加密协议命名有2种规则,一种是简化的方式,类似于 OpenSSL 的命名规则,另外一种使用了更详细的命名规则,将加密算法、密钥交换算法和哈希算法都表示出来。查看域名支持的TLS和加密协议方法:在线工具(检测出来的是详细命名规则):SSL在线工具-SSL/HTTPS协议检测-TLS版本检测-加密套件检测-SSLeye官网 命令行工具(检测出来的是简单命名规则):sslscan 域名:端口
Linux capabilities 是什么?Capabilities机制从内核 2.2 开始,Linux 将传统上与超级用户 root 关联的特权划分为不同的单元,称为 capabilites。Capabilites 作为线程(Linux 并不真正区分进程和线程)的属性存在,每个单元可以独立启用和禁用。如此一来,权限检查的过程就变成了:在执行特权操作时,如果进程的有效身份不是 root,就去检查
Nessus是全球使用人数最多的系统漏洞扫描与分析软件,这是一个免费、威力强大、更新频繁并简易使用的远端系统安全扫描程序,功能十分强大。 Nessus官网地址:Download Tenable Nessus | Tenable® 部署方法:https://blog.csdn.net/legend818/article/details/131418748 注意:ness
问题在Kuberetes应用中,一般都是通过Ingress来暴露HTTP/HTTPS的服务。但是在实际应用中,还是有不少应用是TCP长连接的,这个是否也是可以通过Ingress来暴露呢?大家知道Kubernetes社区默认带了一个Nginx的Ingress的,而它本身又是支持TCP做反向代理的。所以也就能支持TCP方式的Ingress的。具体可以参考:https://kubernetes.gith
问题:Ubuntu系统执行apt install openjdk-8-jdk 安装jdk8报错root@2b6d781ebc36:/# apt install openjdk-8-jdk Reading package lists... Done Building dependency tree... Done Reading state information... Done Some
一、替换依赖rocketmq-namesrv-5.1.1.jar包1.查看jar包的目录结构与文件jar tf rocketmq-dashboard.jar |grep rocketmq-namesrv-4.9.3.jar2.解压jar包jar -xvf rocketmq-dashboard.jar3.替换依赖的jar包下载依赖包:wget https://repo1.maven.org/mave
apt-get install curl openssh-server ca-certificates postfix在安装 Postfix 的过程中可能会出现一个配置界面,选择“Internet Site”并按下回车。把“mail name”设置为您服务器的外部 DNS 域名并按下回车。如果还有其它配置界面出现,继续按下回车以接受默认配置。2.下载安装包:wget --content-dispo
在k8s的使用过程中,经常会遇到需要将请求转发到集群外,下面列出2个场景需要将请求转发至集群外的域名+路径(http://www.example.org/pt/index.html)apiVersion: extensions/v1beta1 kind: Ingress metadata: name: external-ingress annotations: nginx.ingr
一、背景Kubernetes 主要通过 API Server 对外提供服务,对于这样的系统来说,如果不加以安全限制,那么可能导致请求被滥用,甚至导致整个集群崩塌。Kubernetes 中提供了良好的多租户认证管理机制,RBAC正式其中重要的一个,今天我们来详细聊聊 K8s 中的 RBAC。二、相关概念2.1在RBAC模型里面,有3个基础组成部分,分别是:用户、角色和权限。 User(用
比如在有些时候我们需要在 server 里或者 location 里一些参数,例如安全头、包体大小限制、跨域配置、自定义header、处理响应header等等。遇到这些需求的时候,我们开始怀念原生的 nginx 配置,因为那样我们可以随心所欲的修改。我们有这样的需求,官方在做这个的时候,也做了一些考虑,为了我们提供了一些配置切入点,我们可以通过配置 annotation,按照官方提
镜像存放路径:/var/lib/docker/image/overlay2/layerdb/sha256 镜像解压后存放路径(lower):/var/lib/docker/overlay2/*/diff(只读) 创建容器时生成的路径(upper):/var/lib/docker/overlay2/*/diff(读写) 容器运行时映射到宿主机的路径(meger):/var/lib/docker/ov
containerd为runc时,标准输出(stdout)的日志文件存放在node:/var/log/containerscontainerd为runc时,运行的所有文件(merger层)存放在node:/run/containerd/io.containerd.runtime.v2.task/k8s.io/containerd为runc时,lower层和upper层存在node:/var/lib
pod正常运行一段时间发现pod被驱逐了(启动了新的pod),原来的pod状态是error,有如下异常错误The node was low on resource: ephemeral-storage. Container m2m was using 201832260Ki, which exceeds its request of 0。出现的原因的node磁盘资源不足,导致pod被驱逐了。pod
overlayfs是内核支持的文件系统,具体可参考overlayfs in kernel文档中的解释。overlaylfs是文件系统之上的文件系统。可以称之为上层文件系统。了解虚拟化的同学应该了解underly网络和overlay网络。所谓overlay网络也就是在物理网络基础上虚一个网络平面出来。Overlayfs 既然是上层文件系统,他就不需要直接和磁盘等存储系统进行交互,他就直接和其
本文重点内容:编译生成nginx_accept_language_module镜像容器启动后,docker logs没日志输出多阶段编译,优化镜像大小Dockerfile内容如下:FROM daocloud.io/library/centos:7 as baseMAINTAINER nginxRUN yum install -y epel-releaseRUN yum install -y
nacos通过https登录,页面提示用户名密码错误,http登录没有问题。登录页面报错图:nacos应用日志:解决方案:将配置中的.allowedOrigins替换成.allowedOriginPatterns即可。原配置:改后的配置:
curl -L -X POST -u elastic:123456 'http://127.0.0.1:9200/nginx*/_search?pretty' -H 'Content-Type: application/json' -d '{ "track_total_hits": true, "sort": [ {
pod网络每个node节点有一个物理网卡eth0,同时也会虚拟出一个网桥cbr0,每个node的网桥IP是唯一的。每个pod的IP是和虚拟出来的网桥在同一网段,pod里的container(容器)通过localhost交互,他们共享pod的网络。同一node上的pod之间的交互式通过虚拟的网桥进行,不同node上的pod也是可以通信的,k8s会添加相应的路由规则。比如,当你访问10.0.1.0/2
直接上实操,干邦邦的干。mkdir /sftpgroupadd -g 2000 sftp用户sftp1useradd -d /sftp/sftp1 -s /bin/false -g sftp sftp1mkdir -p /sftp/sftp1/sftp1chown -R root.sftp /sftp/sftp1chmod -R 755 /sftp/sftp1chown -
Nginx 是开源、高性能、高可靠的 Web 和反向代理服务器,而且支持热部署,性能是 Nginx 最重要的考量,其占用内存少、并发能力强、能支持高达 5w 个并发连接数。Nginx 特点:高并发、高性能、模块化架构使得它的扩展性非好、热部署、平滑升级。Nginx 应用程序命令:nginx
Job API 对象的定义一次性任务,执行完成后自动退出。spec.parallelism,它定义的是一个 Job 在任意时间最多可以同时启动多少个 Pod 运行;spec.completions,它定义的是 Job 至少要完成的 Pod 数目,即 Job 的最小完成数。restartPolicy 在 Job 对象里只允许被设置为 Never 和 OnFailure,当restartPoli
K8S内存泄漏问题处理问题描述我使用kubeadm 安装的K8S集群,随着pod增多,运行的时间久了,就会出现不能创建pod的情况。当kubectl describe pod,发现有 cannot allocate memory的错误信息。只有重启对应的服务器,才可以增加pod,异常提示才会消失。但继续随着时间的推移,pod的增多,该问题会继续出现。问题分析根据pod的异常信息,初步判断K8S可能
kubernetes默认使用docker容器部署的应用,会出现时间与主机不一致的情况容器时间与主机差8个小时:主机的与容器的/etc/localtime不一致解决方法:挂载主机的/etc/localtime,如果没有则cp /usr/share/zoneinfo/Asia/Shanghai /etc/localtime如果里面运行的是java程序,哪么程序时间还是会8个小时的差别:主要是Java或
CA是Certificate Authority的简写,是证书的签发机构,类似于生活中的派出所。CA证书是CA签发的证书,用户唯一识别身份的,类似于生活中的身份证。CSR文件:是申请证书用的文件,类似生活中的出生证明。私钥:唯一存在的一串字符串,类似生活中的指纹或DNA。公钥:与私钥成对出现,一个用于加密,另一个用于解密。根证书:CA机构的证书,有CA机构的公钥。CA证书内容:有被CA机构的私钥加
sshpass:一个很棒的免交互SSH登录工具。安装命令:yum -y install sshpass使用命令:-p 直接在命令行给出passwordsshpass -p 'redhat' ssh root@192.168.2.2 'pwd' -f 文件首行给出password。ssh
对pod抓包有两种办法:一、进入pod内使用tcpdump抓包:kubectl get pod -owide -n namespace | grep podnamekubectl exec -it podname -n namespace -- bashtcpdump -i any -vnn host 192.168.1.5 and udp and port 6033 -w name.pcaptc
ELK是一套开源免费且功能强大的日志分析管理系统,由Elasticsearch、Logstash、Kibana三部分组成,简称ELK。Elasticsearch:分布式搜索和分析引擎,具有高可伸缩、高可靠和易管理等特点。基于 Apache Lucene 构建,能对大容量的数据进行接近实时的存储、搜索和分析操作。通常被用作某些应用的基础搜索引擎,使其具有复杂的搜索功能;Logstash:数据收集引
一、什么是subPath为了支持单一个pod多次使用同一个volume而设计,subpath翻译过来是子路径的意思,如果是存储卷挂载在容器,指的是存储卷目录的子路径,如果是配置项configMap/Secret,则指的是挂载在容器目录的子路径。 二、subPath的使用场景1、 1个pod中可以拉起多个容器,有时候希望将不同容器的路径挂载在存储卷volume的子路径,这个时候需要用到su
liveness probe(存活探测器):用于探测pod里的容器是否为正常提供服务,通俗说就是应用是否正常,如果应用运行状态不正常,则重启容器。 readiness probe(就绪探测器):用于探测pod里的容器是否准备好,通俗说就是应用是否准备好,只有pod上的所有容器都处于就绪状态,才会认定pod是准备好了,否则就会把它从service(endpoint)里移除,这样流量就不会被路由分到这
Copyright © 2005-2024 51CTO.COM 版权所有 京ICP证060544号
