通过笔者的分析学习,可以宏观的了解到Cilium在eBPF内核技术使用时,场景覆盖网络处理的XDP、TC、SOCKET等L3、L4、L7层,业务覆盖防火墙、网络路由、网络隔离、负载均衡等。通过集中式管理eBPF文件源码,下发到各endpoint分发式编译挂载。调试日志作为eBPF map事件统一收集处理。 支持用户态、内核态相互之间用eBPF map做双向通讯,实现策略下发与数据收集。具备数据对账、监控告警能力。
Author: CFC4N
[译]使用eBPF per-CPU Cgroup本地存储进行低功耗统计
本文使用eBPF per-cpu的map类型,以及cilium的golang eBPF类库实现了对ingress以及egress网络流量的大小统计,以一个最简单demo,实现更精细、高效的监控统计。在容器化下场景下,用更少的资源损耗,完成精准、实时的统计,更能符合场景需求。
[译]使用eBPF(绕过 TCP/IP)加速云原生应用程序的经验教训
本文对比了eBPF绕过TCP/IP栈与普通TCP协议两种模式下,网络通讯的吞吐量、延迟、事务量等指标。译者以边学边练的方式来学习额BPF新内核知识,并以网络安全产品研发的视角,结合容器化编排领域发展趋势,谈主机安全产品HIDS的演进方向。
[转] 写给工程师:关于证书(certificate)和公钥基础设施(PKI)的一切
证书(certificates)与 PKI(public key infrastructure,公钥基础设施)很难。我认识的很多非常聪明的人也会绕过这一主题。 我个人也很长时间没去碰这些内容,但说起来很讽刺,我没去碰的原因是不懂,所以不好意思问 —— 然后更不懂,自然更不好意思问——如此形成恶性循环,最终我还是硬着头皮学习了这些东西,因为我觉得PKI 能使一个人在加解密层面(乃至更大的安全层面)去思考如何定义一个系统。
How I investigated memory leaks in Go using pprof on a large codebase
密码保护:不及格的答卷
TLS handshake Fatal Alert Close Notify的错误排查
有时候,需要了解在应用程序内部正在发生的情况。例如,应用程序可能会运行失败,而又没有显示有帮助的错误消息,或者系统服务没有按照预期的方式运行。在这些情况下,您可能不掌握应用程序源代码,因此无法通过传统的调试过程寻找问题的原因。跟踪提供了一种替代方法。
你不在意的HTTPS证书吊销机制
《长安十二时辰》里的望楼系统由“传递系统+加密系统”组成,靖安司作为一个军事级别的机构,信息传递绝对是多重加密的。通传陆三是暗桩,导致信息传递系统泄密,这些问题如果发声在HTTPS通讯中,丢了密钥,会怎样?是不是也没法防范这个私钥被利用了?
保障IDC安全:分布式HIDS集群架构设计
近年来,互联网上安全事件频发,企业信息安全越来越受到重视,而IDC服务器安全又是纵深防御体系中的重要一环。保障IDC安全,常用的是基于主机型入侵检测系统Host-based Intrusion Detection System,即HIDS。在HIDS面对几十万台甚至上百万台规模的IDC环境时,系统架构该如何设计呢?复杂的服务器环境,网络环境,巨大的数据量给我们带来了哪些技术挑战呢?
openresty的unescape_uri函数处理百分号后面字符的小特性
nginx lua modules(或者openresty)的unescape_uri函数在处理 uri 时,当 uri 中连续包含两个百分号改如何处理?最后一个字符是百分号呢? 百分号后面不是合法的 hex 字符呢?又会如何处理?RFC 的规范是如何约定的?其他编程语言里是如何实现的呢?我带大家一探究竟…