Google 出版新书《Building Secure and Reliable Systems》

O'Reilly 在出版了《Google运维解密（Site Reliability Engineering）》和《网站可靠性工作手册（The Site Reliability Workbook）》之后，出版了 Google 工程师的另一本有关网站可靠性的书《Building Secure and Reliable Systems》，这次强调的是安全。 针对设计、实现和维护系统的开发群体，Google 的工程师分享了设计从基础上安全的，可伸缩的可靠系统的方法。 前两本书都提供了 HTML 免费版本，而新书没有提供 HTML 版本，但提供了 PDF、EPUB 和 MOBI 版本。...阅读全文

你和 Linux 高手只差了一个 LFS

，LFS 绝对配得上称为一本好书，或者说一本好教材。市面上，很难再找到一本如此具体又如此精炼的教材了。 首先，它并不是只是讲讲简单概念，它很具体，具体到就是一个例子，一个告诉你怎么亲手构建出属于自己的 Linux 系统的例子。 其次，它很精炼，它的精炼表现在两个方面：系统构建出来不臃肿；文字描述很精炼。 最后还有一点，这一点至关重要。尽管文字的描述非常精炼，甚至是精炼到枯燥，但是作为一本教材，作者无时无刻不再想尽办法，让你学到东西。无论是编译指令下方各个参数的介绍，还是软件包安装小节下方软件包内容的介绍，作者真的是想尽办法的试图把知识传递给读者。 LFS 没有缺点吗？ 那自然是有的，可以原封不动的照抄上面的优点。辩证的看待这些优点，你就会发现这些优点是有代价的。 首先，由于这个例子过于生动形象，所...阅读全文

GoDaddy SSL证书七折购买图文教程

就可以了。点击添加到购物车， 证书时间建议按两年来购买。拉至页面的下方，选择 “Continue” ，即可条状至付款页面。这时我们看到的价格已经是七折后的价格了，如下图： 3. 在支付页面，我们可以看到证书已经变为七折了，比原始价格便宜了30%，大约便宜了 1050元。支付完成后，就可以在GoDaddy账户里就可以看到刚才我们购买的证书了。 以上就是通过优惠链接，七折购买 GoDaddy SSL证书 的全过程，有需要的伙伴可以把本页面加到书签，有需要时即可直接通过这个优惠链接进入GoDaddy官网进行购买。...阅读全文

如何在 Nginx 中配置 gRPC 的代理

交互方式。 此示例里nginx以明文的方式在80端口发布gRPC，其中代理的gRPC在后端也是以明文的方式交互。 注意：Nginx是不支持在明文的端口上同时支持http1和http2的（想一想为什么？）。如果要支持这两种的http协议，需要设置为不同的端口。 以 TLS 加密方式发布 gRPC 服务 在生成环境建议使用Nginx是以加密的方式发布gRPC。这种情景需要在Nginx添加一个加密层。 在开发/测试环境可以使用自签名证书，关于自签名证书本文不做介绍。配置示例如下： server { listen 1443 ssl http2; ssl_certificate ssl/cert.pem; ssl_certificate_key ssl/key.pem; location...阅读全文

APISIX Ingress 如何使用 Cert Manager 管理证书

对象，并且包含新的证书。 总结 本文主要讲解了如何利用 Cert Manager 在 Apache APISIX Ingress Controller 中进行证书的创建和管理。想了解更多关于 Apache APISIX Ingress 的介绍与内容，可参考本篇文章 或者参与 Apache APISIX Ingress 项目每两周举行的线上讨论，分享当下项目进度、最佳实践及设计思路等多个话题，可查看具体 issue 了解更多。...阅读全文

LFS 8.0 正式发布：从零开始编译自己的 Linux 发行版

，另有两个变种1.CLFS Sysroot 采用Sysroot的方法来进行编译，好处是软件包的编译次数可以减少，坏处是不能支持在编译后对软件进行测试，必须要启动到目标平台上才能测试。 2.CLFS Embedded 一般用于极小系统以及嵌入式系统。为此，它使用uclibc而不是一般LFS使用的glibc。 Automated Linux From Scratch（ALFS） 标准LFS只是一本书，用户需要根据书上的指引下载软件包并手动输入指令进行编译。ALFS子项目提供了把这一切自动化的脚本。 Hardened Linux From Scratch（HLFS） 这个子项目致力于打造在安全性上无懈可击的Linux系统。 Hints 收集一些解释性、增强性的文档，以协助用户 LiveCD 利用...阅读全文

HTTPS 证书有效期被提议缩短至13个月

推荐的加密和散列证书，而不是使用不安全算法的老化证书。 不过，本周一时，DigiCert 的 Timothy Hollebeek 却反对将证书有效期缩短至 13 个月，他认为，缩短证书寿命确实带来的好处，但意味着要有更好的方法来确保证书是最新的和安全的，同时也存在一些麻烦，企业不得不每年续签一次付费证书，并且增加其成本。 换句话说，减少有效期可能会促使企业免费使用 Let's Encrypt TLS/SSL，就不会向 Digicert 这样的机构支付费用。Let's Encrypt 可以免费发放 90 天的 HTTPS 证书，使用提供的软件客户端来自动更新和部署证书，而由于几乎所有浏览器和操作系统都支持 Let's Encrypt TLS/SSL 证书，导致该服务正给向 HTTPS 证书收费...阅读全文

全民HTTPS时代：盘点免费SSL证书那些事儿

根据 Let’s Encrypt CA 的统计，截至 2017 年 11 月，Firefox 加载的网页中启用 HTTPS 的比例占 67%，比去年底的 45% 有巨大提升。浏览器开发商如 Mozilla, Google 准备采取下一步措施：将所有 HTTP 网站标记为不安全。 随着 HTTPS 的普及，给网站加个 SSL 证书已经是大势所趋而且很有必要了。目前已经存在不少免费好用的 SSL 证书，因此，本文就来盘点一下关于免费 SSL 证书的那些事儿。 一、Let’s Encrypt 官方网站：https://letsencrypt.org/ 点评：毫无疑问，Let’s Encrypt 是目前使用范围最为广泛的免费 SSL 证书，而且官方博客宣布，自 2018 年开始提供通配符 SSL...阅读全文

OpenSSH 8.2发布 禁用ssh

OpenSSH 8.2 发布了。OpenSSH 是 100％ 完整的 SSH 协议 2.0 版本的实现，并且包括 sftp 客户端和服务器支持。此版本变化不少，其中有两个地方值得特别关注。一个是新特性，此版本增加了对 FIDO/U2F 硬件身份验证器的支持。 FIDO/U2F 是廉价硬件双因认证的开放标准，广泛应用于网站的身份验证。此版本通过新的公共密钥类型“ecdsa-sk”和“ed25519-sk”，以及相应的证书类型支持 FIDO 设备。 ssh-keygen(1) 可用于生成 FIDO 令牌支持的密钥，之后它们的使用方式与 OpenSSH 支持的任何其它密钥类型非常相似，只要在使用密钥时附加硬件令牌。 另一方面关于 SHA-1 哈希算法，此前该算法被发现构造前缀碰撞攻击成本已降至低...阅读全文

监控Kubernetes集群证书过期时间的三种方案 - OSCHINA

前言 Kubernetes 中大量用到了证书, 比如 ca证书、以及 kubelet、apiserver、proxy、etcd等组件，还有 kubeconfig 文件。 如果证书过期，轻则无法登录 Kubernetes 集群，重则整个集群异常。 为了解决证书过期的问题，一般有以下几种方式： 大幅延长证书有效期，短则 10年，长则 100 年； 证书快过期是自动轮换，如 Rancher 的 K3s，RKE2 就采用这种方式； 增加证书过期的监控，便于提早发现证书过期问题并人工介入 本次主要介绍关于 Kubernetes 集群证书过期的监控，这里提供 3 种监控方案： 使用 Blackbox Exporter 通过 Probe 监控 Kubernetes apiserver 证书过期时间； 使...阅读全文

Let’s Encrypt ：2018年1月发布通配证书

Let’s Encrypt 将于 2018 年 1 月开始发放通配证书。通配证书是一个经常需要的功能，并且我们知道在一些情况下它可以使 HTTPS 部署更简单。我们希望提供通配证书有助于加速网络向 100％ HTTPS 进展。 Let’s Encrypt 目前通过我们的全自动 DV 证书颁发和管理 API 保护了 4700 万个域名。自从 Let's Encrypt 的服务于 2015 年 12 月发布以来，它已经将加密网页的数量从 40% 大大地提高到了 58%。如果你对通配证书的可用性以及我们达成 100% 的加密网页的使命感兴趣，我们请求你为我们的夏季筹款活动（LCTT 译注：之前的夏季活动，原文发布于今年夏季）做出贡献。 通配符证书可以保护基本域的任何数量的子域名（例如...阅读全文

Rancher 2.2.2 发布：优化 Kubernetes 集群运维

Server 的管理员访问权限。 此问题会影响以下版本的 Rancher：v2.0.0-v2.0.13，v2.1.0-v2.1.8 和 v2.2.0-2.2.1。 现在，Rancher v2.2.2 中提供了 CVE-2019-11202 的修复程序。Rancher v2.2.2 中，Rancher 在重新启动时将不会再重新创建一个管理员帐户。针对版本 v2.1.x 和 v2.0.x 的修复程序将在不久后发布。不过不用担心的是，对于所有的 Rancher 版本，只要通过禁用默认管理员帐户而不是完全删除它，就可以不受此漏洞影响。 通过 UI 轮换集群证书 在 Rancher 2.2.2 中，用户通过 UI 操作即可完成集群证书轮换了！在 Rancher 2.0 和 2.1 中，Rancher 配置集群的...阅读全文

三种SSL证书之间有什么区别

SSL指的是安全套接层协议（以及传输层协议TLS），位于 TCP/IP 协议与各种应用层协议之间，为数据通讯提供安全支持。 ssl 在市面上多指的是安全证书，SSL证书是数字证书的一种，因为配置在服务器上，也称为服务器证书。 数字证书在广义上可分为：个人数字证书、单位数字证书、单位员工数字证书、服务器证书、VPN证书、WAP证书、代码签名证书和表单签名证书。我们这里介绍SSL证书的类型与区别。 DV（域名型）SSL证书：只验证域名，适合个人网站、博客等站点使用；在网络黑客、钓鱼威胁层出不穷，域名型SSL数字证书可有效保护通过互联网所发送的数据，为网络账户登录、邮件等机密信息资讯提供安全防护。安全级别较低。  OV（企业型）SSL证书：验证网站所属单位身份，适合于中型企业级用户使用；企业型证...阅读全文

Docker 17.06 社区版发布

="_blank" href="http://nginx.com/" >nginx.com.

Thank you for using nginx.

盖茨退休后的日常：很少吃早餐 保证7个小时的睡眠

据国外媒体报道，微软公司联合创始人比尔盖茨现在还是世界首富，目前个人财富高达900亿美元。 但比尔盖茨在2008年就退出了微软公司的日常管理，仅作为董事长继续保证公司的正常运营，而在2014年，也就是在他60岁的前一年，他又放弃了微软公司董事长一职。 在离开微软管理层之后，盖茨将大部分精力和财富都放到了慈善事业上，通过慈善活动，他也时常出现在公众的视野之中，但也有很多人好奇，曾经忙于微软公司事务的他，在退休之后的每一天又是怎么度过的？ 事实上在2008年退休之后，如果没有慈善等需要外出的活动，他的一天基本都是在他那历时7年、耗资6300万美元打造的豪宅 “仙乐都2.0” 中度过的，他的一天从豪宅中醒来之后就算开始了。 在早餐方面，盖茨喜欢的早餐是可可泡芙，不过他的妻子梅琳达?盖茨却透露，盖...阅读全文

如何列出域名 所有SAN字段的SSL证书？

SAN(Subject Alternative Name) 是 SSL 标准 x509 中定义的一个扩展。使用了 SAN 字段的 SSL 证书，可以扩展此证书支持的域名，使得一个证书可以支持多个不同域名的解析。 这里以 Google.com 为例，证书中所包含的 SAN 扩展域名，可以用这个命令列出： echo | openssl s_client -connect google.com:443 2>&1 | openssl x509 -noout -text | awk -F, -v OFS="\n" '/DNS:/{x=gsub(/ *DNS:/, ""); $1=$1; print $0}'...阅读全文

如何写好技术文档 — 来自十多年的文档经验总结

本文大部分内容翻译总结自《Software Engineering at Google》 第10章节 Documentation。 另外，该书电子版近日已经可以免费下载了 https://abseil.io/resources/swe_at_google.2.pdf，有兴趣的同学可以下载翻阅下。 首先声明，本问所说的文档不仅限于纯文本文档，还包含代码注释(注释也是一种特殊形式的文档)。 ## 文档的重要性 ## 高质量的文档对于一个组织或团队来说有非常多的益处，比如让代码和API更容易理解、错误更少；让团队成员更专注于目标；也可以让一些手工操作更容易；另外如果有新成员加入的话有文档也会让他们更快融入…… 写文档有比较严重的收益滞后性，不像测试，你跑一个测试case，它能立即告诉你是对还是错...阅读全文

Kong 1.3 发布：原生 gRPC 代理、上游 TLS 交叉认证

此版本在与上游服务握手时提供特定证书以提高安全性，这样做的意义包括： 能够使用证书与上游服务握手使得 Kong 在需要强大的身份验证保证的行业中更加出色，例如金融和医疗保健服务。更高的安全性。通过提供可信证书，上游服务将确定传入请求是由 Kong 转发的，而不是恶意客户端。更简单的合规性。开发者友好。可以使用 Kong 将需要相互 TLS 身份验证的服务转换为更加开发者不相关的方法（例如，OAuth）。 此外，Kong 1.3 还开源了 Sessions 插件，此前它仅在 Kong Enterprise 中提供，该插件结合其它身份验证插件，允许 Kong 记住之前已经过验证的浏览器用户。 OpenResty 的版本升级到 1.15.8.1，该版本基于 Nginx 1.15.8。此版本在关闭上...阅读全文

Let’s Encrypt倡议新认证策略 提高抗攻击能力

Let’s Encrypt是一家得到Mozilla Firefox和Google Chrome支持的自动化证书颁发机构。今天该机构宣布了一项新措施，从而进一步保护用户免受网络攻击的侵害。这项新功能称之为多角度域验证（multi-perspective domain validation），可帮助证书颁发机构（CA）证明申请人对他们想要获得证书的域具有掌控权。 单角度域验证方式 多角度域验证方式 域验证并不是什么新问题，但在验证过程中还存在很多的漏洞，这意味着网络攻击者可以诱使CA机构错误的颁发证书。通过多角度域认证，网络攻击者需要同时破坏三个不同的网络路径，这不仅大大提高了安全系数，而且在互联网拓扑社区中也能更快发现网络攻击行为。 在新闻稿中，Let’s Encrypt特别感谢了普林斯顿大...阅读全文

ISTIO 1.1 正式版今日发布

Istio 1.1 已于今天发布了正式版，官方表示自推出 1.0 正式版后，用8个月的时间对整个产品进行了一些重大改进，其中包括来自华为，Google，IBM，VMware，RedHat，思科，SAP，Salesforce，Pivotal，SUSE，Datadog 和 LightStep 等厂商提供的修复和功能。 新特性主要有： 缺省关闭 Mixer 策略检查 从 Istio 的早期版本开始，关于如何关闭 Mixer 策略检查的讨论就没有停止过，现在社区已经达成共识，绝大多数场景中，对性能的需求，其重要性是大于对预检功能的需求的，因此 1.1 版本中，缺省安装会关闭 Mixer 的这一功能。 缺省开放 Egress 通信 新增...阅读全文

Go 1.15.7 新鲜出炉：修复安全问题，建议升级

支持。没有其他标准库或 golang.org/x/crypto 软件包支持或使用 P-224 曲线。错误的输出是由 OSS-Fuzz 上运行的椭圆曲线-差分-模糊器项目[1]发现的，并由 Philippe Antoine（Catena cyber）报告。具体 issue：https://github.com/golang/go/issues/43786。Go 一直以来只维护两个主要版本的更新，对于 cmd/go 的问题，应该是之前版本就存在，因此，建议大家升级到最新版本。...阅读全文

Debian 社区陷入尴尬 或群龙无首

没有人在做任何竞选活动。” 为什么大家都不愿担任领导人呢？ Debian 领导人的主要职能有两项：一方面是代表 Debian 到世界各地，在会议上进行分享，同时处理项目与其它团队和公司的关系；另一方面是行政上的，领导人要管理项目资金，任命开发者在项目中担任不同角色，并负责项目中的一些细节。 但是公开信中也指出，实际上，因为 Debian 项目把各种各样的权限都下放到社区成员中，导致领导人的实权实际上并没有多少。比如，个别开发者几乎可以完全控制他们维护的软件包；开发人员之间的技术分歧很大的时候，将由项目技术委员会处理；发布管理者与 FTP 主人有权最终决定项目实际发布的内容，以及何时发布；项目秘书负责确保遵循必要的程序；政策团队处理项目的大部分总体设计。 另一方面，Debian 领导人这个职位...阅读全文

Linux基金会确认开源技术不受美国出口管制

去年GitHub突然宣布开源代码也要受美国出口管制EAR让全球程序员都担心了，不过Linux基金会现在可以确认开源技术不受美国管制了。 软件开发方面，开源技术已经成为全球共识，很多项目都是全球各地的程序员合作开发的，不仅有美国及欧洲程序员，中国不少公司及开发者也是全球开源社区的重要组成，任何一方如果强硬限制，那么整个开源社区就存在断链的风险。 本周，Linux基金会在官网上发表了一份白皮书《了解开源科技和美国出口管制》，中英文双版介绍了美国出口管制的限制，最重要的是这个指南明确了“公开发布给全世界享用的开源技术是不受制于美国出口管制EAR，开源至今仍然是一个最为便利的全球协作的模式。” EAR第734.7条款指出，当可被公众获取且无进一步传播限制时，未被归类为密级事项的『技术』或『软件』属...阅读全文

在 Mac OS X 上安装 Nessus 10

launchctl load -w /Library/LaunchDaemons/com.tenablesecurity.nessusd.plist 停止服务：sudo launchctl unload -w /Library/LaunchDaemons/com.tenablesecurity.nessusd.plist （2）使用浏览器访问：https://:8834，注意忽略证书警告 （3）选择 “Managed Scanner” （4）选择 Tenable.sc （5）创建管理员帐号和密码 （6）编译插件（新安装编译过程很快） （7）自动登录，安装成功 此时只有 “Setting”（没有 “Scans”）且显示未注册。 四、 安装插件和创建配置文件 此时下面两个配置文件都是空白的 /Library...阅读全文

Java 10 正式发布：包含 109 项新特性

JEP 317: 基于 Java 的 JIT 编译器（试验版本） JEP 319: 根证书。开源 Java SE Root CA 程序中的根证书 JEP 322: 基于时间的版本发布模式。“Feature releases” 版本将包含新特性，“Update releases” 版本仅修复 Bug...阅读全文

Debian下编译安装Golang

=$PATH:$GOROOT/bin:$GOPATH/bin GOROOT是源码与可执行文件的位置。 GOPATH是放置Go的第三方安装包的位置。（编译过程中并未使用。） GOROOT_BOOTSTRAP是用来自举的Go目录，是1.4版本。 export PATH=*是添加编译好的Go、以及以后通过go get安装的第三方库，进入可执行环境。这句，老鸟应该都很熟。 由于GOROOT目录下，只有go和gofmt两个可执行文件，所以也可以用软链接来配置。 注意：这里出现了go和go1.4两个目录，它们本质上是相同的。为避免clone两遍，可以直接本地复制。 cp -r go go1.4 正确的编译步骤 先进入GOROOT_BOOTSTRAP/src，执行git checkout go1.4.3，切换到...阅读全文

财务报表中的 6-K，20-F，SC 13G 等名称指的是什么？

美国证监会规定上市公司公开披露各种信息时要提交统一格式的文件，又叫Form（一般翻成“表格”）。根据不同的情况要提交不同的表格，比较重要的是S-1（招股书）或F-1（外国公司招股书），10-K（年报）、10-Q（季报）、8-K（重大事件）。 问题问到的三种Form的具体含义： 6-K Report of foreign private issuer pursuant to Rule 13a-16 or 15d-16 under the Securities Exchange Act of 1934（注册地不在美国的外国公司披露特定财务信息） 20-F Registration statement / Annual report / Transition report（注册...阅读全文

即将发布的 JDK 10 有 109 项新特性，你喜欢哪些

展，以允许应用类放置在共享存档中。 JEP 312: 线程局部管控。允许停止单个线程，而不是只能启用或停止所有线程。 JEP 313: 移除 Native-Header Generation Tool (javah) JEP 314: 额外的 Unicode 语言标签扩展。包括：cu (货币类型)、fw (每周第一天为星期几)、rg (区域覆盖)、tz (时区) 等。 JEP 316: 在备用内存设备上分配堆内存。允许 HotSpot 虚拟机在备用内存设备上分配 Java 对象堆。 JEP 317: 基于 Java 的 JIT 编译器（试验版本）。 JEP 319: 根证书。开源 Java SE Root CA 程序中的根证书。 JEP 322: 基于时间的版本发布模式。“Feature...阅读全文

Linux From Scratch 8.1 发布

Linux From Scratch (LFS) 和 Beyond Linux From Scratch (BLFS) 8.1 已发布，该版本提供了许多更新的软件包和一些修复程序。 官方在 发布说明 中说道： LFS 8.1, LFS 8.1 (systemd), BLFS 8.1, 和 BLFS 8.1 (systemd) 已正式发布，该版本是 LFS 和 BLFS 的主要更新。 LFS 8.1 包括了升级至 glibc-2.26, binutils-2.29, 和 gcc-7.2.0 这些更新。总共有 32 个包被更新，对引导脚本进行了修复，并在整本书中对文本进行了更改。 BLFS 版本包括大约 900 个软件包的更新。 此版本的更新超过 885 处，包括许多文字和格式的更改。该指南可...阅读全文

Let’s Encrypt已颁发10亿份证书 13名员工服务1.9亿网站

Let's Encrypt官方发布庆祝博文，宣布于2020年2月27日颁发了第10亿份证书。博文中回顾了从第1亿份证书到今天最新里程碑的过程，并反思了这些年互联网行业的发展。 在博文中首先指出的是，当前Web的加密程度要比以往高出很多。在2017年6月，全球使用HTTPS的网站只有58%，美国地区为64%。而今天全球有81%的网页加载使用HTTPS，美国地区更是高达91%。这是一个了不起的成就，这表明每个人都有更多的隐私和安全保护。 Let's Encrypt服务的企业规模也有所增加，在2017年6月该机构为4600万个网站提供服务，不过当时机构只有11名员工，年度预算为261万。而今天该机构为1.92亿个网站提供服务，拥有13名全职员工，年度预算约为335万美元。 这意味着只增加2名新员...阅读全文

Kubernetes 1.7：安全加固、有状态应用更新等

今天我们公布了Kubernetes 1.7，这一里程碑版本引入了更为强大的安全性、存储以及扩展性因素，旨在满足Kubernetes在广泛企业环境下所面临的实际需求。 这次发布的版本中安全方面的改进包括加密的Serect，Pod到Pod通讯的网络策略，限制kubelet访问的节点授权器（node authorizer），和客户端/服务端 TLS 证书轮换。 对于在Kubernetes上伸缩数据库的用户，这次版本有一个重要特性向StatefulSet添加了自动化的更新，并增强了对DaemonSet的更新。同时我们宣布对本地存储和用于更快速伸缩StatefulSet的加速模式（burst mode）的alpha支持。 同时，对于高级用户，这次版本中的API聚合允许用户提供的API服务器和...阅读全文

Ubuntu将于2017年1月1日起拒绝SHA

今天，Debian开发者兼Ububtu成员Julian Andres Klode宣布，他计划在2017年1月1日关闭对APT资源库的SHA-1支持。业界反对SHA-1（安全散列算法）加密已有多时，其被普遍用于签发数字内容、证书吊销列表（CRL）和数字证书。但到2017年1月1日的时候，事情可能会对浏览互联网的老用户产生影响。 需要指出的是，SHA-1加密也被用于签发基于Debian的操作系统的高级包工具（APT）资源库，比如热门的Ubuntu和Linux Mint。 这些经过SHA-1签名的资源，将于明年年初自动被Ubuntu 16.04 LTS（Xenial Xerus）和Ubuntu 16.10（Yakkety Yak）给拒绝。 Julian Andres Klode在邮件公告中称...阅读全文

如何在 Debian 下配置邮件服务器

本教程将讨论如何在Debian（或Ubuntu）配置一个可工作的邮件服务器。我们知道在邮件服务器使用的主要协议有SMTP、POP和IMAP。在本教程中，SMTP协议使用postfix，POP/IMAP协议使用dovecot。两者都是开源的、稳定的和高度可定制的。本教程中不会介绍邮件服务器的安全性，这超出了本文的范围。 1.先决条件 每个域必须有一个DNS服务器。建议不要使用Live域用于测试目的。在本教程中，将在实验室环境中使用测试域example.tst。在这个假设域名的DNS服务器应该在至少以下记录。 example.tst的forward zone配置： IN MX 10 mail.example.tst. mail.example.tst. IN A 192.168.10.1...阅读全文

三位候选人正进行 2022 Debian 项目负责人选举

2022 Debian 项目负责人选举已开启，本次选举的流程和以往一样，有三位候选人：Felix Lechner、Hideki Yamane 和现任 Debian 负责人 Jonathan Carter ，三人分别以一个页面进行自我介绍，并等待社区开发者为其进行不记名投票。​下面来介绍一下三位候选人。Felix Lechner同时受新时代思想以及古老宗教的启发，拥有扎实的理论基础，试图让 Debian 重新焕发活力。现担任美国加州的图书馆馆长（公务员），妻子来自中国，最好的朋友来自印度。Debian 贡献Debian 商标团队的一员，努力保护 Debian 的品牌；设计了 Debian 的密钥到期提醒功能；共同维护 了 Lintian （Debian 软件包追踪工具）及其网站；维护...阅读全文

Debian 8 (Jessie)下面如何安装卸载docker

文件 /etc/apt/sources.list.d/docker.list 文件，加入以下内容： deb https://apt.dockerproject.org/repo debian-jessie main 然后执行命令 apt-get update，更新源索引。如果是 Debian Stretch/Sid 系统，只需更换上面这一行中的 jessie 为 stretch 就可以了。 为使用Docker源做准备 由于 Docker 源使用了 https 协议，需要做两步准备。安装相关的包确保 apt 能在 https 模式下工作，导入 Docker 安装源的密钥。CA 证书库也需要， $ apt-get update $ apt-get install apt-transport...阅读全文

nginx 稳定版 1.16.0 发布 支持动态加载SSL证书

Nginx（发音同 engine X）是一款轻量级的 Web 服务器/反向代理服务器及电子邮件（IMAP/POP3）代理服务器，并在一个 BSD-like 协议下发行，可以在 UNIX、GNU/Linux、BSD、Mac OS X、Solaris，以及 Microsoft Windows 等操作系统中运行。 nginx 1.16.0 稳定版已发布，包含来自 1.15.x 主线分支的新功能和错误修复： 针对流模块（stream module）中的 UDP 代理改进随机负载均衡方法（random load balancing method）支持 TLS 1.3（TLS 1.3 early data）动态加载 SSL 证书等 下载地址： http://nginx.org/en...阅读全文

Proxmox VE 6.1/6.2 U盘安装教程

本默认，要注意选择DD镜像模式，不然U盘启动后找不到安装文件； 二、安装PVE（1-8这里用的网上图片，6.1/6.2安装和5.2基本一致，就没有截图） 1、进入ISO启动，选择“Install Proxmox VE” 2、同意协议，点击“I agree” 3、选择硬盘，点击“Next” 4、设定国家、时区和键盘，Country输入China即可，点击“Next” 5、设置管理员root账号密码和邮箱 6、设定主机名，IP，网关，掩码和DNS 7、安装完提示重启（重启前请先移除ISO启动） 8、启动完成后的控制台，会提示控制台访问URL 9、PVE默认端口为8006，可以导入自己的SSL证书 10、PVE安装完毕，进入系统界面...阅读全文

文本编辑器 GNU nano 5.0 发布

少 256 种颜色的终端，新识别的颜色名称包括：粉色、紫色、淡紫色、珊瑚绿、薄荷色、青柠色、桃色、橙色和拿铁色。在一些现有的常见颜色上也有新的“明亮”颜色变体，只需加上前缀’light’即可支持在颜色名称前使用”bold”或”italic”前缀来获得对应的样式新增书本模式(–bookstyle)，其中任何以空格开头的行都将被视为新段落的开始增加对 Markdown, Haskell 和 Ada 语法的支持增加了许多其他选项/命令，并进行修改 详情查看发布公告。...阅读全文

2022年云原生服务网格展露的五大趋势

近日，OSCHINA 和 Gitee 联合发布了《2022 中国开源开发者报告》。其中，云原生社区创始人宋净超在报告中对开源云原生服务网格领域进行了深入解读，以下为主要观点。2022 云原生服务网格五大趋势2022 年，云原生展露了一些趋势。因我更多地关注服务网格领域，在此就该方向谈谈我的观点，欢迎其他专家交流。一是 零信任的云原生安全备受关注。CNCF 在《云原生安全白皮书》中指出，“我们需要在应用安全生命周期中采用更自动化和安全的架构设计（如零信任）”，这表明云原生安全越来越受重视。零信任安全意味着默认情况下，网络内外都不信任任何人，并且要对试图访问网络资源的每一个人进行验证。部署服务网格有助于缩小云原生部署的攻击面，并为构建零信任应用网络提供关键框架。二是 API 网关与服务网格融合...阅读全文

通过Prometheus查询K8S集群Pod 的CPU、内存、网络指标

(container_network_receive_bytes_total{image!=""}[1m])) by (pod_name) 本文由“跟着大数据和AI去旅行”发布于“简书”，转载时有增删和错误修正。...阅读全文

Go 1.16 即将发布，这些变更你需要知道

)) } 在 Go1.16 以前输出 2048, 1280。在 Go1.16 及以后输出 1280, 1280，保证了两种的一致。 支持 Apple Silicon M1 众所周知，最新版本的 Mac 采用了新的 64 位 ARM 架构，因此在 Go1.16 后正式支持了 GOOS=darwin 和 GOARCH=arm64。 而相应的先前用于 iOS 端口的，将改为 GOOS=ios 和 GOARCH=arm64。 同时 Apple M1 能不能很好的跑好 Go 语言程序也是各大微信群爱讨论的问题，在 GoLand 上： 图来自网络，路过微信群看见 需要注意，GoLand 的一些与 Go1.16 相关的特性要到后续新版本才可以使用。 调整 Go modules 策略 从 Go1.16 起，Go...阅读全文

打破IP协议重塑互联网 华为能做到吗

打破长达半世纪的 IP 协议，重塑互联网，可能实现吗？华为正在尝试中。据《金融时报》报道，华为联合中国工会、中国电信、中国工业和信息化部向国际电信联盟（International Telecommunication Union，ITU）提出一项名为“New IP” 的提案。 华为在提交的议案文章（题为“New IP framework and Protocol for Future Applications”）中介绍到，New IP 是一种新型互联网协议框架，能够更好地支持新兴网络应用，比如多网络和全息通信等，将从根本上支持网络层的可变长度、多语义地址以及用户定制的网络。 华为指出，现有的 IP 协议已面临着网络挑战，主要有两个方面：一是 AR/VR、全息通信等新兴应用的发展需要更高效和定...阅读全文

OpenSSL 1.1.1 LTS 版本发布，支持 TLS v1.3

OpenSSL 1.1.1 已发布，这是新的长期支持版本（LTS），开发团队承诺至少提供五年支持。自 1.1.0 发布以来，已有超过 200 位个人贡献者提交了近 5000 个 commits。OpenSSL 1.1.1 最重要的变化就是添加对 TLS v1.3 (RFC8446) 的支持。 TLS v1.3 的优势包括： 由于减少了客户端和服务器之间所需的往返次数，缩短了连接时间。 在某些情况下，客户端能够立即开始将加密数据发送到服务器而无需与服务器进行任何往返（称为 0-RTT 或“early data”）。 由于删除了各种过时和不安全的加密算法及握手加密，提高了安全性。 OpenSSL 1.1.1 其他亮点包括： 完全重写 OpenSSL 随机数生成器以引入以下功能： The...阅读全文

程序员如何才能成为独立开发者？

大概这几条路： 1）自己做开源项目，足够好，然后鼓励你的关注者给你donate，老外常年用paypal收打赏。厉害一点，直接有人给你包了。 2）用心写各种demo或者教程，好看易懂，勤维护，也有人给你打赏，写的多了还可以出书，类似阮一峰和廖雪峰。 3）多做前端，写几个自己开发的工具类app，笔记啊，图片识别的类似小工具，真的好用，可以加一些小广告，或者开启升级付费的功能。 4）开直播做培训，口条要好，一定要把一些教程练得特别熟练，表演的好像阿里P8以上那种其实都可以自己手写一个新的jvm的大牛但是想普惠众生，而江湖隐退来开课办班，帮助大家提高技能和基本功，这种目前好多人在做。 5）程序员都在用的AWS有好消息！AWS（亚马逊云计算）中国区新用户注册即可免费使用12个月云服务产品啦！每注册一...阅读全文

GitHub 开发者呼吁 Adobe 将 Flash 开源

Linstedt进一步解释说，通过这样做，它将保持Flash项目的生存和安全。他已经开发出一套可视化方法，将SWF和FLA文件转换为HTML5，Canvas，WebGL或Webassembly。开发者的另一个建议是独立的浏览器，可以播放Flash内容。 此外，参与请愿的开发者认为，Adobe可能有一些许可的组件不能被公开使用。尽管如此，Linstedt仍然希望这不会是一个障碍，他们呼吁Adobe请简单地留下某些组件被删除的说明，开发者将绕过它们，或者用开源替代方法来替换它们。 目前，这份请愿书已经获得了近4677份签名，签名数量正在稳步上升。即使在Adobe宣布到2020年结束对Flash的支持之前，苹果，谷歌，Mozilla 和 微软等公司也默认在各自的浏览器中阻止了 Flash 内容...阅读全文

Go1.16 新特性：一文快速上手 Go embed

在以前，很多从其他语言转过来 Go 语言的同学会问到，或是踩到一个坑。就是以为 Go 语言所打包的二进制文件中会包含配置文件的联同编译和打包。 结果往往一把二进制文件挪来挪去，就无法把应用程序运行起来了。因为无法读取到静态文件的资源。 无法将静态资源编译打包进二进制文件的话，通常会有两种解决方法： 第一种是识别这类静态资源，是否需要跟着程序走。第二种就是考虑将其打包进二进制文件中。 第二种情况的话，Go 以前是不支持的，大家就会去借助各种花式的开源库，例如：go-bindata/go-bindata 来实现。 但从在 Go1.16 起，Go 语言自身正式支持了该项特性，今天我们将通过这篇文章快速了解和学习这项特性。 基本使用 演示代码： import _ "embed...阅读全文

Proxy-Go v6.6 发布啦

在 direct 里面的目标都走上级. --intelligent=intelligent,blocked 和 direct 里面都没有的目标, 智能判断是否使用上级访问目标. 特点： 链式代理, 程序本身可以作为一级代理, 如果设置了上级代理那么可以作为二级代理, 乃至 N 级代理. 通讯加密, 如果程序不是一级代理, 而且上级代理也是本程序, 那么可以加密和上级代理之间的通讯, 采用底层 tls 高强度加密, 安全无特征. 智能 HTTP,SOCKS5 代理, 会自动判断访问的网站是否屏蔽, 如果被屏蔽那么就会使用上级代理 (前提是配置了上级代理) 访问网站; 如果访问的网站没有被屏蔽, 为了加速访问, 代理会直接访问网站, 不使用上级代理. 域名黑白名单，更加自由的控制网站的访问方式...阅读全文

Kotlin 一统天下？Kotlin/Native 支持 iOS 和 Web 开发

发行版）。该版本引入了一系列新功能，包括对多平台项目的实验性支持 —— 允许开发者在针对 JVM 和 JavaScript 的模块之间共享代码，以及多项对语言方面的改进 —— 包括支持在注释中使用数组字面量。更多关于 1.2 版本新功能的内容，点此查看。 此外，值得关注的就是协程这个特性了。虽然协程仍然被标记为实验性状态，但官方特意说明了这里“实验性”代表的含义。官方表示协程已经完全准备好用于生产环境，他们也已使用协程进行开发，而且也没发现在使用当中出现任何重大问题。之所以仍保持实验性状态，是为了能够对 Kotlin 继续进行设计迭代。根据目前的计划，Kotlin 1.3 将会删除协程的实验性状态。 Kotlin/Native 对 iOS 开发的支持 另外一个重大消息就是 Kotlin...阅读全文

一位五年工作经验架构师的感悟

写给五年陈的自己 写周报，写的兴起，编写周报，还边用虎跑泉，泡铁观音喝。自己写周报的**惯还是要改一改，自己是个性情中人，写个周报也透露了太多情感在周报里。有很多人肯定觉得不好，也许以后我也会改，改的越来越干练，掏心的话少说。 兴奋了，喝了茶，睡不着了。灵感闪动，本周是个值得纪念的日子，写个文章纪念下过去。 回想这一路路走来，还是很感恩收获的一切，我渐渐从一名菜鸟，成长为一位架构师，记得毕业的时候我给自己定的目标是：五年要成为一方面的专家。虽然，实际的成长比这个慢了两年，但是我还是庆幸自己当初果断的裸辞，然后进入支付宝。 每个架构师都是独立无二的，每个架构师都应该有自己的情怀，这些情怀是你的世界观。 我是如何成长为一个架构师的，我姑且给自己定的 title 就是架构师，不要认为有架构师的...阅读全文

Proxmox VE 6.2发布 开源虚拟机平台

Proxmox VE 6.2 现已发布，该版本基于新发布的 Debian 10.4，同时引入了 Linux 5.4 LTS 内核、QEMU 5.0、LXC 4.0 和其他更新的软件组件，包括 OpenZFS 0.8.3。Proxmox VE（Proxmox Virtual Environment）是一个非常棒的集成 OPENVZ 支持 KVM 应用的环境。 Proxmox VE 6.2 的一些亮点内容如下 基于 Web 的管理界面的高级选项： 除了已经存在的基于 HTTP 的验证模式之外，Proxmox VE 还通过基于 DNS 的质询机制为 Let’s Encrypt TLS 证书实现了域的内置验证。完全支持多达八个 corosync 网络链接。使用的链接越多，集群可用性就越高。在存储内...阅读全文