Istio控制平面组件原理解析 朱经惠 2018.08.25 Service Mesh Meetup #3 深圳站关于我 • 朱经惠，ETC车宝平台工程师。 • 喜欢开源，个人开源项目”Jaeger PHP Client”。 • 喜欢研究源码，对NSQ，Jaeger，Istio（控制平面）等go语言开源项目进行 过研究。 • 除了代码还喜欢爬山和第二天睡醒后全身酸疼的感觉。目录Pil uv1版本和v2版本之间的区别 u建立缓存配置 u触发配置生效方式v1版本和v2版本之间的区别 V1 HTTP1 REST JSON/YAML 弱类型 轮询 SDS/CDS/RDS/LDS 奠定控制平面基础 V2 HTTP2 GRPC Proto3 强类型 Push SDS/CDS/RDS/LDS/HDS/ADS/KDS 和Google强强联手 官方博客：The universal secretName: istio.default证书过期 üroot-cert.pem 实际有效期1年，没有找到更新方式，手动更新？ ücert-chain.pem 和 key.pem 实际有效期90天，程序控制有效期45天 ü证书过期会被重新生成并挂载到/etc/certs ü触发envoy热启动ü方案一： • 把重新生成证书时间改为凌晨http://www.servicemesher.com

.................. 147 第十八章 并发登录人数控制 ..................................................................................................... 155 第十九章 动态 URL 权限控制..................................... Concurrency：shiro 支持多线程应用的并发验证，即如在一个线程中开启另一个线程，能 把权限自动传播过去； Testing：提供测试支持； Run As：允许一个用户假装为另一个用户（如果他们允许）的身份进行访问； Remember Me：记住我，这个是非常常见的功能，即一次登录后，下次再来的话不用登录 了。 记住一点，Shiro 不会去维护用户、维护权限；这些需要我们自己去设计/提供；然后通过 相应的接口注入给 交互； 且它管理着所有 Subject；可以看出它是 Shiro 的核心，它负责与后边介绍的其他组件进行 交互，如果学习过 SpringMVC，你可以把它看成 DispatcherServlet 前端控制器； Realm：域，Shiro 从从 Realm 获取安全数据（如用户、角色、权限），就是说 SecurityManager 要验证用户身份，那么它需要从 Realm 获取相应的用户进行比较以确定用户身份是否合法；

249 叽里呱啦 Nacos 1.1.2 升级 1.4.1 最佳实践 267 服务发现最佳实践 281 Eureka 平滑迁移 Nacos 方案 281 Nacos 打通 CMDB 实现就近访问 288 跨注册中心服务同步实践 298 配置管理最佳实践 310 Nacos 限流最佳实践 310 Nacos 无缝支持 confd 配置管理 320 结语 326 结语 326 作者 官网：https://nacos.io/ 仓库：https://github.com/alibaba/nacos Nacos 优势 易⽤：简单的数据模型，标准的 restfulAPI，易用的控制台，丰富的使用文档。 稳定：99.9% 高可用，脱胎于历经阿里巴巴 10 年生产验证的内部产品，支持具有数百万服务的大 规模场景，具备企业级 SLA 的开源产品。 实时：数据变更毫秒级推送生效；1w 用等核心问题， 插件解决扩展性问题。 Nacos 架构 < 18 用户层  OpenAPI：暴露标准 Rest 风格 HTTP 接口，简单易用，方便多语言集成。  Console：易用控制台，做服务管理、配置管理等操作。  SDK：多语言 SDK，目前几乎支持所有主流编程语言。  Agent：Sidecar 模式运行，通过标准 DNS 协议与业务解耦。  CLI：命令行对产品进行轻量化管理，像

· · · · · · · · · · · · · · · · · · · · · · · · · · · · · 953 7.8.12 TiCDC 把数据同步到 Kafka 时，能在 TiDB 中控制单条消息大小的上限吗？ · · · · · · · · · · · · · · · 953 7.8.13 在一个事务中对一行进行多次修改，TiCDC 会输出多条行变更事件吗？ · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · 1558 11.3.4 控制执行计划· · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · 3050 14.11.5 基于角色的访问控制· · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · ·

· · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · 1300 11.3.4 控制执行计划· · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · 3035 14.11.5 基于角色的访问控制· · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · 是否显示系统进程号？ · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · 4145 15.3.18 在 TiDB 中如何控制或改变 SQL 提交的执行优先级？ · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · 4145 15.3.19 在 TiDB 中

· · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · 1234 11.3.4 控制执行计划· · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · 3016 14.11.5 基于角色的访问控制· · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · 是否显示系统进程号？ · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · 4101 15.3.18 在 TiDB 中如何控制或改变 SQL 提交的执行优先级？ · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · 4101 15.3.19 在 TiDB 中

用户权限系统调研（已实现）© XXX Page 2 of 33 一、Curvefs测试 1. 启动curvefs 问题1：root用户无法访问挂载目录 测试 allow_root 测试allow_other 参考文献 问题2：本地文件系统挂载默认是共享的？ 问题3：文件系统访问控制是在哪一层实现的？ 二、文件系统权限管理 文件类型 文件权限 特殊权限(SUID, SGID, STICKY) 文件默认权限umask -o conf=./curvefs/conf/curvefs_client.conf /tmp/fsmount 问题1：root用户无法访问挂载目录 测试发现client mount进程是哪个用户启动的就只有该用户(filesystem owner)可以访问该目录，即使挂载点mode是777。 # filesystem owner wanghai01@pubbeta1-nostest2:/tmp$ XXX Page 4 of 33 查阅资料发现这是fuse的一种安全策略，默认是只有filesystem owner拥有该文件系统的访问权限，如果想要其他用户有权访问，需要在挂载参数中指定‘-o allow-root’ 或'-o allow-other'以允许相应用户有权访问该文件系统，如果挂载者不是root还需要在/etc/fuse.conf（/usr/local/etc/fuse.conf）中增加

原地运算符 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 407 11 文件和目录访问 411 11.1 pathlib --- 面向对象的文件系统路径 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 411 文件名模式匹配 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 458 v 11.9 linecache --- 随机访问文本行 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 459 11.10 shutil --- 高层级文件操作 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 582 14.2.7 映射协议访问 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 583 14.2.8 定制解析器行为

原地运算符 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 403 11 文件和目录访问 407 11.1 pathlib --- 面向对象的文件系统路径 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 407 文件名模式匹配 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 454 v 11.9 linecache --- 随机访问文本行 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 455 11.10 shutil --- 高层级文件操作 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 578 14.2.7 映射协议访问 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 579 14.2.8 定制解析器行为

原地运算符 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 395 11 文件和目录访问 397 11.1 pathlib --- 面向对象的文件系统路径 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 397 文件名模式匹配 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 440 11.9 linecache --- 随机访问文本行 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 441 11.10 shutil --- 高层级文件操作 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 560 14.2.6 映射协议访问 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 561 14.2.7 定制解析器行为