- 综合排序
- 最热优先
- 最新优先
- 来自专栏运维民工
ubuntu 20.04如何沙箱化systemd服务
这里我们使用vncserver systemd服务来做演示,这里的vncserver systemd配置如下 [Unit] Description=Remote desktop service (VNC ExecStop=/bin/bash -c '/usr/bin/vncserver -kill ":$(id -u %i)"' [Install] WantedBy=graphical.target 将上述的进程沙箱化的话我们可以执行下述步骤 禁止服务进程及其子进程获取新的权限 NoNewPrivileges=true 3. 阻止进程获取内核变量 ProtectKernelTunables=true 4.
74400编辑于 2023-02-22 - 来自专栏云原生技术社区
服务网格项目Aeraki Mesh正式进入CNCF沙箱
被纳入 CNCF 托管,也意味着 Aeraki Mesh 成为云原生生态认可的,构建服务网格技术领域最佳实践的重要项目。 Istio 目前已经基本成为云原生服务网格领域的事实标准,但在流量管理和服务治理能力上,仍存在优化的空间。 Aeraki Mesh 致力于解决目前的服务网格内的项目只满足 HTTP/gRPC 协定,不反对其余开源及公有协定的痛点,提供和 Istio API 完全兼容的管理服务,帮助用户以较小的迁移成本和维护代价 ,快速获得服务网格提供的流量管理和服务治理能力,从而充分释放服务网格为云原生基础设施提供的效能。 Aeraki Mesh 可看做一个非侵入式 Istio 功能增强工具集,用户可以在服务网格中管理任何七层协议。
48430编辑于 2022-08-11 - 来自专栏FreeBuf
自动化沙箱打造之“关于XShell我有话说”
先看看自动化沙箱的其中一个功能吧,沙箱不太完善,最近在修改中,先看看结果吧。 ? 详细实现步骤 第一步:沙箱客户端的功能之一 基于wpcap开发了一个抓dns包的工具 打开这个工具 ? 第二步:运行特定软件 我这里选择xshell,蹭蹭热度 //2017.8月份的 ? 第三步:工具会给域名提交到沙箱网站上,看数据库设计 ? 第四步:当查看沙箱网站首页的时候,调用域名查询接口,这里我是调用阿里云的dns查询接口 ?
97160发布于 2018-03-01 - 来自专栏小程序类
安全沙箱怎样在企业数字化里发挥作用
随着企业数字化转型的深入,网络接入模式也更加多元化,移动办公、远程接入、云服务等场景在后疫情时代成为新常态! 例如能模拟出一整台服务器或者桌面电脑的虚拟机,应该能称之为安全沙箱 - 你可以在里面跑企业服务、也可以在里面打游戏,并不能影响宿主的安全稳定运行,你也可以把这个虚拟机一键删除,不管里面安装了什么东西。 这就是计算机世界的沙箱。数字化的发展,“隔离”是硬道理,只是隔离粒度不同,有云端“租户”之间的隔离、虚拟服务器的隔离、网络间微隔离、进程间隔离、乃至小小一个手机上一段代码(例如一个小程序)的隔离。 安全沙箱在企业数字化的应用空讲“数字化转型”无用,它怎么“落地变现”呢?“转型”后的企业的形态是怎样的呢? 都得被安全沙箱关着才能运行企业的一切业务内容,表现方式就是软件化代码化。
75840编辑于 2022-10-26 - 来自专栏物流IT圈
传统企业微服务落地大法(4)-真正的微服务化阶段
第三个阶段就是真正的微服务化了,也有三大特征: (坦白来说,传统企业到这个程度难于登天,不仅仅需要完全独立的IT公司,比较独立的IT文化,还要能走向市场,变成真正的利润中心) 组织DevOps化,架构微服务化 拆分如何保证功能不变,不引入Bug——持续集成,参考微服务化的基石——持续集成 静态资源要拆分出来,缓存到接入层或者CDN,将大部分流量拦截在离用户近的边缘节点或者接入层缓存,参考微服务的接入层设计与动静资源隔离 应用的状态要从业务逻辑中拆分出来,使得业务无状态,可以基于容器进行横向扩展,参考微服务化之无状态化与容器化 核心业务和非核心业务要拆分,方便核心业务的扩展以及非核心业务的降级,参考微服务化之服务拆分与服务发现 数据库要读写分离,要分库分表,才能在超大数据量的情况下,数据库具有横向扩展的能力,不成为瓶颈,参考微服务化的数据库设计与读写分离 要层层缓存,只有少数的流量到达中军大营数据库,参考微服务化之缓存的设计 阶段三的运维模式 业务的微服务化改造之后,对于运维的模式是有冲击的。 ? 如果业务拆成了如此网状的细粒度,服务的数目就会非常的多,每个服务都会独立发布,独立上线,因而版本也非常多。
76650发布于 2019-07-16 - 来自专栏架构
SpringBoot + 规则执行沙箱 + 超时熔断:防止脚本死循环拖垮整个服务
3.2.1沙箱配置类通过Sandbox4J的API配置沙箱,确保脚本执行在独立的环境中,禁止访问主服务的核心类和方法:importcom.alibaba.sandbox4j.api.Sandbox;importcom.alibaba.sandbox4j.api.SandboxConfig 查看日志:沙箱抛出超时异常,Resilience4j触发熔断,死循环脚本被强制中断,沙箱线程池线程正常释放。服务状态:主服务线程池无占用,接口可正常接收其他请求,服务稳定。 5.1沙箱隔离的核心原理本次使用的Sandbox4J沙箱,核心是「线程隔离+类加载隔离」:线程隔离:沙箱使用独立的线程池执行脚本,与主服务的Tomcat线程池完全隔离,即使脚本死循环,占用的也是沙箱线程池的线程 沙箱的超时是「沙箱层面的兜底」,Resilience4j的超时是「应用层面的兜底」,两者协同工作:沙箱超时:防止沙箱线程被长期占用,即使Resilience4j出现异常,沙箱也能自行中断脚本。 监控指标:通过Resilience4j的监控功能,收集熔断状态、失败率、超时次数等指标;通过Prometheus+Grafana可视化监控,设置告警(如熔断触发、沙箱线程池满)。
14510编辑于 2026-02-11 容器化技术与安全沙箱如何构建云计算安全新范式?
FinClip 提供的镜像安全扫描服务,结合沙箱环境模拟镜像运行,可检测出传统工具漏检的供应链攻击漏洞,漏检率降低至 5% 以下。· 东西向流量为何失控? 安全沙箱通过构建独立执行环境,为容器化应用提供 "进程级 + 资源级" 的双重隔离,二者形成 "基础设施层 + 安全增强层" 的立体化防御架构。 · 流量可视化如何实现?:Istio 服务网格结合 FinClip 的沙箱日志分析,实现容器间调用链的安全审计,某金融交易系统异常流量识别速度提升至秒级。· 弹性隔离机制如何触发? :某云服务商通过 FinClip 的机器学习算法动态调整沙箱 CPU / 内存配额,资源利用率提升 25%,沙箱启动时间缩短至 200ms;对高频访问容器采用 Kata 强隔离,低频容器使用 gVisor · Serverless 沙箱化如何演进?
41510编辑于 2025-07-08- 来自专栏前端达人
ClaudeCode通关手册(九):检查点 + 沙箱 + GitHub Actions,自动化
Level 4(高级篇)收官。这篇讲完,你的 Claude Code 自动化体系就完整了。 所以这篇把三个东西放在一起讲——GitHub Actions(云端自动化)、检查点(本地后悔药)、沙箱(安全围栏)。三块拼图补齐,你的 Claude Code 就既能自主工作,又不会失控。 三块拼图补齐:GitHub Actions 管云端自动化,检查点管本地回退,沙箱管安全边界。 Claude Code 从此既能自主工作,又不会失控。 Level 4 通关检查清单 回顾 Level 4(高级篇)两篇文章的完整检查清单: [ ] 用 Headless 模式(claude -p)写过自动化脚本 [ ] 用 Agent SDK 的 query Level 4 通关。你已经掌握了 Claude Code 从本地开发到云端自动化的完整链路。
68912编辑于 2026-03-12 - 来自专栏Java架构师历程
4、服务发现
在运行于物理硬件上的传统应用中,服务实例的网络位置是相对静态的。例如,您的代码可以从偶尔更新的配置文件中读取网络位置。 然而,在现代基于云的微服务应用中,这是一个更难解决的问题,如图 4-1 所示。 之后,客户端利用负载均衡算法选择一个可用的服务实例并发出请求。 图 4-2 展示了该模式的结构 ? 服务实例的网络位置在服务注册中心启动时被注册。当实例终止时,它将从服务注册中心中移除。 4.3、服务端发现模式 服务发现的另一种方式是服务端发现模式。图 4-3 展示了该模式的结构: ? 客户端通过负载均衡器向服务发出请求。负载均衡器查询服务注册中心并将每个请求路由到可用的服务实例。 4.6、自注册模式 当使用自注册模式时,服务实例负责在服务注册中心注册和注销自己。此外,如果有必要,服务实例将通过发送心跳请求来防止其注册信息过期。 图 4-4 展示了该模式的结构。 ? 图 4-5 展示了该模式的结构: ? 开源的 Registrator 项目是一个很好的服务注册器示例。它可以自动注册和注销作为 Docker 容器部署的服务实例。
2.6K30发布于 2018-09-26 - 来自专栏区块链入门
【知识总结】4.微服务的治理去中心化,服务发现,安全,部署
引言:上篇文章介绍了微服务和单体架构的区别、微服务的设计、消息、服务间通信、数据去中心化,本篇会继续深入微服务,介绍其它特性。 治理去中心化 通常“治理”的意思是构建方案,并且迫使人们通过努力达到组织的目标。SOA治理指导开发者开发可重用的服务,以及随着时间推移,服务应该怎么被设计和开发。 治理建立了服务提供者和消费者之间对于服务的协定,告诉消费者能从服务提供获取到什么样的支持。 SOA中有两种常见的治理: 设计时的治理-定义和控制服务的创建、设计和服务策略的实施。 总结微服务的治理去中心化如下: 微服务架构,在设计时不需要集中考虑治理。 每个微服务可以有独立的设计、执行决策。 微服务架构着重培养通用/可重用的服务。 服务发现 为了能找到可用的服务和他们的位置信息,需要服务发现机制。有两种发现机制,客户端发现和服务端发现。 客户端发现 - 客户端或者API网关通过查询服务注册中心或者服务的位置信息。 ?
2.7K20发布于 2021-03-11 - 来自专栏图南科技
系统服务化构建-定义服务化
关于服务化,以及软件系统的服务化,是一个大的概念。我通过写这些以服务化为主题的文章,总结出来服务化是一种思想,是一种软件过程,并没有严格的非此及彼的标准化定义. “服务化是有一定的量化指标可以参考的 本文试图在软件开发理论与中小型软件项目的最佳实践的基础之上,探寻最大程度的软件系统服务化。 “服务化系统首先应该是分布式的系统。 基于以上内容的理解,本文对服务化做一个简单的定义 定义服务化 服务化是软件服务的一个过程,是不断更迭和完善的。 我们需要定义系统的核心模块及数量,也就是服务化的粒度 “稳定性 3 服务化的系统要稳定,可靠,可控 “健壮性 4 服务化的系统具有一定的健壮性,弹性。对于异常可以进行平行过度,拥有降级等容错机制。 弹性思维 容错降级 容错理念.png 总结 本文从分布式的特点,服务交互状态,以及网络通讯模型几部分着手,基于理论,实践,可复制性,复盘开发经验和理解的原则,对软件服务化进行了 4 个纬度的定义。
1.4K20发布于 2020-02-20 - 来自专栏Owen's World
服务器4
解决方案 1.因为是阿里云服务器,先在阿里云后台禁止公网访问3306端口。
50220编辑于 2021-12-07 - 来自专栏程序员果果
服务 Docker 化
文章首发于公众号《程序员果果》 地址:https://mp.weixin.qq.com/s/E_gJFbRaWOE-mnVR1lsYfQ 一、简介 Docker的出现让容器化技术得以普及,更快的部署和维护与 Spring Cloud的结合,能让我们不再像以前一样为了某一个模块的增加而服务器上大动干戈,还需要考虑环境的问题。 在这一篇中会讲到 SpringCloud 项目 Docker 化 。 8-jre e01608fba686 12 days ago 442MB 根据这三个镜像运行容器 ,来检查服务容器化后 [j5qgwfffmu.png] 访问 127.0.0.1:8764/hi 服务正常。 [1rk7655xzb.png]
60050发布于 2019-05-28 - 来自专栏cloudskyme
如何服务化
我们不得使用一些组件,来解决技术复杂性提高之后带来的问题: 服务注册中心:一个服务可以有多个实例,那么我们在向一个服务发出请求的时候,怎么知道这个服务有哪些实例呢? 为了减少手工维护的麻烦,我们需要服务注册中心。每个服务实例在启动时,向注册中心注册自己的IP地址等信息。这样,服务在调用别的服务的接口时,就可以通过注册中心,查询到其他服务的实例,向实例发起请求。 三、服务化的愿景 「微服务」 是业内最近两三年业内很火的 buzzword,迁移到微服务架构,大多强调这些好处: 松耦合 独立发布 快速迭代 故障隔离 增加重用 经过服务的拆分,将复杂到难以移动的单体应用 四、基于 SSO 的分拆 RPC (远程过程调用)是服务化体系中基础的基础,但是慢慢的我们发现 RPC 并非分拆的唯一选择。 六、服务分层:业务服务和公共服务 在垂直业务之外,也存在多数业务都会重用的公共服务,如用户、话题、网页抓取、多媒体、推送等。
67410发布于 2020-06-15 - 来自专栏技术杂记
日志服务器(4)
setenforce 0 [root@h105 html]# getenforce Permissive [root@h105 html]# 要关掉 SElinux ,否则它会捣乱 加载新环境,重启httpd 服务
83140发布于 2021-10-19 - 来自专栏腾讯云原生团队
Aeraki Mesh正式成为CNCF沙箱项目,腾讯云携伙伴加速服务网格成熟商用
CNCF 沙箱项目。 作为 Service Mesh 开源领域的领军项目,Istio 受到了广大开发者的欢迎,加入 CNCF 标志着 Istio 和 K8s,Knative 三大云原生容器自动化框架纳入了同一个治理架构,Istio 在微服务中经常会使用到其他的协议,例如 Dubbo、Thrift、Redis,以及私有协议等。只使用 Istio 无法对这些流量进行服务治理。 Aeraki 还在控制面中充当了 MetaProtocol Proxy 的 RDS(路由发现服务)服务器。 Aeraki Mesh 已经在央视频、腾讯音乐等大型项目中产品化落地,并经过了 2022 冬奥会线上大规模流量的实战检验。目前有多个产品正在接入测试中。
87330编辑于 2022-06-20 - 来自专栏方亮
一种注册表沙箱的思路、实现——研究Reactos中注册表函数的实现4
今天为了KPI,搞了一天的PPT,搞得恶心想吐。最后还是回到这儿,这儿才是我的净土,可以写写我的研究。
52620发布于 2019-01-16 - 来自专栏图南科技
服务化构建-服务的无状态化能带来什么?
而这些服务需要扩展和调整时,对应的文件就会成为累赘和负担。 拓展 业界很流行的微服务架构中,实现微服务有四大步骤,其中有一点就是服务的无状态。 ? 微服务四步法 ❝从架构设计层面,可以把系统分为有状态部分和无状态部分❞ 服务是无状态化的,而业务必定是有状态的,所以一个应用系统必定可以分为有状态部分和无状态部分。这也是一种架构切割方案。 之所以是无状态化的,是因为有状态部分被转移来,这就要靠中间件了。 合适的就是最好的 服务的无状态演化升级是实现分布式架构和微服务的充分不必要条件。 现实开发中,并不是所有的公司都能撑得起服务的完全无状态,然而这并不影响我们趋向于无状态化的设计我们的系统。 ❝指导思想不会变,服务无状态,业务有状态。❞ 还是那句话合适的就是最好的。 参考 微服务化之无状态化与容器化[1] Reference [1]微服务化之无状态化与容器化: https://zhuanlan.zhihu.com/p/35024110
1.7K10发布于 2020-06-15 - 来自专栏vivo互联网技术
微服务时代组件化和服务化的抉择
,在此我们称之为服务化。 三、服务化的优劣势及适用场景 3.1 服务化存在的优势 服务化后可做到资源隔离,互不影响,对调用方隐藏内部细节,可独立进行开发部署,提升开发效率; 相比组件化来说可维护性更好,服务化之后各个模块服务之间是解耦的 3.2 服务化存在的劣势 服务性能相对组件化来说较差一些,服务化拆分的越多,服务之间的相互调用越复杂,调用链路也会变的更长,服务之间的网络请求调用越多性能越差; 服务化后多服务多节点部署,会带来一些天然的分布式系统固有的问题 ,服务拆分越细成本越高; 3.3 服务化适用的场景 那么哪些场景适合使用服务化的方式来部署呢? 四、总结 总结下组件化和服务化各自优劣: _ 组件化 服务化 开发效率 低 高 调用性能 高 低 可维护性 低 高 维护成本 高 低 机器成本 低 高 服务整体稳定性 高 低 适用场景 不涉及数据库资源
1.4K30发布于 2021-03-29 - 来自专栏超级架构师
(4) 微服务架构采用准则
顾名思义,微服务体系结构是将服务器应用程序构建为一组小型服务的方法。这意味着微服务架构主要面向后端,尽管这种方法也用于前端。 每个微服务在特定的上下文边界内实现特定的端到端域或业务能力,并且每个微服务都必须自主开发和独立部署。 最后,每个微服务都应该拥有其相关的域数据模型和域逻辑(主权和分散的数据管理),并且可以基于不同的数据存储技术(SQL、NoSQL)和不同的编程语言。 微服务应该有多大? 在开发微服务时,大小不应该是重点。相反,重要的一点应该是创建松散耦合的服务,这样您就可以为每个服务自主地进行开发、部署和扩展。 当然,在识别和设计微服务时,只要不与其他微服务有太多直接依赖关系,就应该尽量使它们尽可能小。比微服务的大小更重要的是它必须具有的内部内聚性及其与其他服务的独立性。
35631发布于 2020-07-18
腾讯云开发者
Copyright © 2013 - 2026 Tencent Cloud. All Rights Reserved. 腾讯云 版权所有
深圳市腾讯计算机系统有限公司 ICP备案/许可证号:粤B2-20090059 
粤公网安备44030502008569号
腾讯云计算(北京)有限责任公司 京ICP证150476号 | 京ICP备11018762号