我们专注服务于当下互联网基础设施建设与云计算、大数据时代的各种需求!

关于https证书的类型

关于https证书

https协议需要到ca申请证书,一般免费证书很少,需要交费。
http是超文本传输协议,信息是明文传输,https 则是具有安全性的ssl加密传输协议。
http和https使用的是完全不同的连接方式,用的端口也不一样,前者是80,后者是443。
http的连接很简单,是无状态的;HTTPS协议是由SSL+HTTP协议构建的可进行加密传输、身份认证的网络协议,比http协议安全。
目前大部分网站都在忘https上转,Chrome也将https作为浏览器的默认连接,如果网站没采用https的话,就会出现!的标识。

苹果宣布了一个最后期限:到2017年1月1日 App Store中的所有应用都必须启用 App Transport Security安全功能。App Transport Security(ATS)是苹果在iOS 9中引入的一项隐私保护功能,屏蔽明文HTTP资源加载,连接必须经过更安全的HTTPS。苹果目前允许开发者暂时关闭ATS,可以继续使用HTTP连接,但到年底所有官方商店的应用都必须强制性使用ATS。

所以,推行https是整个互联网行业的趋势。

证书

目前主流的SSL证书主要分为DV SSL 、 OV SSL 、EV SSL。

DV SSL

DV SSL证书是只验证网站域名所有权的简易型(Class 1级)SSL证书,可10分钟快速颁发,能起到加密传输的作用,但无法向用户证明网站的真实身份。

目前市面上的免费证书都是这个类型的,只是提供了对数据的加密,但是对提供证书的个人和机构的身份不做验证。

OV SSL

OV SSL,提供加密功能,对申请者做严格的身份审核验证,提供可信身份证明。

和DV SSL的区别在于,OV SSL 提供了对个人或者机构的审核,能确认对方的身份,安全性更高。

所以这部分的证书申请是收费的~

EV SSL

超安=EV=最安全、最严格 超安EV SSL证书遵循全球统一的严格身份验证标准,是目前业界安全级别最高的顶级 (Class 4级)SSL证书。

金融证券、银行、第三方支付、网上商城等,重点强调网站安全、企业可信形象的网站,涉及交易支付、客户隐私信息和账号密码的传输。

这部分的验证要求最高,申请费用也是最贵的。

 

复习-12Factor方法论

今天继续复习了一下12Factor方法论,更深一步了解其精华所在:

1.微服务。标准:子系统以及其代码,可以独立部署。

2.依赖声明与环境隔离。很多研发很不讲究“代码卫生”,这点作为SRE非常bs。

3.配置存储在Unix环境变量中。这点在现实中实现起来有好有坏,研发人员对配置变量的管理和规划需要提前做出存储计划。

4.外部db、cache以及其他子系统的依赖声明成资源。需要研发人员有整体全局意识,不能只顾某个算法的实现、某个串的序列号结果。而不顾全大局。

5.严格区分打包和运行环境。

6.应用作为无状态的进程运行。sticky session必须被避免哦

7.通过绑定端口对外提供服务。

8.通过多进程模型进行扩容。

9.快速启动,优雅关闭。最小化短时间启动,以前有个恶劣的程序员写了个程序,每次启动要30-45分钟左右,简直是灾难。

10.开发、测试、部署环境尽量接近。

11.log当事件流集中处理。

12.一次性的系统管理任务。

 

kubernetes中创建secret

在k8s的集群里面,我们需要批量下发dep jobs到k8s的node上,由于node上我们通过play-books进行初始安装k8s-proxy后,hub信息都是空。不信任私我们的HUB(harbor)。

在k8s中,我们需要建立secret,然后在后续的运维部署任务中使用他。

建立secrset如下:

参数
kubectl create secret docker-registry NAME –docker-username=user –docker-password=password –docker-email=email
exp:
master@root#kubectl create secret docker-registry sk-hub –docker-server=hub.sklinux.com –docker-username=sk –docker-password=passwordjiushipassword –docker-email=sklinux@qq.com

FEK日志采集展示平台

整体架构
image
filebeat介绍
“Filebeat是一个日志文件托运工具,在你的服务器上安装客户端后,filebeat会监控日志目录或者指定的日志文件,追踪读取这些文件(追踪文件的变化,不停的读),并且转发这些信息到elasticsearch或者logstarsh中存放。
以下是filebeat的工作流程:当你开启filebeat程序的时候,它会启动一个或多个探测器(prospectors)去检测你指定的日志目录或文件,对于探测器找出的每一个日志文件,filebeat启动收割进程(harvester),每一个收割进程读取一个日志文件的新内容,并发送这些新的日志数据到处理程序(spooler),处理程序会集合这些事件,最后filebeat会发送集合的数据到你指定的地点。
(个人理解,filebeat是一个轻量级的logstash,当你需要收集信息的机器配置或资源并不是特别多时,使用filebeat来收集日志。日常使用中,filebeat十分稳定,笔者没遇到过宕机。)”
部署过程:
1.elasticsearch集群准备
a.download es5
b.配置es5配置文件
c.启动es5集群
2.filebeat
3.kibana
结果:
filebeat

(更多…)