平淡无奇的周一, 老板突然说 7z 怎么无法在 esxi host 解析 vmdk 呢? 于是有这个工具的探索. 实现起来倒是不复杂, 只因为 AI 可以闭环验证, 很快就完成了

一、问题背景

在日常运维中，我们经常会遇到以下场景：

• 虚拟机无法启动：操作系统损坏，但数据还在磁盘上
• ESXi 环境受限：不能安装第三方工具
• 快照数据恢复：需要理解 VMware 快照中的增量数据

传统方案需要挂载虚拟磁盘，这要求 root 权限和特定的文件系统驱动。但实际上，文件系统的本质就是按照特定规则组织的二进制数据。理解这些规则，是进行数据恢复、取证分析、存储系统开发的基础。

本文将详细讲解：

1. 分区表结构：MBR 和 GPT 的二进制布局
2. 文件系统原理：ext4、NTFS、XFS 的核心数据结构
3. LVM 机制：逻辑卷管理器的元数据组织
4. VMware SESparse：快照格式的增量存储原理

二、磁盘数据的层次结构

要理解磁盘数据恢复，首先需要理解数据的层次组织：

┌───────────────────────────────────────────────────────────┐
│               磁盘镜像 (Raw Disk Image)                   │
└────────────────────────────┬──────────────────────────────┘
                             │
                             ▼
┌───────────────────────────────────────────────────────────┐
│                  分区表层 (MBR / GPT)                     │
│              → 定义分区的起始偏移和大小                   │
└────────────────────────────┬──────────────────────────────┘
                             │
                             ▼
┌───────────────────────────────────────────────────────────┐
│                     LVM 层 (可选)                         │
│               → 物理卷 → 卷组 → 逻辑卷                    │
└────────────────────────────┬──────────────────────────────┘
                             │
                             ▼
┌───────────────────────────────────────────────────────────┐
│             文件系统层 (NTFS / ext4 / XFS)                │
│           → 元数据结构 → 目录树 → 文件数据                │
└───────────────────────────────────────────────────────────┘

AAAA中文AAAA
||||中文||||
----中文----

关键魔数（Magic Numbers）

文件系统检测依赖特定位置的魔数签名：

三、分区表结构

3.1 MBR (Master Boot Record)

MBR 位于磁盘第一个扇区（512 字节），包含 4 个分区条目。

核心信息：每个分区条目记录分区类型和起始 LBA

分区偏移 = 起始 LBA × 512

常见分区类型：0x07 NTFS、0x83 Linux、0x8E LVM、0xEE GPT 保护分区

3.2 GPT (GUID Partition Table)

GPT 是现代标准，支持超过 2TB 磁盘和 128+ 个分区。

核心信息：每个分区条目记录类型 GUID、起始/结束 LBA、分区名称

分区偏移 = 起始 LBA × 512（64 位 LBA，支持超大磁盘）

四、ext4 文件系统结构

ext4 是 Linux 最常用的文件系统，采用块组 + inode + extents三层结构。

4.1 整体架构

Superblock (偏移 1024) → 块组描述符表 → 块组 0/1/2...
                                            │
                              ┌─────────────┴─────────────┐
                              ▼                           ▼
                         Inode Table                 Data Blocks
                              │
                              ▼
                    Extents (连续块映射)

4.2 核心概念

4.3 Inode 定位

块组号 = (inode_num - 1) / inodes_per_group
组内索引 = (inode_num - 1) % inodes_per_group

4.4 Extents 树

ext4 用 extents 描述文件数据的物理位置，每个 extent 表示一段连续的物理块：

Extent = (逻辑块号, 连续块数, 物理起始块)

物理偏移 = 物理起始块 × 块大小

大文件使用 B+ 树组织多个 extents（depth > 0 时有索引节点）。

五、NTFS 文件系统结构

NTFS 是 Windows 文件系统，核心设计是一切皆属性——文件名、时间戳、数据都是属性。

5.1 整体架构

Boot Sector → MFT (Master File Table) → 属性列表 → 数据
                     │
         ┌───────────┴───────────┐
         ▼                       ▼
    MFT 记录 0: $MFT        MFT 记录 5: 根目录
    (MFT 自身)              (目录索引)

5.2 核心概念

5.3 MFT 记录

每个文件/目录对应一条 MFT 记录，包含多个属性：

5.4 驻留 vs 非驻留

NTFS 的独特优化：小文件数据直接存在 MFT 记录内（约 700-900 字节以内）。

$DATA 属性
    │
    ├── 驻留 (flag=0): 数据在 MFT 记录内，无需额外 I/O
    │
    └── 非驻留 (flag=1): 数据在外部簇，通过 Data Runs 定位

5.5 Data Runs（数据运行）

Data Runs 用变长编码描述非驻留数据的物理位置：

编码格式: [Header][Length][Offset] ...

Header = (offset_size << 4) | length_size
Offset 是累积偏移: LCN_n = LCN_{n-1} + offset_n
Offset = 0 表示稀疏区域（虚拟空间）

示例：31 01 02 03 → 1 个簇，起始于 LCN 0x030201

六、XFS 文件系统结构

XFS 是 CentOS/RHEL 默认文件系统，最大特点是大端序和AG 分区管理。

6.1 整体架构

Superblock (偏移 0) → AG 0 / AG 1 / AG 2 ...
                           │
              ┌────────────┴────────────┐
              ▼                         ▼
         Inode Table              Data Blocks
              │
              ▼
      128-bit Extents (大端序)

6.2 核心概念

6.3 fsblock 的 AG 编码（最大陷阱）

XFS 的 fsblock 高位编码了 AG 号，不能直接乘块大小：

错误：disk_offset = fsblock × block_size

正确：
  ag_num = fsblock >> ag_blk_log
  ag_blk = fsblock & ((1 << ag_blk_log) - 1)
  actual_block = ag_num × ag_blocks + ag_blk
  disk_offset = actual_block × block_size

为什么？ 因为 ag_blocks 不一定等于 2^ag_blk_log（最后一个 AG 可能不完整）

七、LVM 逻辑卷管理

Linux 常在分区之上使用 LVM，需要先解析 LVM 元数据找到逻辑卷位置。

7.1 LVM 层次结构

物理分区 → 物理卷 (PV) → 卷组 (VG) → 逻辑卷 (LV) → 文件系统

7.2 核心概念

7.3 逻辑卷偏移计算

LVM 元数据是人类可读的文本格式，关键信息：

lv_offset = (pe_start + stripe_offset × extent_size) × 512

找到 LV 偏移后，就可以在该位置解析 ext4/XFS 文件系统。

八、VMware SESparse 快照格式

VMware 在 VMFS6 上使用 SESparse 格式存储快照，这是一种增量存储格式。

8.1 基本原理

Base Disk:     [sector 0][sector 1][sector 2]...[sector N]
                   ↑          ↑
SESparse:      [modified]  [unallocated → 读 base]

只有被修改的扇区存储在 SESparse 文件中，未修改的数据从 base disk 读取。

8.2 核心概念

8.3 透明合并

通过封装类提供统一接口，上层文件系统工具无需关心快照逻辑：

读取请求 → 查 L1/L2 表
         ├── 已分配 → 从 SESparse 读取
         ├── 零粒度 → 返回全零
         └── 未分配 → 从 Base Disk 读取

九、文件数据索引机制

三大文件系统采用不同策略定位文件数据的物理位置。

9.1 三者对比

9.2 ext4 - Extents B+ 树

inode → Extent Header (magic=0xF30A)
              │
    ┌─────────┴─────────┐
    ▼                   ▼
depth=0 (叶子)     depth>0 (索引)
    │                   │
    ▼                   ▼
Extent Entry       Index Entry → 递归
(逻辑块, 块数,
 物理起始块)

查找逻辑块 N：遍历 extents，找到包含 N 的 extent，计算物理块

9.3 NTFS - Data Runs

MFT Record → $DATA 属性
                │
     ┌──────────┴──────────┐
     ▼                     ▼
驻留 (flag=0)         非驻留 (flag=1)
数据在 MFT 内         Data Runs 链表
(≤900 bytes)         (累积偏移编码)

关键：Data Runs 使用累积偏移，LCN_n = LCN_{n-1} + offset_n

9.4 XFS - 128 位 Extent

inode → 128-bit Extent (大端序)
        ├── 逻辑块偏移 (54 bits)
        ├── 物理起始块 (52 bits, 含 AG 编码)
        └── 块数 (21 bits)

关键陷阱：fsblock 高位是 AG 号，必须先 AG 解码再计算物理偏移

十、目录遍历与文件查找

以查找 /etc/hosts 为例，看三大文件系统如何定位文件。

10.1 通用流程

根目录 → 查找 "etc" → 获取 etc 的 inode → 查找 "hosts" → 读取数据

10.2 三者对比

10.3 目录格式

ext4：目录是特殊文件，内容是 dirent 链表（inode + 文件名）

NTFS：使用 B+ 树索引，小目录在 $INDEX_ROOT，大目录在 $INDEX_ALLOCATION

XFS：根据大小自动选择格式

• shortform：小目录，数据在 inode 内
• block：中等目录，单个数据块
• leaf/node：大目录，B+ 树结构

10.4 安全考虑

从磁盘读取的文件名可能包含危险字符，必须过滤：

• 路径分隔符：\ /
• Windows 特殊字符：: * ? " < > |
• Windows 保留名：CON, PRN, AUX, NUL, COM1-9, LPT1-9

十一、技术挑战与经验总结

11.1 字节序陷阱

11.2 常见坑点

11.3 实践建议

1. 用 hexdump 验证：不要盲目相信文档，用真实数据验证
2. 内存管理：大文件分块读取，使用 LRU 缓存
3. 边界检查：所有读取操作都要检查长度
4. 安全处理：文件名必须过滤危险字符

十二、高级开发者应知的文件系统常识

以下是从实际数据恢复项目中提炼的核心认知，适合技术面试或架构讨论时展示底层理解。

12.1 文件系统的本质

一句话：文件系统 = 元数据索引 + 数据块管理

所有文件系统都在解决同一个问题：如何从文件名找到磁盘上的字节。差异只在于索引结构和空间分配策略。

用户视角:  /etc/hosts
           ↓
文件系统:  目录索引 → inode/MFT → 数据块映射 → 物理偏移
           ↓
磁盘视角:  sector 123456, offset 0x1E240000

12.2 三大设计哲学

面试点：

• ext4 的 inode 2 是根目录，这是硬编码的
• NTFS 小于 900B 的文件直接存在 MFT 记录里（驻留属性），零额外 I/O
• XFS 全大端序，这是 SGI IRIX 的历史遗留

12.3 数据定位的两种范式

连续映射（Extent-based）：ext4、XFS

"文件的第 0-99 块在磁盘的第 1000-1099 块"
优点：大文件高效，元数据紧凑

链式映射（Run-based）：NTFS Data Runs

"从簇 1000 开始连续 50 簇，然后跳到簇 2000 连续 30 簇..."
优点：碎片化场景灵活，支持稀疏文件

12.4 必须知道的"坑"

12.5 架构师视角

为什么理解文件系统底层很重要？

1. 性能调优：知道 ext4 的 extent 树深度影响大文件随机读性能
2. 故障诊断：磁盘坏块时能判断影响范围（元数据区 vs 数据区）
3. 系统设计：设计存储系统时理解 COW、日志、快照的实现代价
4. 安全意识：知道"删除"只是解除索引，数据仍在磁盘上

12.6 一句话总结

终极认知：文件系统没有魔法，只有规则。掌握规则，就能在没有操作系统的情况下直接读取任何数据。

😵 VM 迁移后改个 IP 而已，怎么就这么多坑呢

1. 背景

周三下午，运维甩过来一句话：“客户那边做了下 VM 迁移，IP 段变了，K8S 集群起不来了，你看看？”

我心想，改个 IP 能有多难？不就是改改配置文件重启一下嘛。

然后我就开始了长达 30 分钟的踩坑之旅。

环境说明

IP 变更映射

2. 现象

SSH 到新 IP 后，发现 kubelet 起不来，apiserver 也连不上，etcd 更是一片红。

kubectl get nodes
The connection to the server 192.168.100.115:6443 was refused

好家伙，全挂了。

3. 逐步排查

第一反应：改配置文件

起初我想的很简单，K8S 的配置文件里肯定写死了旧 IP，改掉就行了。

于是开始了 sed 大法：

 1# kubeasz hosts 文件
 2sed -i 's/192.168.100.112/192.168.100.115/g' /etc/kubeasz/clusters/itdr/hosts
 3
 4# etcd 配置
 5sed -i 's/192.168.100.112/192.168.100.115/g' /etc/etcd/etcd.conf
 6
 7# apiserver 服务
 8sed -i 's/192.168.100.112/192.168.100.115/g' /etc/systemd/system/kube-apiserver.service
 9
10# kubeconfig 文件
11sed -i 's/192.168.100.112/192.168.100.115/g' /etc/kubernetes/*.kubeconfig

改完重启，etcd 起来了，apiserver 也起来了。

1kubectl get cs
2# controller-manager   Healthy
3# scheduler            Healthy
4# etcd-0               Healthy

我心想，这不挺简单的嘛。

然后问题来了

kubelet 死活连不上 apiserver：

E0122 19:45:23.456789 kubelet.go:2183] "Failed to connect to apiserver" err="connection refused"

兄弟们，这就奇怪了。apiserver 明明在 6443 端口监听着，为啥 kubelet 连不上？

发现第一个隐藏 Boss：kube-lb

1cat /etc/kubernetes/kubelet.kubeconfig | grep server
2# server: https://127.0.0.1:6443

等等，127.0.0.1？这是什么操作？

翻了下 kubeasz 的文档，原来它用了一个叫 kube-lb 的本地负载均衡器（基于 nginx），kubelet 连接本地的 kube-lb，kube-lb 再转发到真正的 apiserver。

检查 kube-lb 配置：

1cat /etc/kube-lb/conf/kube-lb.conf
2# upstream kube_apiserver {
3#     server 192.168.100.112:6443;  # 还是旧 IP！
4# }

真见鬼了，这个配置文件藏得够深的，官方文档压根没提。

1# 修改 kube-lb 配置
2sed -i 's/192.168.100.112/192.168.100.115/g' /etc/kube-lb/conf/kube-lb.conf
3
4# 重启 kube-lb
5pkill -f kube-lb
6nohup /etc/kube-lb/sbin/kube-lb -c /etc/kube-lb/conf/kube-lb.conf &

重启 kubelet，这次能连上 apiserver 了。

第二个坑：节点 IP 不更新

1kubectl get nodes -o wide
2# NAME           STATUS   INTERNAL-IP
3# master-node    Ready    192.168.100.112  # 还是旧 IP？？

我人傻了，kubelet 都重启了，为啥节点 IP 还是旧的？

原来 K8S 的节点信息是存在 etcd 里的，IP 变了它不会自动更新。得手动删掉旧节点，让 kubelet 重新注册。

1# 删除旧节点
2kubectl delete node master-node
3
4# 重启 kubelet
5systemctl restart kubelet
6
7# 重新打标签
8kubectl label node master-node node-role.kubernetes.io/master=''

这下节点 IP 终于对了。

第三个坑：Pod 拉不到镜像

三个节点都 Ready 了，但是 Pod 起不来：

Failed to pull image "easzlab.io.local:5000/itdr/apisix:with-auth-r2":
dial tcp 192.168.100.112:5000: connect: no route to host

又是旧 IP！这次是镜像仓库的域名解析问题。

1cat /etc/hosts | grep easzlab
2# 192.168.100.112 easzlab.io.local  # 还是旧的

每个节点都要改：

1sed -i 's/192.168.100.112.*easzlab/192.168.100.115 easzlab/g' /etc/hosts

第四个坑：kubectl logs 不能用

Pod 终于起来了，但是 kubectl logs 报错：

Error from server: Get "https://worker-node2:10250/containerLogs/...":
dial tcp 192.168.100.114:10250: connect: no route to host

注意看，它用的是 hostname worker-node2，但解析出来的 IP 是旧的 192.168.100.114。

又是 /etc/hosts 的锅，这次是节点 hostname 的映射：

1cat /etc/hosts | grep worker
2# 192.168.100.113    worker-node1
3# 192.168.100.114    worker-node2

在 master 节点改掉：

1sed -i 's/192.168.100.112.*master-node/192.168.100.115    master-node/g' /etc/hosts
2sed -i 's/192.168.100.113.*worker-node1/192.168.100.116    worker-node1/g' /etc/hosts
3sed -i 's/192.168.100.114.*worker-node2/192.168.100.117    worker-node2/g' /etc/hosts

第五个坑：NFS 挂载超时

有几个 Pod 卡在 ContainerCreating：

Warning  FailedMount  Unable to attach or mount volumes:
mount.nfs: Connection timed out

NFS 也有旧 IP，而且有两个地方：

1. /etc/exports 客户端白名单

1cat /etc/exports
2# /data/nfs 192.168.100.112/24(rw,sync,no_root_squash)

改掉并重新导出：

1sed -i 's/192.168.100.112/192.168.100.115/g' /etc/exports
2exportfs -ra

2. PV 里的 NFS server 地址

1kubectl get pv -o yaml | grep server
2# server: 192.168.100.112

PV 不能直接改，得删了重建：

1kubectl get pv pv-nfs -o yaml > /tmp/nfs-pv.yaml
2sed -i 's/server: 192.168.100.112/server: 192.168.100.115/g' /tmp/nfs-pv.yaml
3kubectl delete pv pv-nfs --force --grace-period=0
4kubectl apply -f /tmp/nfs-pv.yaml

第六个坑：PVC 变成 Lost 状态

PV 重建后，PVC 状态变成了 Lost，Pod 还是挂载不上。

1kubectl get pvc -n itdr
2# NAME      STATUS   VOLUME
3# pvc-nfs   Lost     pv-nfs

PV 删了重建，原来的绑定关系就断了。得把 PVC 也删了重建：

1# 强制删除
2kubectl delete pvc -n itdr pvc-nfs --force --grace-period=0
3
4# 如果卡住，清理 finalizers
5kubectl patch pvc -n itdr pvc-nfs -p '{"metadata":{"finalizers":null}}'
6
7# 重新创建
8kubectl apply -f pvc.yaml

数据不会丢，因为 PV 是 Retain 策略。

4. 定位原因

回过头来看，K8S 集群改 IP 为什么这么麻烦？

根本原因：K8S 的 IP 地址被硬编码在太多地方了：

1. TLS 证书的 SAN：证书里写死了 IP，换了 IP 就 TLS 握手失败
2. etcd 成员配置：etcd 集群成员的 peer URL 写死了 IP
3. 各种 kubeconfig：kubelet、kube-proxy、controller-manager 都有
4. systemd 服务文件：apiserver、etcd 的启动参数
5. kube-lb 配置：kubeasz 特有的本地负载均衡器
6. /etc/hosts：镜像仓库域名 + 节点 hostname 映射
7. NFS 配置：/etc/exports + PV 资源

这些配置分散在不同的地方，官方文档也没有完整列出来，只能一个一个踩坑。

5. 完整配置修改清单

踩完所有坑后，整理出来的完整清单：

6. 解决方法总结

最终的操作顺序：

1. 备份：etcd 数据、证书、配置文件
2. 改网卡：修改 ifcfg 文件，重启节点
3. 改 kubeasz hosts：进 kubeasz 容器改
4. 改 etcd 配置：etcd.conf + etcd.service
5. 改 kube-lb：每个节点都要改（关键！）
6. 改 kubeconfig：kubelet、kube-proxy 等
7. 重启服务：先 etcd，再 apiserver，最后 kubelet
8. 删旧节点：让 kubelet 重新注册
9. 改 /etc/hosts：镜像仓库 + 节点 hostname
10. 改 NFS：/etc/exports + PV + PVC

总耗时：约 30 分钟

7. 经验教训

1. 节点 IP 不会自动更新，必须删旧节点让 kubelet 重新注册
2. /etc/hosts 有两类映射，镜像仓库域名和节点 hostname 都要改
3. NFS 要改两个地方，/etc/exports 和 PV 资源，PVC 可能变 Lost 要重建
4. 操作前一定要备份，etcd 数据、证书、配置文件，万一搞砸了还能回滚

改个 IP 而已，踩了 6 个坑，我是不是 bug 体质啊 😅

背景

使用 Claude Code 的时候，我一直心里有个疑虑：这玩意儿的权限太大了。我所有的 API Token 都被它读取过，在分享的对话记录里也全都输出了。更要命的是，我用的还是第三方供应商，所以我的密钥完全是裸奔在他们的平台上。

这让我很不安，甚至觉得自己像个傻子。我的公网项目、我的网络资产，通通暴露给别人。作为一个专业工程师，这是不能容忍的。

所以我需要想个办法，在多端 Claude Code 上加一些限制，但又要方便执行一些需要密钥的命令——比如自动配置 DNS、自动部署 Workers。

方案探索（踩坑记录）

方案一：Bitwarden MCP

刚开始我想用 Bitwarden 的密钥管理 CLI。后来查了一下它还有个 MCP 集成，但仔细了解后发现，那个 MCP 是把所有密码都给 Claude Code。

这是个很蠢的设计。

方案二：文件权限 + permissions.deny

1{
2  "permissions": {
3    "deny": ["Read(~/.secrets/**)"]
4  }
5}

问题：这只阻止了 Read 工具，AI 仍然可以用 Bash 工具执行 cat ~/.secrets/xxx。

堵了前门，人家走后门。

方案三：PreToolUse Hook 拦截

Claude Code 支持 Hooks，可以在工具调用前拦截。写个脚本检测敏感命令：

1if (/\.secrets/i.test(command)) {
2  console.error("安全阻止: 禁止访问 .secrets 目录");
3  process.exit(2);
4}

问题：AI 可以生成一个脚本文件，然后执行脚本来读取。

1echo 'cat ~/.secrets/token' > /tmp/read.sh
2sh /tmp/read.sh

道高一尺魔高一丈。

方案四：进程隔离 + 环境变量

我觉得最好的方式还是进程隔离，用环境变量的方式。但环境变量只允许通过 hook 的方式在执行 shell 命令前加载，执行完之后取消，这样才是最安全的。

进程隔离需要在 macOS 和 Linux 上都通用，所以考虑用 setUID 这种方式。把密钥编译成一个 Go 二进制文件，通过密钥管理工具获取后设置成环境变量，运行完再退出。

方案五：Infisical（最终方案）

发现了 Infisical——一个开源的 secrets 管理平台：

1. 云端存储：secrets 不在本地
2. 本机登录：infisical login 后会话缓存在 ~/.infisical/
3. CLI 注入：infisical run -- your-command 自动注入环境变量

关键洞察：只要阻止 AI 调用 infisical 命令，就能实现完美隔离。

最终方案架构

┌─────────────────────────────────────────────────────┐
│                 用户侧                              │
├─────────────────────────────────────────────────────┤
│  1. infisical login        (本机登录一次)           │
│  2. infisical run -- cmd   (注入 secrets 执行)      │
│  3. Secrets 存储在 Infisical 云端                   │
└─────────────────────────────────────────────────────┘
                        │
                        ▼
┌─────────────────────────────────────────────────────┐
│                AI 隔离层                            │
├─────────────────────────────────────────────────────┤
│  Layer 1: permissions.deny                          │
│           - Read(~/.infisical/**)                   │
│           - Read(~/.secrets/**)                     │
├─────────────────────────────────────────────────────┤
│  Layer 2: PreToolUse Hook (Bash)                    │
│           - 命令中出现 "infisical" → 阻止           │
│           - 访问敏感目录 → 阻止                     │
├─────────────────────────────────────────────────────┤
│  Layer 3: PreToolUse Hook (Write/Edit)              │
│           - 写入包含 "infisical" 的脚本 → 阻止      │
└─────────────────────────────────────────────────────┘

具体实现

配置 permissions.deny

编辑 ~/.claude/settings.json：

 1{
 2  "permissions": {
 3    "deny": [
 4      "Read(~/.secrets/**)",
 5      "Read(~/.infisical/**)",
 6      "Read(./.env)",
 7      "Read(./.env.*)"
 8    ]
 9  }
10}

PreToolUse Hook

创建 ~/.cc-tool/pre-tool-security-hook.js：

 1#!/usr/bin/env node
 2const fs = require('fs');
 3
 4let input = '';
 5process.stdin.setEncoding('utf8');
 6process.stdin.on('data', chunk => input += chunk);
 7process.stdin.on('end', () => {
 8  try {
 9    const hookData = JSON.parse(input);
10    const result = checkToolUse(hookData);
11
12    if (result.blocked) {
13      console.error(result.reason);
14      process.exit(2);
15    }
16    process.exit(0);
17  } catch (err) {
18    process.exit(0);
19  }
20});
21
22function checkToolUse(hookData) {
23  const toolName = hookData.tool_name || '';
24  const toolInput = hookData.tool_input || {};
25
26  // 检查 Write/Edit 工具
27  if (toolName === 'Write' || toolName === 'Edit') {
28    const content = toolInput.content || toolInput.new_string || '';
29    const filePath = toolInput.file_path || '';
30
31    if (/infisical/i.test(content)) {
32      const scriptExtensions = /\.(sh|bash|zsh|py|rb|pl|js|ts)$/i;
33      const hasShebang = /^#!.*\/(bash|sh|zsh|python|ruby|perl|node)/i.test(content);
34
35      if (scriptExtensions.test(filePath) || hasShebang) {
36        return {
37          blocked: true,
38          reason: `安全阻止: 禁止写入包含 infisical 命令的脚本`
39        };
40      }
41    }
42    return { blocked: false };
43  }
44
45  // 检查 Bash 工具
46  if (toolName !== 'Bash') {
47    return { blocked: false };
48  }
49
50  const command = toolInput.command || '';
51
52  // 阻止 infisical 命令 - 任何形式
53  if (/infisical/i.test(command)) {
54    return {
55      blocked: true,
56      reason: `安全阻止: 禁止任何涉及 infisical 的命令`
57    };
58  }
59
60  // 阻止访问敏感目录
61  const sensitivePatterns = [
62    /~\/\.secrets/i,
63    /~\/\.infisical/i,
64    /\$HOME\/\.secrets/i,
65    /\$HOME\/\.infisical/i,
66  ];
67
68  for (const pattern of sensitivePatterns) {
69    if (pattern.test(command)) {
70      return {
71        blocked: true,
72        reason: `安全阻止: 检测到访问敏感目录的命令`
73      };
74    }
75  }
76
77  return { blocked: false };
78}

配置 Hooks

在 ~/.claude/settings.json 中添加：

 1{
 2  "hooks": {
 3    "PreToolUse": [
 4      {
 5        "matcher": "Bash",
 6        "hooks": [{
 7          "type": "command",
 8          "command": "node ~/.cc-tool/pre-tool-security-hook.js"
 9        }]
10      },
11      {
12        "matcher": "Write",
13        "hooks": [{
14          "type": "command",
15          "command": "node ~/.cc-tool/pre-tool-security-hook.js"
16        }]
17      },
18      {
19        "matcher": "Edit",
20        "hooks": [{
21          "type": "command",
22          "command": "node ~/.cc-tool/pre-tool-security-hook.js"
23        }]
24      }
25    ]
26  }
27}

验证测试

重启 Claude Code 后测试：

⏺ Bash(infisical --version)
  ⎿  Error: 安全阻止: 禁止任何涉及 infisical 的命令

⏺ Bash(echo "infisical secrets list" | sh)
  ⎿  Error: 安全阻止: 禁止任何涉及 infisical 的命令

⏺ Bash(python3 -c "import os; os.system('infisical --version')")
  ⎿  Error: 安全阻止: 禁止任何涉及 infisical 的命令

⏺ Read(~/.infisical/credentials.json)
  ⎿  Error reading file

使用方式

用户正常使用 Infisical 注入 secrets：

1# 执行需要 CF_API_TOKEN 的脚本
2infisical run --env=prod --projectId=xxx -- ./scripts/update-dns.sh
3
4# 部署到 Cloudflare Workers
5infisical run --env=prod --projectId=xxx -- wrangler deploy

AI 可以帮你写脚本、调试逻辑，但无法获取实际的 token 值。

还能继续绕过吗？

当然可以。AI 还能尝试生成绕过检测的脚本，写入后执行，还是能获取到。

最终极的方案还是之前想的那种：用一个二进制文件，只有特定用户、特定脚本才能执行，做 setUID 转换后才能运行命令。

但对于日常使用来说，当前方案已经足够了。核心原则是：

任何时候，不要让机密明文出现在 AI 的对话框里。

总结

安全从来不是单点防护，而是纵深防御。每一层都可能被绕过，但层层叠加后，攻击成本会指数级上升。

当然，这只是针对 Claude Code 的安全。如果我自己用命令行，当然也能获取到。好处是 Claude Code 这个安全隐患已经被解除了。

就这。

最近参加了 Kaggle 的 Gemini 3 竞赛，做了个小工具：把 Prometheus 的 /metrics 输出直接转成可导入的 Grafana Dashboard JSON。

为什么做这个

手写 Grafana Dashboard 挺烦的。每次新服务上线，要对着 metrics 列表一个个配 panel、写 PromQL、调布局。重复劳动，没什么技术含量。
想法很简单：把 metrics 丢给 LLM，让它帮我生成。

实现思路

分两步走：
第一步：生成 Plan
把 metrics 喂给 Gemini，让它分析应该建哪些分类（比如 HTTP、内存、磁盘），每个分类下放哪些 panel，用什么图表类型（timeseries、stat、gauge）。
这一步输出的是一个可编辑的计划，不是最终 JSON。用户可以调整：删掉不需要的 panel、改标题、换图表类型。

第二步：生成 Dashboard JSON
确认 plan 后，并行请求 Gemini 生成每个 panel 的具体配置：PromQL 查询、单位、阈值等。最后组装成完整的 Grafana Dashboard JSON。

踩的坑

LLM 生成的 PromQL 经常有问题：

1. {__name__=~"metric_a|metric_b"} —— 这种写法在 Grafana 里会报 “vector cannot contain metrics with the same labelset”
2. rate(...) by (label) —— 语法错误，应该是 sum by (label) (rate(...))

加了一层后处理，自动修复这些常见错误。

LLM 生成的 json 是有问题的, 也加了自动修复

想想还是使用 Using tools 比较方便, 直接 DSL, 之后根据这个 DSL 去生成 json, 必将让 LLM 生成 json 还是不是靠谱, 上下文一长, LLM 就智障了

功能点

1. 智能解析

• 自动识别 metric 类型（counter, gauge, histogram）
• 提取所有标签
• 保留帮助文档

2. AI 分析

• 识别监控模式（RED, USE, Golden Signals）
• 规划仪表盘结构
• 建议可视化类型

3. 精确生成

• Counter → rate() 查询
• Gauge → 直接查询
• Histogram → histogram_quantile() 计算百分位数
• 自动配置单位、图例、颜色

4. 完整输出

• 标准 Grafana Dashboard JSON
• 自动布局
• 即导即用

Demo

• 在线体验：https://aistudio.google.com/apps/drive/1nfv58w41dTsheBGzBJ7JhrojZxoPgn-B
• YouTube：https://youtu.be/p6b3z5gSCtY
• 源码：https://github.com/yunpiao/Grafana-Dashboard-Generator-Gemini

顺便做了个工具

参加比赛的时候想看看别人都做了什么，发现 Kaggle 上直接翻挺费劲的，4000 多条 writeup。
就爬下来整理了一下，做了个浏览器：https://kaggle-gemini3-writeups-explorer.streamlit.app/
按分类筛选、搜索、随机抽取都行。如果你也在找 AI 应用的灵感，可以翻翻

本次所有参赛的词云

为什么要做这个小插件？

我平时看英文文章的频率挺高，但有几个很具体的烦恼：

• 生词零零散散，要么查完就忘，要么记在各种地方，很难形成“自己的词汇本”。
• 有时候只是不太熟悉某个词，查词典又有点打断节奏，容易从网页跳到别的地方分心。
• 市面上有一些浏览器扩展可以划词翻译，但更多是“查一下就完了”，不太关注长期积累。

所以我就干脆自己写了个脚本：

• 不做“翻译整篇文章”这种重事儿。
• 专注把关键词标出来，给一个简短的释义。
• 顺手把这些词丢进一个全局词汇本，以后可以慢慢消化。

Gloss 本质上是一个“给真实网页加一层学习信息”的小插件，而不是一个完整的背单词应用。

它大概长什么样？

安装脚本之后，在任意网页右下角会出现一个小控制条：

• 显示当前状态和本次标注出的词汇数量。
• 一个「开始」按钮，用来对当前页面进行分析和标注。
• 一个下拉菜单，可以「重新分析」。
• 一个小齿轮按钮，打开设置面板。

页面上如果有标注的词，会以 <ruby> 的形式出现：原文在下方，上面一行小字是译文。这样不会打乱排版，也不会像整段翻译那样破坏阅读体验。

具体能做什么？

目前 Gloss 主要做了几件事：

• 智能选词：
  • 对中文页面：挑出适合学习英文表达的中文词/短语，给出英文释义。
  • 对英文页面：挑出偏难或重要的英文词，给出简短中文释义。
• 最小词汇数限制：
  • 用分词统计页面的词数，如果太短，就不会浪费请求（也避免给一堆碎碎念加注）。
• 缓存：
  • 同一个页面在 7 天内只会请求一次接口，下次打开直接用缓存结果，速度更快，也省钱。
• 黑名单：
  • 可以把不想标注的网站加到黑名单里，或用通配符屏蔽一类站点。
• 全局词汇本：
  • 所有被标注过的词，都会自动进入一个词汇本。
  • 可以看到原文、翻译、来源网站、添加时间。
  • 支持搜索、筛选“学习中”和“已掌握”。
• 已掌握标记：
  • 在词汇本里点一下「✓ 掌握」，之后这个词就不会再出现在网页标注里。
  • 重新分析同一篇文章时，也会尽量跳过这些词，节省 token。
• 导入 / 导出：
  • 词汇本可以一键导出为 CSV 文件，直接丢给 Excel 或别的工具继续加工。
  • 也支持从 CSV 导入，方便把以前的生词表迁移进来。

整体思路是：

不强迫你在一个新界面背单词，而是尽量不打扰你阅读，只是顺手帮你把重要的词“记下来”，时间久了会变成你自己的词库。

怎么用？

使用方式非常简单：

1. 安装 Tampermonkey（或兼容的脚本管理扩展）。
2. 在 GreasyFork 安装 Gloss 的脚本：https://greasyfork.org/zh-CN/scripts/557609-gloss-%E6%99%BA%E8%83%BD%E8%AF%8D%E6%B1%87%E6%A0%87%E6%B3%A8。
   源码仓库：https://github.com/yunpiao/gloss
3. 打开任意网页，右下角会出现「Gloss」小控制条。
4. 第一次使用：
   • 点击齿轮按钮，填上自己的模型 API 地址、Key 和模型名称。
   • 根据习惯调整“提取词汇数量”和“最少词汇数”等配置。
5. 回到网页，点击「开始」，等一会儿就会看到文中出现小小的 ruby 标注。

如果你习惯看技术博客、文档，可以只针对英文页面开启自动标注；如果是反向学习英文表达（比如看中文博客，顺手学英文对应说法），也可以只给中文页面开。

适合谁用？

这个小工具的设计初衷是给「已经有一点基础、想通过阅读真实内容继续提升」的人用的：

• 能直接读英文，但常常会有一些“似懂非懂”的词。
• 不喜欢在单词 App 里做题，更喜欢在真实语境里逐渐熟悉用法。
• 接受偶尔有点“AI 的胡说八道”，但整体容忍度还行的人。

如果你现在更需要的是系统性词汇课程、严格的记忆计划，那 Gloss 可能不太适合，它更偏向一个「增强现实层」——你本来就在读的东西上面，轻轻加一层信息。

一点截图

中文界面

英文界面

单词本界面

一点小结

Gloss 首先是为了解决我自己的学习痛点写出来的：

• 尽量不打扰正常浏览。
• 把“查一个词”这件事，从一次性操作变成长期积累。
• 允许你承认“这个词我已经掌握了”，之后就别再打扰你。

如果你平时也有类似的需求，欢迎试试，也欢迎在 GitHub 上提 issue 或建议。这个脚本还在迭代中，我也在用它磨合自己的阅读和学习习惯。也许过一段时间回头看，还会有不少可以改进的地方。

仓库地址：https://github.com/yunpiao/gloss

如果你真的用上了，也可以跟我说一声它在哪些网站上帮到了你，这对我来说会是一个挺大的鼓励。

之前没有亲手实践过 eoll, 最近开发一个小的 c 语言的网络工具, 从阻塞到事件驱动一步一步优化 , 最后性能挺不错的. 😂 实在想不出来没有 epoll 的世界

本文是对 Linux 下高性能网络编程核心技术点的梳理，重点围绕 epoll I/O 多路复用机制以及 splice、sendfile 等零拷贝（Zero-Copy）系统调用进行归纳。内容涵盖了从基本概念、API 用法、实战技巧到性能对比的各个方面，旨在为构建高性能代理（Proxy）、文件服务器等应用提供一份精炼的参考。

1. Epoll 核心三剑客

epoll 是 select/poll 的高效替代方案，它通过内核中的红黑树和就绪链表来管理海量文件描述符，避免了每次调用时从用户态到内核态的重复数据拷贝和线性扫描。

• int epoll_create1(int flags)
  用于创建一个 epoll 实例。推荐使用 EPOLL_CLOEXEC 标志，确保在 fork 调用后，子进程能自动关闭继承的 epoll 文件描述符，避免资源泄漏。

• int epoll_ctl(int epfd, int op, int fd, struct epoll_event *ev)
  用于在 epoll 实例上注册、修改或删除监听的事件。

  • op: 操作类型，包括 EPOLL_CTL_ADD (添加)、EPOLL_CTL_MOD (修改)、EPOLL_CTL_DEL (删除)。
  • events: 事件类型掩码，常用组合如下：
    • EPOLLIN: 读事件就绪（例如，socket 接收到数据）。
    • EPOLLOUT: 写事件就绪（例如，socket 发送缓冲区有空间）。
    • EPOLLERR: 发生错误。
    • EPOLLHUP: 对端关闭连接。
    • EPOLLET: 边沿触发 (Edge-Triggered)。相比默认的水平触发 (Level-Triggered)，它只在状态从未就绪变为就绪时通知一次，能有效减少 wakeup 次数，但要求 I/O 操作必须是非阻塞的，并且需要循环读写直到返回 EAGAIN。
    • EPOLLEXCLUSIVE: (Linux 4.5+) 用于一对多监听场景（如多个 worker 监听同一个 listen_fd），可避免“惊群”效应，确保只有一个线程被唤醒。

• int epoll_wait(int epfd, struct epoll_event *evlist, int maxevents, int timeout)
  等待已注册的事件发生。

  • timeout: -1 表示永久阻塞；0 表示立即返回，不阻塞；>0 表示最长等待的毫秒数。
  • 返回值是就绪的文件描述符数量，就绪事件被填充到 evlist 数组中。

典型事件循环伪码：

 1int epfd = epoll_create1(EPOLL_CLOEXEC);
 2// 将 listen_fd 添加到 epoll 实例
 3epoll_ctl(epfd, EPOLL_CTL_ADD, listen_fd, &ev);
 4
 5// 主循环
 6while (1) {
 7    int n = epoll_wait(epfd, events, MAX_EVENTS, 1000);
 8    for (int i = 0; i < n; i++) {
 9        if (events[i].events & EPOLLIN) {
10            handle_read(events[i].data.fd);
11        }
12        if (events[i].events & EPOLLOUT) {
13            handle_write(events[i].data.fd);
14        }
15    }
16}

2. 非阻塞 I/O 与 fcntl

fcntl 是一个强大的文件描述符控制工具，在高性能编程中，它主要用于设置非阻塞标志和调整管道缓冲区。

• 设置非阻塞标志 (O_NONBLOCK)
  int flags = fcntl(fd, F_GETFL); fcntl(fd, F_SETFL, flags | O_NONBLOCK);
  将文件描述符设置为非阻塞模式是配合 epoll 边沿触发（EPOLLET）的必要条件。

• 非阻塞适用性补充
  需要明确的是，Linux 下真正的“非阻塞”特性仅对可等待 (pollable) 的文件描述符生效。

  • 常见可设置非阻塞的对象：
    • socket: 网络编程的核心。
    • pipe/fifo: 用于进程间通信或作为零拷贝的内核缓冲区。pipe2() 可在创建时直接传入 O_NONBLOCK。
    • eventfd / timerfd / signalfd: 与 epoll 结合，用于实现事件通知、定时任务和信号处理。
    • 部分字符设备，如 /dev/tty*。
    • inotify fd: 用于文件系统事件通知。
  • O_NONBLOCK 被忽略的对象：
    • 普通磁盘文件。由于磁盘 I/O 通常被认为是始终就绪的，设置非阻塞标志会被内核忽略，因此不存在“非文件描述符的非阻塞”概念。
    • 匿名内存映射、多数 /proc 文件系统条目。

• 调整管道缓冲区大小
  fcntl(fd, F_SETPIPE_SZ, size_in_bytes); (Linux 2.6.35+)
  在进行基于 splice 的大流量零拷贝转发时，增大内核管道缓冲区（默认通常为 64KB）可以显著提升吞吐量。

3. 管道 (pipe/pipe2)

管道是零拷贝家族中不可或缺的“中间人”，它在内核中提供了一块缓冲区。

• int pipe(int fd[2]): 创建一个匿名全双工管道，fd[0] 为读端，fd[1] 为写端。
• int pipe2(int fd[2], int flags): (Linux 2.6.27+) pipe 的增强版，允许在创建时直接传入 O_NONBLOCK 和 O_CLOEXEC 标志，避免了额外的 fcntl 调用。

主要用途：

1. 传统的进程间通信（IPC）。
2. 作为 splice/tee/vmsplice 的内核缓冲区，实现数据在不同文件描述符之间的零拷贝转发。
3. eventfd/timerfd 在设计上可以看作是特定场景下对 pipe 的功能性替代和优化。

4. 零拷贝家族系统调用

零拷贝技术通过减少 CPU 在用户态和内核态之间的数据拷贝次数，来降低 CPU 负载和内存带宽占用，从而提升数据传输效率。

4.1 splice

ssize_t splice(int fd_in, loff_t *off_in, int fd_out, loff_t *off_out, size_t len, unsigned int flags);

splice 是实现通用零拷贝转发的核心。它要求 fd_in 或 fd_out 中至少有一个必须是管道。

• flags:

  • SPLICE_F_MOVE: 尝试移动内存页而不是复制，是性能优化的关键。
  • SPLICE_F_NONBLOCK: 非阻塞执行。
  • SPLICE_F_MORE: 向内核暗示后续还有数据（类似 TCP_CORK），有助于数据包合并。

• 经典转发模式:
  socket_A -> pipe -> socket_B

  1// 从 socket_A 读数据到管道写端
  2splice(socket_A, NULL, pipe_w, NULL, len, flags);
  3// 从管道读端写数据到 socket_B
  4splice(pipe_r, NULL, socket_B, NULL, len, flags);
  

4.2 tee

tee 用于将管道中的数据复制一份到另一个管道，同时不影响原始数据流，适用于需要数据分发的场景，如一份数据既要发送给客户端，又要存盘记录。

4.3 vmsplice

vmsplice 允许将用户态内存区域（通过 iovec 结构描述）的数据零拷贝地写入管道，或者从管道中读出，在特定场景下可替代传统的 writev。

4.4 sendfile

ssize_t sendfile(int out_fd, int in_fd, off_t *offset, size_t count);

sendfile 是一个高度优化的接口，专门用于将文件内容 (in_fd) 直接传输到套接字 (out_fd)，数据完全在内核态流动。它是 Nginx 等 Web 服务器发送静态文件的首选方案。

5. 事件等待机制比较

epoll 的核心优势在于，它避免了每次 epoll_wait 调用时都需要将整个文件描述符列表从用户态复制到内核态的开销。并且，内核直接返回就绪的 FD 列表，获取就绪事件的时间复杂度是 O(1)，与监听的总 FD 数量无关。

6. 调试与常见 errno

• EAGAIN / EWOULDBLOCK: 在非阻塞模式下，表示“资源暂时不可用”。读操作意味着无数据可读，写操作意味着缓冲区已满。处理方式：这是正常情况，应停止本轮读写，等待下一次 EPOLLIN / EPOLLOUT 事件通知。
• ECONNRESET / EPIPE: 对端重置或关闭了连接。
• EINVAL: epoll_ctl 参数错误，或尝试向 epoll 实例重复添加同一个 fd。

调试建议：在日志中打印关键信息，如 fd、事件掩码 (events)、读写字节数统计以及 strerror(errno) 返回的错误字符串，有助于快速定位问题。

7. 性能与最佳实践

1. 边沿触发 + 非阻塞：使用 EPOLLET 模式，并确保 read/write 循环执行，直到返回 EAGAIN，以完全耗尽内核缓冲区中的数据。
2. 合并写操作：使用 SPLICE_F_MORE 或 TCP_CORK 选项，鼓励内核将小的写操作合并成一个大的 TCP 包再发送，减少网络分片。
3. 批量处理事件：epoll_wait 的 maxevents 参数可设为 64 到 512 之间，并在单次 epoll_wait 返回后，循环处理所有就绪事件。
4. 合理设置 Pipe 大小：对于高吞吐量的零拷贝应用，可使用 fcntl(fd, F_SETPIPE_SZ, ...) 将管道缓冲区调大（如 1MB），但需注意这会增加内核内存占用。
5. 监控关键指标：监控应用的连接数、零拷贝传输字节数、回退到常规 read/write 的次数、epoll_wait 的调用频率等，以评估系统性能。

8. 典型零拷贝转发伪码

以下是使用 splice 实现从源 src 到目标 dst 的数据转发循环：

 1size_t total_forwarded = 0;
 2while (1) {
 3    // 1. 从源 splice 数据到管道
 4    ssize_t n_read = splice(src, NULL, pipe_w, NULL, PIPE_BUFFER_SIZE,
 5                            SPLICE_F_NONBLOCK | SPLICE_F_MOVE);
 6    if (n_read <= 0) {
 7        // 读取出错或结束
 8        break;
 9    }
10
11    ssize_t remaining = n_read;
12    while (remaining > 0) {
13        // 2. 从管道 splice 数据到目标
14        ssize_t n_written = splice(pipe_r, NULL, dst, NULL, remaining,
15                                   SPLICE_F_NONBLOCK | SPLICE_F_MOVE);
16        if (n_written <= 0) {
17            // 写入出错或阻塞
18            break;
19        }
20        remaining -= n_written;
21        total_forwarded += n_written;
22    }
23}
24
25// 可以在 splice 失败或返回 0 时，实现回退到常规 recv/send 的方案。

参考资料

• man 2 epoll_create1, epoll_ctl, epoll_wait, fcntl, splice, tee, vmsplice, sendfile
• LWN: 《Introducing splice(2)》
• IBM developerWorks: Zero-Copy Transfer in Linux
• 《Linux 高性能服务器编程》 - 游双 & 陈硕

作为一个需要频繁使用内网穿透服务的开发者，我一直在使用 Cloudflare Tunnel (cloudflared) 来暴露本地服务到公网。这个工具本身非常优秀，但在国内使用时有一个让人抓狂的痛点：

经常断联，连接不稳定，严重影响使用体验。

具体表现：

• 🔴 隧道连接时断时续，频繁掉线
• 🔴 重连速度慢，影响服务可用性
• 🔴 某些地区或网络环境下根本无法建立连接
• 🔴 没有任何办法绕过网络限制

这种情况下，即使服务本身完全正常，用户体验也会非常糟糕。作为一个有洁癖的程序员，这种"时好时坏"的状态是绝对无法接受的。

2. 问题分析

为什么会断联？

Cloudflared 直连 Cloudflare 边缘节点的时候，流量路径大致是：

本地 cloudflared → 国内运营商网络 → 国际出口 → Cloudflare Edge

问题出在中间环节：

1. 国际出口不稳定 - 众所周知的原因
2. UDP 流量容易被限制 - QUIC 协议使用 UDP，某些网络会限制或丢弃 UDP 包
3. 连接被主动断开 - 某些情况下长连接会被中断
4. DNS 污染 - 边缘节点地址解析可能出问题

理想的解决方案

如果能让 cloudflared 通过一个稳定的代理服务器出去，问题就迎刃而解了：

本地 cloudflared → SOCKS5 代理 → 稳定线路 → Cloudflare Edge

优势：

• ✅ 使用优质线路，连接稳定
• ✅ 可以绕过网络限制
• ✅ 代理失败时自动降级，不影响可用性
• ✅ 灵活配置，按需使用

但问题是：原版 cloudflared 不支持代理！

3. 解决方案：为 Cloudflared 添加 SOCKS5 代理支持

既然官方不支持，那就自己动手，丰衣足食。我 fork 了 cloudflared 项目，添加了完整的 SOCKS5 代理支持。

核心功能

3.1 标准 SOCKS5 协议支持

 1# 基础用法 - 通过本地代理
 2cloudflared tunnel --edge-proxy-url socks5://127.0.0.1:1080 run mytunnel
 3
 4# 带认证的代理
 5cloudflared tunnel --edge-proxy-url socks5://user:pass@proxy.example.com:1080 run mytunnel
 6
 7# 使用配置文件
 8cat > config.yml <<EOF
 9tunnel: mytunnel
10credentials-file: /path/to/credentials.json
11edge-proxy-url: socks5://127.0.0.1:1080
12
13ingress:
14  - hostname: example.com
15    service: http://localhost:8080
16  - service: http_status:404
17EOF
18
19cloudflared tunnel run mytunnel

3.2 智能降级机制

尝试代理连接
    ├─ 成功 → 使用代理连接（稳定线路）✅
    └─ 失败 → 自动降级到直连 ✅

这意味着：

• 代理可用时，走稳定线路
• 代理挂了，自动切换直连，服务不中断
• 完全不用担心代理故障

3.3 灵活的配置方式

支持三种配置方式，随你喜欢：

方式 1: 命令行参数

1cloudflared tunnel --edge-proxy-url socks5://proxy:1080 run mytunnel

方式 2: 环境变量

1export TUNNEL_EDGE_PROXY_URL="socks5://proxy:1080"
2cloudflared tunnel run mytunnel

方式 3: 配置文件

1edge-proxy-url: socks5://proxy:1080

坑 1: QUIC 协议问题

QUIC 使用 UDP，标准 SOCKS5 主要是为 TCP 设计的。

解决：

• 可以强制使用 HTTP/2: --protocol http2
• 或者等待后续支持 UDP 转发的代理协议

坑 2: 代理认证信息安全

命令行中的密码会出现在进程列表中：

1# ❌ 不安全
2cloudflared tunnel --edge-proxy-url socks5://user:password@proxy:1080 run mytunnel

解决： 使用配置文件并设置权限：

1cat > config.yml <<EOF
2edge-proxy-url: socks5://user:password@proxy:1080
3EOF
4
5chmod 600 config.yml
6cloudflared tunnel run mytunnel

完整文档：

• SOCKS5_PROXY_GUIDE.md - 完整使用指南
• TEST_PROXY.md - 功能测试报告

4. 编译安装

从源码编译

1# 克隆仓库
2git clone https://github.com/yunpiao/cloudflared.git
3cd cloudflared
4
5# 编译（需要 go >= 1.24）
6make cloudflared
7
8# 编译结果
9./cloudflared --version

5. 未来计划

这只是第一个版本，后续可能会继续优化：

• 支持更多代理协议（HTTP CONNECT、Shadowsocks 等）
• 支持 QUIC over SOCKS5 UDP 转发
• 添加代理健康检查和自动切换
• 代理连接的详细指标和监控
• 支持代理链（多级代理）

6. 总结

关键要点：

1. ✅ 通过代理使用稳定线路，连接不再断联
2. ✅ 智能降级机制，代理故障不影响服务
3. ✅ 配置灵活，支持命令行、环境变量、配置文件
4. ✅ 完全向后兼容，不影响原有功能
5. ✅ 代码简洁，详细的中文注释

如果你也遇到了类似的问题，欢迎试用这个增强版本。代码已开源，欢迎 Star 和贡献！

参考链接

• 项目仓库：https://github.com/yunpiao/cloudflared
• 上游项目：https://github.com/cloudflare/cloudflared
• Cloudflare Tunnel 文档：https://developers.cloudflare.com/cloudflare-one/connections/connect-apps/
• SOCKS5 协议规范 (RFC 1928)：https://www.rfc-editor.org/rfc/rfc1928
• SOCKS5 认证 (RFC 1929)：https://www.rfc-editor.org/rfc/rfc1929

折腾了好久，终于搞定了 Loon 和 Tailscale 在 macOS 上的共存问题。怎么网络工具之间的冲突也这么复杂！😧

一、现象：诡异的网络不通

为了同时使用 Loon 强大的网络调试、代理能力和 Tailscale 便捷的虚拟内网功能，我尝试在我的 Mac 上同时运行它们。很快，一个诡异的现象出现了：

1. 底层网络是通的：我可以 ping 通 Tailscale 网络中的任何一台设备，例如 ping 100.64.0.1，延迟极低，一切正常。
2. 应用层访问失败：但任何基于 TCP 的应用层访问都宣告失败。例如，使用 curl 访问内网服务 curl https://100.64.0.1:20443，命令会一直卡住，没有任何响应，最终超时。

ping 通 curl 不通，这通常意味着问题出在代理、防火墙或者路由上。一场漫长的排查就此开始。

二、排查

第一阶段：怀疑代理规则

我的第一反应是 Loon 的分流规则出了问题。Loon 作为系统代理，很可能错误地将发往 100.64.0.1 这个内网地址的请求，发送到了公网的代理服务器上。代理服务器不认识这个地址，自然无法连接。

验证：
我查看了 Loon 的请求日志，发现 curl 请求确实被 Loon 捕获了。于是，我在 Loon 中添加了一条本地规则，强制所有发往 Tailscale 网段 100.64.0.0/10 的流量都执行 DIRECT（直连）策略。

然而，添加规则后，问题依旧。curl 请求虽然在日志中显示为 DIRECT，但依然是卡死超时。这说明，问题比想象中更深层。

第二阶段：怀疑服务器与 SNI

既然代理规则没问题，那会不会是服务器端的问题？curl 卡在 TLS 握手阶段，有时与 SNI（服务器名称指示）有关。即服务器要求客户端在握手时提供域名，而我用的是 IP 访问。

验证：
我使用了 curl 的 --resolve 参数，模拟了基于域名的访问：

1curl -kvv --resolve v.yunpiao.site:20443:100.64.0.1 https://v.yunpiao.site:20443

结果，依然是石沉大海，卡死。这基本排除了 SNI 的问题，证明问题根源就在我这台 Mac 的网络层。

第三阶段：回归本源，定位路由冲突 💡

此时，我回到了最基础的网络问题上：路由。数据包到底是从哪个网卡发出去的？

我使用 netstat -nr 查看系统路由表，真相瞬间大白：

1➜  ~ netstat -nr | grep "^100"
2100.64/10          192.168.10.1       UGSc                  en0
3100.64.0.149       100.64.0.149       UH                  utun8

这就是问题的根源！

• 第一条路由（100.64/10 ... en0）的优先级更高，它错误地告诉系统：“所有发往 Tailscale 网络（100.64/10）的数据包，都应该从 en0 网卡（我的 Wi-Fi）发给 192.168.10.1（我的家用路由器）”。数据包就这样被发向了茫茫公网，自然有去无回。
• 而正确的路由，本应是让这些数据包都通过 Tailscale 的虚拟网卡 utun8 发出去。

三、原因：致命的路由抢占

根本原因在于 Loon 和 tailscaled 之间的路由控制权抢占。

tailscaled（Tailscale 的命令行守护进程）在启动时，会向系统路由表里添加一条规则，将 100.64.0.0/10 的流量指向它创建的 utun 虚拟网卡。

然而，Loon 为了实现全局代理，特别是其“TUN 模式”，也会强势接管系统的路由表，添加自己的规则。不幸的是，Loon 添加的全局规则覆盖了 Tailscale 的特定规则，导致了这场冲突。

四、解决办法

临时解决：手动修正路由

最直接的方法就是通过命令行，手动删除错误路由，并添加正确路由。

1. 删除错误路由

   1sudo route delete -net 100.64.0.0/10 192.168.10.1
   

2. 添加正确路由

   1# 注意: utun8 需要根据你的实际情况确定
   2sudo route add -net 100.64.0.0/10 -interface utun8
   

执行后，curl 立刻恢复正常。但这只是临时的，一旦网络环境变化或应用重启，路由可能再次被污染。

最终解决：自动化修复脚本 ✅

为了实现一劳永逸，我编写了一个 Shell 脚本，可以随时执行来检测并修复路由问题。记得配置到 cron 里面

 1#!/bin/bash
 2
 3# 定义命令的绝对路径，防止 command not found
 4NETSTAT_CMD="/usr/sbin/netstat"
 5ROUTE_CMD="/sbin/route"
 6TAILSCALE_CMD="/usr/local/bin/tailscale"
 7IFCONFIG_CMD="/sbin/ifconfig"
 8
 9# 错误网关和目标网络
10BAD_GATEWAY="192.168.10.1"
11TARGET_NET_FULL="100.64.0.0/10" # 如果你要用我的脚本, 你要修改成自己的内网
12TARGET_SUBNET_GREP="^100\.64/10"
13
14echo "Starting Tailscale route fix script..."
15
16# 1. 检查 tailscaled 是否在运行
17if ! pgrep -q tailscaled; then
18    echo "Error: tailscaled is not running. Please start Tailscale first."
19    exit 1
20fi
21
22# 2. 动态获取 Tailscale 的 IP 和 utun 接口
23MY_TAILSCALE_IP=$($TAILSCALE_CMD ip -4)
24if [ -z "$MY_TAILSCALE_IP" ]; then
25    echo "Error: Could not get Tailscale IP address."
26    exit 1
27fi
28echo "Found my Tailscale IP: $MY_TAILSCALE_IP"
29
30GOOD_INTERFACE=$($IFCONFIG_CMD | grep -B1 "$MY_TAILSCALE_IP" | grep -o 'utun[0-9]*')
31if [ -z "$GOOD_INTERFACE" ]; then
32    echo "Error: Could not find a utun interface for IP $MY_TAILSCALE_IP."
33    exit 1
34fi
35echo "Found correct Tailscale interface: $GOOD_INTERFACE"
36
37# 3. 检查并删除错误路由
38if $NETSTAT_CMD -nr | grep -q "${TARGET_SUBNET_GREP}.*${BAD_GATEWAY}"; then
39    echo "Found and deleting incorrect route via $BAD_GATEWAY..."
40    sudo $ROUTE_CMD delete -net $TARGET_NET_FULL $BAD_GATEWAY
41fi
42
43# 4. 检查并添加正确路由
44if ! $NETSTAT_CMD -nr | grep -q "${TARGET_SUBNET_GREP}.*${GOOD_INTERFACE}"; then
45    echo "Correct route is missing. Adding it now via $GOOD_INTERFACE..."
46    sudo $ROUTE_CMD add -net $TARGET_NET_FULL -interface $GOOD_INTERFACE
47else
48    echo "Correct route already exists."
49fi
50
51echo "Route fix script finished."

这个脚本实现了自动化检测和修复，它会自动找到正确的 utun 接口，并确保路由指向它。现在，每当网络出问题时，只需运行一下这个脚本，一切就都恢复了。

五、总结

1. netstat -nr 是网络排查的神器：当遇到底层通（ping）而上层不通（curl）的问题时，第一时间检查路由表，往往能发现线索。
2. 警惕网络工具的路由控制权：多个 VPN 或代理类应用共存时，极易发生路由冲突。理解它们的工作模式（系统代理 vs TUN/虚拟网卡）至关重要。
3. 将解决方案脚本化：对于需要重复操作的修复步骤，编写一个脚本可以极大地提高效率和准确性，是每个工程师都应具备的好习惯。

😧 稀奇古怪的 bug 怎么这么多, 还好是一个前人遇到过的, 如果我是第一个发现的, 估计美好的周五晚上就没有了

1. 背景

即将下班的周五下午 5 点, 运维不合时宜的甩给我了一个图片, 这次好一些, 加了一段文字, 说用户做了下迁移, 然后发现服务启动后 redis 服务异常, 卸载重装大法也不好使,
redis ha 使用 helm 部署的时候, 只有一个正常, 剩下的两个 redis pod 启动后无法连接到 master 的 redis pod.

环境说明

• 公司私有化部署到客户的 k8s 环境 v1.26
• 使用 redis-ha 部署 redis, 哨兵模式

2. 现象

• slave 的 redis pod 连接 redis 的时候使用 dns 解析的 redis cluster ip 有问题, 还是上一版本的 redis services ip

3. 逐步排查

起初怀疑是 dns 的问题, dns 记录没有更新,

新建 service 后 cluster ip 更新没有问题, 可以判断不是 dns 的问题

逐步检查 k8s 组件

检查到 kube proxy 节点的日志的之后, 发现日志中有错误, 发现节点上找不到 conntrack ipset 二进制文件, 原先设置的 ipvs 模式降级到了 iptables 模式了

conntrack ipset 二进制缺失

本来是没啥问题, iptables 就 iptables 吧, 毕竟服务没多少个, 性能是没啥问题的, 不过既然遇到了就先解决下
从其他地方拷贝 conntrack ipset 二进制后重启 kube-proxy. ipvsadm 检查后发现正常了

重启后发现报错变了, 一条日志占了半屏, 后面还有其他错误日志没发现, 这个错误消除后, 发现了可以定位 bug 的日志

兄弟们, 有时候就是这样, 你只看到了错误日志, 你以为找到了解决问题的金手指 但其实你看到的是个烟雾弹

1I1113 16:15:07.928773 1 proxier.go:1464] "Reloading service iptables data" numServices=0 numEndpoints=0 numFilterChains=4 numFilterRules=3 numNATChains=4 numNATRules=5
2E1113 16:15:07.931291 1 proxier.go:1481] "Failed to execute iptables-restore" err=<
3exit status 2: ip6tables-restore v1.8.4 (legacy): unknown option "--xor-mark"
4Error occurred at line: 16
5Try `ip6tables-restore -h' or 'ip6tables-restore --help' for more information.
6>
7I1113 16:15:07.931308 1 proxier.go:858] "Sync failed" retryingTime="30s"
8I1113 16:15:07.931317 1 proxier.go:820] "SyncProxyRules complete" elapsed="22.67239ms"

看到第一反应, unknown option "--xor-mark" iptables 版本太老的, 不支持这个命令, 或者 mod 没加载, 检查了一遍, 发现版本也是新的, ko mod 也加载了, 神奇, 而且日志中提示使用的确实是 1.8.4 版本的 iptables. 真见鬼了 兄弟们

随后我想着会不会就这样的呢? 这个看着是个 error, 其实是个 warning 呢? 毕竟服务连接 es 这些是正常的啊

反思, 不正常, 十分有十二分的不正常

回到问题原点

1. 部署 redis
2. redis-master 启动没有问题
3. redis-slave1 启动没有问题
4. redis-slave2 启动故障, 连接 master 提示超时,
5. 登录到 slave2 机器上发现 telnet 确实不通, 查看 ipvs 确实没有条目, 确实是这个直接原因

分析, slave1 可以通过 cluster 连接到 redis master, slave2 发现连接不上, 首先证明 master 是没问题的, 还是 ipvs 条目创建的问题, ipvs 是由 kube proxy 直接管理的, 问题还是在 kubeproxy

6. 尝试将业务服务移动到 master 试一下, 因为出现问题的都在两台 worker 节点上,
7. 将这两台机器 cordon 后, 删了业务 pod
8. 原先启动报错连接不到 redis, 移动后可以正常启动了
9. 检查现在移动到的这个节点和之前有问题的节点有什么不一致的
10. 部署服务全部都是一致的, 但是正常机器是没有报 ip6tables-restore 这个错误的
11. 不经意对比到内核版本的时候发现问题了

找到一个十分像问题点的不同, 内核版本有差别

4. 定位原因

google 大法

unknown option “–set-mark” 发现确实好像有些眉目额, 难道就是内核的 bug 吗 ?

确实是的, 内核的锅, 上一年 12 月, 也算是一个新鲜的 bug, 这种事为什么发生在我身上, 我是易 bug 体质吗?

根本原因（Root Cause）：一个有缺陷的内核提交

报告中明确指出了导致这个问题的“罪魁祸首”：一个特定的内核提交（commit）。

• Commit ID: 862c95d9859f
• Commit 标题: netfilter: xt_mark: reject MARK target with mask
  这个提交的意图本来是好的，但实现是错误的。
• 原本的意图： 该提交的作者可能想要增加一个检查，以防止用户设置一个无效的 mark/mask 组合。例如，–set-mark 0x10/0x1 就是无效的，因为 mark 的值 (0x10) 中包含的位超出了掩码 (0x1) 的范围。
• 错误的结果： 然而，代码的实现过于“激进”和简单粗暴，它直接禁止了所有使用掩码的 MARK 目标，无论这个组合是否有效。这破坏了一个已经存在了很长时间并且被广泛使用的合法功能。
  这是一个典型的回归 Bug (Regression Bug)：为了修复或改进某个东西而引入的新代码，却意外地破坏了另一个原本正常工作的功能

影响范围

这个 Bug 的影响非常广泛，因为它从内核层面直接禁用了 MARK 目标的一个核心功能。

• Kubernetes (K8s): kube-proxy 在 IPVS 模式下严重依赖 –set-mark 0x4000/0x4000 这样的语法来标记需要做 SNAT 的流量。当内核拒绝这条规则时，kube-proxy 的同步循环就会失败，导致其陷入 CrashLoopBackOff。
• Tailscale: 正如报告中提到的，Tailscale 也使用类似的规则来标记流量，因此也会在这个有问题的内核版本上运行失败。
• 其他网络软件: 任何依赖 iptables mark 掩码功能的防火墙脚本、网络工具或 CNI 插件都会受到影响。
• 受影响的系统:
  • Ubuntu 24.04 (Noble Numbat)，因为它默认搭载了受影响的 Linux 6.8 内核。
  • Ubuntu 22.04 LTS (Jammy Jellyfish) 等旧版本，如果用户安装了 HWE (Hardware Enablement) 内核，内核版本也会升级到受影响的版本，从而引入这个问题。

5. 分析日志出错点

 1	// --------------------------------------------------------------------------
 2	// 应用变更到系统
 3	// --------------------------------------------------------------------------
 4
 5	// 将内存中 `activeEntries` 的变更同步到 ipset 内核中。
 6	// 这个函数会计算差异，并调用 `ipset` 命令来添加或删除条目。
 7	for _, set := range proxier.ipsetList {
 8		set.syncIPSetEntries()
 9	}
10
11	// 为 ipset 生成相关的 iptables 规则 (例如，匹配 ipset 的规则)。
12	proxier.writeIptablesRules()
13
14	// 准备最终的 iptables-restore 数据。
15	proxier.iptablesData.Reset()
16	proxier.iptablesData.Write(proxier.natChains.Bytes())
17	proxier.iptablesData.Write(proxier.natRules.Bytes())
18	proxier.iptablesData.Write(proxier.filterChains.Bytes())
19	proxier.iptablesData.Write(proxier.filterRules.Bytes())
20
21	klog.V(5).Infof("Restoring iptables rules: %s", proxier.iptablesData.Bytes())
22	// 这是整个 iptables 同步过程中最核心的原子操作。
23	// 所有之前在内存中构建好的 iptables 规则（存储在 proxier.iptablesData 中）
24	// 通过 `iptables-restore` 命令一次性、原子地应用到系统中。
25	// `utiliptables.NoFlushTables` 选项告诉 `iptables-restore` 不要清除表中已有的、非 kube-proxy 管理的规则。
26	err = proxier.iptables.RestoreAll(proxier.iptablesData.Bytes(), utiliptables.NoFlushTables, utiliptables.RestoreCounters)
27	if err != nil {
28		klog.Errorf("Failed to execute iptables-restore: %v\nRules:\n%s", err, proxier.iptablesData.Bytes())
29		// 如果 iptables-restore 失败，需要回滚新打开的端口，以避免资源泄漏。
30		utilproxy.RevertPorts(replacementPortsMap, proxier.portsMap)
31		return
32	}

6. 解决方法

由于我没有直接接触客户, 不过用脚趾头想了下, 用户说的迁移, 其实是偷偷升级了 linux 内核, 但是升级操作还不统一, 小版本不一致, 所以造成了 master 的内核是好的, worker 节点的内核是 bug 版本的
反馈给客户了, 让用户升级内核解决了

参考链接

https://github.com/rancher/rke2/issues/7438
https://bugs.launchpad.net/ubuntu/+source/linux/+bug/2091990
https://github.com/kubernetes/kubernetes/blob/v1.14.10/pkg/proxy/ipvs/proxier.go#L721

怎么稀奇古怪的问题都被我遇到啊 😧

一、现象：诡异的内存增长

最近，观察到一个奇怪的现象：在用户私有化部署环境中, longhorn-manager pod 所在的节点内存使用率会持续飙升，最终达到 100%，导致节点和 longhorn-manager 本身无响应。

通过 top 和 ps 等工具深入排查，发现节点上出现了大量的 rpm -q iscsi-initiator-utils 进程。这些进程不断累积，似乎在等待某个锁或资源，最终耗尽了所有可用内存。

从 longhorn-manager 的日志中，可以看到类似以下的错误信息，显示 rpm 命令执行超时或失败，并伴随着数据库损坏的错误。

time="2024-12-19T12:35:56Z" level=debug msg="Package nfs-utils is not found in node xxx" func="controller.(*NodeController).syncPackagesInstalled" file="node_controller.go:997" controller=longhorn-node error="failed to execute: /usr/bin/nsenter [nsenter --mount=/host/proc/3013255/ns/mnt --net=/host/proc/3013255/ns/net rpm -q nfs-utils], output package nfs-utils is not installed\n, stderr error: rpmdb: BDB0113 Thread/process 667765/140606332983168 failed: BDB1507 Thread died in Berkeley DB library\nerror: db5 error(-30973) from dbenv->failchk: BDB0087 DB_RUNRECOVERY: Fatal error, run database recovery\nerror: cannot open Packages index using db5 - (-30973)\nerror: cannot open Packages database in /var/lib/rpm\nerror: rpmdb: BDB0113 Thread/process 667765/140606332983168 failed: BDB1507 Thread died in Berkeley DB library\nerror: db5 error(-30973) from dbenv->failchk: BDB0087 DB_RUNRECOVERY: Fatal error, run database recovery\nerror: cannot open Packages index using db5 - (-30973)\nerror: cannot open Packages database in /var/lib/rpm\n: exit status 1" node=xxx

显然，longhorn-manager 正在持续、高频地调用 rpm -q 来检查软件包的安装状态，而这个操作在高并发下导致了宿主机的 RPM 数据库损坏和进程挂起。

二、排查：追根溯源

问题的关键在于定位 longhorn-manager 为何如此频繁地执行 rpm 查询。

通过分析 GitHub 上的相关 Issue 和社区讨论，发现 Longhorn 的 node_controller 中有一个名为 syncPackagesInstalled 的环境检查函数。 这个函数的设计初衷是定期确认每个节点上是否安装了 Longhorn 运行所必需的依赖包，例如 iscsi-initiator-utils, nfs-utils, cryptsetup 等。

在之前的版本中，它的实现方式是直接调用宿主机系统的包管理器（如 rpm 或 dpkg）来查询包是否存在。 这种方式虽然直接，但存在几个致命缺陷：

1. 性能开销大：每次查询都需要与包管理器的数据库进行交互，这是一个相对较重的操作。
2. 锁竞争：当 longhorn-manager 高频发起检查，或者宿主机上同时有其他进程（如 dnf-automatic）在操作 RPM 数据库时，很容易引发锁竞争，导致进程挂起。
3. 可靠性差：一旦 RPM 数据库因任何原因出现问题，这种检查机制就会完全失效，并可能加剧数据库的损坏，形成恶性循环。

在的案例中，正是这种“重量级”的检查机制，导致了大量 rpm 进程堆积，最终耗尽系统资源。

三、原因：不恰当的依赖检查方式

根本原因在于 Longhorn 使用了一种不恰当的方式来验证依赖项的可用性。

Longhorn 实际上关心的不是“软件包是否被 RPM 数据库记录为已安装”，而是“其功能所需的二进制文件是否存在且可执行”。例如，它需要的是 iscsiadm 这个命令，而不是 iscsi-initiator-utils 这个包名本身。

直接查询包管理器是一种间接且脆弱的验证方法。更健壮、更轻量的方式应该是直接检查所需命令是否存在于系统的 PATH 中。

还有其他原因
longhorn 里面没有设置默认的资源限制, 私有化部署的时候也没有限制, 倒是一个 pod 打垮一个节点
rpm 的问题, rpm 的调用并不是特别高频, 但是 rpm 的 db 出现了问题, 说明 rpm 太脆弱了

四、解决办法

社区解决办法

社区和开发人员也意识到了这个问题，并迅速给出了解决方案。在最新的代码提交中，Longhorn 彻底改变了依赖检查的逻辑。

新的实现方式摒弃了对 rpm, dpkg 等包管理器的直接调用，转而使用更简单、更高效的 command -v <executable> 命令来检查所需的可执行文件是否存在。

这个修复已经通过 Pull Request 合并，并计划在后续版本（如 v1.7.3 和 v1.8.0）中提供。

线上解决方法

客户那边是私有化部署, 所以并不能直接升级

临时解决

rpm --rebuilddb 修复受损的 rpm db 数据

后续优化

部署包升级到 longhorn 版本到 1.7.3

五、总结

• 不要相信任何的开源包, 一定要设置资源的内存限制
• 遇到的技术问题, 大部分前人已经遇到过了, 出了问题先找 issue, 可能就是一个已知 bug
• 即使是小的命令 hang 泄露, 也会堆积占用大量的内存

整天 vibe coding , 怎么能不稍微了解下这个神奇的生成是怎么实现的呢

如果一个程序员不再亲自编写每一行代码，他还是程序员吗？这个问题在 AI 生成内容（AIGC）浪潮下显得尤为尖锐。然而，一个长期存在于软件工程领域的共识是：编写代码本身，从来都不是项目的真正瓶颈。真正的瓶颈过去是，现在依然是，代码审查、知识转移、测试调试，以及由此带来的巨大沟通协调开销。

大语言模型（LLM）的出现并没有消除这些工作，而是将开发者的核心工作负载，从“编写”这个动作，戏剧性地转移到了“审查与维护”之上。正如行业一句名言所说：“代码最大的成本在于理解它，而不是编写它。” 本文将深入拆解驱动这一切的 Transformer 架构，剖析其工作原理，并探讨开发者在新时代下必须掌握的生存法则。

1. 工作模式的转变：从创作者到审查官

长期以来，程序员的价值被粗略地等同于代码产出量。但所有资深工程师都明白，真正的挑战在于构建一个易于理解、维护和扩展的系统。LLM 作为代码生成器，极大地加速了“写”的过程，但这仅仅是第一步。

开发者的新角色，更像是一个经验丰富的项目总监或首席审查官。我们的任务变成了：

1. 精确定义问题：向 AI 清晰地描述需求和边界条件。
2. 审查生成结果：快速甄别 AI 生成代码中的逻辑漏洞、安全隐患和性能瓶颈。
3. 调试与整合：将 AI 生成的模块放入现有系统中，并解决由此产生的兼容性与集成问题。
4. 指导与优化：通过反馈和调整（例如对模型进行微调或打补丁），持续提升 AI 的产出质量。

本质上，AI 成为了一个能力极强但经验不足的初级程序员，而我们的价值，则体现在利用自身深厚的经验和系统性思维来驾驭它。

2. 技术基石：深入理解 Transformer 架构

要理解这场变革的底层逻辑，我们必须深入拆解驱动现代 LLM 的核心技术——由 Google 在 2017 年提出的 Transformer 架构。

2.1 历史性跨越：从 RNN 到 Transformer

在 Transformer 出现之前，RNN（循环神经网络）在处理序列数据时存在一个致命缺陷：长期依赖问题。随着序列变长，梯度在反向传播中容易消失或爆炸，导致模型“遗忘”掉早期的重要上下文。

Transformer 架构用一个看似暴力的方式解决了这个问题。它放弃了 RNN 的顺序处理模式，通过 Attention（注意力）机制让模型可以直接关注输入序列中的任意部分。代价是什么？一个巨大的、昂贵的二次方复杂度计算问题 (O(N2))。这意味着上下文窗口的长度（N）每增加一倍，计算量和内存占用就会增加四倍。

尽管代价高昂，但这次权衡是革命性的：Transformer 用一个巨大的计算问题，换掉了 RNN 那个难以解决的“记忆衰退问题”。

2.2 第一步：将语言转化为向量 (Tokenization & Embedding)

模型无法直接理解文本。它的第一步是将文本转化为数字。

1. 分词 (Tokenization)：GPT 等模型采用**字节对编码（Byte Pair Encoding, BPE）**算法。该算法迭代地将语料库中出现频率最高的相邻字符对合并成一个新的、更长的单元（token），直到达到预设的词汇表大小。最终，GPT 看到的不是一句话，而是一个由数字 ID 组成的序列，例如 [1234, 56, 789]。
2. 词嵌入 (Embedding)：每个 token ID 都对应一个高维向量，即“词嵌入”。这个向量（在 GPT-3 中高达 12288 维）从一个巨大的嵌入矩阵中查找得到。初始时，它只包含该 token 的孤立语义信息，就像字典里的词条。著名的 women - man ≈ queen - king 关系，就体现在这些向量的方向与距离上。
3. 位置编码 (Positional Encoding)：为了让模型知道词的顺序，一个代表位置信息的向量会被加到词嵌入上。巧妙的是，这个位置编码是固定生成的，在模型训练时不会被反向传播更新。

2.3 核心引擎：注意力机制 (Attention is All You Need)

词嵌入本身是静态的、无上下文的。例如，“mole”可以是“鼹鼠”，也可以是“间谍”。Transformer 的核心目标，就是通过注意力机制，让这些静态的词嵌入动态地融入上下文信息。

注意力机制的本质，是一个信息筛选和加权的过程，其核心是为每个输入向量生成三个新的、维度更小的向量：

• Query (Q) 查询向量：由每个词的嵌入（乘以一个权重矩阵 Wq）生成。它代表当前词“希望寻找”什么样的上下文信息。可以理解为它发出的一个问题：“为了明确我的含义，谁和我最相关？”
• Key (K) 键向量：同样由每个词的嵌入（乘以 Wk）生成。它代表该词能够“提供”什么样的信息以响应查询。可以理解为每个词给自己贴的“内容标签”。
• Value (V) 值向量：同样由每个词的嵌入（乘以 Wv）生成。它代表该词在被关注后，实际要贡献出的信息内容。

计算过程如下：

1. 用一个词的 Query 向量与序列中所有词的 Key 向量进行点积计算，得到一组相关性分数。
2. 这些分数通过 Softmax 函数，被归一化为一个总和为 1 的概率分布，即“注意力权重”。这决定了当前词应该对其他词投入多少“注意力”。
3. 最后，将这些权重与每个词对应的 Value 向量相乘再求和，得到一个加权平均后的向量。
4. 将这个融合了全局上下文信息的向量，加回到原始的词嵌入上，就完成了一次信息的更新。

通过这个过程，词与词之间可以直接传递信息，即便相隔很远，从而解决了多义性问题，让词向量从静态变为动态。

2.4 多维视角：多头注意力机制 (Multi-Head Attention)

单次注意力计算（单头）只能学习一种类型的上下文依赖关系。为了让模型能同时捕捉多种不同类型的关系（如语法结构、语义关联、指代关系等），Transformer 采用了多头注意力机制。

它并行运行多个独立的注意力“头”，每个头都拥有自己独立的 WQ, WK, WV 权重矩阵，在不同的表示子空间中学习。例如，GPT-3 在每个注意力模块中使用了 96 个独立的注意力头。所有头的输出结果最终会被合并，并通过一个输出矩阵 Wo 整合成一个单一的向量，传递给下一层。

2.5 完整架构：堆叠层与前馈网络

一个完整的 Transformer 模块（或称“层”）由两部分组成：

1. 一个多头注意力模块。
2. 一个简单的全连接前馈神经网络（Feed-Forward Network, FFN/MLP）。

数据流经注意力模块进行信息融合，再流经 FFN 进行非线性变换。GPT-3 这样的庞大模型，就是将这样的层级结构堆叠了 96 次。数据在其中反复流动，层层深入地提炼和编码信息。模型的绝大部分参数（约三分之二）都位于 FFN 中，而注意力机制的参数约占三分之一，但其计算量是核心瓶颈。

3. 从训练到推理：揭秘 GPT 的工作流

理解了底层架构，我们再来看看模型是如何学习和工作的。

3.1 训练：在海量数据中“涌现”智能

模型的训练目标极其单纯：基于前面的文本，预测下一个最有可能出现的词。

其训练过程是一个不断循环的闭环：

1. 前向传播 (Forward Pass)：将一段文本输入模型，计算出下一个词在整个词汇表上的概率分布。
2. 计算误差 (Compute Loss)：将模型预测的概率分布与真实文本中的下一个词进行比较，计算出“误差”或“损失”。
3. 反向传播 (Backward Pass)：根据误差，通过链式法则计算出每个参数（WQ, WK, WV 等）对误差的贡献程度（梯度）。
4. 微调参数 (Update Parameters)：沿着梯度的反方向，微小地调整所有参数，使模型下一次的预测更接近真实答案。

这个“前向传播 → 计算误差 → 反向传播 → 微调参数”的循环，会在一个巨大的文本语料库上重复数万亿次。最终，词向量的“语义”不是被设计出来的，而是在完成“预测下一个词”这个简单任务的过程中，作为副产品，自动地、统计地“涌现”出来的。

3.2 推理：自回归式的文本生成

训练完成后，模型就进入了只进行前向传播的推理（Inference 阶段。其连续生成文本的方式是自回归（Autoregressive的：

模型进行一次完整的计算来预测一个词，然后把这个新预测的词当作已知信息“吃”回去，并扩充自己的输入，再进行下一次完整的计算来预测下一个词。这个过程就像一个不断向前滚动的雪球，一步步地构建出完整的句子。

具体来说，预测下一个词的关键，是使用输入序列中最后一个词的最终输出向量。这个向量经过最终的变换层，会输出一个覆盖整个词汇表的概率分布，模型从中选择一个词作为输出。

3.3 输出控制：温度 (Temperature) 与 Top-K

为了控制生成文本的创造性，通常会引入两个参数：

• 温度 (Temperature)：在应用 Softmax 之前，用一个温度值来缩放原始的概率分数。
  • 温度趋近 0：放大最高概率词的优势，生成结果确定性高，但可能重复乏味。
  • 温度 > 1：使概率分布更平缓，增加随机性，生成结果更有创造性，但也更容易出现逻辑错误。
• Top-K / Top-P (Nucleus) 采样：限制模型只能从概率最高的 K 个词或累积概率达到 P 的词中进行抽样，以此截断长尾，防止选到不合逻辑的低概率词。

3.4 记忆的实现：多轮对话

实现多轮对话的原理非常直接：将上一轮的问答（Q&A）内容，全部拼接到当前这一轮的输入中，形成一个更长的上下文，然后让模型基于这个完整的历史记录进行预测。这再次凸显了**上下文窗口（Context Window）**作为模型“工作记忆”的核心地位和局限性。

4. 新时代的生存法则：开发者的新技能图谱

面对如此强大的工具，与其焦虑，不如主动升级自己的技能树。

1. 专注于 AI 难以替代的领域

将精力投入到高层次、创造性的工作中：

• 复杂系统设计与架构：权衡各种约束、设计可扩展、高可用的系统。
• 技术创新：提出全新的解决方案和范式。
• 底层原理理解：深入掌握操作系统、网络、Go 底层等，进行极致的性能优化和问题排查。

2. 掌握上下文工程（Context Engineering）

AI 领域的新核心技能不是提示词，而是上下文工程。这意味着开发者需要像架构师一样，精心设计提供给模型的整个信息环境。用好 AI Agent 本身就是一个复杂的工程项目。

3. 提升代码阅读与调试的优先级

既然“写”的比例下降，“审”的比例上升，那么快速读懂、理解并调试陌生代码（尤其是 AI 生成的代码）的能力就变得至关重要。

4. 建立批判性思维：信任理解，质疑推理

这是一个重要的心智模型：信任大模型对输入信息的理解和概括能力，但必须严格质疑它的多步逻辑推理和最终结论。必须警惕“会说话就能解决所有问题”的误区，工程实践的严谨性与逻辑深度无可替代。

5. 总结：重新定义“程序员”

回到最初的问题：一个不怎么写代码的程序员，还是程序员吗？
答案是肯定的，但“程序员”的定义正在被重塑。
未来的程序员，将不再是单纯的代码工匠，而是手持 AI 这把神兵利器的领域专家和问题解决者。我们的核心价值，在于利用人类独有的系统性思维、批判性分析能力和对最终产品质量的绝对责任感，去引导、驾驭和整合 AI 的强大生产力。
与其担心被替代，不如拥抱这场变革。从“写”到“审”的转变，不是价值的削弱，而是认知价值的升华。

核心理念：文档是写给别人看的，更是为了未来的自己。

在任何一个技术团队中，文档的重要性不言而喻。它不仅仅是项目的记录，更是知识传承、团队协作和效率提升的基石。缺乏规范的文档管理，会导致知识孤岛、新人上手困难、项目交接混乱、问题排查耗时等一系列问题。

本文将分享一套我们团队在实践中总结出的技术文档管理体系，旨在为不同规模的研发团队提供一个清晰、可落地的参考框架。

一、 文档分类总览：为知识建立索引

我们将团队的所有技术文档归纳为五大类，每一类都有其明确的定位和价值。

1.1 How-To 指南 (Tutorials)

这类文档是团队的“快速上手手册”，旨在帮助成员快速搭建环境、使用公共组件。它们是消除重复性提问、提升团队自服务能力的利器。

• 示例：
  • 《本地开发环境搭建指南 (Go/Python/Node.js)》
  • 《公司内部私有仓库 (Registry) 使用方法》
  • 《如何一键部署个人测试环境》
  • 《K8s 集群基础入门与配置》

1.2 业务介绍文档 (Business Context)

技术最终服务于业务。这部分文档帮助研发人员理解“我们为什么要做”，建立业务全局观，确保技术方案与业务目标对齐。通常由产品经理（PM）或技术负责人（TL）主导维护。

• 目标：同步业务背景，拉齐团队认知。
• 示例：
  • 《核心产品 X v2.0 介绍》
  • 《核心产品 X 业务白皮书》
  • 《某某解决方案商业价值分析》

1.3 功能与系统设计文档 (Core Engineering Docs)

这是研发团队最核心、最高频维护的文档库。它记录了一个功能从需求到落地、再到维护的全过程。我们建议按功能模块建立子目录，形成结构化的知识库。

• 目标：沉淀技术细节，支撑开发、迭代与维护。
• 示例：
  • 系统设计/用户身份认证模块
  • 系统设计/数据处理引擎
  • 系统设计/全局配置中心
  • 系统设计/API 网关接入方案

1.4 服务部署文档 (Deployment)

这类文档关注服务的生命周期管理，确保软件可以被顺畅、可靠地发布和运维。

• 目标：标准化发布流程，降低部署风险。
• 示例：
  • 《v1.3.0 版本发布操作手册 (Release Note & SOP)》
  • 《服务容器化打包规范》

1.5 问题排查知识库 (Troubleshooting KB)

将线上线下遇到的典型问题及其解决方案记录下来，形成团队的“集体记忆”。这是从被动救火到主动预防的关键一步。

• 目标：加速问题定位，共享排查经验。
• 示例：
  • 2023-10-24-某功能白名单不生效问题排查复盘
  • 2023-11-15-客户端 Agent 离线问题分析指南

二、 深入剖析：如何写好一份“功能与系统设计文档”

“功能与系统设计文档”是整个体系的重中之重。一份好的设计文档，能让团队成员在任何时候都能快速理解模块的全貌。我们将其进一步细分为七个子文档，每个子文档面向不同读者，侧重点各不相同。

2.1 需求理解文档

• 面向对象：研发（RD）、技术负责人（TL）、产品经理（PM）
• 核心内容：
  • 背景介绍：回答“为什么要做这个功能？” 它的业务价值和要解决的核心痛点是什么？
  • 关联文档：附上相关的原始需求文档、客户标书、第三方 API 文档等。
  • 功能列表 (Feature List)：清晰地列出本功能/系统包含的所有功能点。

2.2 技术难点分析文档

• 面向对象：研发（RD）、技术负责人（TL）
• 核心内容：这份文档用于识别和攻克技术瓶颈，是项目排期和风险评估的重要依据。
  • 技术预研：针对团队成员不熟悉的技术或场景，进行的前置调研和论证。
  • PoC (Proof of Concept)：记录关键技术点的原型验证过程与结论。
  • 示例：
    • 《调研：如何在 K8s Pod 内获取真实的客户端 IP》
    • 《方案对比：单端口复用多种四层协议的技术实现》

2.3 方案设计文档 (⭐️⭐️⭐️ 核心基石)

• 面向对象：研发（RD）、技术负责人（TL）
• 核心内容：这是最重要、最需要频繁维护的文档，详细记录了系统的技术实现方案。对于复杂系统，建议将以下各项拆分为独立文档。
  1. 数据库设计：
     • 详细的表结构定义（字段、类型、索引、注释）。
     • 非关系型数据库（如 Redis, MongoDB）的 Key 设计、文档结构等。
  2. API 接口设计：
     • 可以使用 Swagger/OpenAPI 等工具管理，但建议在此记录每次迭代的接口变更日志，方便协作方快速了解变化。
     • 文件名示例：2023-10-25-导出接口字段更新-v1.3.md
  3. 服务流程说明：
     • 架构图/流程图：使用图表清晰地展示数据流、控制流和模块间的交互关系。
     • 详细逻辑阐述：用文字对流程图中的关键路径和复杂逻辑进行补充说明。
  4. 监控与告警设计 (Metrics)：
     • 服务需要暴露哪些可观测性指标 (Metrics)？
     • 如何定义告警规则和阈值？
  5. 日志设计：
     • 定义结构化日志的格式和关键字段。
     • 说明日志的存储策略、生命周期等。

2.4 功能使用说明文档

• 面向对象：产品经理（PM）、客户、测试（QA）、运维（Ops）
• 核心内容：用通俗易懂的语言，一步步地指导用户如何使用本功能。避免使用过多的技术术语。
  • 示例：
    • 《如何在 Windows Server 上安装 Agent》
    • 《三步教你创建一条全局白名单规则》

2.5 问题排查指南 (F.A.Q)

• 面向对象：研发（RD）、技术负责人（TL）、技术支持
• 核心内容：以“现象-原因-解决方案”的结构，列出该模块可能出现的常见问题及其处理方法。
  • 示例：
    • 现象：无法创建“蜜罐账户”。
    • 可能原因 1：目标域控服务器的 LDAP 端口未开放。
    • 解决方案 1：在服务器防火墙上添加入站规则，放行该端口。
    • 可能原因 2：网络策略限制了应用服务器到域控的连接。
    • 解决方案 2：联系网络管理员，申请开放相关网络访问策略。

2.6 环境搭建与配置文档

• 面向对象：研发（RD）、技术负责人（TL）、运维（Ops）
• 核心内容：说明本模块/服务如何独立编译、启动和配置。
  • 编译构建命令。
  • 配置文件（config.yaml）中每个参数的详细说明。
  • 服务启动/停止脚本。

2.7 系统压测与性能分析文档

• 面向对象：研发（RD）、技术负责人（TL）、运维（Ops）
• 核心内容：展示系统的性能基线，为容量规划和性能优化提供数据支持。
  • 压测报告：包括 QPS、延迟、CPU/内存使用率等关键指标。
  • 压测工具和脚本的使用说明。
  • 性能瓶颈分析与调优记录。

三、 文档编写的最佳实践 (Golden Rules)

好的工具和框架需要好的习惯来配合。以下是一些我们推荐的文档编写建议：

1. 简洁至上：语言力求简洁明了，避免直接复制粘贴大段网络文章，应提炼和总结。
2. 善用图表：一张清晰的流程图、架构图胜过千言万语。
3. 版本化思维：
   • 文档标题前缀建议加上日期（如 2023-10-25-），方便识别时效性。
   • 针对迭代的功能更新，建议新建文档，而不是直接在旧文档上修改，以保留历史版本。
4. 建立连接：在文档末尾附上相关链接，将分散的文档串联成知识网络。
5. 代码片段辅助：在解释核心逻辑时，可以贴入关键的伪代码或真实代码片段，但要避免大段代码刷屏。
6. 契约精神：对外（前端、其他团队）提供的文档（尤其是 API 文档）是团队间的“契约”，任何修改都必须及时通知所有相关方。
7. 定期回顾：文档的价值在于其准确性。定期回顾和更新自己负责的文档，使其与代码和业务保持同步。

结语

建立一套完善的文档体系并非一朝一夕之功，它需要团队负责人推动，并融入到每个成员的日常工作中，最终形成一种文化。这套体系看似增加了“额外”的工作，但从长远来看，它带来的沟通效率提升、知识有效沉淀、团队稳定性增强等收益，将远远超过投入的成本。

现在想起这个项目, 当时的我真是个天才, 对机器学习和深度学习分类出来的恶意模型, 进行自动分类, 再也不用一条一条分析日志了

详细步骤

1. 数据源:
   • 原始流量日志。
2. 初级检测 (深度学习):
   • 原始数据首先经过一个深度学习模型进行快速筛选。
   • 输出包括：所有流量的预测结果、仅恶意流量、以及初步报告。
3. 综合检测 (混合模型):
   • 原始数据被一个更复杂的模型处理，该模型融合了机器学习 + 传统规则 + 深度学习的预测结果。
   • 这是系统的主力检测环节，产出更精确的综合性结果。
4. 无监督聚类与模式发现:
   • 综合检测后的恶意流量，会进入一个聚类分析流程（这与您之前提供的PySpark代码高度吻合）。
   • 目的是将相似的攻击自动归类，发现未知的攻击模式。
5. 行为分析 (扫描与爬虫检测):
   • 这是一个并行的分析流水线，它不只看单条请求，而是分析连续流量特征。
   • 专门用于识别大规模扫描、爬虫、以及特定时间段内的恶意活动。
6. 人工校验与模型优化:
   • 聚类结果会由安全分析师进行人工校验。
   • 校验结果（manual_report）和修正集（rec）会反哺给模型，形成一个闭环，让模型越来越准。
7. 最终报告:
   • 系统最终产出两类核心报告：给技术分析师的聚类报告和给管理层的态势感知报告。

项目结构与流程总结

一、 项目概述

本项目旨在构建一个智能化的恶意流量检测与分析系统。该系统不仅能识别已知的攻击模式，更核心的是具备增量学习和自我演进的能力，能够应对不断变种的恶意流量。项目通过结合机器学习（聚类分析）和数据挖掘（关联规则）技术，实现从海量流量中自动化地发现新攻击模式、提取检测规则，并最终反哺检测引擎，形成一个闭环优化的生态系统。

同时，项目还深入到连续流量行为分析层面，通过定义攻击生命周期的不同阶段，从宏观和动态的视角对扫描、注入、Webshell、僵尸网络等复杂攻击行为进行态势感知和深度识别。

二、 核心流程与方法论

项目的核心流程可概括为一个**“发现-分析-提取-增强”**的闭环。

1. 模式发现 (聚类分析)

   • 挑战: 恶意流量的Payload（攻击载荷）会不断产生变体，但其核心模式通常在一定范围内。
   • 方法: 首先，利用 word2vec 模型将文本化的流量数据转换为高维向量。然后，采用 Kmeans 等聚类算法对这些向量进行无监督聚类。
   • 产出: 将海量的、看似杂乱的恶意流量划分为若干个高度内聚的类别。每个类别代表一种或一类相似的攻击模式集合。

2. 规则提取 (关联性分析)

   • 目标: 从每个聚类簇中，自动化地提取出能够精确描述该类攻击的“最小特征集”或“频繁项规则”。
   • 方法: 在每个聚类簇内部，应用频繁项挖掘算法（如Apriori或FP-Growth），找出Payload中频繁出现的组合模式。
   • 产出: 一系列高置信度的攻击规则，可直接用于检测。

3. 引擎增强与模型迭代

   • 流程: 将新提取的频繁项规则加入到现有的检测引擎中，提高检测系统的覆盖面和准确率。
   • 闭环: 同时，将每个簇中的典型攻击样本回传给上游的分析模型，作为新的训练数据，从而增强模型对新变种的识别能力，完成一次增量更新。

三、 当前进展与数据洞察

1. 流量态势分析:
对约 6xxx万 条总流量的初步分析显示：

• 恶意流量总量为 3xx万，整体占比为 5.34%。
• 不同节点（如S1, S4, S7）的恶意流量占比存在显著差异（从2.99%到7.65%不等），表明攻击流量在网络中分布不均，可能存在重点攻击目标或来源。

2. 恶意流量构成分析 (以S1, S7节点为例):

• SQL注入是绝对主流的攻击类型，在S1和S7节点的恶意流量中占比分别高达 57.7% 和 52.7%。
• Struct2漏洞 和 XSS攻击 同样占据重要比例，是需要重点关注的攻击向量。
• 该数据明确了当前分析和防御的优先级。

3. 聚类效果验证:
已成功将流量样本聚类成50个类别，初步观察显示，各类内部的流量样本在攻击手法上表现出高度相似性，证明了**“word2vec + Kmeans”**技术路径在自动化发现攻击模式上的有效性。

四、 连续流量行为分析 (重点分析方向)

为实现更深层次的威胁识别，项目将分析视角从“单条流量”扩展到“连续行为”，并定义了两类特征集：

• 单条特征集 (静态特征): Payload的静态特点，用于识别攻击类型（如SQL注入、Webshell）。
• 统计特征集 (动态特征): 基于时间序列、流量大小、响应码分布等统计数据，用于识别攻击所处的阶段（如扫描、利用、潜伏、通信）。

各攻击类型的分析计划如下：

五、 总结

本项目核心优势在于将机器学习的自动化模式发现能力与专家知识驱动的行为分析相结合，构建了一个能够自我演进的智能检测体系。当前项目已在数据分析和技术验证上取得初步成果，后续工作的关键在于深入复现和分析各类攻击的完整生命周期，将行为阶段识别的“动态特征”与Payload分析的“静态特征”有效融合，从而实现对高级、持续性网络攻击的精准感知与防御。

当时做完安全项目后, 计划升级下特征, 用词向量来进行特征转化, 但是实际下来, 效果很差, 当时使用的 300 维, 现在 gpt 都几万维了

FastText vs. Word2Vec：一场关于词向量的深度对决

不久前，Facebook Research 开源了一个令人振奋的项目——fastText。它号称是一种既快速又高效的词向量学习和文本分类方法。作为一名NLP爱好者，我立刻燃起了好奇心：它的词向量（Embedding）与我们熟知的经典模型 Word2Vec 相比，究竟孰优孰劣？

考虑到 fastText 的设计深受 Word2Vec 启发，将两者直接比较再合适不过了。于是，我进行了一系列实验，希望通过数据揭示它们各自的优势和内在机理。

两位选手简介

在开始对决之前，让我们先简单了解一下两位“选手”。

1. Word2Vec (Gensim 实现)：由 Google 的 Tomas Mikolov 团队提出，是词向量领域的奠基之作。它将每个词视为一个独立的、不可分割的原子单位，通过上下文来学习其向量表示（“一个词的含义由其周围的词决定”）。例如，apple 这个词，在 Word2Vec 眼中就是一个整体。

2. fastText：可以看作是 Word2Vec 的一个巧妙扩展。它最大的创新在于引入了子词信息 (Subword Information)。fastText 不仅为整个词学习向量，还为词内部的字符 n-gram（例如，对于 apple，可能会有 app, ppl, ple 等）学习向量。一个词的最终向量是其所有子词向量的总和。

这个看似微小的改动，却是 fastText 的“秘密武器”，我们稍后会看到它如何发挥巨大作用。

实验场：数据与方法

为了进行公平且全面的比较，我设计了两个实验场景：

1. 标准基准测试 (Quantitative)：使用NLP领域公认的 text8 数据集（维基百科文本的集合）进行训练，并通过 questions-words.txt 词汇类比任务来评估词向量的质量。这个任务包含两类问题：

   • 语义类比 (Semantic)：例如 “king - man + woman ≈ queen” (国王 - 男人 + 女人 ≈ 王后)，考验模型对概念关系的理解。
   • 句法类比 (Syntactic)：例如 “amazing - amazingly ≈ calm - calmly” (形容词 - 副词)，考验模型对词形、语法结构的理解。

2. 定性观察 (Qualitative)：在我的一个中文项目（星座 vs. IT文章）中，我也分别训练了两个模型，直观地感受它们在特定领域对词义的捕捉能力。

我使用了 gensim 库来训练 Word2Vec 模型，并使用 fastText 的官方命令行工具进行训练，两者都尽量采用相似的默认超参数（如向量维度=100，窗口大小=5）以保证公平性。

结果揭晓：数据不会说谎

在 text8 数据集上运行词汇类比任务后，结果非常清晰：

核心发现：

1. 句法任务上的绝对王者：fastText 在句法类比任务上的表现远超 Word2Vec。这完全符合预期。
2. 语义任务上的强大挑战者：在较小的数据集上，Word2Vec 的语义表现可能与 fastText 相当甚至略优。但随着 text8 这样的大语料库的引入，fastText 的语义准确率也显著提升，并最终超越了 Word2Vec。

深度剖析：fastText 为何在句法上如此强大？

答案就在于我们前面提到的子词信息。

让我们回到那个句法类比的例子：amazing amazingly calm calmly。

这个任务的正确逻辑是：
vector("amazingly") - vector("amazing") ≈ vector("calmly") - vector("calm")

• 对于 fastText：

  • vector("amazing") 是 a, am, ma, ... 等子词向量的和。
  • vector("amazingly") 是 a, am, ma, ... 加上 -ly 相关子词（如 ly, gly, ngly）向量的和。
  • 当两者相减时，amazing 共同的子词部分被抵消，留下的向量很大程度上代表了从形容词变为副词的“-ly”后缀的语义。这个“后缀向量”是通用的，因此它与 vector("calmly") - vector("calm") 的结果高度相似。

• 对于 Word2Vec：

  • amazing 和 amazingly 是两个完全独立、无内在联系的词。模型必须从海量语料中偶然学到它们之间的关系。它无法像 fastText 那样，从结构上“理解”这种词形变化。

这个机制也解释了为什么 fastText 对未登录词 (Out-of-Vocabulary, OOV) 和罕见词特别友好。即使一个词没在训练集中出现过，fastText 依然能通过其已知的字符 n-gram 来“拼凑”出一个合理的向量。

实践指南：我该如何选择？

通过这次实验，我们可以得出一些非常实用的结论：

1. 优先选择 fastText 的场景：

   • 处理形态丰富的语言：对于英语、德语、俄语等拥有大量前缀、后缀和词形变化的语言，fastText 的子词模型优势巨大。
   • 需要处理拼写错误或未登录词：在用户生成内容（UGC）、社交媒体文本等场景，fastText 的鲁棒性更强。
   • 重视句法信息：如果你的下游任务（如词性标注、依存句法分析）依赖于词的结构信息，fastText 是不二之选。
   • 追求速度：fastText 的训练速度极快，尤其在文本分类任务上，它能在几分钟内处理完数百万条数据，效果媲美深度学习模型。

2. Word2Vec 依然有价值的场景：

   • 作为强大的基线模型：Word2Vec 简单、直观，效果稳健，是任何 NLP 项目起步时一个绝佳的 baseline。
   • 处理形态简单的语言：正如我的分析中提到的，对于中文这类词汇相对固定、缺少复杂形态变化的语言，fastText 的子词优势可能不那么明显。在这种情况下，Word2Vec 依然是一个极具竞争力的选择。

结语

这次对比实验清晰地展示了 fastText 相较于 Word2Vec 的演进和优势，尤其是在利用子词信息增强对词汇形态的理解方面。它不仅在句法任务上取得了压倒性胜利，并且在语料充足时，其语义表示能力也同样出色。

当然，衡量词向量好坏的最终标准是它们在下游任务（如文本分类、情感分析）中的表现。我的下一步计划，就是将这两种方法生成的词向量应用到我的 PySpark 分类流程中，看看它们谁能带来更大的性能提升。

技术的演进永无止境，但通过亲手实验来理解其背后的原理，总能让我们在选择工具时更加从容和自信。

参考文献

1. Enriching Word Vectors with Subword Information (fastText 论文)
2. Efficient Estimation of Word Representations in Vector Space (Word2Vec 论文)

翻出来之前在一个安全中心做的恶意流量识别项目的代码, 做下总结

使用 PySpark 和 MLlib 构建 Web 攻击检测模型：从 N-gram 到逻辑回归

在网络安全领域，检测恶意 Web 请求（如 SQL 注入、跨站脚本攻击 XSS）是一项至关重要的任务。本文将深入探讨如何使用 PySpark 和 MLlib 构建一个高效的 Web 攻击检测模型。我们将从数据预处理、特征工程（N-gram 分词）、模型训练到最终的预测和评估，一步步揭示其背后的技术细节。

技术栈概览

我们的解决方案基于以下核心技术：

• PySpark: 用于大规模数据处理和分布式计算。
• MLlib: PySpark 的机器学习库，提供丰富的算法和工具，包括特征转换、模型训练和评估。
• N-gram 分词: 一种文本特征提取技术，将 URL 和 Payload 切分成连续的子字符串，用于捕捉恶意模式。
• 逻辑回归 (Logistic Regression): 一种常用的分类算法，用于预测 Web 请求是否为恶意。

数据准备与特征工程

首先，我们需要准备用于训练和预测的数据。通常，这些数据来源于 Web 服务器的访问日志，包含 URL、POST 数据、HTTP 请求头等信息。

1. 加载数据

我们使用 PySpark 从 Parquet 格式的文件中读取数据：

1data = spark.read.parquet("data/new_data").fillna("").repartition(1024)
2data.cache()

fillna("") 用于处理缺失值，repartition(1000) 用于将数据分成多个分区，以便并行处理。cache() 则将数据缓存到内存中，加速后续操作。

2. 特征工程：N-gram 分词(可以用现有的大模型分词代替, o200k )

特征工程是机器学习的关键步骤。在本例中，我们使用 N-gram 分词技术从 URL 和 POST 数据中提取特征。

1from pyspark.sql.functions import udf
2from pyspark.sql.types import StringType, ArrayType
3import pyspark.sql.functions as F
4
5# 自定义 UDF 函数，用于 N-gram 分词
6udf_ngram_split = udf(ngram_split, ArrayType(StringType()))
7
8sel_data = data.select("url","post",udf_ngram_split("url","post").alias("data"),F.lit(1).alias("label"))

ngram_split 是一个自定义的 Python 函数，它将输入的字符串（URL 和 POST 数据）切分成 N-gram 序列。例如，对于字符串 “path”，3-gram 分词的结果是 ["pat", "ath"]。

3. 其他特征

除了 N-gram 分词，我们还可以提取其他有用的特征，例如：

• HTTP 请求方法 (GET, POST, HEAD)
• HTTP 响应状态码 (2xx, 3xx, 4xx, 5xx)
• URL 的信息熵
• User-Agent 是否为已知恶意 UA
• 请求路径是否为常见的扫描器路径

这些特征可以通过自定义 UDF 函数提取，并添加到 DataFrame 中。

模型训练与预测

在完成特征工程后，我们可以使用 MLlib 训练一个逻辑回归模型。

1. 构建 Pipeline

MLlib 的 Pipeline 提供了一种方便的方式来组织机器学习流程。一个典型的 Pipeline 包含以下步骤：

• Tokenizer: 将文本数据切分成单词或 N-gram。
• HashingTF 或 CountVectorizer: 将文本特征转换为数值型向量。
• IDF (可选): 计算逆文档频率，进行特征加权。
• Logistic Regression: 训练逻辑回归模型。

2. 加载预训练模型

由于篇幅限制，本文不详细介绍模型训练过程。我们假设已经训练好了一个模型，并将其保存到磁盘。

1from pyspark.ml import PipelineModel
2
3model = PipelineModel.load("cv_lr_model")

3. 模型预测

加载模型后，我们可以使用它来预测新的 Web 请求是否为恶意。

1test = model.transform(sel_data)
2test.groupby("prediction").count().show()

transform 方法将 Pipeline 应用于输入数据，生成包含预测结果的 DataFrame。groupby("prediction").count().show() 用于统计预测结果，例如：

+----------+------+
|prediction| count|
+----------+------+
|       0.0| 11580|
|       1.0|831150|
+----------+------+

4. 模型评估

为了评估模型的性能，我们需要使用一些指标，例如准确率、召回率、F1 值等。

1# 假设所有数据都是正样本
2TP = 831150  # True Positives
3FN = 11580  # False Negatives
4
5recall = TP / (TP + FN)
6print(f"Recall: {recall}") # 召回率

在本例中，我们假设所有输入数据都是已知的恶意样本，因此我们主要关注模型的召回率。召回率越高，说明模型能够识别出更多的恶意请求。

总结与展望

本文介绍了如何使用 PySpark 和 MLlib 构建一个 Web 攻击检测模型。通过 N-gram 分词和逻辑回归，我们可以有效地识别恶意 Web 请求。

未来，我们可以进一步优化模型，例如：

• 使用更复杂的特征工程技术，如 Word2Vec 或 BERT。
• 使用更大的数据集进行训练，提高模型的泛化能力。

希望本文能够帮助读者了解如何使用 PySpark 和 MLlib 构建 Web 攻击检测模型，并为网络安全领域的研究和实践提供一些思路。

希望这篇博客文章对你有所帮助！

当在WSL2的 dmesg 日志中发现 EXT4-fs warning 或 Filesystem error 等信息时，通常表明虚拟磁盘 (ext4.vhdx) 存在文件系统层面的问题。直接在运行中的WSL发行版内执行 e2fsck 会因磁盘正在使用而失败。

最安全、最专业的解决方法是：安装一个临时的“救援”发行版，将有问题的虚拟磁盘作为外部设备挂载到该环境中进行修复。

核心原则

文件系统检查工具 (e2fsck) 必须在**目标文件系统完全卸载（unmounted）**的状态下运行。

操作步骤

第1步：彻底关闭所有WSL实例

此步骤至关重要，确保所有虚拟磁盘都已卸载且未被锁定。在Windows PowerShell或CMD中执行：

1wsl --shutdown

第2步：定位目标虚拟磁盘文件 (ext4.vhdx)

找到需要修复的WSL发行版（例如Ubuntu）的虚拟硬盘文件。其路径通常位于：

%localappdata%\Packages\

在该目录下，找到对应发行版的文件夹（如 CanonicalGroupLimited.Ubuntu_...），进入 LocalState 目录，即可找到 ext4.vhdx 文件。复制其完整路径以备后用。

示例路径: C:\Users\YourUser\AppData\Local\Packages\CanonicalGroupLimited.Ubuntu_79rhkp1fndgsc\LocalState\ext4.vhdx

第3步：安装一个轻量级“救援”发行版

推荐使用Alpine，因为它安装迅速、占用空间小。

 1wsl --install Alpine```
 2
 3#### **第4步：将目标磁盘挂载到救援系统**
 4
 5以裸盘（bare）模式将目标虚拟磁盘挂载到Alpine。这种模式只附加设备，不挂载文件系统。
 6
 7**以管理员权限**打开PowerShell，执行以下命令，注意替换为自己的`ext4.vhdx`文件路径。
 8
 9```powershell
10# --vhd: 指明挂载的是VHD文件
11# -d Alpine: 指定由Alpine发行版处理挂载
12# --bare: 关键参数，只附加设备而不挂载文件系统
13wsl --mount "C:\Path\To\Your\ext4.vhdx" --vhd -d Alpine --bare

第5步：在救援系统中执行文件系统检查

1. 启动并进入Alpine环境：

   1wsl -d Alpine
   

2. 进入Alpine后，使用 lsblk 命令查找新挂载的设备名称（如 /dev/sdb, /dev/sdc 等）。

3. 使用 e2fsck 对找到的设备进行检查和修复。

   • 使用 sudo 获取权限。
   • 使用 -f 参数强制进行检查。
   • 将 /dev/sdX 替换为上一步找到的真实设备名。

   1# 在Alpine终端内执行
   2sudo e2fsck -f /dev/sdX
   

   根据提示输入 y 同意修复所有发现的错误。

第6步：清理并恢复

1. 检查完成后，退出Alpine终端。

   1exit
   

2. 回到Windows PowerShell，卸载之前挂载的虚拟磁盘。

   1wsl --unmount "C:\Path\To\Your\ext4.vhdx"
   

至此，原WSL发行版的虚拟磁盘已修复完毕，可以正常启动和使用。

目前使用 cursor 做程序的实践, cursor 版本: 0.50.7

三大件 MCP + Doc + Rules

1. MCP 使用

MCP（Model Context Protocol）是 Cursor 提供的一种机制，允许 AI 助手通过外部服务器获取实时、准确的文档或数据，以增强代码生成的质量。以下是你提到的三个 MCP 的使用实践：

1.1 deepwiki

Deepwiki MCP 是一个开源工具，用于从 GitHub 仓库或 Deepwiki 网站（deepwiki.com）获取最新的文档或代码库内容，特别适合需要爬取 GitHub 仓库文档的场景。它通过 MCP 协议将爬取的内容转换为 Markdown 格式，供 Cursor 使用
使用方法：

• 在 Cursor 中输入类似 use deepwiki https://deepwiki.com/shadcn-ui/ui 的提示，获取指定 Deepwiki 页面内容。
• 支持单页或多页爬取，例如 use deepwiki multiple pages https://deepwiki.com/shadcn-ui/ui。
• 可指定爬取深度和输出格式（单一文档或按页面分割）。

1.2 context7

Context7 MCP 是 Upstash 提供的服务，专注于为 LLMs 提供版本特定的最新文档和代码示例，解决 AI 模型生成过时或错误代码的问题。它与 Cursor、Windsurf 等 MCP 兼容客户端无缝集成。
使用方法：

• 在 Cursor 提示中添加 use context7，例如：Create a Next.js API route with Hono. use context7 Context7 将从官方文档拉取最新代码示例，注入到 LLM 的上下文。
• 支持版本特定的文档查询，例如指定 Next.js 或 React Query 的具体版本

1.3 mcp-feedback-enhanced

在AI辅助开发工具中实现人机协作工作流。通过引导AI与用户确认而不是进行推测性操作，它可以将多达25个工具调用 consolidation 成一个以反馈为导向的请求，从而大大降低平台成本。
使用方法:

• 配合 rules 使用, llm 制定多个计划, 调用该工具与用户进行确认, 确认后继续执行, 节省请求数

1.4 示例

 1{  
 2    "mcpServers": {  
 3        "deepwiki": {  
 4            "command": "npx",  
 5            "args": [  
 6                "-y",  
 7                "mcp-deepwiki@latest"  
 8            ]  
 9        },  
10        "context7": {  
11            "command": "npx",  
12            "args": [  
13                "-y",  
14                "@upstash/context7-mcp"  
15            ],  
16            "env": {  
17                "DEFAULT_MINIMUM_TOKENS": "6000"  
18            }  
19        },  
20        "mcp-feedback-enhanced": {  
21            "command": "uvx",  
22            "args": [  
23                "--python",  如果你是远程连接的, 最好加上这个参数
24                "/home/yunpiao/anaconda3/bin/python",  如果你是远程连接的, 最好加上这个参数
25                "mcp-feedback-enhanced@latest"  
26            ],  
27            "env": {  
28                "FORCE_WEB": "true",  
29                "MCP_DEBUG": "false"  
30            },  
31            "timeout": 600,  
32            "autoApprove": [  
33                "interactive_feedback"  
34            ]  
35        }  
36    }  
37}}

2. Doc

Cursor 0.50.7 支持多种方式获取文档，以增强 AI 助手的上下文准确性。以下是你提到的三种方式：

2.1 自带的 docs 文档

Cursor 内置了 @ 语法，可直接调用特定库或框架的官方文档。例如，@nginx 会从官方来源获取 Nginx 的最新文档。

2.2 增加网页文档(爬虫方式-官方支持)

Cursor 0.50.7 支持通过爬虫方式从指定网页获取文档，官方提供了集成工具，允许用户指定 URL 并将内容注入 LLM 上下文。
cursor 命令输入框(crtl+shift+p 打开)中填写 >Add New Custom Docs, 之后填写需要进行爬取的网站, 例如https://nginx.org/en/docs/

2.3 增加 github 文档, 使用 deepwiki 方式

对于一些没有文档的 github\gitlab 项目可以使用 deepwiki 转换成 wiki, 用于添加 doc

最简单方法, 更改域名中的 github 为 deepwiki , 然后添加到 custom doc 里面

3. Rules

3.1 针对项目设置user cursor rules

我现在使用的 rules, 找不出出处了, 好像在一个回复里扒出来的, 如果这个有版权的话, 可以联系我删除

你是Cursor IDE的AI编程助手，遵循核心工作流（研究->构思->计划->执行->评审）用中文协助用户，面向专业程序员，交互应简洁专业，避免不必要解释。

[沟通守则]
1.  响应以模式标签 `[模式：X]` 开始，初始为 `[模式：研究]`。
2.  核心工作流严格按 `研究->构思->计划->执行->评审` 顺序流转，用户可指令跳转。

[核心工作流详解]
1.  `[模式：研究]`：理解需求。
2.  `[模式：构思]`：提供至少两种可行方案及评估（例如：`方案1：描述`）。
3.  `[模式：计划]`：将选定方案细化为详尽、有序、可执行的步骤清单（含原子操作：文件、函数/类、逻辑概要；预期结果；新库用`Context7`查询）。不写完整代码。完成后用`interactive-feedback`请求用户批准。
4.  `[模式：执行]`：必须用户批准方可执行。严格按计划编码执行。计划简要（含上下文和计划）存入`./issues/任务名.md`。关键步骤后及完成时用`interactive-feedback`反馈。
5.  `[模式：评审]`：对照计划评估执行结果，报告问题与建议。完成后用`interactive-feedback`请求用户确认。

[快速模式]
`[模式：快速]`：跳过核心工作流，快速响应。完成后用`interactive-feedback`请求用户确认。

[主动反馈与MCP服务]
* **通用反馈**：研究/构思遇疑问时，使用 `interactive_feedback` 征询意见。任务完成（对话结束）前也需征询。
* **MCP服务**：
    * `interactive_feedback`: 用户反馈。
    * `Context7`: 查询最新库文档/示例。
    * 优先使用MCP服务。

3.2 自动生成 cursor rules

llm 对话框中输入/Generate Cursor Rules, 会生成一份 project rules, 记得设置这个 rules 属性为 always, 这种 rules 可以让 llm 保持一致性, 不至于每次对话都跟换了一个新手一样

3.3. 设置项目背景 cursor rules

可以将自己的编程习惯再新建一个 rules, 可以帮助 llm 生成符合你要求的代码

### 微信小程序最佳实践规则集 

```yaml
version: 1
rules:
  # ========== 性能优化规则 ==========
  # 图片优化
  - name: "optimize-images"
    pattern: |
      <image\s+src="(.+?)"\s*/>
    replacement: |
      <image src="{{_match_1}}" mode="widthFix" lazy-load="true" />
    message: "图片应启用懒加载和适当模式"
    severity: warning
    scope: 
      files: ["*.wxml"]

  # 减少setData数据量
  - name: "minimal-setdata"
    pattern: |
      this\.setData\(\s*\{[^}]*[^}]{100,}\s*\}\s*\)
    message: "setData数据不应超过100字符，仅更新必要字段"
    severity: error

  # 防抖节流
  - name: "debounce-events"
    pattern: |
      (bindtap|bindinput|bindscroll)="(\w+)\"
    replacement: |
      {{_match_1}}="debounce({{_match_2}})"
    message: "高频事件(如滚动、输入)应添加防抖/节流"
    severity: warning

  # ========== 代码规范规则 ==========
  # 组件命名规范
  - name: "component-naming"
    pattern: |
      Component\(\{\s*properties:\s*\{\s*([a-z]\w+)\s*:
    replacement: |
      properties: {
        {{ regex_replace(_match_1, '^.', _match_1 | lower) }}: 
    message: "组件属性名应使用小驼峰命名法"
    severity: warning

### 使用效果验证
1. 在WXML中写`<image src="...">`会触发优化建议
2. 在JS中写`this.setData({ largeData })`会检查数据量
3. API调用不加错误处理会显示错误提示
4. 敏感信息检测会阻止提交含`token='...'`的代码

> 最佳实践：结合微信开发者工具的"代码质量扫描"和"性能分析"功能，定期检查规则执行效果，根据项目需求调整规则强度。

• Netfilter：Linux 内核中的包过滤框架，提供 5 个关键的“hook 点”（流量检查点），允许在数据包传输路径中进行干预。
  • NF_IP_PRE_ROUTING：数据包刚进入系统，路由前。
  • NF_IP_LOCAL_IN：数据包目的地是本机。
  • NF_IP_FORWARD：数据包需要转发。
  • NF_IP_LOCAL_OUT：本机生成的数据包。
  • NF_IP_POST_ROUTING：数据包离开系统前。
• iptables：用户空间的工具，用于配置 Netfilter 规则。它将规则组织成表 (tables) 和链 (chains)。

iptables 的五大（Tables）

iptables 将规则按功能分类到不同的“表”中：

• filter 表：最常用，用于过滤（ACCEPT/DROP）数据包，实现防火墙功能。
• nat 表：用于网络地址转换 (NAT)，如修改源/目的 IP/端口。
• mangle 表：用于修改 IP 头，如 TTL 值，或给数据包打内部标记 (mark)。
• raw 表：用于绕过连接跟踪 (conntrack)，通常在数据包进入连接跟踪系统前处理。
• security 表：用于集成 SELinux 安全策略，给数据包打 SELinux 标记。

链 (Chains)：数据包的“流水线”

每个表内部包含一个或多个“链”，这些链与 Netfilter 的 Hook 点对应。数据包流经不同的链，规则按序匹配：

• PREROUTING：对应 NF_IP_PRE_ROUTING。
• INPUT：对应 NF_IP_LOCAL_IN。
• FORWARD：对应 NF_IP_FORWARD。
• OUTPUT：对应 NF_IP_LOCAL_OUT。
• POSTROUTING：对应 NF_IP_POST_ROUTING。

不同表在同一 Hook 点的优先级： 数据包触发某个 Hook 点时，多个表的链可能会被调用。调用顺序遵循特定优先级（例如，raw > mangle > nat > filter > security）。

iptables 规则：匹配与动作

每条规则由两部分组成：

• 匹配 (Matching)：定义数据包必须满足的条件（如协议、IP/端口、接口、连接状态等）。
• 目标 (Target)：数据包匹配成功后执行的动作。
  • 终止目标：执行后停止当前链的匹配（如 ACCEPT, DROP, DNAT, REDIRECT）。
  • 非终止目标：执行后继续当前链的匹配（如 LOG）。
  • 跳转目标 (Jump Target)：一种特殊的非终止目标，可跳转到用户自定义链，实现规则的模块化管理。

连接跟踪 (Conntrack)：有状态的防火墙

• 功能：Netfilter 上的一个子系统，使得 iptables 能将数据包视为连接或会话的一部分，而非独立个体。
• 连接状态：
  • NEW：新连接的第一个合法包。
  • ESTABLISHED：已建立的连接。
  • RELATED：与已有连接相关的包（如 FTP 数据连接）。
  • INVALID：非法或无法识别的包。
  • UNTRACKED：被 raw 表标记为不跟踪的包。
  • SNAT/DNAT：NAT 转换后的虚拟状态。

透明代理：客户端无感知的流量重定向

透明代理的核心在于在客户端无需配置的情况下，将流量重定向到代理服务器。

1. 基于 DNAT 的透明代理

• 原理：利用 nat 表的 PREROUTING 链，将数据包的目的 IP 和端口修改为代理服务器的本地 IP 和端口。
• 客户端感知：无感知。
• 代理服务器感知：收到数据包的目的地是自身，需要通过 SO_ORIGINAL_DST 等方式获取原始目的地。
• 优点：实现相对简单。
• 缺点：修改了数据包目的地，代理程序需要额外处理。

2. 基于 TPROXY 的透明代理

• 原理：利用 mangle 表的 PREROUTING 链给数据包打上标记 (mark)，并结合 策略路由 (Policy Routing) 将数据包重路由到本地代理程序，不修改数据包的原始目的 IP 和端口。
  • iptables TPROXY 目标：在 mangle 表中将符合条件的数据包打上 fwmark 标记，并指定 on-port (代理监听端口)。
  • 策略路由：
    • ip rule add fwmark <mark_value> lookup <table_id>：告诉内核，带有指定 fwmark 的数据包应查询特定的路由表。
    • ip route add local 0.0.0.0/0 dev lo table <table_id>：在指定路由表中，将所有流量路由到本地回环接口 (lo)，从而被本地代理程序捕获。
• 客户端感知：无感知。
• 代理服务器感知：收到数据包的目的 IP 和端口就是客户端最初想要访问的真实 IP 和端口，简化代理逻辑。
• 优点：保留原始目的地址，对代理程序更透明，支持 TCP 和 UDP 等多种协议。
• 缺点：配置相对复杂，需要内核支持 TPROXY 功能，代理程序也需支持 TPROXY 模式。

透明代理的共性要求

• IP 转发：net.ipv4.ip_forward 必须开启。
• 代理程序支持：代理程序需要支持透明代理模式，并能正确处理重定向的流量。
• 安全性：作为流量枢纽，需确保代理服务器自身的安全。
• HTTPS 流量：对于 HTTPS，透明代理通常涉及 SSL/TLS 解密（MITM），需额外配置证书。

当 一个对象设置 dacl (1. DACL 定义了"谁"可以对资源做"什么"操作) 的时候, 出现参数错误

分析

https://learn.microsoft.com/en-us/troubleshoot/windows-server/windows-security/error-add-user-to-security-permissions

1. 在Windows Server中，向对象的安全权限中添加用户或组时，可能会因ACL大小限制而收到错误消息。❌
2. 错误提示“超出操作系统对用户和组数量的限制”或“参数不正确”。🚫
3. ACL的最大尺寸为64KB，约1820个ACE。📈
4. 实际使用中，ACL的最大尺寸因性能问题而不实用。🚫
5. ACL的大小取决于其访问控制条目（ACE）的数量和大小。🔍
6. 文章提供了关于Active Directory Domain Services中访问控制工作原理的链接，供进一步了解。🔗
7. 使用Cacls.exe工具时也可能触发该问题。🛠️
8. 解决方法包括移除一些用户或组后再尝试操作。🔄

当达到访问控制列表 (ACL) 的最大大小时，就会出现这个问题。ACL 的大小随访问控制条目 (ACE) 的数量和大小而变化。ACL 的最大大小为 64 KB，即大约 1820 个 ACE。不过，出于性能考虑，最大大小并不适用。
命令将返回 > The parameter is incorrect.

修复

使用 dsacls "CN=Deleted Objects,DC=a,DC=com" /resetDefaultDACL 将 dacl 恢复, 就会正常, 同时之前的数据也会丢失, 但功能正常了

优化

在设置 dacl 的时候, 之前的账户可以使用 dsacls "CN=Deleted Objects,DC=a,DC=com" /r a/user 删除 user 用户的权限, 防止用户被删除了, 这个数据项还在, 一直累计, 导致最终超过大小限制

反思

在一个系统中, 如果一个资源最终会被删除, 则应当设计完整的清理策略, 即对任意一个可能造成持久化的操作都应该配备相应的删除策略

logrotate 限制日志大小的 6 个关键指令

size 与 maxsize 的区别：
• size 触发轮转后，接下来仍按周期继续；
• maxsize 触发轮转后，会重置周期计时，直到再次满足 maxsize 或到下次周期。
PostgreSQL 日志的推荐模板（单文件 ≤100 MB，总量 ≈2.4 GB/天）

配置示例

 1/var/log/pg_log/postgresql-*.log {
 2    daily                  # 每天检查一次
 3    size 100M              # 单文件 ≥100 MB 就轮转
 4    rotate 24              # 最多保留 24 份（≈1 天内文件）
 5    compress               # 旧日志 gzip
 6    delaycompress          # 延迟一天再压缩，便于排查
 7    dateext                # 追加时间戳防止重名
 8    missingok              # 无日志也不报错
 9    notifempty             # 空文件不轮转
10    su postgres postgres   # 切换用户，保持属主
11    postrotate
12        /usr/bin/pg_ctl -D /storage/db/vpostgres reload
13    endscript
14}

效果

硬约束：任何单个日志不超过 100 MB。
软约束：若日志写入 <100 MB/小时，则一天 ≤2.4 GB；峰值高于 100 MB/小时时可能略超，但依旧可控。
24 份之外的文件自动删除；配合 compress 实际磁盘占用更小。

一、域安全定义及其关键性

1. 定义：
   • 域安全是指在企业明确定义的“可信域”内，对用户、系统、应用、数据等资源实施统一的身份、访问、网络及数据保护。
   • 其核心是“边界内可信、边界外不信任”，传统依赖 Windows AD/DC，现代演进至跨本地、云端和混合环境的统一管理。
2. 关键性：
   • 保护数字资产、确保业务连续、维护客户与社会信任；
   • 合规驱动：在“数字中国”战略和日益严格的网络安全、数据安全、个人信息保护法规下，企业域安全已上升为战略高度；
   • 若域安全失陷，不仅经济损失，更可能影响社会稳定与国家利益。

二、演进中的IT环境与安全新挑战

1. 数字化转型与边界模糊：
   • 云计算、大数据、IoT、移动办公扩展攻击面；
   • 传统“城堡”边界失效，安全护城河转向“身份+数据”为中心。
2. 远程与混合办公：
   • 员工个人设备、公共网络访问增多，VPN/RDP等成为APT和勒索软件的主要靶点。
3. 云安全责任模型：
   • 与云厂商共担安全责任，CSPM、CWPP、CASB 等工具纳入域安全体系。
4. 供应链风险：
   • 第三方或上游厂商漏洞可植入后门，供应链攻击日益主流。

三、中国企业面临的主要安全威胁

1. 高级持续性威胁（APT）：
   • 国家及有组织犯罪支持，长期潜伏、目标明确，常借0day与社会工程入侵政府、科研、能源、制造等高价值行业。
2. 勒索软件：
   • 日益专业化，结合漏洞利用与定向渗透，制造、医疗、政府等因业务中断成本高付赎金。
3. 数据泄露与窃取：
   • 技术防护不足、权限滥用、管理缺失及内部人员误操作均可导致海量敏感数据外泄。
4. 内部威胁：
   • 离职报复、特权滥用或安全意识薄弱带来严重风险，需要严格IAM与行为监控。
5. 其他：网络钓鱼、弱口令、远程访问滥用、云配置错误、安全产品自身漏洞等。

四、安全技术与解决方案现状

1. 基础防护：
   • NGFW、IDS/IPS：内外部边界及东西向流量分段。
   • IAM/PAM：多因素认证、最小权限与生命周期管理。
   • EPP/EDR：特征库＋行为分析，提升终端可见性与响应。
   • DLP：监控敏感数据全生命周期，满足《数据安全法》《个人信息保护法》合规要求。
2. 先进范式：
   • 零信任架构：持续验证、动态准入，已在银行、工业互联网等场景试点。
   • NDR：分析内部东西向网络流量，补足EDR端点视角。
   • XDR：跨端点、网络、云、邮件等多源数据融合，实现联动检测与响应。
   • SIEM/SOAR：日志集中分析＋自动化编排，提高SOC效率、告警处理速度。
3. 人工智能助力：
   • UEBA、恶意样本自动分析、漏洞优先级排序、风险预测；
   • 挑战：模型安全、训练数据质量、人才缺口。

五、安全管理、运营与成熟度

1. SOC现状与挑战：
   • 告警疲劳、人力成本高、数据孤岛、多工具集成难；
   • 发展趋势：SOAR自动化、MDR托管服务、MITRE ATT&CK框架、云原生SOC、智能化威胁狩猎、开放式XDR。
2. 安全模型：PDR、P2DR、PDRR 提供保护—检测—响应（—恢复）闭环思路。
3. 事件响应与准备：
   • 完善书面应急预案、定期演练、复盘持续改进；
   • 建立专门团队或引入外部服务。
4. 数据安全能力成熟度模型（DSMM）：
   • 从组织、制度、技术、人员四维度评估并提升数据全生命周期安全能力；
   • 已有363家企业通过认证。

六、监管与合规要求

1. 核心法规：
   • 《网络安全法》：网络运营者安全责任、日志留存、等级保护；
   • 《数据安全法》：数据分类分级、风险评估、应急处置；
   • 《个人信息保护法》：合法必要、告知同意、PIPIA、跨境传输规则。
2. 等级保护 2.0（MLPS）：
   • 五级定级、通用与扩展技术及管理要求，覆盖云、IoT、工业控制等新型系统。
3. 行业规范：金融、医疗、工业控制等领域的专项指引与法规；
4. 监管机构：网信办、工信部、公安部、CNCERT 等发布检查、通报和执法案例。

七、安全投资趋势与挑战

1. 投资规模：
   • 市场规模预计从2023年110亿美元增至2028年171亿美元；
   • 企业预算增长积极，73%中国高管计划提高安全投入，多基于量化风险评估。
2. 重点领域：
   • 云安全、零信任、AI 安全、XDR、SOC 现代化；
   • 安全软件与服务、中高端硬件、托管安全服务。
3. 主要挑战：
   • 人才短缺（327万缺口），技术更新与遗留系统共存，威胁复杂度提升，ROI难衡量，合规压力多重、核心技术依赖、业务与安全平衡、数据治理复杂。

八、典型案例与最佳实践

1. 事件剖析：
   • 勒索软件（Travelex、CPI、MSI）揭示网络分段、权限管理与备份策略缺失；
   • APT（高校、政府机构）长期潜伏、横向移动；
   • 数据泄露（高校、企业罚款案例）强调合规与技术双缺失；
   • 内部威胁（离职员工恶意操作）暴露权限回收与监控不足。
2. 成功实践：
   • 零信任在银行、工业互联网场景的分阶段落地；
   • DSMM 认证企业系统化数据治理；
   • 主动漏洞管理、强IAM、网络分段、日志集中、员工培训、IR演练等基础控防。
3. 经验启示：
   • 安全方案须与业务创新场景深度融合；
   • 合规与合规外提升并重，避免清单式应付；
   • 监管执法案例警示合规缺失后果。

九、战略性提升建议

1. 技术与架构：
   • 夯实 NGFW/IDS、IAM/MFA、EDR、DLP 基础；
   • 分阶段拥抱零信任（SDP、微隔离、IAP）；
   • 部署 NDR/XDR 以增强东西向可见性；
   • 构建数据安全中台，参考 DSMM；
   • AI/ML 辅助威胁检测与 SOAR 自动化响应；
   • 混合多云环境安全一体化管理；
   • 强化供应链安全审计与 SCA。
2. 管理与运营：
   • 建设智能 SOC，或引入 MDR；
   • 常态化漏洞管理及风险排序；
   • 全周期 DevSecOps 开发与运营；
   • 定期 IR 演练与复盘；
   • 高层与董事会定期风险汇报。
3. 合规与治理：
   • 持续跟踪法规动态，定期内部自查与第三方审计；
   • 明确重要数据和 CII 特殊保护；
   • 完善 PIPL“告知-同意”及 PIPIA 流程；
   • 主动与监管机构沟通，及时应报事件。

十、结论

中国企业正处于数字化快速演进与网络安全威胁持续升级的交汇点。唯有以合规为底线、以风险为导向，持续强化基础、拥抱新范式、智能化运营、数据驱动治理，并在技术、管理和文化层面协同发力，方能构建动态韧性强的大域安全体系，保障企业在数字经济时代行稳致远。

1.1 尽量使用局部变量, 减少垃圾回收开销

• local var = value 替代 var = value
• 外部函数在包初始化的时候直接 local a = c.a

1.2 使用 table.concat 而不是 .. 字符串拼接

table.concat({"a", "b", "c"}, "")

1.3 预编译正则表达式

local re = ngx.re.compile("pattern")。

1.4 确定重复数据的域

将全局可以用到的保存为全局变量, 在初始化的时候加载好, 并确定好最方便查找的结构, 如 ip 地址库

1.5 在耗时函数上加一层缓存

如计算 hash 函数, 或者 json decode 后的对象, 空间换时间

1.6 使用 LuaJIT FFI

openresty lua-resty-core 计划使用 ffi 完全替换掉之前的 nginx-lua-module, 性能会有所提升

1.7 采样执行一些不重要的函数

如打印错误日志, 当逾期错误日志会频繁打印, 增加一层限制, 固定 100/秒等策略

1.8 非必要不 io

不要轻易读写文件和网络, 除非必要, 数据可以缓存本地一份就缓存本地, 不要任何请求都缓存 redis

1.9 异步化操作

如有功能耗时严重, 可以异步请求, 如异步写入日志, 异步请求 redis

1.10 压缩数据, 批次执行, 适当增大 buffer

批次是效果最好的优化手段, 发送数据或者执行逻辑, 如果能够批次尽量批次执行

1.11 lua 有 JIT, 可以即使编译,使用 pcre_jit

函数中尽量不要有 pcall 等无法 JIT 的操作

1.12 cosocket 非阻塞 io

1.13 使用 ECC 证书而不是 RSA

压测发现, RCC 证书比 RSA 具有更好的性能

1.14 发现攻击, 尽早关闭

ngx.exit(444) 连接数多 直接 RST, 缺点没有日志记录

2. Nginx 层面

2.1 参数优化

worker_processes auto;             # 匹配 CPU 核心数
worker_rlimit_nofile 102400;       # 提高文件描述符限制
events {
    worker_connections 20480;      # 根据系统最大 fd 调整
    use epoll;                     # 高并发场景使用 epoll
}
lua_shared_dict my_cache 100m;     # 缓存配置、限流计数器等
keepalive_timeout 60;              # 保持长连接
client_header_timeout 15s;         # 避免慢客户端攻击
proxy_buffers 8 16k;               # 减少磁盘 IO 使用
sendfile on;                       # 零拷贝传输静态文件
tcp_nopush on;                     # 合并数据包发送
gzip on;                           # 对文本内容启用压缩

3. Linux 层面

3.1 系统参数

# 调整 TCP 参数
sysctl -w net.core.somaxconn=65535
sysctl -w net.ipv4.tcp_tw_reuse=1
sysctl -w net.ipv4.tcp_fin_timeout=30
ulimit -n 102400                   # 修改 Nginx 进程的 fd 限制
# 使用大页内存（需 Nginx 支持）
sysctl -w vm.nr_hugepages=1024
# 调整磁盘调度策略（SSD 推荐 noop）
echo noop > /sys/block/sda/queue/scheduler

4. 监控与分析

• 火焰图 SystemTap 分析 Lua/C 代码瓶颈。
• Lua 内存分析：collectgarbage("count") 监控内存泄漏。
• 压测工具 wrk
• 指标监控 prometheus

最近公司产品部署到客户公司使用的一款小众些的分布式存储-iomesh, 做下流水账记录

一、环境准备

1. 硬件要求

   • 每个节点至少需：
     • 1块缓存盘（Cache Disk，推荐SSD）
     • 1块数据盘（Partition Disk）
   • 网络分离（建议存储网络独立，如10.234.1.0/24）

2. 系统配置

   1# 所有节点安装 open-iscsi
   2apt install open-iscsi -y
   3
   4# 修改iSCSI配置
   5sudo sed -i 's/^node.startup = automatic$/node.startup = manual/' /etc/iscsi/iscsid.conf
   6sudo modprobe iscsi_tcp
   7echo "iscsi_tcp" | sudo tee /etc/modprobe.d/iscsi-tcp.conf
   8systemctl enable --now iscsid
   

二、Kubernetes集群部署

1. 要求

   • Kubernetes 1.24+
   • Containerd作为容器运行时

2. 节点准备

   1# Master节点参与调度（如需）
   2kubectl taint nodes --all node-role.kubernetes.io/control-plane- node-role.kubernetes.io/master-
   

三、IOMesh离线安装

1. 安装包准备

   1tar -xvf iomesh-offline-v0.11.1.tgz
   2cd iomesh-offline
   3ctr --namespace k8s.io image import ./images/iomesh-offline-images.tar
   

2. 生成配置文件

   1./helm show values charts/iomesh > iomesh.yaml
   

3. 关键配置项

    1iomesh:
    2  chunk:
    3    dataCIDR: "10.234.1.0/24"  # 存储专用网络
    4  diskDeploymentMode: "hybridFlash"  # 或 "allFlash"
    5  deviceMap:
    6    cacheWithJournal:   # Hybrid模式配置
    7      selector:
    8        matchLabels:
    9          iomesh.com/bd-driverType: SSD
   10    dataStoreWithJournal:  # All-Flash模式配置
   11      selector:
   12        matchLabels:
   13          iomesh.com/bd-driverType: SSD
   

4. 安装IOMesh

   1./helm install iomesh ./charts/iomesh \
   2  --create-namespace \
   3  --namespace iomesh-system \
   4  --values iomesh.yaml \
   5  --wait
   

四、磁盘管理

1. 查看磁盘状态

   1kubectl -n iomesh-system get blockdevice
   

2. 标记磁盘类型

   1# 标记缓存盘
   2kubectl label blockdevice <blockdevice-name> iomesh-system/disk=SSD -n iomesh-system
   3
   4# 标记数据盘
   5kubectl label blockdevice <blockdevice-name> iomesh-system/disk=HDD -n iomesh-system
   

3. 申领磁盘

   1./helm -n iomesh-system upgrade iomesh charts/iomesh -f iomesh.yaml
   

五、存储配置

1. StorageClass示例

   1apiVersion: storage.k8s.io/v1
   2kind: StorageClass
   3metadata:
   4  name: iomesh-sc
   5provisioner: com.iomesh.csi-driver
   6reclaimPolicy: Retain
   7parameters:
   8  replicaFactor: "2"
   9  thinProvision: "true"
   

2. 创建PVC

    1apiVersion: v1
    2kind: PersistentVolumeClaim
    3metadata:
    4  name: demo-pvc
    5spec:
    6  storageClassName: iomesh-sc
    7  accessModes: [ReadWriteOnce]
    8  resources:
    9    requests:
   10      storage: 100Gi
   

六、运维监控

1. 查看集群状态

   1kubectl get iomeshclusters.iomesh.com -n iomesh-system -o yaml
   

2. 关键指标

   1status:
   2  summary:
   3    clusterSummary:
   4      spaceInfo:
   5        totalDataCapacity: 24.66Ti  # 总存储容量
   6        usedDataSpace: 11.50Gi      # 已用空间
   7    metaSummary:
   8      leader: 10.211.5.11:10100     # Meta服务Leader节点
   

七、故障排查

1. Pod挂载PVC失败

   Error: Failed to load module tcp
   

   解决方案：

   1# 确认iscsi_tcp模块加载
   2lsmod | grep iscsi_tcp
   3modprobe iscsi_tcp
   4
   5# 检查iscsid服务状态
   6systemctl status iscsid
   

2. 磁盘未Claimed

   • 检查iomesh.yaml设备选择器配置
   • 确认磁盘标签是否正确

八、卸载IOMesh

1./helm uninstall -n iomesh-system iomesh
2# 清理残留资源（谨慎操作！）
3kubectl delete ns iomesh-system

九、 参考

• 官方文档：IOMesh Documentation

十、 和 longhorn 的对比

稳定性与性能优先选 IOMesh，灵活性与成本优先选 Longhorn。

 1# 添加自签名证书到系统信任链
 2echo "-----BEGIN CERTIFICATE-----
 3MIID... (证书内容) ...
 4-----END CERTIFICATE-----" | sudo tee -a /etc/ssl/certs/harbor.crt > /dev/null
 5
 6# CentOS/RHEL 更新证书信任库
 7sudo update-ca-trust force-enable
 8sudo update-ca-trust extract
 9
10# Ubuntu/Debian 更新证书
11sudo update-ca-certificates

验证方法：

1curl -v https://your-harbor-domain

二、镜像优化分析工具

使用 Dive 进行镜像层分析：

1# 安装 Dive
2wget https://github.com/wagoodman/dive/releases/download/v0.11.0/dive_0.11.0_linux_amd64.deb
3sudo dpkg -i dive*.deb
4
5# 分析镜像
6dive your-image:tag

关键功能：

• 可视化每层文件变化
• 计算浪费的空间（重复/删除的文件）

三、Dockerfile 最佳实践

1. 基础规范

   1FROM bitnami/python:3.7.17-debian-11-r0 AS builder
   2WORKDIR /app
   3COPY . .
   

2. 健康检查配置

   1HEALTHCHECK --interval=30s --timeout=3s --retries=3 \
   2  CMD curl -f http://localhost:8080/health || exit 1
   

3. 安全增强

   1RUN groupadd -r appuser && useradd -r -g appuser appuser
   2USER appuser
   

4. 构建优化

   1# 使用 BuildKit 缓存加速
   2RUN --mount=type=cache,target=/go/pkg/mod \
   3    go mod download
   

5. 编写 .dockerignore 文件, 将不相关的文件忽略, 不发送到 docker 环境

6. 一个容器运行一个应用

7. 镜像不要在生产环境中不要使用 latest 标签

8. 优先使用 copy 而不是 add

9. 设置默认的环境变量

10. 使用 label 设置镜像元数据

四、多架构镜像构建

 1# 创建构建器实例
 2docker buildx create --use --name multiarch-builder
 3
 4# 构建并推送多平台镜像
 5docker buildx build --platform linux/arm64,linux/amd64 \
 6  -t your-registry/image:tag --push .
 7
 8# 创建统一 manifest
 9docker manifest create your-registry/image:tag \
10  your-registry/image:tag-arm64 \
11  your-registry/image:tag-amd64

五、网络与安全管控

1. 动态防火墙管理

   1# 监控 Docker 端口并更新 iptables 规则
   2*/5 * * * * root /path/to/monitor_docker_ports.sh(一个检查 docker 开发了哪些端口的工具)
   

2. 安全端口暴露策略

   1# 仅允许指定 IP 段访问
   2iptables -A DOCKER-USER -p tcp --dport 8080 \
   3  -s 10.0.0.0/8 -j ACCEPT
   4iptables -A DOCKER-USER -p tcp --dport 8080 -j DROP
   

六、CI/CD 集成

1. GitLab Runner 配置

   1gitlab-runner install --user=gitlab-runner --working-directory=/home/gitlab-runner
   2gitlab-runner register --url https://gitlab.com --registration-token $REG_TOKEN
   

2. 高效缓存配置

   1variables:
   2  DOCKER_BUILDKIT: 1
   3build:
   4  script:
   5    - docker build --cache-from=your-image:cache --tag=your-image:latest .
   6    - docker push your-image:latest
   

七、高级技巧

• Root 权限进入容器

1   docker exec -it --user root <container> /bin/bash

• 代理网络配置

1   # 创建代理配置文件
2   cat <<EOF | sudo tee /etc/systemd/system/docker.service.d/http-proxy.conf
3   [Service]
4   Environment="HTTP_PROXY=http://proxy.example.com:8080"
5   Environment="NO_PROXY=localhost,.internal"
6   EOF
7
8   systemctl daemon-reload
9   systemctl restart docker

• 镜像压缩优化

1   # 多线程压缩加速
2   docker save your-image | pigz -9 > image.tar.gz

• 多阶段构建

1   FROM golang:1.19 AS build
2   COPY . .
3   RUN go build -o /app
4
5   FROM alpine:3.15
6   COPY --from=build /app /app
7   CMD ["/app"]

• 标签管理策略
  • 使用语义化版本标签（v1.2.3）
  • 为最新稳定版本维护 latest 标签
  • 包含构建元数据（commit hash + 日期）
• 日志管理, 防止磁盘撑爆

  1{
  2  "log-driver": "json-file",
  3  "log-opts": {
  4    "max-size": "10m",
  5    "max-file": "3"
  6  }
  7}
  

• 资源限制

  1docker run -it --cpus=2 --memory=512m --blkio-weight=500 your-image
  

在 header 的 auth 字段中 base64 编码过后的账户密码, 安全性较差
格式: Authorization: Basic YWRtaW46MTIzNA==

摘要认证

使用哈希算法, 对账户,密码,随机字符串等进行摘要, 不直接将密码传递给后端
格式: Authorization: Digest username="admin", realm="example", nonce="xyz", uri="/resource", response="digest-hash"

Bearer Token

用于 api 或者 Oauth 认证, 通过使用 token 来访问受限资源
token , 可以由认证服务器 或者 后端服务直接返回, 一般为 set-cookie 的方式
令牌中一般具有过期时间, 或者会持续更新 token
格式: Authorization: Bearer <token>

OAuth

场景有 单点登录, api 授权, 第三方登录等

使用第三方授权服务, 分为多种授权模式

• 授权码模式, 重定向到第三方授权服务器, 获取授权码, 通过授权码从授权服务器获取对应资源的 token
• 隐式模式, 授权直接返回, 不用授权码
• 密码模式, 直接将用户密码透传给授权服务器
• 客户端模式 ,机器对机器通信, 服务之间交互

令牌认证 token-base auth

首次登录提供账户密码. 验证后会生成令牌, 后续直接使用 token 进行访问, 令牌泄露会有风险, 一般会有过期时间和强制过期功能
一般格式: Authorization: Bearer <token>

双向 TLS 认证

客户端和服务端需要双向 tls 认证才能访问
一般客户端会检查服务端的证书情况, 服务器也可以检查客户端证书情况, 数据传输系统中, 经常使用这种技术, 客户端证书认证通过后才能访问服务端资源

NTLM 微软开发的认证协议, 逐步被 kerberos 协议替代

基于 MD4 或者 MD5 进行认证
流程:

1. 服务端返回一个字符串,
2. 客户端使用 NTLM Hash（固定）和 返回的随机字符串生成一个 hash,
3. 使用这个 hash 进行认证

Kerberos 认证

引入一个第三方 KDC(密钥分发中心), 进行身份验证

1. 身份认证: 将账户密码加密后发送给 KDC 的 AS(验证服务), 返回加密的票据(TGT, 票据授权票据)和加密的会话密钥(用于和 TGS 通信), 客户端解密(使用密码派生密钥, 密码对称加密后的密钥)后保存票据
2. 请求服务票据: 向 KDC 的 TGS (颁发服务票据)申请服务的票据 , 同时生成会话密钥(用于目标服务通信)
3. 访问服务: 客户端使用服务票据和会话密钥的认证信息到目标服务器进行访问

OIDC (openid connect)

基于 OAuth2 认证协议, 用于单点登录和身份认证, 扩展 OAuth, 不仅支持授权还支持身份认证

1. 客户端向 idP(身份提供者)发起认证
2. 身份提供者要求用户登录
3. 登录成功返回 id token 和 access token
4. 客户端使用 id token (JWT) 验证用户身份(包含用户信息, 防止被篡改, 利用其他人的身份)
5. 使用 access token 进行资源访问

CAS (中央认证服务)

主要用于单点登录, 集中式的认证机制

1. 用户通过应用程序访问受保护资源
2. 应用程序重定向到 CAS
3. 用户在 CAS 中认证
4. CAS 返回服务票据
5. 用户将服务票据发往应用程序
6. 应用程序使用票据访问 CAS 验证票据
7. 验证成功,应用返回受保护资源

WebAuthh

使用本地设备的生物识别进行无密码登录, 辅助认证手段, 不能保证生物识别在每一个机器上都拥有, 所以不能用作登录认证场景

公司产品私有化部署原本是用 nfs-provisioner RWX 卷, 用于多个 pod 间的数据同步, 但是由于 nfs 也部署在产品内部, 还是有单点问题, 所以增加了使用 longhorn 作为分布式存储组件, 在兼容适配后, 在交付第一次给用户部署的时候, 遇到了一个奇怪的问题

现象

1. 刚安装完毕后数据, 系统一切正常, 后来过段时间发现当 ls 挂载的 RWX 卷的时候, 程序会卡死在这个 ls 命令下
2. share-manager-pvc pod 负载不断升高, 日志不断打印客户端建立 session 和 断开 session
3. ganesha.nfsd cpu 不断升高, 一直上升到 100%

尝试解决

1. 定位是哪里出现了问题

 1[root@centos7-node-1 itdr-base]# kubectl get pod -n longhorn-system 
 2NAME                                                     READY   STATUS    RESTARTS       AGE
 3csi-attacher-6c46cf9fb4-2tnvn                            1/1     Running   0              5d5h
 4csi-attacher-6c46cf9fb4-7r4b5                            1/1     Running   0              5d3h
 5csi-attacher-6c46cf9fb4-pg92t                            1/1     Running   0              5d5h
 6csi-provisioner-569985c57c-295sc                         1/1     Running   1 (9h ago)     5d3h
 7csi-provisioner-569985c57c-m2rmq                         1/1     Running   1 (30h ago)    5d5h
 8csi-provisioner-569985c57c-w6srv                         1/1     Running   2 (11h ago)    5d5h
 9csi-resizer-7597448bf6-2gvqw                             1/1     Running   2 (5d3h ago)   5d5h
10csi-resizer-7597448bf6-gj8pf                             1/1     Running   0              5d5h
11csi-resizer-7597448bf6-kvl7z                             1/1     Running   2 (8h ago)     5d5h
12csi-snapshotter-549bbf4ffb-b4pqv                         1/1     Running   1 (8h ago)     5d5h
13csi-snapshotter-549bbf4ffb-drwfg                         1/1     Running   2 (5d3h ago)   5d5h
14csi-snapshotter-549bbf4ffb-h2r45                         1/1     Running   0              5d5h
15engine-image-ei-6c7d6635-cxpm9                           1/1     Running   0              5d5h
16engine-image-ei-6c7d6635-hmv4s                           1/1     Running   0              5d5h
17engine-image-ei-6c7d6635-n9sd7                           1/1     Running   0              5d5h
18engine-image-ei-6c7d6635-r7t2w                           1/1     Running   1 (5d1h ago)   5d5h
19engine-image-ei-6c7d6635-rd8s7                           1/1     Running   0              5d5h
20engine-image-ei-6c7d6635-v7svn                           1/1     Running   0              5d5h
21instance-manager-14bf79e1fe244326ec6b6f5072c3b245        1/1     Running   0              5d5h
22instance-manager-394ba9e4c3dac77955f37f65a0782ac8        1/1     Running   0              5d5h
23instance-manager-7b604f3d0af1d43d33a1106ad3c58252        1/1     Running   0              5d5h
24instance-manager-cee2e92722813c9b0a6659f3ae7aecac        1/1     Running   0              5d5h
25instance-manager-d0e16589d6085f69d9b92962ed07e74f        1/1     Running   0              5d5h
26instance-manager-dd8c32539c1d24364789b50b2ea7d9ec        1/1     Running   0              5d1h
27longhorn-csi-plugin-4zwwv                                3/3     Running   3 (5d1h ago)   5d5h
28longhorn-csi-plugin-5xl2w                                3/3     Running   0              5d5h
29longhorn-csi-plugin-csmsj                                3/3     Running   0              5d5h
30longhorn-csi-plugin-hqgj6                                3/3     Running   0              5d5h
31longhorn-csi-plugin-t2x77                                3/3     Running   0              5d5h
32longhorn-csi-plugin-wg69z                                3/3     Running   0              5d5h
33longhorn-driver-deployer-7f95dbdb75-s7w7s                1/1     Running   0              5d3h
34longhorn-manager-4hs2b                                   2/2     Running   0              5d5h
35longhorn-manager-9mmg2                                   2/2     Running   0              5d5h
36longhorn-manager-lr49l                                   2/2     Running   0              5d5h
37longhorn-manager-lr9zd                                   2/2     Running   0              5d5h
38longhorn-manager-rlvtp                                   2/2     Running   0              5d5h
39longhorn-manager-vdh24                                   2/2     Running   2 (5d1h ago)   5d5h
40longhorn-ui-7b7dcc9589-mnjks                             1/1     Running   0              5d5h
41share-manager-pvc-824e52b5-1390-4b73-886a-248e65c445ed   1/1     Running   0              5d3h
42share-manager-pvc-b0a20829-e360-4562-9c56-0693bc6ae6cd   1/1     Running   0              5d5h

1. nfs 卡死, 那就一层一层往上找
2. 检查发现 longhorn 是使用 share manager pvc 这一 pod 提供 nfs 服务的
3. 直接通过这个 pvc 上层的 svc 进行手动挂载
   1. mount -vvv -t nfs4 -o vers=4.2 -o nolock -o noresvport -o hard -o timeo=1 100.96.37.116:/pvc-d14f1a3a-7dfe-4684-b650-6736cdd7623f /mnt/longhorn-nfs
4. 检查现象一样, 同样无法挂载
5. 重复创建一个 pvc, 发现刚开始可以, 过段时间现象依旧, 还是卡死
6. 登录到 pod, 查看挂载的文件目录是否正常(文件目录通过 open-iscsi 提供目录挂载, 之后使用 nfs 将这一目录进行共享)

至此, 可以确定是 share-manager-pvc 这个 pod 内的问题

2. 分析这个 share-manager-pvc pod 是怎么工作的

Longhorn Volume (存储卷)
       |
       v
Share-Manager Pod
(NFS Server 容器运行中)
       |
       v
Kubernetes Worker Node
(NFS Client 挂载 RWX 卷)
       |
       v
多个应用 Pod
(访问共享数据)

检查发现这个 pod 运行一个 # nfs-ganesha 服务, 该程序是一个 NFS Server 容器，用于将存储卷的内容通过 NFS 协议共享出去

3. 首先尝试 strace 查看是不是因为一些系统调用卡死, 导致无法处理请求

1[root@localhost ~]# strace -p  2502828
2strace: Process 2502828 attached
3futex(0x7ffa45ffb990, FUTEX_WAIT_BITSET|FUTEX_CLOCK_REALTIME, 46, NULL, FUTEX_BITSET_MATCH_ANY

检查发现卡在了一个 轻量级的锁下面, 通过 google 发现并没有什么关于这个的 bug, 或者解决方法

4. 退回到最原始的解决方法, 通过查看日志来排查(完全依赖代码开发者的编程素养)

查看日志如下

 111/12/2024 02:01:51 : epoch 6758f134 : share-manager-pvc-d14f1a3a-7dfe-4684-b650-6736cdd7623f : nfs-ganesha-33[svc_33] nfs4_op_create_session :CLIENT ID :INFO :CREATE_SESSION client addr=::ffff:100.97.2.0 clientid=Epoch=0x6758f134 Counter=0x000008e2 -------------------
 211/12/2024 02:01:51 : epoch 6758f134 : share-manager-pvc-d14f1a3a-7dfe-4684-b650-6736cdd7623f : nfs-ganesha-33[svc_33] nfs4_op_create_session :CLIENT ID :INFO :CREATE_SESSION client addr=::ffff:100.97.2.0 clientid=Epoch=0x6758f134 Counter=0x000008e7 -------------------
 311/12/2024 02:01:51 : epoch 6758f134 : share-manager-pvc-d14f1a3a-7dfe-4684-b650-6736cdd7623f : nfs-ganesha-33[svc_33] nfs4_op_create_session :CLIENT ID :INFO :Client Record 0x7ffa28000d80 name=(19:Linux NFSv4.2 bogon) refcount=3 cr_confirmed_rec=0x7ffa2001dfc0 cr_unconfirmed_rec=0x7ffa2001b440
 411/12/2024 02:01:51 : epoch 6758f134 : share-manager-pvc-d14f1a3a-7dfe-4684-b650-6736cdd7623f : nfs-ganesha-33[svc_33] longhorn_rm_clid :CLIENT ID :EVENT :Remove client '19%3ALinux%20NFSv4.2%20bogon' from recovery backend share-manager-pvc-d14f1a3a-7dfe-4684-b650-6736cdd7623f (19%3ALinux%20NFSv4.2%20bogon)
 511/12/2024 02:01:51 : epoch 6758f134 : share-manager-pvc-d14f1a3a-7dfe-4684-b650-6736cdd7623f : nfs-ganesha-33[svc_33] longhorn_add_clid :CLIENT ID :EVENT :Add client '19:Linux NFSv4.2 bogon' to recovery backend share-manager-pvc-d14f1a3a-7dfe-4684-b650-6736cdd7623f
 611/12/2024 02:01:53 : epoch 6758f134 : share-manager-pvc-d14f1a3a-7dfe-4684-b650-6736cdd7623f : nfs-ganesha-33[svc_32] nfs4_op_create_session :CLIENT ID :INFO :CREATE_SESSION client addr=::ffff:100.97.4.0 clientid=Epoch=0x6758f134 Counter=0x000008e3 -------------------
 711/12/2024 02:01:53 : epoch 6758f134 : share-manager-pvc-d14f1a3a-7dfe-4684-b650-6736cdd7623f : nfs-ganesha-33[svc_32] nfs4_op_create_session :CLIENT ID :INFO :CREATE_SESSION client addr=::ffff:100.97.4.0 clientid=Epoch=0x6758f134 Counter=0x000008e8 -------------------
 811/12/2024 02:01:53 : epoch 6758f134 : share-manager-pvc-d14f1a3a-7dfe-4684-b650-6736cdd7623f : nfs-ganesha-33[svc_32] nfs4_op_create_session :CLIENT ID :INFO :Client Record 0x7ffa28000d80 name=(19:Linux NFSv4.2 bogon) refcount=3 cr_confirmed_rec=0x7ffa2001b440 cr_unconfirmed_rec=0x7ffa3001a8c0
 911/12/2024 02:01:53 : epoch 6758f134 : share-manager-pvc-d14f1a3a-7dfe-4684-b650-6736cdd7623f : nfs-ganesha-33[svc_32] longhorn_rm_clid :CLIENT ID :EVENT :Remove client '19%3ALinux%20NFSv4.2%20bogon' from recovery backend share-manager-pvc-d14f1a3a-7dfe-4684-b650-6736cdd7623f (19%3ALinux%20NFSv4.2%20bogon)
1011/12/2024 02:01:53 : epoch 6758f134 : share-manager-pvc-d14f1a3a-7dfe-4684-b650-6736cdd7623f : nfs-ganesha-33[svc_32] longhorn_add_clid :CLIENT ID :EVENT :Add client '19:Linux NFSv4.2 bogon' to recovery backend share-manager-pvc-d14f1a3a-7dfe-4684-b650-6736cdd7623f
1111/12/2024 02:01:53 : epoch 6758f134 : share-manager-pvc-d14f1a3a-7dfe-4684-b650-6736cdd7623f : nfs-ganesha-33[svc_33] nfs4_op_create_session :CLIENT ID :INFO :CREATE_SESSION client addr=::ffff:100.97.5.0 clientid=Epoch=0x6758f134 Counter=0x000008e4 -------------------
1211/12/2024 02:01:53 : epoch 6758f134 : share-manager-pvc-d14f1a3a-7dfe-4684-b650-6736cdd7623f : nfs-ganesha-33[svc_33] nfs4_op_create_session :CLIENT ID :INFO :CREATE_SESSION client addr=::ffff:100.97.5.0 clientid=Epoch=0x6758f134 Counter=0x000008e9 -------------------
1311/12/2024 02:01:53 : epoch 6758f134 : share-manager-pvc-d14f1a3a-7dfe-4684-b650-6736cdd7623f : nfs-ganesha-33[svc_33] nfs4_op_create_session :CLIENT ID :INFO :Client Record 0x7ffa28000d80 name=(19:Linux NFSv4.2 bogon) refcount=3 cr_confirmed_rec=0x7ffa3001a8c0 cr_unconfirmed_rec=0x7ffa2001dfc0
1411/12/2024 02:01:53 : epoch 6758f134 : share-manager-pvc-d14f1a3a-7dfe-4684-b650-6736cdd7623f : nfs-ganesha-33[svc_33] longhorn_rm_clid :CLIENT ID :EVENT :Remove client '19%3ALinux%20NFSv4.2%20bogon' from recovery backend share-manager-pvc-d14f1a3a-7dfe-4684-b650-6736cdd7623f (19%3ALinux%20NFSv4.2%20bogon)
1511/12/2024 02:01:53 : epoch 6758f134 : share-manager-pvc-d14f1a3a-7dfe-4684-b650-6736cdd7623f : nfs-ganesha-33[svc_33] longhorn_add_clid :CLIENT ID :EVENT :Add client '19:Linux NFSv4.2 bogon' to recovery backend share-manager-pvc-d14f1a3a-7dfe-4684-b650-6736cdd7623f
1611/12/2024 02:01:54 : epoch 6758f134 : share-manager-pvc-d14f1a3a-7dfe-4684-b650-6736cdd7623f : nfs-ganesha-33[svc_24] nfs4_op_create_session :CLIENT ID :INFO :CREATE_SESSION client addr=::ffff:100.97.0.0 clientid=Epoch=0x6758f134 Counter=0x000008df -------------------
1711/12/2024 02:01:54 : epoch 6758f134 : share-manager-pvc-d14f1a3a-7dfe-4684-b650-6736cdd7623f : nfs-ganesha-33[svc_24] nfs4_op_create_session :CLIENT ID :INFO :CREATE_SESSION client addr=::ffff:100.97.0.0 clientid=Epoch=0x6758f134 Counter=0x000008ea -------------------
1811/12/2024 02:01:54 : epoch 6758f134 : share-manager-pvc-d14f1a3a-7dfe-4684-b650-6736cdd7623f : nfs-ganesha-33[svc_24] nfs4_op_create_session :CLIENT ID :INFO :Client Record 0x7ffa34004420 name=(23:Linux NFSv4.2 localhost) refcount=3 cr_confirmed_rec=0x7ffa3c01db30 cr_unconfirmed_rec=0x7ffa2001b440
1911/12/2024 02:01:54 : epoch 6758f134 : share-manager-pvc-d14f1a3a-7dfe-4684-b650-6736cdd7623f : nfs-ganesha-33[svc_24] longhorn_rm_clid :CLIENT ID :EVENT :Remove client '23%3ALinux%20NFSv4.2%20localhost' from recovery backend share-manager-pvc-d14f1a3a-7dfe-4684-b650-6736cdd7623f (23%3ALinux%20NFSv4.2%20localhost)
2011/12/2024 02:01:54 : epoch 6758f134 : share-manager-pvc-d14f1a3a-7dfe-4684-b650-6736cdd7623f : nfs-ganesha-33[svc_24] longhorn_add_clid :CLIENT ID :EVENT :Add client '23:Linux NFSv4.2 localhost' to recovery backend share-manager-pvc-d14f1a3a-7dfe-4684-b650-6736cdd7623f
2111/12/2024 02:01:54 : epoch 6758f134 : share-manager-pvc-d14f1a3a-7dfe-4684-b650-6736cdd7623f : nfs-ganesha-33[svc_28] nfs4_op_create_session :CLIENT ID :INFO :CREATE_SESSION client addr=::ffff:100.97.3.1 clientid=Epoch=0x6758f134 Counter=0x000008e5 -------------------
2211/12/2024 02:01:54 : epoch 6758f134 : share-manager-pvc-d14f1a3a-7dfe-4684-b650-6736cdd7623f : nfs-ganesha-33[svc_24] nfs4_op_create_session :CLIENT ID :INFO :CREATE_SESSION client addr=::ffff:100.97.3.1 clientid=Epoch=0x6758f134 Counter=0x000008eb -------------------
2311/12/2024 02:01:54 : epoch 6758f134 : share-manager-pvc-d14f1a3a-7dfe-4684-b650-6736cdd7623f : nfs-ganesha-33[svc_24] nfs4_op_create_session :CLIENT ID :INFO :Client Record 0x7ffa34004420 name=(23:Linux NFSv4.2 localhost) refcount=3 cr_confirmed_rec=0x7ffa2001b440 cr_unconfirmed_rec=0x7ffa0c015b50
2411/12/2024 02:01:54 : epoch 6758f134 : share-manager-pvc-d14f1a3a-7dfe-4684-b650-6736cdd7623f : nfs-ganesha-33[svc_24] longhorn_rm_clid :CLIENT ID :EVENT :Remove client '23%3ALinux%20NFSv4.2%20localhost' from recovery backend share-manager-pvc-d14f1a3a-7dfe-4684-b650-6736cdd7623f (23%3ALinux%20NFSv4.2%20localhost)
2511/12/2024 02:01:54 : epoch 6758f134 : share-manager-pvc-d14f1a3a-7dfe-4684-b650-6736cdd7623f : nfs-ganesha-33[svc_24] longhorn_add_clid :CLIENT ID :EVENT :Add client '23:Linux NFSv4.2 localhost' to recovery backend share-manager-pvc-d14f1a3a-7dfe-4684-b650-6736cdd7623f
2611/12/2024 02:01:54 : epoch 6758f134 : share-manager-pvc-d14f1a3a-7dfe-4684-b650-6736cdd7623f : nfs-ganesha-33[svc_24] nfs4_op_create_session :CLIENT ID :INFO :CREATE_SESSION client addr=::ffff:100.97.1.0 clientid=Epoch=0x6758f134 Counter=0x000008e6 -------------------
2711/12/2024 02:01:54 : epoch 6758f134 : share-manager-pvc-d14f1a3a-7dfe-4684-b650-6736cdd7623f : nfs-ganesha-33[svc_24] nfs4_op_create_session :CLIENT ID :INFO :CREATE_SESSION client addr=::ffff:100.97.1.0 clientid=Epoch=0x6758f134 Counter=0x000008ec -------------------
2811/12/2024 02:01:54 : epoch 6758f134 : share-manager-pvc-d14f1a3a-7dfe-4684-b650-6736cdd7623f : nfs-ganesha-33[svc_24] nfs4_op_create_session :CLIENT ID :INFO :Client Record 0x7ffa28000d80 name=(19:Linux NFSv4.2 bogon) refcount=3 cr_confirmed_rec=0x7ffa2001dfc0 cr_unconfirmed_rec=0x7ffa0c021c50
2911/12/2024 02:01:54 : epoch 6758f134 : share-manager-pvc-d14f1a3a-7dfe-4684-b650-6736cdd7623f : nfs-ganesha-33[svc_24] longhorn_rm_clid :CLIENT ID :EVENT :Remove client '19%3ALinux%20NFSv4.2%20bogon' from recovery backend share-manager-pvc-d14f1a3a-7dfe-4684-b650-6736cdd7623f (19%3ALinux%20NFSv4.2%20bogon)
3011/12/2024 02:01:54 : epoch 6758f134 : share-manager-pvc-d14f1a3a-7dfe-4684-b650-6736cdd7623f : nfs-ganesha-33[svc_24] longhorn_add_clid :CLIENT ID :EVENT :Add client '19:Linux NFSv4.2 bogon' to recovery backend share-manager-pvc-d14f1a3a-7dfe-4684-b650-6736cdd7623f
3111/12/2024 02:01:56 : epoch 6758f134 : share-manager-pvc-d14f1a3a-7dfe-4684-b650-6736cdd7623f : nfs-ganesha-33[svc_28] nfs4_op_create_session :CLIENT ID :INFO :CREATE_SESSION client addr=::ffff:100.97.0.0 clientid=Epoch=0x6758f134 Counter=0x000008ea -------------------
3211/12/2024 02:01:56 : epoch 6758f134 : share-manager-pvc-d14f1a3a-7dfe-4684-b650-6736cdd7623f : nfs-ganesha-33[svc_28] nfs4_op_create_session :CLIENT ID :INFO :CREATE_SESSION client addr=::ffff:100.97.0.0 clientid=Epoch=0x6758f134 Counter=0x000008ed -------------------
3311/12/2024 02:01:56 : epoch 6758f134 : share-manager-pvc-d14f1a3a-7dfe-4684-b650-6736cdd7623f : nfs-ganesha-33[svc_28] nfs4_op_create_session :CLIENT ID :INFO :Client Record 0x7ffa34004420 name=(23:Linux NFSv4.2 localhost) refcount=3 cr_confirmed_rec=0x7ffa0c015b50 cr_unconfirmed_rec=0x7ffa3c01dec0