曹鑫,腾讯业务运维工程师,擅长大规模K8s集群运营和容器化,目前就职于 IEG 增值服务部 营销基础平台中心,现负责腾讯游戏数据营销服务上云和营销基础平台建设。 背景 游戏营销服务通过分析玩家在游戏内的行为数据,精准发起运营活动,实现拉新、拉活跃、拉付费、拉回流等效果,使游戏获得更大的收益。服务有如下特点: 节奏快,比如五五开黑节,九九战斗之夜,周年庆,活动仅持续数日 数量多,平均每天都会有几十个活动上线,而且活动种类繁多 访问量无法精准预估,很难精准的预测一次活动的访问量,玩家参与度经常超预期 访问量
IPv6技术在国内沉寂数十年后,在国家推进下重新登上重要舞台。2018年工业和信息化部发布了关于贯彻落实《推进互联网协议第六版(IPv6)规模部署行动计划》的通知。不但展示国家推动IPv6的决心,更对各大运营商和公有云厂商提出了IPv6的改造目标:到2018年末,腾讯云、金山云、网宿科技、蓝汛、帝联科技完成内容分发网络(CDN)IPv6改造;云服务平台企业完成50%云产品IPv6改造。到2020年末,上述企业完成全部云产品IPv6改造。
procfs是展示系统进程状态的虚拟文件系统,包含敏感信息。直接将其挂载到不受控的容器内,特别是容器默认拥有root权限且未启用用户隔离时,将极大地增加安全风险。因此,需谨慎处理,确保容器环境安全隔离。
Docker是一种流行的容器化技术,它为开发人员和系统管理员提供了一种便捷的方式来构建、部署和运行应用程序。然而,安全问题一直是Docker用户的关注焦点。
下图是 Docker 官方给出的架构图,里面包括了 Docker 客户端、Docker 容器所在的宿主机和 Docker 镜像仓库三个部分。
背景 美团点评作为国内最大的O2O平台,业务热度的高峰低谷非常显著且规律,如果遇到节假日或促销活动,流量还会在短时间内出现成倍的增长。过去传统虚拟机的服务运行及部署机制在应对服务快速扩容、缩容需求中存在诸多不足: 资源实例创建慢,需要预先安装好运行所需的环境,比如JDK等。 扩容后的实例,需要经过代码部署流程,一些情况下还需要修改配置后才能承接流量。 资源申请容易回收困难,促销活动后做相关资源的回收下线会比较漫长。 由于业务存在典型的高峰低谷,为保障业务稳定,资源实例数要保障能抗高峰期容量峰值的1-2倍,从
Docker 是一种开源的容器化平台,它允许开发人员将应用程序及其所有依赖项打包到一个独立的容器中,从而实现快速部署和跨环境运行。在 Docker 中,有几个重要的概念:
2.链路治理:能够帮助业务和微服务架构分析业务链路,以技术方式获得功能视角的链路信息;
在网络安全领域,随着攻击工具、方法的逐渐升级和复杂化,安全数据的大规模融合,攻防对抗愈加激烈。各类网络入侵事件频发、APT和黑客团伙活动猖獗,合规性驱动的传统安全防护建设已无法满足需求。随着各级红蓝对抗行动的开展,企业安全建设正逐步向实战化转型。 日益火热的各种攻防演练活动让红蓝对抗成为了热点,通过研究描述和分类对抗行为的ATT&CK模型,我们可以将实战中的每种红队战术落到实处,成为真正的武器。在网络空间并不平静的当下乃至未来,通过将红队攻击武器化来应对每一场攻防演练是很有必要的。 12月30日,木星安全实
检查 CVM 实例使用本地盘的情况,若实例为非 IO 或大数据类型,且使用了本地盘,则磁盘数据无法通过快照备份,存在容灾风险。
前言:在上一篇《无数据,不工作!运维“数据思维”有多重要?》中,我们站在运维的视角来对数据的作用做了一些解读,其中包括数据的重要性、运维的数据观和数据思维的理解。在本篇中,对运维数据的一些高阶使用场景进行介绍,运维数据使用的发展态势和落地价值,本章节重点从产品开发角度,探讨运维数据场景的高阶落地途径和方法。
【引子】近来,老码农又一次有机会实施IaC 了, 但是环境有了新的变化,涵盖了云环境、虚拟机、K8S 以及Docker,而网络自动化则是IaC中的重要组成,温故知新,面向Docker 的网络是怎样的呢?
以虚拟化PC为应用的数据中心服务器群增长很快。本文介绍的这个架构,优点是增加全局系统安全。
中国 KubeCon + CloudNativeCon + Open Source Summit 虚拟大会
云安全资讯 CLOUD SECURITY 01 如何找到 AWS 环境下应用程序中易于得手的漏洞? 链接:https://c1n.cn/LYel9 本文作者介绍如何从AWS环境下的应用程序中找到易于发现的漏洞。 02 gVisor 一款Google 为容器应用开发的一套内核层,限制容器内应用的内核访问能力 链接:https://c1n.cn/gAv5j gVisor是一个用Go编写的内核,它在应用程序和主机内核之间提供隔离边界。在runsc运行时集成了Docker和Kubernetes,使得它很容
了解容器运行环境的工作机制,缘何若攻击者突破容器的限制,过度耦合的运行环境可能造成主机被接管,以及gVisor和Kata Containers等安全容器运行环境的好处。
PS:没有上传过的老铁可能很迷茫,其实这个流程并不复杂,先小程序上传,然后审核,重点是类目和代码的官方审核,审核通过后,需要手动完成上线流程。
在 Docker 环境中,监控是确保系统稳定性和性能的关键活动之一。在监控 Docker 环境时,我们通常会关注容器监控和主机监控两个方面。
近年来,云原生技术应用日益广泛,而容器编排平台Kubernetes(k8s)的出现,使得我们的服务具备了前所未有的灵活性和扩展性。然而,这同时也带来了诸多云原生安全问题。近期曝出的Runc CVE-2024-21626 缺陷,造成了容器逃逸的问题,引发了很大的关注。这个问题出现的原因,是在runc 1.1.11及之前的版本中,因文件描述符泄露,容器进程在宿主文件系统中拥有了工作目录权限,从而容易被攻击者利用,实现容器逃逸。得益于这个问题,我们重新认识到了不论是身份和权限控制、网络攻击等方面的问题,都对我们的服务和数据安全构成了威胁。本文的目的是深入探讨云原生环境下的安全脆弱性,并介绍配套的工具和方法,帮助企业在步入云原生大门时关好每扇安全窗。
2019年,在党中央、国务院坚强领导下,全国文化和旅游系统坚持以习近平新时代中国特色社会主义思想为指导,全面贯彻党的十九大和十九届二中、三中、四中全会精神,不断增强“四个意识”,坚定“四个自信”,做到“两个维护”,坚持新发展理念,坚持以人民为中心的工作导向,坚持稳中求进的工作总基调,坚持和完善繁荣发展社会主义先进文化的制度,不断推进文化和旅游领域治理体系和治理能力现代化,以高质量发展为目标,以文化和旅游融合发展为主线,以改革创新为动力,着力提供优秀文化产品和优质旅游产品,我国文化建设和旅游发展再上新的
MongoDB是一个基于分布式文件存储的数据库。由C++语言编写。旨在为WEB应用提供可扩展的高性能数据存储解决方案。是一个介于关系数据库和非关系数据库之间的产品,是非关系数据库当中功能最丰富,最像关系数据库的。它支持的数据结构非常松散,是类似json的bson格式,因此可以存储比较复杂的数据类型。MongoDB最大的特点是它支持的查询语言非常强大,其语法有点类似于面向对象的查询语言,几乎可以实现类似关系数据库单表查询的绝大部分功能,而且还支持对数据建立索引。
提示:本系列笔记全部存在于 Github, 可以直接在 Github 查看全部笔记
计算机蠕虫的诞生与计算机网络的发展密切相关。20世纪60年代末和70年代初,互联网还处于早期阶段,存在着相对较少的计算机和网络连接。然而,随着计算机技术的进步和互联网的普及,计算机网络得以迅速扩张,连接的计算机数量也急剧增加。
要参与广域 IP 网络,主机需要为其接口配置 IP 地址,可以通过以下方式手动配置用户或自动来自网络上的源,例如动态主机配置协议 (DHCP) 服务器。很遗憾,此类地址配置信息可能并不总是可用。因此,主机能够依赖于即使没有地址,IP 网络功能的有用子集配置可用。本文档描述了主机如何自动配置具有 IPv4 地址的接口与其他设备通信有效的 169.254/16 前缀连接到相同的物理(或逻辑)链路。
这套 AppFabric Caching 比我用过的 memcached 复杂多了,MSDN有一篇文章进行介绍Introduction to Caching with Windows Server A
2021年已经接近尾声,还记得年初在腾讯课堂全民许愿池立下的心愿flag吗?你是否还有目标尚未完成?12月15日至31日,腾讯课堂启动“学习冲刺节”年终大促活动,通过三大会场、四大榜单为职场人量身打造课程专区,让学员尽享海量低价精品课程。期间,平台还有1元购好课、满减神券以及iPhone、iPad抽奖等诸多福利放送,帮助学员们加速冲刺2022,用学习创造新可能。 腾讯课堂学习冲刺节预热期攻略页面 年末冲刺倒计时 满减神券、购课 抽iPhone13等多重福利来袭 年末是制定全新学习计划的最佳时机。经过
上图对比了几种主流虚拟化技术架构——ESXi、Xen与KVM,其主要差别在于各组件(CPU、内存、磁盘与网络IO)的虚拟化与调度管理实现组件有所不同:在ESXi中,所有虚拟化功能都在内核实现;Xen内核仅实现CPU与内存虚拟化, IO虚拟化与调度管理由Domain0(主机上启动的第一个管理VM)实现;KVM内核实现CPU与内存虚拟化,QEMU实现IO虚拟化,通过Linux进程调度器实现VM管理。
Docker 最初是 dotCloud 公司创始人 Solomon Hykes 在法国期间发起的一个公司内部项目,它是基于 dotCloud 公司多年云服务技术的一次革新,并于 2013 年 3 月以 Apache 2.0 授权协议开源,主要项目代码在 GitHub 上进行维护。Docker 项目后来还加入了 Linux 基金会,并成立推动 开放容器联盟(OCI)。
Docker是目前最具代表性的容器技术之一,对云计算及虚拟化技术产生了颠覆性的影响。本文对Docker容器在应用中可能面临的安全问题和风险进行了研究,并将Docker容器应用环境中的安全机制与相关解决方案分为容器虚拟化安全、容器安全管理、容器网络安全三部分进行分析。
环境说明 l 域名:demo.com l DHCP范围:192.168.20.100-192.168.20.200 l 网关:192.168.20.254 主机名 功能角色 IP地址 操作系统 备注 Dc1 域控制器、证书、文件服务器、DNS 192.168.20.10 Win2k12 Sqlsrv SQL数据库服务器 192.168.20.41 Win2k12 VMM System Center虚拟机管理器 192.168.20.61 Win2K12 Hvnod1 Hyper-V虚拟化宿主机
腾讯云SA2云服务器特惠秒杀活动火热进行中! 现针对新用户推出SA2限时秒杀专场。SA2云服务器基于腾讯云星星海自研宿主机,在软硬件系统上进行了高度适配自主研发设计。CPU频率高达3.3GHz,支持从1核到180核单台云服务器的自由选择配置,优惠前性价比提升35%以上。 爆款1C2G云服务器首年99元,折合每月8.25元! 爆款1C2G云服务器3年共349元,折合每月9.69元! *具体规则以活动页面为准 如何参与秒杀 2020年8月20日前 每日四场 8:00/13:00/16:00/19:00
虚拟主机是一种特殊的模拟硬件的软件技术,它可以将网络上的一台物理计算机映射成多个虚拟主机,每个虚拟主机可以独立对外提供www服务,这样就可以实现一台物理主机对外提供多个web服务了。并且每个虚拟主机之间是独立的,互不影响的。
虚拟化技术是一种计算机资源管理技术,是将计算机的各种实体资源,如服务器、网络、内存及存储等,予以抽象、转换后呈现出来。虚拟化技术打破了计算机实体结构间的,不可切割的障碍。使用户可以比原本的组态更好的方式,来应用这些资源。
容器技术发展迅猛,近期热点活动不断,作为容器世界的主力军,VMware也在这些活动中频繁亮相,着实吸引了不少眼球。
在现今的信息时代,微服务技术已成为一种重要的解决方案,微服务技术可以使系统的规模和功能变的更加灵活,从而获得更高的可扩展性和可用性。然而,微服务调用中出现的超时问题,却也成为系统可用性的一大隐患。超时会导致客户端的性能下降,甚至可能无法正常工作。本文针对超时问题,提出相关的优化手段,降低微服务调用超时的风险。
Ovirt是一个开源的虚拟化管理平台,是redhat 虚拟化管理平台RHEV的开源版本。
部门近期应急了一个 Zyxel VPN 未授权 RCE,在尝试进行漏洞复现的过程中,发现在 .bin 中无法提取文件系统,了解得知 .bin文件是 ZIP 格式的固件映像受密码保护。通过如下文章学习到了Zyxel固件解密方法[1],以此篇文章记录并说明踩过的坑。
http://vulnstack.qiyuanxuetang.net/vuln/detail/6/
在上期,我们为大家介绍了AWS的Nitro架构。Nitro架构实质上是利用Nitro Card和Nitro Hypervisor,创建一个资源池,Nitro Hypervisor向Nitro Card下发指令,Nitro Card实现虚拟机在宿主机上的创建,调度和销毁,从而实现宿主机上几乎所有的CPU和内存资源都可以用于售卖给租户。
https://tungstenfabric.org.cn/assets/uploads/files/tf-live4-sdn.pdf
疫情期间,很多企业受到了较大冲击,正常的复工生产无法进行。腾讯会议作为一款非常便捷的远程协作工具,成为了国内众多企业日常会议沟通交流的主要平台,这款产品从2019年12月26号正式推出,如何在这么短的时间内有效支撑起国内数以亿计用户的访问量呢?如何保障系统的稳定运行?
云代码的由来 随着MBaaS的发展,取代移动企业应用程序平台的趋势也越来越明显。MBaaS系统为了让企业能方便快捷的开发自己移动应用程序,提供了诸多移动客户端支持,有最通用的REST API,也有方便
携程自2013年开始使用Redis,旧时期为Memcached和Redis混用状态。由于Redis在处理性能,可储存key的多样化上有着显著的优势,2017年开始,Memcached全部下线,全公司开始大规模使用Redis。Redis实例数量也由刚开始的几十个增长到几万个,数据量达到百TB规模。作为Redis的运维方,为保证Redis的高可用性,DBA的压力也随Redis使用规模的增大而增大,集群的扩容,上下线,实例扩容都面临着不小的挑战。
桥接方式下,虚拟机和宿主机处于同一网段,真实存在于网络中,像是一台真实的主机。虚拟机和宿主机彼此互通,且网络中的其他主机也可以互通。就像是连接在hub中的主机一样。获取的IP地址网段为:192.168.1.X,实际获取的为192.168.1.220。
背景 SRE(Site Reliability Engineering)是Google于2003年提出的概念,将软件研发引入运维工作。现在渐渐已经成为各大互联网公司技术团队的标配。 美团点评作为综合性多业务的互联网+生活服务平台,覆盖“吃住行游购娱”各个领域,SRE就会面临一些特殊的挑战。 业务量的飞速增长,机器数量剧增,导致人工维护成本增大;而交易额的增长,对SLA的要求也不断提高。与此同时,一些新业务会面临大流量冲击,资源调度的挑战也随之增大。 业务类型复杂多样、业务模型千差万别,对应的技术方案也多种多
VMware 的虚拟机有三种网络连接方式,分别是桥接(Bridged)模式、NAT 模式和仅主机(Host-only)模式。
桥接模式里虚拟机中的虚拟网络适配器可通过主机中的物理网络适配器直接访问到外部网络。如上图所示的局域网中添加了一台新的、独立的计算机一样。宿主机与vm虚拟机是平级关系。因此,虚拟机也会占用局域网中的一个IP地址,并且可以和其他终端进行相互访问。
领取专属 10元无门槛券
手把手带您无忧上云