运维宝典

CentOS7迁移到RockyLinux9

2025-03-01T01:02:35.000Z

CentOS7已停止支持超过半年了，因此需要将其迁移至其他Linux版本系统，如Rocky Linux 9、Debian 12等来避免可能导致的安全漏洞问题。现在来记录下迁移过程中遇到过的问题。

CentOS 7 Update

因为原版源已经从mirror.centos.org改为vault.centos.org，默认是找不到新更新的。你可以修改你的源为vault.centos.org或者使用linuxmirror.cn修改为国内镜像源。

为了提速，可将镜像源更改为国内源。

sudo yum update -y
sudo yum install epel-release -y
sudo yum install rpmconf -y
sudo rpmconf -a
sudo yum install yum-utils -y
sudo package-cleanup --leaves
sudo package-cleanup --orphans

清除完后，重启。

sudo yum install dnf -y
sudo dnf remove yum yum-metadata-parser -y
sudo rm -Rf /etc/yum
sudo dnf update -y

更新完成后还原至原来的软件源/etc/yum.repo.bak并下载最新版本的repo

sudo dnf install http://vault.centos.org/8.5.2111/BaseOS/x86_64/os/Packages/{centos-linux-repos-8-3.el8.noarch.rpm,centos-linux-release-8.5-1.2111.el8.noarch.rpm,centos-gpg-keys-8-3.el8.noarch.rpm} -y

不过我们先打开BaseOS, AppSteam, Extra源，看看他们是mirror.centos.org还是vault.centos.org。
如果不是vault则改过来。

例如：

1	sudo sed -i 's\|#baseurl=http://mirror.centos.org\|baseurl=http://vault.centos.org\|g' /etc/yum.repos.d/CentOS-*

使用下面的命令时因为缓存还在使用mirror.centos.org的原因，会有报错，但是没关系，因为我们安装的是下载的网址内安装包。之后我们清除缓存即可。

1
2
3

sudo dnf upgrade https://dl.fedoraproject.org/pub/epel/epel-release-latest-8.noarch.rpm -y
sudo dnf clean all
sudo rpm -e `rpm -q kernel`

这个时候，表面已经是CentOS 8了。可以通过

1	cat /etc/redhat-release

查看。
更换源为国内镜像源 - 选择华为云源

1	bash <(curl -sSL https://linuxmirrors.cn/main.sh)

选择华为云源

1	sudo dnf update -y

安装完成后，表面上应该就会是CentOS 8, 但是应该也会有冲突的python3的报错，sysvinit-tools的报错等等。
我们先dnf remove移除python3-pip, sysvinit-tools
也可以

rpm -e --nodeps sysvinit-tools
# dnf remove sysvinit-tools-2.88-14.dsf.el7.x86_64
remove python3-setuptools-39.2.0-10.el7.noarch
# 我们无法移除gdbm 使用以下方式升级到CentOS 8
dnf upgrade --best --allowerasing

然后继续升级CentOS 7到CentOS 8

1 2	dnf clean all dnf --releasever=8 --allowerasing --setopt=deltarpm=false distro-sync

安装内核

1	dnf install kernel-core -y

安装CentOS 8 的最小版本

1	dnf -y groupupdate "Core" "Minimal Install"

虽然，我们可以通过以下命令再次将CentOS 8转为CentOS 8 Stream

1	sudo dnf install centos-release-stream -y

但是后续其实还有步骤，只要dnf版本足够高的话，其实可以直接迁移Rocky Linux。所以没有转换的必要。

与此同时Rocky Linux 8迁移到Rocky Linux 9需要使用AlmaLinux的leapp也就是ELevate工具来升级，且升级步骤必须使用VPN,直接下载依赖好像还是不行的。leapp默认只支持CentOS, 需要leapp-data-xxx来支持其他系统升级。
因为本身大版本升级操作系统是不支持的，所以官方也没有明确的方式，而Rocky Linux 8.10 EOL是2029年，其实直接迁移为Rocky Linux 8已经足够了。

迁移到Rocky Linux 8

根据Rocky Linux的步骤继续迁移：

1 2	curl https://raw.githubusercontent.com/rocky-linux/rocky-tools/main/migrate2rocky/migrate2rocky.sh -o migrate2rocky.sh chmod u+x migrate2rocky.sh

运行脚本:

1	./migrate2rocky.sh -r

等待运行完毕重启后：

cat /etc/*release*

Rocky Linux release 8.10 (Green Obsidian)
NAME="Rocky Linux"
VERSION="8.10 (Green Obsidian)"
ID="rocky"
ID_LIKE="rhel centos fedora"
VERSION_ID="8.10"
PLATFORM_ID="platform:el8"
PRETTY_NAME="Rocky Linux 8.10 (Green Obsidian)"
ANSI_COLOR="0;32"
LOGO="fedora-logo-icon"
CPE_NAME="cpe:/o:rocky:rocky:8:GA"
HOME_URL="https://rockylinux.org/"
BUG_REPORT_URL="https://bugs.rockylinux.org/"
SUPPORT_END="2029-05-31"
ROCKY_SUPPORT_PRODUCT="Rocky-Linux-8"
ROCKY_SUPPORT_PRODUCT_VERSION="8.10"
REDHAT_SUPPORT_PRODUCT="Rocky Linux"
REDHAT_SUPPORT_PRODUCT_VERSION="8.10"
Rocky Linux release 8.10 (Green Obsidian)
Rocky Linux release 8.10 (Green Obsidian)
Derived from Red Hat Enterprise Linux 8.10
Rocky Linux release 8.10 (Green Obsidian)
cpe:/o:rocky:rocky:8:GA

之后再打开/etc/yum.repos.d并将CentOS-*.repo删除

1
2
3

rm -rf /etc/yum.repos.d/CentOS-*
# 或不加f 可以确认删除的文件
rm -r /etc/yum.repos.d/CentOS-*

使用ELevate leapp升级系统

Rocky Linux 8 to 9方法
AlmaLinux leaapp Upgrade
leaapp Upgrade

如果直接是CentOS 8也可以直接使用这个方式升级。

下载这个rpm, 就会在/etc/yum.repos.d安装Elevate repo，也可以使用wget下载后安装。

1	sudo yum install -y http://repo.almalinux.org/elevate/elevate-release-latest-el$(rpm --eval %rhel).noarch.rpm

Elevate Repo内容：(该repo无镜像站)

[elevate]
name=ELevate
baseurl=https://repo.almalinux.org/elevate/el8/$basearch/
...

因为Elevate无镜像站资源，leapp-data-rocky就无法下载，即使预先先从官网下载依然是不行的。
leapp-data-rocky最新版地址：https://repo.almalinux.org/elevate/el8/x86_64/leapp-data-rocky-0.2-7.el8.noarch.rpm
因为默认的leapp-upgrade只支持CentOS，不支持其他升级。所以leapp-upgrade和leapp-data-rocky都需要。如果使用leapp-data,只支持从Rocky 8升级到Rocky 9,不支持CentOS 8升级并迁移为Rocky 9或CentOS 8升级并迁移为AlmaLinux 9。
因此需要直接VPN到https://repo.almalinux.org/elevate/这个源里安装依赖。

1 2	yum install -y leapp-upgrade leapp-data-rocky leapp preupgrade

然后查看answerfile，我的answerfile中只有vdo问题，所以直接使用以下命令覆盖即可。

1	leapp answer --section check_vdo.no_vdo_devices=True

后面步骤不展示了，因为没成功。(需要VPN连，太慢了。)

Rocky Linux 8 到Rocky Linux 9 (非leapp方式)

RL8 to RL9
可以参考浙江大学的镜像源

1
2

dnf install https://mirror.nju.edu.cn/rocky-vault/9.3/BaseOS/x86_64/os/Packages/r/{rocky-repos-9.3-1.3.el9.noarch.rpm,rocky-release-9.3-1.3.el9.noarch.rpm,rocky-gpg-keys-9.3-1.3.el9.noarch.rpm} -y
dnf -y --releasever=9 --allowerasing --setopt=deltarpm=false distro-sync

应该会报iptable的错误,通过以下方式解决

1	yum remove iptables-ebtables make-devel

然后再来一次升级后重建rpmdb。这是因为9版本不再使用Berkeley DB(bdb_ro)而是使用SQLite

1	rpm --rebuilddb

安装CentOS 9 的最小版本之后重启。

1	dnf -y groupupdate "Core" "Minimal Install"

升级如果遇到以下问题，需要用dnf module disable禁用。

Text

Problem 1: conflicting requests
 - nothing provides module(platform:el8) needed by module mariadb:10.3:8080020230920001707:fd72936b.x86_64 from @modulefailsafe
Problem 2: conflicting requests
 - nothing provides module(platform:el8) needed by module python27:2.7:8100020240523105808:5f0f67de.x86_64 from @modulefailsafe
Problem 3: conflicting requests
 - nothing provides module(platform:el8) needed by module python36:3.6:8100020231207204726:5ae887d0.x86_64 from @modulefailsafe

我们根据上面的信息禁用对应的模块，并且是同时输入

1	dnf module disable mariadb:10.3 python27:2.7 python36:3.6

我们当然也可以使用dnf module list的方式查看模块并禁用。

这时如果dnf update -y或者dnf upgrade已经无报错代表升级成功了，可以重启使用了。
不过如果你查看dnf list |grep el8可能还会找到有软件包是el8的
你可以按需看情况使用dnf remove卸载掉。
如果遇到kernel-core在的情况下，则需要

1	rpm -e --nodeps `rpm -qa\|grep -i kernel\|grep 4.18`

因为卸载的有点多，我为了确保稳定性将系统环境改为Server（你也可以用Server with GUI）

1 2	dnf groupinstall "Server" # dnf grouplist 查看可选安装环境

这样他会安装很多组件，应该来说就比较稳定了。
当然我们都知道，重新安装才是最稳定的。这是一个迁移临时方案。

–
来源： https://cloud.tencent.com/developer/article/2442737

13个实用的Kubernetes技巧

2025-02-15T09:04:52.000Z

当前文章暂不对外可见，请输入密码后查看！

git常用操作总结

2025-01-12T07:31:37.000Z

1、初始化用户

1 2	$ git config --global user.email "your email" $ git config –-global user.name "your name"

2、秘钥

查看是否存在秘钥

1	$ ls -al ~/.ssh

id_rsa是私钥，id_rsa.pub是公钥
id_rsa.pub是你需要上传到git仓库的SSH KEY

生成秘钥

1	$ ssh-keygen -t rsa -b 4096 -C "your_email@example.com"

3、本地库和远程库

①已创建有远程库，未创建本地库

1	$ git clone "your repo"

②已创建本地库，未创建远程库

# 新建文件夹
$ mkdir test                
# 初始化 git 
$ git init
# 移除原有的 origin                    
$ git remote rm origin
# 添加你的远程库(SSH地址)
$ git remote add origin "your remote repo"
# 更新本地库
$ git pull
# 首次推送与远程库建立关联，以后直接git push就可以
$ git push --set-upstream origin master

4、分支操作

查看、新建、切换、删除分支

# 查看当前所在分支
$ git branch
# 查看所有分支
$ git branch -a
# 查看远程库信息
$ git remote -v
# 新建分支
$ git branch "new branch"
# 切换分支
$ git checkout "target branch"
# 新建并切换到新分支
$ git checkout -b "new branch"
# 新建分支并和远程分支进行关联
$ git checkout -b "new branch" origin/"new branch"
# 合并分支到当前所处分支上
$ git merge "your branch"
# 删除分支
$ git branch -d "your branch"  
# 强制删除未 commit 的分支
$ git branch -D "your branch"

5、正常流程

# 查看当前工作区状态
$ git status
# 添加单个文件到暂存区
$ git add xxx.txt
# 一次性添加所有改动文件
$ git add .
# 提交文件到本地版本库
$ git commit -m "I add a file."
# 推送本地更新到远程版本库
$ git push
# 本地库关联远程库
$ git push --set-upstream origin master

6、对比文件

# 工作区和暂存区之间差异对比
$ git diff "xxx.txt"
# 暂存区和版本库之间差异对比
$ git diff --cached(--staged) "xxx.txt"
# 工作区和版本库之间差异对比
$ git diff master

7、查看历史提交记录

$ git log

8、版本回退

# HEAD 是最新版本，HEAD^ 是上一个版本
$ git reset --hard HEAD^
# 回退到指定id，git log 查看版本id，版本id不用全部输入，取头几位就可以
$ git reset –hard cb926e7e

9、撤销工作区修改

使用版本库中的文件或者暂存区中的文件替换工作区的文件
让文件回到最近一次 git commit 或 git add 时的状态

1	$ git checkout -- "xxx.txt"

10、删除文件

# 删除工作区中的文件
$ rm "xxx.txt"
# 提交删除操作到暂存区
$ git rm "xxx.txt"
# 提交删除到版本库，在版本库中彻底删除文件
$ git commit -m "remove file"

11、分支管理策略

在实际开发中，我们应该按照几个基本原则进行分支管理：

master分支应该是非常稳定的，也就是仅用来发布新版本，平时不能在上面干活
developer分支用来干活，也就是说，developer分支是不稳定的，到某个时候，比如1.0版本发布时，再把developer分支合并到master上，在master分支发布1.0版本
你和你的小伙伴们每个人都在developer分支上干活，每个人都有自己的分支，时不时地往developer分支上合并就可以了
所以，团队合作的分支看起来就像这样：

12、储藏工作现场

修复bug时，我们会通过创建新的bug分支进行修复，然后合并，最后删除；
当手头工作没有完成时，先把工作现场git stash一下，然后去修复bug，修复后，再git stash pop，回到工作现场

# 储存工作现场
$ git stash
# 工作现场列表
$ git stash list
# 恢复但不删除储藏栈的工作现场
$ git stash apply
# 恢复并删除储藏栈中的工作现场
$ git stash pop

13、多人协作工作模式

试图用git push origin branch-name推送自己的修改
如果推送失败，则因为远程分支比你的本地更新，需要先用git pull试图合并
如果合并有冲突，则解决冲突，并在本地提交
没有冲突或者解决掉冲突后，再用git push origin branch-name推送就能成功

14、创建.gitignore

在git工作区根目录下创建.gitignore文件，把要忽略的文件名写进去，git就会自动忽略这些文件

15、创建别名

给status创建别名st

1	$ git config --global alias.st status

16、git 配置文件

配置文件放在~/.gitconfig

17、`git fetch`和`git pull`区别

要讲清楚这两个命令的区别，就需要从git clone开始讲起
假设你在github上有一个远程仓库地址是xxx，然后你从远程仓库clone到本地仓库

1	$ git clone xxx

执行完此命令后：

①Git会自动为你将远程仓库命名为origin，并下载其中所有的数据到本地；
②在本地建立所有远程存在的分支，并且命名为origin/xxx，例如远程分支有master、developer，那么本地就会建立origin/master分支、origin/developer分支，并且它们都是处于remotes目录下，是隐藏的。使用命令git branch -a就可以看到隐藏目录remotes，结果显示为remotes/origin/master以及remotes/origin/developer。
③接着，Git会继续建立一个属于你的本地master和developer分支，位置和远程origin/master、origin/developer分支处于相同的位置，你就可以开始工作了。
这样，我们在本地仓库的本地分支和远程分支就都有了，并且始于同一位置。

如果其他人向github上xxx分支推送了他们的更新，那么服务器上的相应分支就会向前推进。
如果在本地的相应分支进行了commit提交到本地代码库，那么本地的master或者developer分支也会向前推进，不过只要你不和服务器通信数据，那么本地的remotes/origin/master（developer）指针仍然会在原地不动。

1	$ git fetch origin

运行git fetch origin命令后，会同步远程服务器上的数据到本地；

该命令首先找到origin是哪个服务器，从上面获取你未曾拥有的数据，更新到你的本地remotes/origin/master（developer），然后把remotes/origin/master(developer)的指针移动到最新的位置上：

比较本地master分支和origin/master分支有什么区别

1	$ git log master..origin/master

切换到本地master分支下

1	$ git checkout master

合并origin/master分支到本地master分支

1	$ git merge origin master

git pull相当于git fetch origin和git merge
git fetch相当于先将服务器上的origin分支更新到本地remotes/origin分支上，然后手动去merge合并origin分支到本地分支上
这就是git pull和git fetch的区别

18、git删除未跟踪文件

# 删除未跟踪文件
$ git clean -f
# 删除未跟踪文件目录
$ git clean -fd
# 正式删除文件以前先查看哪些会被删除
$ git clean -nf
$ git clean -nfd

19、在本地删除远程已经没有的分支

1	$ git fetch -p origin

20、重命名本地分支

1	$ git branch -m old-local-branch-name new-local-branch-name

21、删除远程分支

1	$ git push origin :old-remote-branch-name

22、本地分支与远程分支建立关联（远程分支不存在也可以）

# 切换到本地分支
$ git checkout local-branch
# push 到想要建立关联的远程分支
$ git push -u origin/remote-branch

23、重新跟踪远程文件

# 先删除远程文件
$ git remote rm origin
# 跟踪新远程文件
$ git remote add origin https://xxx.git
# 或者合并成一条命令
$ git remote origin set-url https://xxx.git

来源： https://www.cnblogs.com/hls-code/p/15428026.html

在debian 12上安装shadowsocks

2024-11-28T10:54:38.000Z

1、服务端安装配置

1.1、安装配置shadowsocks-libev

cd /usr/local/src
wget https://github.com/shadowsocks/shadowsocks-libev/releases/download/v3.3.5/shadowsocks-libev-3.3.5.tar.gz
ll
tar xf shadowsocks-libev-3.3.5.tar.gz
ll
cd shadowsocks-libev-3.3.5
ll
apt install libpcre3 libpcre3-dev libmbedtls-dev libsodium-dev cmake libc-ares2 libc-ares-dev libev-dev
./configure --disable-documentation
make && make install

文件默认安装在/usr/local目录下。按照如下方法为shadowsocks-libev创建systemd服务。
编辑/usr/local/src/shadowsocks-libev-3.3.5/debian/shadowsocks-libev.service文件，改成如下

Text

#  This file is part of shadowsocks-libev.
#
#  Shadowsocks-libev is free software; you can redistribute it and/or modify
#  it under the terms of the GNU General Public License as published by
#  the Free Software Foundation; either version 3 of the License, or
#  (at your option) any later version.
#
#  This file is default for Debian packaging. See also
#  /etc/default/shadowsocks-libev for environment variables.

[Unit]
Description=Shadowsocks-libev Default Server Service
Documentation=man:shadowsocks-libev(8)
After=network-online.target

[Service]
Type=simple
CapabilityBoundingSet=CAP_NET_BIND_SERVICE
AmbientCapabilities=CAP_NET_BIND_SERVICE
DynamicUser=true
EnvironmentFile=/etc/default/shadowsocks-libev
LimitNOFILE=32768
ExecStart=/usr/local/bin/ss-server -c $CONFFILE $DAEMON_ARGS

[Install]
WantedBy=multi-user.target

编辑/usr/local/src/shadowsocks-libev-3.3.5/debian/shadowsocks-libev.default文件，把

1	DAEMON_ARGS=

改成

1	DAEMON_ARGS="-d 8.8.8.8 -d 8.8.4.4 -u"

然后将相应文件cp到对应目录

1
2

cp /usr/local/src/shadowsocks-libev-3.3.5/debian/shadowsocks-libev.service /usr/lib/systemd/system
cp /usr/local/src/shadowsocks-libev-3.3.5/debian/shadowsocks-libev.default /etc/default/shadowsocks-libev

为shadowsocks-libev配置证书：

1	mkdir -p /etc/certs

将申请的RSA证书（以域名dmit.example.com为例）放置至/etc/certs目录，并配置权限为644。其中example.com.pem为公钥，example.com.key为私钥。
为shadowsocks-libev创建主配置文件：

mkdir -p /etc/shadowsocks-libev
cat  > /etc/shadowsocks-libev/config.json  < EOF
{
    "server": ["::", "0.0.0.0"],
    "mode": "tcp_and_udp",
    "server_port": 443,
    "local_port": 1080,
    "password": "Gpb2xUPArG82bExG",
    "timeout": 300,
    "reuse-port": true,
    "method": "chacha20-ietf-poly1305",
    "plugin": "/usr/local/bin/v2ray-plugin",
    "plugin_opts": "server;tls;host=dmit.example.com;cert=/etc/certs/example.com.pem;key=/etc/certs/example.com.key;loglevel=none"
}
EOF

因为启动用户为nobody，启动端口为小于1024的443端口，所以需要为ss-server赋予以下权限：

1	setcap CAP_NET_BIND_SERVICE=+eip /usr/local/bin/ss-server

将shadowsocks-libev服务设置开机自启并启动：

1
2
3

systemctl enable shadowsocks-libev.service
systemctl start shadowsocks-libev.service
systemctl status shadowsocks-libev.service

查看状态当然是失败的，因为缺少v2ray-plugin插件。

1.2、安装`v2ray-plugin`插件

cd /usr/local/src
wget https://github.com/shadowsocks/v2ray-plugin/releases/download/v1.3.2/v2ray-plugin-linux-amd64-v1.3.2.tar.gz
# wget https://github.com/teddysun/v2ray-plugin/releases/download/v5.17.0/v2ray-plugin-linux-amd64-v5.17.0.tar.gz
tar xf v2ray-plugin-linux-amd64-v1.3.2.tar.gz
cp v2ray-plugin_linux_amd64 /usr/local/bin/v2ray-plugin
setcap CAP_NET_BIND_SERVICE=+eip /usr/local/bin/v2ray-plugin

再次启动shadowsocks-libev：

1 2	systemctl start shadowsocks-libev.service systemctl status shadowsocks-libev.service

发现已经正常启动。

2、PC端安装配置

2.1、配置ShadowsocksX-NG

下载以下版本的ShadowsocksX-NG及最新版的v2ray-plugin
MacOS版：https://github.com/shadowsocks/ShadowsocksX-NG/releases/download/v1.9.4/ShadowsocksX-NG.1.9.4.zip （最新版的配置完成后始终不能正常使用）
https://github.com/teddysun/v2ray-plugin/releases/download/v5.17.0/v2ray-plugin-darwin-amd64-v5.17.0.tar.gz （插件版本号同服务端）
如果MacOS在启动Shadowsocks时提示未验证的发布者请在终端执行sudo spctl --master-disable即可正常运行。

主机名： dmit.example.com
端口： 443
加密方法： chacha20-ietf-poly1305
密码： Gpb2xUPArG82bExG [ 你的密码，配置同服务端 ]
插件： v2ray-plugin
插件选项： tls;host=dmit.example.com

公有云迁移至kubernetes需要做哪些准备？有哪些坑需要注意的？

2023-05-17T11:04:51.000Z

将应用从公有云迁移到 Kubernetes 是一个复杂的过程，需要充分的准备和规划。以下是迁移过程中需要做的准备工作以及需要注意的潜在问题：

迁移前的准备工作

评估应用架构

• 分析现有应用的架构，确定是否适合容器化。
• 识别有状态服务（如数据库）和无状态服务，确定哪些服务可以迁移到 Kubernetes。
• 检查应用是否依赖特定的云服务（如云数据库、消息队列等），并评估是否需要替换或适配。

容器化应用

• 将应用打包为 Docker 镜像，确保镜像轻量化、安全且符合最佳实践。

• 编写 Dockerfile 和容器启动脚本。
• 测试容器化后的应用，确保其行为与原有环境一致。

设计 Kubernetes 架构

• 确定 Kubernetes 集群的规模、节点类型和网络架构。
• 设计 Pod、Deployment、Service、Ingress 等资源的配置。
• 规划存储方案，特别是对有状态服务（如使用 Persistent Volume）。

配置管理

• 将应用的配置外置，使用 ConfigMap 或 Secret 管理。
• 确保敏感信息（如密码、密钥）通过 Kubernetes Secret 安全存储。

CI/CD 流水线

• 搭建 CI/CD 流水线，实现镜像构建、测试和部署的自动化。
• 集成 Kubernetes 部署工具（如 Helm、Kustomize）以简化部署流程。

监控与日志

• 部署监控工具（如 Prometheus、Grafana）以监控集群和应用状态。
• 配置日志收集系统（如 ELK、Fluentd）以集中管理日志。

网络与安全

• 规划 Kubernetes 网络模型（如 CNI 插件选择）。
• 配置网络策略（Network Policies）以限制 Pod 之间的通信。
• 确保集群的安全性，包括 RBAC、Pod 安全策略等。

备份与恢复

• 制定数据备份和恢复策略，特别是对有状态服务。
• 测试备份和恢复流程，确保其可靠性。

迁移过程中需要注意的“坑”

资源分配问题

• Kubernetes 需要合理分配 CPU、内存等资源，否则可能导致 Pod 被驱逐或节点资源耗尽。
• 使用 Resource Requests 和 Limits 来管理资源分配。

网络性能问题

• Kubernetes 的网络模型可能引入额外的网络延迟或复杂性。
• 确保 CNI 插件和网络配置能够满足应用的性能需求。

存储管理问题

• 有状态服务的存储迁移可能比较复杂，特别是涉及数据一致性和持久化时。
• 确保 Persistent Volume 的配置正确，并测试存储的性能和可靠性。

应用依赖问题

• 如果应用依赖公有云的特定服务（如云数据库、对象存储），迁移时需要找到替代方案或进行适配。
• 可能需要重构部分代码或引入新的中间件。

配置管理问题

• 配置文件的动态更新可能导致应用行为不一致。
• 使用 ConfigMap 和 Secret 时，确保配置变更能够正确传递给 Pod。

安全性问题

• Kubernetes 集群的安全性需要特别关注，包括 RBAC、网络策略、镜像安全等。
• 避免使用特权容器，限制 Pod 的权限。

监控与日志问题

• 如果没有完善的监控和日志系统，可能难以排查问题。
• 确保监控覆盖集群、节点、Pod 和应用的各个层面。

版本兼容性问题

• Kubernetes 的版本更新较快，确保使用的工具和插件与 Kubernetes 版本兼容。
• 测试新版本的 Kubernetes 以确保其稳定性。

迁移过程中的停机时间

• 迁移可能导致应用停机，需要制定详细的迁移计划，尽量减少对业务的影响。
• 可以使用蓝绿部署或金丝雀发布策略逐步迁移。

团队技能问题

• Kubernetes 的学习曲线较陡，确保团队具备足够的 Kubernetes 运维和开发能力。
• 提供培训或引入外部专家支持。

迁移后的优化与验证

性能优化

• 根据监控数据优化资源分配和调度策略。
• 调整 HPA（Horizontal Pod Autoscaler）以实现自动扩缩容。

稳定性验证

• 进行压力测试，确保应用在 Kubernetes 上稳定运行。
• 验证高可用性和故障恢复能力。

成本优化

• 分析 Kubernetes 集群的资源使用情况，优化节点规模和资源分配。
• 使用 Spot 实例或预留实例以降低成本。

持续改进

• 根据运行情况持续优化 Kubernetes 配置和应用架构。
• 定期更新 Kubernetes 版本和相关组件。

总结

迁移到 Kubernetes 需要从技术、流程和团队能力等多个方面进行准备。关键是要充分评估现有应用、设计合理的架构、解决潜在问题，并在迁移后进行持续优化。通过细致的规划和执行，可以最大限度地减少迁移风险，充分发挥 Kubernetes 的优势。

都有哪些常见的容器引擎

2022-10-23T10:48:07.000Z

许多其他常见的容器技术，它们在容器化应用的构建、运行和管理方面各有特色。以下是一些常见的容器技术：

容器运行时

Docker Engine

特点：最流行的容器引擎，提供完整的工具链，用于构建、运行和管理容器。
优势：轻量级、可移植性、快速启动和关闭、提高开发效率、简化部署和管理、资源利用率高、隔离性好、可扩展性强。
适用场景：开发团队稳定，软件运行在不同的环境中，软件由多部分组成，软件可扩展。

containerd

特点：Docker 的核心容器运行时，轻量级，专注于容器的生命周期管理。
优势：高性能，被 Kubernetes 和其他容器平台广泛使用。
适用场景：生产环境，尤其是 Kubernetes 集群。

CRI-O

特点：专为 Kubernetes 设计，符合 CRI（Container Runtime Interface）标准。
优势：轻量级，专注于 Kubernetes 集成。
适用场景：Kubernetes 环境，替代 Docker 作为容器运行时。

rkt（Rocket）

特点：由 CoreOS 开发，强调安全性和开放性。
优势：支持多种容器格式（如 Docker 镜像），安全性高。
适用场景：需要高安全性和开放标准的场景。

Windows Containers

特点：微软为 Windows 系统提供的容器引擎。
优势：支持 Windows 应用程序。
适用场景：Windows 环境下的容器化。

OpenVZ

特点：基于 Linux 的容器化虚拟化解决方案。
优势：轻量级，适合 VPS（虚拟专用服务器）。
适用场景：虚拟化和 VPS 环境。

Buildah

特点：专注于构建容器镜像，无需守护进程。
优势：轻量级，适合 CI/CD 流水线。
适用场景：容器镜像构建和 CI/CD 流程。

容器编排与管理

Kubernetes

• 简介：开源的容器编排平台，用于自动化容器的部署、扩展和管理。
• 特点：支持多种容器运行时，包括 Docker、containerd 和 CRI-O。

Apache Mesos

• 简介：分布式系统内核，用于管理集群资源。
• 特点：支持容器化应用和其他工作负载的统一管理。

Nomad

• 简介：HashiCorp 开发的简单灵活的调度器和编排器。
• 特点：支持多种工作负载类型，包括容器、虚拟机和独立应用。

容器镜像构建

Buildah

• 简介：用于构建 OCI（Open Container Initiative）容器镜像的工具。
• 特点：无需运行完整的容器引擎即可构建镜像。

Kaniko

• 简介：Google 开发的开源工具，用于在 Kubernetes 集群中构建容器镜像。
• 特点：无需特权模式即可构建镜像，适合在 CI/CD 管道中使用。

Podman

• 简介：Red Hat 开发的无守护进程容器引擎。
• 特点：支持构建、运行和管理容器，兼容 Docker CLI。

容器安全

gVisor

• 简介：Google 开发的容器沙箱运行时，提供额外的安全隔离层。
• 特点：通过用户空间内核模拟减少攻击面。

Kata Containers

• 简介：开源的轻量级虚拟机（VM）运行时，提供类似容器的体验。
• 特点：结合了容器的速度和虚拟机的安全性。

Falco

• 简介：云原生运行时安全工具，用于检测容器中的异常行为。
• 特点：支持实时监控和警报。

容器网络与存储

Flannel

• 简介：为 Kubernetes 设计的简单网络解决方案。
• 特点：提供跨节点的容器网络通信。

Calico

• 简介：开源的网络和网络安全解决方案，支持 Kubernetes。
• 特点：提供高性能的网络策略和安全功能。

Rook

• 简介：开源的云原生存储编排器。
• 特点：支持多种存储系统，如 Ceph、EdgeFS 等。

其他容器技术

LXC/LXD

• 简介：Linux 容器（LXC）是一种操作系统级别的虚拟化技术，LXD 是其管理工具。
• 特点：提供类似虚拟机的隔离性，但性能接近裸机。

Singularity

• 简介：专为高性能计算（HPC）环境设计的容器平台。
• 特点：支持运行科学计算应用，强调安全性和可移植性。

Firecracker

• 简介：Amazon 开发的轻量级虚拟机管理器，用于运行微虚拟机（microVM）。
• 特点：结合了容器的速度和虚拟机的安全性，适合无服务器计算。

总结

除了 Docker，还有许多其他容器技术在容器化应用的构建、运行和管理方面提供了丰富的选择。这些技术各有特色，适用于不同的应用场景和需求。通过了解和掌握这些技术，您可以更好地应对复杂的容器化环境，提高系统的灵活性和可维护性。
这些容器引擎各有特点，适合不同的场景：

Podman 和 containerd 是 Docker 的直接替代品。
CRI-O 和 Kata Containers 更适合 Kubernetes 环境。
Singularity 和 gVisor 适合高性能计算和安全敏感场景。
LXD 和 Windows Containers 适合运行完整操作系统的场景。
根据具体需求选择合适的容器引擎。

几种常见的容器

2021-09-28T11:03:19.000Z

容器技术在现代软件开发和部署中扮演着重要角色，常见的容器类型和应用场景多种多样。以下是一些常见的容器类型及其用途：

应用容器

Web服务器容器

Nginx

高性能的HTTP服务器和反向代理服务器。

Apache HTTP Server

广泛使用的开源Web服务器。

应用服务器容器

Tomcat

用于运行Java Servlet和JSP的Web应用服务器。

Jetty

轻量级的Java Web服务器和Servlet容器。

数据库容器

MySQL

流行的开源关系型数据库。

PostgreSQL

功能强大的开源关系型数据库。

MongoDB

NoSQL 文档数据库。

中间件容器

消息队列容器

RabbitMQ

开源消息代理软件，支持多种消息协议。

Kafka

分布式流处理平台，用于构建实时数据管道和流应用。

缓存容器

Redis

开源的内存数据结构存储，用作数据库、缓存和消息中间件。

Memcached

高性能的分布式内存对象缓存系统。

开发与测试容器

开发环境容器

Node.js

用于构建快速、可扩展的网络应用的JavaScript运行时。

Python

广泛使用的高级编程语言，适用于多种应用场景。

测试环境容器

Selenium

用于自动化Web浏览器测试的工具。

JUnit

Java编程语言的单元测试框架。

数据科学与机器学习容器

数据处理容器

Jupyter Notebook

开源的Web应用程序，用于创建和共享包含实时代码、方程、可视化和文本的文档。

Apache Spark

用于大规模数据处理的统一分析引擎。

机器学习容器

TensorFlow

开源机器学习框架，广泛用于深度学习。

PyTorch

开源的机器学习库，广泛用于研究和生产。

安全与监控容器

安全容器

ClamAV

开源的防病毒软件工具包。

OpenVAS

全功能的漏洞扫描器。

监控容器

Prometheus

开源的系统监控和警报工具包。

Grafana

开源的可视化和分析平台。

存储与备份容器

存储容器

MinIO

高性能的对象存储服务器，兼容Amazon S3 API。

Ceph

分布式存储系统，提供对象、块和文件存储。

备份容器

Bacula

开源的网络备份解决方案。

Duplicati

开源的备份软件，支持加密和压缩。

网络与通信容器

网络容器

OpenVPN

开源的虚拟专用网络（VPN）解决方案。

HAProxy

高性能的TCP/HTTP负载均衡器和代理服务器。

通信容器

Ejabberd

开源的XMPP服务器，用于即时消息和在线状态。

Matrix Synapse

开源的即时消息服务器，支持Matrix协议。

其他常见容器

工具容器

BusyBox

集成了许多常用 UNIX 工具的单一可执行文件。

Alpine Linux

基于musl libc和busybox的轻量级Linux发行版。

游戏服务器容器

Minecraft Server

流行的沙盒游戏Minecraft的服务器。

SteamCMD

用于管理和更新Steam游戏服务器的命令行工具。

总结

容器技术为各种应用场景提供了灵活、高效的解决方案。通过使用这些常见的容器，您可以快速搭建和部署各种应用和服务，提高开发和运维效率。随着容器生态系统的不断发展，新的容器类型和工具也在不断涌现，为开发者提供了更多选择。

快速入门kubernetes

2020-07-14T10:54:38.000Z

理解 Kubernetes 核心概念

集群（Cluster）

Master节点

负责管理整个集群，包括调度、监控、维护集群状态等。

Node节点

运行容器化应用的机器，每个节点上都有 Kubelet 和容器运行时（如 Docker）。

Pod

最小部署单元：一个 Pod 可以包含一个或多个容器，这些容器共享网络和存储资源。

服务（Service）

服务发现与负载均衡：Service 为一组 Pod 提供稳定的网络端点，实现负载均衡和服务发现。

部署（Deployment）

声明式更新：Deployment 用于定义 Pod 的部署和更新策略，支持滚动更新和回滚。

配置管理

ConfigMap：用于存储非敏感的配置数据。
Secret：用于存储敏感信息，如密码、密钥等。

安装 Kubernetes

本地环境

Minikube

用于在本地快速搭建单节点 Kubernetes 集群。

1 2	brew install minikube minikube start

kubectl

Kubernetes 命令行工具，用于与集群交互。

1	brew install kubectl

生产环境

kubeadm

用于在生产环境中快速搭建多节点 Kubernetes 集群。

1 2	sudo apt-get update && sudo apt-get install -y kubeadm kubelet kubectl sudo kubeadm init

基本操作

创建`Pod`

YAML文件

定义一个简单的 Pod。

apiVersion: v1
kind: Pod
metadata:
  name: my-pod
spec:
  containers:
  - name: my-container
    image: nginx

创建Pod

1	kubectl apply -f pod.yaml

创建`Deployment`

YAML文件
定义一个简单的 Deployment。

apiVersion: apps/v1
kind: Deployment
metadata:
  name: my-deployment
spec:
  replicas: 3
  selector:
    matchLabels:
      app: my-app
  template:
    metadata:
      labels:
        app: my-app
    spec:
      containers:
      - name: my-container
        image: nginx

创建Deployment

1	kubectl apply -f deployment.yaml

创建`Service`

YAML 文件
定义一个简单的Service。

apiVersion: v1
kind: Service
metadata:
  name: my-service
spec:
  selector:
    app: my-app
  ports:
  - protocol: TCP
    port: 80
    targetPort: 80

创建Service

1	kubectl apply -f service.yaml

常用命令

查看资源状态

查看Pod

1	kubectl get pods

查看Deployment

1	kubectl get deployments

查看Service

1	kubectl get services

日志与调试

查看Pod日志

1	kubectl logs

进入Pod容器

1	kubectl exec -it -- /bin/bash

删除资源

删除Pod

1	kubectl delete pod

删除Deployment

1	kubectl delete deployment

删除Service

1	kubectl delete service

进阶学习

配置管理

ConfigMap

apiVersion: v1
kind: ConfigMap
metadata:
  name: my-config
data:
  key: value

Secret

apiVersion: v1
kind: Secret
metadata:
  name: my-secret
type: Opaque
data:
  username: 
  password:

持久化存储

PersistentVolume(PV)

apiVersion: v1
kind: PersistentVolume
metadata:
  name: my-pv
spec:
  capacity:
    storage: 10Gi
  accessModes:
    - ReadWriteOnce
  hostPath:
    path: /mnt/data

PersistentVolumeClaim(PVC)

apiVersion: v1
kind: PersistentVolumeClaim
metadata:
  name: my-pvc
spec:
  accessModes:
    - ReadWriteOnce
  resources:
    requests:
      storage: 10Gi

自动扩展

Horizontal Pod Autoscaler (HPA)

apiVersion: autoscaling/v1
kind: HorizontalPodAutoscaler
metadata:
  name: my-hpa
spec:
  scaleTargetRef:
    apiVersion: apps/v1
    kind: Deployment
    name: my-deployment
  minReplicas: 1
  maxReplicas: 10
  targetCPUUtilizationPercentage: 80

学习资源

官方文档：Kubernetes 官方文档
在线课程：Coursera、Udemy 等平台上的 Kubernetes 课程。
书籍：《Kubernetes in Action》、《Kubernetes Up & Running》等。
通过以上步骤，您可以快速入门 Kubernetes，并逐步掌握其核心概念和基本操作。随着实践的深入，您将能够更好地理解和应用 Kubernetes 的强大功能。

编译安装最新版Grafana v6.6.0-pre

2019-12-02T11:15:14.000Z

编译安装最新版Grafana v6.6.0-pre
–含企业微信告警及告警图片

安装go及node

版本需求：go1.13.3
node12.13.1
配置好$NODE_HOME、$GOROOT变量，请不要配置$GOPATH变量。具体配置请参阅其他资料。这里就不再赘述了。
检查输出：

[root@opstrip grafana]# go version
go version go1.13.3 linux/amd64
[root@opstrip grafana]# node -v
v12.13.1

编译安装Grafana

1 2	[root@opstrip ~]# cd /usr/local [root@opstrip local]# git clone https://github.com/grafana/grafana.git # 拉取grafana项目源码

添加企业微信告警模块

1	[root@opstrip local]# cd /usr/local/grafana/pkg/services/alerting/notifiers

分别将下面2个文件放入到该目录下：
wechat.go

package notifiers
    
import (
    "bytes"
    "encoding/json"
    "fmt"
    "io"
    "mime/multipart"
    "net/http"
    "os"
    "strconv"
    
    "golang.org/x/net/context"
    "golang.org/x/net/context/ctxhttp"
    
    "github.com/grafana/grafana/pkg/bus"
    "github.com/grafana/grafana/pkg/components/simplejson"
    "github.com/grafana/grafana/pkg/infra/log"
    m "github.com/grafana/grafana/pkg/models"
    "github.com/grafana/grafana/pkg/services/alerting"
)
    
type WeChatToken struct {
    AccessToken string `json:"access_token"`
    ErrMsg      string `json:"errmsg"`
    ErrCode     int    `json:"errcode"`
    ExpireIn    int    `json:"expire_in"`
}
    
type WeChatMediaId struct {
    MediaId string `json:"media_id"`
    ErrMsg  string `json:"errmsg"`
    ErrCode int    `json:"errcode"`
    CreatAt string `json:"created_at"`
    Type    string `json:"type"`
}
    
const (
    SEND_MESSAGE_ENDPOINT string = "https://qyapi.weixin.qq.com/cgi-bin/message/send"
    UPLOAD_IMAGE_ENDPOINT string = "https://qyapi.weixin.qq.com/cgi-bin/media/upload"
    GET_TOKEN_ENDPOINT    string = "https://qyapi.weixin.qq.com/cgi-bin/gettoken"
)
    
func init() {
    alerting.RegisterNotifier(&alerting.NotifierPlugin{
        Type:        "wechat",
        Name:        "WeChat",
        Description: "Sends HTTP POST request to WeChat",
        Factory:     NewWeChatNotifier,
        OptionsTemplate: `
      WeChat settings
      
        AgentId
        
      
      
        CorpId
        
      
      
        Secret
        
      
      
        ToUser
        
      
    `,
    })
}
    
func NewWeChatNotifier(model *m.AlertNotification) (alerting.Notifier, error) {
    agentid := model.Settings.Get("agentid").MustString()
    if agentid == "" {
        return nil, alerting.ValidationError{Reason: "Could not find agentid property in settings"}
    }
    
    corpid := model.Settings.Get("corpid").MustString()
    if corpid == "" {
        return nil, alerting.ValidationError{Reason: "Could not find corpid property in settings"}
    }
    
    secret := model.Settings.Get("secret").MustString()
    if secret == "" {
        return nil, alerting.ValidationError{Reason: "Could not find secret property in settings"}
    }
    
    touser := model.Settings.Get("touser").MustString()
    if touser == "" {
        touser = "@all"
    }
    
    return &WeChatNotifier{
        NotifierBase: NewNotifierBase(model),
        AgentId:      agentid,
        CorpId:       corpid,
        Secret:       secret,
        ToUser:       touser,
        log:          log.New("alerting.notifier.wechat"),
    }, nil
}
    
type WeChatNotifier struct {
    NotifierBase
    AgentId string
    CorpId  string
    Secret  string
    ToUser  string
    log     log.Logger
}
    
func (this *WeChatNotifier) GetMediaId(path, token string) (string, error) {
    var mediaId string
    
    var b bytes.Buffer
    w := multipart.NewWriter(&b)
    
    f, err := os.Open(path)
    if err != nil {
        return mediaId, err
    }
    defer f.Close()
    
    fw, err := w.CreateFormFile("media", path)
    if err != nil {
        return mediaId, err
    }
    
    _, err = io.Copy(fw, f)
    if err != nil {
        return mediaId, err
    }
    w.Close()
    
    url := fmt.Sprintf(UPLOAD_IMAGE_ENDPOINT+"?access_token=%s&type=image", token)
    request, err := http.NewRequest(http.MethodPost, url, &b)
    if err != nil {
        return mediaId, err
    }
    
    request.Header.Add("Content-Type", w.FormDataContentType())
    request.Header.Add("User-Agent", "Grafana")
    
    resp, err := ctxhttp.Do(context.TODO(), http.DefaultClient, request)
    if err != nil {
        return mediaId, err
    }
    
    if resp.StatusCode/100 != 2 {
        return mediaId, fmt.Errorf("WeChat returned statuscode invalid status code: %v", resp.Status)
    }
    defer resp.Body.Close()
    
    var wechatMediaId WeChatMediaId
    err = json.NewDecoder(resp.Body).Decode(&wechatMediaId)
    if err != nil {
        return mediaId, err
    }
    
    if wechatMediaId.ErrCode != 0 {
        return mediaId, fmt.Errorf("WeChat returned errmsg: %s", wechatMediaId.ErrMsg)
    }
    
    return wechatMediaId.MediaId, nil
}
    
func (this *WeChatNotifier) GetAccessToken() (string, error) {
    var token string
    
    url := fmt.Sprintf(GET_TOKEN_ENDPOINT+"?corpid=%s&corpsecret=%s", this.CorpId, this.Secret)
    request, err := http.NewRequest(http.MethodPost, url, nil)
    if err != nil {
        return token, err
    }
    
    request.Header.Add("Content-Type", "application/json")
    request.Header.Add("User-Agent", "Grafana")
    
    resp, err := ctxhttp.Do(context.TODO(), http.DefaultClient, request)
    if err != nil {
        return token, err
    }
    
    if resp.StatusCode/100 != 2 {
        return token, fmt.Errorf("WeChat returned statuscode invalid status code: %v", resp.Status)
    }
    defer resp.Body.Close()
    
    var wechatToken WeChatToken
    err = json.NewDecoder(resp.Body).Decode(&wechatToken)
    if err != nil {
        return token, err
    }
    
    if wechatToken.ErrCode != 0 {
        return token, fmt.Errorf("WeChat returned errmsg: %s", wechatToken.ErrMsg)
    }
    return wechatToken.AccessToken, nil
}
    
func (this *WeChatNotifier) PushImage(evalContext *alerting.EvalContext, token string) error {
    mediaId, err := this.GetMediaId(evalContext.ImageOnDiskPath, token)
    if err != nil {
        return err
    }
    
    bodyJSON, err := simplejson.NewJson([]byte(`{
        "touser": "` + this.ToUser + `",
        "msgtype" : "image",
        "agentid": "` + this.AgentId + `",
        "image" : {
                "media_id": "` + mediaId + `"
        }
    }`))
    
    if err != nil {
        this.log.Error("Failed to create Json data", "error", err, "wechat", this.Name)
        return err
    }
    
    body, _ := bodyJSON.MarshalJSON()
    
    url := fmt.Sprintf(SEND_MESSAGE_ENDPOINT+"?access_token=%s", token)
    cmd := &m.SendWebhookSync{
        Url:  url,
        Body: string(body),
    }
    
    if err := bus.DispatchCtx(evalContext.Ctx, cmd); err != nil {
        this.log.Error("Failed to send WeChat", "error", err, "wechat", this.Name)
        return err
    }
    
    return nil
}
    
func (this *WeChatNotifier) Notify(evalContext *alerting.EvalContext) error {
    this.log.Info("Sending wechat")
    
    token, err := this.GetAccessToken()
    if err != nil {
        this.log.Error("Get AccessToken failed", err)
        return err
    }
    
    content := evalContext.GetNotificationTitle()
    content += "\\n\\n"
    
    if evalContext.Rule.State != m.AlertStateOK {
        content += "Message:\\n  " + evalContext.Rule.Message + "\\n\\n"
    }
    
    for index, evt := range evalContext.EvalMatches {
        if index == 0 {
            content += "Metric:\\n"
        }
        
        if index > 4 {
            content += "  ...\\n"
            break
        }
        content += "  " + evt.Metric + "=" + strconv.FormatFloat(evt.Value.Float64, 'f', -1, 64) + "\\n"
    }
    content += "\\n"
    
    if evalContext.Error != nil {
        content += "Error:\\n  " + evalContext.Error.Error() + "\\n\\n"
    }
    
    if evalContext.ImageOnDiskPath == "" && evalContext.ImagePublicURL != "" {
        content += "ImageUrl:\\n  " + evalContext.ImagePublicURL + "\\n"
    }
    
    bodyJSON, err := simplejson.NewJson([]byte(`{
        "touser": "` + this.ToUser + `",
        "msgtype" : "text",
        "agentid": "` + this.AgentId + `",
        "text" : {
                "content": "` + content + `"
        }
    }`))
    
    if err != nil {
        this.log.Error("Failed to create Json data", "error", err, "wechat", this.Name)
        return err
    }
    
    body, _ := bodyJSON.MarshalJSON()
    
    url := fmt.Sprintf(SEND_MESSAGE_ENDPOINT+"?access_token=%s", token)
    cmd := &m.SendWebhookSync{
        Url:  url,
        Body: string(body),
    }
    
    if err := bus.DispatchCtx(evalContext.Ctx, cmd); err != nil {
        this.log.Error("Failed to send WeChat", "error", err, "wechat", this.Name)
        return err
    }
    
    if evalContext.ImageOnDiskPath != "" {
        err := this.PushImage(evalContext, token)
        if err != nil {
            this.log.Error("Failed to Push Image", "error", err, "path", evalContext.ImageOnDiskPath)
        }
    }
    
    return nil
}

wechat_test.go

package notifiers
    
import (
    "testing"
    
    "github.com/grafana/grafana/pkg/components/simplejson"
    m "github.com/grafana/grafana/pkg/models"
    . "github.com/smartystreets/goconvey/convey"
)
    
func TestWeChatNotifier(t *testing.T) {
    Convey("WeChat notifier tests", t, func() {
        
        Convey("Parsing alert notification from settings", func() {
            Convey("empty settings should return error", func() {
                json := `{ }`
                
                settingsJSON, _ := simplejson.NewJson([]byte(json))
                model := &m.AlertNotification{
                    Name:     "wechat_testing",
                    Type:     "wechat",
                    Settings: settingsJSON,
                }
                
                _, err := NewWeChatNotifier(model)
                So(err, ShouldNotBeNil)
            })
            
            Convey("from settings with agentid, corpid, secret, touser", func() {
                json := `
                {
                    "agentid": "xxxx1",
                    "corpid": "####1",
                    "secret": "@@@@1",
                    "touser": "oooo1"
                }`
                
                settingsJSON, _ := simplejson.NewJson([]byte(json))
                model := &m.AlertNotification{
                    Name:     "wechat_testing",
                    Type:     "wechat",
                    Settings: settingsJSON,
                }
                
                not, err := NewWeChatNotifier(model)
                wechatNotifier := not.(*WeChatNotifier)
                
                So(err, ShouldBeNil)
                So(wechatNotifier.Name, ShouldEqual, "wechat_testing")
                So(wechatNotifier.Type, ShouldEqual, "wechat")
                So(wechatNotifier.AgentId, ShouldEqual, "xxxx1")
                So(wechatNotifier.CorpId, ShouldEqual, "####1")
                So(wechatNotifier.Secret, ShouldEqual, "@@@@1")
                So(wechatNotifier.ToUser, ShouldEqual, "oooo1")
            })
        })
    })
}

详见：https://github.com/wangriyu/docker-grafana ，以上文件有修改

构建后端

1
2
3

[root@opstrip notifiers]# cd /usr/local/grafana
[root@opstrip grafana]# go run build.go setup
[root@opstrip grafana]# go run build.go build

编译完成后的二进制文件如下：

[root@opstrip grafana]# pwd
/usr/local/grafana
[root@opstrip grafana]# ll bin/linux-amd64/
总用量 63952
-rwxr-xr-x 1 root root 19121704 11月 22 14:18 grafana-cli
-rw-r--r-- 1 root root       33 11月 22 14:18 grafana-cli.md5
-rwxr-xr-x 1 root root 46352720 11月 22 14:18 grafana-server
-rw-r--r-- 1 root root       33 11月 22 14:18 grafana-server.md5
[root@opstrip grafana]#

构建前端

[root@opstrip grafana]# npm install -g yarn
[root@opstrip grafana]# yum -y install bzip2
[root@opstrip grafana]# yarn install --pure-lockfile
[root@opstrip grafana]# npm run build

注意：这里可能会因为软件源及墙的问题导致的连接超时而出现依赖下载失败的问题，请根据报错更换为国内源或使用代理，更好的体验还是在国外机器上编译。机器要求至少有2GiB或以上的空闲内存。

尝试运行Grafana

1	[root@opstrip grafana]# bin/linux-amd64/grafana-server

若输出无报错则编译成功，否则请按错误提示逐一处理。

将Grafana服务化以便于管理

如果习惯了之前rpm安装的Grafana配置或者基于不影响编译环境的考虑，可以将编译的Grafana相应文件放到指定路径。以下操作仅供参考。
标准化Grafana：

[root@opstrip grafana]# pwd
/usr/local/grafana
[root@opstrip grafana]# groupadd grafana && useradd -d /usr/share/grafana -g grafana -s /sbin/nologin -c "grafana user" grafana
[root@opstrip grafana]# mkdir -p /usr/share/grafana/{conf,public,scripts,tools} /var/lib/grafana/{plugins,png} /etc/grafana
[root@opstrip grafana]# cp bin/linux-amd64/grafana-* /usr/sbin
[root@opstrip grafana]# rsync -avz conf/* /etc/grafana/
[root@opstrip grafana]# rsync -avz conf/* /usr/share/grafana/conf/
[root@opstrip grafana]# rsync -avz public/* /usr/share/grafana/public/
[root@opstrip grafana]# rsync -avz scripts/* /usr/share/grafana/scripts/
[root@opstrip grafana]# rsync -avz tools/* /usr/share/grafana/tools/
[root@opstrip grafana]# rsync -avz data/grafana.db /var/lib/grafana/
[root@opstrip grafana]# chmod -R grafana:grafana /usr/share/grafana /var/lib/grafana

grafana-server环境变量

[root@opstrip ~]# cat /etc/sysconfig/grafana-server 
GRAFANA_USER=grafana

GRAFANA_GROUP=grafana

GRAFANA_HOME=/usr/share/grafana

LOG_DIR=/var/log/grafana

DATA_DIR=/var/lib/grafana

MAX_OPEN_FILES=10000

CONF_DIR=/etc/grafana

CONF_FILE=/etc/grafana/grafana.ini

RESTART_ON_UPGRADE=true

PLUGINS_DIR=/var/lib/grafana/plugins

PROVISIONING_CFG_DIR=/etc/grafana/provisioning

# Only used on systemd systems
PID_FILE_DIR=/var/run/grafana

grafana.ini配置参考

[root@opstrip ~]# egrep -v "^#|^;|^$" /etc/grafana/grafana.ini 
app_mode = production
[paths]
data = /var/lib/grafana
temp_data_lifetime = 24h
logs = /var/log/grafana
plugins = /var/lib/grafana/plugins
provisioning = /etc/grafana/provisioning
[server]
protocol = http
http_addr =
http_port = 3000
domain = g.opstrip.com
root_url = http://g.opstrip.com/
serve_from_sub_path = false
router_logging = false
static_root_path = public
enable_gzip = false
socket = /var/run/grafana/grafana.sock
[database]
type = sqlite3
host = 127.0.0.1:3306
name = grafana
user = root
ssl_mode = disable
path = /var/lib/grafana/grafana.db
cache_mode = private
[remote_cache]
type = database
[dataproxy]
[analytics]
[security]
[snapshots]
[dashboards]
[users]
[auth]
[auth.anonymous]
[auth.github]
[auth.gitlab]
[auth.google]
[auth.grafananet]
[auth.grafana_com]
[auth.generic_oauth]
[auth.saml] # Enterprise only
[auth.basic]
[auth.proxy]
[auth.ldap]
[smtp]
enabled = true
host = mail.xxx.com:587
user = opstrip@xxx.com
password = **********
skip_verify = true
from_address = postmaster@xxx.com
from_name = opstrip
ehlo_identity = g.opstrip.com
[emails]
[log]
mode = console file
level = info
filters = rendering:debug
[log.console]
[log.file]
[log.syslog]
[quota]
[alerting]
enabled = true
execute_alerts = true
error_or_timeout = alerting
nodata_or_nullvalues = no_data
concurrent_render_limit = 5
evaluation_timeout_seconds = 30
notification_timeout_seconds = 30
max_attempts = 3
[explore]
[metrics]
[metrics.graphite]
[grafana_net]
[grafana_com]
[tracing.jaeger]
[external_image_storage]
[external_image_storage.s3]
[external_image_storage.webdav]
[external_image_storage.gcs]
[external_image_storage.azure_blob]
[external_image_storage.local]
[rendering]
server_url = http://localhost:8081/render
callback_url = http://localhost:3000/
[panels]
[plugins]
[enterprise]
[feature_toggles]

说明：[rendering]项是grafana-image-renderer插件的配置。[database]是Grafana使用的数据库，请根据需要选择MySQL或SQLite。[smtp]是发送邮件的配置，请根据实际情况填写。

使用systemd接管Grafana

[root@opstrip ~]# cat /usr/lib/systemd/system/grafana-server.service 
[Unit]
Description=Grafana instance
Documentation=http://docs.grafana.org
Wants=network-online.target
After=network-online.target
After=postgresql.service mariadb.service mysql.service

[Service]
EnvironmentFile=/etc/sysconfig/grafana-server
User=grafana
Group=grafana
Type=notify
Restart=on-failure
WorkingDirectory=/usr/share/grafana
RuntimeDirectory=grafana
RuntimeDirectoryMode=0750
ExecStart=/usr/sbin/grafana-server                                                  \
                            --homepath=${GRAFANA_HOME}                              \
                            --config=${CONF_FILE}                                   \
                            --pidfile=${PID_FILE_DIR}/grafana-server.pid            \
                            --packaging=build                                       \
                            cfg:default.paths.logs=${LOG_DIR}                       \
                            cfg:default.paths.data=${DATA_DIR}                      \
                            cfg:default.paths.plugins=${PLUGINS_DIR}                \
                            cfg:default.paths.provisioning=${PROVISIONING_CFG_DIR}  

LimitNOFILE=10000
TimeoutStopSec=20

[Install]
WantedBy=multi-user.target
[root@opstrip ~]# systemctl enable grafana-server.service
Created symlink from /etc/systemd/system/multi-user.target.wants/grafana-server.service to /usr/lib/systemd/system/grafana-server.service.
[root@opstrip ~]# systemctl start grafana-server.service
[root@opstrip ~]# ps -ef | grep grafana-server | grep -v grep
grafana   4746     1  0 12月03 ?      00:01:47 /usr/sbin/grafana-server --homepath=/usr/share/grafana --config=/etc/grafana/grafana.ini --pidfile=/var/run/grafana/grafana-server.pid --packaging=build cfg:default.paths.logs=/var/log/grafana cfg:default.paths.data=/var/lib/grafana cfg:default.paths.plugins=/var/lib/grafana/plugins cfg:default.paths.provisioning=/etc/grafana/provisioning
[root@opstrip ~]#

编译安装grafana-image-renderer图像渲染

### 安装`grafana-image-renderer`插件用于在告警中插入截图。
[root@opstrip grafana]# grafana-cli plugins install grafana-image-renderer        # 或者在plugins目录下直接拉取源码git clone https://github.com/grafana/grafana-image-renderer.git
[root@opstrip grafana]# echo "export GF_RENDERER_PLUGIN_IGNORE_HTTPS_ERRORS=true" >> /etc/profile && source /etc/profile
[root@opstrip grafana]# cd plugins/grafana-image-renderer/
[root@opstrip grafana]# make deps && make build_package ARCH=linux-x64-glibc
[root@opstrip grafana]# npm install -g node-pre-gyp node-gyp                      # 安装依赖
[root@opstrip grafana]# npm install                                               # 该操作会自动下载安装Chromium及grpc模块等
[root@opstrip grafana]# yarn install --pure-lockfile                              # 安装依赖
[root@opstrip grafana]# yarn run build                                            # 构建项目
[root@opstrip grafana]# node build/app.js server --port=8081                      # 测试启动。如有报错，请按报错逐一排除。一般是依赖问题。

说明：后台启动 /usr/bin/nohup /usr/local/node/bin/node /var/lib/grafana/plugins/grafana-image-renderer/build/app.js server --port=8081 &还可以用supervisord来管理grafana-image-renderer服务。
其他问题请参考：https://s0grafana0com.icopy.site/docs/administration/image_rendering/

配置企业微信告警

配置告警渠道`Notification Channels`

在左侧导航栏中依次选择Alerting→Notification Channels，在New channel新建告警渠道。选择Type为WeChat，选中Include image，再根据配置其他选项。如下图：

![企微告警渠道配置](/assets/blogImg/grafana-1.png)**说明**：关于`AgentId`、`CorpId`、`Secret`及`ToUser`请联系你的企业微信管理员获取。

在Dashboards中配置告警

在Dashboards→Panel→Edit→Alert中，配置相应的告警规则及阈值。如下图：

![配置告警规则及阈值](/assets/blogImg/grafana-2.png)对上面几个字段的解释：![告警字段解释](/assets/blogImg/grafana-3.png)告警接收验证。企业微信告警接收：![企微告警](/assets/blogImg/grafana-4.png)邮件告警接收：![邮件告警](/assets/blogImg/grafana-5.png)可以看到，企微跟邮件都收到了带图片的告警截图。只是目前图片中出现中文的地方还是会显示乱码。也请知道怎么解决这个问题的小伙伴M我，谢谢

实战：Redis数据的导出和导入（dump和load方式）

2019-06-06T02:27:19.000Z

上次做了下redis数据迁移，中间踩了些坑，后来用了下面的方法完成的。以此备忘。迁移redis数据一般有如下3种方式：

第三方工具redis-dump/redis-load
aof机制，需要开启aof功能
rdb存储机制
这里介绍第一种方式，通过redis-dump导出数据，再通过redis-load导入。开始吧。

安装gcc

安装gcc以继续以下操作

1	yum -y install gcc automake autoconf libtool make ruby rubygems ruby-devel

配置Ruby官网源地址

因为默认的Ruby官网源地址在国外，访问速度很慢，所以需要配置成国内的源地址

gem sources -a http://gems.ruby-china.com/          添加国内源地址
gem source -l                                       查看是否添加成功
gem source --remove https://rubygems.org/           去掉国外源地址
gem source -l                                       确认现在的源地址只有国内

安装rvm命令

配置Google DNS

1	echo "nameserver 8.8.8.8" >> /etc/resolv.conf

导入`key`

1	gpg2 --keyserver hkp://pool.sks-keyservers.net --recv-keys 409B6B1796C275462A1703113804BB82D39DC0E3 7D2BAF1CF37B13E2069D6956105BD0E739499BDB

或

1 2	curl -sSL https://rvm.io/mpapis.asc \| gpg2 --import - curl -sSL https://rvm.io/pkuczynski.asc \| gpg2 --import -

安装`rvm`

1 2	curl -L get.rvm.io \| bash -s stable echo "export rvm_max_time_flag=20" >> ~/.rvmrc

安装`Ruby`

1
2
3

find / -iname rvm -type f
echo "export PATH=$PATH:/usr/local/rvm/bin" >> /etc/profile && source /etc/profile
rvm install 2.3.3

确认Ruby版本

因为redis-dump必须要求ruby的版本不低于2.2.2

1
2
3

ruby -v                    # 如果输出信息是ruby 2.3.3xxx，说明现在用的版本是正确的，直接跳到下一步。否则还要执行以下操作：
rvm use 2.3.3 --default    # 将默认使用ruby的版本设置为2.3.3
rvm remove $version        # 删除旧版本，$version就是ruby -v查到的版本，只需要指定前面的数字版本号就行

安装`redis-dump`

1	gem install redis-dump -V

确认`redis-dump`安装成功

find / -iname redis-dump
```      
## `redis-dump`导出数据

用`redis-dump`导出的数据格式都是json格式
```bash
redis-dump -u :yourpassword@127.0.0.1:6379 > /tmp/redis-mv.json   # 注意换成自己的密码，如果没有密码就去掉

将导出的数据文件移动到导入的redis服务器上去

`redis-load`导入数据

1	cat redis-mv.json \| redis-load -u :yourpassword@127.0.0.1:6379 # 注意换成自己的密码，如果没有密码就去掉

到此数据就迁移完了。别忘了去导入的redis查看验证下。

nginx安全配置规范

2019-05-20T05:48:22.000Z

说起网络攻击，可能很多人只知道大名鼎鼎的DDoS攻击，这种攻击廉价且效果出众，直接通过第四层网络协议用他的带宽把你的带宽顶掉，造成网路阻塞，防不胜防。不过还有一种网络攻击其实比起DDOS更频繁出现，就是CC（Challenge Collapsar）攻击，一般来说是利用网站代码漏洞，不停地发大量数据包请求，造成对方服务器回应这些请求导致资源耗尽，一直到宕机崩溃。这种攻击属于第七层的网络协议，一方面在服务器层面是正常的请求，所以这种情况想根本解决问题，只能从代码入手。但是另一方面，也就可以用其他来限制他访问，例如nginx的配置上也是能稍微防一下。

隐藏版本号

1
2
3

http {
    server_tokens off;
}

经常会有针对某个版本的nginx安全漏洞出现，隐藏nginx版本号就成了主要的安全优化手段之一，当然最重要的是及时升级修复漏洞。

开启HTTPS

server {
    listen 443;
    server_name opstrip.com;
    
    ssl on;
    ssl_certificate /etc/nginx/certs/opstrip.com.pem;
    ssl_certificate_key /etc/nginx/certs/opstrip.com.key;
    ssl_protocols TLSv1 TLSv1.1 TLSv1.2;
    ssl_ciphers HIGH:!aNULL:!MD5;
}

ssl on：开启https
ssl_certificate：配置nginx ssl证书的路径
ssl_certificate_key：配置nginx ssl证书key的路径
ssl_protocols：指定客户端建立连接时使用的ssl协议版本，如果不需要兼容TSLv1，直接去掉即可
ssl_ciphers：指定客户端连接时所使用的加密算法，你可以再这里配置更高安全的算法

黑白名单配置

白名单配置

location /admin/ {
    allow 192.168.1.0/24;
    deny all;
}

上边表示只允许192.168.1.0/24网段的主机访问，拒绝其他所有。

黑名单配置

也可以写成黑名单的方式禁止某些地址访问，允许其他所有，例如：

location /uploads/ {
    deny 192.168.1.0/24;
    allow all;
}

更多的时候客户端请求会经过层层代理，我们需要通过$http_x_forwarded_for来进行限制，可以这样写：

set $allow false;
if ($http_x_forwarded_for = "211.144.204.2") { set $allow true; }
if ($http_x_forwarded_for ~ "108.2.66.[89]") { set $allow true; }
if ($allow = false) { return 404; }

账号认证

server {
    location / {
    auth_basic "please input user&passwd";
    auth_basic_user_file key/auth.key;
    }
}

限制请求方法

1
2
3

if ($request_method !~ ^(GET|POST)$ ) {
    return 405;
}

$request_method能够获取到请求nginx的method。这里配置只允许GET/POST方法访问，其他的method返回405

拒绝User-Agent

1
2
3

if ($http_user_agent ~* LWP::Simple|BBBike|wget|curl) {
    return 444;
}

可能有一些不法者会利用wget/curl等工具扫描我们的网站，我们可以通过禁止相应的user-agent来简单的防范
Nginx的444状态比较特殊，如果返回444那么客户端将不会收到服务端返回的信息，就像是网站无法连接一样

图片防盗链

location /images/ {
    valid_referers none blocked www.opstrip.com opstrip.com;
    if ($invalid_referer) {
    return 403;
    }
}

valid_referers：验证referer，其中none允许referer为空，blocked允许不带协议的请求，除了以上两类外仅允许referer为 www.opstrip.com 或opstrip.com时访问images下的图片资源，否则返回403

当然你也可以给不符合referer规则的请求重定向到一个默认的图片，比如下边这样

location /images/ {
    valid_referers blocked www.opstrip.com opstrip.com
    if ($invalid_referer) {
    rewrite ^/images/.*.(gif|jpg|jpeg|png)$ /static/qrcode.jpg last;
    }
}

控制并发连接数

可以通过ngx_http_limit_conn_module模块限制一个IP的并发连接数

http {
    limit_conn_zone $binary_remote_addr zone=ops:10m;

    server {
        listen 80;
        server_name opstrip.com;
           
        root /home/project/webapp;
        index index.html;
        location / {
            limit_conn ops 10;
        }
        access_log /var/log/nginx/nginx_access.log main;
    }
}

limit_conn_zone：设定保存各个键(例如$binary_remote_addr)状态的共享内存空间的参数，zone=空间名字:大小
大小的计算与变量有关，例如**$binary_remote_addr**变量的大小对于记录IPV4地址是固定的4 bytes，而记录IPV6地址时固定的16 bytes，存储状态在32位平台中占用32或者64 bytes，在64位平台中占用64 bytes。1m的共享内存空间可以保存大约3.2万个32位的状态，1.6万个64位的状态
limit_conn：指定一块已经设定的共享内存空间(例如name为ops的空间)，以及每个给定键值的最大连接数

上边的例子表示同一IP同一时间只允许10个连接

当有多个limit_conn指令被配置时，所有的连接数限制都会生效

http {
    limit_conn_zone $binary_remote_addr zone=ops:10m;
    limit_conn_zone $server_name zone=coffee:10m;
    
    server {
        listen 80;
        server_name opstrip.com;
        
        root /data/www/webapp;
        index index.html;
        
        location / {
            limit_conn ops 10;
            limit_conn coffee 2000;
        }
    }
}

上边的配置不仅会限制单一IP来源的连接数为10，同时也会限制单一虚拟服务器的总连接数为2000

连接权限控制

连接权限控制

实际上nginx的最大连接数是worker_processes乘以worker_connections的总数。

也就是说，下面的这个配置，就是4X65535，一般来说，我们会强调worker_processes设置成和核数相等，worker_connections并没有要求。但是同时这个设置其实给了攻击者空间，攻击者是可以同时发起这么多个连接，把你服务器搞跨。所以，我们应该更合理的配置这两个参数。

user  www;
worker_processes  4;
error_log  /var/log/nginx/nginx_error.log  crit;
pid        /var/nginx/nginx.pid;
events {
    use epoll;
    worker_connections 65535;
}

不过，也不是完全没有办法限制，在nginx0.7开始，出了两个新的模块：

1 2	HttpLimitReqModul：限制单个 IP 每秒请求数 HttpLimitZoneModule：限制单个 IP 的连接数

这两个模块，要先在http层定义，然后在 location, server, http上下文中作限制，他们用的是限制单ip访问的漏桶算法，也就是说超过定义的限制会报503错误，这样爆发的cc攻击就全部被限制住了。当然，有些时候可能是某个公司同一个ip有几十人一起访问网站，这是有可能被误伤的，做好503报错回调是很有必要的。

先看HttpLimitReqModul：

http {
    limit_req_zone $binary_remote_addr zone=test_req:10m rate=20r/s;
     …
     server {
         …
         location /download/ {
            limit_req zone=test_req burst=5 nodelay;
         }
     }
}

上面http层的就是定义，这是一个名为test_req的limit_req_zone空间，用来存储session数据，大小是10M内存，1M大约可以存16000个ip回话，看你访问量有多少就设多少。以**$binary_remote_addr**为key,这个定义是客户端IP，可以改成$server_name等其他，限制平均每秒的请求为20个，写成20r/m就是每分钟了，也是看你访问量。

下面location层就是应用这个限制了，对应上面的定义，对访问download文件夹的请求，限制每个ip每秒不超过20个请求，漏桶数burst为5，brust的意思就是，如果第1,2,3,4秒请求为19个，第5秒的请求为25个是被允许的。但是如果你第1秒就25个请求，第2秒超过20的请求返回503错误。nodelay，如果不设置该选项，第1秒25个请求时，5个请求放到第2秒执行，设置nodelay，25个请求将在第1秒执行。

就这个限制定义而言，把每个IP限制了请求数，对于海量的cc请求攻击，效果明显，例如限制到1r/s每秒一次请求，那就更明显了，不过也正如开头所说，对于大公司多人统一IP同时访问，难免出现误伤，所以还是得多考虑。

然后再看HttpLimitZoneModule：

http {
    limit_conn_zone test_zone $binary_remote_addr 10m;
    server {
        location /download/ {
            limit_conn test_zone 10;
            limit_rate 500k;
        }
    }
}

和上面的类似，上面http层就是总定义，这是一个名为test_zone的limit_conn_zone空间，大小也是10M，key还是客户端IP地址，不过这个没有限制次数，改下面定义去了。

下面location层就是真正定义了，因为key定义是客户端ip，所以limit_conn就是一个IP限制了10个连接，如果是$server_name，那就是一个域名10个连接。然后下面limit_rate就是限制一个连接的带宽，如果一个ip两个连接，就是500x2k，这里是10，那就是最多可以有5000K速度给到这个ip了。

缓冲区溢出攻击

缓冲区溢出攻击 是通过将数据写入缓冲区并超出缓冲区边界和重写内存片段来实现的，限制缓冲区大小可有效防止

client_body_buffer_size 1K;
client_header_buffer_size 1k;
client_max_body_size 1k;
large_client_header_buffers 2 1k;

client_body_buffer_size：默认8k或16k，表示客户端请求body占用缓冲区大小。如果连接请求超过缓存区指定的值，那么这些请求实体的整体或部分将尝试写入一个临时文件。
client_header_buffer_size：表示客户端请求头部的缓冲区大小。绝大多数情况下一个请求头不会大于1k，不过如果有来自于wap客户端的较大的cookie它可能会大于 1k，Nginx将分配给它一个更大的缓冲区，这个值可以在large_client_header_buffers里面设置
client_max_body_size：表示客户端请求的最大可接受body大小，它出现在请求头部的Content-Length字段，如果请求大于指定的值，客户端将收到一个**“Request Entity Too Large” (413)错误，通常在上传文件到服务器时会受到限制
large_client_header_buffers：表示一些比较大的请求头使用的缓冲区数量和大小，默认一个缓冲区大小为操作系统中分页文件大小，通常是4k或8k，请求字段不能大于一个缓冲区大小，如果客户端发送一个比较大的头，nginx将返回"Request URI too large" (414)，请求的头部最长字段不能大于一个缓冲区，否则服务器将返回"Bad request" (400)**

同时需要修改几个超时时间的配置

client_body_timeout 10;
client_header_timeout 10;
keepalive_timeout 5 5;
send_timeout 10;

client_body_timeout：表示读取请求body的超时时间，如果连接超过这个时间而客户端没有任何响应，Nginx将返回**“Request time out” (408)错误
client_header_timeout：表示读取客户端请求头的超时时间，如果连接超过这个时间而客户端没有任何响应，Nginx将返回"Request time out" (408)错误
keepalive_timeout：参数的第一个值表示客户端与服务器长连接的超时时间，超过这个时间，服务器将关闭连接，可选的第二个参数参数表示Response头中Keep-Alive: timeout=time的time值，这个值可以使一些浏览器知道什么时候关闭连接，以便服务器不用重复关闭，如果不指定这个参数，nginx不会在应Response头中发送Keep-Alive信息
send_timeout：表示发送给客户端应答后的超时时间，Timeout是指没有进入完整established**状态，只完成了两次握手，如果超过这个时间客户端没有任何响应，nginx将关闭连接

通过以下设置可有效防止XSS攻击

1
2
3

add_header X-Frame-Options "SAMEORIGIN";
add_header X-XSS-Protection "1; mode=block";
add_header X-Content-Type-Options "nosniff";

X-Frame-Options：响应头表示是否允许浏览器加载frame等属性，有三个配置DENY禁止任何网页被嵌入,SAMEORIGIN只允许本网站的嵌套,ALLOW-FROM允许指定地址的嵌套
X-XSS-Protection：表示启用XSS过滤（禁用过滤为X-XSS-Protection: 0），mode=block表示若检查到XSS攻击则停止渲染页面
X-Content-Type-Options：响应头用来指定浏览器对未指定或错误指定Content-Type资源真正类型的猜测行为，nosniff 表示不允许任何猜测
在通常的请求响应中，浏览器会根据Content-Type来分辨响应的类型，但当响应类型未指定或错误指定时，浏览会尝试启用MIME-sniffing来猜测资源的响应类型，这是非常危险的

例如一个.jpg的图片文件被恶意嵌入了可执行的js代码，在开启资源类型猜测的情况下，浏览器将执行嵌入的js代码，可能会有意想不到的后果

另外还有几个关于请求头的安全配置需要注意
Content-Security-Policy：定义页面可以加载哪些资源，

1	add_header Content-Security-Policy "default-src 'self'";

上边的配置会限制所有的外部资源，都只能从当前域名加载，其中default-src定义针对所有类型资源的默认加载策略，self允许来自相同来源的内容

Strict-Transport-Security：会告诉浏览器用HTTPS协议代替HTTP来访问目标站点

1	add_header Strict-Transport-Security "max-age=31536000; includeSubDomains";

上边的配置表示当用户第一次访问后，会返回一个包含了Strict-Transport-Security响应头的字段，这个字段会告诉浏览器，在接下来的31536000秒内，当前网站的所有请求都使用https协议访问，参数includeSubDomains是可选的，表示所有子域名也将采用同样的规则

Letsencrypt通过DNS的TXT记录来验证域名有效性

2018-12-28T12:15:14.000Z

说明

我们在使用letsencrypt获取免费的HTTPS证书的时候，letsencrypt需要对域名进行验证。默认情况下它的验证方式是这样的：

certbot程序在web目录的根目录下放置一个文件。
letsencrypt的服务器通过域名来访问这个文件，来验证你申请的域名是属于你的
但有时候我们想为内网的某台主机设置HTTPS，因为内网的主机无法被letsencrypt的服务器访问到，certbot --nginx certonly就会出现Connection refused的错误。

为了解决上述问题，我们可以更改验证方式，使用DNS记录来验证域名。

安装部署

参考官方文档依次进行以下操作：

安装第三方软件源：

1 2	$ sudo yum -y install yum-utils $ sudo yum-config-manager --enable rhui-REGION-rhel-server-extras rhui-REGION-rhel-server-optional

安装python2-certbot-nginx

1	$ sudo yum install python2-certbot-nginx

测试certbot

1	$ sudo certbot --nginx

如有报错则执行以下操作修复：

1
2
3

$ sudo pip install requests urllib3 pyOpenSSL --force --upgrade
$ sudo pip install --upgrade --force-reinstall 'requests==2.6.0'
$ sudo pip install idna==2.6 urllib3==1.22

手动配置DNS的TXT记录验证域名

运行

1	$ sudo certbot --manual --preferred-challenges dns certonly

输入域名（多个域名需以逗号或空格分开）并同意记录本机IP

[root@MyPrecious ~]# certbot --manual --preferred-challenges dns certonly
Saving debug log to /var/log/letsencrypt/letsencrypt.log
Plugins selected: Authenticator manual, Installer None
Starting new HTTPS connection (1): acme-v02.api.letsencrypt.org
Please enter in your domain name(s) (comma and/or space separated)  (Enter 'c'
to cancel): *.opstrip.com,opstrip.com
Obtaining a new certificate
Performing the following challenges:
dns-01 challenge for opstrip.com
    
- - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - -
NOTE: The IP of this machine will be publicly logged as having requested this
certificate. If you're running certbot in manual mode on a machine that is not
your server, please ensure you're okay with that.
    
Are you OK with your IP being logged?
- - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - -
(Y)es/(N)o: y

后开始获取证书，会有类似以下提示：

- - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - -
Please deploy a DNS TXT record under the name
_acme-challenge.opstrip.com with the following value:
    
On6MxDvMMz-nRST-PAu3VHQoMQ2nuzYbvtA4Gw13EiM
    
Before continuing, verify the record is deployed.
- - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - -
Press Enter to Continue

此时certbot程序就会暂停，等待我们去添加DNS记录。

根据以上提示，在opstrip.com域名解析下，新增一条TXT解析，
解析类型为TXT
主机记录为_acme-challenge
记录值为On6MxDvMMz-nRST-PAu3VHQoMQ2nuzYbvtA4Gw13EiM
添加完成后执行

1	dig -t txt _acme-challenge.opstrip.com

若返回有以上记录值则配置生效。回车以继续下一个域名。
当依次完成所有的域名验证时，返回以下内容

Waiting for verification...
Resetting dropped connection: acme-v02.api.letsencrypt.org
Resetting dropped connection: acme-v02.api.letsencrypt.org

Cleaning up challenges
Resetting dropped connection: acme-v02.api.letsencrypt.org

IMPORTANT NOTES:
 - Congratulations! Your certificate and chain have been saved at:
   /etc/letsencrypt/live/opstrip.com/fullchain.pem
   Your key file has been saved at:
   /etc/letsencrypt/live/opstrip.com/privkey.pem
   Your cert will expire on 2019-03-28. To obtain a new or tweaked
   version of this certificate in the future, simply run certbot
   again. To non-interactively renew *all* of your certificates, run
   "certbot renew"
 - If you like Certbot, please consider supporting our work by:
    
   Donating to ISRG / Let's Encrypt:   https://letsencrypt.org/donate
   Donating to EFF:                    https://eff.org/donate-le

表示证书已成功获取。如果验证失败请等待DNS记录更新并多试几次。
其中，/etc/letsencrypt/live/opstrip.com/fullchain.pem为带证书链的公钥，/etc/letsencrypt/live/opstrip.com/privkey.pem为对应的私钥。

证书续签

在crontab中添加以下任务

1	0 0,12 * * * python -c 'import random; import time; time.sleep(random.random() * 3600)' && certbot renew

官方建议每天运行两次，是站点保持在线状态以免证书被吊销。在证书到期或续订之前不会执行任何操作。

参考来源：

macOS High Sierra上使用 ntfs-3g读取 NTFS 格式磁盘

2018-05-06T02:18:26.000Z

使用开源方案ntfs-3g解决macOS挂载NTFS只读的问题

安装 brew

普通用户下：

1	$ /usr/bin/ruby -e "$(curl -fsSL https://raw.githubusercontent.com/Homebrew/install/master/install)"

安装 osxfuse 工具

1	$ brew cask install osxfuse

注，不安装 osxfuse 直接安装 ntfs-3g 会有以下报错：

ntfs-3g: OsxfuseRequirement unsatisfied!
You can install with Homebrew-Cask:
 brew cask install osxfuse
You can download from:
 https://osxfuse.github.io/
Error: An unsatisfied requirement failed this build.

安装 ntfs-3g

1	$ brew install ntfs-3g

查看 windows 分区

$ diskutil list
    
……
    
/dev/disk3 (external, physical):
   #:                       TYPE NAME                    SIZE       IDENTIFIER
   0:     FDisk_partition_scheme                        *320.1 GB   disk3
   1:               Windows_NTFS                         104.9 MB   disk3s1
   2:               Windows_NTFS                         78.5 GB    disk3s2
   3:               Windows_NTFS                         78.6 GB    disk3s3
   4:               Windows_NTFS                         78.6 GB    disk3s5
   5:               Windows_NTFS                         84.1 GB    disk3s6

将 windows 分区挂载至 macOS

这里只挂载disk3s2、disk3s3、disk3s5、disk3s6这四个分区，分别对应 Windows 系统的 C、D、E、F 盘，挂载点分别为/Volumes下的 System、Documents、Downloads、Tools

$ sudo mkdir -p /Volumes/{System,Documents,Downloads,Tools}
$ sudo /usr/local/bin/ntfs-3g /dev/disk3s2 /Volumes/System -olocal -oallow_other
$ sudo /usr/local/bin/ntfs-3g /dev/disk3s3 /Volumes/Documents -olocal -oallow_other
$ sudo /usr/local/bin/ntfs-3g /dev/disk3s5 /Volumes/Downloads -olocal -oallow_other
$ sudo /usr/local/bin/ntfs-3g /dev/disk3s6 /Volumes/Tools -olocal -oallow_other

参考：https://github.com/osxfuse/osxfuse/wiki/NTFS-3G

访问 windows 分区

使用以上的命令执行挂载操作后，挂载点并不会在 Finder 上显示出来，但是通过 df 可以看到挂载点：

df -h
Filesystem      Size   Used  Avail Capacity iused               ifree %iused  Mounted on

……

/dev/disk3s2    73Gi   73Gi  499Mi   100%  183749              589451   24%   /Volumes/System
/dev/disk3s3    73Gi   71Gi  2.1Gi    98%   39749             2303375    2%   /Volumes/Documents
/dev/disk3s5    73Gi   72Gi  1.6Gi    98%    5556             1694008    0%   /Volumes/Downloads
/dev/disk3s6    78Gi   78Gi  872Mi    99%    2706              955830    0%   /Volumes/Tools

可以在当前用户的桌面上创建软链接来访问：

1	$ sudo ln -sf /Volumes ~/Desktop/Volumes

下图：

Volume 0/1/2/3分别代表System、Documents、Downloads、Tools

后记

后来发现只要将 macOS 中的文件拷贝至挂载的 windows 分区就会报““访达”不能完成该操作，因为不能读取或写入“XXX”中的数据。（错误代码 -36）”
使用 cp 命令复制会报“cp: XXX: could not copy extended attributes to ./XXX: Operation not supported on socket” 的错误，但实际文件已经正确拷贝过去了。
查了下载 macOS 与 NTFS 之间进行文件交互的确会有这个问题，目前没找到很好的解决办法。

实战：在 CentOS7上部署 Jumpserver1.2

2018-04-20T05:48:22.000Z

实战：CentOS7 一步步部署安装 jumpserver1.2，看看都踩过哪些坑。
Jumpserver 终于升级到1.2版本了！之前试用了1.0版本，由于 Bug 太多，搭建的时候各种报错，简直噩梦。搭建后还是有乱码等问题，因时间关系就没继续折腾了。这次听说1.2版本修复了不少 Bug，效果不错就决定继续折腾了。

部署环境

系统：CentOS7.4
IP： 172.31.12.12
关闭 selinux 及防火墙

准备

安装前准备，selinux，防火墙及字符集配置

## 关闭 selinux 及防火墙
$ sudo sed -i 's/^SELINUX=enforcing/SELINUX=disabled/' /etc/selinux/config
$ sudo setenforce 0
$ sudo systemctl stop iptables firewalld
$ sudo systemctl disable iptables firewalld
## 更改系统默认语言字符集
localedef -c -f UTF-8 -i zh_CN zh_CN.UTF-8
## 永久生效
echo > /etc/profile.d/locale.sh << EOF
export LC_CTYPE=zh_CN.UTF-8
export LC_ALL=zh_CN.UTF-8
EOF
echo 'LANG=zh_CN.UTF-8' > /etc/locale.conf
## 临时生效
export LC_ALL=zh_CN.UTF-8
## 安装必须软件包
yum -y install wget sqlite-devel xz gcc automake zlib-devel openssl-devel epel-release git

Python3

将 python 由2.7升级至3.6.5。本次安装目录为 /usr/local/python。本机只用来做跳板机，没有其他的项目，配置的是 Python3 的真实环境。所以需保留 python2 并将系统默认 Python 版本改为 python3 。

## 下载安装 Python3
$ wget https://www.python.org/ftp/python/3.6.5/Python-3.6.5.tar.xz
$ sudo tar xf Python-3.6.5.tar.xz -C /usr/local
$ cd /usr/local/Python-3.6.5/
$ sudo ./configure --prefix=/usr/local/python && make && make install
## 修改系统 python 默认版本为 python3 并保留 python2.7
$ which -a python
$ ll /usr/bin/py*
$ ll /usr/bin/easy*
$ sudo mv /usr/bin/pydoc{,2}
$ sudo mv /usr/bin/python{,.old}
$ sudo mv /usr/bin/easy_install{,2}
$ sudo mv /usr/bin/pip{,.old}
$ sudo ln -sf /usr/local/python/bin/python3 /usr/bin/python
$ sudo ln -sf /usr/local/python/bin/pydoc3 /usr/bin/pydoc
$ sudo ln -sf /usr/local/python/bin/easy_install-3.6 /usr/bin/easy_install
$ sudo ln -sf /usr/local/python/bin/idle3 /usr/bin/idle3
$ sudo ln -sf /usr/local/python/bin/pip3 /usr/bin/pip
## 对以下软件使用 python2.7
$ sudo sed -i 's@#!/usr/bin/python@#!/usr/bin/python2.7@' /usr/bin/yum
$ sudo sed -i 's@#!/usr/bin/python@#!/usr/bin/python2.7@' /usr/libexec/urlgrabber-ext-down
## 升级 pip3 
$ sudo pip install --upgrade pip

Jumpserver

下载或克隆 jumpserver 项目

1 2	$ cd /opt $ git clone --depth=1 https://github.com/jumpserver/jumpserver.git && cd jumpserver && git checkout master

安装 YUM 包依赖及 Python 库依赖

1 2	$ cd /opt/jumpserver/requirements $ sudo yum -y install $(cat rpm_requirements.txt) # 如果没有任何报错请继续

使 boto3/botocore/certifi 版本以兼容 jms-storage

此坑一。

1
2

$ sed -e 's/boto3==1.6.4/boto3==1.6.5/' -e 's/botocore==1.9.4/botocore==1.9.5/' -e 's/certifi==2017.11.5/certifi==2018.1.18/' /opt/jumpserver/requirements/requirements.txt
$ sudo pip install -r requirements.txt  # 不要指定-i参数，因为镜像上可能没有最新的包，如果没有任何报错请继续

备注：http://mirrors.aliyun.com/pypi/simple/

数据库 MySQL 及 Redis

数据库搭建

创建并配置数据库 mysql/redis 做 cache 和 celery broke
这里使用的是云数据库 RDS 和 Redis，就不写创建过程了。相关配置可参考之前博客，创建完毕后配置数据库白名单记录下数据库连接地址及配置信息备用。

配置 Jumpserver 数据库连接信息

$ cd /opt/jumpserver
$ cp config_example.py config.py
$ vi config.py
    
# 我们计划修改 DevelopmentConfig 中的配置，因为默认 Jumpserver 使用该配置，它继承自 Config

注意: 配置文件是 Python 格式，不要用 TAB，而要用空格

class DevelopmentConfig(Config):
    
    ...

    # MySQL or postgres setting like:
    DB_ENGINE = 'mysql'
    DB_HOST = 'rm-xxxxxxxoooooo.mysql.rds.aliyuncs.com'
    DB_PORT = 3306
    DB_USER = 'jumpserver'
    DB_PASSWORD = 'somepassword'
    DB_NAME = 'jumpserver'

    # When Django start it will bind this host and port
    # ./manage.py runserver 127.0.0.1:8080
    HTTP_BIND_HOST = '0.0.0.0'
    HTTP_LISTEN_PORT = 8080

    # Use Redis as broker for celery and web socket
    REDIS_HOST = 'r-xoxoxoxoxoxo.redis.rds.aliyuncs.com'
    REDIS_PORT = 6379
    REDIS_PASSWORD = 'somepassword'
    BROKER_URL = 'redis://%(password)s%(host)s:%(port)s/3' % {
        'password': REDIS_PASSWORD,
        'host': REDIS_HOST,
        'port': REDIS_PORT,
    }

...
    
config = DevelopmentConfig()  # 确保使用的是刚才设置的配置文件

生成数据库表结构和初始化数据

1 2	$ cd /opt/jumpserver/utils $ bash make_migrations.sh

导入 sql 时遇到的问题：
此坑二。

ln -sf /usr/local/python/bin/gunicorn /usr/bin/gunicorn
注：修复 FileNotFoundError: [Errno 2] No such file or directory: 'gunicorn': 'gunicorn' 报错。
ln -sf /usr/local/python/bin/celery /usr/bin/celery
注：修复 FileNotFoundError: [Errno 2] No such file or directory: 'celery': 'celery' 报错。

启动验证 Jumpserver

$ cd /opt/jumpserver
$ ./jms start all  # 后台运行使用 -d 参数./jms start all -d
    
# 新版本更新了运行脚本，使用方式./jms start|stop|status|restart all  后台运行请添加 -d 参数

运行不报错，请浏览器访问 http://172.31.12.12:8080/ 默认账号: admin 密码: admin 页面显示不正常先不用处理，搭建 nginx 代理就可以正常访问了

安装 SSH Server 和 WebSocket Server: Coco

下载或获取项目

$ cd /opt
$ git clone https://github.com/jumpserver/coco.git && cd coco && git checkout master
## 安装依赖
$ cd /opt/coco/requirements
$ sudo yum -y  install $(cat rpm_requirements.txt)
## 修复不兼容问题，提示paramiko不兼容问题请忽略
$ sudo sed -e 's/paramiko==2.4.0/paramiko==2.4.0/' -e 's/pyte==0.7.0/pyte==0.5.2/' -e 's/pytz==2017.3/pytz==2017.2/' /opt/coco/requirements/requirements.txt
$ sudo pip install -r requirements.txt

查看配置文件并运行

$ cd /opt/coco
$ cp conf_example.py conf.py  # 如果 coco 与 jumpserver 分开部署，请手动修改 conf.py
$ sudo ./cocod start  # 后台运行使用 -d 参数./cocod start -d
    
# 新版本更新了运行脚本，使用方式./cocod start|stop|status|restart  后台运行请添加 -d 参数

接受注册

启动成功后去Jumpserver→会话管理→终端管理（ http://172.31.12.12:8080/terminal/terminal/ ）接受coco的注册，如果页面不正常可以等部署完成后再处理

安装 Web Terminal 前端 Luna

Luna 已改为纯前端，需要 Nginx 来运行访问。

访问（ https://github.com/jumpserver/luna/releases ）下载对应版本的 release 包，直接解压，不需要编译

解压 Luna

$ cd /opt/
$ wget https://github.com/jumpserver/luna/releases/download/v1.0.0/luna.tar.gz
$ tar xvf luna.tar.gz
$ ls /opt/luna

配置 Nginx 整合各组件

可以直接 yum 安装 nginx。编译安装的话请参考之前博客

准备配置文件修改 /etc/nginx/nginx.conf将以下代码替换文件中的 server 模块：

server {
    listen 80;
    #listen [::]:80 ssl ipv6only=on; 
    server_name j1.opstrip.com;

    proxy_set_header X-Real-IP $remote_addr;
    proxy_set_header Host $host;
    proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;

    if ( $scheme = http ){
        return 301 https://j1.opstrip.com$request_uri;
    }

    #rewrite ^(.*)$  https://$host$1 permanent;
}
    
# HTTPS server
    
server {
    listen 443;
    server_name j1.opstrip.com;

    # 启用HSTS协议
    #add_header Strict-Transport-Security "max-age=63072000; includeSubdomains; preload";

    ssl on;
    ssl_certificate       /etc/nginx/cert.d/opstrip.com/opstrip.com.crt;
    ssl_certificate_key   /etc/nginx/cert.d/opstrip.com/opstrip.com.key;

    ssl_session_cache    shared:SSL:1m;
    ssl_session_timeout  5m;

    #ssl_ciphers  HIGH:!aNULL:!MD5;
    #ssl_prefer_server_ciphers  on;

    proxy_set_header X-Real-IP $remote_addr;
    proxy_set_header Host $host;
    proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;

    location /luna/ {
        try_files $uri / /index.html;
        alias /opt/luna/;
    }

    location /media/ {
        add_header Content-Encoding gzip;
        root /opt/jumpserver/data/;
    }

    location /static/ {
        root /opt/jumpserver/data/;
    }

    location /socket.io/ {
        proxy_pass       http://localhost:5000/socket.io/;  # 如果coco安装在别的服务器，请填写它的ip
        proxy_buffering off;
        proxy_http_version 1.1;
        proxy_set_header Upgrade $http_upgrade;
        proxy_set_header Connection "upgrade";
    }

    #location /guacamole/ {
    #    proxy_pass       http://localhost:8081/;  # 如果guacamole安装在别的服务器，请填写它的ip
    #    proxy_buffering off;
    #    proxy_http_version 1.1;
    #    proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
    #    proxy_set_header Upgrade $http_upgrade;
    #    proxy_set_header Connection $http_connection;
    #    access_log off;
    #}

    location / {
        proxy_pass http://localhost:8080;  # 如果jumpserver安装在别的服务器，请填写它的ip
    }
    access_log /var/log/nginx/access_jumpserver.log;
    error_log /var/log/nginx/error_jumpserver.log;
}

将 SSL 证书放入到相应位置。启动 nginx 与 jumpserver 等组件。

## 启动 nginx
$ sudo systemctl enable nginx
$ sudo systemctl start nginx
$ nginx -t
## 启动 jumpserver
$ cd /opt/jumpserver
$ ./jms start all -d
## 启动 coco
$ cd /opt/coco
$ ./cocod start -d

服务全部启动后，访问域名 (https://j1.opstrip.com) 就可以访问跳板机了。
默认账号: admin 密码: admin 见下图：

如果部署过程中没有接受应用的注册，需要到Jumpserver→会话管理→终端管理 接受 Coco Guacamole 等应用的注册。

测试连接

如果登录客户端是 macOS 或 Linux ，登录语法如下
$ ssh -p2222 admin@j1.opstrip.com
$ sftp -P2222 admin@j1.opstrip.com
密码: admin 如果没有更改coco的配置文件conf.py下面的SSHD_PORT参数，就是默认的2222端口。
如果登录客户端是 Windows ，Xshell Terminal 登录语法如下
$ ssh admin@192.168.244.144 2222
$ sftp admin@192.168.244.144 2222
密码: admin
如果能登陆代表部署成功

也可以添加 ssh 的 key 来登录验证，这样就不需要每次登录输入密码了。enjoy it！

Centos7.3 Kubernetes集群部署

2018-03-28T09:24:24.000Z

下午抽空整了下Kubernetes环境，限于资源的原因，这个环境比较简单：一台master，两台node。搞起！

环境介绍及准备

物理机操作系统

物理机操作系统采用CentOS7.4 64位，细节如下。

[root@opstrip.com ~]# uname -a
Linux opstrip.com 3.10.0-693.2.2.el7.x86_64 #1 SMP Tue Sep 12 22:26:13 UTC 2017 x86_64 x86_64 x86_64 GNU/Linux
[root@opstrip.com ~]# cat /etc/redhat-release 
CentOS Linux release 7.4.1708 (Core)

主机信息

本文准备了三台机器用于部署k8s的运行环境，细节如下：

HostName	IP	Node/function
K8s-master	172.31.12.12	kubernetes, etcd
K8s-node1	172.31.12.13	kubernetes-node, flannel
K8s-node1	172.31.12.14	kubernetes-node, flannel

环境准备

主机名修改

Master：

1	[root@ip-172-31-12-12 ~]# hostnamectl --static set-hostname k8s-master

Node1:

1	[root@ip-172-31-12-13 ~]# hostnamectl --static set-hostname k8s-node1

Node2:

1	[root@ip-172-31-12-14 ~]# hostnamectl --static set-hostname k8s-node2

安装docker及iptables

1	yum install docker iptables-services.x86_64 -y

关闭默认firewalld启动iptables并清除默认规则

systemctl stop firewalld
systemctl disable firewalld
systemctl start iptables
systemctl enable iptables
iptables -F
service iptables save

启动docker并加入开机自启动

1 2	systemctl start docker systemctl enable docker

K8S集群部署

MASTER

master安装kubernetes，etcd

1	[root@k8s-master ~]# yum install kubernetes etcd -y

配置

etcd

# 修改
[root@k8s-master ~]# cd /etc/etcd/
[root@k8s-master etcd]# vim etcd.conf 
9:ETCD_LISTEN_CLIENT_URLS="http://0.0.0.0:2379"
20:ETCD_ADVERTISE_CLIENT_URLS="http://0.0.0.0:2379"
    
# 启动并加入开机自启动
[root@k8s-master etcd]# systemctl start etcd
[root@k8s-master etcd]# systemctl enable etcd
kubernetes
    
# 修改
[root@k8s-master ~]# cd /etc/kubernetes/
[root@k8s-master kubernetes]# ll
total 24
-rw-r--r-- 1 root root 767 Jul  3 23:33 apiserver          #需要配置
-rw-r--r-- 1 root root 655 Jul  3 23:33 config             #需要配置
-rw-r--r-- 1 root root 189 Jul  3 23:33 controller-manager #需要配置
-rw-r--r-- 1 root root 615 Jul  3 23:33 kubelet
-rw-r--r-- 1 root root 103 Jul  3 23:33 proxy
-rw-r--r-- 1 root root 111 Jul  3 23:33 scheduler          #需要配置
    
# 配置config
[root@k8s-master kubernetes]# vim config 
22:KUBE_MASTER="--master=http://172.31.12.12:8080"
    
# apiserver
[root@k8s-master kubernetes]# vim apiserver 
8:KUBE_API_ADDRESS="--insecure-bind-address=0.0.0.0"
11:KUBE_API_PORT="--port=8080"
14:KUBELET_PORT="--kubelet-port=10250"
17:KUBE_ETCD_SERVERS="--etcd-servers=http://127.0.0.1:2379"
23:KUBE_ADMISSION_CONTROL="--admission-control=NamespaceLifecycle,NamespaceExists,LimitRanger,ResourceQuota"
    
# controller-manager 
[root@k8s-master kubernetes]# vim  controller-manager 
8:KUBELET_ADDRESSES="--machines=172.31.12.13,172.31.12.14"  #增加配置
    
# 启动服务并加入开机自启动
[root@k8s-master ~]# systemctl list-unit-files |grep kube
kube-apiserver.service                      disabled     #需要启动
kube-controller-manager.service             disabled     #需要启动
kube-proxy.service                          disabled
kube-scheduler.service                      disabled     #需要启动 
kubelet.service                             disabled    
# 启动
[root@k8s-master ~]# systemctl start kube-apiserver.service kube-controller-manager.service  kube-scheduler.service  
# 查看是否启动
[root@k8s-master ~]# systemctl is-active  kube-apiserver.service kube-controller-manager.service kube-scheduler.service 
active
active
active
# 开机启动
[root@k8s-master ~]# systemctl enable kube-apiserver.service kube-controller-manager.service  kube-scheduler.service

注意：启动顺序 etcd-->kubernetes*

** SLAVE 两个节点相同 **

slave 安装 kubernetes-node

1	yum install kubernetes-node.x86_64 flannel -y

slave配置

[root@k8s-node1 ~]# cd /etc/kubernetes/
[root@k8s-node1 kubernetes]# ll
total 12
-rw-r--r-- 1 root root 655 Jul  3 23:33 config  #需要配置
-rw-r--r-- 1 root root 615 Jul  3 23:33 kubelet #需要配置
-rw-r--r-- 1 root root 103 Jul  3 23:33 proxy
    
# config 
[root@k8s-node1 kubernetes]# vim config 
22:KUBE_MASTER="--master=http://172.31.12.12:8080"
    
# kubelet
5:KUBELET_ADDRESS="--address=0.0.0.0"
8:KUBELET_PORT="--port=10250"
11:KUBELET_HOSTNAME="--hostname-override=172.31.12.13"
14:KUBELET_API_SERVER="--api-servers=http://172.31.12.12:8080"
    
启动并加入开机自启动
[root@k8s-node1 ~]# systemctl list-unit-files |grep kube
kube-proxy.service                          disabled
kubelet.service                             disabled
[root@k8s-node1 ~]# systemctl start kube-proxy.service kubelet.service 
[root@k8s-node1 ~]# systemctl is-active kube-proxy.service kubelet.service 
active
active
[root@k8s-node1 ~]# systemctl enable kube-proxy.service kubelet.service 
    
# flannel配置
[root@k8s-node1 kubernetes]# cd /etc/sysconfig/
[root@k8s-node1 sysconfig]# vim flanneld 
4:FLANNEL_ETCD_ENDPOINTS="http://172.31.12.12:2379"
    
# 启动并加入开机自动：
systemctl start flanneld.service
systemctl enable flanneld.service
    
# 查看flannel状态
[root@k8s-node1 sysconfig]# systemctl is-active flanneld.service
active

注意：此时flannel启动不了，之所以启动不起来是因为etcd里面没有flannel所需要的网络信息，此时我们需要在etcd里面创建flannel所需要的网络信息

master创建 flannel所需要的网络信息：

1 2	[root@k8s-master ~]# etcdctl set /atomic.io/network/config '{ "Network": "172.17.0.0/16" }' { "Network": "172.17.0.0/16" }

集群检查

[root@k8s-master ~]# kubectl get node
NAME             STATUS    AGE
172.31.12.13   Ready     56m
172.31.12.14   Ready     54m

kubernetes集群配置完成！

安装最新版jumpserver

2018-02-01T07:27:01.000Z

线上一直在使用0.3.2版本的jumpserver。随着机器与人员的增多，跳板机的可用性也越来越低了。今天抽空测试了下新版本的jumpserver0.5.0，发现居然增加了redis做celery broker，性能应该有所提升。至于提升多少性能，还要用过一段时间才知道。今天先部署吧。

环境

系统: CentOS 7
IP: 172.31.12.12
关闭 selinux和防火墙

CentOS 7

$ setenforce 0 # 可以设置配置文件永久关闭
$ systemctl stop iptables.service
$ systemctl stop firewalld.service

CentOS 6

$ setenforce 0
$ service iptables stop

准备Python3和Python虚拟环境

安装依赖包

1	$ yum -y install wget sqlite-devel xz gcc automake zlib-devel openssl-devel epel-release

编译安装

1
2
3

$ wget https://www.python.org/ftp/python/3.6.4/Python-3.6.4.tar.xz
$ tar xvf Python-3.6.4.tar.xz  && cd Python-3.6.4
$ ./configure && make && make install

建立python虚拟环境

因为CentOS 6/7自带的是Python2，而yum等工具依赖原来的Python，为了不扰乱原来的环境我们来使用Python虚拟环境

1
2
3

$ cd /opt
$ python3 -m venv py3
$ source /opt/py3/bin/activate

看到下面的提示符代表成功，以后运行jumpserver都要先运行以上source命令，以下所有命令均在该虚拟环境中运行

1	(py3) [root@localhost py3]#

安装Jumpserver 0.5.0

下载或clone项目

项目提交较多git clone时较大，你可以选择去github项目页面直接下载 zip包，我的网速好，我直接clone了

1 2	$ cd /opt/ $ git clone --depth=1 https://github.com/jumpserver/jumpserver.git && cd jumpserver && git checkout dev

安装依赖rpm包

1 2	$ cd /opt/jumpserver/requirements $ yum -y install $(cat rpm_requirements.txt) # 如果没有任何报错请继续

安装python库依赖

1	$ pip install -r requirements.txt # 不要指定-i参数，因为镜像上可能没有最新的包，如果没有任何报错请继续

安装`Redis`, `jumpserver`使用redis做`cache`和`celery broker`

1 2	$ yum -y install redis $ service redis start

安装MySQL

本教程使用mysql作为数据库，如果不使用mysql可以跳过相关mysql安装和配置

centos7

1 2	$ yum -y install mariadb mariadb-devel mariadb-server # centos7下安装的是mariadb $ service mariadb start

centos6

1 2	$ yum -y install mysql mysql-devel mysql-server $ service mysqld start

我是用的是AWS的ElastiCache和RDS服务，因此这里跳过安装Redis/MySQL与授权的操作。

创建数据库 jumpserver并授权

1
2
3

$ mysql
> create database jumpserver default charset 'utf8';
> grant all on jumpserver.* to 'jumpserver'@'127.0.0.1' identified by 'somepassword';

修改jumpserver配置文件

1
2
3

$ cd /opt/jumpserver
$ cp config_example.py config.py
$ vi config.py  # 我们计划修改 DevelopmentConfig中的配置，因为默认jumpserver是使用该配置，它继承自Config

注意: 配置文件是python格式，不要用tab，而要用空格注意: 配置文件是python格式，不要用tab，而要用空格注意: 配置文件是python格式，不要用tab，而要用空格

class DevelopmentConfig(Config):
    DEBUG = True
    DB_ENGINE = 'mysql'
    DB_HOST = '127.0.0.1'
    DB_PORT = 3306
    DB_USER = 'jumpserver'
    DB_PASSWORD = 'somepassword'
    DB_NAME = 'jumpserver'
    EMAIL_HOST = 'smtp.exmail.qq.com'
    EMAIL_PORT = 465
    EMAIL_HOST_USER = 'a@jumpserver.org'
    EMAIL_HOST_PASSWORD = 'somepasswrd'
    EMAIL_USE_SSL = True
    EMAIL_USE_TLS = False
    EMAIL_SUBJECT_PREFIX = '[Jumpserver] '
    SITE_URL = 'http://172.31.12.12:8080'   # 用户收到的邮件，会使用该地址访问
    
...
    
config = DevelopmentConfig()  # 确保使用的是刚才设置的配置文件

生成数据库表结构和初始化数据

1 2	$ cd /opt/jumpserver/utils $ bash make_migrations.sh

运行Jumpserver

1 2	$ cd /opt/jumpserver $ python run_server.py all

运行不报错，请浏览器访问 http://172.31.12.12:8080/ (这里只是jumpserver, 没有web terminal,所以访问web terminal会报错) 初始账号: admin 初始密码: admin

安装`SSH Server`和`Web Socket Server: Coco`

下载clone项目

新开一个终端，连接测试机，别忘了source /opt/py3/bin/activate

1 2	$ cd /opt $ git clone https://github.com/jumpserver/coco.git && cd coco && git checkout dev

安装依赖

1
2
3

$ cd /opt/coco/requirements
$ yum -y  install $(cat rpm_requirements.txt)
$ pip install -r requirements.txt

查看配置文件并运行

1
2
3

$ cd /opt/coco
$ cp conf_example.py conf.py
$ python run_server.py

这时需要去 jumpserver管理后台-终端-终端http://172.31.12.12:8080/terminal/terminal/接受coco的注册

1
2
3

Coco version 0.4.0, more see https://www.jumpserver.org
Starting ssh server at 0.0.0.0:2222
Quit the server with CONTROL-C.

测试连接

1	$ ssh -p2222 admin@172.31.12.12 # 密码: admin

如果是用在windows下，Xshell terminal登录语法如下

1	$ ssh admin@172.31.12.12 2222 # 密码: admin

如果能登录代表部署成功

安装`Web Terminal`前端`Luna`

Luna已改为纯前端，需要nginx来运行访问

下载 release包，直接解压，不需要编译

访问https://github.com/jumpserver/luna/releases，下载对应release包

解压luna

$ pwd 
/opt/
    
$ tar xvf luna.tar.gz
$ ls /opt/luna
...

配置`nginx`整合各组件

安装nginx 根据喜好选择安装方式和版本

详见Nginx安装。

配置文件

server {
    listen 80;
    server_name  j2.opstrip.com;
    
    proxy_set_header X-Real-IP $remote_addr;
    proxy_set_header Host $host;
    proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
    
    location /luna/ {
        try_files $uri / /index.html;
        alias /opt/luna/;
    }
    
    location /media/ {
        add_header Content-Encoding gzip;
        root /opt/jumpserver/data/;
    }
    
    location /static/ {
        root /opt/jumpserver/data/;
    }
    
    location /socket.io/ {
        proxy_pass       http://localhost:5000/socket.io/;
        proxy_http_version 1.1;
        proxy_set_header Upgrade $http_upgrade;
        proxy_set_header Connection "upgrade";
    }
    
    location / {
        proxy_pass http://localhost:8080;
    }
    access_log /var/log/nginx/jumpserver_access.log;
}

运行 nginx

1	# systemctl start nginx

访问 http://j2.opstrip.com

升级

升级jumpserver

1	$ git pull && pip install -r requirements/requirements.txt && cd utils && sh make_migrations.sh

升级coco

1	$ git pull && cd requirements && pip install -r requirements.txt # 不要指定 -i参数

升级luna

重新下载release包

参考来源：https://github.com/jumpserver/jumpserver/wiki/v0.5.0-基于-CentOS7

升级安装Python3

2018-01-23T09:37:51.000Z

创建安装目录

1	[root@myprecious opt]# mkdir /usr/local/python3

下载Python3

1	[root@myprecious opt]# wget https://www.python.org/ftp/python/3.6.4/Python-3.6.4.tar.xz

编译安装

[root@myprecious opt]# tar xf Python-3.6.4.tar.xz && cd Python-3.6.4
[root@myprecious Python-3.6.4]# ./configure --prefix=/usr/local/python3
[root@myprecious Python-3.6.4]# make
[root@myprecious Python-3.6.4]# make install

更改链接使Python2/3两版本共存

[root@myprecious Python-3.6.4]# mv /usr/bin/python{,_bak}
[root@myprecious Python-3.6.4]# mv /usr/bin/pip{,_bak}
[root@myprecious Python-3.6.4]# ln -s /usr/local/python3/bin/python3 /usr/bin/python
[root@myprecious Python-3.6.4]# ln -s /usr/local/python3/bin/pip3 /usr/bin/pip

使常用工具继续使用python2.7版本

1
2

[root@myprecious Python-3.6.4]# sed -i 's@#!/usr/bin/python@#!/usr/bin/python2.7@' /usr/bin/yum
[root@myprecious Python-3.6.4]# sed -i 's@#!/usr/bin/python@#!/usr/bin/python2.7@' /usr/libexec/urlgrabber-ext-down

注：以后碰到其他由python写的工具不能正常工作时也可以先尝试此操作，比如supervisor。

验证python及pip版本

[root@myprecious install]# python -V
Python 3.6.4
[root@myprecious install]# pip -V
pip 9.0.1 from /usr/local/python3/lib/python3.6/site-packages (python 3.6)

在LINUX下如何查找CC攻击

2018-01-12T06:47:17.000Z

什么是CC攻击?CC攻击就是利用大量代理服务器对目标计算机发起大量连接，导致目标服务器资源枯竭造成拒绝服务。那么如何判断查询CC攻击呢?本文主要介绍了一些Linux下判断CC攻击的命令。

查看所有80端口的连接数

1	netstat -nat\|grep -i "80"\|wc -l

对连接的IP按连接数量进行排序

1	netstat -anp \| grep 'tcp\\|udp' \| awk '{print $5}' \| cut -d: -f1 \| sort \| uniq -c \| sort -n

1 2	netstat -ntu \| awk '{print $5}' \| cut -d: -f1 \| sort \| uniq -c \| sort -n netstat -ntu \| awk '{print $5}' \| egrep -o "0-9]{1,3}\.[0-9]{1,3}\.[0-9]{1,3}\.[0-9]{1,3}" \| sort \| uniq -c \| sort -nr

查看TCP连接状态

netstat -nat |awk '{print $6}'|sort|uniq -c|sort -rn

netstat -n | awk '/^tcp/ {print $NF}'|sort|uniq -c|sort -rn

netstat -n | awk '/^tcp/ {++S[$NF]};END {for(a in S) print a, S[a]}'

netstat -n | awk '/^tcp/ {++state[$NF]}; END {for(key in state) print key,"\t",state[key]}'

netstat -n | awk '/^tcp/ {++arr[$NF]};END {for(k in arr) print k,"\t",arr[k]}'

netstat -ant | awk '{print $NF}' | grep -v '[a-z]' | sort | uniq -c

查看80端口连接数最多的20个IP

cat /var/log/nginx/opstrip.com_access.log|awk '{print $1}'|sort|uniq -c|sort -nr|head -100

tail -n 10000 /var/log/nginx/opstrip.com_access.log|awk '{print $1}'|sort|uniq -c|sort -nr|head -100

cat /var/log/nginx/opstrip.com_access.log|awk '{print $1}'|sort|uniq -c|sort -nr|head -100

netstat -anlp|grep 80|grep tcp|awk '{print $5}'|awk -F: '{print $1}'|sort|uniq -c|sort -nr|head -n20

netstat -ant |awk '/:80/{split($5,ip,":");++A[ip[1]]}END{for(i in A) print A,i}' |sort -rn|head -n20

用`tcpdump`嗅探`80端口`的访问看看谁最高

1	tcpdump -i eth0 -tnn dst port 80 -c 1000 \| awk -F"." '{print $1″."$2″."$3″."$4}' \| sort \| uniq -c \| sort -nr \|head -20

查找较多`time_wait`连接

1	netstat -n\|grep TIME_WAIT\|awk '{print $5}'\|sort\|uniq -c\|sort -rn\|head -n20

查找较多的SYN连接

1	netstat -an \| grep SYN \| awk '{print $5}' \| awk -F: '{print $1}' \| sort \| uniq -c \| sort -nr \| more

linux下实用iptables封ip段的一些常见命令：

封单个IP的命令

1	iptables -I INPUT -s 180.169.3.4 -j DROP

封IP段的命令：

1
2
3

iptables -I INPUT -s 180.167.0.0/16 -j DROP
iptables -I INPUT -s 180.168.0.0/16 -j DROP
iptables -I INPUT -s 180.169.0.0/16 -j DROP

封整个段的命令

1	iptables -I INPUT -s 180.0.0.0/8 -j DROP

封几个段的命令

1 2	iptables -I INPUT -s 180.169.3.0/24 -j DROP iptables -I INPUT -s 180.169.4.0/24 -j DROP

想在服务器启动自运行的话有三个方法

把它加到/etc/rc.local中
iptables-save >/etc/sysconfig/iptables可以把你当前的iptables规则放到/etc/sysconfig/iptables中，系统启动iptables时自动执行
service iptables save也可以把你当前的iptables规则放/etc/sysconfig/iptables中，系统启动iptables时自动执行

后两种更好此，一般iptables服务会在network服务之前启来，更安全。

英特尔、谷歌和AWS回应CPU安全事件：AMD和ARM也有问题，影响巨大

2018-01-08T10:34:58.000Z

英特尔方面解释称，其已经向 ARM 、AMD 以及其它多家操作系统供应商报告了此项漏洞。该方同时强调，该漏洞最初是由谷歌公司的 Zero 项目安全小组所发现，这一说法也得到了谷歌方面的证实。

英特尔公司指出，其将发布微代码更新以解决此项问题，而随时间推移这些修复补丁中的一部分亦将被引入硬件当中。

据英特尔所说，本来他们是计划下周当软件和固件都比较完善的时候向用户披露这个信息的，但是由于媒体的报道不准确，引起舆论哗然才让其不得不提前发布声明。在回应时，Intel 表示，这些漏洞不存在被攻击、修改或删除数据的可能，还表示 媒体报道此“漏洞”或“缺陷”是英特尔的产品独有的问题这一说法是不准确的。基于目前为止的分析，许多类型的计算设备（不同供应商的处理器和操作系统）也很容易受到这些攻击。

微软公司拒绝就此事发表评论，不过预计微软也将推出自己的对应补丁。此外，AWS、谷歌公司也发布了自己的报告（见下文）。

意味着什么: 就目前来讲，我们可以看到各大主要芯片与操作系统供应商已经意识到问题的存在，并努力发布修复程序。第一款补丁很可能被纳入微软的新一轮补丁周二发布。目前还不清楚这批补丁会影响到多少不同类型的软件与 CPU 架构，也不明确具体将给 PC 性能造成怎样的影响。

但是，补丁带来的影响会不会比安全问题本身更令人难以接受？根据初步报道，取决于具体任务与处理器型号的不同，PC 用户可能因此遭遇“5% 到 30% 之间的性能衰减”。

英特尔方面似乎 坚信普通用户不会受到任何负面影响。其在一份声明中指出：“与一部分报道相反，任何潜在的性能影响都将取决于实际工作负载。而对普通计算机用户而言，其不会产生任何显著的影响，且性能衰减将随时间推移而得到缓解。”

英特尔公司进一步作出解释，即“具体取决于实际工作负载”，但客户仍然无法借此对影响作出准确的判断。

高管们表示，英特尔公司在研究这项漏洞的影响时，并没有将客户 PC 与数据中心服务器区分开来。事实上，普通用户所使用的应用程序可能遭受 0% 到 2% 的性能影响，但调整依赖应用程序与操作系统间交互的综合性工作负载则可能遭遇最高 30% 的性能衰减。

我们可以做点什么？

英特尔公司给出的建议是补丁、补丁、还是补丁。相信大家已经对这样的陈词滥调非常熟悉：“请咨询您的操作系统供应商或系统制造商，并尽快应用所有可用更新。遵循良好的安全措施以防范恶意软件，这将有助于预防可能的恶意利用活动直到更新工作全面完成。”

机器学习会受到影响吗？

据部分专家分析，这取决于集成模型，对模型每个部分的调用都可能产生影响。此外，生成一个新程序将产生新的开销，内存释放 / 分配算法将更复杂，而 CPU 处理器将成为深度学习 GPU 图像加载的瓶颈。

谷歌回应：Chrome 浏览器将受影响，请按操作更新

谷歌公司则报告称，其 Chrome 浏览器将受到影响，但用户可以采取两步走解决战略：首先，确保您的浏览器更新至版本 63; 其次，可以启用一项名为站点隔离的可选功能，从而将各站点隔离在独立的地址空间内。此可选项目可在 chrome://flags/#enable-site-per-process 当中开启。最后，计划于今年 1 月 23 日发布的 Chrome 64 将能够保护用户免受旁路攻击的侵扰。

受影响设备完整清单如下：

以下未明确列出的所有 Google 产品都不需要用户进行操作。

Android

最新安全更新的设备受到保护。此外，目前我们还未发现此漏洞成功再复制，即未经 ARM Android 设备的授权泄露信息。
最新安全更新的 Nexus 和 Pixel 设备受到保护。

Google Apps / G Suite（Gmail，日历，云端硬盘，网站等）：

无需额外的用户或客户操作。

谷歌浏览器：

一些用户或客户需要采取措施。

Google Chrome 操作系统（例如 Chromebook）：

需要一些额外的用户或客户操作。

Google 云端平台

Google App 引擎：无需额外操作。
Google 计算引擎：需要一些额外操作。
Google Kubernetes 引擎：需要一些额外操作。
Google Cloud Dataflow：需要一些额外操作。
Google Cloud Dataproc：需要一些额外操作。
所有其他 Google 云产品和服务：无需其他操作。
Google 主页 / Chromecast：无需额外操作。
Google Wifi / OnHub：无需额外的用户操作。

具体操作请参考：

https://security.googleblog.com/2018/01/todays-cpu-vulnerability-what-you-need.html

亚马逊回应：此 bug 已存在 20 余年，发布新版 Linux 系统

昨日，亚马逊也作出回应，称这个 bug 其实是 Intel、AMD 等现代处理器存在了 20 多年的问题，目前亚马逊 MC2 fleet 只有一小部分产品是可以抵御攻击的，在未来的几小时之内将会被修复。

Amazon Linux 存储库中提供了更新的 Amazon Linux 内核。2018 年 1 月 3 日下午 10:45（GMT）之后使用默认的 Amazon Linux 配置启动将自动包含更新的软件包。Amazon Linux AMI 用户可以运行以下命令，确保收到更新的软件包：

https://alas.aws.amazon.com/

旁路分析利用是什么？

根据英特尔方面的说法，攻击者可以通过观察高权限内存中的内容利用名为“推测性执行”的 CPU 技术规避必要的权限级别约束。如此一来，攻击者将能够访问其正常情况下无法访问的数据。不过英特尔公司表示其无法对数据内容进行删除或者修改。

事实上，英特尔与研究人员们发现了三种漏洞利用变种，分别为“边界检查旁路”、“分支目标注入”以及“流氓数据加载”，三者在具体攻击手段方面略有不同。但通过操作系统更新，三种问题都能够得到有效缓解。

英特尔公司工程技术负责人 Steve Smith 报告了这一重要发现，并补充称目前还没有观察到对该项漏洞的任何实际利用行为。他同时否认了此项漏洞属于缺陷的说法，亦不承认其出现是为了专门针对英特尔。在本次电话会议上，Smith 向投资者们强调“处理器的运作方式仍然严格遵循我们的设计预期。”

Smith 同时表示，这一发现敦促全球各硬件制造商以“负责任的方式”应对此项漏洞。

这是一个影响到全行业的问题

前文提到的各家企业已经计划在未来一周内陆续发布相关补丁。而英特尔方面则表示，其提前作出评论的原因在于“目前存在诸多不够准确的媒体报道”——但需要强调的是，芯片巨头的声明当中并没有对这些报道作出任何否定。英特尔只是首先向媒体发布了一份声明，而后即召开电话会议。

英特尔公司指出，“英特尔与其它技术企业已经意识到用于描述软件分析方法的新型安全研究成果一旦出于恶意目的而遭利用，可能导致从计算设备上收集敏感数据。”

英特尔公司认为，此项漏洞与其它类型架构同样存在密切关联——这里所指的肯定是 AMD（尽管其否认自家芯片会因此受到影响）以及作为大多数智能手机核心的 ARM。除此之外，另有几家厂商以及操作系统供应商的产品“易受影响”。

微软公司的一位发言人在接受邮件采访时解释称，“我们已经意识到这一影响整个行业的问题，并一直与芯片制造商开展密切合作，旨在开发并测试缓解措施以保护我们的客户。我们正在为云服务部署缓解措施，同时亦发布了对应安全更新，希望保护 Windows 客户免受英特尔、ARM 以及 AMD 支持型硬件芯片内相关漏洞的影响。”

AMD 方面否认其处理器产品受到影响，并在采访中强调称目前 AMD 处理器所面临的风险“几乎为零”。

英特尔则试图解释其为何没有主动站出来曝光问题——芯片巨头宣称，就在此次消息传出之时，其几乎已经完成了漏洞的内部解决。英特尔公司指出，“我们致力于通过负责任的方式披露安全问题，也正因为如此，英特尔与其它供应商才计划在下周公布相关软件与固件更新时正式披露这一问题。”

英特尔回应存疑，网友不买账

虽然官方做出了回应，但是网友们似乎并不买账，大多数网友对这一回应都持怀疑的态度，认为英特尔不够诚实，这样的做法是自欺欺人。知名社交网站 Reddit 上有关英特尔的讨论同样在如火如荼进行着，除了疯狂 diss 英特尔之外，也有网友给出了自己的分析。

我们摘录了部分网友的讨论内容：

网友观点一：

对于有独立数据中心的企业来说可能没太大影响，因为他们不会受到这个漏洞带来的安全问题影响，因此肯定会在没有内核补丁的情况下继续运行他们的数据中心。但对于学术研究人员来说，这可能（会？）确实是一个更大的问题，因为他们通常不管理自己的内核，而是云上运行计算任务。不过 CPU 一般很少成为性能瓶颈，现在大多数 BLAS 密集型计算是在 GPU 上完成的，数据集通常被完全加载到 RAM 中，而在现代库中不会经常产生新的线程。

网友观点二：

这几乎肯定会导致产品召回，并最终从 Linux 内核中删除该内核补丁。

网友观点三：

几乎所有在过去20年中生产的英特尔处理器都受到了影响，许多目前还有人在使用的处理器很可能早已停产，并且没办法快速生产出可以兼容的主板。英特尔可能会召回最近的一款处理器，但是全面召回受影响的处理器将需要数年时间，甚至可能导致公司破产。所以用户只能继续忍受这个内核补丁，直到购买一个新的处理器，由于这个问题补丁导致的性能下降，可能得比计划更早去购买新处理器。也许英特尔会给因为这个原因购买新芯片的客户适当的折扣，以恢复客户对他们的信任。

网友观点四：

或许是时候该买点 AMD 的股票了。

网友观点五：

或者卖掉 Intel 的股票。
https://www.fool.com/investing/2017/12/19/intels-ceo-just-sold-a-lot-of-stock.aspx（英特尔的 CEO 在 12 月中下旬卖掉了大量英特尔的股票）

网友观点六：

他不仅卖掉了一堆股票，而且还卖掉了所有可以卖出的股票（附例说 CEO 必须拥有 25 万股股票——于是他把 25 万股以外的股票全卖掉了…）

网友观点七：

这可能就是为什么微软发布了一个通知，说 Azure 中的一些虚拟机必须先重启，否则将会在 1 月 10 日自动重启。当然，这可能只是标准的维护，因为它不像他们发布大量的信息。补充：这下有趣了，微软刚刚发出了警告，强制要求所有还没重新部署的人立即重新部署。看来是因为 Project Zero 刚刚发布的消息：
https://googleprojectzero.blogspot.com/2018/01/reading-privileged-memory-with-side.html

网友观点八：

我不是这方面的专家，但是这听起来像是跳过了数据结构的边界检查——检查肯定会花费更多时间和资源，如果你确信检查是不必要的，那么直接省略这个步骤可以节省时钟周期。
这听起来像是和推测执行有关。如果你正在推测性地执行一条指令，那么你最终可能会舍弃它的结果，所以执行这个指令花费的代价越少越好。也许英特尔认为他们可以在推测执行的时候跳过priv检查，如果最终发现确实需要这条指令，就在实际执行结果之前执行指令。然而，也许事实证明，这种推测性执行打开了一些通过后门获取数据的方法，比如通过缓存、定时等等，如果异常提前被发现，这个问题就不会暴露了。

网友观点九：

这个修复补丁对于性能到底有多大影响会根据具体的计算任务而有所不同，但不可能全部是 34％。这个补丁确实会损害内核的上下文切换性能。如果你的应用程序一直在做大量的系统调用，这对你的性能影响可能会非常大。然而，直到我们真的看到实际的案例，才能真正了解影响到底有多大。

网友观点十：

这里有两篇文章，他们在集成并启用了该修复补丁的 Windows 10 Insider 上进行了测试，测试结果显示，普通用户其实无需担心。在合成、实际工作负载以及游戏中的 CPU 性能基本未受影响，基准测试中的差异都还在误差范围内。可能唯一有影响的是使用了 NVMe 驱动的用户，比如 960 Pro 这种速度非常快的驱动器，性能损失约 5％，对大多数人来说可以忽略不计。而像基于 NVME 和 SATA 的 SSD，性能损失几乎为 0%，因为这些驱动器的速度没有快到会被影响到。
7700K + 1080 Ti：
https://www.computerbase.de/2018-01/intel-cpu-pti-sicherheitsluecke/#update2
3930K + 1080 Ti：
https://www.hardwareluxx.de/index.php/news/hardware/prozessoren/45319-intel-kaempft-mit-schwerer-sicherheitsluecke-im-prozessor-design.html

网友观点十一：

欸等等，AMD 也被报告“不安全”？哦，哦，哦，是修复补丁把 AMD 视为不安全，而不是 AMD 实际上不安全。补充：Bug 不会影响 AMD。但显然，他们正在向所有架构都推送补丁，而不只是英特尔，这又反过来影响了 AMD 的性能。也许在经过全面测试之后，AMD 会回滚到打补丁之前的版本。补充吐槽：简直是天才，当你出了问题，就强制让别人也出问题。

网友观点十二：

免责声明：我是一名英特尔的工程师，但是我的发言仅代表我个人意见，而且我没有直接参与这项调查。
我已经阅读了谷歌的 Meltdown 论文，可以分享一些想法。我也可以回答大家的问题，但显然我不会分享任何英特尔内部消息。
攻击主要利用了推测性执行（speculative execution），并依赖于缓存方攻击。其实并不是一个真正意义上的“bug”，因为推测性执行就是按照设计工作的，也就是说它不会影响寄存器或内存（除非已提交），但可能会影响缓存。因此，这种攻击会导致 CPU 首先进入某种故障或陷阱，然后按照程序的顺序执行一些访问特权内存的指令。这些指令永远不会退出，因为陷阱会导致他们中断，但可能会推测性地执行，这就可能影响缓存。然后这个攻击会使用一个旁道攻击（side channel attack）来获取缓存的内容，于是就可能在里面发现特权数据。
基本上任何支持推测性执行的硬件都可能被攻击。在操作系统层面可以解决大部分问题，当然从硬件层面上也有很多修复的方法。但是目前这个缺陷的严重程度，与乱序引擎的深度和其他结构的大小基本上是直接相关的。非常糟糕的是，这基本上意味着一个更快的内核就会更脆弱，更容易受到影响。谷歌的这篇文章称，他们发现所有的英特尔、AMD 和 ARM 都存在问题，但他们无法对 AMD 或者 ARM 进行攻击，这可能是因为 AMD 和 ARM 没有那么复杂或者乱序引擎的深度更小（虽然这看起来似乎 ARM 存在另一个相关的问题）。所以英特尔暴露的问题最为严重，因为英特尔的乱序引擎有更高的性能。
Spectre 攻击要少见得多，但对所有 CPU 供应商的影响是一样的。风险较小是因为攻击必须针对一个特定的过程，但是相应的修复起来也很困难。

参考文章

https://www.pcworld.com/article/3245508/components-processors/intel-responds-to-the-cpu-kernel-bug.html
https://www.reddit.com/r/sysadmin/comments/7nl8r0/intel_bug_incoming/
https://www.reddit.com/r/MachineLearning/comments/7ny7kx/n_considering_the_bug_find_in_intel_processors/
https://security.googleblog.com/2018/01/todays-cpu-vulnerability-what-you-need.html
https://amazonaws-china.com/cn/security/security-bulletins/AWS-2018-013/?from=timeline
https://newsroom.intel.com/news/intel-responds-to-security-research-findings/

本文转载于：http://www.infoq.com/cn/news/2018/01/Intel-Google-AWS-CPU-AMD-ARM

CentOS 7 rsync+inotify实现实时同步

2017-12-23T08:15:14.000Z

环境准备

测试环境如下：

inotify-slave IP : 172.31.15.10
inotify-master IP : 172.31.15.11

对两台机的要求：

安装依赖包gcc: yum install gcc –y
关闭selinux
开放端口873

inotify slave部署

安装rsync：

1	[root@opstrip opt]# yum install rsync –y

添加用户和模块目录，并更改用户和组

1
2
3

[root@opstrip opt]# useradd rsync –s /sbin/nologin –M
[root@opstrip opt]# mkdir /data/back
[root@opstrip opt]# chown rsync.rsync /data/back/

修改配置文件`/etc/rsyncd.conf`，内容如下：

uid = rsync
gid = rsync
use chroot = no
max connections = 200
timeout = 300
pid file = /var/run/rsyncd.pid
lock file = /var/run/rsync.lock
log file = /var/log/rsyncd.log
    
[backup]
    path = /data/back/
    ignore errors
    read only = no
    write only = no
    list = false
    hosts allow = 172.31.15.0/24
    hosts deny = 0.0.0.0/0
    auth users = rsync_backup
    secrets file = /etc/rsync.password

**注：ubuntu系统的文件路径一般为/usr/share/doc/rsync/examples/rsyncd.conf，可以创建软链接，结果都一样。**创建方法如下：

1	[root@opstrip opt]# ln -s /usr/share/doc/rsync/examples/rsyncd.conf /etc/rsyncd.conf

配置虚拟用户的密码文件

[root@opstrip opt]# echo 'rsync_backup:jeff' >>/etc/rsync.password
[root@opstrip opt]# chmod 600 /etc/rsync.password
[root@opstrip opt]# rsync --daemon
[root@opstrip opt]# ss -tulpn |grep rsync

加入开机启动

1	[root@opstrip opt]# echo '/usr/bin/rsync --daemon' >>/etc/rc.local

部署服务器（inotify-master）

查看系统是否支持inotity

[root@opstrip opt]# ll /proc/sys/fs/inotify
total 0
-rw-r--r-- 1 root root 0 Jan 24 17:15 max_queued_events
-rw-r--r-- 1 root root 0 Jan 24 17:15 max_user_instances
-rw-r--r-- 1 root root 0 Jan 24 17:15 max_user_watches

Tips：如果显示max_queued_events、max_user_instances、max_user_watches就证明支持inotify。

安装inotify 3.14

[root@opstrip opt]# wget http://github.com/downloads/rvoicilas/inotify-tools/inotify-tools-3.14.tar.gz
[root@opstrip opt]# tar zxf inotify-tools-3.14.tar.gz
[root@opstrip inotify-tools-3.14]# cd inotify-tools-3.14
[root@opstrip inotify-tools-3.14]# ./configure --prefix=/usr/local/inotify
[root@opstrip inotify-tools-3.14]# make && sudo make install

创建备份目录

1	[root@opstrip opt]# mkdir /opt/back/

创建rsync服务的密码文件

1 2	[root@opstrip opt]# echo "jeff" >/etc/rsync.password //此处只写密码即可 [root@opstrip opt]# chmod 600 /etc/rsync.password

编写执行脚本

1	[root@opstrip opt]# vim /usr/local/inotify.sh

#!/bin/bash
host01=172.31.15.10                    //inotify-slaver的IP地址
src=/opt/back                          //本地监控的目录
dst=backup                             //inotify-slave的服务模块名
user=rsync_backup                      //inotify-slave的rsync虚拟用户
rsync_passfile=/etc/rsync.password     //本地调用的rsync密码文件
inotify_home=/usr/local/inotify        //inotify安装目录
    
#judge
if [ ! -e "$src" ] || [ ! -e "${rsync_passfile}" ] || [ ! -e "${inotify_home}/bin/inotifywait" ] || [ ! -e "/usr/bin/rsync" ]; then
    echo "Check File and Folder"
    exit 9
fi
    
${inotify_home}/bin/inotifywait -mrq --timefmt '%d/%m/%y %H:%M' --format '%T %w%f' -e close_write,delete,create,attrib $src | while read file
do
    #  rsync -avzP --delete --timeout=100 --password-file=${rsync_passfile} $src $user@$host01::$dst >/dev/null 2>&1
    cd $src && rsync -aruz -R --delete ./  --timeout=100 $user@$host01::$dst --password-file=${rsync_passfile} >/dev/null 2>&1
done
exit 0

将脚本加入后台执行

1	[root@opstrip opt]# sh inotify.sh &

加入开机启动

1	[root@opstrip opt]# echo '/bin/bash /opt/inotify.sh &' >>/etc/rc.local

测试实时同步

部署前建议先运行这一步验证，然后再执行第二步

1	[root@opstrip opt]# rsync -avz /opt/back/test.txt rsync_backup@172.31.15.10::backup --password-file=/etc/rsync.password

改变SSH的默认端口为3333时，rsync的连接方法如下

1 2	# 此处用`-e 'ssh -p 3333'`来指定SSH连接端口 [root@opstrip opt]# /usr/bin/rsync -av /backup/* -e 'ssh -p 3333' root@172.31.15.10:/backup/

运维宝典

CentOS7迁移到RockyLinux9

CentOS 7 Update

安装CentOS 8 的最小版本

迁移到Rocky Linux 8

使用ELevate leapp升级系统

Rocky Linux 8 到Rocky Linux 9 (非leapp方式)

13个实用的Kubernetes技巧

git常用操作总结

1、初始化用户

2、秘钥

3、本地库和远程库

①已创建有远程库，未创建本地库

②已创建本地库，未创建远程库

4、分支操作

5、正常流程

6、对比文件

7、查看历史提交记录

8、版本回退

9、撤销工作区修改

10、删除文件

11、分支管理策略

12、储藏工作现场

13、多人协作工作模式

14、创建.gitignore

15、创建别名

16、git 配置文件

17、git fetch和git pull区别

18、git删除未跟踪文件

19、在本地删除远程已经没有的分支

20、重命名本地分支

21、删除远程分支

22、本地分支与远程分支建立关联（远程分支不存在也可以）

23、重新跟踪远程文件

在debian 12上安装shadowsocks

1、服务端安装配置

1.1、安装配置shadowsocks-libev

1.2、安装v2ray-plugin插件

2、PC端安装配置

2.1、配置ShadowsocksX-NG

公有云迁移至kubernetes需要做哪些准备？有哪些坑需要注意的？

迁移前的准备工作

评估应用架构

容器化应用

设计 Kubernetes 架构

配置管理

CI/CD 流水线

监控与日志

网络与安全

备份与恢复

迁移过程中需要注意的“坑”

资源分配问题

网络性能问题

存储管理问题

应用依赖问题

配置管理问题

安全性问题

监控与日志问题

版本兼容性问题

迁移过程中的停机时间

团队技能问题

迁移后的优化与验证

性能优化

稳定性验证

成本优化

持续改进

总结

都有哪些常见的容器引擎

容器运行时

Docker Engine

containerd

CRI-O

rkt（Rocket）

Windows Containers

OpenVZ

Buildah

容器编排与管理

Kubernetes

Apache Mesos

Nomad

17、`git fetch`和`git pull`区别

1.2、安装`v2ray-plugin`插件

创建`Pod`

创建`Deployment`

创建`Service`