三、浏览器网络层:登录请求封装与传输准备(第76-130步)
1. 浏览器主线程提取表单中的用户名;
2. 提取表单中的密码;
3. 对密码进行初步前端加密(MD5);
4. 构建登录请求参数对象;
5. 确定请求目标域名(如login.example.com);
6. 浏览器DNS客户端初始化;
7. 检查浏览器DNS缓存(如Chrome://net-internals/#dns);
8. 检查操作系统DNS缓存(Linux执行getaddrinfo(),读取/etc/resolv.conf);
9. 若缓存无目标域名或已过期,发起DNS查询请求;
10. 浏览器网络线程创建UDP套接字(SOCK_DGRAM);
11. DNS查询报文构建(含域名、查询类型A);
12. 同时发起AAAA记录查询(IPv6),执行Happy Eyeballs算法;
13. DNS请求发送至配置的DNS服务器(53端口,如114.114.114.114);
14. 本地路由器接收到UDP报文,进行NAT转换(源IP转为私有IP+随机端口);
15. DNS请求经过本地交换机、光猫(光电信号转换);
16. 通过PPPoE获取的公网IP发送到ISP;
17. ISP核心路由器根据BGP路由表路由到阿里云POP点;
18. 本地DNS服务器接收请求;
19. 本地DNS查询自身缓存;
20. 缓存无结果则向根服务器查询;
21. 根服务器返回顶级域服务器地址;
22. 本地DNS向顶级域服务器查询;
23. 顶级域服务器返回权威服务器地址;
24. 本地DNS向权威服务器查询;
25. 权威服务器返回目标域名公网IP(如203.0.113.45,阿里云SLB);
26. DNS响应报文沿原路返回;
27. 浏览器网络线程收到DNS响应,解析出IPv4地址;
28. 缓存到浏览器DNS缓存(TTL=300秒);
29. 缓存到操作系统DNS缓存;
30. 浏览器准备建立TCP连接,创建ClientSocket对象;
31. 调用socket(AF_INET, SOCK_STREAM, 0)创建TCP套接字;
32. 设置Socket选项(TCP_NODELAY禁用Nagle算法、SO_KEEPALIVE);
33. 设定TCP端口为443(HTTPS);
34. 调用connect()发起TCP三次握手;
35. 内核构建SYN报文(seq=rand(),win=64240);
36. 报文经过TCP→IP→Ethernet封装;
37. 网卡驱动将报文封装为以太网帧(src_mac=电脑MAC,dst_mac=路由器MAC);
38. 浏览器向阿里云SLB发送SYN包;
39. SLB返回SYN+ACK包;
40. 浏览器接收SYN+ACK包;
41. 浏览器发送ACK包;
42. TCP三次握手完成,连接建立(状态ESTABLISHED);
43. 浏览器发起TLS握手,发送Client Hello消息;
44. 消息包含TLS 1.3版本、加密套件列表、SNI扩展(www.example.com);
45. SLB返回Server Hello消息,选择加密套件(如TLS_AES_256_GCM_SHA384);
46. SLB向浏览器发送SSL证书链(服务器证书+中间CA证书);
47. 浏览器接收证书并提取公钥;
48. 校验证书颁发机构、有效期、域名匹配性;
49. 校验证书签名(使用内置根CA公钥);
50. 证书校验通过,浏览器生成预主密钥;
51. 用服务器公钥加密预主密钥;
52. 向SLB发送Client Key Exchange消息;
53. SLB用私钥解密获取预主密钥;
54. 双方基于预主密钥生成会话密钥;
55. 浏览器发送Change Cipher Spec消息;
56. SLB发送Change Cipher Spec消息;
57. TLS握手完成,后续数据使用会话密钥对称加密;
58. 浏览器构建HTTP请求行(POST /login);
59. 设置请求头(Host、Content-Type: application/json等);
60. 序列化请求参数为JSON格式;
61. 计算请求体长度并补充Content-Length头;
62. 整合请求行、请求头、请求体为完整HTTP报文;
63. 浏览器用会话密钥加密HTTP报文;
64. 加密数据封装为TLS记录;
65. TCP对TLS记录分段并添加序号与校验和;
66. 第一个TCP数据段发送至SLB;
67. 接收SLB ACK确认;
68. 后续TCP段依次发送,公网加密传输准备完成;
四、公网传输层:请求跨运营商传输至阿里云入口(第131-160步)
1. 本地路由器接收主机发送的加密TCP段;
2. 路由器解析TCP段中的目标IP;
3. 查询路由表确定转发路径;
4. 标记数据出口端口;
5. 路由器转发数据至宽带猫;
6. 宽带猫识别数据为上网请求;
7. 启动PPPoE协议封装;
8. 向运营商DSLAM设备发送拨号请求;
9. DSLAM接收拨号请求;
10. 转发至运营商BRAS设备;
11. BRAS验证宽带账号密码;
12. 验证通过建立PPPoE会话;
13. 分配临时公网IP(如120.230.45.78);
14. 加密数据通过PPPoE会话传输;
15. 接入本地运营商骨干网;
16. 骨干网路由器解析目标IP;
17. 确定目标IP归属阿里云公网;
18. 选择跨运营商传输链路(若需);
19. 加密数据在骨干网中转发;
20. 经过运营商核心交换机;
21. 抵达阿里云公网边缘节点;
22. 边缘节点接收加密数据;
23. 校验数据完整性;
24. 解析PPPoE封装头部;
25. 剥离PPPoE头部获取加密TCP段;
26. 边缘节点确认目标IP为阿里云SLB;
27. 转发加密数据至阿里云内部骨干网入口;
28. 公网传输链路状态确认;
29. 加密数据成功进入阿里云网络范围;
五、阿里云网络层:请求云内接入与初步调度(第161-190步)
1. 阿里云公网网关接收加密数据;
2. 解析TCP段中的目标端口(443);
3. 触发网络ACL规则校验;
4. 匹配ACL规则(放行443端口入方向);
5. 数据转发至安全组;
6. 安全组校验客户端IP合法性;
7. 确认客户端IP在允许访问列表;
8. 安全组放行数据;
9. 加密数据抵达SLB负载均衡设备;
10. SLB接收加密TCP段;
11. 重组TCP段为完整TLS记录;
12. SLB用私钥解密TLS记录,获取明文HTTP请求;
13. SLB初始化负载均衡算法(如加权轮询);
14. 读取后端服务器健康检查状态;
15. 过滤不健康的网关节点;
16. 用轮询算法选择目标网关节点;
17. 构建SLB转发表项;
18. 标记请求来源信息;
19. 转发明文请求至选中的网关节点;
20. 网关节点接收明文请求;
21. 确认请求格式符合要求;
22. SLB返回转发成功确认;
23. 阿里云网络层记录请求轨迹;
24. 设定请求超时监控;
25. 确认云内网络链路通畅;
26. 网关节点准备接收后续数据;
27. 阿里云公网网关更新转发状态;
28. 安全组记录访问日志;
29. 网络ACL更新流量统计;
30. 阿里云网络层调度完成(内网明文传输启动);
31. 明文请求进入阿里云VPC;
32. 数据转发至DMZ区边界;
33. 边界防火墙启动规则校验;
34. 校验请求目标为网关服务;
35. 确认DMZ区仅允许访问网关;
36. 防火墙放行请求;
37. 明文请求进入K8S集群网络;
38. 经过K8S节点网络接口;
39. 节点内核网络模块接收数据;
40. 被iptables规则拦截(匹配KUBE-NODEPORTS链);
41. 进行DNAT转换,目标地址改为Pod IP(如10.244.1.15:8080);
42. Calico网络插件检测到数据;
43. Calico解析请求中的目标Service IP;
44. 查询Service与Pod的映射关系;
45. 构建Calico网络转发规则;
46. 标记请求所属命名空间;
47. 确认命名空间隔离策略;
48. 明文数据通过Calico网络转发至目标网关Pod;
六、云服务器网络结构层:云内隔离与K8S调度(第221-260步)
1. 网关Pod的eth0接口(veth pair一端)接收数据;
2. 数据进入Pod的网络命名空间(Network Namespace);
3. Pod内Linux内核网络栈处理数据;
4. 检查Pod网络状态正常;
5. K8S Service记录转发日志;
6. Calico更新网络流量统计;
7. 边界防火墙记录DMZ区访问日志;
8. 确认云内网络隔离有效;
9. 网关Pod准备处理明文请求;
10. K8S节点监控转发状态;
11. 确认请求未跨命名空间违规访问;
12. 云内网络转发链路锁定;
13. 网关Pod的容器网络接收明文数据;
14. 容器内网络栈初始化处理;
15. 明文数据从容器网络进入应用层;
16. K8S调度层完成转发;
17. 记录Pod访问轨迹;
18. 校验Pod资源可用状态;
19. 确认请求到达正确的网关实例;
20. 云服务器网络结构层流程结束;
21. 移交控制权至网关应用;
22. 释放云内网络转发临时资源;
23. 网关应用准备解析明文请求;
(未完待续)