根据九净在SDNLAB上的分享, 一个合格的运维工程师需要掌握一定的开发能力。这些工具都不复杂,可以在使用中跟踪学习(本质上是应用层的东西,而应用层的变动常常很频繁,不需要特别学习)。
可以参考知道创宇技能清单,整体上提供了一个框架性的说明;核心工作能力要随着自己的需求自行变动。
现代城市生活指南: 汇总现代城市生活的技巧、涵盖现代文明的种种成就
城市中的衣食常常是放在一起的,构成“商业广场”、“商圈”。
TODO: 插入商业广场图片,分析北京、苏州的商圈、小的农贸/服装批发市场等。
居住和出行常常是紧密相关的,大家聚集在城市的核心就在于方便出行,所以常常面对居住和出行之间的矛盾。
人有居住较大空间的欲望,也有方便出行的欲望;然而两个欲望在现实生活中常常会产生冲突。方便出行的地方人员聚集反而导致居住环境稍逊一筹。
TODO: 插入小区的图片,介绍居委会、村委会制度
景点主要分为自然景点和人文景点,自然风光就因地而异,人文景点则往往和历史传承相关。
这里的景点是指那种某些城市特有的景点,诸如公园、体育馆之类的共有娱乐场所则不考虑在内。
自然景点主要是:名山大川、特色风光;人文景点主要是:博物馆、名人故居、历史遗迹。这些地方往往可以进行打卡,而且
评价景点好坏、或者是挑选景点的一个重要核心在于,查看景点在国家旅游局的评级,所谓的4A
企业,是现代商业社会的基石;如何深入调查研究企业发展和相关信息,在现代社会是非常重要的基本技能。一般性的投资(尤其是投行和咨询公司)、商品品牌的选择(对于大件商品的购买决策、婴幼儿奶粉等非常重要的商品),了解企业的历史、法律纠纷记录、财务情况等非常重要。但是,很多信息见诸搜索引擎或新闻报道的时候,已经是比较落后推迟了。获得一手信息就显得非常重要。
最好的一手信息来自行业内的人,甚至就是企业的内部人员;当然这些信息往往都是颇费波折才能获取。
还可以使用专业的搜索引擎,如”天眼查”、”企查查”、”见微数据”、”启信宝”等。这些引擎集合了国家企业信用信息公示系统,中国裁判文书网,中国执行信息公开网,国家知识产权局,国家知识产权局商标局,国家版权局,各创投公司的公告说明,爱分析等资本管理/研究新闻平台,特别值得用来认识企业情况;尤其是在进行大额/重要交易(如租房、大件商品、重要食品之前,通过这些搜索引擎确认公司状况和风险,是非常有必要的)。当然,这种平台的缺点在于,需要付费(会员费也不便宜),可以使用淘宝进行临时查询。
ModSecurity是典型的开源WAF组件, 需要配合Apache HTTP server和Nginx使用, docker镜像可以找到一些link下载, 然后运行
1 | docker build -t owasp/modsecurity-crs . |
为了测试其性能, 可以安装Apache HTTP server benchmarking tool, 运行命令ab -n 10000 -c 100 (url) 即可。
可以找到ModSecurity的各种配置(屏蔽ip黑名单等配置), 其中重要的是CRS的规则说明。/usr/local/nginx/conf/modsec/rules/*.conf 目录下的 CRS 防御规则文件及相关说明如下所示
规则文件 规则说明
REQUEST-900-EXCLUSION-RULES-BEFORE-CRS 定制化个人防护规则,调整规则防护场景
REQUEST-901-INITIALIZATION CRS 配置初始化
REQUEST-910-IP-REPUTATION IP 信誉库
REQUEST-911-METHOD-ENFORCEMENT HTTP 请求方法检测
REQUEST-912-DOS-PROTECTION 拒绝服务规则
REQUEST-913-SCANNER-DETECTION 扫描器检测
REQUEST-920-PROTOCOL-ENFORCEMENT URL Scheme 协议检测
REQUEST-921-PROTOCOL-ATTACK HTTP 协议攻击检测
REQUEST-930-APPLICATION-ATTACK-LFI LFI 本地文件包含漏洞检测
REQUEST-931-APPLICATION-ATTACK-RFI RFI 远程文件包含检测
REQUEST-932-APPLICATION-ATTACK-RCE RCE 远程命令执行检测
REQUEST-933-APPLICATION-ATTACK-PHP PHP 攻击检测
REQUEST-941-APPLICATION-ATTACK-XSS XSS 攻击检测
REQUEST-942-APPLICATION-ATTACK-SQLI SQL 注入攻击检测
REQUEST-943-APPLICATION-ATTACK-SESSION-FIXATION 会话固定攻击检测
REQUEST-949-BLOCKING-EVALUATION 基于风险值检测入站请求
RESPONSE-950-DATA-LEAKAGES 数据泄漏检测
RESPONSE-951-DATA-LEAKAGES-SQL SQL 数据泄漏检测
RESPONSE-952-DATA-LEAKAGES-JAVA JAVA 数据泄漏
RESPONSE-953-DATA-LEAKAGES-PHP PHP 数据泄漏
RESPONSE-954-DATA-LEAKAGES-IIS IIS 数据泄漏
RESPONSE-959-BLOCKING-EVALUATION 基于风险值检测出站请求
RESPONSE-980-CORRELATION 入站、出站风险值关联
RESPONSE-999-EXCLUSION-RULES-AFTER-CRS 定制化个人防护规则,重载、更新、移除检测规则
TODO: Unfinished works
在NS-3的官网上有详细说明如何安装,下面简单说明一下(理论来说用bake或者waf也可以安装,但个人感觉反而更麻烦一些)。
读博士是非常珍贵的经历,虽然我目前只经历了1年半的时间,但各项科研技能都得到了一定的锻炼。
编程能力还需要很大的提高,是自己未来2年的重点工作,可以通过LeetCode和各项CTF比赛来提高! 目前各项都处于基本入门水平。
交流能力经过辅导员岗位的锻炼,得到了很好的提升。未来应该通过实习等方式继续提升。
TODO: NSM项目尚未能够完全成功运行! 需要通过Snort、ModSecurity等Docker做完善工作。
本文旨在介绍CNCF基金会下的Network Service Mesh的相关情况和使用方法总结。
Docker,作为轻量级虚拟化–容器的一种解决方案,在开源社区从诞生之初就备受瞩目。Docker能轻到近似二进制文件大小(可以参考裁减镜像),占用极少的资源、同时保证isolation。但是在业务中部署容器却不是一件简单的事情,需要配置物理机和容器之间的交互,同时需要配置好各种监控以保证适时扩容。为了应对容器的这种问题,Kubernetes作为容器的编排工具出现了。Kubernetes是Google将其内部集群管理系统Borg(13年发布Omega)修改后于14年开源。2015年,谷歌和Linux基金会合作建立云原生计算基金会(CNCF),旨在建立可持续的生态系统。Google此举可认为是通过开源打击其他云厂商,既然我商业化进展不顺、通过开源项目来引发混战也是不错的。Kubernetes在Security方面天然有Certificate和PKI、在Scheduling和Scalability天然考虑分布式(谷歌的分布式系统实力还是非常强大的),加上虚拟化的一次开发到处部署,Restful API的现代化前端交互,Kubernetes集合了system设计的各种历史经验,对于云应用来说具有强大的吸引力。
随后,Kubernetes有了软件包管理系统Helm(类似Brew、apt或yum)、Minikube(本地可运行Kubernetes)、Prometheus(metric收集数据库)、OpenTracing(Debug工具)等等从2016年开始逐渐完善起来;到了2017年,Istio(微服务网络)发布,Kubernetes也在亚马逊、微软等开始推出商用,转眼到了2020年,Kubernetes可以说已经是System方向必须掌握的工具了。
目前围绕Kubernetes已有一系列的开源项目,相关信息都可以在CNCF的官网上找到。阿里、华为都有贡献开源项目。
k8s在网络方面有一个缺陷,就是不能配置L2/L3层的处理;对于应用来说,看到TCP层已经足够了(分布式系统直接就基于RPC设计系统),不需要L2/L3层的东西;k8s的访问安全性是通过Authentication实现的,因此不需要在意流量如何如何。但是如果想把k8s放到公网上,就不得不考虑更多的L2/L3层的网络功能,比如Middlebox(Firewall->DPI->VPN形成的基于安全的考虑设立的SFC),比如电信网的计费网关、QoS功能模块等。但是从纯Zero-Trust的角度,MB似乎是要尽量舍弃的?
Network Service Mesh项目的设立之初就是为了应对这个问题,详细的说明介绍可以参考这个链接。有些重点内容挑出来如下
NSM并没有对Kubernetes的CNI模型进行扩展或者修改,而是采用了一套与CNI完全独立的新机制来以实现这些高级的网络需求。
NSM参考了Kubernetes中Service的概念提出了Network Service。Network Service对外提供的是L2/L3层的网络服务,即对数据包进行处理和转发,而不会终结数据包。
我们可以将NSM和SDN结合使用,可以通过NSM中的Network Service接入SDN提供的强大的网络服务。下图是在NSM中利用SDN为应用提供QoE(Quality of Experience)服务的一个例子。
1 | helm repo add nsm https://helm.nsm.dev/ |
NSM在Github下载后
[^footnote-kind]: 主要是安装k8s本地模拟器: kind; 关于kind的简单说明可以查看ref。
在整理自己以前杂七杂八的东西时, 发现自己之前写过Research method的一些内容, 杂乱在md文件、OneNote、Pocket和Youdao Note中, 这里做一个简单整理(自己的个人知识管理能力确实有待提高, 需要维护changelog和所有文件归档到一起)。
做科研就是在解决问题,是学习用逻辑和科学方法论去解决问题。当然,逻辑或者说理性是不能解决所有问题,宗教信仰自有其存在的必要(这一点也是《战争论》中提到的: 交战绝不仅是双方力量的对比、意志在其中会发挥作用)。但这一套方法不得不说能够解决绝大多数的问题,是优秀世界观的一个重要组成部分。所谓的科学的方法,抽象来说就是大家说的唯物辩证法,我觉得更加实用的是”7W”准则: What, When, Who, Why, Where, How, For Whom。当我们用着7W准则去思考一个问题时, 就会出现如下结果。
还有一个特别好用的是六顶思考帽。
题目是科研痛苦,嗯,现在我感受到了科研的痛苦了。自己对于文章的态度也发生了不小转变,我个人经历的对于research的态度为:
大四刚入研究生涯的时候,感觉自己是要做出来顶级科研,那些没有巨大创新、或者没有产生极大的学术或工业界影响力的工作都是不值得做的。一个人闷头搞1-2年,还写不出来top级的项目?
怀揣这种想法,我进入博士1年级,那时候自己主要在上课,上学期读paper、下学期写代码;两方面的进步还是有一些的;现在可以说自己不再是科研小白了,科研是怎么回事大致有了解。可惜的是没有抓紧时间继续进入自己的毕设工作(虽然中间参与Packet Classification项目有2个月,但自己时间还是足够的),自己是有机会完成Packet Scheduling深入的东西的。
到了博士2年级,自己立志上学期要完成Packet Scheduling的project,但是半路又拐去了Edge Computing。开始想的是1个月搞定,后来发现自己并不能顺利结束;中间又发生了题目的切换:原定的使用EC来更好地提供Network Security(如:DDoS Defense)的思路发现已经有了相关文章做过了;于是改做如何在EC场景下提供Network Security。磕磕绊绊做了2个月,匆匆忙忙想了一点东西就出手做,产出肯定是不怎样的,后续是要和付哲师兄继续合作、加强每周交流,深入把这个project好好地结束掉。
还是要记住“竞争”时要避免的4件事情,拼多多、抖音的发展都有点这种味道。