前言

• ofputil_flow_mod是一个很重要的结构体，ovs在初始化时添加默认流表项以及使用ovs-ofctl操作ovs的流表项时都涉及到该结构体。
• 本文涉及的代码是截至到2018年6月1日，ovs主干树的代码。

struct ofputil_flow_mod详解

list_node

• 类型 struct ovs_list 描述双向链表节点的结构体。与linux内核的实现基本一样，为了兼容MSVS，初始化部分有所不同。

前言

最近几个月的工作主要是对Open vSwitch的Windows Server版进行功能扩展。在阅读代码过程中，在ovs-vswitchd处理数据平面的请求时，遇到frozen_state字段，今天在阅读Openflow流表转换的代码时，看到关于冻结转换的注释（ofproto-dpif-xflate.c:273 - 378），特此翻译如下。

冻结转换 （Freezing Translation）

在转换的过程中，会遇到需要暂停并设置一个检查点的情况，这样，转换操作可以在以后重新开始。设置checkpoint的过程被称为“freezing”，而重启该操作的过程被称为“thawing”。

什么是流分类器

流分类器保存了任意数量的“规则”，这些规则由一组用于匹配字段或子字段的值和规则的优先级组成。每一个openflow表被实例化为一个流分类器。

流分类器主要的设计目标。首先，给定一组数据报的报头，尽可能快地查找到与之匹配的优先级最高的规则。接下来的一节主要阐述第二个目标。

前言

最近在Windows平台上扩展ovs-vswitchd的功能时，遇到了内存泄漏的问题。查阅windbg的文档，使用UMDH工具解决。特此记录一下。

准备

创建用户空间程序栈跟踪数据库（Create user mode stack trace database）

使用gflags命令设置，命令格式如下：

1

"{EWDK安装目录}\Program Files\Windows Kits\10\Debuggers\x64\gflags" /i ImageName +ust

设置环境变量_NT_SYMBOL_PATH

Windows调试工具（WinDbg, KD, CDB, NTST）通过_NT_SYMBOL_PATH查找程序的符号表。在控制台下设置该变量的语法如下：

1

set _NT_SYMBOL_PATH=c:\myapp\symbols;srv*c:\mycache*https://msdl.microsoft.com/download/symbols

项目需求，编译ovs最新的代码。相关的工具，ovs-vsctl、ovs-dpctl等被安装到/usr/local/bin目录下。安装编译完成后，使用virtmanager启动虚拟机失败。查看syslog发现如下的日志：

1
2
3
4

May  9 18:22:50 liuyao kernel: [ 2450.261787] audit: type=1400 audit(1525861370.039:65): apparmor="DENIED" operation="exec" profile="/usr/sbin/libvirtd" name="/usr/local/bin/ovs-vsctl" pid=7631 comm="libvirtd" requested_mask="x" denied_mask="x" fsuid=0 ouid=0
May  9 18:22:50 liuyao libvirtd[5499]: internal error: Unable to add port fw2_0 to OVS bridge internal
May  9 18:22:50 liuyao kernel: [ 2450.588343] audit: type=1400 audit(1525861370.367:66): apparmor="STATUS" operation="profile_remove" profile="unconfined" name="libvirt-fcb1ae08-94a6-4cc0-bf9c-e561f3b8585f" pid=7641 comm="apparmor_parser"
May  9 18:22:50 liuyao libvirtd[5499]: internal error: Unable to delete port fw2_0 from OVS

上面的信息显示，libvirtd在调用ovs-vsctl命令时被apparmor阻止。默认该权限控制文件为/etc/apparmor.d/usr.sbin.libvirtd。在该文件中添加

1

/usr/local/bin/* PUx,

然后执行下面的命令，虚拟机即可正常启动。

1
2
3
4

sudo  apparmor_parser -R /etc/apparmor.d/usr.sbin.libvirtd
sudo apparmor_parser -R /etc/apparmor.d/usr.lib.libvirt.virt-aa-helper
sudo systemctl stop apparmor
sudo systemctl status apparmor

循环神经网络（Recurrent Neural Networks）

思考问题时，人类不是每一时刻都是从零开始的。当你阅读这篇短文时，对于每一个词的理解都是基于这个词之前的词的含义。你不会把前面看到的丢弃，然后从零开始。你的思考是连贯的。

传统的神经网络无法做到这一点，并且这是它的一个主要的缺点。例如，假如你想清楚地知道在一个电影的每一个片段发生了什么样的事情。现在，还不能确定，传统的神经网络如何能够基于已知的事件推断出将要发生的事件。

循环神经网络致力于解决该问题。这样的网络通过环回链接，保持信息的连贯性。

带环的循环神经网络

在上图中，A是一个神经网络的一部分，输入$x_t$得到输出$h_t$。环回链接控制信息被从网络的一层传递到下一层。

这些环回链接使得循环神经网络看起来有些神秘。但是，如果你更进一步地思考，它与普通的神经网络没有太大的区别。一个循环神经网络可以被认为是一个网络的多个拷贝，每一个把信息传递给下一个。对循环神经网络做循环展开后，它就是下面的样子：

循环展开的循环神经网络

这种链式的本质说明了循环神经网络本质上与序列和链表相关。它天生就是要应用到这样的数据上。

当然，它们也是这样被使用的。在过去的几年中，它们在一些领域，取得了难以置信的成功。这个名单很长，主要包括：语音识别、语言模型和图像自动标题等。如果你想深入了解这方面的讨论，请阅读Andrej Karpathy的精彩博文“The Unreasonable Effectiveness of Recurrent Neural Networks.”。这些例子真的是很神奇。

基本上，这些成功的例子都是使用了“LSTMs”。LSTMs是一个特殊的循环神经网络。在很多方面，它都比标准模型做的要好。在循环神经网络的成功案例几乎都是使用它们实现的。本文将主要讨论这些LSTMs模型。

OpenvSwitch的链接追踪教程

OVS能够与链接跟踪系统共同工作，此时Openflow流表被用于捕获TCP、UDP、ICMP等链接各种状态下的报文。（链接跟踪模块支持跟踪有状态和无状态的协议）。
本文阐述，如何使用OVS的链路跟踪模块捕获从TCP链接建立到断开的报文。本教程是在Linux平台上完成的，数据报处理模块使用的是Linux内核模块。

本文将详细说明Open vSwitch是如何在Microsoft的hyper-v平台上开发的。这些信息将帮助您理解整体的设计。

Note：
用户空间程序也已经被到了Hyper-V平台上并其提交到了openvswitch的代码库中，这是另一个小组完成的。本文着重阐述内核模块的移植，但是会涉及到用户空间程序。

背景（Background Info）

微软在其虚拟化平台 - Hyper-V 上实现了一个可扩展的虚拟交换机。因此，第三方厂商可以在虚拟交换机上开发新的功能。该扩展是通过将NDIS驱动绑定到可扩展虚拟交换机的驱动栈实现的。可扩展的功能包括监视、修改和转发数据报到Hyper-V交换机的端口。总的来说，可扩展的功能包括以下几种类型：

• 捕获式扩展: 监视数据报
• 过滤性扩展: 监视、修改数据报
• 转发式扩展: 监视、修改、转发数据报

显而易见，在Hyper-V平台上，OVS的内核模块（datapath）是一个实现了转发功能的NDIS驱动。

在Hyper-V平台上，虚拟机被称为子工作区（Child Partition）。每一个虚拟网络接口或物理网卡通过一个端口（port）连接到虚拟交换机上。上行路径（ingress path）是指数据报从端口被发送出去；下行路径是指数据报在一个端口上被接收。NDIS驱动框架采用了分层接口（a layered interface）的设计模式。在这个分层接口的设计模式中，上行路径中，高层的接口调用其下一层的接口。在下行路径中，则与之相反。另外，控制操作是通过对象标识（OID，object identifier）接口完成的，例如，添加一个端口（port）。这些控制操作的工作流程与数据报的操作一样，高层接口调用底层接口。Hyper-V Extensible Switch Components中有这方面的详尽的示例图片。

Windows过滤平台（Windows Filtering Platform，WFP）提供了用于过滤数据报的APIs和服务。OVS使用WFP处理一些不能直接处理的数据报。后面将就该问题详细说明。

Hyper-V提供了一组用户获取主机的网络配置信息的接口，被称为IP Helpler。OVS使用这些接口获得必要的网络配置信息。

声明：

1. 本译文并未取得原作者授权，如有侵权行为，请发邮件到13581561959@163.com。我将立即删除。
2. 翻译中，意译的地方较多。如有错误，或不准确的地方，欢迎邮件讨论，谢谢。

这个教程旨在演示如何使用Theano实现一个基于长短期记忆的循环神经网络。在这里，该模型用于分析最大的影视评论数据集（即IMDB数据集）中的影评中的情感色彩。

在这个教程中，我们将训练一个二分分类的模型。对于给定一个影评，该模型会判断其是积极还是消极的。

数据

上面已经提到了，本文的python脚本被用于在一个很大的影评数据集上训练长短期记忆循环神经网络模型。

虽然数据是公开的，但是本文作者提供一个已经按照LSTM实现的要求预先处理过的数据集。运行本文提供的代码将自动下载这些数据。如果你想使用自己的数据来训练模型，请使用本文提供的数据预处理脚本对数据进行清洗。

一旦模型被训练完成后，你就能使用你自己的基于本文提供的字典的语料库测试它。

某在线的Openstack环境，突发虚拟机不能上网的情况。由于是一个小型的环境，虚拟网络和控制网络并没有分开，整个网络的DHCP由Openstack的DHCP Agent提供。控制网络的操作一切正常。虚拟网络使用Linux系统内置的网桥。

1. 在虚拟机的宿主机上使用tcpdump命令能够监测到DHCP消息发出，但是没有DHCP请求的回应消息。
2. 在网络节点DHCP Agent上对应的物理网卡上能检测到虚拟机的DHCP请求和回应消息。

基于以上两点，问题应该是交换机没有转发DHCP的回应消息。登陆到交换机后，通过事件命令（system event），发现虚拟网络的接口上有报警事件，显示该端口处于安全保护状态，端口允许的MAC地址的数量的上限为1。至此，问题基本确认。将端口安全保护关掉后，虚拟机能够正常上网。也可以将端口允许的MAC地址数量上限提高，来解决该问题。

在云系统中，将控制网络和存储网络与虚拟网络物理隔离。虚拟网络可以使用功能较少，傻瓜式的两层交换机，能有效避免不必要的网络故障。至于安全方面，Openstack Neutron组件已经做了很好的防护，至于更高级的病毒检测、IPS等则需要通过专门的防火墙完成。