- 综合排序
- 最热优先
- 最新优先
- 来自专栏运维民工
ubuntu 20.04如何沙箱化systemd服务
这里我们使用vncserver systemd服务来做演示,这里的vncserver systemd配置如下 [Unit] Description=Remote desktop service (VNC ExecStop=/bin/bash -c '/usr/bin/vncserver -kill ":$(id -u %i)"' [Install] WantedBy=graphical.target 将上述的进程沙箱化的话我们可以执行下述步骤 禁止服务进程及其子进程获取新的权限 NoNewPrivileges=true 3. 阻止进程获取内核变量 ProtectKernelTunables=true 4.
74400编辑于 2023-02-22 - 来自专栏前端博客
微前端学习笔记(3):前端沙箱之JavaScript的sandbox(沙盒沙箱)
作为开发人员,我们经常会同沙箱环境打交道,例如,服务器中使用 Docker 创建应用容器;使用 Codesandbox运行 Demo示例;在程序中创建沙箱执行动态脚本等。 这个是腾讯的无界沙箱模式。 allow-popups-to-escape-sandbox: 允许沙箱文档打开新窗口,并且不强制要求新窗口设置沙箱标记。 沙箱逃逸的几种方式:访问沙箱执行上下文中某个对象内部属性时,如:通过window.parent利用沙箱执行上下文中对象的某个内部属性,Proxy 只可以拦截对象的一级属性,例如下面的上下文对象通过访问原型链实现逃逸 总结:多实例运行语法兼容不污染全局环境(主应用)LegacySanbox❌❌❌ProxySandbox✅❌✅SnapshotSandbox❌✅❌iframe✅✅✅转载本站文章《微前端学习笔记(3):前端沙箱之
3.8K21编辑于 2024-06-06 - 来自专栏云原生技术社区
服务网格项目Aeraki Mesh正式进入CNCF沙箱
被纳入 CNCF 托管,也意味着 Aeraki Mesh 成为云原生生态认可的,构建服务网格技术领域最佳实践的重要项目。 Istio 目前已经基本成为云原生服务网格领域的事实标准,但在流量管理和服务治理能力上,仍存在优化的空间。 Aeraki Mesh 致力于解决目前的服务网格内的项目只满足 HTTP/gRPC 协定,不反对其余开源及公有协定的痛点,提供和 Istio API 完全兼容的管理服务,帮助用户以较小的迁移成本和维护代价 ,快速获得服务网格提供的流量管理和服务治理能力,从而充分释放服务网格为云原生基础设施提供的效能。 Aeraki Mesh 可看做一个非侵入式 Istio 功能增强工具集,用户可以在服务网格中管理任何七层协议。
48430编辑于 2022-08-11 - 来自专栏FreeBuf
自动化沙箱打造之“关于XShell我有话说”
先看看自动化沙箱的其中一个功能吧,沙箱不太完善,最近在修改中,先看看结果吧。 ? 详细实现步骤 第一步:沙箱客户端的功能之一 基于wpcap开发了一个抓dns包的工具 打开这个工具 ? 第二步:运行特定软件 我这里选择xshell,蹭蹭热度 //2017.8月份的 ? 第三步:工具会给域名提交到沙箱网站上,看数据库设计 ? 第四步:当查看沙箱网站首页的时候,调用域名查询接口,这里我是调用阿里云的dns查询接口 ?
97160发布于 2018-03-01 - 来自专栏小程序类
安全沙箱怎样在企业数字化里发挥作用
随着企业数字化转型的深入,网络接入模式也更加多元化,移动办公、远程接入、云服务等场景在后疫情时代成为新常态! 例如能模拟出一整台服务器或者桌面电脑的虚拟机,应该能称之为安全沙箱 - 你可以在里面跑企业服务、也可以在里面打游戏,并不能影响宿主的安全稳定运行,你也可以把这个虚拟机一键删除,不管里面安装了什么东西。 这就是计算机世界的沙箱。数字化的发展,“隔离”是硬道理,只是隔离粒度不同,有云端“租户”之间的隔离、虚拟服务器的隔离、网络间微隔离、进程间隔离、乃至小小一个手机上一段代码(例如一个小程序)的隔离。 安全沙箱在企业数字化的应用空讲“数字化转型”无用,它怎么“落地变现”呢?“转型”后的企业的形态是怎样的呢? 都得被安全沙箱关着才能运行企业的一切业务内容,表现方式就是软件化代码化。
75840编辑于 2022-10-26 - 来自专栏架构
SpringBoot + 规则执行沙箱 + 超时熔断:防止脚本死循环拖垮整个服务
在没有隔离和熔断机制的情况下,脚本执行的风险主要集中在3个方面,最终都会指向服务不可用:线程资源耗尽:SpringBoot默认使用Tomcat线程池处理请求,线程数量有限(默认核心线程10个,最大线程200 二、方案设计:SpringBoot+沙箱+超时熔断三重保障本次方案的核心思路是「分层隔离、超时兜底、异常熔断」,整体架构分为3层,各层职责清晰,协同工作:2.1架构分层说明应用层(SpringBoot) 半开状态允许的请求数:3个请求都成功则关闭熔断registerHealthIndicator:true#注册健康指标,便于监控#触发熔断的异常类型(超时、沙箱异常、脚本执行异常)recordExceptions 查看日志:沙箱抛出超时异常,Resilience4j触发熔断,死循环脚本被强制中断,沙箱线程池线程正常释放。服务状态:主服务线程池无占用,接口可正常接收其他请求,服务稳定。 监控指标:通过Resilience4j的监控功能,收集熔断状态、失败率、超时次数等指标;通过Prometheus+Grafana可视化监控,设置告警(如熔断触发、沙箱线程池满)。
14510编辑于 2026-02-11 容器化技术与安全沙箱如何构建云计算安全新范式?
FinClip 提供的镜像安全扫描服务,结合沙箱环境模拟镜像运行,可检测出传统工具漏检的供应链攻击漏洞,漏检率降低至 5% 以下。· 东西向流量为何失控? · 流量可视化如何实现?:Istio 服务网格结合 FinClip 的沙箱日志分析,实现容器间调用链的安全审计,某金融交易系统异常流量识别速度提升至秒级。· 弹性隔离机制如何触发? :某云服务商通过 FinClip 的机器学习算法动态调整沙箱 CPU / 内存配额,资源利用率提升 25%,沙箱启动时间缩短至 200ms;对高频访问容器采用 Kata 强隔离,低频容器使用 gVisor 3. 行业实践如何验证新范式价值?· 金融行业如何应用? :沙箱日志量较传统容器增加 3 倍,FinClip 构建了智能化安全分析平台,结合 ELK 与机器学习,将日志分析效率提升 5 倍,有效降低安全运营复杂度。
41510编辑于 2025-07-08- 来自专栏前端达人
ClaudeCode通关手册(九):检查点 + 沙箱 + GitHub Actions,自动化
这篇讲完,你的 Claude Code 自动化体系就完整了。 所以这篇把三个东西放在一起讲——GitHub Actions(云端自动化)、检查点(本地后悔药)、沙箱(安全围栏)。三块拼图补齐,你的 Claude Code 就既能自主工作,又不会失控。 方式 3:/checkpoints 命令 /checkpoints 列出所有检查点和 ID,可以精确跳转到某个检查点: /rewind checkpoint_a3f8d2 三种回退策略 选中一个检查点后 三块拼图补齐:GitHub Actions 管云端自动化,检查点管本地回退,沙箱管安全边界。 Claude Code 从此既能自主工作,又不会失控。 你已经掌握了 Claude Code 从本地开发到云端自动化的完整链路。
68912编辑于 2026-03-12 - 来自专栏图南科技
系统服务化构建-定义服务化
关于服务化,以及软件系统的服务化,是一个大的概念。我通过写这些以服务化为主题的文章,总结出来服务化是一种思想,是一种软件过程,并没有严格的非此及彼的标准化定义. “服务化是有一定的量化指标可以参考的 本文试图在软件开发理论与中小型软件项目的最佳实践的基础之上,探寻最大程度的软件系统服务化。 “服务化系统首先应该是分布式的系统。 P2P 模式下,在一组服务化的系统中,每一个节点都是调用链中的一环,除了用户最前端和数据持久化的最末端,几乎每一个节点都在向上游获取服务,向下游提供服务。 基于以上内容的理解,本文对服务化做一个简单的定义 定义服务化 服务化是软件服务的一个过程,是不断更迭和完善的。 我们需要定义系统的核心模块及数量,也就是服务化的粒度 “稳定性 3 服务化的系统要稳定,可靠,可控 “健壮性 4 服务化的系统具有一定的健壮性,弹性。对于异常可以进行平行过度,拥有降级等容错机制。
1.4K20发布于 2020-02-20 - 来自专栏程序员果果
服务 Docker 化
文章首发于公众号《程序员果果》 地址:https://mp.weixin.qq.com/s/E_gJFbRaWOE-mnVR1lsYfQ 一、简介 Docker的出现让容器化技术得以普及,更快的部署和维护与 Spring Cloud的结合,能让我们不再像以前一样为了某一个模块的增加而服务器上大动干戈,还需要考虑环境的问题。 在这一篇中会讲到 SpringCloud 项目 Docker 化 。 8-jre e01608fba686 12 days ago 442MB 根据这三个镜像运行容器 ,来检查服务容器化后 [j5qgwfffmu.png] 访问 127.0.0.1:8764/hi 服务正常。 [1rk7655xzb.png]
60050发布于 2019-05-28 - 来自专栏cloudskyme
如何服务化
我们不得使用一些组件,来解决技术复杂性提高之后带来的问题: 服务注册中心:一个服务可以有多个实例,那么我们在向一个服务发出请求的时候,怎么知道这个服务有哪些实例呢? 为了减少手工维护的麻烦,我们需要服务注册中心。每个服务实例在启动时,向注册中心注册自己的IP地址等信息。这样,服务在调用别的服务的接口时,就可以通过注册中心,查询到其他服务的实例,向实例发起请求。 三、服务化的愿景 「微服务」 是业内最近两三年业内很火的 buzzword,迁移到微服务架构,大多强调这些好处: 松耦合 独立发布 快速迭代 故障隔离 增加重用 经过服务的拆分,将复杂到难以移动的单体应用 四、基于 SSO 的分拆 RPC (远程过程调用)是服务化体系中基础的基础,但是慢慢的我们发现 RPC 并非分拆的唯一选择。 六、服务分层:业务服务和公共服务 在垂直业务之外,也存在多数业务都会重用的公共服务,如用户、话题、网页抓取、多媒体、推送等。
67410发布于 2020-06-15 - 来自专栏腾讯云原生团队
Aeraki Mesh正式成为CNCF沙箱项目,腾讯云携伙伴加速服务网格成熟商用
CNCF 沙箱项目。 作为 Service Mesh 开源领域的领军项目,Istio 受到了广大开发者的欢迎,加入 CNCF 标志着 Istio 和 K8s,Knative 三大云原生容器自动化框架纳入了同一个治理架构,Istio 在微服务中经常会使用到其他的协议,例如 Dubbo、Thrift、Redis,以及私有协议等。只使用 Istio 无法对这些流量进行服务治理。 Aeraki 还在控制面中充当了 MetaProtocol Proxy 的 RDS(路由发现服务)服务器。 Aeraki Mesh 已经在央视频、腾讯音乐等大型项目中产品化落地,并经过了 2022 冬奥会线上大规模流量的实战检验。目前有多个产品正在接入测试中。
87330编辑于 2022-06-20 - 来自专栏python3
3:elasticsearch服务编写
import java.util.List; import java.util.Map; public interface IIndexService<T> { /** * 插入数据 * @param t * @return */ public boolean insertOne(T t); /** * 批量插入数据 * @param lists * @return */ publ
63140发布于 2020-01-13 - 来自专栏python3
DNS服务搭建(3)
★配置DNS转发 我之前配置的DNS服务只能解析我定义过的zone,而没有定义的zone是不能解析的,因此存在着很大的弊端。 但是配置了DNS转发之后,就可以顺利解析互联网上了其他域名了,当然,解析此域名的前提是这个域名在互联网中确实存在并且正在使用,也就是说这个域名已经被某个DNS服务器解析了。 8.8.8.8这个DNS服务器上去解析。 我们测试一下 重启named服务 在此解析www.qq.com [root@yue named]# dig @127.0.0.1 www.qq.com ; <<>> DiG 9.8.2rc1-RedHat 在从上生成rndc.key: rndc-confgen -r /dev/urandom -a 更改key的属组: chown named:named /etc/rndc.key 在从上启动named服务
1.6K30发布于 2020-01-15 - 来自专栏python3
配置DHCP服务 (3)
呵呵,上个章节中,我给大家讲解了DHCP服务器的一些基本概念和DHCP服务器的安装,但是我也说过,刚安装好的DHCP服务器是不可用的。 DHCP服务器的授权: 授权DHCP服务器是一种安全的防御措施,它可以确保“只有经过授权的DHCP服务器才能在网络中运行: 1. 如上图所示一样,服务器的名称为“dcl.benet.com.cn”,在这个例子中我们的DHCP服务器安装在DC上的,在左边,我们可以看到一个“向下的红色的箭头”这就是表示DHCP服务器还没有正常的开始工作 接下来就出现了“管理授权服务器”的对话框,见下图: ? 单击上图中的“授权”按钮,输入授权服务器的IP地址,见下图: ? 确认授权的对话框中将出现的IP地址和服务器名称,单击确定,见下图: ? 选中要授权的服务器,单击“确定”按钮,见下图: ? 出现表示主机已经添加到服务器列表的对话框,单击“确定”按钮,这样,我们就成功的授权了DHCP服务器了。见下图 ?
1.5K10发布于 2020-01-14 - 来自专栏Owen's World
服务器3
name 'server-dev.343.cn' 复制代码 一直以为是证书问题,发现nginx的配置 server_name配错了... butu18.04系统BUG引起的负载过高问题 问题描述: 此前测试服务器负载偏高 当日CPU频繁达到100%,负载几十,造成服务器瘫痪。 问题原因: 自查未找到原因。做如下尝试: 1.关闭服务器上的自建服务,负载未恢复正常。 3.阿里云调整了该实例的物理存储,负载未恢复正常。 4.将该实例打包成镜像重新创建实例,负载正常。 5.将该实例重装系统,选择ubutu16版本,负载正常。 options for Ubuntu>Ubuntu, with Linux 4.15.0-55-generic" 2.grep menuentry /boot/grub/grub.cfg 查看启动顺序 3.
56420编辑于 2021-12-07 - 来自专栏图南科技
服务化构建-服务的无状态化能带来什么?
而这些服务需要扩展和调整时,对应的文件就会成为累赘和负担。 拓展 业界很流行的微服务架构中,实现微服务有四大步骤,其中有一点就是服务的无状态。 ? 微服务四步法 ❝从架构设计层面,可以把系统分为有状态部分和无状态部分❞ 服务是无状态化的,而业务必定是有状态的,所以一个应用系统必定可以分为有状态部分和无状态部分。这也是一种架构切割方案。 之所以是无状态化的,是因为有状态部分被转移来,这就要靠中间件了。 合适的就是最好的 服务的无状态演化升级是实现分布式架构和微服务的充分不必要条件。 现实开发中,并不是所有的公司都能撑得起服务的完全无状态,然而这并不影响我们趋向于无状态化的设计我们的系统。 ❝指导思想不会变,服务无状态,业务有状态。❞ 还是那句话合适的就是最好的。 参考 微服务化之无状态化与容器化[1] Reference [1]微服务化之无状态化与容器化: https://zhuanlan.zhihu.com/p/35024110
1.7K10发布于 2020-06-15 - 来自专栏vivo互联网技术
微服务时代组件化和服务化的抉择
,在此我们称之为服务化。 三、服务化的优劣势及适用场景 3.1 服务化存在的优势 服务化后可做到资源隔离,互不影响,对调用方隐藏内部细节,可独立进行开发部署,提升开发效率; 相比组件化来说可维护性更好,服务化之后各个模块服务之间是解耦的 3.2 服务化存在的劣势 服务性能相对组件化来说较差一些,服务化拆分的越多,服务之间的相互调用越复杂,调用链路也会变的更长,服务之间的网络请求调用越多性能越差; 服务化后多服务多节点部署,会带来一些天然的分布式系统固有的问题 ,服务拆分越细成本越高; 3.3 服务化适用的场景 那么哪些场景适合使用服务化的方式来部署呢? 四、总结 总结下组件化和服务化各自优劣: _ 组件化 服务化 开发效率 低 高 调用性能 高 低 可维护性 低 高 维护成本 高 低 机器成本 低 高 服务整体稳定性 高 低 适用场景 不涉及数据库资源
1.4K30发布于 2021-03-29 - 来自专栏测试邦
谈谈测试服务化
做的东西如果使用的人多了自然价值就会变大,所以将测试服务化是个不错的尝试方向。 测试服务化不但可以让测试自身使用比较便捷同时也可以让开发同学使用,乃至可以推广到更多的群体,运用范围广最后可以成为重要的基础的设施服务。 现在我们简单介绍下测试服务化的一个简单实践尝试。 3 测试服务化实施 上面的测试通过后为了让这个ocr测试服务让更多的人便捷的使用到可以考虑将这个功能封装成一个接口的形式,这样调用者和只需提供一张图片就可通过这个服务来获取图片上的文字。 到这里我们已经完成了这个小功能的测试服务化工作了,后续相关人员需要用到这个服务的话只需要调用下这个暴露出来的接口即可,无需什么其他依赖。 以上是对测试服务的一点小实践,实际的测试服务化业务逻辑会复杂不少,希望可以给你带来抛砖引玉的作用~ 长得帅的的都会扫描关注如下微信公众号哦~ IMG_1121.JPG
2.4K40发布于 2019-07-30 - 来自专栏程序员升级之路
服务化反面案例
二、什么是服务,如何做服务化 先抛开上述设计的分析,我们看什么是一个服务,在我看来一个服务应该包含几点: 1、有自己的数据,对整个数据的生命周期进行管理,像订单中心,要对订单的创建、支付、发货,甚至包括逆向的售后都需要参与管理 ; 2、和其它系统交互主要通过接口交互,当然也有一些异步交互,像发送MQ,但主要还是通过接口交互,因为你要控制业务的逻辑,才能做到高内聚; 3、独立的部署; 4、做的比大的服务还有自己的后台,可以对业务进行配置 如何做服务化呢,没有严格的标准,在我看来有些可以参考: 1、分清哪些是服务该做的,哪些是不该做的 这个要结合业务讨论,理清业务边界,即要对系统的职责进行准确的定位; 2、对外一定是以接口提供服务为主 3、业务闭环 服务所管理的业务的整个生命周期的应该是在服务内闭环的; 就像权限服务,核心应该是管理权限,那么权限的添加、修改、判断用户是否有权限都应该是在权限服务里完成的。 3、数据的安全性 因为权限数据到处复制,所以所有人的权限都可以看到,这个包括一些BOSS级别,如果数据库相关流程设计不好,每个业务系统都可以看到所有人的权限,很有可能泄漏敏感数据。
86230发布于 2020-09-11
腾讯云开发者
Copyright © 2013 - 2026 Tencent Cloud. All Rights Reserved. 腾讯云 版权所有
深圳市腾讯计算机系统有限公司 ICP备案/许可证号:粤B2-20090059 
粤公网安备44030502008569号
腾讯云计算(北京)有限责任公司 京ICP证150476号 | 京ICP备11018762号