之前有过一个 nginx resolver 拒绝服务漏洞(CVE-2016-0742),现在又出了一个.如果没用resolver 参数,那没影响,可以升到最新nginx-1.21.0来解决.Changes with nginx 1.21.0 25 May 2021 *) Security: 1-byte memory overwrite might occur during DNS server response processing if the "resolver" directive was used, allowing an attacker who is able to forge UDP packets from the DNS server to cause worker process crash or, potentially, arbitrary code execution (CVE-2021-23017).概述ngx_resolver_copy()在处理DNS响应时出现一个off-by-one错误，利用该漏洞网络攻击者可以在堆分配的缓冲区中写一个点字符（.’, 0x2E）导致超出范围。 所有配置解析器语法的（reso ...继续阅读 (94)

本文所用环境：操作系统： Linux September 5.3.11-1.el7.elrepo.x86_64 GNU/Linux内核版本： centos-release-7-7.1908.0.el7.centos.x86_64HTTP3目前，最新版本的 nginx （1.17.5） 仍然不能原生支持 HTTP3，好在 CloudFlare 提供了基于 Quiche 和 Boringssl 实现的一个 patch，使得我们可以在 nginx 上尝鲜一下。开启过程如下：下载最新版本 nginx 并打上 quiche 的 patch12345678910wget https://nginx.org/download/nginx-1.17.5.tar.gztar xvzf tar xvzfgit clone --recursive https://github.com/cloudflare/quichecd nginx-1.17.5yum install patchpatch -p01 < ../quiche/extras/nginx/nginx-1.16.patch安装相关依赖CMAKE12345678910# 前往 https://cmake.org/files/ ...继续阅读 (21)

本文基于关于nginx的keep-alive配置的安全性分析，结合实际情况的再说几点。nginx针对upstream配置keep-alive的特殊性最近反馈生产nginx的TIME_WAIT状态比较多，其中对接ingress的忙时7000左右，担心更多接口接入后可能存在隐患。在测试环境验证，的确有疑似大量短连接的情况。经分析，是配置有误导致。当前的配置示例（高度简化过）如下：http { proxy_http_version 1.1; proxy_set_header Connection "Keep-Alive"; upstream app { sticky expires=1h path=/; server x.y.z.k:1094 max_fails=2; } server { location /app { proxy_pass http://app proxy_set_header Host $proxy_host; proxy_set_header X-Real-IP $remote_addr; } }其中最前面两个是用来修改短连接为长连接用的。但这里有两个情况需要注意：1．Upstream的keepalive默认是没有设值的。如果需要启动keepalive，需要在upster ...继续阅读 (13)

基本概念最近关注了一下nginx的keep-alive配置，其实看看这块对性能和502 Bad Request的影响。 简单来说，keep-alive主要涉及出入口两块配置，包含三个参数(这个模型基本是通用的)：两块配置是外围调进来的配置、调用出去(upstream)的配置。 三个参数是保留多少长连接(keepalive，针对upstream)、长连接的超时时间(keepalive_timeout)、长连接的最多处理请求数(keepalive_requests)。关于参数的详细说明，可以参考nginx的官方文档.ngx_http_core_module和ngx_http_upstream_module默认参数值对于nginx/nginx-ingress来说，这些参数的默认值如下。对于调用进来的情况：keepalive_timeout: 通过keep-alive参数设置(注意这是设置的keepalive_timeout),表示超时时间，默认75s，我们项目目前设置300skeepalive_requests: 通过keep-alive-requests参数设置，表示最多处理请求数，默认100对于调用出去的情况：keepalive：通过upstream-keepalive-connections参数设置，表示和upstream保持多少个长连接，默认32keepalive_timeout ...继续阅读 (12)

因为在服务器上卸载了些服务，导致需要重启。然后重启后发现所有网站都无法打开了。一开始以为Nginx服务没有开启导致，但是发现服务是开启状态。没办法，捞log吧journalctl -f -u nginx哦豁80端口被占用了……于是去看占用情况lsof -i :80发现是被www-data的用户占用可 ...继续阅读 (10)

诡异的会话丢失最近系统上线PAAS之后，IE11上出现一些页面打不开、窗口闪退、提示会话过期的问题，但客户反馈在360浏览器是正常的。为什么IE11有问题，360浏览器却正常呢？难道IE又有什么神奇的兼容性问题了？最好有请求抓包可以看看。很快，维护找到客户录制的请求抓包，找了几个反馈有问题的页面，除了cookie比较多之外，还发现有些请求报文比较特殊。approute=xxxxxxxxxxxxx JSESSIONID=yyyyyyyyyyyyyyyyyyyyyy approute=uuuuuuuuuuuuu JSESSIONID=vvvvvvvvvvvvvvvvvvvvvv请求头中的cookie如上，居然有同名的cookie，这个系统是比较老的基于Session的Web应用，除了用户认证，用户的业务信息是保存在Session上面的。 上PAAS之后，这些cookie是用来做会话保持用的。Set-Cookie: approute=2750fcbd2c7fa1fdd1189d95f63c3cd8; Expires=Sat, 27-Mar-21 01:37:04 GMT; Max-Age=172800; Path=/app-next; HttpOnly在响应中也通过Set-Cookie对cookie进行重设，这样就没办法维护会话绑定了。如果某个请求用到了上一个请求的Session信 ...继续阅读 (18)

问题描述生产上发现ingress有个pod超时，重启pod正常以后过几十秒状态又变为异常，检查容器日志报错项：2021/03/19 01:51:07 [emerg] 263#263: epoll_create() failed (24: No file descriptors available)对比POD里边的nginx.conf参数，发现有些worker开头的参数比较奇怪。例如worker_processes很大，但是worker_rlimit_nofile很小。daemon off; worker_processes 64; worker_rlimit_nofile 1024; worker_shutdown_timeout 240s ; events { multi_accept on; worker_connections 16384; use epoll; }临时将worker_rlimit_nofile的值设置为102400，再reload了nginx发现就正常了。分析过程由于对nginx-ingress-controller不是很熟悉，所以查看了部署的chart包，发现是没有任何相关配置的。猜想应该是自动生成的。根据docker部署的经验，worker_processes ...继续阅读 (7)

Recently, I set up a new developing environment in a VirtualBox VM. The source code shares between the host and VM by shared folder. It causes a problem that the config file can not be found when Nginx is starting up.Nginx can not find the specific config file which is in the mounted folder from the hostI searched on Google and found some related posts.“If Nginx does not start after rebooting the server” points out the correct direction of the solution, however, the changes of method 1 mentioned in the article is not working for VirtualBox, and personally, I don’t like the me ...继续阅读 (29)

通过前面三篇： .NET Core部署到linux(CentOS)最全解决方案，常规篇 .NET Core部署到linux(CentOS)最全解决方案，进阶篇(Supervisor+Nginx) .NET Core部署到linux(CentOS)最全解决方案，高阶篇(Docker+Nginx 或 Jexus) 通过前面三篇文章的介绍，我们已经对.net core多方案部署到linux下有了非常全面的认识，小型团队已经足够使用。虽然目前的方案可以实现一键部署更新，但是还是需要登陆到linux服务器去执行相应的 ...继续阅读 (74)

ssl_preread是基于L4的反代方案，TLS SNI握手时客户端会提供域名，所以可以让Nginx在无需完成TLS握手的情况下，就根据域名进行后端服务器的选择。简单来讲，你只需要给后端服务器配置一个SSL证书，而提供反代功能的Nginx则无需配置。文档见此：http://nginx.org/en/docs/stream/ngx_stream_ssl_preread_module.html因为这是L4反代，所以通过“proxy_set_header”传递客户端IP的方法是行不通的。其实传递客户端IP的解决办法跟上一篇文章类似：L4(传输层)IP透明反向代理的实现(传递客户端真实IP)，nginx也是实现了IP_TRANSPARENT的：https://www.nginx.com/blog/ip-transparency-direct-server-return-nginx-plus-transparent-proxy#ip-transparency，所以，在server里面加上下面一行：proxy_bind $remote_addr transparent;然后按前一篇文章的思路，对路由表进行配置即可。提醒一下，ssl_preread是配置在stream block下的，放在别的地方，会提示：nginx: [emerg] "ssl_preread" directive is no ...继续阅读 (84)

《为什么要把配置保存在仓库里？》作为后端我们经常会遇到运维性质的活儿，比如测试环境起一个容器化数据库，或者是要改改Nginx配置等等。在很久以前，其实我们是跑商去改完了就算了，甚至包括数据库也是这样，测试环境改完了，生产环境抄过去再改一次。但是我认为应该要把这些配置放在一个repo里，这样子有如下几个好处... ...继续阅读 (56)

日常工作中查看进程的命令有ps和top，但是只能查看到相对路径，如果想看到详细的信息，如绝对路径等是比较困难的不过可以通过如下的方法来查看进程的详细信息 Linux在启动一个进程的时候，系统会在/proc目录下面创建一个以PID命名的文件夹比如以nginx为例$ ps -ef | grep nginx root 3882 3865 0 2020 pts/0 00:00:00 nginx: master process /usr/bin/openresty -g daemon off; nobody 3969 3882 0 2020 pts/0 00:00:03 nginx: worker process nobody 3970 3882 0 2020 pts/0 00:00:05 nginx: worker process nobody 3971 3882 0 2020 pts/0 00:00:10 nginx: worker process nobody 3972 3882 0 2020 pts/0 00:00:57 nginx: worker process 我们拿PID 3882查看下$ ls /proc/3882 attr cgroup comm ...继续阅读 (124)

HTTP/2 有什么优点？ HTTP/2 简称 h2， 基于 SPDY 演进。与 HTTP/1.1 相比，HTTP/2 最直观最明显的特点就是速度变快了。另外，目前绝大多数浏览器都支持 HTTP/2，因此让网站支持 HTTP/2 是势在必行了。 目前绝大部分网站都启用了 HTTP/2，比如我们常用的 Google， 知乎，微信，微博等。 NGINX如何配置启用？ NGINX 启用 HTTP/2 很 …阅读全文 ...继续阅读 (6)

之前腾讯云买的三年服务快到期了，原来已经不知不觉三年了呀。刚买那会儿还是蛮喜欢折腾的，不过随着工作繁忙也慢慢定了下来，目前1900.live和kaca.live基本上都一年没折腾什么幺蛾子了。快到期这个事其实早就有在注意了，之前是买的腾讯的一年学生机，七十多吧？具体金额不太记得了。当时候可以特价续费两次，总共三年下来没记错的话两百七吧？用到现在觉得还挺划算的。本来是打算上淘宝重新再找商家买个学生机的。但是想到要用别人身份证我就挺不自在的。不过双十一那几天腾讯的云服务器助手可劲儿给我推送说有双十一活动，我上去一看1核2g 3m的服务器七十三一年，可以买三年，算下来和那个学生机差不多，就是每个月只有500g的流量，不过应该也用不完吧？带宽有3M，还行吧，反正装我这小破站绰绰有余了。不过这机器还得抢，每天就两波，经常想着要去抢，但是忙着忙着就忘记时间了，后来定了个闹钟准时过去就行了，也不用太准时，我是开抢后几分钟打开的网页都还有。买完服务器后就想着把全站搬到新服务器上去，好在我图片全部扔的七牛，ghost的全站数据直接导出成json重新安装导入数据就好了，简单的一批。但是我在后来执行完那些安装命令后发现网站首页死活都打不开，起初以为是改了dns缓存还没更新就想着等一天，不过第二天上去看了下还是不行，ping了下域名是能ping通的，然后就想着是不是nginx的问题，百度各种搜，各种重装， ...继续阅读 (49)

nginx部署服务器遇到点小问题第一个域名解析：想把某个域名解析到指定服务器，*.xxx.com -> xxx.xxx.xxx.xxx，好处是，省去了在同一台服务器按需添加域名了，想使用啥二级域名直接配置第二个不想未配置的域名访问服务器：配置了a.xxx.com，但是不想b.xxx.com也能访问，按照nginx的server_name寻找配置规则，访问b.xxx.com会访问到a.xxx.com第一个问题是个好问题，这样做没问题第二个问题的解决办法其实也很简单如果是80端口的话server { listen 80 default_server; server_name _; return 500; }如果是443端口的话server { listen 443 default_server; server_name _; ssl on; ssl_certificate cert/x.xxx.xxx.pem; ssl_certificate_key cert/x.xxx.xxxkey; return 500; }这里强调下443端口配置的时候一定要配置证书，不然需要使用https的域名会无法访问同时注意下nginx的版本，不同nginx的版本针对ssl的配置也会有不同的语法 ...继续阅读 (128)

测试服务器动态绑定多个域名 比如我现在有一个api.domain.com但是测试需要给不同分支代码绑定一个不同的域名方便访问需求类似如下api1.domain.com api2.domain.com api2.domain.com可以像下面这样添加nginx配置server {     listen 80;     server_name ~^api(?\d*)\.domain\.com$;     access_log  logs/api.domain.com.access.log main;     error_log   logs/api.domain.error.log; }server {     listen 443 ssl;     server_name ~^api(?\d*)\.domain\.com$;     access_log  logs/api.domain.com.443.access.log main;     error_log   logs/api.domain.443.error.log; }这样我们就可以拿到$which_domain_id变量，为后面的测试提供用途比如upstream的配置比如root的配置比如我们配置三个upsteamupsteam api1 {     // ... } upsteam api2 {     // . ...继续阅读 (119)

我的Blog的文章的链接本来是类似http://everet.org/2013/02/thinking-of-emacs.html这样的，不过觉得发布的时间戳加到url中，对老文章的SEO不利。所以决定将其去掉，改为http://everet.org/thinking-of-emacs.html。另一个是我想缩短下文章url的长度。不过缩短url会遇到两个大问题，第一个是原来发出去的原来的文章链接会404，第二个是评论系统Disqus是根据文章url来作为评论的标识符。不过好在是有无痛的解决方案，我们来各个击破。 ...继续阅读 (16)

很久之前突然linode给发邮件说，CPU使用率超过阈值，然后报警了。登陆上去发现有的Wordpress进程CPU占用率特别高，看了一下access log发现几乎所有请求都在访问/wp-login.php。也就是有人在暴力破解。当时在想，暴力破解Wordpress好处多多，只需要破解了一个Wordpress，在其装入一个恶意插件，然后自动去破解其他Wordpress站点，就可以像蠕虫一样蔓延开来。于是当时就加了个请求速率限制，这里记录一下。 ...继续阅读 (24)

文章目录需要满足的条件背景需求ISTIO 的架构和原理解决问题的大概流程类比一下 `nginx`几个概念K8S-ServiceISTIO-VirtualService （简称 VR）ISTIO-DestnationRule （简称 DR）ISTIO-Gateway发布流程首次发布流程更新发布流程 需要满足的条件 一个可用 K8S 集群 K8S && Docker && Helm 基础知识 背景需求 要搞这玩意儿的主要原因是因为项目需求，频繁新版本，一发新版本，程序崩了，用 ...继续阅读 (23)

久闻树莓派之大名，600大洋购于闲鱼，2020年8月4日有幸相会，开箱一刻，很是惊艳，原来就是身份证大小的玩意儿，捆绑销售一堆不明觉厉小器件。more折腾之旅是日也，天朗气清，惠风和畅，开始长达两周的Raspberry Pi 4B+折腾之旅，谨以此文记录下!主要记录了以下几件小事:做网盘做Web相册挂PT开SMB系统监控GPIO编程1. 系统安装与登录“虽趣舍万殊，静躁不同，当其欣于所遇，暂得于己，快然自足，不知老之将至” —《兰亭集序》系统初始化简单，读卡器插到电脑上，直接用 Raspberry Pi Imager 软件进行安装下载地址。也可以自己下载镜像后，img镜像烧录进去，用的是 etcher 软件，这种方式比较麻烦，适合安装非官方镜像，不建议使用;取出TF卡，插到树莓派上，通过 micro DP 连上显示器，原则上就可以开机了。我没有这么做，一是没多余的显示器，二是键鼠都是蓝牙的，初次进入系统毫无办法，用下面三种方式都可以：打开tf卡，新建ssh空白文件，通过网线连到路由器，ssh连接树莓派打开tf卡，新建ssh空白文件，通过网线连接到电脑，电脑共享网络后，ssh连接树莓派打开tf卡，新建ssh空白文件与 wpa_supplicant.conf 文件，自动连上wifi推荐用第三种方案，不局限于网线的限制，玩硬件时摆出各种姿势，wpa_supplicant.conf 文 ...继续阅读 (12)

上文说到最近给周良博客换了 zlbk.net 域名，服务器迁移到了阿里云 ECS 杭州。文件数据迁移、部署新服务器环境、Https 证书部署、老域名 301、静态文件上阿里云 OSS 等流程基本轻车熟路。整个过程没出什么问题，返倒是网站上线后遇到一个奇怪的问题。WordPress 居然不能正确识别错误网页跳转到 404 页面了。状况概述这个大概的表现情况就是：- 访问 https://zlbk.net/404/ 这个无内容页面，正常逻辑上是跳转 ng 设置或者 WordPress 主题自带的 404 页面，但实际情况这个页面居然直接显示了博客首页的内容。- 而访问 https://zlbk.net/404.html 这个 URL，可以正常识别无效页面，显示为 404 页面。懵逼不懵逼？也就是说，博客所有 URL 不为 .html 结尾的 404 页面，打开后全部都会显示博客首页内容，这个事情体验太差了。问题排查路径记录一下我的问题排查过程，可能你没有遇到问题，但这个一步步控制变量、提出假设验证假设的排查逻辑方法说不对你有用。排查 WordPress 主题是否出错最初步的猜测可能是主题有问题：换一个已知没问题主题进行测试。因为我手上有两个博客，都换成相同主题，实测 WordPress 主题没问题，排除该原因。排查 Nginx 配置是否有误既然是跳转问题，猜测可能是 Nginx 配置文 ...继续阅读 (8)

网上PS直播有很多文章，但大多需要编译和修改路由表。实际上PS4直播的时候，不一定需要自己编译NGINX,直接改HOSTS也不是不可以。本文就是用了这种方式，相对优雅，当然只是相对而已。警告，本文并非0基础教程，需要相当多的Linux操作经验，慎入。0.准备工作一台支持openwrt的路由器一个Linux系统，可以是虚拟机也可以是WSL，我推荐用虚拟机装个Debian/Ubuntu，且虚拟机桥接。也可以用树莓派之类的。需要会在Linux里编辑文件1.安装NGINX+RTMP模块现代的Debian/Ubuntu等系统都已经自带了RTMP模块了，所以直接apt-get安装就行了。sudo apt-get install nginx libnginx-mod-rtmp2.配置NGINX先搞定xsl文件cp /usr/share/doc/libnginx-mod-rtmp/examples/stat.xsl.gz /var/www/html gzip -d /var/www/html/stat.xsl.gz然后编辑nginx配置文件，在http之前添加rtmp，在http内部添加一个server。如果有 include /etc/nginx/sites-enabled/*;，就在这行前面加个# 井号注释掉。最终看起来文件是这样的。user www-data; worker_processe ...继续阅读 (10)

网上PS直播有很多文章，但大多需要编译和修改路由表。实际上PS4直播的时候，不一定需要自己编译NGINX,直接改HOSTS也不是不可以。本文就是用了这种方式，相对优雅，当然只是相对而已。警告，本文并非0基础教程，需要相当多的Linux操作经验，慎入。0.准备工作一台支持openwrt的路由器一个Linux系统，可以是虚拟机也可以是WSL，我推荐用虚拟机装个Debian/Ubuntu，且虚拟机桥接。也可以用树莓派之类的。需要会在Linux里编辑文件1.安装NGINX+RTMP模块现代的Debian/Ubuntu等系统都已经自带了RTMP模块了，所以直接apt-get安装就行了。sudo apt-get install nginx libnginx-mod-rtmp2.配置NGINX先搞定xsl文件cp /usr/share/doc/libnginx-mod-rtmp/examples/stat.xsl.gz /var/www/html gzip -d /var/www/html/stat.xsl.gz然后编辑nginx配置文件，在http之前添加rtmp，在http内部添加一个server。如果有 include /etc/nginx/sites-enabled/*;，就在这行前面加个# 井号注释掉。最终看起来文件是这样的。user www-data; worker_processe ...继续阅读 (10)

一、介绍 早期的SSLv2根据经典的公钥基础设施PKI(Public Key Infrastructure)设计，它默认认为：一台服务器（或者说一个IP）只会提供一个服务，所以在SSL握手时，服务器端可以确信客户端申请的是哪张证书。 但是让人万万没有想到的是，虚拟主机大力发展起来了，这就造成了一个IP会对应多个域名的情况。解决办法有一些，例如申请泛域名证书，对所有*.yourdomai... ...继续阅读 (9)

近期由于工作原因需要更换公司原有 RTMP 协议推流，由于 Flash 插件今年年底就淘汰使用，并且一直在寻找一种并发好、延时低、同时便于回放功能的应用，在网上找到了基于Nginx + FFmpeg 推流的解决方案，可以实现 HLS 协议推流，看项目介绍可以实现 HLS+ 协议，这个工具安装比较便捷。首先介绍一下这个开源的项目，欢迎给他们 star，谢谢。https://github.com/pingostack/pingos官网地址：https://pingos.io/安装项目文档：https://pingos.io/docs/zh/quick-start在官方网站的项目文档中讲解的不是很清晰，特别是针对新手来说是有一定的难度，我这里使用的是 Linux CentOS 7.4 64位环境，需要提前安装 Git 应用，这个就不详细讲解了，接下来讲一下如何安装：1 下载源码1git clone https://github.com/pingostack/pingos.git2 快速安装12cdpingos./release.sh -i3 启动服务12cd/usr/local/pingos/./sbin/nginx配置一般情况下，安装完毕 PingOS 后就可以使用了，通过配置文件可以看到 nginx 占用端口为80，rtmp 端口占用为1935 。但是在实际情况下，80 端口一般是使 ...继续阅读 (42)

Nginx反代m3u8加速流媒体1、安装nginx，确保开启http_sub_module替换模块（替换域名）2、加入m3u8类型，mime.types文件中增加 application/x-mpegURL m3u8; application/vna.apple.mpegurl m3u8; video/mp2t ts;3、加入反代规则# 适用任何符合指定后缀的请求 location ~* \.(m3u8|ts|aac)$ { proxy_cache off; # 禁用代理缓存 expires -1; # 禁用页面缓存 proxy_pass http://example.com; # 反代目标 URL sub_filter 'http://example.com/' 'http://$host/'; # 替换 m3u8 文件里的资源链接 sub_filter_last_modified off; # 删除原始响应里的浏览器缓存值 sub_filter_once off; # 替换所有匹配内容 sub_filter_types *; # ...继续阅读 (29)

Kubernetes，简称 k8s，是 Google 开源的一个容器编排引擎，其的目标是让部署容器化的应用简单并且高效，它支持自动化部署、大规模可伸缩、应用容器化管理。随着云原生技术的发展，Kubernetes 受到越来越多的关注。本文将主要介绍如何使用 kubeadm 安装部署 Kubernetes 集群（注：安装版本为 1.17.3）。通过学习，你将学会如何从零开始搭建一个 Kubernetes 集群。准备虚拟机环境创建 5 台 CentOS 虚拟主机，并在本地电脑上配置 SSH 免密登录（注：下面所有操作默认在 root 下执行）：# 配置 SSH 免密登录# ~/.ssh/conf# k8sadm01Host ka01HostName 192.168.220.31Port22User rootIdentityFile ~/.ssh/id_rsa# k8sadm02Host ka02HostName 192.168.220.32Port22User rootIdentityFile ~/.ssh/id_rsa# k8sadm03Host ka03HostName 192.168.220.33Port22User rootIdentityFile ~/.ssh/id_rsa# k8sadm04Host ka04HostName 192.168.220.34Port22User ...继续阅读 (16)

0x01 Installationgit clone --depth 1 https://github.com/heiher/nginx cd nginx git clone --depth 1 https://github.com/heiher/nginx-dav-ext-module ./auto/configure --prefix=/opt/nginx \ --with-compat \ --with-file-aio \ --with-http_addition_module \ --with-http_auth_request_module \ --with-http_dav_module \ --with-http_degradation_module \ --with-http_flv_module \ --with-http_geoip_module \ --with-http_gunzip_module \ --with-http_gzip_static_module \ --with-http_mp4_module \ --with-http_realip_module \ --with-http_secure_link_module \ --wi ...继续阅读 (38)

好久没有关注为知笔记了，最近考虑迁移笔记的时候，看了一下各大笔记应用，开源笔记要么不支持全平台，要么客户端完善度或者同步问题不行。突然发现为知笔记支持docker版，可以自己部署，客户端还是使用官方客户端。 安装docker docker version > /dev/null || curl -fsSL get.docker.com | bash service docker restart 启动为知笔记docker 创建文件夹,跟官方保持一致，我们也在主目录创建文件 cd ~ mkdir wizdata 启动，如果你打算使用nginx，或者配置ssl，则需要把端口调整一下。比如我的6789 docker run --name wiz --restart=always -it -d -v ~/wizdata:/wiz/storage -v /etc/localtime:/etc/localtime -p 80:80 -p 9269:9269/udp wiznote/wizserver 接下来会自动下载并运行，喝杯咖啡，等一下就可以了。 或者，可以在这个时候配置Nginx 配置Nginx 开启SSL ssl_certificate XXX/fullchain.pem; #你的证书地址 ssl_certificate_key XXX/privkey.pem; #你的证书地址 ssl ...继续阅读 (32)

Kubernetes IngressIngress 的相关概念可以直接看 Kubernetes 的文档，讲的很清楚了：IngressIngress Controllers简单的来说，它和传统服务器架构中的负载均衡器是类似的，本质上就是把集群内部的服务暴露给集群外。internet | [ Ingress ] --|-----|-- [ Services ]这块技术方案非常多，要开发一个自己的 Kubernetes Ingress 也不难。看 Ingress Controllers 这篇文章，Ingress Controllers 的意思就是 Kubernetes Ingress 的具体实现。两年前比较靠谱的方案主要是 Nginx Ingress 和 Istio Gateway，而现在技术方案已经非常多了。所有传统负载均衡厂商基本都为 Kubernetes 开发了 Ingress。从严格的定义看，Istio Gateway 不能算是一个 Ingress Controller，因为它并不是根据 Kubernetes 里的Ingress资源来定义路由规则的。Kubernetes Ingress 的理念是想做一层抽象，配置和实现解耦，所有的配置都是配置Ingress，而不需要关心具体的技术实现。Istio Gateway 不用Ingress来配置，而是使用 ...继续阅读 (4)