌握关键的命令了。

云计算主要是在 Kubernetes 上运行，Kubernetes 主要是在 Linux 上运行，而 Linux 在有熟练的系统管理员控制时运行得最好。无论你认为自己是云计算架构师还是只是一个保守的系统管理员，现代互联网都需要了解如何在容器中创建应用和服务，按需扩展，按需扩展以及如何明智地进行监视和管理。

进入勇敢的容器世界的第一步是学习 Kubernetes 和它的基本命令：kubectl。

安装 kubectl

kubectl 命令允许你在 Kubernetes 集群上运行命令。你使用 kubectl 来部署应用、查看日志、检查和管理集群资源，并在出现问题时进行故障排除。kubectl（以及整个 Kubernetes）的典型“问题”是，要对集群运行命令，你首先需要一个集群。然而，有一些简单的解决方案。

首先，你可以创建自己的 Kubernetes 集群，只需买三块树莓派板和相关外围设备（主要是电源）。当你获得了硬件，阅读 Chris Collins 的 使用树莓派构建 Kubernetes 集群，你就会拥有自己的安装有 kubectl 的集群。

另一种获得集群的方法是使用 Minikube，这是一个 Kubernetes 的实践环境。在所有建立和运行集群的方法中，这是最简单的。

还有更多的选择；例如，你可以参加一个关于 Kubernetes 的课程，以获得一个运行集群的实验室，或者你可以在云上购买时间。只要你有一个 Kubernetes 环境来练习，如何获得集群并不重要。

当你你能访问一个集群，你就可以开始探索 kubectl 命令。

了解吊舱和容器

容器是一个轻量级的、部分的 Linux 系统，专门用于运行一个应用或服务。容器受到 内核命名空间 的限制，这使它能够访问其主机（运行容器的计算机）上的重要系统组件，同时防止它向其主机发送数据。容器以容器镜像（或简称 镜像）的形式保存，并由称为 Containerfile 或 Dockerfile 的文本文件定义。

吊舱 Pod 是容器的正式集合，也是管理员扩展、监控和维护任何数量的容器的一种简单方法。

这些一起就像 Kubernetes 的“应用程序”。创建或获取容器镜像是你在云上运行服务的方式。

运行一个吊舱

容器镜像的两个可靠的仓库是 Docker Hub 和 Quay。你可以在仓库中搜索可用的镜像列表。通常有由项目提供的大型项目的官方镜像，也有专门的、定制的或特殊项目的社区镜像。最简单和最小的镜像之一是 BusyBox 容器，它提供了一个最小的 shell 环境和一些常用命令。

无论你是从仓库中拉取镜像，还是自己编写镜像定义并从 Git 仓库中拉取到集群中，其工作流程都是一样的。当你想在 Kubernetes 中启动一个吊舱时：

1. 在 Docker Hub 或 Quay 上找到一个你想使用的镜像
2. 拉取镜像
3. 创建一个吊舱
4. 部署吊舱

以 BusyBox 容器为例子，你可以用一条命令完成最后三个步骤：

$ kubectl create deployment my-busybox --image=busybox

等待 kubectl 完成这个过程，最后你就有了一个正在运行的 BusyBox 实例。这个吊舱并没有暴露给其他人。它只是在后台安静地在你的集群上运行。

要看你的集群上有哪些吊舱在运行：

$ kubectl get pods --all-namespaces

你也可以获得关于吊舱部署的信息：

$ kubectl describe deployment my-busybox

与吊舱互动

容器通常包含使其自动化的配置文件。例如，将 Nginx httpd 服务器作为容器安装，应该不需要你的互动。你开始运行容器，它就会工作。对于你添加到吊舱中的第一个容器和之后的每个容器都是如此。

Kubernetes 模型的优点之一是，你可以根据需要扩展你的服务。如果你的网络服务被意外的流量淹没，你可以在你的云中启动一个相同的容器（使用 scale 或 autoscale 子命令），使你的服务处理传入请求的能力增加一倍。

即便如此，有时还是很高兴看到一些证明吊舱正在按预期运行的证据，或者能够对似乎无法正常运行的某些问题进行故障排除。为此，你可以在一个容器中运行任意的命令：

$ kubectl exec my-busybox -- echo "hello cloud"

另外，你可以在你的容器中打开一个 shell，用管道将你的标准输入输入到其中，并将其输出到终端的标准输出：

$ kubectl exec --stdin --tty my-busybox -- /bin/sh

暴露服务

默认情况下，吊舱在创建时不会暴露给外界，这样你就有时间在上线前进行测试和验证。假设你想把 Nginx Web 服务器作为一个吊舱安装和部署在你的集群上，并使其可以访问。与任何服务一样，你必须将你的吊舱指向服务器上的一个端口。kubectl 子命令 expose 可以为你做到这点：

$ kubectl create deployment \
  my-nginx --image=nginx
$ kubectl expose deployment \
  my-nginx --type=LoadBalancer --port=8080

只要你的集群可以从互联网上访问，你就可以通过打开浏览器并导航到你的公共 IP 地址来测试你的新 Web 服务器的可访问性。

不仅仅是吊舱

Kubernetes 提供了很多东西，而不仅仅是存储普通服务的镜像。除了作为一个 容器编排 系统，它还是一个云开发的平台。你可以编写和部署应用，管理和监控性能和流量，实施智能负载平衡策略等。

Kubernetes 是一个强大的系统，它已经迅速成为各种云的基础，最主要的是 开放混合云。今天就开始学习 Kubernetes 吧。随着你对 Kubernetes 的进一步了解，你会需要一些关于其主要概念和一般语法的快速提醒，所以 下载我们的 Kubernetes 速查表 并将它放在身边。

via: https://opensource.com/article/21/5/kubernetes-cheat-sheet

作者：Seth Kenlon 选题：lujun9972 译者：geekpi 校对：wxy

本文由 LCTT 原创编译，Linux中国 荣誉推出

学习基本的 GNU Screen 终端复用技术，然后下载我们的终端命令备忘录，以便你能够熟悉常用的快捷方式。

对于一般用户而言，命令行终端窗口可能是令人困惑和神秘的。但随着你对 Linux 终端的进一步了解，你很快就会意识到它的高效和强大。不过，也不需要很长时间，你就会想让终端变得更加高效，除了将更多的终端放到你的终端，还有什么高好的方法能够提升你的终端效率呢？

终端复用

终端的许多优点之一是它是一个集中控制的界面。它是一个能让你访问数百个应用程序的窗口，而你与每一个应用程序进行交互所需要的只是一个键盘。但是，现代计算机几乎总是有多余的处理能力，而且现代计算机专家喜欢多任务处理，导致一个窗口处理数百个应用程序的能力是相当有限的。

解决这一问题的常见答案是终端复用：即将虚拟终端叠放在一起，然后在它们之间移动的能力。通过终端复用器，你保持了集中控制，但是当你进行多任务时，你能够进行终端切换。更好的是，你能够在终端中拆分屏幕，使得在同一时间显示多个屏幕窗口。

选择合适的复用器

一些终端提供类似的功能，有标签式界面和分割式视图，但也有细微的差别。首先，这些终端的功能依赖于图形化的桌面环境。其次，许多图形化的终端功能需要鼠标交互或使用不方便的键盘快捷键。终端复用器的功能在文本控制台上和在图形桌面上一样好用，而且键位绑定是针对常见的终端序列设计的，很方便。

现有两种流行的复用器：tmux 和 GNU Screen。尽管你与它们互动的方式略有不同，但它们做同样的事情，而且大多具有相同的功能。这篇文章是 GNU Screen 的入门指南。关于 tmux 的相关介绍，请阅读 Kevin Sonney 的 tmux 介绍。

使用 GNU Screen

GNU Screen 的基本用法很简单，通过 screen 命令启动，你将进入 Screen 会话的第 0 个窗口。在你决定需要一个新的终端提示符前，你可能很难注意到有什么变化。

当一个终端窗口被某项活动占用（比如，你启动了文本编辑器 Vim 或 Jove 或者你在处理音视频，或运行批处理任务），你可以新建一个窗口。要打开一个新的窗口，按 Ctrl+A，释放，然后按 c。这将在你现有窗口的基础上创建一个新的窗口。

你会知道当前你是在一个新的窗口中，因为你的终端除了默认的提示符外，似乎没有任何东西。当然，你的另一个终端仍然存在，它只是躲在新窗口的后面。要遍历打开的窗口，按 Ctrl+A，释放，然后按 n（表示下一个）或按 p（表示上一个）。在只打开两个窗口的情况下， n 和 p 的功能是一样的，但你可以随时打开更多的窗口（Ctrl+A，然后 c ），并在它们之间切换。

分屏

GNU Screen 的默认行为更像移动设备的屏幕，而不是桌面：你一次只能看到一个窗口。如果你因为喜欢多任务而使用 GNU Screen ，那么只关注一个窗口可能看起来是一种退步。幸运的是，GNU Screen 可以让你把终端分成窗口中的窗口。

要创建一个水平分割窗口，按 Ctrl+A，然后按 s 。这将把一个窗口置于另一个窗口之上，就像窗格一样。然而，在你告诉它要显示什么之前，分割的空间是没有用途的。因此，在创建一个分割窗后，你可以用 Ctrl+A ，然后用 Tab 移动到分割窗中。一旦进入，使用 Ctrl+A 然后 n 浏览所有可用的窗口，直到你想显示的内容出现在分割窗格中。

你也可以按 Ctrl+A 然后按 | （这是一个管道字符，在大多数键盘上通过按下 shift 键加上 \）创建垂直分割窗口。

自定义 GNU Screen

GNU Screen 使用基于 Ctrl+A 的快捷键。根据你的习惯，这可能会让你感觉非常自然，也可能非常不方便，因为你可能会用 Ctrl+A 来移动到一行的开头。无论怎样，GNU Screen 允许通过 .screenrc 配置文件进行各种定制。你可以用这个来改变触发键的绑定（称为 “转义” 键绑定）。

escape ^jJ

你还可以添加一个状态行，以帮助你在 Screen 会话中保持自己不迷失。

# status bar, with current window highlighted
hardstatus alwayslastline
hardstatus string '%{= kG}[%{G}%H%? %1`%?%{g}][%= %{= kw}%-w%{+b yk} %n*%t%?(%u)%? %{-}%+w %=%{g}][%{B}%m/%d %{W}%C%A%{g}]'

# enable 256 colors
attrcolor b ".I"
termcapinfo xterm 'Co#256:AB=\E[48;5;%dm:AF=\E[38;5;%dm'
defbce on

在有多个窗口打开的会话中，有一个时刻提醒哪些窗口具有焦点活动，哪些窗口有后台活动的提醒器特别有用。它类似一种终端的任务管理器。

下载备忘单

当你学习 GNU Screen 的使用方法时，需要记住很多新的键盘命令。有些命令你马上就能记住，但那些你不常使用的命令可能就很难记住了。你可以按 Ctrl+A 然后再按 ? 来访问 GNU Screen 的帮助界面，但如果你更喜欢一些可以打印出来并放在键盘边的东西，请 下载我们的 GNU Screen 备忘单。

学习 GNU Screen 是提高你使用你最喜欢的 终端模拟器 的效率和敏捷性的一个好方法。请试一试吧！

via: https://opensource.com/article/21/4/gnu-screen-cheat-sheet

作者：Seth Kenlon 选题：lujun9972 译者：ddl-hust 校对：wxy

本文由LCTT 原创编译，Linux 中国荣誉推出

Telnet 缺乏加密，这使得 OpenSSL 成为连接远程系统的更安全的选择。

telnet 命令是最受欢迎的网络故障排除工具之一，从系统管理员到网络爱好者都可以使用。在网络计算的早期，telnet 被用来连接到一个远程系统。你可以用 telnet 访问一个远程系统的端口，登录并在该主机上运行命令。

由于 telnet 缺乏加密功能，它在很大程度上已经被 OpenSSL 取代了这项工作。然而，作为一种智能的 ping，telnet 的作用仍然存在（甚至在某些情况下至今仍然存在）。虽然 ping 命令是一个探测主机响应的好方法，但这是它能做的 全部。另一方面，telnet 不仅可以确认一个活动端口，而且还可以与该端口的服务进行交互。即便如此，由于大多数现代网络服务都是加密的，telnet 的作用可能要小得多，这取决于你想实现什么。

OpenSSL s\_client

对于大多数曾经需要 telnet 的任务，我现在使用 OpenSSL 的 s_client 命令。（我在一些任务中使用 curl，但那些情况下我可能无论如何也不会使用 telnet）。大多数人都知道 OpenSSL 是一个加密的库和框架，但不是所有人都意识到它也是一个命令。openssl 命令的 s_client 组件实现了一个通用的 SSL 或 TLS 客户端，帮助你使用 SSL 或 TLS 连接到远程主机。它是用来测试的，至少在内部使用与该库相同的功能。

安装 OpenSSL

OpenSSL 可能已经安装在你的 Linux 系统上了。如果没有，你可以用你的发行版的软件包管理器安装它：

$ sudo dnf install openssl

在 Debian 或类似的系统上：

$ sudo apt install openssl

安装后，验证它的响应是否符合预期：

$ openssl version
OpenSSL x.y.z FIPS

验证端口访问

最基本的 telnet 用法是一个看起来像这样的任务：

$ telnet mail.example.com 25
Trying 98.76.54.32...
Connected to example.com.
Escape character is '^]'.

在此示例中，这将与正在端口 25（可能是邮件服务器）监听的任意服务打开一个交互式会话。只要你获得访问权限，就可以与该服务进行通信。

如果端口 25 无法访问，连接就会被拒绝。

OpenSSL 也是类似的，尽管通常较少互动。要验证对一个端口的访问：

$ openssl s_client -connect example.com:80
CONNECTED(00000003)
140306897352512:error:1408F10B:SSL [...]

no peer certificate available

No client certificate CA names sent

SSL handshake has read 5 bytes and written 309 bytes
Verification: OK

New, (NONE), Cipher is (NONE)
Secure Renegotiation IS NOT supported
Compression: NONE
Expansion: NONE
No ALPN negotiated
Early data was not sent
Verify return code: 0 (ok)

但是，这仅是目标性 ping。从输出中可以看出，没有交换 SSL 证书，所以连接立即终止。为了充分利用 openssl s_client，你必须连接加密的端口。

交互式 OpenSSL

Web 浏览器和 Web 服务器进行交互，可以使指向 80 端口的流量实际上被转发到 443，这是保留给加密 HTTP 流量的端口。知道了这一点，你就可以用 openssl 命令连接到加密的端口，并与在其上运行的任何网络服务进行交互。

首先，使用 SSL 连接到一个端口。使用 -showcerts 选项会使 SSL 证书打印到你的终端上，一开始的输出要比 telnet 要冗长得多：

$ openssl s_client -connect example.com:443 -showcerts
[...]
    0080 - 52 cd bd 95 3d 8a 1e 2d-3f 84 a0 e3 7a c0 8d 87   R...=..-?...z...
    0090 - 62 d0 ae d5 95 8d 82 11-01 bc 97 97 cd 8a 30 c1   b.............0.
    00a0 - 54 78 5c ad 62 5b 77 b9-a6 35 97 67 65 f5 9b 22   Tx\\.b[w..5.ge.."
    00b0 - 18 8a 6a 94 a4 d9 7e 2f-f5 33 e8 8a b7 82 bd 94   ..j...~/.3......

    Start Time: 1619661100
    Timeout   : 7200 (sec)
    Verify return code: 0 (ok)
    Extended master secret: no
    Max Early Data: 0
-
read R BLOCK

你被留在一个交互式会话中。最终，这个会话将关闭，但如果你及时行动，你可以向服务器发送 HTTP 信号：

[...]
GET / HTTP/1.1
HOST: example.com

按回车键两次，你会收到 example.com/index.html 的数据：

[...]
<body>
<div>
    <h1>Example Domain</h1>
    <p>This domain is for use in illustrative examples in documents. You may use this
    domain in literature without prior coordination or asking for permission.</p>
    <p><a href="https://www.iana.org/domains/example">More information...</a></p>
</div>
</body>
</html>

Email 服务器

你也可以使用 OpenSSL 的 s_client 来测试一个加密的 Email 服务器。要做到这点，你必须把你的测试用户的用户名和密码用 Base64 编码。

这里有一个简单的方法来做到：

$ perl -MMIME::Base64 -e 'print encode_base64("username");'
$ perl -MMIME::Base64 -e 'print encode_base64("password");'

当你记录了这些值，你就可以通过 SSL 连接到邮件服务器，它通常在 587 端口：

$ openssl s_client -starttls smtp \
-connect email.example.com:587
> ehlo example.com
> auth login
##paste your user base64 string here##
##paste your password base64 string here##

> mail from: [email protected]
> rcpt to: [email protected]
> data
> Subject: Test 001
This is a test email.
.
> quit

检查你的邮件（在这个示例代码中，是 [email protected]），查看来自 [email protected] 的测试邮件。

OpenSSL 还是 Telnet？

telnet 仍然有用途，但它已经不是以前那种不可缺少的工具了。该命令在许多发行版上被归入 “遗留” 网络软件包，而且还没有 telnet-ng 之类的明显的继任者，管理员有时会对它被排除在默认安装之外感到疑惑。答案是，它不再是必不可少的，它的作用越来越小，这 很好。网络安全很重要，所以要适应与加密接口互动的工具，这样你就不必在排除故障时禁用你的保护措施。

via: https://opensource.com/article/21/5/drop-telnet-openssl

作者：Seth Kenlon 选题：lujun9972 译者：geekpi 校对：wxy

本文由 LCTT 原创编译，Linux中国 荣誉推出

了解网络是如何工作的，以及使用开源工具进行网络性能调优的一些窍门。

大多数人每一天至少会接触到两种类型的网络。当你打开计算机或者移动设备，设备连接到本地 WiFi，本地 WiFi 然后连接到所谓“互联网”的互联网络。

但是网络实际上是如何工作的？你的设备如何能够找到互联网、共享打印机或文件共享？这些东西如何知道响应你的设备？系统管理员用什么措施来优化网络的性能？

开源思想在网络技术领域根深蒂固，因此任何想更多了解网络的人，可以免费获得网络相关的资源。本文介绍了使用开源技术的网络管理相关的基础知识。

网络是什么？

计算机网络是由两台或者多台计算机组成的、互相通信的集合。为了使得网络能够工作，网络上一台计算机必须能够找到其他计算机，且通信必须能够从一台计算机到达另外一台。为了解决这一需求，开发和定义了两种不同的通信协议：TCP 和 IP。

用于传输的 TCP 协议

为了使得计算机之间能够通信，它们之间必须有一种传输信息的手段。人说话产生的声音是通过声波来传递的，计算机是通过以太网电缆、无线电波或微波传输的数字信号进行通信的。这方面的规范被正式定义为 TCP 协议。

用于寻址的 IP 协议

计算机必须有一些识别手段才能相互寻址。当人类相互称呼时，我们使用名字和代名词。当计算机相互寻址时，它们使用 IP 地址，如 192.168.0.1，IP 地址可以被映射到名称上，如“Laptop”、“Desktop”、“Tux” 或 “Penguin”。这方面的规范被定义为 IP 协议。

最小配置设置

最简单的网络是一个两台计算机的网络，使用称为“交叉电缆”的特殊布线方式的以太网电缆。交叉电缆将来自一台计算机的信号连接并传输到另一台计算机上的适当受体。还有一些交叉适配器可以将标准的以太网转换为交叉电缆。

由于在这两台计算机之间没有路由器，所有的网络管理都必须在每台机器上手动完成，因此这是一个很好的网络基础知识的入门练习。

用一根交叉电缆，你可以把两台计算机连接在一起。因为这两台计算机是直接连接的，没有网络控制器提供指导，所以这两台计算机都不用做什么创建网络或加入网络的事情。通常情况下，这项任务会由交换机和 DHCP 服务器或路由器来提示，但在这个简单的网络设置中，这一切都由你负责。

要创建一个网络，你必须先为每台计算机分配一个 IP 地址，为自行分配而保留的地址从 169.254 开始，这是一个约定俗成的方式，提醒你本 IP 段是一个闭环系统。

找寻网络接口

首先，你必须知道你正在使用什么网络接口。以太网端口通常用 “eth” 加上一个从 0 开始的数字来指定，但有些设备用不同的术语来表示接口。你可以用 ip 命令来查询计算机上的接口：

$ ip address show
1: lo: <LOOPBACK,UP,LOWER_UP> mtu 65536 ...
    link/loopback 00:00:00:00:00:00 brd ...
    inet 127.0.0.1/8 scope host lo
       valid_lft forever preferred_lft forever
    inet6 ::1/128 scope host
       valid_lft forever preferred_lft forever
2: eth0: <BROADCAST,MULTICAST,UP,LOWER_UP> ...
    link/ether dc:a6:32:be:a3:e1 brd ...
3: wlan0: <BROADCAST,MULTICAST> ...
    link/ether dc:a6:32:be:a3:e2 brd ...

在这个例子中，eth0 是正确的接口名称。然而，在某些情况下，你会看到 en0 或 enp0s1 或类似的东西，所以在使用设备名称之前，一定要先检查它。

分配 IP 地址

通常情况下，IP 地址是从路由器获得的，路由器在网络上广播提供地址。当一台计算机连接到一个网络时，它请求一个地址。路由器通过介质访问控制（MAC）地址识别设备（注意这个 MAC 与苹果 Mac 电脑无关），并被分配 IP 地址。这就是计算机在网络上找到彼此的方式。

在本文的简单网络中，没有路由器来分配 IP 地址及注册设备，因此我们需要手动分配 IP 地址，使用 ip 命令来给计算机分配 IP 地址：

$ sudo ip address add 169.254.0.1 dev eth0

给另外一台计算机分配 IP 地址，将 IP 地址增 1：

$ sudo ip address add 169.254.0.2 dev eth0

现在计算机有了交叉电缆作为通信介质，有了独一无二的 IP 地址用来识别身份。但是这个网络还缺少一个重要成分：计算机不知道自己是网络的一部分。

设置路由

路由器另外的一个功能是设置从一个地方到另一个地方的网络路径，称作路由表，路由表可以简单的看作网络的城市地图。

虽然现在我们还没有设置路由表，但是我们可以通过 route 命令来查看路由表：

$ route
Kernel IP routing table
Destination | Gateway | Genmask | Flags|Metric|Ref | Use | Iface
$

同样，你可以通过 ip 命令来查看路由表：

$ ip route
$

通过 ip 命令添加一条路由信息：

$ sudo ip route \
  add 169.254.0.0/24 \
  dev eth0 \
  proto static

这条命令为 eth0 接口添加一个地址范围（从 169.254.0.0 开始到 169.254.0.255 结束）的路由。它将路由协议设置为“静态”，表示作为管理员的你创建了这个路由，作为对该范围内的任何动态路由进行覆盖。

通过 route 命令来查询路由表：

$ route
Kernel IP routing table
Destination | Gateway | Genmask       | ... | Iface
link-local  | 0.0.0.0 | 255.255.255.0 | ... | eth0

或者使用ip命令从不同角度来查询路由表：

$ ip route
169.254.0.0/24 dev eth0 proto static scope link

探测相邻网络

现在，你的网络有了传输方式、寻址方法以及网络路由。你可以联系到你的计算机以外的主机。向另一台计算机发送的最简单的信息是一个 “呯”，这也是产生该信息的命令的名称（ping）。

$ ping -c1 169.254.0.2
64 bytes from 169.254.0.2: icmp_seq=1 ttl=64 time=0.233 ms

--- 169.254.0.2 ping statistics ---
1 packets transmitted, 1 received, 0% packet loss, time 0ms
rtt min/avg/max/mdev = 0.244/0.244/0.244/0.000 ms

你可以通过下面的命令看到与你交互的邻居：

$ ip neighbour
169.254.0.2 dev eth0 lladdr e8:6a:64:ac:ef:7c STALE

通过交换机扩展你的网络

只需要双节点的网络并不多。为了解决这个问题，人们开发了特殊的硬件，称为网络“交换机”。网络交换机允许你将几条以太网电缆连接到它上面，它将消息不加区分地从发送消息的计算机分发到交换机上所有监听的计算机。除了拥有与预期接收者相匹配的 IP 地址的计算机外，其他所有计算机都会忽略该信息。这使得网络变得相对嘈杂，但这是物理上，将一组计算机连接在一起的简单方法。

在大多数现代家庭网络中，用于物理电缆的物理交换机并不实用。所以 WiFi 接入点代替了物理交换机。WiFi 接入点的功能与交换机相同：它允许许多计算机连接到它并在它们之间传递信息。

接入互联网不仅仅是一种期望，它通常是家庭网络存在的原因。没有接入互联网的交换机或 WiFi 接入点不是很有用，但要将你的网络连接到另一个网络，你需要一个路由器。

添加路由器

实际上，本地网络连接了许多设备，并且越来越多的设备具备联网能力，使得网络的规模呈数量级级别增长。

手动配置网络是不切实际的，因此这些任务分配给网络中特定的节点来处理，网络中每台计算机运行一个后台守护进程，以填充从网络上的权威服务器收到的网络设置。家庭网络中，这些工作通常被整合到一个小型嵌入式设备中，通常由你的互联网服务提供商（ISP）提供，称为路由器（人们有时错误地将其称为调制解调器）。在一个大型网络中，每项工作通常被分配到一个单独的专用服务器上，以确保专用服务器能够专注于自己的工作以及保证工作弹性。这些任务包括：

• DHCP 服务器，为加入网络的设备分配和跟踪 IP 地址
• DNS 服务器将诸如域名 redhat.com 转换成 IP 地址 209.132.183.105
• 防火墙 保护你的网络免受不需要的传入流量或被禁止的传出流量
• 路由器有效传输网络流量，作为其他网络（如互联网）的网关，并进行网络地址转换（NAT）

你现在的网络上可能有一个路由器，它可能管理着所有这些任务，甚至可能更多。感谢像 VyOS 这样的项目，现在你可以运行 自己的开源路由器。对于这样一个项目，你应该使用一台专门的计算机，至少有两个网络接口控制器（NIC）：一个连接到你的 ISP，另一个连接到交换机，或者更有可能是一个 WiFi 接入点。

扩大你的知识规模

无论你的网络上有多少设备，或你的网络连接到多少其他网络，其原则仍然与你的双节点网络相同。你需要一种传输方式，一种寻址方案，以及如何路由到网络的知识。

网络知识速查表

了解网络是如何运作的，对管理网络至关重要。除非你了解你的测试结果，否则你无法排除问题，除非你知道哪些命令能够与你的网络设备交互，否则你无法运行测试。对于重要的网络命令的基本用法以及你可以用它们提取什么样的信息，请下载我们最新的网络速查表。

via: https://opensource.com/article/21/4/network-management

作者：Seth Kenlon 选题：lujun9972 译者：ddl-hust 校对：wxy

本文由 LCTT 原创编译，Linux中国 荣誉推出

与《星球大战》一起成长的过程中，我学到了很多关于开源的知识。

让我们先说清楚一件事：在现实生活中，《 星球大战 Star Wars 》特许经营权没有任何开放性（尽管其所有者确实发布了 一些开源代码）。《星球大战》是一个严格控制的资产，没有任何东西是在自由文化许可证下出版的。抛开任何关于 文化形象应该成为伴随它们成长的人们的财产 的争论，本文邀请你走进《星球大战》的世界，想象你是很久以前的一个电脑用户，在一个遥远的星系里……

机器人

“但我还要去 托西站 Tosche Station 弄些电力转换器呢。” —— 卢克•天行者

在 乔治•卢卡斯 George Lucas 拍摄他的第一部《星球大战》电影之前，他导演了一部名为《 美国涂鸦 American Graffiti 》的电影，这是一部以上世纪 60 年代为背景的成长电影。这部电影的部分背景是 改装车 hot-rod 和街头赛车文化，一群机械修理工在车库里花了好几个小时，无休止地改装他们的汽车。今天仍然可以这样做，但大多数汽车爱好者会告诉你，“经典”汽车改装起来容易得多，因为它们主要使用机械部件而不是技术部件，而且它们以一种可预测的方式使用普通部件。

我一直把卢克和他的朋友们看作是对同样怀旧的科幻小说诠释。当然，花哨的新战斗堡垒是高科技，可以摧毁整个星球，但当 防爆门不能正确打开 或监禁层的垃圾压实机开始压扁人时，你会怎么做？如果你没有一个备用的 R2 机器人与主机对接，你就没辙了。卢克对修理和维护“机器人”的热情以及他在修理蒸发器和 X 翼飞机方面的天赋从第一部电影中就可以看出。

看到塔图因星球对待技术的态度，我不禁相信，大多数常用设备都是大众的技术。卢克并没有为 C-3PO 或 R2-D2 签订最终用户许可协议。当他让 C-3PO 在热油浴中放松时，或者当楚巴卡在兰多的云城重新组装他时，并没有使他的保修失效。同样，汉•索罗和楚巴卡从来没有把千年隼带到经销商那里去购买经批准的零件。

我无法证明这都是开源技术。鉴于电影中大量的终端用户维修和定制，我相信在星战世界中，技术是开放的，用户是有拥有和维修的常识的。

加密和隐写术

“帮助我，欧比旺•克诺比。你是我唯一的希望。” —— 莱亚公主

诚然，《星球大战》世界中的数字身份认证很难理解，但如果有一点是明确的，加密和隐写术对叛军的成功至关重要。而当你身处叛军时，你就不能依靠公司的标准，怀疑它们是由你正在斗争的邪恶帝国批准的。当 R2-D2 隐瞒莱娅公主绝望的求救时，它的记忆库中没有任何后门，而叛军在潜入敌方领土时努力获得认证凭证（这是一个旧的口令，但它通过检查了）。

加密不仅仅是一个技术问题。它是一种通信形式，在历史上有这样的例子。当政府试图取缔加密时，就是在努力取缔社区。我想这也是“叛乱”本应抵制的一部分。

光剑

“我看到你已经打造了新的光剑，你的技能现在已经完成了。” —— 达斯•维德

在《帝国反击战》中，天行者卢克失去了他标志性的蓝色光剑，同时他的手也被邪恶霸主达斯•维德砍断。在下一部电影《绝地归来》中，卢克展示了他自己打造的绿色光剑 —— 每一个粉丝都为之着迷。

虽然没有明确说明绝地武士的激光剑的技术规格是开源的，但有一定的暗指。例如，没有迹象表明卢克在制造他的武器之前必须从拥有版权的公司获得设计许可。他没有与一家高科技工厂签订合同来生产他的剑。

他自己打造了它，作为一种成年仪式。也许制造如此强大的武器的方法是绝地武士团所守护的秘密；再者，也许这只是描述开源的另一种方式。我所知道的所有编码知识都是从值得信赖的导师、某些互联网 UP 主、精心撰写的博客文章和技术讲座中学到的。

严密保护的秘密？还是对任何寻求知识的人开放的信息？

根据我在原三部曲中看到的绝地武士秩序，我选择相信后者。

伊沃克文化

“Yub nub！” —— 伊沃克人

恩多的伊沃克人与帝国其他地区的文化形成了鲜明的对比。他们热衷于集体生活、分享饮食和故事到深夜。他们自己制作武器、陷阱和安全防火墙，还有他们自己的树顶村庄。作为象征意义上的弱者，他们不可能摆脱帝国的占领。他们通过咨询礼仪机器人做了研究，汇集了他们的资源，并在关键时刻发挥了作用。当陌生人进入他们的家时，他们并没有拒绝他们。相反，他们帮助他们（在确定他们毕竟不是食物之后）。当他们面对令人恐惧的技术时，他们就参与其中并从中学习。

伊沃克人是《星球大战》世界中开放文化和开源的庆典。他们是我们应该努力的社区：分享信息、分享知识、接受陌生人和进步的技术，以及维护捍卫正义的决心。

原力

“原力将与你同在，永远。” —— 欧比旺•克诺比

在最初的电影中，甚至在新生的衍生宇宙中（最初的衍生宇宙小说，也是我个人的最爱，是《心灵之眼的碎片》，其中卢克从一个叫哈拉的女人那里学到了更多关于原力的知识），原力只是：一种任何人都可以学习使用的力量。它不是一种与生俱来的天赋，而是一门需要掌握的强大学科。

相比之下，邪恶的西斯人对他们的知识是保护性的，只邀请少数人加入他们的行列。他们可能认为自己有一个群体，但这正是看似随意的排他性的模式。

我不知道对开源和开放文化还有什么更好的比喻。永远存在被认为是排他的危险，因为爱好者似乎总是在“人群中”。但现实是，每个人都可以加入这些邀请，而且任何人都可以回到源头（字面意思是源代码或资产）。

愿源与你同在

作为一个社区，我们的任务是要问，我们如何能让人明白，无论我们拥有什么知识，都不是为了成为特权信息，而是一种任何人都可以学习使用的力量，以改善他们的世界。

套用欧比旺•克诺比的不朽名言：“使用源”。

via: https://opensource.com/article/21/5/open-source-star-wars

作者：Seth Kenlon 选题：lujun9972 译者：wxy 校对：wxy

本文由 LCTT 原创编译，Linux中国 荣誉推出

开源技术人员对此深有体会。

Linux 用户几乎都会记得他们第一次发现无需实际安装，就可以用 Linux 引导计算机并在上面运行。当然，许多用户都知道可以引导计算机进入操作系统安装程序，但是 Linux 不同：它根本就不需要安装！你的计算机甚至不需要有一个硬盘。你可以通过一个 U 盘运行 Linux 几个月甚至几 年。

自然，有几种不同的 “ 临场 live ” Linux 发行版可供选择。我们向我们的作者们询问了他们的最爱，他们的回答如下。

1、Puppy Linux

“作为一名前 Puppy Linux 开发者，我对此的看法自然有些偏见，但 Puppy 最初吸引我的地方是：

• 它专注于第三世界国家容易获得的低端和老旧硬件。这为买不起最新的现代系统的贫困地区开放了计算能力
• 它能够在内存中运行，可以利用该能力提供一些有趣的安全优势
• 它在一个单一的 SFS 文件中处理用户文件和会话，使得备份、恢复或移动你现有的桌面/应用/文件到另一个安装中只需一个拷贝命令”

—— JT Pennington

“对我来说，一直就是 Puppy Linux。它启动迅速，支持旧硬件。它的 GUI 很容易就可以说服别人第一次尝试 Linux。” —— Sachin Patil

“Puppy 是真正能在任何机器上运行的临场发行版。我有一台废弃的 microATX 塔式电脑，它的光驱坏了，也没有硬盘（为了数据安全，它已经被拆掉了），而且几乎没有多少内存。我把 Puppy 插入它的 SD 卡插槽，运行了好几年。” —— Seth Kenlon

“我在使用 U 盘上的 Linux 发行版没有太多经验，但我把票投给 Puppy Linux。它很轻巧，非常适用于旧机器。” —— Sergey Zarubin

2、Fedora 和 Red Hat

“我最喜欢的 USB 发行版其实是 Fedora Live USB。它有浏览器、磁盘工具和终端仿真器，所以我可以用它来拯救机器上的数据，或者我可以浏览网页或在需要时用 ssh 进入其他机器做一些工作。所有这些都不需要在 U 盘或在使用中的机器上存储任何数据，不会在受到入侵时被泄露。” —— Steve Morris

“我曾经用过 Puppy 和 DSL。如今，我有两个 U 盘：RHEL7 和 RHEL8。 这两个都被配置为完整的工作环境，能够在 UEFI 和 BIOS 上启动。当我有问题要解决而又面对随机的硬件时，在现实生活中这就是时间的救星。” —— Steven Ellis

3、Porteus

“不久前，我安装了 Porteus 系统每个版本的虚拟机。很有趣，所以有机会我会再试试它们。每当提到微型发行版的话题时，我总是想起我记得的第一个使用的发行版：tomsrtbt。它总是安装适合放在软盘上来设计。我不知道它现在有多大用处，但我想我应该把它也算上。” —— Alan Formy-Duval

“作为一个 Slackware 的长期用户，我很欣赏 Porteus 提供的 Slack 的最新版本和灵活的环境。你可以用运行在内存中的 Porteus 进行引导，这样就不需要把 U 盘连接到你的电脑上，或者你可以从驱动器上运行，这样你就可以保留你的修改。打包应用很容易，而且 Slacker 社区有很多现有的软件包。这是我唯一需要的实时发行版。” —— Seth Kenlon

其它：Knoppix

“我已经有一段时间没有使用过 Knoppix 了，但我曾一度经常使用它来拯救那些被恶意软件破坏的 Windows 电脑。它最初于 2000 年 9 月发布，此后一直在持续开发。它最初是由 Linux 顾问 Klaus Knopper 开发并以他的名字命名的，被设计为临场 CD。我们用它来拯救由于恶意软件和病毒而变得无法访问的 Windows 系统上的用户文件。” —— Don Watkins

“Knoppix 对临场 Linux 影响很大，但它也是对盲人用户使用最方便的发行版之一。它的 ADRIANE 界面 被设计成可以在没有视觉显示器的情况下使用，并且可以处理任何用户可能需要从计算机上获得的所有最常见的任务。” —— Seth Kenlon

选择你的临场 Linux

有很多没有提到的，比如 Slax（一个基于 Debian 的实时发行版）、Tiny Core、Slitaz、Kali（一个以安全为重点的实用程序发行版）、E-live，等等。如果你有一个空闲的 U 盘，请把 Linux 放在上面，在任何时候都可以在任何电脑上使用 Linux！

via: https://opensource.com/article/21/4/usb-drive-linux-distro

作者：Seth Kenlon 选题：lujun9972 译者：geekpi 校对：wxy

本文由 LCTT 原创编译，Linux中国 荣誉推出