Salt的安全设置 1. 订阅salt官方的通告,以便接收最新的通知 2. 使用salt acl系统来限制salt-minion的root权限 3. 使用salt acl系统来限制salt-minion可以执行哪些命令 4. 使用外部的pillar管理工具来替代登录到系统中修改文件的方式 5. 将sls文件通过版本控制工具管理起来,并经过评审后在生产环境中执行 6. 如果要将salt-master暴露给外部服务,要用salt-api\ssl并通过验证 7. salt-minion通过event系统和reactor来向master通信,而不是直接访问salt-master 8. salt-master运行在非root用户下 9. 禁用部分模块加载到minion上,例如cmd模块 10. 阅读完所有的...阅读全文
::Ordering, io}; use std::io::{self, Write}; // 引入 std::io 和 std::io::Write 引入模块下所有共有元素, 需谨慎使用, 一般在测试时或预加载时使用use std::collections::*; re-exporting names with pub use (暂且跳过)使用外部包(External Packages)在文件Cargo.toml中添加依赖[dependencies], Cargo从crates.io下载所需要的依赖包.[dependencies] rand = "0.5.5"引入rand中的Rng特性(trait)use rand::Rng; fn main() { let secret_number = rand...阅读全文
引入的新的仲裁控制器确保元数据在整个仲裁中可以被准确复制。活动控制器将元数据存储在事件源日志主题中,仲裁中的其他控制器对活动控制器创建的事件做出响应。事件日志定期进行快照,确保日志不会无限增长。与基于 ZooKeeper 的控制器不同,如果出现了问题,仲裁控制器不需要从 ZooKeeper 加载状态,因为集群的内部状态已经分布在元数据主题中。这大大减少了不可用时间窗口,缩短了系统最坏情况恢复时间。下图显示了使用新的仲裁控制器比使用 ZooKeeper 更快地关闭具有 200 万个分区的 Kafka 集群。新的 KRaft 共识算法和仲裁控制器使得 Kafka 集群可以扩展到数百万个分区,不仅提升了稳定性,让 Kafka 变得更容易监控、管理和支持,而且让整个系统可以有一个单一的安全模型,使...阅读全文
从 Notion 到 Focalboard近两年来,Notion 作为一款在线笔记应用,以其强大的功能和优雅的颜值获得了大量用户的关注和喜爱。大量的用户通过 Notion 的 Block 、Database等功能,挖掘了适合教育、营销、市场管理、开发等多个场景的使用模版。然而,Notion 在国内使用也有不少槽点:加载速度慢、迟迟没有提供汉化版、不能离线使用、本地存储等。当然,这些槽点也有一些解决方案。比如,针对网络问题,可以使用 Notion Fast等插件进行加速;针对语言问题,现在已经有了非官方的汉化方案。离线使用和本地存储的话,不知道 Notion 是否有相关规划。Notion对于一些用户而言,由于工作环境存在数据加密等需求,离线使用和本地存储成为刚需。对此,Anytype 这款开...阅读全文
,但是当应用程序繁重,需要 CPU 做大量工作时,Node.js 肯定会有所欠缺。在这种情况下,PHP 最适合做 Web 应用程序的后端。 5.单页应用程序: 如果您使用过 Gmail,那么您可能知道什么是单页应用程序(Single Page Application)。Web 应用程序在初始客户端请求时加载,之后根据客户端请求刷新的网页的特定部分。Node.js 与 AngularJS 的联合是开发单页应用程序的完美方案。 6.开发环境: Node.js 可以用于桌面应用程序开发(Windows,Linux和Mac),移动应用程序开发(混合和跨平台应用程序),甚至构建基于控制台的应用程序。虽然有一些也可以使用 PHP 来开发,但是大多数开发人员不会这样做。 7.社区支持: 由于 PHP 比...阅读全文
。 有通用触发器(例如定时器,webhooks)和集成触发器(例如,Sensu告警,JIRA问题更新)。 通过编写传感器插件可以定义新的触发器类型。动作(Actions)StackStorm出站集成。 有通用动作(ssh,REST调用),集成(OpenStack,Docker,Puppet)或自定义操作。 动作是Python插件或任何脚本,通过添加几行元数据将其消耗到StackStorm中。 动作可以由用户通过CLI或API直接调用,或者作为规则和工作流程的一部分使用和调用。 规则(Rules)将触发器映射到动作(或工作流),应用匹配条件并将触发器加载到动作输入中。 工作流(Workflows)将动作拼接成“超级动作”,定义顺序,转换条件以及传递数据。 大多数自动化不止一步,因此需要多个动作...阅读全文
。它播放的序列由你决定,但默认情况下它包括一个加密货币挖掘模拟器、composer PHP 依赖管理器、内核编译器、下载器、内存管理等等。不过,我最喜欢的是显示 simcity 加载消息的设置。因此,只要没有人检查得太仔细,你就可以花整个下午的时间等待电脑完成进度条。 Genact 有 linux、os x 和 Windows 版本,Rust 源码可以在 github 上找到。 Hollywood Hollywood 采取了更直接的方式。它本质上是在终端中创建一个随机数和拆分屏幕的配置,并启动看起来很忙的应用程序,如 htop、目录树、源代码文件和其他应用程序等,并每隔几秒钟进行切换。它以 shell 脚本的形式组合在一起,因此可以很容易地根据你的需要进行修改。 Hollywood 的源代码可...阅读全文
辨率得到了改进,以使其永远不会比当前的“ HZ”值更糟,不管客户端连接的数量是多少。 6. RDB文件现在可以更快地加载。根据文件的实际组成(较大或较小的值),您可以期望获得20/30%的改进。现在,当有许多客户端连接时,INFO也更快,这是一个长期存在的问题,现在终于消失了。 7. 我们有一个新命令STRALGO,它实现了复杂的字符串算法。到目前为止,唯一实现的方法是LCS(最长的公共子序列),LCS是一种重要算法,用于比较冠状病毒的RNA(通常比较其他生物的DNA和RNA)。冠状病毒这件事太大,Redis内部需要保留一些痕迹。 原文参考 Redis 6.0.0 GA is out!...阅读全文
根据 Let’s Encrypt CA 的统计,截至 2017 年 11 月,Firefox 加载的网页中启用 HTTPS 的比例占 67%,比去年底的 45% 有巨大提升。浏览器开发商如 Mozilla, Google 准备采取下一步措施:将所有 HTTP 网站标记为不安全。 随着 HTTPS 的普及,给网站加个 SSL 证书已经是大势所趋而且很有必要了。目前已经存在不少免费好用的 SSL 证书,因此,本文就来盘点一下关于免费 SSL 证书的那些事儿。 一、Let’s Encrypt 官方网站:https://letsencrypt.org/ 点评:毫无疑问,Let’s Encrypt 是目前使用范围最为广泛的免费 SSL 证书,而且官方博客宣布,自 2018 年开始提供通配符 SSL...阅读全文
统服务而言,比较重要的就是其中的 service 文件。我们先来看一个httpd.service文件,所在目录: /usr/lib/systemd/system/。其实单元文件可以从两个地方进行加载,优先级从低到高分别是: * /usr/lib/systemd/system/ :软件包安装的单元 * /etc/systemd/system/ :系统管理员安装的单元 Httpd.service 文件样例: ``` [Unit] Description=The Apache HTTP Server After=network.target remote-fs.targetnss-lookup.target Documentation=man:httpd(8) Documentation...阅读全文
显示在二者当中。 3. 桌面部件。桌面部件是指那些小型且功能专一的应用,我们可将它们随意添加到桌面当中。Cinnamon提供的选项包括CPU监控、磁盘监控、天气应用、便签、桌面相框、时间与日期等。 4. 速度。Cinnamon的运行速度极快,程序加载与显示速度也令人满意。虽然这只是根据我的主观感受而且未经任何定时测试,但可以肯定的是,它的速度表现绝不会拖累使用感受。 5. 配置。Cinnamon在可配置性方面不及KDE Plasma,但却已经足够使用甚至超出了我的预期。通过主窗口,我们可以启动特定功能配置窗口,并借此选定新的主题外观、容器边框、图标、控件、指针与桌面等。其他可选项还包括字体与背景等等。我发现其中相当一部分配置工具非常出色,且适度的限制意味着Cinnamon不会像KDE那样带来...阅读全文
-interactive" 在重新加载 SSH 服务器之前,最好检查一下在配置中没有出现任何错误,执行以下命令测试: sshd -t 如果没有标识出任何错误,用新的配置重载 SSH: systemctl reload sshd.service 现在一切都应该开始工作了。现在,当你登录到你的服务器时,你将需要使用 SSH 密钥,并且当你被提示输入: Verification code: 打开 Authenticator APP 并输入为您的服务器显示的 6 位代码。...阅读全文
, Singapore 049514 ,地区选新加坡,SWIFT代码输入OCBCSGSGXXX ,代码输入后银行名址和城市就自动加载出来了。不同银行跨境汇款对比:跨境汇款手续费等关于管理费所有账户首年免管理费,账户超过6个月没余额也不活跃,会自动关闭,也可以找客服申请关户,开户6个月内关户需要收取 30 新元的关户费,第 2 年开始的管理费。STS 账户: 外国人日均存款不超过2万新元 收取 10 新元/月。GSA 账户: 不需要管理费。360 账户: 外国人日均存款不超过 3000 新元 收取 2 新元/月MSA 账户(Monthly Savings Account): 日均存款不超过 500 新元 收取 2 新元/月目前比较合适的保号方案是保留 GSA 账户 +360 账户或 MSA 账户 。MSA 账户...阅读全文
“退优化”已编译的方法,重新开始编译,反而恶化了状况。由此可见,如何准备预热数据其实是一个挺复杂的问题,在实际运维中还没有很好的解决方法。 Dragonwell 提出的 JWarmUp 技术从 JVM 层面解决这一痛点,基本原理是利用之前运行的情况找到热点方法和 java class 信息。之后,JVM 运行实例利用上次的信息来预热,不需要通过人为数据预热。收集热点的实例可以有多种选择,例如在应用集群中选择一个节点,也可以在发布过程中选择一个 beta 发布阶段来收集。相比之前“人为数据”的方式,主要有如下优势: 收集热点时可以利用真实数据,达到更好的编译效果。加速预热过程。由于热点方法可以在加载后直接编译,节省解释执行,profiling 等过程。 该功能在 specjvm 的基准测试中对于...阅读全文
费者和管理客户端KIP-630:Kafka Raft 快照我们在 3.0 中引入的一个主要功能是 KRaft 控制器和 KRaft 代理能够为名为 __cluster_metadata 的元数据主题分区生成、复制和加载快照。Kafka 集群使用此主题来存储和复制有关集群的元数据信息,如代理配置、主题分区分配、领导等。随着此状态的增长,Kafka Raft Snapshot 提供了一种有效的方式来存储、加载和复制此信息.KIP-746:修改 KRaft 元数据记录自第一版 Kafka Raft 控制器以来的经验和持续开发表明,需要修改一些元数据记录类型,当 Kafka 被配置为在没有 ZooKeeper (ZK) 的情况下运行时使用这些记录类型。KIP-730:KRaft 模式下的生产者 ID...阅读全文
需要观测时没有数据。eBPF 执行引擎可通过动态加载执行 eBPF 脚本来采集可观测性数据,举个具体例子,假设原本的 K8S 系统并没有做进程相关的监测,有一天发现了某个恶意进程(如挖矿程序)在疯狂地占用 CPU,这时候我们会发现这类恶意的进程创建应该被监测起来,这时候我们可以通过集成开源的进程事件检测库来是实现,但这往往需要打包、测试、发布这一整套流程,全部走完可能一个月就过去了。相比之下,eBPF 的方式显得更为高效快捷,由于 eBPF 支持动态地加载到内核监听进程创建的事件,所以我们可以将 eBPF 脚本抽象成一个子模块,采集客户端每次只需要加载这个子模块里的脚本完成数据采集,再通过统一的数据通道将数据推送到后端。这样我们就省去了改代码、打包、测试、发布的繁琐流程,通过无侵入的方式动态...阅读全文
格式化后,创建fsimage和edits文件。如果不是第一次启动,直接加载编辑日志和镜像文件到内存。 客户端对元数据进行增删改的请求。 namenode记录操作日志,更新滚动日志。 namenode在内存中对数据进行增删改查。 secondary namenode secondary namenode询问 namenode 是否需要 checkpoint。直接带回 namenode 是否检查结果。 secondary namenode 请求执行 checkpoint。 namenode 滚动正在写的edits日志。 将滚动前的编辑日志和镜像文件拷贝到 secondary namenode。 secondary namenode 加载编辑日志和镜像文件到内存,并合并。 生成新的镜像文件...阅读全文
,这是系列博客的第一篇,深入探讨Docker对namespace技术的应用。 Namespaces 在第一部分,我会在文章中讨论Docker在使用Linux namespace时,如何创建Linux namespace。在之后的博客中我们会讨论namespace如何与其它特性如cgroups和隔离的文件系统相结合,去实现更多有用的功能。 从根本上说,namespace是Linux系统的底层概念,有一些不同类型的命名空间被部署在核内。跟踪docker run -it --privileged --net host crosbymichael/make-containers这段代码,我们就可以深入到每个不同的namespace。开始会有一些预加载文件和配置。尽管我们也会在用Docker为我们运行的...阅读全文
务器 要将 Chrony 作为一个 NTP 服务器,方法很简单。 首先,你需要修改 /etc/chrony.conf 文件,并添加以下配置即可。 # 对于安全要求比较高的,这里可以限制谁能访问本机提供的 NTP 服务。allow 192.168.0.0/16 # 设置 chronyd 监听在哪个网络接口bindcmdaddress 0.0.0.0 # 这个地方很重要,如果服务器本身也不能同步时间,那么就用本地时间替代,层级为 10local stratum 10 其次,重启 Chronyd 服务,以加载新的配置。 $ systemctl restart chronyd Chronyd 服务启动成功后,会监听以下两个端口。 端口 123/udp 为标准的 NTP 监听端口,如果要对外提供...阅读全文
、Thread Pool Size、Buffer Size、Request Timeout、Feature Switch、Server Urls等。配置伴随应用的整个生命周期 配置贯穿于应用的整个生命周期,应用在启动时通过读取配置来初始化,在运行时根据配置调整行为。配置可以有多种加载方式 配置也有很多种加载方式,常见的有程序内部hard code,配置文件,环境变量,启动参数,基于数据库等配置需要治理 权限控制 由于配置能改变程序的行为,不正确的配置甚至能引起灾难,所以对配置的修改必须有比较完善的权限控制不同环境、集群配置管理 同一份程序在不同的环境(开发,测试,生产)、不同的集群(如不同的数据中心)经常需要有不同的配置,所以需要有完善的环境、集群配置管理框架类组件配置管理 还有一类比较特殊的配置...阅读全文
streams 在上面发送 frame,那么在一些场景下面,我们还是希望 stream 有优先级,方便对端为不同的请求分配不同的资源。譬如对于一个 Web 站点来说,优先加载重要的资源,而对于一些不那么重要的图片啥的,则使用低的优先级。 我们还可以设置 Stream Dependencies,形成一棵 streams priority tree。假设 Stream A 是 parent,Stream B 和 C 都是它的孩子,B 的 weight 是 4,C 的 weight 是 12,假设现在 A 能分配到所有的资源,那么后面 B 能分配到的资源只有 C 的 1/3。 Flow Control HTTP/2 也支持流控,如果 sender 端发送数据太快,receiver 端可能因为太忙,或者压力太大...阅读全文
TLS 1.3 的相关章节。 最终,HTTP/2 允许多个主机的请求被 合并到一个连接上,通过减少页面加载所使用的连接(从而减少拥塞控制的场景)数量来提升性能。 例如,你可以对 www.example.com 建立一个连接,也可以将这个连接用于对 images.example.com 的请求。而未来的协议扩展也允许将其它的主机添加到连接上,即便它们没有被列在最初用于它们的 TLS 证书中。因此,假设连接上的通讯被限制于它初始化时的目的并不适用。 值得注意的是,尽管存在这些变化,HTTP/2 并没有出现明显的互操作性问题或者来自网络的冲突。 TLS 1.3 TLS 1.3 刚刚通过了标准化的最后流程,并且已经被一些实现所支持。 不要被它只增加了版本号的名字所欺骗;它实际上是一个新的 TLS 版本...阅读全文
FTP,通过该服务接收我的包,并在响应中返回权威的决定:拒绝或接受。对于接受的包,通过一个状态页面来显示包的状态,以及可以通过镜像网络提供包的时间。包应在构建完成后,几分钟内即可进入可访问状态。 陈旧的基础设施:bug追踪 我非常害怕与Debian的bug追踪系统交互。debbugs是一款始于1994年的软件,目前仅供Debian和GNU项目使用。 Debbugs负责处理电子邮件,也就是说它的处理是异步的且很麻烦。尽管我们在Debian最快的机器上运行了Debbugs,但是它的Web界面加载速度依然非常慢。 尤其是bugs.debian.org的Web界面是只读的。为reportbug(1)(https://manpages.debian.org/stretch/reportbug...阅读全文
-wasm:wordpress 可以访问 http://localhost:8087 并使用由 PHP Wasm 解释器服务的 WordPress,它由 Apache HTTPD 中的 mod_wasm 加载。直接在浏览器中服务 WordPress访问 https://wordpress.wasmlabs.dev 获得示例。 你将看到一个框架,其中 PHP Wasm 解释器会现场渲染 WordPress。结论感谢阅读本文。 需要消化的内容很多,但我们希望本文有助于理解 WebAssembly 的能力以及它如何与你现有的代码库和工具(包括 Docker)结合运行。 期待看到你使用 Wasm 编程!如果你觉得 WasmEdge 不错,不要忘了给我们点个赞!...阅读全文
经存在,则不会进行任何操作,时间复杂度O(1) TYPE:返回指定key的类型,string, list, set, zset, hash。时间复杂度O(1) CONFIG GET:获得Redis某配置项的当前值,可以使用*通配符,时间复杂度O(1) CONFIG SET:为Redis某个配置项设置新值,时间复杂度O(1) CONFIG REWRITE:让Redis重新加载redis.conf中的配置 数据持久化 Redis提供了将数据定期自动持久化至硬盘的能力,包括RDB和AOF两种方案,两种方案分别有其长处和短板,可以配合起来同时运行,确保数据的稳定性。 必须使用数据持久化吗? Redis的数据持久化机制是可以关闭的。如果你只把Redis作为缓存服务使用,Redis中存储的所有数据都不是...阅读全文
>
果这个asset不健康,它仅仅会导致某个集群的运行中断,还是会影响全球的服务?插件还给用户特定的数据提供了空间,而不用占用负载的定义。 asset一般少于1kb数据,通常少于10kb,我们的最大值限制的是150kb。这个限制是为了让asset更容易被使用。这样,工具可以在内存里加载asset,无需担心这么做会造成过多的消耗。这个方案是受实体-组件系统[4]的启发。 asset的内容提供了足够的信息来构建建模资源的完整状态。具体来说,应该可以重新创建生产状态,而不必查看当前的生产状态——这是一个单向过程。 但是,所有的配置必须在asset里。比如,我们肯定有些情况需要MB级别的配置。这时,可以保存对外部数据源(比如包,数据库和版本控制)的引用。这些引用必须指向不可变外部数据。 在...阅读全文
