- 博客(8)
- 收藏
- 关注
RSS订阅原创 云化零信任SDP客户端的网络配置
它不仅在技术上更加优雅和可控,也完美地体现了零信任架构“从不信任,始终验证”和最小权限的核心安全思想,实现安全需求与运维管理便利性之间的平衡。【注意】MASQUERADE与SNAT对比:-j MASQUERADE是一种特殊且方便的SNAT,它会自动使用数据包出口(这里是bond0)的IP地址作为转换后的源IP,它特别适用于出口IP是动态获取(如PPPoE拨号)的场景。8、接着,系统将数据包的目的IP从宿主机的公网IP改回内网IP:172.16.138.128(这是一个自动的、基于连接跟踪的反向过程)。
2025-10-26 09:31:51
648
原创 VMware Workstation 17.6.4虚机检测规避实践
本文介绍了一种虚拟机伪装物理机的技术方案,主要用于规避企业零信任系统对虚拟机的限制。文章详细分析了虚拟机检测的常见方法(如硬件标识、虚拟化指令等),并提出了多种规避手段:修改VMX配置文件禁用VMware特征、替换二进制文件中的硬件标识字符串、自定义BIOS信息、调整注册表等。同时强调了该技术存在的法律风险、系统稳定性风险及效果不确定性。通过Windows 11虚拟机的实际案例,展示了从创建配置到安装验证的全过程,最终实现了虚拟机在基础硬件信息层面的伪装。文章指出该技术仅适用于测试环境,不建议用于生产系统。
2025-10-22 08:55:42
1504
原创 RD Gateway在实际生产中的应用
我们首先尝试基于F5 BIGIP直接进行RDP流量的分发,由于远程桌面(RDP)有其自身的安全和加密体系,虽然它也可以利用 TLS/SSL 来增强安全性(例如进行服务器身份验证和加密通信),但其协议本身是独立的,并非构建在HTTP之上,当 RDP 客户端(如 mstsc.exe)直接通过3389端口连接服务器时,它发起的是RDP协议握手,而非TLS/SSL握手(除非配置了特定的安全层)。近期,为解决生产环境中Windows安全访问问题,我们引入了RD Gateway,提升了内网接入的安全性。
2025-10-09 09:08:58
721
原创 APISIX API配置HTTPS访问的踩坑实录
为了实现APISIX的生产级部署,需要在多个方面进行安全加固,其中HTTP改造为HTTPS是一个基本要求。在实施HTTPS改造过程中,本人遇到了一系列问题,并将这些问题的解决过程记录下来整理成文档。值得注意的是,即使在GPT的加持下,这些问题的解决之路依然坎坷,这似乎也意味着:由于技术与产品的不断迭代,系统集成工程师在短时间内被AI取代依然是一种奢望。
2025-04-18 20:26:50
1937
原创 GPUStack统一纳管NPU算力资源实践
摘要:本文介绍了基于GPUStack的NPU算力资源统一纳管实践,重点解决了跨VLAN环境下的组网挑战。通过Docker部署服务端和Worker端,利用SSH隧道(LPF+RPF组合)实现安全通信,确保服务端与Worker的健康检查及数据交互。文章详细阐述了网络隧道配置技巧,并针对Worker状态异常问题,提出时间同步(chronyd服务)的解决方案。该方案在保证安全性的同时,实现了异构计算资源的灵活调度,适用于多安全域场景。
2025-04-01 14:52:50
1057
原创 ragflow之初体验
文本嵌入(Text Embedding)是将文本数据转化为固定维度向量表示的过程,这些向量可以捕捉文本的语义信息,使相似的文本在向量空间中距离较近,从而便于进行相似度计算、分类和聚类任务。【注意】docker运行环境、docker-compose的二进制版本从此处下载:https://download.docker.com/linux/static/stable/x86_64/、https://github.com/docker/compose/releases?
2024-10-11 17:16:37
6719
原创 KVM虚机GPU直通实践总结
【注意】目录/usr/lib/dracut/modules.d/下的每一个子目录都代表一个 dracut模块,每个模块至少包含一个module-setup.sh脚本(用于模块的安装和配置设定),20这个数字设置的原则是要小于被覆盖的驱动程序模块nvidia。采用如上GPU直通方式A,vfio-pci模块的绑定配置匹配的是供应商与设备ID,这会导致绑定主机上所有同一型号的GPU,不符合我们期望的部分GPU给宿主机的容器使用,部分GPU做直通给虚机使用的情形,为此需要考虑绑定设备PCI地址的方式。
2024-03-08 10:31:10
11430
1
原创 容器搭建vivo蓝心大模型
为了省略容器内安装CUDA驱动的环节,可以直接使用nvidia/cuda的官方容器镜像,这里使用cuda-11.7.1版本,原因是该模型依赖该版本,而其他版本如cuda-12.1则不被支持,需要注意的是:GPU服务器上安装的CUDA版本为12.1,GPU服务器上运行的的docker容器内部署的CUDA版本为11.7,在容器内执行nvidia-smi依然显示为宿主机的CUDA版本12.1,而不是11.7,但该现象并不影响后续的安装,此外镜像需下载devel开发版,后续编译过程则无需安装其他编译工具。
2024-01-31 17:08:04
2195
1
空空如也
空空如也
TA创建的收藏夹 TA关注的收藏夹
TA关注的人