00:00
好,同学们,这一节呢,我们来看一下其他的生产安全措施,呃,这里呢,就是翻译的官方文档,一共是有四种啊,其实我们也没有去完全的翻译官方文档,而是只是对他这四种功能做了一下解释。呃,具体呢,大家可以去参考官方的文档,当然这四个呢啊,对于我们的课程来说呢,不是非常重要,大家可以依据自己的生产环境呢啊,做出适合自己的选择。这里呢,我们只是给大家讲解一下啊,这四种都是什么东西,那么具体的操作呢,我们就不来做了,呃,首先是IP白名单,因为flux脚本呢,它有它具有这个向外发送请求的能力啊,它有这个网络IO的能力,呃,所以呢,这个你可以在in flax DB里面啊,因为它要定期的执行flux脚本,那么你可以对他限制一下,就是有哪些IP是你可以访问的,哪些IP是你不可以访问的啊,所以说这里面其实限制的是英拉斯DB不能访问谁,而不是谁不能访问英拉DB,呃,另外呢,就是机密管理。
01:04
因为in Fla DB向外提供的是一套HTTP服务,呃,那么所有的这个操作呢,它都会走网络,呃,有一些时候呢,比如说像这个circle from,我们从一个post great circle这个数据库里面呢,查询数据,那么不免的要用到用户名和密码。这个时候呢,如果说我们通过,呃,比如第不管是继承第三方也好,还是我们直接在web UR写脚本也好。呃,这个脚本呢,它都会通过网络来进行传输,那么相当于你的用户名和密码嵌在我们的脚本里面呢,哎,在网络上来回传递,这就是很不安全的啊,这里呢,给大家画一个图啊,比如说我现在呢,这是我的这个客户端。这边是我的客户端,然后呢,方行这边是我的服务器,是我们的in DB。呃,这像这一段脚本,像这一段脚本,艾硅谷111,那是我们的post gra circle的啊用户名和密码,呃,如果说呢,我现在要在Java上,或者是在什么编程语言上执行这个脚本,让英B执行这个脚本,那么这个脚本呢?
02:10
就要沿着网络传输,那么我们这个脚本呢,我们就知道里面呢,有艾特硅谷。和我们的密码。111。呃,这个时候在网络上我们的呃,用户名和密码是来回传输的,很不安全。呃,那么所谓这个秘密的管理呢,其实就是我们在in Fla DB这边维护一套建筑队,换个颜色。啊,同样还是我的客户端。然后右边呢,这个是我的服务端,还是我们的1DB。现在呢,我们放一套这个,呃,在1TB上呢,维护一套建筑队,比如说叫这个post gra circle post gras username,呃,那么我这里就简写,比如说po,然后username u,我就直接写个U。
03:00
呃,然后呢,这边还有一个就是它的密码是po。Password pass。哎,它等于什么,它等于什么,呃,那么这边呢,我的这个f flux脚本呢,就要变了,Flux脚本呢这么写。啊,我们就直接呢,用这个美元符去引用啊,我们的。呃,这个in DB里面的内容。比如说这里是post user。然后呢,还有引用我们的这个post circle。Password。呃,那么我现在在网络传输的脚本呢,诶都是用变量的这个引用符可以看到啊,像这样像这样,像这种形式都是变量的这个引用,呃,如果说呢,中间有人拦截我的请求,其实我是不知道啊,其实这个拦截者他是不知道啊,我们的这些变量都是什么值的,只有到这个脚本呢,被我们的in flax DB接收到,然后呢,他把这个flax里面,Flax脚本里面的这些变量引用诶给替换掉,那么它呢,仍然能够正常执行我们连接post circle的操作,只不过呢,这个时候对于拦截者来说。
04:14
他不能知道我们的用户名和密码,那么这样一下的话呢,我们安全性呢,也会有一个上升,嗯,还再强调一下,就是我们这一节呢,就不讲操作了,大家呢,有兴趣的话可以去参考我们文档里面引用的啊拉DB的官方文档。再一个就是talking的管理。这个地方呢,给大家补充说明一下token的类型。呃,我们知道之前我们在这个web UI上说过呢,就是你创建talkingken的时候啊,可以创建啊读写的API talkingken,也可以创建所有权限的API talking,呃,那么呃,现在呢,还有另外一个概念叫做操作者talking,那么什么是操作者talking呢?其实是我们这个tonys talking。啊,我们这个初始化的时候呢,托尼是我们整个英DB初始化的用户啊,那么它呢,对整个英拉DB是有最高权限的,呃,另外呢,就是我们在初始化的时候呢,跟着创建的这个tonys talking,它其实并不是这里面的all access API talking,它其实是一个operator talking,它是它是一个操作者的talking。
05:19
那么操作者talking有什么独特之处呢?就是操作者talking可以跨组织的去操作资源,呃,他甚至可以去创建一个啊,可以创建一个组织,或者说转变自己当前的组织和创建这个用户啊,他都是可以做到的。呃,那么说到这里的话,我们这里的API talking,呃,那么这个all access a talking什么意思呢?它其实是组织内的啊,一个组织内的拥有全部权限的API talking。那么在in Fla DB中这个组是是怎么一回事呢?啊,我们可以点击一下左上角的这个A,这个A呢,其实是我们艾特硅谷这个组织的啊首字母。啊,点完之后呢,你可以看到这些,呃,有跟组织相关的一些信息。
06:04
呃,那么前两个呢,一个是成员啊,当前就只有Tony啊,还有这个里面的这些啊角色,包括这个用户的角色。你可以看到它是一个,呃,然后呢,它是一个这个所有者,然后你在可以看到呢,这里面还有一些,你包括这个我们当前的组织名称。然后呢,我们在现在再看一下,我们之前做一些操作,比如说我这里呢,啊,现在有这几个存储桶,然后再往下看呢,我们这里面还有之前我们创建这个telegraph配置文件,呃,那么现在呢,我们去创建一个组织,然后我给大家看下这个效果。比如说这个组织的就叫test啊,这里面呢,也需要你指定一个啊,初始化的存储桶的名称啊,我们就叫test啊,我们叫什么叫。要三个A吧,啊啊,点这个create创建。好,那么现在呢,其实我们就创建了一个组织。
07:01
啊,我们可以点击这个也可以看到啊,左上角的这个组织的名称变了,现在叫T,因为它是我们啊,刚才这个组织名称叫test test的首字母。呃,接下来呢,我们可以看这个存储桶,存储桶呢只有三个A,没有我们刚才那些EXAMPLE01啊EXAMPLE02那些存储桶了,好然后呢,再看一下我们的telegraph。可以看到呢,这里面并没有我们之前啊创建的那个啊,他的挂配置文件了啊,再往后呢,看我们的仪表盘。啊,因为发现呢,这里都是空白的了。所以说呢,这个组织呢,其实对于in Fla TB来说啊,是对所有的存储桶,从数据啊,一直到各种配置各种资源啊,包括telegraph,包括我们的定时抓取任务,还有各种这个,呃,我们的talking,它都是一层资源的隔离。Test组织的用户呢,你就只能使用test组织里面的资源啊,你是不可以跨组织去调用的啊,但是呢,我们这个,哎,托尼这个角色呢,他例外啊,这个角色呢,可以来回跳转这个组织。
08:10
而且呢,对应的还有一个,呃,我们说的这个叫做tonys talking啊,那么这个talking呢,你可以删除,但是你删了之后会导致什么呢?诶就再也没有这个操作值的talking了,呃,当然你用这个Tony这个角色呢,用密码和这个账户登录它,你可以完成这个呃跨组织的这些权限,但是呢,呃,这个talking如果你一删除呢,你这个是没法再手动去创建回来的。而且呢,对于这个in TB来说呢,官方就建议我们啊,用组织做好这个资源的隔离。所以呢,两方面,一来是tonys talking呢,这个初始化talking呢,不要删,删了就再也创建不了权限那么高的talking了,另外就是呃,这个tonys talking呢,也不要用啊,不要用在生产上。官方呢,建议我们使用组织呢,来做好资源隔离啊,这样的话就是安全性会更高一些。
09:04
另外呢,官方在这里面还说了一下,就是如果说你觉得底下这些功能呢,呃,开发的时候用不到,然后留着的话呢,又可能会造成什么安全问题啊,那么你可以把它关掉,呃,比如说这个matrix matrix呢,是我们之前说的这个普罗米修斯向外暴露的一套啊,是这个伊法TB向暴露一套普罗米修斯数据格式的啊指标。呃,另外就是我们的web UI,那么web UI呢,这个肯定是可以关的,呃,还有一个debug,呃,De debug这个。Pro,那么这个呢,它其实是用来干什么的呢?它是构语言的一个,呃,自带的工具啊,可以帮我们分析构语言,构语言程序的性能。哎,这个哎也可以看到这个购物员呢,它这个目前我们这个进程里面的,哎,堆内存啊,各种情况,哎,那么这个功能呢,你在这个生产的时候也可以把它选择把它关掉,好那么这一节呢,我们给大家讲了一些其他的生产安全措施,同时呢,借由这个talking呢,给大家介绍了一下in Fla DB里面的组织概念,好那么本节呢,就到此结束。
我来说两句