作者简介:五月君,Nodejs Developer,慕课网认证作者,热爱技术、喜欢分享的 90 后青年,欢迎关注 Nodejs技术栈 和 Github 开源项目 https://www.nodejs.red
现在连接inux服务器一般都是使用SSH远程连接的方式。最近新装了一台服务器,发现telnet时速度很快,ping时一切也正常,但SSH连接的时候却很慢。经过网上资料查询,大致是有以下几种原因:
如果你是金融行业的内部IT、运维,相信你可能也有过这样关于域名和DNS的隐忧:这样的“基础设施”,出了问题,连个备份都没有可怎么办?甚至有一些最新的行业机构出了指导要求:域名与DNS需要有备份! 1 需要尽快完成域名与DNS状态检测: 如企业注册了xxx.cn的域名,现在需有一套备用的域名和解析服务,用来保证当主域名出现异常时,可以快速切换到备用域名上。并且,域名备份需要使用具备资质要求的厂商服务,这一块资质的要求上能满足的厂商不多,当然,我们腾讯云DNSPod是其中之一啦! 2 增强DNS解析的安全防护
最近我们内网的 k8s 集群做了一次升级,发现经过 APISIX 网关服务都 503 异常了,于是做了一次分析。我们在内网和线上都采用了 APISIX 来做流量网关,对 APISIX 也贡献了 6 个 PR,所以对它的源码还算比较了解。下面排查过程比较曲折,情感上多次起伏,各位看官耐心看完。
roc,腾讯高级工程师,Kubernetes Contributor,热爱开源,专注云原生领域。目前主要负责腾讯云TKE 的售中、售后的技术支持,根据客户需求输出合理技术方案与最佳实践,为客户业务保驾护航。 概述 随着 HTTPS 不断普及,越来越多的网站都在从 HTTP 升级到 HTTPS,使用 HTTPS 就需要向权威机构申请证书,需要付出一定的成本,如果需求数量多,也是一笔不小的开支。cert-manager 是 Kubernetes 上的全能证书管理工具,如果对安全级别和证书功能要求不高,可以利用
我一直使用的都是Let's Encrypt免费的证书,昨天看到群里的大佬发出了一个测试的证书申请的脚本命令,我才接触到acme.sh,于是我查阅了很多大佬的博文了解这个脚本的使用方法。acme.sh功能非常强大,自动安装证书,支持广泛的环境和场景的部署。
需要注意的是,修改操作系统的DNS缓存配置和管理可能需要管理员权限,且不同操作系统的配置方式可能有所不同。建议在进行相关操作前先查阅操作系统的相关文档或咨询系统管理员。
说明:之前看到有人问了下Caddy怎么申请Let’s Encrypt泛域名SSL证书,就翻了下官方文档了解下,发现比用Nginx申请的过程简单很多,这里就发下方法。如果有人需要Nginx申请的方法,可以看下博主很久前发过的Nginx申请教程→传送门。
本文陈述将zenlayer高防应用在aws的生产环境的具体流程、步骤、架构、细节。
HttpDNS是使用HTTP协议向DNS服务器的80端口进行请求,代替传统的DNS协议向DNS服务器的53端口进行请求。也就是使用Http协议去进行dns解析请求,将服务器返回的解析结果(域名对应的服务器IP),直接向该IP发起对应的API服务请求,代替使用域名。
SSRF,Server-Side Request Forgery,服务端请求伪造,是一种由攻击者构造形成由服务器端发起请求的一个漏洞。一般情况下,SSRF 攻击的目标是从外网无法访问的内部系统。漏洞形成的原因大多是因为服务端提供了从其他服务器应用获取数据的功能且没有对目标地址作正确的过滤和限制 。
最直观的体验是,当在浏览器中输入网址时,浏览器能够找到网址对应的服务器的 ip 地址。这个过程就是依赖 DNS 域名解析。
作为一个加入 CNCF(Cloud Native Computing Foundation) 的服务 CoreDNS 的实现可以说的非常的简单。
原本用的阿里腾讯免费ssl 发现过期更新起来比较麻烦 于是就折腾使用acme.sh 自动申请泛域名ssl ZeroSSL。
由于GFW以及OpenAI官方的封禁,我们在国内服务器是访问不通OpenAI的官方接口的
在购买域名时,域名本身是不带有www的,但由于域名要通过DNS服务器解析后才可以使用,在这个过程中每一个域名是会指向一个web服务器ip地址,由于在很早之前网站方都会增加一个”www”的子域名来帮助客户以更多的路径访问网站,客户通常都会按照:”www.++.com”的形式来访问站点;如果你没有做这个www的解析那么”www.++.com”就不能访问,对于不懂技术或者不明白解析的客户来讲,这个问题可能会造成他不能访问你的站,因为他只是知道用带有”www”的形式访问你的站点,可能不知道”++.com”也是同样可以访问的!所以,后来也就有了更多人在延续这个做法;我们在购买空间域名时,服务商也会随手就帮你做了这个”www”的解析,当然,这个解析的服务器地址是和没有”www”相同的,造成:你用带”www”的和不带两个域名同时可以访问一个同样的内容。说白了这个问题的答案就是:能够让初次使用互联网的人更快的访问进你的网站。
不论是你做前端还是后端开发,本地调试带有域名的接口或页面是大概率绕不开的事情。甚至,如果你使用了自签名证书或者使用了“虚拟域名”进行 HomeLab 服务搭建,在某些不能使用网络默认 DNS 服务器时,也需要一些“灵活”的方案来动态切换一系列域名的指向。
目前使用量最大的免费SSL证书就是Let’s Encrypt,自2018-03开始,Let’s Encrypt官方发布上线了免费的SSL泛域名证书,目前通过DNS方式获取比较快,国内可以通过鹅云的DNSPod域名API或者猫云域名API自动签发Let’s Encrypt泛域名证书。因为鹅云使用的就是DNSPod域名,并且鹅云和DNSPod的账号是打通的,可以使用wx直接扫码登录。下文需要对鹅云和DNSPod进行操作,为了简化证书申请过程,需要提前安装acme.sh。acme.sh实现了acme协议,可以从Let’s Encrypt生成免费的证书,自动创建cron任务, 每天零点自动检测所有的证书,如果发现证书快过期了,需要更新,则acme.sh会自动更新证书,安装过程不会污染已有的系统任何功能和文件,所有的修改都限制在安装目录中。
监控某个网站(比如定时ping),当发现故障时执行此脚本修改域名的A记录指向备份网站的IP地址,实现故障自动切换
在 App 访问网络的时候,DNS 解析是网络请求的第一步,默认咱们使用运营商的 LocalDNS 服务。有数据统计,在这一块 3G 网络下,耗时在 200~300ms,4G 网络下也须要 100ms。
Traefik实现自动申请HTTPS证书要使用Let’s Encrypt自动生成证书,需要使用ACME。需要在静态配置中定义 “证书解析器”,Traefik负责从ACME服务器中检索证书。
使用k8s的时候,很多人会有一个这样的需求,不同的域名通过不同的dns服务器来进行解析,k8s中域名解析都是通过coredns来说实现的,要想实现上面的场景,我们只需要在coredns的配置里面给不同的域名配置好上游的dns即可。
PS:通过dns可以访问同一个namespace,dns跟网络经常使用的域名方式很类似的,就是域名dns找到对应的服务,性质是一样的。下节咱们说说如果不在同一个namespace下如何进行通信的问题。
DNS(domain name system 域名系统):基于C/S模式的域名解析服务,监听在53/udp,53/tcp端口,其中tcp用来区域传送,udp用来解析,其实是一个数据库,用于TCP/IP程序的分布式数据库,同时也是一种重要的网络协议,DNS储存了网络中的IP地址与对应主机的信息,邮件路由信息,还有其他网络应用方面的信息,它所提供的服务是用来将主机名和域名转换为IP,就像一个翻译官
同城异地灾备,业务双活,其实也不过就是看看是否需要SLB或者GSLB或者DNS,在进行灾备的时候,最主要的还是DNS服务的提供,在进行切换的时候,大部分就是将DNS重新绑定IP地址,从而进行主从切换。。切换只不过是一个脚本。
说到上网,大家最熟悉不过;而DNS服务则是连接网站域名和ip地址的桥梁。例如百度搜索的域名网址是“www.baidu.com”,其对应的ip地址是“182.61.200.6”。这时,终端可以通过ip地址直接访问百度搜索网页,也可以通过域名网址访问百度搜索首页。但在网站相对多的时候,我们通过记忆ip地址去访问网站就显得十分吃力了,因此,网站一般会约定轴承设定一些标志性的域名地址,当你想访问某个网站时,脑海里会联想到与该网站关联的关键英文词组。记忆这个网站的域名地址就相对简单了。
一、问题介绍 网站宕机是每个站长都会遇到的问题,我们讨论下网站宕机后,在DNS层面上可以做些什么来降低损失。 一个网站可以从DNS上设置多个IP,基本上有两个目的, 一些大型的网站会混合使用两种方式。 Round-robin DNS,用DNS轮询实现负载均衡。 域名智能解析,联通用户访问联通IP,电信用户访问电信IP。 二、问题分析 当一个IP宕机无法访问时,我们首先要做的就是不要让用户继续访问该服务器,一个最简单的方法就是停止掉该域名记录的解析。 域名记录会在各地的运营商DNS上有缓存,所以用修改
acme.sh 实现了 acme 协议, 可以从 letsencrypt 生成免费的证书.
谈到优化,首先第一步,肯定是把一个大功能,拆分成一个个细小的环节,再单个拎出来找到可以优化的点,App 的网络优化也是如此。
腾讯云tke集群访问apiserver地址都是域名来访问的,支持内网和公网访问apiserver,如果是公网访问会创建一个公网的类型的clb,然后将域名自动解析到clb的vip上。如果是内网访问会创建一个内网clb类型的service,default命名空间下的kube-user,但是内网不会做域名的自动解析,所以通常需要配置在客户端配置hosts解析才能访问集群。客户端机器较多的时候,需要每一台配置host解析就比较麻烦,能否实现tke集群apiserver域名做内网的自动解析?
在研发时,需要直接连接远端 Kubernetes 集群。通常的做法是,将 /etc/kubernetes/admin.conf 拷贝到本地 ~/.kube/kubeconfig。
Let’s Encrypt 宣布 ACME v2 正式支持通配符证书。Let’s Encrypt 宣称将继续清除 Web 上采用 HTTPS 的障碍,让每个网站轻松获取管理证书。
为何要做网络优化 网络优化对于App产品的用户体验至关重要,与公司的运营和营收息息相关。这里列举两个公开的数据: “页面加载超过3秒,57%的用户会离开。” “Amazon页面加载延长1秒,一年就会减
前言 2021年4月,Kubernetes社区披露了一个编号为CVE-2020-8562的安全漏洞,授权用户可以通过此漏洞访问 Kubernetes 控制组件上的私有网络。 通过查阅此漏洞披露报告可发现,这个漏洞拥有较低的CVSS v3评分,其分值仅有2.2分,与以往披露的Kubernetes高危漏洞相比,这个拥有较低评分的漏洞极其容易被安全研究人员以及运维人员所忽视。但经过研发测试发现,在实际情况中,这个低风险的漏洞却拥有着不同于其风险等级的威胁:在与云上业务结合后,CVE-2020-8562漏洞将会为
最近甲方项目中有一个需求点需要DNS服务配合,项目要求该DNS系统能让用户自行操作记录,并允许用户通过命令自行修改DNS记录。
前言: 自动化签发证书ssl时,查看文档有些麻烦,而且签发命令较为繁琐,遂写这一篇文章做个记录,以后在申请的时候可以直接复制,也算是对自动化签发ssl证书的一点小探索。
服务发现就是一种提供服务发布和查找的服务,是基于服务架构(SOA)的核心服务,需具备以下关键特性:
作为服务发现机制的基本功能,在集群内需要能够通过服务名对服务进行访问,因此需要一个集群范围内的DNS服务来完成从服务名到ClusterIP的解析。
1、部署Cluster DNS 1.1 原理:(看看吧,摘抄网上的↓) 通过前面对Kubernetes的讨论(Kubernetes核心概念总结).我们已经知道,每个Kubernetes service都绑定了一个虚拟IP 地址(ClusterIP),而且Kubernetes最初使用向pod中注入环境变量的方式实现服务发现,但这会带来环境变量泛滥等问题。故需要增加集群DNS服务为每个service映射一个域名。到Kubernetes v1.2版本时,DNS作为一个系统可选插件集成到Kubernetes集群中。
而且,移动网络固有的弱网问题、DNS问题、连接性能等等都无法跟传统的固定网络相比。所以,优化移动端网络,显的尤其必要。
从Kubernetes 1.11开始,可使用CoreDNS作为Kubernetes的DNS插件进入GA状态,Kubernetes推荐使用CoreDNS作为集群内的DNS服务。 我们先看一下Kubernetes DNS服务的发展历程。
Caddy是一款功能强大,扩展性高的Web服务器,目前在Github上已有38K+Star。Caddy采用Go语言编写,可用于静态资源托管和反向代理。
kubernetes 提供了 service 的概念可以通过 VIP 访问 pod 提供的服务,但是在使用的时候还有一个问题:怎么知道某个应用的 VIP?比如我们有两个应用,一个 app,一个 是 db,每个应用使用 rc 进行管理,并通过 service 暴露出端口提供服务。app 需要连接到 db 应用,我们只知道 db 应用的名称,但是并不知道它的 VIP 地址。
kubernetes在1.12以上版本已经建议使用了 coredns 作为集群的默认域名解析组件,但是之前的版本还有在使用kube-dns作为域名解析组件的,kube-dns不同于coredns,可以直接通过 host 插件进行自定义域名解析配置,需要依赖 dnsmasq 的能力实现自定义host的功能,下面就对如何实现给出步骤说明
本篇文章中,我们将探讨如何在容器内指定特定域名解析结果的几种方式。为了方便演示,首先我们创建一个演示用的 Deployment 配置文件。
在之前几篇文章的基础,(Centos7部署Kubernetes集群、基于kubernetes集群部署DashBoard、为Kubernetes集群部署本地镜像仓库),本文继续搭建Kubernete中的服务注册发现机制——SkyDNS.
一、 引入 随着TIG阿基米德平台全面应用。组成京东容器生态技术栈的分布式域名解析服务ContainerDNS(go版https://github.com/tiglabs/containerdns )全量生产环境应用,承载着每天百亿的访问量,单实例峰值每秒请求达到15W QPS,已经接近ContainerDNS的性能极限(17W QPS)。为了更好的提高系统的并发服务,对ContainerDNS 的优化也势在必行。 本文对ContainerDNS性能优化思考和技术实践历程,希望对业内在容器领域和域名解析方
领取专属 10元无门槛券
手把手带您无忧上云