tls

原文地址: cluster on multiple machines 总览 启动一个集群静态的要求是每一个集群中的成员需要知道其他成员的位置。在许多情况下，集群成员的IP可能无法提前知道。在这种情况下，etcd集群可以在发现服务的帮助下进行启动。 一旦etcd集群已经启动，添加或移除成员可以通过 运行时重新配置 。在运行时重新配置之前，为了更好地理解设计，我们建议读 运行时重新配置设计文档 。 这篇引导etcd集群的启动将包括以下机制： 静态 etcd发现 DNS发现 每种引导机制都将用于创建具有以下详细信息的三台计算机etcd集群： Name Address Hostname infra0 10.0.1.10 infra0.example.com infra1 10.0.1.11 infra1.example.com infra2 10.0.1.12 infra2.example.com 静态 集群的成员，在启动之前它们的地址和集群的大小，我们可以通过设置 initial-cluster 参数使用离线的启动配置。每一个机器将会通过以下的环境变量或命令行获得配置信息： ETCD_INITIAL_CLUSTER="infra0=http://10.0.1.10:2380,infra1=http://10.0.1.11:2380,infra2=http://10.0.1.12:2380

原文地址： Configuration flags etcd通过配置文件，多命令行参数和环境变量进行配置， 可重用的配置文件是YAML文件，其名称和值由一个或多个下面描述的命令行标志组成。为了使用此文件，请将文件路径指定为 --config-file 标志或 ETCD_CONFIG_FILE 环境变量的值。如果需要的话 配置文件示例 可以作为入口点创建新的配置文件。 在命令行上设置的选项优先于环境中的选项。 如果提供了配置文件，则其他命令行标志和环境变量将被忽略。例如， etcd --config-file etcd.conf.yml.sample --data-dir /tmp 将会忽略 --data-dir 参数。 参数 --my-flag 的环境变量的格式为 ETCD_MY_FLAG .它适用于所有参数。 客户端请求 官方的etcd端口 为2379,2380是节点通信端口。可以将etcd端口设置为接受TLS流量，非TLS流量，或同时接受TLS和非TLS流量。 要在Linux启动时使用自定义设置自动启动etcd，强烈建议使用 systemd 单元。 成员标记 --name 人类可读的该成员的名字 默认值："default" 环境变量：ETCD_DATA_DIR 该值被该节点吃的 --initial-cluster 参数引用(例如 default=http://localhost

说明 应用程序通过未加密的通道与数据库服务器通信, 这可能会造成重大的安全风险。在这种情况下, 攻击者可以修改用户输入的数据, 甚至对数据库服务器执行任意 SQL 命令。 例如，当您使用以下连接字符串时，就可能存在这种风险： <connectionStrings> <add name="Test" connectionString="Data Source=210.10.20.10,1433; Initial Catalog=myDataBase;User ID=myUsername;Password=myPassword;" providerName="System.Data.SqlClient" /> </connectionStrings> 启用SSL/TLS加密连接 大部分数据库服务器都提供支持使用SSL/TLS来加密传输所有数据，您应当尽可能的使用它。在您的连接字符串上加上Encrypt=True即可。如果您的开发环境没有可信证书，加上TrustServerCertificate=True来取消验证证书是否受信。 <connectionStrings> <add name="Test" connectionString="Data Source=210.10.20.10,1433; Initial Catalog=myDataBase;User ID=myUsername

一、HTTP和HTTPS之间的区别 HTTP是一种协议，全称叫作：超文本传输协议（HTTP，HyperText Transfer Protocol)，是互联网上应用最为广泛的一种网络协议。所有的WWW文件都必须遵守这个标准。 同样HTTPS也是一种超文本传送协议，（HTTPS，Hyper Text Transfer Protocol over Secure Socket Layer），是以安全为目标的HTTP通道，简单讲是HTTP的安全版。即HTTP下加入SSL层，HTTPS的安全基础是SSL，因此加密的详细内容就需要SSL。用于安全的HTTP数据传输。 超文本传输协议HTTP协议被用于在Web浏览器和网站服务器之间传递信息。HTTP协议以明文方式发送内容，不提供任何方式的数据加密，如果攻击者截取了Web浏览器和网站服务器之间的传输报文，就可以直接读懂其中的信息，因此HTTP协议不适合传输一些敏感信息，比如信用卡号、密码等。 为了解决HTTP协议的这一缺陷，需要使用另一种协议：安全套接字层超文本传输协议HTTPS。为了数据传输的安全，HTTPS在HTTP的基础上加入了SSL协议，SSL依靠证书来验证服务器的身份，并为浏览器和服务器之间的通信加密。 HTTPS和HTTP的区别主要为以下四点： https协议需要到ca申请证书，目前市面上的免费证书也不少，收费的也都比较贵。

基本语法 Docker 命令有两大类，客户端命令和服务端命令。前者是主要的操作接口，后者用来启动 Docker Daemon。 客户端命令：基本命令格式为 docker [OPTIONS] COMMAND [arg...]； 服务端命令：基本命令格式为 dockerd [OPTIONS]。 可以通过 man docker 或 docker help 来查看这些命令。 客户端命令选项 --config=""：指定客户端配置文件，默认为 /.docker ； -D=true|false：是否使用 debug 模式。默认不开启； -H, --host=[]：指定命令对应 Docker 守护进程的监听接口，可以为 unix 套接字（unix:///path/to/socket），文件句柄（fd://socketfd）或 tcp 套接字（tcp://[host[:port]]），默认为 unix:///var/run/docker.sock； -l, --log-level="debug|info|warn|error|fatal"：指定日志输出级别； --tls=true|false：是否对 Docker 守护进程启用 TLS 安全机制，默认为否； --tlscacert= /.docker/ca.pem：TLS CA 签名的可信证书文件路径； --tlscert= /.docker

SSL SSL(Secure Sockets Layer 安全套接层),及其继任者传输层安全（Transport Layer Security，TLS）是为网络通信提供安全及数据完整性的一种安全协议。 TLS与SSL在传输层与应用层之间对网络连接进行加密。 SSL协议位于TCP/IP协议与各种应用层协议之间，为数据通讯提供安全支持。 SSL协议可分为两层 SSL记录协议（SSL Record Protocol）：它建立在可靠的传输协议（如TCP）之上，为高层协议提供数据封装、压缩、加密等基本功能的支持。 SSL握手协议（SSL Handshake Protocol）：它建立在SSL记录协议之上，用于在实际的数据传输开始前，通讯双方进行身份认证、协商加密算法、交换加密密钥等。 流程 服务器认证阶段： 客户端向服务器发送一个开始信息“Hello”以便开始一个新的会话连接； 服务器根据客户的信息确定是否需要生成新的主密钥，如需要则服务器在响应客户的“Hello”信息时将包含生成主密钥所需的信息； 客户根据收到的服务器响应信息，产生一个主密钥，并用服务器的公开密钥加密后传给服务器； 服务器回复该主密钥，并返回给客户一个用主密钥认证的信息，以此让客户认证服务器。 用户认证阶段： 在此之前，服务器已经通过了客户认证，这一阶段主要完成对客户的认证。 经认证的服务器发送一个提问给客户，客户则返回

一．环境 Server：基于 CentOS -7-x86_64-1511 Server IP: 172.18.12.203 OpenLDAP：openldap-2.4.44已安装 二．准备工作 1. 依赖包 #理论上只需要openssl与openssl-devel yum install *openssl* -y openldap编译需要开启"--with-tls"选项，可通过"./configure --help"查看相关说明，请参考： http://www.linuxidc.com/Linux/2017-10/147559.htm ； openssl相关依赖包一定要安装在openldap安装之前，在openldap安装之后再yum安装openssl相关依赖包，运行ldaps命令时时报" 573d212b daemon: TLS not supported (ldaps://0.0.0.0:636/)"错(如下图)，安装openssl相关包之后重新编译安装openldap解决。 可以使用" /usr/local/openldap-2.4.44/libexec/slapd"命令查看执行命令是否关联相应libraries，上面就是通过此方法定位故障点的： http://comments.gmane.org/gmane.network.openldap.technical/874 2.

　　突然被同事反馈无法正常发送对应信息，赶紧差错！ 发现request请求API接口均报 请求被中止: 未能创建 SSL/TLS 安全通道 非常奇怪， 于是查询环境Framework版本4.0 升级至4.8 故障依旧 查询代码发现需要设置一下ServicePointManager.SecurityProtocol这个类下面的几个枚举属性如下 public enum SecurityProtocolType { Ssl3 = 48, Tls = 192, Tls11 = 768, Tls12 = 3072, } 于是设置 ServicePointManager.SecurityProtocol = (SecurityProtocolType)192 | (SecurityProtocolType)768 | (SecurityProtocolType)3072; 再次发送问题解决！ 来源： https://www.cnblogs.com/paul010/p/11888498.html

作者：吾非同 链接：https://zhuanlan.zhihu.com/p/72616216 来源：知乎 著作权归作者所有。商业转载请联系作者获得授权，非商业转载请注明出处。 1.什么是协议？ 网络协议是计算机之间为了实现网络通信而达成的一种“约定”或者”规则“，有了这种”约定“，不同厂商的生产设备，以及不同操作系统组成的计算机之间，就可以实现通信。 2.HTTP协议是什么？ HTTP协议是 超文本传输协议 的缩写，英文是Hyper Text Transfer Protocol。它是从WEB服务器传输超文本标记语言(HTML)到本地浏览器的传送协议。 设计HTTP最初的目的是为了提供一种发布和接收HTML页面的方法。 HTPP有多个版本，目前广泛使用的是HTTP/1.1版本。 3.HTTP原理 HTTP是一个基于TCP/IP通信协议来传递数据的协议，传输的数据类型为HTML 文件,、图片文件, 查询结果等。 HTTP协议一般用于B/S架构（）。浏览器作为HTTP客户端通过URL向HTTP服务端即WEB服务器发送所有请求。 我们以访问百度为例： 访问百度流程 4.HTTP特点 http协议支持客户端/服务端模式，也是一种请求/响应模式的协议。 简单快速：客户向服务器请求服务时，只需传送请求方法和路径。请求方法常用的有GET、HEAD、POST。 灵活

搭建K8S私有云之后，我们需要在私有云上提供一种能力，让研发可以直接登录容器，参看容器或者应用程序当前的状态。研发人员不可直接登录宿主主机，登录宿主主机属于危险操作。 WEB终端的话，推荐使用gotty: github 地址： https://github.com/yudai/gotty 一、环境说明： centos7 K8S: 1.8 gotty:1.0.1 二、 gotty参数说明 ： --address value, -a value IP address to listen (default: "0.0.0.0") [$GOTTY_ADDRESS] --port value, -p value Port number to liten (default: "8080") [$GOTTY_PORT] --permit-write, -w Permit clients to write to the TTY (BE CAREFUL) [$GOTTY_PERMIT_WRITE] --credential value, -c value Credential for Basic Authentication (ex: user:pass, default disabled) [$GOTTY_CREDENTIAL] --random-url, -r Add a random