主页

弹性网卡在容器网络的应用

弹性网卡(Elastic Network Interface)是一种虚拟网卡,可以挂载到已有的虚拟机上。使用弹性网卡可以实现虚拟机迁移IP地址不变(IP地址与弹性网卡绑定,弹性网卡可以在虚拟机之间迁移)、传统数据中心的多网络平面隔离功能。

阅读更多

Dockerfile 最佳实践

容器的OCI标准定义了容器镜像规范,容器镜像包与传统的压缩包(zip/tgz等)相比有两个关键区别点:1)分层存储;2)打包即部署。 分层存储可以极大减少镜像更新时候拉取镜像包的时间,通常应用程序更新升级都只是更新业务层(如Java程序的jar包),而镜像中的操作系统Lib层、运行时(如Jre)层等文件不会频繁更新。因此新版本镜像实质有变化的只有很小的一部分,在更新升级时候也只会从镜像仓库拉取很小的文件,所以速度很快。 打包即部署是指在容器镜像制作过程包含了传统软件包部署的过程(安装依赖的操作系统库或工具、创建用户、创建运行目录、解压、设置文件权限等等),这么做的好处是把应用及其依赖封装到了一个相对封闭的环境,减少了应用对外部环境的依赖,增强了应用在各种不同环境下的行为一致性,同时...

阅读更多

Redis最佳实践

缓存数据库在现代系统架构中越来越成为标准配置之一,特别是随着微服务架构的流行,微服务无状态改造要求状态外置,外置的状态就需要存储到外部缓存服务中。Redis是当前主流的缓存数据库实现,本文介绍Redis基本概念与最佳实践。

阅读更多

Kubernetes集群管理工具Gardener

随着应用容器化推进,容器多云混合云的诉求越来越旺盛,多Kubernetes管理的工具也越来越多,不同的工具采取的实现思路也不同。Gardener是一个多Kubernetes集群管理工具,通过在Kubernetes控制面增加Controller方式实现多Kubernetes Master管理。Gardener已经在Github开源。

阅读更多

公有云上信封加密与密钥管理实践

信封加密原理 信封加密使用对称加密AES+非对称加密RSA两种实现,使用RSA加密AES算法的Key,并将Key与一并存储或传输,密文+加密的AES Key就形象比喻为信封。 信封加密用于加密大量数据的场景,由于RSA加密的长度不允许超过RSA Key长度(通常RSA Key长度为1024/2048/4096 bit),因此对于大文件加密的场景,如图片/视频/文本等,需要使用对称加密算法。对称加密算法的Key在网路或组织之间传输存在泄露风险,因此使用RSA非对称算法加密对称密钥的Key,可以保证Key的安全传输。

阅读更多

Kafka最佳实践

Kafka作为流式消息中间件,设计之初就是用于解决大数据场景下海量数据采集、传输问题,传输过程还需要保证时延与可靠性。Kafka已经成为大数据场景下的标配部件。本文介绍Kafka基本概念与最佳实践。 架构与概念 Message 消息:Kafka队列中的数据单元,消息由Key与Value、以及可选的Header组成。 Producer 生产者:生产者往Kafka Topic中发布消息;生产者随机(round-robin)的将消息写到Topic分区中、或者使用特定的分区算法(根据消息的Key作为输入)。 Broker :Kafka是一个分布式集群系统,集群中每个节点称为 Broker 。 Topic :Topic 是消息发布的一个类别,生产者往特定Topic投递消...

阅读更多

如何管理华为云用户权限

企业使用云服务时候,权限管理是很重要一部分。不同的企业对权限有不同的诉求,集团型企业,可能有多个公有云账号,在此账号下再分权限;一个公有云账号,对应不同的部门、人员、需要区分权限。 本文列举了典型的权限使用场景,权限设计指导原则,以及常见的权限问题。

阅读更多