- 博客(101)
- 收藏
- 关注
RSS订阅原创 数据库CPU飙升100%排错思路
• 招式 1 见效最快(5 秒内),无需等待数据库反应• 招式 2 精准(针对 SQL),但需要数据库连接正常• 招式 3 需要重启(有 downtime),是最后手段。
2025-11-22 14:00:50
525
原创 MySQL性能优化圣经:索引、慢查询、分库分表
每增加一个索引,INSERT/UPDATE 会多一次磁盘 I/O(维护索引 B+ 树)。→ 章节 8(最小必要原理)→ 章节 7(实施步骤完整版)→ 章节 11(最佳实践 30 条)→ 章节 12(FAQ)• 单表索引:B+ 树高度限制在 4 层(16KB 页 × 4 = 64KB 树高),单表容量 ≈ 100GB。→ 章节 6(快速清单)→ 章节 7(实施步骤 Step 1-6) → 章节 13(附录:关键脚本)• B+ 树索引:仅需 log₁₆(100w) ≈ 5 次 I/O,成本 ≈ 40KB,
2025-11-22 13:58:26
742
原创 MySQL高可用架构演进:从主从复制到MGR集群的生产实践
MySQL作为互联网应用最广泛的关系型数据库,其高可用性一直是运维工程师关注的核心问题。随着业务规模的扩大,单点故障可能导致严重的业务中断和数据丢失。MySQL高可用架构经历了从简单的主从复制到半同步复制,再到MGR(MySQL Group Replication)集群的演进过程。传统的主从复制存在数据一致性风险和故障切换时间长的问题,半同步复制虽然提升了数据安全性但性能开销较大,而MGR作为MySQL官方推出的原生高可用解决方案,提供了自动故障检测、自动选主和强一致性保证,已成为生产环境的主流选择。
2025-11-22 13:49:20
638
原创 支持百万负载的Nginx配置长什么样?
• HTTP 模块文档:https://nginx.org/en/docs/http/ngx_http_core_module.html。→ 章节 7(Nginx 架构原理) → 章节 6(逐项参数说明) → 章节 8(性能监控)• Nginx 性能优化完全指南:https://www.nginx.com/blog/• Nginx 官方文档:https://nginx.org/en/docs/• wrk 性能测试工具:https://github.com/wg/wrk。
2025-11-20 14:31:33
855
原创 Redis缓存穿透、击穿、雪崩:一文彻底搞懂解决方案
• 注意:布隆过滤器有误判率,可能将不存在的数据判断为存在,但绝不会将存在的数据判断为不存在。:不合理的缓存策略可能导致内存溢出、数据不一致等严重问题,务必在生产环境部署前进行充分测试!• 逻辑过期方案:不会阻塞,永远返回数据(可能是旧数据),适合对可用性要求极高的场景。• 生产环境建议:一般热点数据用互斥锁,超级热点数据(如秒杀商品)用逻辑过期。• 互斥锁方案:简单直接,但会阻塞其他线程,适合一般热点数据。• Docker:注意持久化数据的挂载,避免容器重启数据丢失。
2025-11-13 18:20:23
1029
原创 nginx域名代理dify
如果你希望剥离 /console 或 /api 前缀,可使用 proxy_pass http://dify_backend/;# 常用 proxy 超时/缓冲设置(可放到单独文件 proxy.conf 并 include)ssl_certificate_key "/etc/nginx/ssl/正式.key";ssl_certificate "/etc/nginx/ssl/证书.pem";# WebSocket / 长连接支持(若后端使用)
2025-11-04 09:58:07
451
原创 企业级K8s部署:Helm+Kustomize混合策略实现零配置漂移与10分钟多环境发布
dev→staging→prod 按 Git 分支或 Tag 推进,staging 必须通过自动化测试(冒烟测试 + 性能基线),生产变更需要 2 人 PR 审批。使用 Signed Commit 防止篡改。: 创建多环境 overlays(dev/staging/prod差异化配置): 集成 ArgoCD 实现 Git 即配置源(暂不执行,提供配置范例)。• 需要管理 3+ 环境(dev/staging/prod)的微服务架构。:对于第三方组件(Redis/MySQL/Kafka),使用。
2025-10-30 14:10:24
937
原创 X86平台使用Docker模拟麒麟V10 ARM64环境
因为国产化的普及,尤其一些政府部门,已经开始走的路线,自己买 arm 平台的,这个成本着实吃不消,于是尝试 x86 平台运行 arm 平台的容器来降本增效,主要是解决麒麟系统。
2025-10-14 16:13:01
1067
原创 从零搭建企业级DevOps流水线
• 操作系统:CentOS 7.9 或 Ubuntu 20.04。• 3台服务器(最低配置:4核8G,生产建议8核16G):为每个命名空间设置ResourceQuota。:使用HPA根据负载自动调整副本数。• 网络:各节点互通,可访问外网。:定期清理Harbor中的旧镜像。:非生产环境在夜间自动缩容。
2025-10-11 10:40:30
587
原创 SSH端口暴露防护:基于CanaryToken的攻击链溯源与主动防御体系
在网络安全领域,它是一种主动诱饵技术,通过在系统中部署看似真实的敏感资源(但实际上是陷阱),一旦被访问就立即触发告警。SSH攻击已经形成了完整的产业链,从自动化扫描工具、字典生成服务到僵尸网络租赁,攻击者的成本越来越低。:某金融机构需要满足等保三级和PCI-DSS合规要求,需要完整记录所有SSH会话。:针对特定版本的SSH服务进行0day攻击。:只有在攻击成功后才能通过异常行为发现入侵。• 成功追踪到15起APT攻击的完整攻击链。:部署多种类型的陷阱覆盖不同攻击路径。:在攻击链早期阶段就能发现入侵。
2025-10-11 10:37:17
574
原创 Linux TCP/IP调优实战,性能提升200%
TIME_WAIT状态减少90%:启用后网络吞吐量提升40%:不同业务需要不同的参数策略。:多核CPU利用率提升明显。:选择部分服务器先行部署。:大幅减少网络延迟抖动。:先在测试环境应用配置。:密切关注关键性能指标。:确认无问题后全面推广。
2025-09-18 16:02:16
493
1
原创 Nginx限流与防爬虫与安全配置方案
使用二进制格式的客户端IP,节省内存。:定义10MB内存用于存储限流状态。:超出限制立即返回错误,不排队等待。:限制每秒10个请求。
2025-09-09 16:17:25
937
原创 KVM虚拟化环境部署与性能优化
虚拟机网络配置是KVM部署中最复杂也最重要的部分。在部署KVM之前,正确的主机环境配置是成功的关键。• 随机IO密集:virtio-scsi with multiqueue。问题描述:某数据库虚拟机在运行3个月后,性能突然下降,响应时间增加一倍。在生产环境中,自动化部署是关键。问题现象:虚拟机磁盘写入速度从200MB/s降至20MB/s。• 需要高级特性(如discard):virtio-scsi。• 顺序读写为主:virtio-blk性能更好。3. 检查虚拟机配置,发现未设置CPU亲和性。
2025-09-09 09:58:14
744
原创 将vmware workstation虚拟机迁移至pve
首先实现cd命令定位到vmbx文件所在的目录,然后使用以下命令将vmdk格式转成成pve支持的qcow2格式。节点:根据实际情况选择,这里选择pve03(因为vmware的虚拟机传输到pve03节点里)勾选 ide0 设备的 已启用,并将其调整到首位,点击“OK”点击新建虚拟机,选择“硬件”,双击 未使用的硬盘。将“总线/设备”设置为“SATA或者IDE”切换到虚拟机的“选项”,双击“引导顺序”点击pve集群页面顶部的“创建虚拟机”BIOS:选择“默认SeaBIOS”在“确认”页面中,勾选“创建后启动”
2025-08-26 17:09:46
1088
原创 K8s存储类(StorageClass)设计与Ceph集成实战
StorageClass的出现完美解决了这些问题,它就像是K8s存储的"智能调度器"。:业务增长时,存储扩容需要大量人工干预。:Pacific 16.x或更新版本。• 建议为CSI Pod设置资源限制。:手动创建PV,容易出错且效率低下。:不同业务线的存储需求无法有效区分。:每个工作节点至少4核8GB内存。• 启用Pod反亲和性确保高可用。:集群内网带宽≥1Gbps。• 配置监控告警机制。
2025-08-22 10:32:43
395
原创 K8S部署Kafka集群最全避坑指南
接下来对Zookeeper进行时区、持久化存储、副本数等配置。进入Kafka集群,创建topic查看。Helm 部署Zookeeper集群。创建Kafka namespace。helm创建Zookeeper集群。检查Zookeeper集群状态。Helm 部署Kafka集群。修改values.yaml。
2025-08-21 15:16:09
733
原创 高可用双向存储服务GlusterFS
双节点复制卷(replica 2)存在脑裂风险(网络中断时两端独立写入),生产环境建议扩展为 3 节点 replica 3 或 arbiter 卷。• 49152-49156/tcp:数据传输端口(动态范围):若后续修改节点 IP 或端口,需同步更新防火墙规则。:数据在两台节点实时同步,确保单节点故障时数据不丢失。:忽略目录非空警告(首次创建时目录为空,可选)• 24008/tcp:节点间通信端口。存储目录(用于 GlusterFS)• 24007/tcp:集群管理端口。:卷名称(可自定义)
2025-08-15 17:51:36
528
原创 minio部署和双机热备
(2)停掉A 服务器,在B写入或者删除数据后,在启动A,A数据也会同步。(1)AB桶的数据会保持一致,无论在AB桶先写入数据。二、配置互为主从【在其中一台机器操作即可】切换目录并下载MinIO二进制文件。
2025-08-14 17:03:31
253
原创 搭建私有 Linux 镜像仓库
统一管理软件包版本,确保环境一致性。:减少外网带宽消耗,提升下载速度。:减少重复下载,节省带宽成本。:内网环境下的安全软件分发。:支持无外网环境的软件安装。
2025-08-06 16:57:52
685
原创 MySQL 8主从延迟降至0.2秒内!基于Binlog并行复制的终极优化方案
• 相比DATABASE级别并行,可并行执行更多事务。数量,通常设置为CPU核数的1.5-2倍。• 保证事务在从库的提交顺序与主库一致。• 减少磁盘I/O次数,提升整体吞吐量。• 通过延迟同步,将多个事务打包成组。• 为并行复制创造更好的并行度。:Worker线程利用率不均衡。:混合读写,TPS约5000。基于事务提交的逻辑时钟并行。:8核16G,SSD存储。:单表500万行数据。
2025-08-05 16:55:18
309
原创 7招锁死SSH:从端口伪装到Fail2ban,教你把暴力破解挡在门外
从密码的10^8种可能性提升到2048位RSA密钥的2^2048种可能性,几乎不可能被暴力破解。选择端口时避免使用常见服务端口(如80、443、3306等),推荐使用4位数端口。配置后,任何IP在10分钟内尝试登录失败3次,将被自动封禁1小时。登录时需要输入手机APP生成的6位动态验证码,安全性大幅提升。Fail2ban是一个实时监控和自动封禁恶意IP的神器。固定办公网络环境,或通过VPN访问的场景。密钥认证是目前最安全的SSH认证方式。这是最基础但最有效的防护手段之一。: 并发未认证连接的最大数量。
2025-08-05 16:52:50
440
原创 Linux服务器安全防护完全指南:从0到1构建铜墙铁壁
CPU使用率检查alerts.append(f"CPU使用率过高: {cpu_percent}%")# 内存使用率检查alerts.append(f"内存使用率过高: {memory.percent}%")# 磁盘使用率检查alerts.append(f"磁盘 {partition.mountpoint} 使用率过高: {disk_usage.percent}%")return。
2025-08-05 16:49:50
213
原创 MySQL主从延迟到崩溃:Binlog格式、半同步复制与GTID的博弈
分离读写负载# 数据库路由示例else:# 读操作负载均衡到从库数据一致性策略• 核心业务数据:强一致性,读主库• 统计分析数据:最终一致性,读从库• 实时性要求高:使用缓存 + 主库。
2025-08-05 16:45:57
1043
原创 Linux内核参数调优:为K8s节点优化网络性能
在高并发微服务环境中,网络性能往往成为K8s集群的瓶颈。本文将深入探讨如何通过精细化的Linux内核参数调优,让你的K8s节点网络性能提升30%以上。
2025-08-05 16:43:06
729
原创 告警管理平台n9e
静默功能类似,针对某个标签进行屏蔽,在指定时间段即使产生告警也不发送告警信息。当我们的操作会触发告警但我们又不希望发出告警信息时,可通过该功能进行屏蔽,比如我们接下来需要重启服务器、又或者每天凌晨需要重启某个服务,屏蔽规则可以帮我们减少不必要的打扰。告警的类型有多种,可能是服务器资源告警、微服务状态告警、站点监控告警,不同的告警类型最终要发送的告警信息模板也会有些区别。:10080 ,该告警一直未恢复时,7天后会再次发送告警信息。: 三级告警 ,针对不同的阈值设置不同的等级。判断告警类型,如果告警事件中。
2025-07-28 14:08:05
1037
原创 MySQL在Linux环境下的性能调优
1.硬件层面(投入产出比最高)• 使用SSD存储• 增加内存容量• 使用万兆网卡2.操作系统层面• 内核参数优化• 文件系统选择• I/O调度器调整3.MySQL配置层面• InnoDB参数调优• 连接池配置• 缓存参数设置4.应用层面• SQL语句优化• 索引设计优化• 业务逻辑优化。
2025-07-28 09:58:48
393
原创 MySQL 8.0 性能优化实战指南
是最重要的参数之一。在16GB内存的服务器上,我通常设置为12GB,这样既保证了数据库性能,又为操作系统留下了足够空间。• 2:每次提交写入OS缓存,每秒刷新到磁盘(推荐的平衡选择)• 0:每秒刷新一次(性能最好,但可能丢失数据)• 1:每次事务提交都刷新(最安全,性能较差)• 复合索引字段顺序:选择性高的字段在前。• 单表索引数量控制在5个以内。
2025-07-28 09:55:29
642
原创 Nginx调优秘籍:QPS提升500%的核心配置技巧
1.合理配置工作进程数:通常设置为CPU核心数或使用auto自动检测2.优化缓冲区大小:根据实际业务需求调整缓冲区大小3.启用压缩:对文本类型资源启用gzip压缩4.配置合理的超时时间:避免长时间占用连接5.使用HTTP/2:提升多路复用性能6.实施缓存策略:合理设置静态资源和代理缓存7.定期监控和优化:持续监控性能指标并进行调优。
2025-07-23 10:43:47
544
原创 centos7解决/lib64/libc.so.6: version GLIBC_2.34
建议升级完成后重启,使所有进程加载新版 glibc。本文示例以 root 用户直接操作。glibc 2.34 编译要求。及以上项,则需要升级。shell一键解决脚本。
2025-07-23 10:29:53
1030
2
原创 主机安全---开源wazuh安装
Wazuh 是一款免费开源的终端安全监控平台,支持威胁检测、完整性监控、事件响应和合规性管理,适用于企业级安全运维场景。:基于 OpenSearch 的日志存储与检索组件。:核心管理节点,处理代理上报的数据并执行规则检测。:基于 OpenSearch Dashboards 的可视化界面。
2025-07-16 14:51:59
700
原创 开源web防火墙WAF---aaWAF
免费的私有云WAF防火墙堡塔云WAF经过千万级用户认证、为您的业务保驾护航 采用反向代理的方式,网站流量先抵达堡塔云WAF 经过堡塔云WAF检测和过滤后,再转给原来提供服务的网站服务器。堡塔云WAF是一个开源的Web应用程序防火墙,它可以保护网站免受SQL注入,XSS,CSRF,SSRF,命令注入,代码注入,本地文件包含,远程文件包含等攻击兼容ARM和国产系统。
2025-07-11 14:00:36
538
原创 开源入侵防御系统——CrowdSec
CrowdSec是一款现代化、开源、基于行为的入侵防御系统(IDS/IPS),专为保护服务器、服务、容器、云原生应用而设计。它通过分析日志检测可疑行为,并可基于社区协作共享恶意 IP 黑名单,从而实现分布式防御。其理念源于 Fail2Ban,但 CrowdSec 更现代、更可扩展,具备强大的可视化和自动化能力。
2025-07-10 11:17:15
1797
空空如也
空空如也
TA创建的收藏夹 TA关注的收藏夹
TA关注的人