加密协议命名有2种规则,一种是简化的方式,类似于 OpenSSL 的命名规则,另外一种使用了更详细的命名规则,将加密算法、密钥交换算法和哈希算法都表示出来。查看域名支持的TLS和加密协议方法:在线工具(检测出来的是详细命名规则):SSL在线工具-SSL/HTTPS协议检测-TLS版本检测-加密套件检测-SSLeye官网 命令行工具(检测出来的是简单命名规则):sslscan 域名:端口
Linux capabilities 是什么?Capabilities机制从内核 2.2 开始,Linux 将传统上与超级用户 root 关联的特权划分为不同的单元,称为 capabilites。Capabilites 作为线程(Linux 并不真正区分进程和线程)的属性存在,每个单元可以独立启用和禁用。如此一来,权限检查的过程就变成了:在执行特权操作时,如果进程的有效身份不是 root,就去检查
Nessus是全球使用人数最多的系统漏洞扫描与分析软件,这是一个免费、威力强大、更新频繁并简易使用的远端系统安全扫描程序,功能十分强大。 Nessus官网地址:Download Tenable Nessus | Tenable® 部署方法:https://blog.csdn.net/legend818/article/details/131418748 注意:ness
问题在Kuberetes应用中,一般都是通过Ingress来暴露HTTP/HTTPS的服务。但是在实际应用中,还是有不少应用是TCP长连接的,这个是否也是可以通过Ingress来暴露呢?大家知道Kubernetes社区默认带了一个Nginx的Ingress的,而它本身又是支持TCP做反向代理的。所以也就能支持TCP方式的Ingress的。具体可以参考:https://kubernetes.gith
问题:Ubuntu系统执行apt install openjdk-8-jdk 安装jdk8报错root@2b6d781ebc36:/# apt install openjdk-8-jdk Reading package lists... Done Building dependency tree... Done Reading state information... Done Some
一、替换依赖rocketmq-namesrv-5.1.1.jar包1.查看jar包的目录结构与文件jar tf rocketmq-dashboard.jar |grep rocketmq-namesrv-4.9.3.jar2.解压jar包jar -xvf rocketmq-dashboard.jar3.替换依赖的jar包下载依赖包:wget https://repo1.maven.org/mave
apt-get install curl openssh-server ca-certificates postfix在安装 Postfix 的过程中可能会出现一个配置界面,选择“Internet Site”并按下回车。把“mail name”设置为您服务器的外部 DNS 域名并按下回车。如果还有其它配置界面出现,继续按下回车以接受默认配置。2.下载安装包:wget --content-dispo
在k8s的使用过程中,经常会遇到需要将请求转发到集群外,下面列出2个场景需要将请求转发至集群外的域名+路径(http://www.example.org/pt/index.html)apiVersion: extensions/v1beta1 kind: Ingress metadata: name: external-ingress annotations: nginx.ingr
一、背景Kubernetes 主要通过 API Server 对外提供服务,对于这样的系统来说,如果不加以安全限制,那么可能导致请求被滥用,甚至导致整个集群崩塌。Kubernetes 中提供了良好的多租户认证管理机制,RBAC正式其中重要的一个,今天我们来详细聊聊 K8s 中的 RBAC。二、相关概念2.1在RBAC模型里面,有3个基础组成部分,分别是:用户、角色和权限。 User(用
比如在有些时候我们需要在 server 里或者 location 里一些参数,例如安全头、包体大小限制、跨域配置、自定义header、处理响应header等等。遇到这些需求的时候,我们开始怀念原生的 nginx 配置,因为那样我们可以随心所欲的修改。我们有这样的需求,官方在做这个的时候,也做了一些考虑,为了我们提供了一些配置切入点,我们可以通过配置 annotation,按照官方提
镜像存放路径:/var/lib/docker/image/overlay2/layerdb/sha256 镜像解压后存放路径(lower):/var/lib/docker/overlay2/*/diff(只读) 创建容器时生成的路径(upper):/var/lib/docker/overlay2/*/diff(读写) 容器运行时映射到宿主机的路径(meger):/var/lib/docker/ov
containerd为runc时,标准输出(stdout)的日志文件存放在node:/var/log/containerscontainerd为runc时,运行的所有文件(merger层)存放在node:/run/containerd/io.containerd.runtime.v2.task/k8s.io/containerd为runc时,lower层和upper层存在node:/var/lib
pod正常运行一段时间发现pod被驱逐了(启动了新的pod),原来的pod状态是error,有如下异常错误The node was low on resource: ephemeral-storage. Container m2m was using 201832260Ki, which exceeds its request of 0。出现的原因的node磁盘资源不足,导致pod被驱逐了。pod
overlayfs是内核支持的文件系统,具体可参考overlayfs in kernel文档中的解释。overlaylfs是文件系统之上的文件系统。可以称之为上层文件系统。了解虚拟化的同学应该了解underly网络和overlay网络。所谓overlay网络也就是在物理网络基础上虚一个网络平面出来。Overlayfs 既然是上层文件系统,他就不需要直接和磁盘等存储系统进行交互,他就直接和其
本文重点内容:编译生成nginx_accept_language_module镜像容器启动后,docker logs没日志输出多阶段编译,优化镜像大小Dockerfile内容如下:FROM daocloud.io/library/centos:7 as baseMAINTAINER nginxRUN yum install -y epel-releaseRUN yum install -y
nacos通过https登录,页面提示用户名密码错误,http登录没有问题。登录页面报错图:nacos应用日志:解决方案:将配置中的.allowedOrigins替换成.allowedOriginPatterns即可。原配置:改后的配置:
curl -L -X POST -u elastic:123456 'http://127.0.0.1:9200/nginx*/_search?pretty' -H 'Content-Type: application/json' -d '{ "track_total_hits": true, "sort": [ {  
pod网络每个node节点有一个物理网卡eth0,同时也会虚拟出一个网桥cbr0,每个node的网桥IP是唯一的。每个pod的IP是和虚拟出来的网桥在同一网段,pod里的container(容器)通过localhost交互,他们共享pod的网络。同一node上的pod之间的交互式通过虚拟的网桥进行,不同node上的pod也是可以通信的,k8s会添加相应的路由规则。比如,当你访问10.0.1.0/2
直接上实操,干邦邦的干。mkdir /sftpgroupadd -g 2000 sftp用户sftp1useradd -d /sftp/sftp1 -s /bin/false -g sftp sftp1mkdir -p /sftp/sftp1/sftp1chown -R root.sftp /sftp/sftp1chmod -R 755 /sftp/sftp1chown -
Nginx 是开源、高性能、高可靠的 Web 和反向代理服务器,而且支持热部署,性能是 Nginx 最重要的考量,其占用内存少、并发能力强、能支持高达 5w 个并发连接数。Nginx 特点:高并发、高性能、模块化架构使得它的扩展性非好、热部署、平滑升级。Nginx 应用程序命令:nginx
JDK自带的工具在JDK的bin目录下有很多命令行工具: 我们可以看到各个工具的大小基本上都稳定在27kb左右,这个不是JDK开发团队刻意为之的,而是因为这些工具大多数是jdk\lib\tools.jar类库的一层薄包装而已,他们的主要功能代
Job API 对象的定义一次性任务,执行完成后自动退出。spec.parallelism,它定义的是一个 Job 在任意时间最多可以同时启动多少个 Pod 运行;spec.completions,它定义的是 Job 至少要完成的 Pod 数目,即 Job 的最小完成数。restartPolicy 在 Job 对象里只允许被设置为 Never 和 OnFailure,当restartPoli
K8S内存泄漏问题处理问题描述我使用kubeadm 安装的K8S集群,随着pod增多,运行的时间久了,就会出现不能创建pod的情况。当kubectl describe pod,发现有 cannot allocate memory的错误信息。只有重启对应的服务器,才可以增加pod,异常提示才会消失。但继续随着时间的推移,pod的增多,该问题会继续出现。问题分析根据pod的异常信息,初步判断K8S可能
kubernetes默认使用docker容器部署的应用,会出现时间与主机不一致的情况容器时间与主机差8个小时:主机的与容器的/etc/localtime不一致解决方法:挂载主机的/etc/localtime,如果没有则cp /usr/share/zoneinfo/Asia/Shanghai /etc/localtime如果里面运行的是java程序,哪么程序时间还是会8个小时的差别:主要是Java或
k8s安全机制1.k8s安全框架介绍访问K8S集群的资源需要过三关:认证、鉴权、准入控制 普通用户若要安全访问集群API Server,往往需要证书、 Token或者用户名+密码;Pod访问,需要ServiceAccount K8S安全控制框架主要由下面3个阶段进行控制,每一个阶段 都支持插件方式,通过API Server配置来启用插件。1. Authenticatio
CA是Certificate Authority的简写,是证书的签发机构,类似于生活中的派出所。CA证书是CA签发的证书,用户唯一识别身份的,类似于生活中的身份证。CSR文件:是申请证书用的文件,类似生活中的出生证明。私钥:唯一存在的一串字符串,类似生活中的指纹或DNA。公钥:与私钥成对出现,一个用于加密,另一个用于解密。根证书:CA机构的证书,有CA机构的公钥。CA证书内容:有被CA机构的私钥加
1、JAVA_TOOL_OPTIONS是何物有些应用不方便设置JVM参数,如命令行应用、通过JNI(Java Native Interface)API调用虚拟机的应用、脚本嵌入虚拟机中的应用等。这种情况环境变量JAVA_TOOL_OPTIONS就非常有用了,它会被JNI API的JNI_CreateJavaVM函数使用。Note:在有些场景为了安全考虑环境变量JAVA_TOOL_OPTIONS是被
l使用ActiveMQ自带simpleAuthenticationPlugin1.直接将用户名写入activemq.xml文件<plugins> <simpleAuthenticationPlugin> <users> <authenticationUser username="usern
内容简介:Kubernetes 集群的安全性的重要程度不用强调,当我们与集群交互时,不管是通过Kubernetes 集群的访问权限控制由 kube-apiserver 负责,kube-apiserver 的访问权限控制由身份验证(authentication)、授权(authorization)和准入控制(admission control)三步骤组成,这三步骤是按序进行的。本文转载自:htt
Copyright © 2005-2024 51CTO.COM 版权所有 京ICP证060544号