云运维

一、Forefront TMG 2010 介绍Forefront TMG 是一款全面的安全网关解决方案，可帮助员工抵御来自网络的威胁。通过集成防火墙、VPN、入侵防护、恶意软件检查和 URL 筛选功能，Forefront TMG 还可提供简单且统一的外围安全防护。 二、部署2.1、线上环境外网IP: a.x.x.x内网IP：b.x.x.x操作系统: windows 2008 r2 x64 2.2 安装 TMG注意点： 1、安装过程中会启动防火墙，建议修改远程登入端口。 2、为以防安装过程中登入不上服务器，建议先把服务器密码改的简单点，不行可以通过后台进行登入。后面记得改回来。 3、Windows Event Collector 和 Windows Firewall 服务要改成手动，不然后面服务器重启网卡会起不来，连不上服务器。 2.2.1 打补丁，重启服务器。（比较花时间）2.2.2 添加虚拟网卡ucloud 只有一个内网IP，要做TMG 需要另外在添加一卡虚拟网卡。 网络–属性–更多适配器设置 修改网卡名字为inner 控制面板–操作–设备管理 ...

参考博文：【Nginx的SSL配置优化】https://www.linpx.com/p/ssl-configuration-optimization.html 一、SSL Labsssllabs：查看https网站的安全级别： https://www.ssllabs.com/ssltest/index.html 未加入ssl优化配置的安全级别F 配置了ssl优化参数的安全级别A+ 二、创建dhparam nginx.pem秘钥 一般网站使用的SSL证书都是RSA证书，这种证书基本都是2048位的密钥，但是证书密钥交换密钥必须要比证书密钥更长才能安全。 而默认的创建dhparam.pem只有1024位，所以我们需要手动生成一个更强的密钥4096位。 1234# 执行时间很长，建议使用screen生成mkdir -p /usr/local/nginx/ssl-key/dh_sslcd /usr/local/nginx/ssl-key/dh_sslopenssl dhparam -out nginx.pem 4096 三、ssl配置及优化配置如下，只包含ssl部分的配置，未包含 ...

参考：http://www.cnblogs.com/kevingrace/p/6398488.html 一、nginx rewrite规则1.rewrite语法 nginx通过ngx_http_rewrite_module模块支持url重写、支持if条件判断，但不支持else。 该模块需要PCRE支持，因此应在编译nginx时指定PCRE源码目录, nginx安装方法。 12345678910rewrite regex replacement [flag]关键字 正则表达式 替换值 标志位例子：rewrite ^/(.*) http://www.etiantian.org/$1 permanent;解释：^/(.*) 表示匹配所有$1 取前面regex部分括号里的内容permanent 永久301重定向，即跳转到后面的http://www.etiantian.org/$1地址上 2.rewrite flags标记位 flag description last 本条规则匹配完成 ...

Nginx TCP AND UDP LOAD BALANCER 前言Nginx从Nginx Plus(商业授权版) 1.7.7 开始支持 TCP和UDP的负载均衡;Nginx开源版本从1.9.0起开始支持TCP的负载均衡，从1.9.13版本开始支持UDP和UNIX-domain sockets。 Nginx开源版本默认没有开启TCP负载均衡，开启需要在编译构建的时候新增–with-stream 参数，而Nginx Plus则默认就已经开启不需要额外参数。 下面是几个简单的Nginx配置(Example Configuration) TCP server { listen 127.0.0.1:12345; proxy_pass 127.0.0.1:8080; } server { listen 12345; proxy_connect_timeout 1s; proxy_timeout 1m; proxy_pass example.com:12345; } ...

概述Nginx("engine x")是一款是由俄罗斯的程序设计师Igor Sysoev所开发高性能的 Web和 反向代理 服务器，也是一个 IMAP/POP3/SMTP 代理服务器。 在高连接并发的情况下，Nginx是Apache服务器不错的替代品。 Building nginx from Sources http://nginx.org/en/docs/configure.html 下载对应版本的源码包。 $ cd /usr/local/src $ sudo wget http://nginx.org/download/nginx-1.12.0.tar.gz $ sudo wget https://ftp.pcre.org/pub/pcre/pcre-8.40.tar.gz $ sudo wget http://zlib.net/zlib-1.2.11.tar.gz 同级目录解压。 $ sudo tar xf nginx-1.12.0.tar.gz $ sudo tar xf pcre-8.40.tar.gz $ su ...

Installing JenkinsPrefaceJenkins是一个用Java编写的开源的持续集成工具。在与Oracle发生争执后，项目从Hudson项目复刻。 Jenkins提供了软件开发的持续集成服务。它运行在Servlet容器中（例如Apache Tomcat）。 它支持软件配置管理（SCM）工具（包括AccuRev SCM、CVS、Subversion、Git、Perforce、Clearcase和RTC），可以执行基于Apache Ant和Apache Maven的项目，以及任意的Shell脚本和Windows批处理命令。Jenkins的主要开发者是川口耕介。Jenkins是在MIT许可证下发布的自由软件。 System requirement尽量使用Java 8, 还建议使用512MB以上RAM的系统。 Begin InstallJenkins 提供了多种安装方式。 Installing Jenkins with Docker 假设你已经安装好docker,那么你可以直接执行： $ sudo docker pull jenkins $ sudo doc ...

Kafka REST Proxy一、业务场景需求 某公司A，需要把游戏日志传给另外一家公司B。架构大致是，游戏服务器把日志传到kafka消息队列，kafka在到es进行数据分析。由于服务器是公司B自己提供，公司A就需要提供一个外网接口让对方把数据写到云ukafka。 由于ukafka只有内网IP，zookeeper中只能注册一个地址，通过nginx代理或者ssh端口转发都不能做到外网正常使用，除非节点本身有外网IP。这个时候就需要用到Kafka REST Proxy。 二、Kafka REST Proxy 介绍 Kafka REST代理为Kafka集群提供RESTful接口。它可以轻松生成和使用消息，查看集群状态，以及在不使用本机Kafka协议或客户端的情况下执行管理操作。用例示例包括从任何语言构建的任何前端应用程序向Kafka报告数据，将消息提取到尚不支持Kafka的流处理框架，以及脚本管理操作。 kafka rest proxy 是rest api接口，通过这个代理把数据转发到kafka的。主要有两部分组成 - Schema Registry提供元数据的存储和解析 ...

概述Kafka是最初由Linkedin公司开发，是一个分布式、分区的、多副本的、多订阅者，基于zookeeper协调的分布式日志系统（也可以当做MQ系统），常见可以用于web/nginx日志、访问日志，消息服务等等，Linkedin于2010年贡献给了Apache基金会并成为顶级开源项目。 主要应用场景是：日志收集系统和消息系统。 Kafka主要设计目标如下： 以时间复杂度为O(1)的方式提供消息持久化能力，即使对TB级以上数据也能保证常数时间的访问性能。 高吞吐率。即使在非常廉价的商用机器上也能做到单机支持每秒100K条消息的传输。 支持Kafka Server间的消息分区，及分布式消费，同时保证每个partition内的消息顺序传输。 同时支持离线数据处理和实时数据处理。 Scale out:支持在线水平扩展 系统更新123sudo add-apt-repository ppa:openjdk-r/ppasudo apt-get update sudo apt-get install openjdk-8-jdk 安装 zookeeper1234567wget http ...

1. HTTPS基本介绍 现在各大厂商都在推行HTTPS，比如谷歌要求多个顶级域名要用HTTPS来加密，苹果要求开发者全部采用HTTPS等等。那什么是HTTPS呢？其实HTTPS只是HTTP的一个拓展，是在HTTP的基础上利用SSL/TLS来加密数据包的。工作流程如下： An overview of the SSL or TLS handshake 图片来自IBM Knowledge Center: An overview of the SSL or TLS handshakehttps://www.ibm.com/support/knowledgecenter/en/SSFKSJ_7.1.0/com.ibm.mq.doc/sy10660_.htm 注意第(2)步Server给Client发送了一个Server certificates，这个里面包含有Server的一些信息，如域名、公司信息、序列号和签名信息组成等，这个证书可以个人生成，也可以由权威机构签发，当然个人的就不受大众信任，而权威机构签发的证书则会被信任。 具体的可以参考：细说 CA 和证书 ...

hexo 评论页面报错 Code 403: 访问被api域名白名单拒绝，请检查你的安全域名设置. 关于Valine和LeanCloud Valine是一款基于Leancloud的快速、简洁且高效的无后端评论系统。Valine诞生于2017年8月7日，理论上支持但不限于静态博客，目前已有Hexo、Jekyll、Typecho、Hugo等博客程序在使用Valine。她完全不需要账号，一个昵称就够了，为了方便以后联系也可以留下邮箱，甚至可以如路人般水一下而不留一点痕迹，给人一种清新脱俗、小家碧玉的感觉，这多少符合现在互联网顶贴水楼的习惯。同时她又支持Gravatar的头像和Markdown的语法，方便大家展现个性化的头像和多变的评论样式。另外Valine还支持文章阅读量统计，next主题也是集成此功能的，如需要请在主题配置文件中搜索“leancloud_visitors”字段启用。具体请网络搜索或查看官方说明 .https://valine.js.org/visitor.html LeanCloud是行业领先的一站式后端云服务提供商，专注于为开发者提供一流的工具、平台和服务。Lea ...