Let’s Encrypt是一家得到Mozilla Firefox和Google Chrome支持的自动化证书颁发机构。今天该机构宣布了一项新措施,从而进一步保护用户免受网络攻击的侵害。这项新功能称之为多角度域验证(multi-perspective domain validation),可帮助证书颁发机构(CA)证明申请人对他们想要获得证书的域具有掌控权。 单角度域验证方式 多角度域验证方式 域验证并不是什么新问题,但在验证过程中还存在很多的漏洞,这意味着网络攻击者可以诱使CA机构错误的颁发证书。通过多角度域认证,网络攻击者需要同时破坏三个不同的网络路径,这不仅大大提高了安全系数,而且在互联网拓扑社区中也能更快发现网络攻击行为。 在新闻稿中,Let’s Encrypt特别感谢了普林斯顿大...阅读全文
GitHub 刚刚通过官方博客发布了 21 日“挂掉”的事件分析。GitHub 指出此次事件发生的原因是在 10 月 21 日 22:52 UTC 进行日常维护——更换发生故障的 100G 光学设备时导致美国东海岸网络中心与美国东海岸数据中心之间的连接断开。 更具体地,GitHub 分析,虽然两地的连接在 43 秒内恢复,但这次短暂的中断引发了一系列事件,这才导致了长达 24 小时 11 分钟的服务降级。 为了大规模提高性能,GitHub 的应用程序将直接写入每个群集的相关主数据库,但在绝大多数情况下将读取请求委派给副本服务器的子集。GitHub 使用 Orchestrator 来管理 MySQL 集群拓扑并处理自动故障转移,Orchestrator 在此过程中考虑了许多变量,并在...阅读全文
者调用关系是关联的基础,因为系统调用才产生了联系。通过 eBPF 技术非常方便地以无侵入的方式采集网络调用,进而将调用解析成我们熟知的应用协议,如 HTTP、GRPC、MySQL 等,最后将拓扑关系构建起来,形成一张清晰的服务拓扑后方便快速定位问题,如下图中网关->Java 应用->Python 应用->云服务的完整链路中,任意一环出现延时,在服务拓扑中应能一眼看出问题所在。这是第一个管线点端到端。2、自顶向下全栈关联:以 Pod 为媒介,Kubernetes 层面关联 Workload、Service 等对象,基础设施层面可以关联节点、存储设备、网络等,应用层面关联日志、调用链路等。接下来介绍下 Kubernetes 监测的核心功能。永不过时的黄金指标黄金指标是用来用来监测系统性能和状态...阅读全文
Kubernetes 1.18 发布了,这是 2020 年首次版本发布。此版本包含 38 项功能增强,其中 15 项为稳定版功能、11 项 beta 功能以及 12 项 alpha 版功能。 主要更新亮点包括: Kubernetes 拓扑管理器 beta 拓扑管理器的作用是让 CPU 与其它设备(例如 SR-IOV-VF)实现 NUMA 对齐,进而让工作负载运行在优化环境中以降低延迟。在拓扑管理器推出之前,CPU 与设备管理器只能彼此独立地做出资源分配决策。此版本拓扑管理器已经发展到 beta 版本。 Serverside Apply beta 2 beta 2 版本将跟踪并管理所有新 Kubernetes 对象的字段变更,确保用户及时了解哪些资源在何时进行过更改。 使用...阅读全文
/default/isc-dhcp-server 使用 INTERFACES 选项定义 DHCPD 响应 DHCP 请求所使用的接口。 比如,如果你想让 DHCPD 守护进程监听 eth0,按如下设置: INTERFACES="eth0" 同样记得为上面的接口配置静态地址。 步骤 2:在 Debian 中配置 DHCP 服务器 3、 DHCP 配置的主文件是 /etc/dhcp/dhcpd.conf, 你必须填写会发送到客户端的所有网络信息。 并且 DHCP 配置中定义了两种不同的声明,它们是: parameters - 指定如何执行任务、是否执行任务,还有指定要发送给 DHCP 客户端的网络配置选项。 declarations - 定义网络拓扑、指定客户端、为客户端提供地址,或将一组参数应用于一组声明...阅读全文
Beta 阶段,并默认开启。注意,使用该特性需要 CSI 驱动程序实现对应的接口。TTL 控制器 BetaTTL 控制器用来自动清理已经结束的 Pod,如处于 Complete 或 Failed 状态的 Job。Pod 停止之后的 TTL 可以通过 .spec.ttlSecondsAfterFinished 来设置。注意,该特性要求集群中各节点(包括控制节点)的时间一致,比如在所有节点中运行 NTP 服务。GenericEphemeralVolume Beta通用临时卷(GenericEphemeralVolume)类似于 emptyDir 卷,但它更加灵活:存储可以是本地的,也可以是网络存储。卷可以有固定的大小,Pod 不能超量使用。卷可能有一些初始数据,这取决于驱动程序和参数。当驱动程序支持...阅读全文
派拓网络全球威胁情报团队 Unit 42 在这份报告中指出:“机构平均支付赎金从 2019 年的 115123 美元增加到 2020 年的 312493 美元,同比增长 171%。此外,组织支付的最高赎金从 2019 年到 2020 年翻了一番,从500万美元增加到1000万美元”。报告中还表示,网络犯罪分子已经变得越来越贪婪。从 2015-2019 年间,勒索软件的最高赎金要求是 1500 万美元。不过在 2020 年,当世界还在从冠状病毒大流行的公共健康和金融影响中恢复过来时,最高的勒索软件需求增长到 3000 万美元。值得注意的是,2020 年 Maze 勒索软件的平均赎金为 480 万美元,与 2020 年所有勒索软件的平均赎金 847,344 美元相比,有了显着增长。网络犯罪分子...阅读全文
新春现金红包与免费Linux基金会培训&认证,等你来领!>>> 2021年1月26日,W3C(万维网联盟)和 IETF (互联网工程任务组)同时宣布 WebRTC(Web Real-Time Communications,Web 实时通信)现发布为正式标准,将音视频通信带到 Web 上任何地方。 WebRTC 由用于 Web 实时通信的 JavaScript API 和一组通信协议构成,支持网络上的任何已连接设备成为 Web 上潜在的通信端点。WebRTC 已成为线上通信及协作服务的基石。 目前全球都面临着 COVID-19 疫情,WebRTC 让数十亿人无论其设备或地域如何,在 COVID-19 疫情期间也能保持联络。WebRTC 的使用已经超越了最初的核心设计,即在浏览器和其他生态(例...阅读全文
控制器故障转移接近瞬时。Kafka 社区计划在下一个版本(3.4)中弃用 ZooKeeper,然后在 4.0 版本中完全删除它。此外,Kafka 3.3 还提供了其他一些新特性,比如添加了与元数据日志处理错误相关的指标,允许用户为其他用户创建委托令牌,以及严格统一的粘性分区器,以缩短分区时间。对于 Kafka Streams,这个版本增加了源/接收器指标,如消费/生产吞吐量、暂停/恢复拓扑,并集成了 KStream transform()和 process()方法。Kafka Connect 增加了对源连接器的精确一次语义支持。原文链接: https://www.infoq.com/news/2022/10/apache-kafka-kraft/...阅读全文
广泛使用一个全局 metrics registry 来注册要公开的 metrics。通过实现 metrics registry,metrics 可以以更透明的方式注册。而在这之前,Kubernetes metrics 被排除在任何稳定性需求之外Volume Extension:新版本有大量和 Volume 及 Volume 修改相关的增强。CSI 规范中对 Volume 调整的支持正在转向 Beta 版,它允许任何 CSI spec Volume plugin 都可以调整大小 其他值得注意的功能更新: 拓扑管理器是一个新的 Kubelet 组件,旨在协调资源分配决策,以提供优化的资源分配IPv4/IPv6 双栈允许将 IPv4 和 IPv6 地址分配给 Pods 和服务API Server...阅读全文
无人驾驶、工业自动化等需要低时延、高可靠连接的业务。 推进5G和车联网的融合发展 车联网是5G技术率先应用的领域 共同探索5G在垂直行业领域的应用和拓展,车联网是5G技术率先应用的领域。无人驾驶是通信和计算在5G时代的价值交汇,目前中国ICT产业链推动的LTE-V标准,已备受国际重视,形成了一定的先发优势。 为推进5G和车联网的融合发展,针对该标准,工信部已与交通、公安等多个部委成立了车联网专项委员会。 从产业应用角度,基于5G网络的创新技术,例如VR/AR视频技术、无人驾驶技术等。华为、中兴、爱立信、诺基亚、英特尔、高通等厂商,都成为战略聚焦领域挑之一。 共同探索5G在垂直行业领域的应用 5G三大垂直市场是哪些 据爱立信近日发布《5G进度调研》,2017年度报告上指出,许多运营商都加快了备...阅读全文
packet 为单位(默认64K),A 收到一个 packet 就会传给 B,B 传给 C。A 每传一个 packet 会放入一个应答队列等待应答; 数据被分割成一个个 packet 数据包在 pipeline 上依次传输,在 pipeline 反方向上, 逐个发送 ack(命令正确应答),最终由 pipeline 中第一个 DataNode 节点 A 将 pipelineack 发送给 Client; 当一个 block 传输完成之后,Client 再次请求 NameNode 上传第二个 block,重复步骤 2; 7.1 网络拓扑概念 在本地网络中,两个节点被称为“彼此近邻”是什么意思?在海量数据处理中,其主要限制因素是节点之间数据的传输速率——带宽很稀缺。这里的想法是将两个节点间的带宽作为距离的...阅读全文
意到一个问题:如果 kube-apiserver 不能显示这些资源,那么用户级控制器是如何处理资源的呢? 为了解决这个问题,kube-apiserver 暴露了一个 ?includeUninitialized 查询参数,它会返回所有的资源对象(包括未初始化的)。 5. 控制循环 Deployments controller 到了这个阶段,我们的 Deployment 记录已经保存在 etcd 中,并且所有的初始化逻辑都执行完成,接下来的阶段将会涉及到该资源所依赖的拓扑结构。在 Kubernetes 中,Deployment 实际上只是一系列 Replicaset 的集合,而 Replicaset 是一系列 Pod 的集合。那么 Kubernetes 是如何从一个 HTTP 请求按照层级结构依...阅读全文
Spring Cloud:Eureka注册中心,Ribbon集成REST实现负载均衡,OpenFeign声明式服务调用,Hystrix实现服务限流熔断降级和数据监控,Zuul实现微服网关,Config分布式统一配置中心,分布式链路跟踪,集成Spring Cloud实现统一整合方案虚拟化容器Docker:Docker环境搭建和使用,搭建Docker私有仓库,Docker分布式集群部署,Kubernetes简介 4. 分布式 Java并发编程和网络编程:Java线程状态,线程池,线程通信,线程安全,Netty高性能原理分布式开发框架:分布式系统口调用技术:RPC,Apache分布式系统Zookeeper原理与应用,阿里Dubbo设计思想与应用分布式中间件:分布式服务器治理,分布式消息通信,分布式数据缓存...阅读全文
中共中央办公厅、国务院办公厅印发了《推进互联网协议第六版(IPv6)规模部署行动计划》,计划全面推进部署 IPv6,协同推进网络实名制。 通知称,用 5 到 10 年时间,建成全球最大规模的 IPv6 商业应用网络。具体计划包括: 1.到 2018 年末,IPv6 活跃用户数达到 2 亿,在互联网用户中的占比不低于 20%,并在以下领域全面支持 IPv6:国内用户量排名前 50 位的商业网站及应用,省部级以上政府和中央企业外网网站系统,中央和省级新闻及广播电视媒体网站系统,工业互联网等新兴领域的网络与应用;域名托管服务企业、顶级域运营机构、域名注册服务机构的域名服务器,超大型互联网数据中心(IDC),排名前 5 位的内容分发网络(CDN),排名前 10 位云服务平台的 50% 云产品;互联...阅读全文
打破长达半世纪的 IP 协议,重塑互联网,可能实现吗?华为正在尝试中。据《金融时报》报道,华为联合中国工会、中国电信、中国工业和信息化部向国际电信联盟(International Telecommunication Union,ITU)提出一项名为“New IP” 的提案。 华为在提交的议案文章(题为“New IP framework and Protocol for Future Applications”)中介绍到,New IP 是一种新型互联网协议框架,能够更好地支持新兴网络应用,比如多网络和全息通信等,将从根本上支持网络层的可变长度、多语义地址以及用户定制的网络。 华为指出,现有的 IP 协议已面临着网络挑战,主要有两个方面:一是 AR/VR、全息通信等新兴应用的发展需要更高效和定...阅读全文
开源正在改变网络,但是由于项目太多,协调性太差,导致了整个生态系统不协调。以 Linux 基金会为首的开源平台,以及开放网络自动化平台(ONAP),NFC(OPNFV)开放平台,OpenDaylight,FD.io,PNDA和流媒体网络分析系统(SNAS)聚集在一起,创立了用于跨项目合作的 LF Networking Fund (LFN) 。他们共同协调了软件定义网络(SDN)和网络功能虚拟化(NFV)。 LFN 需要做的是提供项目之间的合作渠道,以及相关项目和整个社区的生态系统平衡。LFN平台将弥补方案之间的差距,促进跨项目协作。 Linux 基金会网络和编排总经理 Arpit Joshipura 的说道:“以Linux的云本地计算基金会(Cloud Native Computing...阅读全文
新安装的Debian系统,默认一般使用DHCP获取IP地址,除非在安装过程中,使用了指定的IP地址。本文将介绍如何在Debian系统中,配置使用静态IP地址,配置网关,以及设置DNS服务器。 这些配置通过修改配置文件,很容易实现。在 Redhat 系列的 Linux 环境中,我们一般修改网卡的网络配置文件,对应的文件名为 /etc/sysconfig/network-scripts/ifcfg-eXX,其中eXX即为网络设备名。网络设备的列表可以他通过 ifconfig 命令获取。同样的,在 Debian 环境下,我们只需要修改网络的配置文件便可以了。相比之下,配置过程要比 Redhat 更为方便,只需要修改 /etc/network/interfaces 文件。 Debian 系统设置静...阅读全文
当上世纪九十年代互联网开始被广泛使用的时候,其大部分的通讯只使用几个协议:IPv4 协议路由这些数据包,TCP 协议转发这些包到连接上,SSL(及后来的 TLS)协议加密连接,DNS 协议命名那些所要连接的主机,而 HTTP 协议是最常用的应用程序协议。 多年以来,这些核心的互联网协议的变化几乎是微乎其微的;HTTP 增加了几个新的报文头和请求方式,TLS 缓慢地进行了一点小修改,TCP 调整了拥塞控制,而 DNS 引入了像 DNSSEC 这样的特性。这些协议看起来很长时间都一成不变(除了已经引起网络运营商们的大量关注的 IPv6)。 因此,希望了解(甚至有时控制)互联网的网络运营商、供应商和决策者对这些协议采用的做法是基于其原有工作方式 —— 无论是打算调试问题,提高服务质量,或施加政策...阅读全文
距离AT&T宣布“2018年底”推出12城市5G网络的最后期限越来越近。 近日,AT&T 宣布与Cradlepoint建立合作伙伴关系,Cradlepoint提供多种型号的“5G Evolution”路由器。这些路由器现在提供高速4G网络,并承诺在未来支持更快的5G网络。 AT&T将在在全国范围内开始销售5G网络路由器,而无需在特定区域内保证5G网络服务。 5G路由器登场(图片来源:venturebeat) 从积极的方面来说,5G Evolution设备承诺的功能和性能可能至少足以满足当前的部署需求。 车载路由器将支持从出租车到应急响应车辆的所有设备,以获得精确的GPS位置和高达1Gbps的数据性能,FirstNet 用户可享受增强的安全性和优先通信。 从公告中不清楚的是...阅读全文
你可以通过 iftop、Nethogs 和 vnstat 这三个 Linux 网络命令,了解有关你网络连接的大量信息。iftop 通过进程号跟踪网络连接,Nethogs 可以快速显示哪个在占用你的带宽,而 vnstat 作为一个很好的轻量级守护进程运行,可以随时随地记录你的使用情况。 iftop iftop 监听你指定的网络接口,并以 top 的形式展示连接。 这是一个很好的小工具,用于快速识别占用、测量速度,并保持网络流量的总体运行。看到我们使用了多少带宽是非常令人惊讶的,特别是对于我们这些还记得使用电话线、调制解调器、让人尖叫的 Kbit 速度和真实的实时波特率的老年人来说。我们很久以前就放弃了波特率,转而使用比特率。波特率测量信号变化,有时与比特率相同,但大多数情况下不是。 如果你只...阅读全文
领先的开源解决方案供应商红帽公司(NYSE:RHT)宣布发布 Ansible2.3,简单、功能强大。Ansible 成立于 2013 年,在 2015 年被红帽收购, 开源软件 Ansible 就是 Ansible 旗下的十分流行的一个模型驱动的配置管理器。 Ansible2.3 更新主要包括性能增强和高级网络功能,以及其他满足网络运营商需求的附加功能。Ansible 2.3 通过新功能和性能更新来加强网络基础架构的支持:增强网络功能、持久连接框架,允许一个 SSH 连接在多个可复制任务之间保持活动。 这减少了完成的总时间。更多内容请参阅 此博客 。 下载地址: Source code (zip) Source code (tar.gz)...阅读全文
Google 宣布了 新拥堵控制算法 TCP BBR。Google 官方博客称新算法将 google.com 和 YouTube 的全球网络吞吐量平均改进了 4%,在某些国家改进了 14%+。 Google 解释说,现有的 TCP 拥堵控制算法源自 1980 年代,是为低带宽数据传输设计的,解决拥堵主要考虑丢包,也就是在网络堵塞的时候路由器将会丢弃新的数据包。BBR 代表 Bottleneck Bandwidth and Round-trip propagation time,它的拥堵控制采用了不同的方法,考虑了网络实际的数据交付率有多快。根据最近测量的网络交付率和往返时间构建显示模型,最大化近期可用带宽和最小化近期往返延迟。BBR 使用这些数据决定数据发送速率有多快。 Google 已经...阅读全文
微软在其技术社区官方博客宣布,已开源自己的内部 QUIC 库,即 MsQuic。QUIC(Quick UDP Internet Connections,快速 UDP 网络连接)是一种实验性的网络传输协议,正在由 IETF 进行标准化。QUIC 最初由谷歌开发,在 2013 年实现。 谷歌希望使用这个协议来取代 HTTPS/HTTP 协议,使网页传输速度加快。2018 年,基于 QUIC 协议的 HTTP(HTTP over QUIC)成为即将到来的 HTTP/3,正式被确定为下一代网络规范。 微软的 MsQuic 是实现 QUIC 传输协议的跨平台通用库,主要用于支持其产品内部的 QUIC 数据连接。MsQuic 针对多种使用模式进行了优化,已经被多个微软产品和服务使用,包括但不限于...阅读全文
树莓派基金会刚刚推出了新款树莓派硬件,其型号为 Raspberry Pi 3 Model B+ 。虽然名字容易和 2016 年的升级款(Raspberry Pi 3 Model B)搞混淆,但它还是有很大的改动。树莓派 3 Model B+ 采用了速度快了一丢丢的 1.4GHz 四核处理器、蓝牙组件从 4.1 升级到 4.2、并且支持 2.4 / 5GHz 双频 Wi-Fi 。 外媒 TheVerge 编辑 Paul Miller 调侃道:出于某种原因,我们办公室只有 5GHz 的无线网络,所以此前在测试树莓派和其它物联网设备的时候,只能再开辟饱受诟病的 2.4GHz 网络。 说到物联网,就不得不介绍下新款树莓派硬件已经获得了“模块兼容性认证”这件事。也就是说,开发者们无需担心他们的最终产...阅读全文
OCP 峰会刚刚轻松的结束了,但是让我们惊讶的发现微软发布了一个基于 Debian Linux 的操作系统,这个操作系统主要运行在网络交换机之上。该软件被称为 SONiC ,也就是 Software for Open Networking in the Cloud 的缩写。你可以使用它来管理网络交换机的各种操作,网络切换等,而无需依赖网络设备供应商提供的系统。 类似的操作系统还有来自 HP、DELL 和 Cumulus Networks 的系统。 SONiC 基于 Linux 的 Azure Cloud Switch (ACS) 操作系统,该系统我们在去年 9 月份有了解过。ACS 是微软 Azure 云系统中交换机的大脑。可通过 C API Switch Abstraction...阅读全文
在执行 docker ps 命令时可以通过过滤条件来判断,比如 hostnetwork 网络模式的容器,可以加过滤条件,**network=host**, `docker ps --filter network=host --format "table {{.ID}}\t{{.Names}}"` kubenet 网络插件可以用 **network=none** 来过滤...阅读全文
pwru 是 Cilium 推出的基于 eBPF 开发的网络数据包排查工具,它提供了更细粒度的网络数据包排查方案。本文将介绍 pwru 的使用方法和经典场景,并介绍其实现原理。...阅读全文
近日,OSCHINA 和 Gitee 联合发布了《2022 中国开源开发者报告》。其中,云原生社区创始人宋净超在报告中对开源云原生服务网格领域进行了深入解读,以下为主要观点。2022 云原生服务网格五大趋势2022 年,云原生展露了一些趋势。因我更多地关注服务网格领域,在此就该方向谈谈我的观点,欢迎其他专家交流。一是 零信任的云原生安全备受关注。CNCF 在《云原生安全白皮书》中指出,“我们需要在应用安全生命周期中采用更自动化和安全的架构设计(如零信任)”,这表明云原生安全越来越受重视。零信任安全意味着默认情况下,网络内外都不信任任何人,并且要对试图访问网络资源的每一个人进行验证。部署服务网格有助于缩小云原生部署的攻击面,并为构建零信任应用网络提供关键框架。二是 API 网关与服务网格融合...阅读全文
外,这些扩展可以自由地提供各自的实现方式。 由博客文章可知,Mozilla 坚信这会是“一个健康的互联网的关键组成部分”。 2017 年 6 月的时候,作为 200 万美元的分布式互联网奖金的一部分,Mozilla 收集开发了一票面向网络访问不可靠社区的无线解决方案。 作为 Mozilla 推动创新的最新举措,这家非盈利组织最近还捐赠了 27.5 万美元,用于支持教育技术项目。 Dat Project、IPFS、Secure Scuttlebutt 旨在通过支持对等网络的文件传输和 Web 浏览功能,以改善互联网基础设施,而这当前是基于“客户端-服务器”的 Web 所提供的功能。这些协议与现有模型的区别,主要体现在改进了隐私和安全性,以及对网络中立性的支持。 除了这些特性,即将推出的...阅读全文
nsenter 是一个可以在指定进程的命令空间下,运行程序的命令,它位于 util-linux 包中。 nsenter 用途 nsenter 的一个典型用途是进入容器的网络名字空间,进行网络相关的排障... 12月15日 171 评论...阅读全文
UK8S是UCloud推出的Kubernetes容器云产品,完全兼容原生API,为用户提供一站式云上Kubernetes服务。我们团队自研了CNI(Container Network Interface)网络插件,深度集成VPC,使UK8S容器应用拥有与云主机间等同的网络性能(目前最高可达10Gb/s, 100万pps),并打通容器和物理云/托管云的网络。过程中,我们解决了开源kubelet创建多余Sandbox容器导致Pod IP莫名消失的问题,确保CNI插件正常运行,并准备将修复后的kubelet源码提交给社区。 深度集成VPC的网络方案 按照我们的设想,开发者可以在UK8S上部署、管理、扩展容器化应用,无需关心Kubernetes集群自身的搭建及维护等运维类工作。UK8S完全兼容原生...阅读全文
, signature, torrent, pkglist) Tails (“The Amnesic Incognito Live System”的缩写) 是一个十分注重“隐私性”和“隐匿性”的 Linux 发行版,它衍生自 Debian,设计之初就是帮助用户匿名使用互联网,并最大限度保护个人隐私。 为达到此目标,Tails 使用了 Tor 网络,使得网络流量很难被追踪。Tails 还预装了一些应用,包括网页浏览器、IRC 客户端、邮件客户端、即时消息通信工具,它们都以安全为理念进行了预配置,并对网络流量进行了匿名性处理。因此通过 Tails 我们可以不留下任何痕迹“隐身”地使用互联网。...阅读全文
Consul 1.6.0 已于近日 发布 GA 版本 ,Consul 是 HashiCorp 公司推出的开源工具,也是主流的用于实现分布式系统服务发现与配置的方案。HashiCorp 对 Consul 的介绍是一个多云服务网络平台,用于在跨任何运行时平台和公共云或私有云的场景连接和保护服务。 本次更新主要集中在 Consul Connect(为其增加了一些主要新特性)和 Consul 的服务网格解决方案方面,此外还有一些改进和错误修复。 Consul 1.6 新特性 支持对 L7 层的流量管理 。1.6 使用了新的配置条目类型,可为服务到服务(service-to-service)的请求启用高级流量管理模式。其他配置条目类型如服务解析器、服务隔离器以及服务路由器通过高级服务故障转移和部署模...阅读全文
本文我们将介绍如何对离线的系统进行升级或者更新,本方法对基于 Debian 的系统均有效。这一次我们会更新、升级整个操作系统。这个方法在你的主机没有网络连接,或者网络速度很慢时,十分有用。 离线更新基于 Debian 的操作系统 我们假设你在单位或者主机服务商处,有一台正在运行,并配置有高速互联网链接的系统,Windows 或者 Linux均可,而在家有一个没有网络连接或网络很慢的 Debian 操作系统。现在你想要快速更新家里的Debian系统,怎么办?是否需要购买一个更加高速的网络?当然不需要!你可以通过本文介绍的离线更新方法来升级你的操作系统。这正是 apt-offline工具可以做的。 正如其名,apt-offline 是一个为 Debian 及其衍生发行版(诸如 Ubuntu...阅读全文
Sysdig 是 Sysdig Cloud 开发的主要基于Lua语言的一个开源系统分析工具。Sysdig 能从运行的系统中,获取系统状态和行为,做过滤分析,功能上超同类开源工具。Sysdig 可以看做是 strace + tcpdump + lsof + htop + iftop 以及其他系统分析工具的合集 。 此外 Sysdig 还能对容器(如docker、coreOS、LXC)进行监控。 Sysdig 也支持windows平台和mac平台。下面我们以 Linux系统为例,举例说明 Sysdig 的用法,你也可以参考官方原文。 网络 查看占用网络带宽最多的进程:sysdig -c topprocs_net显示主机192.168.0.1的网络传输数据 as binary:sysdig...阅读全文
黑客组织利用 Cacti“Network Weathermap”插件中一个存在 5 年之久的漏洞,在 Linux 服务器上安装了 Monero 矿工,赚了近 75,000 美元。来自美国安全公司趋势科技的专家表示,他们有证据证明这些攻击与过去发生在 Jenkins 服务器上的攻击有关:黑客组织利用 CVE-2017-1000353 漏洞在 Jenkins 设备上安装 Monero 挖矿程序,获得了约 300 万美元。 这次,攻击者利用了 Cacti 的 CVE-2013-2618 漏。Cacti 是一个基于 PHP 的开源网络监视和图形工具,更具体地说,是在其 Network Weathermap 插件中负责可视化网络活动。 就像在以前的攻击一样,黑客利用这个漏洞获得底层服务器的代码执行能...阅读全文
nsenter 是一个可以在指定进程的命令空间下,运行程序的命令,它位于 util-linux 包中。 nsenter 用途 nsenter 的一个典型用途是进入容器的网络名字空间,进行网络相关的排障。大多数容器,为了保持轻量,没有包含较为基础的命令,比如说 ip,ping,telnet,ss,tcpdump等,这就给容器内的网络调试带来困扰。这时就可以使用 nsenter 命令仅进入到容器的网络命名空间,使用宿主机的相关命令调试容器网络。 此外,nsenter也可以进入 mnt, uts, ipc, pid, user 命令空间,以及指定根目录和工作目录。 nsenter 使用 首先看下nsenter命令的语法: nsenter [options] [program [arguments...阅读全文
PHP 7.2.0 已于 2017 年11月30日正式发布GA版,大家可以第一时间尝鲜了。这里我们介绍如何在 Debian 9 "Stretch" 上安装配置 PHP-7.2,以便大家及时升级。目前 Debian.cn 全站已稳定运行在 PHP-7.2 版本中。 本教程使用以下系统及组合: Debian 9 stretch 、Debian 8 Jessie、Ubuntu 16.04 LTS、Ubuntu 14.04 LTS / PHP-7.2 、PHP-7.1、PHP-5.6 安装 PHP-7 Ondřej Surý 的 PHP PPA 为 Ubuntu 16.04/14.04 提供了 PHP-7.2 版本,也通过个人网站为 Debian 9/8 提供 PHP7.2 版本。Ondřej...阅读全文
当地时间 8 月 13 日,Linux 基金会宣布 Facebook 以白金级会员身份加入。在此之前,Facebook 已经是 Linux 基金会许多托管项目的主要贡献者,比如 Presto、GraphQL、Osquery,还有 ONNX。Linux 基金会也表示 Facebook 一直是 Linux 内核开发的积极参与者,因为它雇佣了不少关键的 Linux 内核开发及维护人员。 尽管在隐私方面遭人诟病,Facebook 确实在开源领域做了不少贡献。不仅是软件开源,Facebook 还发起了一些项目,推动开源生态的发展: 通过 Facebook Connectivity 和开源的电信基础设施项目(TIP)基金会,为没有互联网的人们带来快速且可靠的网络。Facebook 的 Magma 开源...阅读全文
Untangle NG Firewall 13.0.0 发布了,Untangle NG Firewall 是基于 Debian 的网关系统,它带有可插拔的模块以支持各种网络应用,这包括垃圾邮件阻挡、网页过滤、反病毒、反间谍软件、入侵阻止、虚拟专用网、SSL 虚拟专用网、防火墙等等。 新版本引入了基于 MAC 的设备跟踪功能,用户跟踪(通过多种方法)以及覆盖 Untangle OpenVPN 设置的能力。 此版本还引入了两个新功能:标签(Tags)和触发器(Triggers)。 标记是一个新功能,允许管理员标记主机,设备或用户,以便基于具有与其相关联的特定标签的实体快速创建策略。 标签可以由管理员手动应用或根据条件自动应用。触发器允许管理员在特定事件发生时标记主机,设备和用户。 然后,管理员...阅读全文
SSL是网络加密传输协议,安装SSL数字证书之后,就可以通过加密方式访问网站。SSL证书的作用主要是确保网络传输数据安全,GoDaddy 提供了的 SSL 证书服务比较受欢迎。下面,我将给大家介绍,如何使用30%的折扣码,在 GoDaddy 网站上购买 SSL 证书。 1.通过本优惠链接进入Godaddy官网,点击Logo右边的菜单,然后依次点击 “Web Security” → “SSL Certificates”,下拉后,我们可以看到这些选项, 国内用户访问的,多半会跳转到 sg.godaddy.com 下,可以不影响购买。页面上我们看到的价格,也是优惠前的价格。 2.GoDdaddy提供了多种 SSL证书,结合自己的需要选择。如果需要用通配符证书,选择第三个 Wildcard SSL...阅读全文
page 很好的介绍了 namespace 的作用。 namespace提供了一种内核级别隔离系统资源的方法,通过将系统的全局资源放在不同的 namespace 中,来实现资源隔离的目的。不同 namespace 的进程拥有相互隔离的系统资源。 这里指的资源隔离包含以下这些: Mount: 隔离文件系统挂载点 UTS: 隔离主机名和域名信息 IPC: 隔离进程间通信 PID: 隔离进程的 ID Network: 隔离网络资源 User: 隔离用户和用户组 通过下面的 clone 系统调用可以创建新的进程,参数 flags 控制创建的进程所属的 namespace, 多个 flags 可以同时创建多个 namespace。 1 int clone(int (*child_func)(void...阅读全文
Linux Kernel开发者和维护总负责人 Greg Kroah-Hartman今天正式敲定,即将发布的4.19分支将会是长期支持版本。目前Linux Kernel 4.17已经结束生命周期,而4.18并不具备成为长期支持版本的必要因素,因此LTSI社区就此事和Greg Kroah-Hartman进行了商谈。 最终答案是,即将到来的Linux 4.19分支内核将会成为长期支持版本,意味着在正式发布之后将会持续支持数年时间。现阶段长期支持分支包括Linux 4.14, Linux 4.9, Linux 4.4以及Linux 3.16 and Linux 3.18。 Linux Kernel 4.19带来了诸多改进,包括升级驱动、改进图形和网络,架构更新,核心内核和网络改进,更新的文件系统...阅读全文
今天,Adobe 正式宣布将放弃 Flash,而相关技术会在 2020 年底全部退役。 在这份公告中,Adobe 强调,在未来三年时间里,苹果、微软、谷歌等将分阶段停止为 Flash 提供技术支持。在 2020 年过后,Adobe 将停止为 Flash 发布更新,网络浏览器将不再支持该技术。这些公司正在鼓励开发者为其软件改用现代编程标准。 Flash 技术是在 20 多年以前诞生的,曾是开发者最青睐的软件之一,被用于开发游戏、视频播放器和可在多个网络浏览器上运行的应用,但它的弊端也是足够明显,存在大量的严重安全漏洞,让 Mac 和 PC 用户暴露于危险之中。 其实在这之前,苹果、谷歌、微软等公司都已经很少触及 Flash 技术,所以业界并不担心这样的技术淘汰。...阅读全文
这篇是 Buoyant 的创始人 William Morgan 文章《What Does Zero Trust Mean for Kubernetes?》 的翻译,文章很好的解释了什么是零信任、为什么要实施零信任,以及服务网格如何以最小的代码实现零信任。零信任是营销炒作,还是新的机会,各位看官你怎么看?要点零信任是一种被大量炒作的安全模型,但尽管存在营销噪音,但它对于具有安全意识的组织具有一些具体而直接的价值。零信任的核心是,将授权从“在边界验证一次”转变为“随时随地验证”。为此,零信任要求我们重新思考身份的概念,并摆脱基于位置的身份,例如 IP 地址。Kubernetes 采用者在网络层实现零信任时具有明显的优势,这要归功于基于 Sidecar 的服务网格,它提供无需更改应用程序就可实现...阅读全文
的支持。可以将docker的/metrics端点暴露给插件: $ docker plugin install --grant-all-permissions cpuguy83/docker-metrics-plugin-test:latest $ curl http://127.0.0.1:19393/metrics 这个插件仅用于示范。它在主机的网络上运行了一个反向代理,能将请求转发给插件中的本地的指标套接字。在真实场景中,可能会将收集的指标数据发送给外部的服务,或者使它可以被一个服务如Prometheus访问并收集。 注意尽管指标插件在非实验性的daemon中可以使用,指标标签(metrics label)仍应该被看作是实验性的,可能在Docker未来的版本中发生改动。 日志驱动插件 添...阅读全文
生成在 3.0 和KIP-730 中,Kafka 控制器现在完全接管了生成 Kafka 生产者 ID 的责任。控制器在 ZK 和 KRaft 模式下都这样做。这让我们更接近桥接版本,这将允许用户从使用 ZK 的 Kafka 部署过渡到使用 KRaft 的新部署。KIP-679:Producer 将默认启用最强的交付保证从 3.0 开始,Kafka 生产者默认开启幂等性和所有副本的交付确认。这使得默认情况下记录交付保证更强。KIP-735:增加默认消费者会话超时Kafka Consumer 的配置属性的默认值session.timeout.ms从 10 秒增加到 45 秒。这将允许消费者在默认情况下更好地适应暂时的网络故障,并在消费者似乎只是暂时离开组时避免连续重新平衡。KIP-709:扩展...阅读全文
和网页服务器、桌面软件、游戏、网络浏览器和商务软件,而这一切都是免费和易于安装的。 该版本主要更新内容如下: OpenSSH的DSA密钥生成已经默认禁用。这是更新前升级重要OpenSSH密钥。此外,协议1的支持已被删除。 OpenSSH更新到7.2p2。 添加802.11n无线支持。 默认情况下,ifconfig(8) utility 将在无线接口上设置默认的FCC域。因此,新创建的带有默认设置的无线接口将不太可能违反国家的规定。 svnlite(1) utility更新到1.9.4版本。 libblacklist(3)库和应用从NetBSD项目移植。 增加支持AArch64 (arm64) 架构。 本地图形支持已被添加到bhyve(8)管理程序。 增加了更广泛的无线网络驱动程序支持。 完整...阅读全文
昨天最令人感到惊讶和担忧的就是,服役超过13年的WPA2加密协议已经被攻破,意味着在你家或办公室 Wi-Fi 物理覆盖范围内的攻击者,都可以向破解并发动入侵,监听你的网络活动、拦截不安全或未加密的数据流。针对本次严重的安全漏洞,包含Debian Linux在内的诸多系统厂商已经着手部署安全补丁,以便于提供更安全的上网环境。 该补丁已经修复了Common Vulnerabilities and Exposures(CVE)的如下漏洞 CVE-2017-13077 CVE-2017-13078 CVE-2017-13079 CVE-2017-13080 CVE-2017-13081 CVE-2017-13082 CVE-2017-13086 CVE-2017-13087 CVE-2017...阅读全文
