- 综合排序
- 最热优先
- 最新优先
- 来自专栏运维民工
ubuntu 20.04如何沙箱化systemd服务
这里我们使用vncserver systemd服务来做演示,这里的vncserver systemd配置如下 [Unit] Description=Remote desktop service (VNC ExecStop=/bin/bash -c '/usr/bin/vncserver -kill ":$(id -u %i)"' [Install] WantedBy=graphical.target 将上述的进程沙箱化的话我们可以执行下述步骤 禁止服务进程及其子进程获取新的权限 NoNewPrivileges=true 3. 阻止进程获取内核变量 ProtectKernelTunables=true 4.
74400编辑于 2023-02-22 - 来自专栏云原生技术社区
服务网格项目Aeraki Mesh正式进入CNCF沙箱
被纳入 CNCF 托管,也意味着 Aeraki Mesh 成为云原生生态认可的,构建服务网格技术领域最佳实践的重要项目。 Istio 目前已经基本成为云原生服务网格领域的事实标准,但在流量管理和服务治理能力上,仍存在优化的空间。 Aeraki Mesh 致力于解决目前的服务网格内的项目只满足 HTTP/gRPC 协定,不反对其余开源及公有协定的痛点,提供和 Istio API 完全兼容的管理服务,帮助用户以较小的迁移成本和维护代价 ,快速获得服务网格提供的流量管理和服务治理能力,从而充分释放服务网格为云原生基础设施提供的效能。 Aeraki Mesh 可看做一个非侵入式 Istio 功能增强工具集,用户可以在服务网格中管理任何七层协议。
48430编辑于 2022-08-11 - 来自专栏FreeBuf
自动化沙箱打造之“关于XShell我有话说”
先看看自动化沙箱的其中一个功能吧,沙箱不太完善,最近在修改中,先看看结果吧。 ? 详细实现步骤 第一步:沙箱客户端的功能之一 基于wpcap开发了一个抓dns包的工具 打开这个工具 ? 第二步:运行特定软件 我这里选择xshell,蹭蹭热度 //2017.8月份的 ? 第三步:工具会给域名提交到沙箱网站上,看数据库设计 ? 第四步:当查看沙箱网站首页的时候,调用域名查询接口,这里我是调用阿里云的dns查询接口 ?
97160发布于 2018-03-01 - 来自专栏小程序类
安全沙箱怎样在企业数字化里发挥作用
随着企业数字化转型的深入,网络接入模式也更加多元化,移动办公、远程接入、云服务等场景在后疫情时代成为新常态! 例如能模拟出一整台服务器或者桌面电脑的虚拟机,应该能称之为安全沙箱 - 你可以在里面跑企业服务、也可以在里面打游戏,并不能影响宿主的安全稳定运行,你也可以把这个虚拟机一键删除,不管里面安装了什么东西。 这就是计算机世界的沙箱。数字化的发展,“隔离”是硬道理,只是隔离粒度不同,有云端“租户”之间的隔离、虚拟服务器的隔离、网络间微隔离、进程间隔离、乃至小小一个手机上一段代码(例如一个小程序)的隔离。 安全沙箱在企业数字化的应用空讲“数字化转型”无用,它怎么“落地变现”呢?“转型”后的企业的形态是怎样的呢? 都得被安全沙箱关着才能运行企业的一切业务内容,表现方式就是软件化代码化。
75840编辑于 2022-10-26 - 来自专栏架构
SpringBoot + 规则执行沙箱 + 超时熔断:防止脚本死循环拖垮整个服务
本文将分享一套基于SpringBoot的解决方案:通过「规则执行沙箱」实现脚本与主服务的隔离,结合「超时熔断机制」强制中断异常脚本,双重保障服务稳定性,彻底解决脚本异常拖垮服务的问题。 查看日志:沙箱抛出超时异常,Resilience4j触发熔断,死循环脚本被强制中断,沙箱线程池线程正常释放。服务状态:主服务线程池无占用,接口可正常接收其他请求,服务稳定。 4.4场景3:频繁超时脚本(验证熔断降级)连续调用10次死循环脚本(触发熔断阈值),测试结果:前5次调用:触发超时,返回兜底结果,失败率50%。 5秒后(熔断开放时间):尝试调用,若脚本恢复正常,则熔断关闭;若仍异常,则继续保持熔断状态。结论:方案能有效处理频繁异常的脚本,避免服务资源被持续占用。 监控指标:通过Resilience4j的监控功能,收集熔断状态、失败率、超时次数等指标;通过Prometheus+Grafana可视化监控,设置告警(如熔断触发、沙箱线程池满)。
14510编辑于 2026-02-11 - 来自专栏Seebug漏洞平台
利用特殊协议加载本地文件, 绕过 HTML5 沙箱, 打开弹窗诸事
[ PoC – 在微软 Edge 浏览器上弹窗 ] 那么 HTML5 沙箱又怎样呢?如果你不熟悉它,它只是一种使用 iframe 沙箱属性或者 http header 的沙箱属性对网页施加限制的方法。 事实上,如果我们使用沙盒粒度,并且至少允许打开新窗口/标签,他们应该全都继承沙箱属性,以及从 iframe 点击链接打开的依然受沙盒限制。 [ PoC – 在 微软 Edge 浏览器上绕过 HTML5 沙箱 ] 很高兴看到 microsoft-edge 协议允许我们绕过不同的限制。我更深入研究,但你可以一试! 一旦附加上去,只需要按 F5 或者在 WinDbg 中按 g [回车],使 Edge 保持运行。这是我屏幕现在看起来的样子。 CReadingModeViewerEdge::_LoadRMHTML+0x5a 0:029> g 这很一颗赛艇。
3K80发布于 2018-03-30 容器化技术与安全沙箱如何构建云计算安全新范式?
FinClip 提供的镜像安全扫描服务,结合沙箱环境模拟镜像运行,可检测出传统工具漏检的供应链攻击漏洞,漏检率降低至 5% 以下。· 东西向流量为何失控? FinClip 通过轻量化的安全沙箱技术,在保障安全的同时,将容器启动时间增加控制在 5% 以内,资源开销降低至 15%,完美平衡了敏捷性与安全性。二、容器化技术与安全沙箱如何实现协同防御? · 流量可视化如何实现?:Istio 服务网格结合 FinClip 的沙箱日志分析,实现容器间调用链的安全审计,某金融交易系统异常流量识别速度提升至秒级。· 弹性隔离机制如何触发? :某云服务商通过 FinClip 的机器学习算法动态调整沙箱 CPU / 内存配额,资源利用率提升 25%,沙箱启动时间缩短至 200ms;对高频访问容器采用 Kata 强隔离,低频容器使用 gVisor :沙箱日志量较传统容器增加 3 倍,FinClip 构建了智能化安全分析平台,结合 ELK 与机器学习,将日志分析效率提升 5 倍,有效降低安全运营复杂度。
41510编辑于 2025-07-08- 来自专栏前端达人
ClaudeCode通关手册(九):检查点 + 沙箱 + GitHub Actions,自动化
这篇讲完,你的 Claude Code 自动化体系就完整了。 所以这篇把三个东西放在一起讲——GitHub Actions(云端自动化)、检查点(本地后悔药)、沙箱(安全围栏)。三块拼图补齐,你的 Claude Code 就既能自主工作,又不会失控。 跟着提示走就行,大概 5 分钟搞定。 如果你更喜欢手动配置,往下看。 子代理并行 第 5 篇讲过子代理最多 7 个并行。 三块拼图补齐:GitHub Actions 管云端自动化,检查点管本地回退,沙箱管安全边界。 Claude Code 从此既能自主工作,又不会失控。
69012编辑于 2026-03-12 - 来自专栏物流IT圈
传统企业微服务落地大法(5)-如何实施真正的微服务化
实施微服务,容器化,DevOps有很多的技术选型。 其中容器化的部分,Kubernetes当之无愧的选择。但是Kubernetes可不仅仅志在容器,他是为微服务而设计的。 场景二:架构SOA化的时候,如何统一管理并提供中台服务 当业务要提供中台服务的时候,中台服务首先希望能够注册到一个地方,当业务组开发业务逻辑的时候,能够在这个地方找到中台的接口如何调用的文档,当业务组的业务注册上来的时候 场景三:服务SOA化的时候,如何保证关键服务的调用安全 ? 有的服务非常关键,例如支付服务,和资金相关,不是谁想调用就能调用的,一旦被非法调用了,后果严重。 场景四:架构SOA化后,对外提供API服务,构建开放平台 ? 架构SOA化之后,除了对内提供中台服务,很多能力也可以开放给外部的合作伙伴,形成开放平台。 在服务之间,也可以通过微服务框架,进行熔断,限流,降级。
63230发布于 2019-07-16 - 来自专栏千里行走
jenkins-5:参数化构建结合jenkinsfile对go服务进行容器化部署
需求: 因为不同的服务需要的资源不一样,如cpu,内存等,需要做一个通用模版,对这些差异化资源通过参数来进行定制。 目录: (1).准备工作 1.jenkins安装时间戳插件 2.测试用的golang-demo 3.其他准备 (2).参数化构建 1.创建pipeline并定制参数 2.定义流水线 3.执行构建 (3) .语法注意事项 (4).使用jenkinsfile的方式进行参数化构建 (5).参考资料 (1).准备工作 1.jenkins安装时间戳插件 image的tag使用时间戳,需要安装jenkins插件:build jnlp完成第一个最简task构建并剖析 jenkins-1:kubernetes中部署的jenkins配置k8s集群连接 harbor-1:创建用户与项目并推送第一个本地镜像到harbor (2).参数化构建 87%E4%BB%B6%E7%9B%AE%E5%BD%95%E7%9B%B8%E5%85%B3%E6%AD%A5%E9%AA%A4
1.2K10编辑于 2022-08-31 - 来自专栏图南科技
系统服务化构建-定义服务化
关于服务化,以及软件系统的服务化,是一个大的概念。我通过写这些以服务化为主题的文章,总结出来服务化是一种思想,是一种软件过程,并没有严格的非此及彼的标准化定义. “服务化是有一定的量化指标可以参考的 本文试图在软件开发理论与中小型软件项目的最佳实践的基础之上,探寻最大程度的软件系统服务化。 “服务化系统首先应该是分布式的系统。 基于以上内容的理解,本文对服务化做一个简单的定义 定义服务化 服务化是软件服务的一个过程,是不断更迭和完善的。 我们需要定义系统的核心模块及数量,也就是服务化的粒度 “稳定性 3 服务化的系统要稳定,可靠,可控 “健壮性 4 服务化的系统具有一定的健壮性,弹性。对于异常可以进行平行过度,拥有降级等容错机制。 参考资料 [1] 内部分享:阿里巴巴 B2B 高效研发管理实践: https://www.jianshu.com/p/766af9b5a1dd
1.4K20发布于 2020-02-20 - 来自专栏SDNLAB
【连载-5】数据中心网络虚拟化 网关及服务接入
网络虚拟化网关技术 虚拟网络中的虚拟机与外部网络通信的需求催生了网络虚拟化中网关(Gateway)技术的出现。 DOVE),Microsoft Hyper-V Network Virtualization Gateway[2],以及F5和Iron Networks分别为Hyper-V Network Virtualization 由上可知在网络虚拟化环境中的网关(Gateway)技术的关键在于解决虚拟网络与非虚拟网络间的通信问题。 服务边缘与虚拟化平台接入 服务边缘 在定义服务边缘之前,首先介绍一下策略(policy)的概念。 图2 一个典型三层应用[7] 服务边缘接入方式 这里所说的服务边缘接入方式指网络虚拟化平台如何与服务边缘相连接,即网络虚拟化平台采用何种方式使网络中的流量按照租户的配置经过相应的网络服务设备。 图5 服务路径头 由两部分构成:3字节的服务路径ID(Service Path ID)、1字节的服务下标(Service Index)。
1.4K80发布于 2018-04-02 - 来自专栏SDNLAB
【连载-5】数据中心网络虚拟化 网关及服务接入
1 网络虚拟化网关技术 虚拟网络中的虚拟机与外部网络通信的需求催生了网络虚拟化中网关(Gateway)技术的出现。 DOVE),Microsoft Hyper-V Network Virtualization Gateway[2],以及F5和Iron Networks分别为Hyper-V Network Virtualization 服务边缘(Service Edge),指为虚拟化网络所提供的网络服务(如防火墙、负载均衡、DHCP、域名服务(DNS)、网络地址转换(NAT)等)的统称。 图2 一个典型三层应用[7] 2.2 服务边缘接入方式 这里所说的服务边缘接入方式指网络虚拟化平台如何与服务边缘相连接,即网络虚拟化平台采用何种方式使网络中的流量按照租户的配置经过相应的网络服务设备。 图5 服务路径头 由两部分构成:3字节的服务路径ID(Service Path ID)、1字节的服务下标(Service Index)。
1.3K80发布于 2018-04-03 - 来自专栏NetCore 从壹开始
5-5 各个服务应用启动
local/nginx --with-http_ssl_module --with-pcre --with-http_gzip_static_module make && make install #然后启动服务 /local/bin/就是环境变量目录 ln -s /usr/local/nginx/sbin/nginx /usr/local/bin/ 4、迁移 nginx.conf 和 SSL证书 将之前的旧服务器里的配置文件和 5、修改域名解析映射 添加解析这块,如果是泛域名或者通用域名解析就很简单的, 但是我这边毕竟是免费的,动动手,十分钟就能解决了的。 等待十分钟,就表示迁移完成了。
28920编辑于 2023-01-09 - 来自专栏程序员果果
服务 Docker 化
文章首发于公众号《程序员果果》 地址:https://mp.weixin.qq.com/s/E_gJFbRaWOE-mnVR1lsYfQ 一、简介 Docker的出现让容器化技术得以普及,更快的部署和维护与 Spring Cloud的结合,能让我们不再像以前一样为了某一个模块的增加而服务器上大动干戈,还需要考虑环境的问题。 在这一篇中会讲到 SpringCloud 项目 Docker 化 。 8-jre e01608fba686 12 days ago 442MB 根据这三个镜像运行容器 ,来检查服务容器化后 [j5qgwfffmu.png] 访问 127.0.0.1:8764/hi 服务正常。 [1rk7655xzb.png]
60050发布于 2019-05-28 - 来自专栏cloudskyme
如何服务化
我们不得使用一些组件,来解决技术复杂性提高之后带来的问题: 服务注册中心:一个服务可以有多个实例,那么我们在向一个服务发出请求的时候,怎么知道这个服务有哪些实例呢? 为了减少手工维护的麻烦,我们需要服务注册中心。每个服务实例在启动时,向注册中心注册自己的IP地址等信息。这样,服务在调用别的服务的接口时,就可以通过注册中心,查询到其他服务的实例,向实例发起请求。 三、服务化的愿景 「微服务」 是业内最近两三年业内很火的 buzzword,迁移到微服务架构,大多强调这些好处: 松耦合 独立发布 快速迭代 故障隔离 增加重用 经过服务的拆分,将复杂到难以移动的单体应用 四、基于 SSO 的分拆 RPC (远程过程调用)是服务化体系中基础的基础,但是慢慢的我们发现 RPC 并非分拆的唯一选择。 六、服务分层:业务服务和公共服务 在垂直业务之外,也存在多数业务都会重用的公共服务,如用户、话题、网页抓取、多媒体、推送等。
67410发布于 2020-06-15 - 来自专栏腾讯云原生团队
Aeraki Mesh正式成为CNCF沙箱项目,腾讯云携伙伴加速服务网格成熟商用
CNCF 沙箱项目。 作为 Service Mesh 开源领域的领军项目,Istio 受到了广大开发者的欢迎,加入 CNCF 标志着 Istio 和 K8s,Knative 三大云原生容器自动化框架纳入了同一个治理架构,Istio Aeraki 还在控制面中充当了 MetaProtocol Proxy 的 RDS(路由发现服务)服务器。 Aeraki Mesh 已经在央视频、腾讯音乐等大型项目中产品化落地,并经过了 2022 冬奥会线上大规模流量的实战检验。目前有多个产品正在接入测试中。 5-10 倍 揭秘有状态服务上 Kubernetes 的核心技术 在 TKE 中使用 Velero 迁移复制集群资源
87330编辑于 2022-06-20 - 来自专栏技术杂记
日志服务器(5)
| | mysql | | performance_schema | | test | +--------------------+ 5
97920发布于 2021-10-19 - 来自专栏刘远的专栏
airflow—服务失效监控(5)
airflow.utils.dates.days_ago(2), 'email': 'luciferliu', #'retries': 1, #'retry_delay': timedelta(seconds=5)
2.7K30发布于 2018-08-27 - 40520发布于 2018-09-06
腾讯云开发者
Copyright © 2013 - 2026 Tencent Cloud. All Rights Reserved. 腾讯云 版权所有
深圳市腾讯计算机系统有限公司 ICP备案/许可证号:粤B2-20090059 
粤公网安备44030502008569号
腾讯云计算(北京)有限责任公司 京ICP证150476号 | 京ICP备11018762号