ss810540895的博客

原创 linux磁盘无法清理问题

问题比较奇怪，通过deepseek搜了一些答案，但通过答案并没有解决，但是也获得一些提示，大概率是因为某个文件删除了但是空间没有释放，然后通过业务侧排查，发现该节点上有个服务的日志打得非常频繁，故猜测可能是此服务的问题，然后在业务低峰期重启了该服务，问题顺利解决，磁盘变为20%占用，但其中的深层次原因目前还不知道是什么。：文件被删除后，若仍有进程正在使用它，该文件占用的磁盘空间不会立即释放。：文件实际占用磁盘空间小于逻辑大小（如虚拟机磁盘文件）。：若差异由未释放文件引起，重启系统是最直接的解决方法。

原创 清理skywalking历史索引

【代码】清理skywalking历史索引。

原创 下载rhel官方ISO镜像

这是地址，需要先注册一个账号，免费的。

转载 eBPF技术简介及衍生工具的介绍

CNCF“eBPF 是我见过的 Linux 中最神奇的技术，没有之一，已成为 Linux 内核中顶级子模块，从 tcpdump 中用作网络包过滤的经典 cbpf，到成为通用 Linux 内核技术的 eBPF，已经完成华丽蜕变，为应用与神奇的内核打造了一座桥梁，在系统跟踪、观测、性能调优、安全和网络等领域发挥重要的角色。为 Service Mesh 打造了具备 API 感知和安全高效的容器网络方案 Cilium，其底层正是基于 eBPF 技术”1. BPF。

原创 calico排错思路

定位问题范围：同节点/跨节点？是否涉及策略？验证基础环境：Pod IP 分配、节点状态、组件日志。检查路由与 BGPip route。分析网络策略：iptables/eBPF 规则、策略匹配逻辑。高级工具辅助：tcpdump、eBPF 工具链、WireGuard 诊断。参考文档Calico 官方排错指南。通过以上步骤，可覆盖 90% 的 Calico 网络问题。对于复杂场景（如多云混合网络），需结合具体底层网络拓扑分析。

原创 flannel的原理及排错思路

Flannel 通过子网分配和覆盖网络技术，为 Kubernetes 集群提供了简单高效的容器网络方案。选择 VXLAN 或 host-gw 取决于网络环境（是否支持直接路由）。对于性能敏感的场景，host-gw 是理想选择；而跨子网或云环境则更适合 VXLAN。当 Flannel 出现网络故障时，需要按照分层排查的思路逐步定位问题。

转载 通过pod登录k8s节点

此脚本提供了一种云环境无关的 Kubernetes 调试方式，但需注意其权限和安全影响。分享一个连接k8snode节点的脚本，github大佬写的。原理就是利用容器特权用户和hostpath来实现的。

转载 容器的一些安全建议

在容器服务 Kubernetes 版中，通过限制容器以特权模式运行、限制应用程序进程以root身份运行、禁用Service Account令牌自动挂载等方式，可以有效防止容器中运行的进程逃离容器的隔离边界并获得对宿主机的访问权限。此外，通过正确配置Pod安全策略，如限制使用HostPath、为每个容器设置请求和资源限制、禁止使用特权提升配置等，可以进一步加固集群的安全性，防止集群成为攻击者利用的目标。这些措施有助于确保容器环境的安全性和稳定性，减少潜在的安全风险。

转载 后渗透——Docker容器逃逸

在渗透测试中，若获取了目标主机的shell但发现其运行在Docker环境中，需进一步逃逸到宿主机。Docker容器逃逸的本质是受限进程获取未受限的完整权限，类似于提权操作。逃逸方法包括检测容器环境、利用API漏洞、危险配置、危险挂载、程序漏洞和内核漏洞等。例如，通过Docker远程API未授权访问漏洞，攻击者可以远程管理Docker容器，甚至通过挂载宿主机目录获取宿主机权限。具体步骤包括配置Docker支持远程访问、利用脚本或手动方式启动容器并挂载宿主机目录，最终通过写入定时任务或直接访问宿主机文件系统实现

转载 could not locate a valid checkpoint record的产生原因及解决

​ 不得不说一句，天下博客一大抄。恶心的是该写的关键步骤都不写，还对关键信息打码。前因后果和影响因素也不稍微描述下。以下均为错误示范，网上NC博客远不止这些：1）删除 /var/lib/pgsql/12/data/pg_tblspc 目录下文件的，也就是 PostgreSQL 数据目录下的 pg_tblspc 文件。这删了就真没辙了。（PASS）2）尝试通过 docker 的 数据卷恢复数据的。这是纯扯淡，我连容器都起不来，一直在重启，我要能进容器，我就直接用 PG 的恢复数据工具直接上手了。

转载 ElasticSearch-解决Failed: 1: this action would add [5] total shards, but this cluster currently has [9

本文介绍ElasticSearch总分片数量导致的异常的解决方案。异常的日志为：this action would add [5] total shards, but this cluster currently has [1000]/[1000。

转载 git提交不上去-modified content, untracked content

原因：子文件夹之前有单独的仓库，现在为方便管理，将其统一到a文件夹中，并与之前的远程仓库断掉（git remote rm origin）,但是似乎仍然被之前的仓库追踪。起因：将父文件a（包含多个vue项目）放入仓库时，执行git commit之后提示modified content, untracked content。过程：根据百度到的方法，删除每个子文件中的.git文件（命令：shift+command+.），然后继续执行add .等操作，但并没有解决。

原创 linux查看jar内容

4、通过这个工具来反编译class文件，然后查看内容。5、再顺着包路径找过去，就可以直接用vim查看了。2、通过包目录找到对应class文件的位置。

转载 使用Rootkit隐藏踪迹：技术解析与检测策略

注：在ubuntu18上面测试没问题，可以正常隐藏进程，但是在centos7上面就报错，无法安装Rootkit是一种高级的恶意软件，它能够隐藏进程、文件、网络连接等，使得攻击者能够在不被受害者察觉的情况下控制系统。Rootkit通常通过替换或篡改系统文件来实现其隐藏功能。Rootkit作为一种高级持续性威胁，对网络安全构成了严重威胁。通过使用如Reptile和rkhunter这样的工具，安全专家可以更好地理解Rootkit的隐藏机制和检测方法。

转载 应急响应——让Linux下的隐藏手段(Rootkit)无所遁形

本文主要针对黑灰产、以及蠕木僵毒等恶意软件在linux上常用的rootkit手段做一些总结，以及详细分析常见应急响应中遇到的进程、文件隐藏手段的原理以及排查和恢复方法；从技术实现原理上看，笔者把其常见的rootkit隐藏手段大致分为五大类：1、通过文件挂载实现隐藏2、通过用户层劫持链接器或链接库实现隐藏3、通过劫持系统环境变量，劫持相关命令，从而实现对影藏4、通过内核层劫持实现隐藏5、通过ebpf完成的动态劫持内核逻辑实现隐藏。

原创 正则常用匹配模式

原创 python文件打包成exe

然后在当前目录有个dist文件夹，里面就是打包好的exe。顺便贴一个好玩的小脚本，拿去恶搞你的朋友。安装pyinstaller。

转载 使用buildozer 将kivy编写的Python程序打包成apk

bashrc文件可在主目录中找到（隐藏的文件，点击右上角的三条杠即勾选显示隐藏文件即可找到）。链接：链接：https://pan.baidu.com/s/1OyeqhpdxpHiEnlEnfZ9oHw提取码：avmd。

原创 批量操作百度云盘勾选框

当有时候看到一个比较好的百度网盘资源，选择全选保存的时候，发现文件数超过上限，需要开通会员才可以勾选保存，用手一个个勾选又太费劲，这时候就可以运用下面js脚本，分批去勾选然后保存，当然还有很多方式，比如使用百度网盘的api去保存到自己的网盘，但是现在百度网盘api不针对个人用户开通了，只针对企业用户，然后还可以用python使用selenium去操作。这里是勾选了前300个文件，也可以修改下勾选不同位置的。

转载 混沌工程(Chaos Engineering) 到底是什么?

ChaosBlade 是阿里巴巴开源的一款遵循混沌工程原理和混沌实验模型的实验注入工具，帮助企业提升分布式系统的容错能力，并且在企业上云或往云原生系统迁移过程中业务连续性保障。Chaosblade 是内部 MonkeyKing 对外开源的项目，其建立在阿里巴巴近十年故障测试和演练实践基础上，结合了集团各业务的最佳创意和实践。基础资源：比如 CPU、内存、网络、磁盘、进程等实验场景；Java 应用：比如数据库、缓存、消息、JVM 本身、微服务等，还可以指定任意类方法注入各种复杂的实验场景；

转载 苹果IOS应用上架AppStore的流程与教程

（注意，必须输入英文）,下方App ID Suffix输 入Bundle ID：这是您AppID的后缀，这个需要仔细命名，因为这个内容和您的程序直接相关，很多地方都需要用到，最好是com.yourcompany.yourappname的格式。2、不能带有升级的按钮以及提示。4、登记成功后，进入应用列表，点击右边的“应用配置”，就可以看到 APPID、AppSecret/Appkey/MasterSecret 四个参数了。填写好之前申请的苹果证书、配置文件、推送证书，证书密码，个推的四个参数，保存即可。

转载 应用宝上架app流程

若您的应用已上线，需要修改基础信息或更新版本页面信息，则需要按路径：基础服务=》基础信息=》修改内容=》保存内容=》更新版本页面提交审核 操作，修改后的内容需待新审核通过并发布后才会生效。③ 银行信息填写后只能修改，无法撤销，且后续如果需要更改公司信息，需要在银行资料处下载变更函模板，填写变更信息，上传到变更函处，点击保存，同账号资料一起提交审核。移动应用完成基础信息后，即可进入【申请上架】页面填写信息，选择【审核后立即发布】，即应用通过审核后即可发布。

转载 Axure Cloud 本地部署

Axure，产品经理、UI设计和前端人比较熟悉的一款，用来编辑、上传、预览原型图的软件，通过Axure Cloud提供团队协作。一般公司比较多。Axure官方在2024年12月18日发布了一个Axure RP 9.0的新版本，大致意思就是不更新客户端就不能继续使用Axure Cloud，2025年2月中就有同行不能使用。当然，Axure Cloud的服务器本就在国外，访问非常慢，国内用户需要挂科技才能正常访问。

转载 Ceph介绍及原理架构分享

叶子节点是device（也就是osd），其他的节点称为bucket节点，这些bucket都是虚构的节点，可以根据物理结构进行抽象，当然树形结构只有一个最终的根节点称之为root节点，中间虚拟的bucket节点可以是数据中心抽象、机房抽象、机架抽象、主机抽象等。我们总的Ceph集群的iIO能力是有限的，比如带宽，IOPS。CRUSH算法是一个伪随机的过程，他可以从所有的OSD中，随机性选择一个OSD集合，但是同一个PG每次随机选择的结果是不变的，也就是映射的OSD集合是固定的。

原创 linux下一些参数的说明

【代码】linux下一些参数的说明。

转载 k8s安装seata

【代码】k8s安装seata。

转载 k8s helm部署kafka集群(KRaft模式)

因为新版的改了些东西，需要去github查看对应的配置然后加上去，我懒得看，所以直接用旧版。上面安装如果报错，就执行下面的这条。

原创 es8.17配置（备忘）

新版本的es启动后访问默认需要ssl证书和密码。filebeat配置es访问证书和密码。

转载 OpenStack搭建

原文本实验以 OpenStack（Train版）云计算平台的官方技术文档为依据，逐步引导读者动手完成平台搭建工作。特别鸣谢两位博主提供的技术指正：优快云@尼古拉斯程序员 优快云@m0_60155284通常OpenStack云计算平台至少需要3台服务器用于节点搭建，因作者资源有限，本次实验采用计算节点复用为存储节点，以实现双节点OpenStack云计算平台的搭建，读者可根据自己条件调整配置多节点平台搭建。手动设置磁盘分区2.2 配置本地域名解析（控制节点）2.3 防火墙管理（控制节点）2.4

原创 Could not resolve host: mirrorlist.centos.org

参考链接：https://stackoverflow.com/questions/78692851/could-not-retrieve-mirrorlist-http-mirrorlist-centos-org-release-7arch-x86-6。yum安装软件的时候提示这个。

转载 Helm 部署 Nacos

基于 nacos-k8s/helm/ 目录下的 values.yaml，我们可以定制自己的配置，从而实现覆盖掉 values.yaml 中的默认配置。重点 1：在 nacos.image 属性下面，指定 nacos 镜像版本【这里选择和 Java 代码配套的 2.2.0 版本】重点 2：配置 MySQL 连接，使用 MySQL 作为外置存储【MySQL 配置请根据实际情况修改】重点 3：开启持久化存储，并指定 StorageClass【StorageClass 请根据实际情况修改】

转载 使用Certbot申请免费 HTTPS 证书及自动续期

Certbot是一款免费且开源的自动化安全证书管理工具，由电子前沿基金会（EFF）开发和维护，是在Linux、Apache和Nginx服务器上配置和管理SSL/TLS证书的一种机制。Certbot可以自动完成域名的认证并安装证书。

转载 我记不住的那些top命令

top -b -n 10 > /tmp/top-report.txt 以batch方式刷新10次并将结果存储在top-report中，因为以交互式的top会不停的刷新结果，不利于后期的处理和分析，而以batch方式可以将结果某个时间的结果快照保存到磁盘中，以支持后续的分析，结合crontab，可以实时记录系统的top状态。当使用不同的换算单位时候，可能会出现一些进位的误差，可以使用kb的方式来查看(free 或 free -k)，例如：如果使用MB可能得到的数字不一定相等但是会基本保持一致。

转载 【WebSocket】工具wscat安装和使用

可行性时前后端调试不太方便，可以直接通过命令行工具调试：安装wscat即可。每当后台服务器部署一个websocket服务需要做测试，测试。4，创建web socket客户端。3，创建websocket服务端。1，首先安装nodejs。5，wscat参数说明。

转载 Linux systemd 系统服务管理

是一个系统和服务管理器，也是 Linux 操作系统中最常用的系统之一。它的设计目标是提供更快、更有效、更可靠的系统启动过程，并提供强大的管理和监控服务的能力。本文首先介绍 systemd 服务脚本的基本情况，并通过一个简单的示例带领读者学习如何编写 systemd 服务脚本，实现 Linux 服务的自启动、启动、停止和重启管理。

转载 十分钟学会如何发布微信小程序

5、创建小程序，进入小程序开发工作界面，可以预览小程序的效果，可以修改代码，也可以点击操作工具栏上的预览，就可以生成一个手机上可以访问的二维码，这个是有你可以扫码进行预览。2、提交完成，等待审核结果，第一次审核的时间会比较长，一般审核在1~3天左右，后面审核的会比较快，如果你有做微信认证，那么会有审核优先的权利。企业提供的资料有企业类型，企业名称，营业执照注册号，管理员身份证姓名，管理员身份证号码，管理员手机号码，绑定管理员微信号。1、小程序基本信息填写：小程序名称，小程序简称，小程序头像，小程序介绍。

转载 微信小程序基础入门

pages 用来存放所有小程序的页面index.js 后续写动态效果代码的位置 特效 与后台交互获取数据index.json 引用其它组件内容的配置文件位置index.wxml 类似于咱们的html页面，就是写布局的index.wxss 类似与咱们刚才写的css文件.eslintrc.js 检测代码样式格式的文件app.js 小程序项目的入口文件app.json 小程序项目的全局配置文件app.wxss 小程序项目的全局样式文件。

原创 记录目前可用的docker源

【代码】记录目前在用的docker源。

原创 通过nginx代理到oss访问MP文件

需求：一个nginx需求，需要访问域名下的txt文件，然后通过nginx代理到oss里面某个路径。场景：在做微信支付的时候，需要把MP文件放到oss上面，然后通过域名去直接访问。

原创 python的一些小问题

【代码】python的一些小问题。