{% searchContent %}

的相关作品

热门收藏热门浏览

广州易薪水

关注

机器类：VR互动

负债：三维建模、UV展开、材质贴图制作制作软件：3dmax2018（模型制作）、Photoshop（贴图制作）

salarh

web安全流量限制

项目背景：因公司业务转移至线上商城，为应对每月活动，对业务要求及时性高，被要求不间断发布与测试。并且防止商城秒杀等页面被恶意攻击。项目实施：技术选项：istio,flagger,kubernetes(自建)，jekines,nacos实施：istio自身也可以做灰度发布,主要基于他本身的IngressRoute的路由规则,但针对流量转移,自动回滚,部署这些是人为操作;故而找到开源的flagger进行流量灰度的渐进式交付,使用Prometheus监控接口指标判断，进行自动化灰度(金丝雀发布需要研发配合接口改造)发布和回滚.又因SpringColoud微服务注册到nacos，nacos服务注册调用的默认方式是轮询，故和研发沟通新增类似健康检查的接口作为下线预警，在deployment的时候调用这个接口，实现nacos注册的服务权重由1变0，并在30s后下线。安全方面：Istio中设置黑白名单、熔断和错误访问限制是提高服务网格安全性和稳定性。如：黑白名单黑白名单可以通过Istio的AuthorizationPolicy资源来实现apiVersion:security.istio.io/v1beta1kind:AuthorizationPolicymetadata:name:whitelist-policynamespace:defaultspec:selector:matchLabels:app:my-appaction:ALLOWrules:-from:-source:principals:["cluster.local/ns/default/sa/my-service-account"]

salarh

异地机房建设和登保三级配置

项目背景：因公司自建机房并无异地机房容灾，且因为公司性质需要安全登保项目实施：1、沟通登保要求的条件，并按照条件设计和实施机房的三级登录保护策略，包括多因素认证和实时监控。2、配合网络工程师评估和选择合适的异地机房位置，确保与原机房的网络连接，并制作成本明细，评审方案。3、新机器落地后设置高可用双平面的架构，并逐步开始集成和测试登保措施，确保原机房和异地机房上部署的系统均满足登保验证的条件。4、制定应急预案，进行定期演练，确保对潜在的安全事件能够快速响应。

salarh

基础环境建设

●项目背景：随着公司项目增多（从一个项目增加至八个项目），为了实现跨地域、跨机房、跨云的Kubernetes集群统一管理，提供一致的应用部署体验，简化运维复杂度，构建全面的监控告警和日志链路追踪系统。调研并采用kubeshere构建一个多集群联邦环境。●项目实施：集群联邦架构设计搭建：1、设计并实施了基于kubeshere的联邦架构，支持多集群资源的统一视图和调度。2、指定集群(kubeshere集群已存在使用)作为主机群，设置成员集群，并导入集群成员的kubeconfig。为提供统一的控制平面，将应用程序及其副本跨公有云和本地环境分发到多个集群。自动化部署流程：1、利用Jenkins在Kubernetes（k8s）中实现动态扩展，增加更多的Pod副本以处理请求，从而保证持续集成/持续部署（CI/CD）流程的性能和响应速度。2、集成了CI/CD流程，通过gitlab+JenkinsPipeline+Sonarqube+helm,组成的CI/CD系统。3、定义项目模板,标准化项目结构和必要内容.降低开发认知负担。构建自定义传参尽可能设置下拉框，选择式管理部分应用基线,完善消息通知机制.为开发提供自助的发布/新环境搭建/扩缩容/资源容量等功能,提高开发使用效率.业务侧监控告警与日志链路追踪系统：1、修改logbak利用SkyWalkingAgent构建skywalking-agentsidecar镜像并push至hub私有镜像仓库，以sidecar模式，通过共享的volume将agent所需的文件直接挂载到启动的服务镜像。实现了无侵入式链路日志追踪，并限制各种告警接口，日志关键值报错等阈值，快速发现并定位业务流转问题。2、基于Istio+SkyWalking+Prometheus+Grafana+Alertmanager搭建业务侧监控告警与日志链路追踪系统，通过Istio监控流量，控制流量中的路由、熔断、超时重试等，Prometheus收集集群的各项指标，并用Grafana进行展示，Alertmanager进行告警规则限制。安全性：1、基于traefik+cert-manager方式自动申请并续签HTTPS证书2、kubeshere集成LDAP，通过RBAC机制实现，在联邦集群中创建命名空间，将用户和资源进行分组和隔离，在每个命名空间中定义角色，将特定的权限分配给这些角色，简化管理和提高安全性，确保用户和组只能执行他们被授权的操作。