ChiuYut – 第 9 页 – 超越自我吧

越想越亏，因小失大！早知道就不同意所谓的分区了。

2021年的11月因为活动购买了七牛云的CDN，在已经使用了Ucloud的CDN的情况下为了用完有有效期的流量包就切换到了七牛云。
一切都很好，刚好可以开启海外节点这样就不需要我自建海外的节点分区解析了。

Proxmox Virtual Environment 误开cluster-wide firewall的解决办法

昨晚点击了PVE的集群防火墙，好家伙和几年前一样开启了22、8006端口都无法访问了，难道要像几年前一样进行重装了吗？
(⊙﹏⊙)这可不太行啊，难道每次遇到问题都要重装才行？
于是在没有提前开启规则的时候只能关闭防火墙了。

继续阅读Proxmox Virtual Environment 误开cluster-wide firewall的解决办法

Kubernetes 1.19.16 安装教程（Centos7篇）

虽然此系统此版本的已经水过了，但是之前的etcd是使用容器的方式运行的，本次的改成了外部etcd并且和再之前的教程不通的是这次的etcd启用了ssl。
在水这教程时由于只有一台机器，因此是单主机安装k8s并设置可被调度。
机器IP：172.30.88.191
主机名修改后为：node01

继续阅读Kubernetes 1.19.16 安装教程（Centos7篇）

使用docker-compose安装harbor镜像仓库（v2.3.4）

在这之前只在虚拟机上面安装过1.5.3版本的harbor，当时也只是试用一下就不玩了毕竟自己电脑开的虚拟机不太能折腾。这不书接上文的买了两台VPS后还是可以镜像一番操作的。此时harbor的版本已经到2.x.x（截止至此刻，官网上有2.4.0，在github上面的releases是v2.3.4），竟然这样就安装最新的2.3.4。

有个变化就是1.5.3时还是vmware，现在2.3.4.是goharbor了。

继续阅读使用docker-compose安装harbor镜像仓库（v2.3.4）

Centos7安装Kubernetes1.19.16

今日斥资购买了两台VPS用于练习搭建k8s集群，本来想买3台的至少集群好看点，但是苦于囊中羞涩只能买两个了。

为什么不使用虚拟机或者直接买台杜甫来开虚拟机来搭建呢？唉~~~😔

这次安装k8s1.19.16是因为升级到1.20以上会提示Docker的问题，这个就等下次再安装测试了。

继续阅读Centos7安装Kubernetes1.19.16

k8s组件coredns启动错误：“No such device or address”

今天在搭建k8s集群时遇到了一个之前没有遇到的错误。CoreDns无法正常运行查看日志报OCI message: "process_linux.go:264: applying cgroup configuration for process caused \"No such device or address\""错误。几番搜索都无法找到一样的错误，好在最后在github issues上面发现一样的错误虽然按照上面的方法好像无法解决？
最后几经测试还是发现了问题所在。
说来话巧，issues上面的环境和我当时的差不多，只是不知道对方的版本是什么了，我这里使用的是1.14.0的老版本k8s。
继续阅读k8s组件coredns启动错误：“No such device or address”

Centos7基于PHP-FPM + Nginx环境使用Nextcloud搭建私有网盘

一开始暂时无法搭建环境只好使用Docker来部署，本来还算正常使用的但是一开服务端加密就出问题了。没办法使用vestacp搭建后也有点问题而无法使用。
继续阅读Centos7基于PHP-FPM + Nginx环境使用Nextcloud搭建私有网盘

QEMU虚拟机模拟Arm架构安装CentOS-7-aarch64

本来早之前就打算通过模拟的方式体验测试Arm架构的环境了，但是当时找到的教程是在Ubuntu系统下使用QEMU。
因为我是使用Windows系统的只能通过虚拟机安装了Ubuntu然后再安装QEMU，这样一番套娃下来卡得不得了，只好放弃了。后面的本网站里面关于Arm的教程都是基于华为云鲲鹏服务器的实操了。
就在今天想着反正都是使用QEMU在Windows下使用和Ubuntu下使用应该没有多大差别，就决定折腾下了。这样也不需要专门在物理机上面安装一个Linux系统了。
继续阅读QEMU虚拟机模拟Arm架构安装CentOS-7-aarch64

HTTP Public Key Pinning (HPKP)

HTTP公钥锁定（HPKP）是一种安全功能，它告诉Web客户端将特定加密公钥与某个Web服务器相关联，以降低使用伪造证书进行MITM攻击的风险。

为确保TLS会话中使用的服务器公钥的真实性，此公钥将包装到X.509证书中，该证书通常由证书颁发机构（CA）签名。诸如浏览器之类的Web客户端信任许多这些CA，它们都可以为任意域名创建证书。如果攻击者能够攻击单个CA，则他们可以对各种TLS连接执行MITM攻击。 HPKP可以通过告知客户端哪个公钥属于某个Web服务器来规避HTTPS协议的这种威胁。

HPKP是首次使用信任（TOFU）技术。 Web服务器第一次通过特殊的HTTP标头告诉客户端哪些公钥属于它，客户端会在给定的时间段内存储此信息。当客户端再次访问服务器时，它希望证书链中至少有一个证书包含一个公钥，其指纹已通过HPKP已知。如果服务器提供未知的公钥，则客户端应向用户发出警告。

Firefox和Chrome禁用固定主机的引脚验证，其验证的证书链终止于用户定义的信任锚（而不是内置信任锚）。这意味着对于导入自定义根证书的用户，将忽略所有固定违规。

继续阅读HTTP Public Key Pinning (HPKP)

给网站增加浏览器安全策略

浏览器前端安全策略，之前开启PKP导致网站无法访问（配置错误）。

由于在CDN上面配置会把；给截断导致后面的数据不生效而导致失败或者配置不全。特意转到Nginx上面配置，然后又因为冲突把HSTS给消掉了，导致SSL评级从A+掉到A，不得不给每个server单独添加。

继续阅读给网站增加浏览器安全策略