娃娃Code

小米路由器BE7000的Docker权限不足问题解决

2024-12-09T00:00:00.000Z

Error response from daemon: authorization denied by plugin opa-docker-authz: request rejected by administrative policy。
小米路由器BE7000，docker run 权限提升问题解决方案。

手上有一台MiWiFi For Xiaomi路由器BE7000 稳定版。这个路由器硬件配置还不错，而且支持Docker。刚好从网上看到有解锁SSH的教程。(SSH教程，在恩山找就行)
于是在开启SSH之后，尝试跑几个docker容器，结果遇到了这个错误：Error response from daemon: authorization denied by plugin opa-docker-authz: request rejected by administrative policy。

原来这个路由器默认的docker初始化加入了opa权限插件。这个插件opa-docker-authz 是一个使用 Open Policy Agent (OPA) 实现的 Docker 容器授权插件，用于对 Docker 守护进程的 API 请求进行访问控制。它允许管理员定义细粒度的访问控制策略，以决定哪些操作可以执行，哪些不可以。

首先我们找到·初始化的配置信息，关闭这个插件即可。文件在 /etc/config/mi_docker

// 查看文件
cat /etc/config/mi_docker

// 编辑文件
vi /etc/config/mi_docker

把文件中这一行 list authorization_plugins ‘opa-docker-authz’
将引号中的内容删掉，只保留引号就可以了
list authorization_plugins ‘’

然后重启路由器就可以了

这样docker权限提升就完成了！

cloudflare ddns通过API更新动态IP域名解析

2024-11-04T00:00:00.000Z

Cloudflare的DDNS功能使用，通过Linux定时任务配合shell脚本，完成动态IP的域名解析。适用于家庭网络公网IP不固定的情况。

创建一个API密钥

登录Cloudflare之后 -> 点击页面右上角的个人中心 -> 进入My Profile -> 进入API token
也可以直接访问链接：https://dash.cloudflare.com/profile/api-tokens

创建一个Token，选择模板Edit zone DNS

点击提交确认之后，复制token并保存起来. (注意这个Token只会展示这一次，忘记了就只能重新创建一个Token)

编写脚本，验证流程

#!/bin/bash
# Cloudflare API令牌
API_TOKEN="填token"
# Cloudflare Zone ID
ZONE_ID="填Zone ID"
# DNS记录ID（需要更新的记录ID）
RECORD_ID="填DNS记录ID"
# 需要更新的域名，subdomain.example.com
RECORD_NAME="填域名"

# 获取当前公网IP
CURRENT_IP=$(curl -s http://ipv4.icanhazip.com)
echo "当前公网IP: $CURRENT_IP"

# 获取现有的DNS记录IP
DNS_RECORD_RESPONSE=$(curl -s -X GET "https://api.cloudflare.com/client/v4/zones/${ZONE_ID}/dns_records/${RECORD_ID}" \
     -H "Authorization: Bearer ${API_TOKEN}" \
     -H "Content-Type: application/json")

# 提取现有DNS记录的IP地址
DNS_RECORD_IP=$(echo "$DNS_RECORD_RESPONSE" | sed -n 's/.*"content":"\([^"]*\)".*/\1/p')
echo "提取到的DNS记录IP: $DNS_RECORD_IP"

# 检查IP是否需要更新
if [ "$CURRENT_IP" == "$DNS_RECORD_IP" ]; then
    echo "IP地址未改变，无需更新"
else
    echo "IP地址已改变，开始更新DNS记录"

    # 更新DNS记录
    RESPONSE=$(curl -s -X PUT "https://api.cloudflare.com/client/v4/zones/${ZONE_ID}/dns_records/${RECORD_ID}" \
         -H "Authorization: Bearer ${API_TOKEN}" \
         -H "Content-Type: application/json" \
         --data "{\"type\":\"A\",\"name\":\"${RECORD_NAME}\",\"content\":\"${CURRENT_IP}\",\"ttl\":120,\"proxied\":false}")

    # 检查更新结果
    if echo "$RESPONSE" | grep -q "\"success\":true"; then
        echo "DNS记录已成功更新为新IP: ${CURRENT_IP}"
    else
        echo "更新DNS记录失败：$RESPONSE"
    fi
fi

首先在控制台新增一条对应的域名DNS解析记录，用于后续API动态修改。

解释一下脚本中的几个变量：

API_TOKEN：就是上面创建的token
ZONE_ID：在控制台websites列表页面-进入你的域名页面-在右侧可以看到API Zone ID

RECORD_ID：就是你需要更新的那一条解析记录的ID，可以用下面的API接口查看

1
2
3

curl -X GET "https://api.cloudflare.com/client/v4/zones/你的ZONE_ID/dns_records?type=A&name=你的解析域名" \
     -H "Authorization: Bearer 你的API_TOKEN" \
     -H "Content-Type: application/json"

1
2

// 返回的响应结果如下，第一个id字段，就是这条域名解析记录的ID
{"result":[{"id":"3995e7cd0ee84056abe3e0c2d191cf62","zone_id":"04dbfb40755d415ba7c2f40f562e357e","zone_name":"dollcode.cn","name":"blog.dollcode.cn","type":"A","content":"114.114.114.114","proxiable":true,"proxied":false,"ttl":120,"settings":{}..............

RECORD_NAME：填自己的域名就行了

根据实际情况替换变量为自己的，然后保存脚本。命名为cfddns.sh，然后执行如下命令验证效果

# 赋予可执行权限
chmod +x /opt/ddns/cfddns.sh
# 执行验证
/opt/ddns/cfddns.sh

就可以看到对应的日志信息了！

注册为定时任务

接下来就是注册定时任务，每十分钟执行一次，完成自动动态更新解析

使用 cron 定时执行该脚本。编辑 cron 配置：

1	crontab -e

添加如下内容，使其每10分钟执行一次：

1	/10 * * * /opt/ddns/cfddns.sh >> /opt/ddns/ddnsupdate.log 2>&1

wq保存退出

注意目录替换为实际路径。并检查/opt/ddns/ddnsupdate.log 中的日志输出即可！

新版FRP内网穿透搭建使用

2024-09-07T00:00:00.000Z

新版的配置文件有比较大的改动，这里记录一下安装部署过程，官网文档在这里 https://gofrp.org/zh-cn/docs/setup
下载安装地址 https://github.com/fatedier/frp/releases
当前最新版0.60.0

服务端安装

首先是服务端，需要在一台公网机器上部署。
这里我们自己下载选择自己机器对应平台的压缩包我这里选https://github.com/fatedier/frp/releases/download/v0.60.0/frp_0.60.0_linux_amd64.tar.gz

// 下载
wget https://github.com/fatedier/frp/releases/download/v0.60.0/frp_0.60.0_linux_amd64.tar.gz
// 解压
tar zxvf frp_0.60.0_linux_amd64.tar.gz
// 进入目录
cd frp_0.60.0_linux_amd64
// 设置可执行权限
chmod +x frps

可以看到目录下有两对执行文件和配置文件，分别对应客户端(frpc)和服务端(frps)。

LICENSE
frpc
frpc.toml 
frps      
frps.toml

编辑配置文件

vim frps.toml 加入如下配置

# 服务端监听端口(需要开放安全组端口)
bindPort = 7000
# 服务端监听HTTP端口(需要开放安全组端口)
vhostHTTPPort = 8080
# 鉴权方式为token
auth.method = "token"
# 设置Token，(安全重要) 建议设置复杂一点，对应客户端需要设置一样才能鉴权通过
auth.token = "abcdefg"
# 日志文件最多保留天数，默认为 3 天。
log.maxDays = 7
# 日志级别，可选值为 trace, debug, info, warn, error，默认级别为 info
log.level = "info"
# 日志输出文件路径 (根据自己的实际目录填写)
log.to = "/home/blog/frp_0.60.0_linux_amd64/info.log"

设置开机自启

1	vim /etc/systemd/system/frps.service

加入如下内容(注意替换自己的实际路径)

[Unit]
Description = frp server
After = network.target syslog.target
Wants = network.target

[Service]
Type = simple
# 启动frps的命令，需修改为您的frps的安装路径
ExecStart = /home/blog/frp_0.60.0_linux_amd64/frps -c /home/blog/frp_0.60.0_linux_amd64/frps.toml

[Install]
WantedBy = multi-user.target

// 启动FRP服务并设置开机自启
systemctl enable --now frps
// 查看运行状态
systemctl status frps

** 看到如下日志就服务端启动就OK了 **

● frps.service - frp server
   Loaded: loaded (/etc/systemd/system/frps.service; enabled; vendor preset: disabled)
   Active: active (running) since Sat 2024-09-09 11:37:27 CST; 5h 9min ago
 Main PID: 2677050 (frps)
    Tasks: 5
   Memory: 13.0M
   CGroup: /system.slice/frps.service
           └─2677050 /home/blog/frp_0.60.0_linux_amd64/frps -c /home/blog/frp_0.60.0_linux_amd64/frps.toml

客户端安装

下载的还是同一个压缩包，这些步骤就不重复说明了。
我这里连安装目录也都放的和服务机器一致。解压之后，赋予客户端可执行权限

1 2	// 设置可执行权限 chmod +x frpc

编辑配置文件

编辑客户端配置文件
vim frpc.toml 有如下几种配置场景。可以直接看官网文档！挺详细的 https://gofrp.org/zh-cn/docs/examples/

# 填服务端机器的公网IP
serverAddr = "x.x.x.x"
# 和服务端保持一致
bindPort = 7000
# 和服务端保持一致
vhostHTTPPort = 8080
# 鉴权方式为token
auth.method = "token"
# TOKEN 客户端需要设置和服务端一样才能鉴权通过
auth.token = "abcdefg"
# 日志文件最多保留天数，默认为 3 天。
log.maxDays = 7
# 日志级别，可选值为 trace, debug, info, warn, error，默认级别为 info
log.level = "info"
# 日志输出文件路径 (根据自己的实际目录填写)
log.to = "/home/blog/frp_0.60.0_linux_amd64/info.log"

# 公众号调试代理 
[[proxies]]
name = "mp-web"
type = "http"
localPort = 8080
customDomains = ["temptest.blog.dollcode.cn"]

# SSH登录代理
[[proxies]]
name = "ssh"
type = "tcp"
localIP = "127.0.0.1"
localPort = 22
remotePort = 6000

设置开机自启

方法和在服务端机器操作一模一样，仅仅需要修改 frps 为 frpc 即可

1	vim /etc/systemd/system/frpc.service

加入如下内容(注意替换自己的实际路径)

[Unit]
Description = frp server
After = network.target syslog.target
Wants = network.target

[Service]
Type = simple
# 启动frps的命令，需修改为您的frps的安装路径
ExecStart = /home/blog/frp_0.60.0_linux_amd64/frpc -c /home/blog/frp_0.60.0_linux_amd64/frpc.toml

[Install]
WantedBy = multi-user.target

// 启动FRP服务并设置开机自启
systemctl enable --now frpc
// 查看运行状态
systemctl status frpc

Docker搭建gitlab-runner利用CICD部署Springboot微服务到K8s集群

2024-08-19T00:00:00.000Z

在DevOps工作流中，CICD持续集成持续部署是重要的一环。GitLab CI/CD 是 GitLab 的一部分，因此不需要单独安装。
如果你已经在使用 GitLab 进行代码管理，GitLab CI/CD 无缝集成，直接在同一个平台上管理代码、审查合并请求、自动化测试和部署。
这种集成度简化了开发流程，使用起来非常方便。

前提条件：已经在使用Gitlab做代码管理、机器已安装Docker环境
目标：Docker搭建gitlab-runner，用gitgitlab-ci.yml脚本、Maven打包Springboot微服务、上传到Docker镜像仓库、远程部署到K8s集群

docker安装gitlab-runner

在Gitlab中Runner可以注册到项目（Project）、群组（Group）或所有项目（All projects），这里注册到最大的，所有项目和组都可以用这个Runner

还需要查看当前在用的Gitlab的安装版本，选择一致的版本。避免gitlab-runner版本跨度过大导致出现问题。

1.先注册生成得到一个配置文件config.toml

1 2	// 注意替换成自己的版本号，然后回车，开始注册runner到gitlab流程 docker run --rm -it -v $(pwd)/runner-config:/etc/gitlab-runner gitlab/gitlab-runner:v16.11.3 register

// 第一步：输入gitlab的访问地址即可
Enter the GitLab instance URL (for example, https://gitlab.com/):
http://192.168.168.168:8888

// 第二步：输入 从gitlab管理页面上的复制token
Enter the registration token:
pAovXYzGHsy5EWF7zKiU

// 第三步：输入runner名称 比如：docker-microservice-runner
Enter a description for the runner:
[94030fed2ba3]: docker-microservice-runner

// 第四步：输入Tag 比如：blog
Enter tags for the runner (comma-separated):
blog

// 第五步：输入说明备注 直接回车跳过
Enter optional maintenance note for the runner:

WARNING: Support for registration tokens and runner parameters in the 'register' command has been deprecated in GitLab Runner 16.11 and will be replaced with support for authentication tokens. For more information, see https://gitlab.com/gitlab-org/gitlab/-/issues/380872
Registering runner... succeeded                     runner=pAovXYzG

// 第六步：这个时候可以看到上面日志已经注册完成，选择执行器 docker
Enter an executor: docker, parallels, virtualbox, docker+machine, docker-ssh+machine, instance, kubernetes, custom, docker-ssh, shell, ssh:
docker

// 第七步：选择默认基础镜像，这个镜像其实无所谓，因为我们在实际CICD中会指定镜像。这里就直接填 docker:24.0.2
Enter the default Docker image (for example, ruby:2.7):
docker:24.0.2
Runner registered successfully. Feel free to start it, but if it's running already the config should be automatically reloaded!

Configuration (with the authentication token) was saved in "/etc/gitlab-runner/config.toml"

现在我们得到了配置文件，还需要修改一项重要配置（重要）！！！

因为我们使用Docker部署的Runner，也就是使用 Docker-in-Docker (DinD) 模式进行部署。
需要挂载/var/run/docker.sock，以允许容器内的 Docker 引擎访问宿主机的 Docker。

// 编辑配置文件 
vim runner-config/config.toml

// 修改volumes这一行，改为如下即可
volumes = ["/var/run/docker.sock:/var/run/docker.sock", "/cache"]

保存之后，整个runner的配置文件就准备完成了！

2.启动gitlab-runner
配置文件OK之后，就可以启动Runner了，执行如下命令（注意所在目录需要跟上面保持一致）

docker run -d --name gitlab-runner  \
  -v $(pwd)/runner-config:/etc/gitlab-runner \
  -v /var/run/docker.sock:/var/run/docker.sock \
  gitlab/gitlab-runner:v16.11.3

启动之后，就可以在Gitlab上看到 Runner了。

构建JAVA微服务CICD

整个流程：maven打包得到jar包 -> Dockerfile构建镜像并上传仓库 -> Kubectl部署到K8s集群
在这个过程中，牵扯到账号信息，为了安全方便可以配置成CICD变量。

配置CICD变量

DOCKER_REGISTRY docker地址比如:registry.cn-hangzhou.aliyuncs.com/blog
DOCKER_REGISTRY_USER docker登录名
DOCKER_REGISTRY_PASSWORD docker密码
K8S_KUBECONFIG_TEST k8s测试集群的config文件
K8S_KUBECONFIG_PROD k8s生产集群的config文件
JAVA_MAVEN_SETTINGS maven的setting.xml配置

注意K8sconfig变量类型为 File 文件内容就是集群的KubeConfig

Maven的setting.xml文件如下，需要替换成自己的私服即可。

"1.0" encoding="UTF-8"?>
<settings xmlns="http://maven.apache.org/SETTINGS/1.0.0"
          xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance"
          xsi:schemaLocation="http://maven.apache.org/SETTINGS/1.0.0 http://maven.apache.org/xsd/settings-1.0.0.xsd">
  <mirrors>
  <mirror>  
        <id>nexus-aliyunid>  
        <mirrorOf>centralmirrorOf>    
        <name>Nexus aliyunname>  
        <url>http://maven.aliyun.com/nexus/content/groups/publicurl>  
      mirror> 
  mirrors> 
settings>

增加部署文件

进入springboot项目仓库，创建 Dockerfile 、k8sdeploy_test.yaml 、k8sdeploy_prod.yaml
项目结构如下：

项目名称
 ├── src/main
 │   └── java
 │   └── resources
 ├── pom.xml
 ├── Dockerfile
 ├── k8sdeploy_test.yaml
 ├── k8sdeploy_prod.yaml

FROM registry.cn-hangzhou.aliyuncs.com/blog/jre17
MAINTAINER dollcode
ARG JAR_FILE
COPY ${JAR_FILE} app.jar
EXPOSE 8080
ENTRYPOINT ["java","-jar","/app.jar"]

k8sdeploy_test.yaml 内容如下：

apiVersion: apps/v1
kind: Deployment
metadata:
  name: APPLICATIONNAME
  namespace: blog
spec:
  replicas: 1
  selector:
    matchLabels:
      app: APPLICATIONNAME
  template:
    metadata:
      labels:
        app: APPLICATIONNAME
    spec:
      containers:
        - name: APPLICATIONNAME
          image: APPLICATIONIMAGE
          imagePullPolicy: Always
          env:
            - name: SPRING_PROFILES_ACTIVE
              value: test
          ports:
            - containerPort: APPLICATIONPORT
---
apiVersion: v1
kind: Service
metadata:
  name: APPLICATIONNAME-svc
spec:
  ports:
    - port: APPLICATIONPORT
      protocol: TCP
      targetPort: APPLICATIONPORT
  selector:
    app: APPLICATIONNAME
  type: ClusterIP

k8sdeploy_prod.yaml 内容差不多只是环境不一样，就不贴了。

编写CICD脚本

依次点击 CICD -> Editor 编辑脚本内容如下

stages:
  - maven_build
  - docker_build
  - deploy_k8s

variables:
  # 指定项目的端口和代码版本
  PROJECT_PORT: "8080"
  PROJECT_VERSION: "1.0"
  # 指定maven-build配置路径
  MAVEN_CLI_OPTS: "-s /root/.m2/settings.xml"
  # 定义docker镜像的tag命名
  REGISTRY_TAG: "ci-$CI_PIPELINE_ID"
  # 定义docker镜像的命名  
  REGISTRY_APPNAME: "$DOCKER_REGISTRY/blog/$CI_PROJECT_NAME"
  # 全局环境
  DEPLOY_ENV: "dev"
  # K8s命名空间
  K8S_NAMESPACE: "default"

# 前置脚本：设置不同分支使用不同的配置和镜像地址，部署到不同的K8s集群
# dev分支为测试环境部署：registry.cn-hangzhou.aliyuncs.com/blog_test/spring-service:ci-101
# dev分支为测试环境部署：registry.cn-hangzhou.aliyuncs.com/blog_prod/spring-service:ci-101
before_script:
  - mkdir -p .m2/repository ~/.kube
  - if [ "$CI_COMMIT_BRANCH" == "dev" ]; then
      export DEPLOY_ENV=test;
      mv $K8S_KUBECONFIG_TEST  $HOME/.kube/config;
    elif [ "$CI_COMMIT_BRANCH" == "main" ]; then
      export DEPLOY_ENV=prod;
      mv $K8S_KUBECONFIG_PROD  $HOME/.kube/config;
    else
      echo "This branch is not configured for deployment.";
      exit 1;
    fi
  - export REGISTRY_APPNAME=$DOCKER_REGISTRY/blog_$DEPLOY_ENV/$CI_PROJECT_NAME;

# maven打包，注意image要改为自己项目JDK对应版本 如maven:3.8.6-jdk-11、 maven:3.8.6-jdk-8
mavenjar_job:
  stage: maven_build
  image: maven:3.8.6-jdk-11
  # maven依赖做缓存
  cache:
    key: global-cache
    paths:
      - .m2/repository
    policy: pull-push
  script:
    - mkdir -p ~/.m2
    - echo "$JAVA_MAVEN_SETTINGS" > ~/.m2/settings.xml
    - mvn $MAVEN_CLI_OPTS clean package -DskipTests -Dmaven.repo.local=.m2/repository
  artifacts:
    paths:
      - target/$CI_PROJECT_NAME-$PROJECT_VERSION.jar
  tags:
    - blog

# Docker镜像打包上传
container_job:
  stage: docker_build
  image: docker:24.0.2
  script:
    # build镜像 并一个命名当前版本，一个命名latest
    - docker build --build-arg JAR_FILE="target/$CI_PROJECT_NAME-$PROJECT_VERSION.jar" --tag $REGISTRY_APPNAME:$REGISTRY_TAG --tag $REGISTRY_APPNAME:latest .
    # 登录docker私服仓库
    - docker login -u "$DOCKER_REGISTRY_USER" -p "$DOCKER_REGISTRY_PASSWORD" $DOCKER_REGISTRY
    # 推送镜像
    - docker push $REGISTRY_APPNAME:$REGISTRY_TAG
    - docker push $REGISTRY_APPNAME:latest
  tags:
    - blog

# 部署K8S
deploy_job:
  stage: deploy_k8s
  image:
    # 版本号要和K8s集群版本一致
    name: bitnami/kubectl:1.28
    entrypoint: [""]
  script:
    # 替换对应环境yaml中的项目端口、项目名称、项目镜像
    - sed -i s/APPLICATIONPORT/$PROJECT_PORT/ k8sdeploy_$DEPLOY_ENV.yaml
    - sed -i s/APPLICATIONNAME/$CI_PROJECT_NAME/ k8sdeploy_$DEPLOY_ENV.yaml
    # 因为镜像名称中包含特殊字符(/),所以使用%代替分隔符
    - sed -i s%APPLICATIONIMAGE%$REGISTRY_APPNAME:$REGISTRY_TAG% k8sdeploy_$DEPLOY_ENV.yaml
    # 部署
    - kubectl apply -f k8sdeploy_$DEPLOY_ENV.yaml --namespace $K8S_NAMESPACE
  tags:
    - blog

部署

提交代码或者手动触发部署完成！！！

踩坑汇总

Maven依赖缓存

如果没有设置依赖缓存，每一次都会重新拉取依赖jar。而Springboot的依赖是非常多的，每次拉取超级耗时。
这里有一个坑：gitlab CICD只能缓存项目工作空间下的目录。所以需要创建.m2/repository 并且在maven build命令中指定目录

bitnami/kubectl无法执行命令

在deploy_job执行中，日志报错如下：

Using docker image sha256:be85f4da59a1c49507de843111579c94b9adf3 for bitnami/kubectl:1.28 with digest bitnami/kubectl@sha256:9657fd84779759711e59a51f4993567562 ...
E0816 09:35:39.752914       1 run.go:120] "command failed" err="unknown command \"sh\" for \"kubectl\"\n\nDid you mean this?\n\tset\n\tcp\n"
Cleaning up project directory and file based variables
00:01
ERROR: Job failed: exit code 1

因为bitnami/kubectl 镜像的默认入口点是 kubectl，因此执行 sh 命令时，它会认为这是一个 kubectl 的子命令，而不是一个 Shell 命令。
必须要显式覆盖镜像的入口点或命令，以便运行 sh。所以需要指定 entrypoint: [""]

ngrok内网穿透注册使用无需实名

2024-08-08T00:00:00.000Z

开箱即用的内网穿透的工具有很多很多，但是由于国内环境需要实名认证劝退了。发现dashboard.ngrok.com注册即用，带https。而且控制台体验特别好，简直是傻瓜式。引导做的太棒了！！！
所以这里简单记录一下，因为控制台的交互设计已经非常完善了。

注册ngrok.com

打开官网：https://dashboard.ngrok.com 用邮箱注册，然后邮件激活账号即可。

最新情况： HTTP隧道可以直接用，TCP隧道需要绑卡

1
2
3

You must add a credit or debit card before you can use TCP endpoints on a free account. 
We require a valid card as a way to combat abuse and keep the internet a safe place. 
This card will NOT be charged. Add a card to your account here: https://dashboard.ngrok.com/settings#id-verification

下载安装客户端

进入控制台之后，选择自己对应的平台客户端下载。这里以 Linux举例

将下载的客户端传输到机器上，解压并安装。

sudo tar -xvzf ngrok-v3-stable-linux-amd64.tgz -C /usr/local/bin

// 创建配置文件并授权token，命令直接在控制台复制即可，非常方便
ngrok config add-authtoken xxxxxxxxxxxxxxxxxxx

直接启动穿透

可以直接使用客户端启动自己的穿透隧道，但是这样启动的域名是随机动态的。
每次都不一样，可以用下面的第二种方式生成一个固定的域名。

// 启动http穿透80端口
ngrok http http://localhost:80
// 启动tcp穿透如ssh连接
ngrok tcp 22

创建域名启动穿透

注意：免费用户只有一个域名额度！
创建一个Edges，选择自己的穿透类型 Web服务穿透选Http SSH穿透选TCP。并勾选生成域名

再点击页面中的 -> Start a Tunnel 蓝色按钮 -> 会展示出启动命令，根据提示复制这个命令

启动穿透隧道

举例 WEB服务，启动一个nginx。端口80

1	ngrok tunnel --label edge=edghts_xxxxxxxx http://localhost:80

执行之后会输出启动日志。浏览器访问控制台上的Endpoints域名，

ubuntu设置grub密码实现加密开机启动

2024-08-02T00:00:00.000Z

先看效果，在机器开机进入引导时会先进入一个用户名密码验证界面，通过之后才会进入启动流程。并且如果想操作引导其他项，也必须输入密码。类似于密钥启动验证的效果！

假设我们设置用户名为：dollcode 密码为：123456

步骤 1：生成加密密码

1
2
3

sudo grub-mkpasswd-pbkdf2
// 输入并二次确认密码后，会输出一个加密后的密码字符串，类似如下所示：
PBKDF2 hash of your password is grub.pbkdf2.sha512.10000.2932A1217B661566186EE6213A992F6296F947F44E2A52E01EC42B3C0DD079342363378E52A7C0307F78027595FDD9F72C4788E66B74F66D9B154957818CAE0D.FC379727A4D967F4F1C2A03B0284021E8F209253BA3380C6F9D04391C27FCB072DE367ADC64540B6EE809E261DF0EEB0EF0568CFA74FD383C77F2A05DD1EA50E

复制这个字符串，只需要复制 password is后面的字符串密码，也就是从 grub 开始复制

步骤 2：配置GRUB文件

接下来，需要将生成的加密密码添加到 GRUB 配置文件中。设置用户名为：dollcode 密码为：123456

//1. 打开 /etc/grub.d/40_custom 文件进行编辑：
sudo vim /etc/grub.d/40_custom
//2. 在文件尾部添加以下内容：设置用户和第一步的加密密码
set superusers="dollcode"
password_pbkdf2 dollcode grub.pbkdf2.sha512.10000.2932A1217B661566186EE6213A992F6296F947F44E2A52E01EC42B3C0DD079342363378E52A7C0307F78027595FDD9F72C4788E66B74F66D9B154957818CAE0D.FC379727A4D967F4F1C2A03B0284021E8F209253BA3380C6F9D04391C27FCB072DE367ADC64540B6EE809E261DF0EEB0EF0568CFA74FD383C77F2A05DD1EA50E

保存并退出编辑器，然后更新 GRUB 配置：

1	sudo update-grub

步骤 3：重启系统并验证

只有输入配置的用户名和密码，才能进入引导系统。

Docker自定义JDK17 JRE精简镜像

2024-08-01T00:00:00.000Z

由于官方的openJDK17镜像近500MB，属于太大，不利于微服务镜像打包部署。
所以自定义基于alpine 3.18 和 openjdk 17 制作JRE镜像，构建Springboot项目镜像(JRE是java运行环境，不包含开发工具所以小)。
先看结论，一共测试了三种方式。

注意：只编译java SE平台的Jre环境在运行Springboot项目会有问题，精简过头也不行，少了依赖。
！！！推荐用jre17all，这是完整的JRE环境包，测试是完全没问题的。

jre17se 只构建了javaSE平台模块包的JRE环境的镜像
jre17all 构建了所有包模块的JRE环境的镜像
jre17 直接用adoptium下载的JRE来创建的镜像
openjdk 官方的镜像

>docker images
jre17se          latest            cd9e997465f6        7 seconds ago      81MB
jre17all         latest            8d7173e8cdd9        8 minutes ago      113MB
jre17            latest            9c0b10d8c81d        1 hours ago        208MB
openjdk          17                5f94f53bbced        2 hours ago        471MB

选型：

基础镜像apline 大小7MB
JDK17安装包有180MB，运行环境只需要JRE，所以这里直接从预编译OPENJDK选 JRE下载

第一种直接使用已有的JRE创建镜像

这里我做了测试，直接用adoptium构建好的JRE包，去做镜像的话，最后的大小居然有200MB。虽然比官方的OPENJDK的470MB要小一半。但是还不够精简。

所以后面还是自已编译构建JRE包，可以直接跳到第二种方案查看<<<

首先创建一个目录，将下载的Jre压缩包放入。如果网络访问github正常的话，也可以直接下载

1	wget https://github.com/adoptium/temurin17-binaries/releases/download/jdk-17.0.9%2B9/OpenJDK17U-jre_x64_alpine-linux_hotspot_17.0.9_9.tar.gz

创建Dockerfile

# 使用Alpine 3.18作为基础镜像
FROM alpine:3.18

# 复制JDK压缩包到镜像中
COPY OpenJDK17U-jre_x64_alpine-linux_hotspot_17.0.9_9.tar.gz /tmp/openjdk.tar.gz

# 设置环境变量
ENV JAVA_HOME=/opt/jdk
ENV PATH=$JAVA_HOME/bin:$PATH

# 更新Alpine的软件源为阿里云
RUN echo "https://mirrors.aliyun.com/alpine/v3.18/main" > /etc/apk/repositories \
    && echo "https://mirrors.aliyun.com/alpine/v3.18/community" >> /etc/apk/repositories

# 安装必要的软件包，包括时区设置和字体支持
RUN apk add --no-cache fontconfig libretls ttf-dejavu tzdata \
    && rm -rf /var/cache/apk/* \
    && echo "Asia/Shanghai" > /etc/timezone \
    && ln -s /usr/share/zoneinfo/Asia/Shanghai /etc/localtime

# 解压JDK并清理无用文件
RUN set -eux; \
    mkdir -p "$JAVA_HOME"; \
    tar --extract \
        --file /tmp/openjdk.tar.gz \
        --directory "$JAVA_HOME" \
        --strip-components 1 \
        --no-same-owner \
    && rm -f /tmp/openjdk.tar.gz \
    && find "$JAVA_HOME" -name '*.diz' -delete \
    && find "$JAVA_HOME" -name '*.txt' -delete \
    && rm -rf "$JAVA_HOME"/man \
    && rm -rf "$JAVA_HOME"/legal

# 清理缓存和临时文件
RUN rm -rf /var/cache/apk/* \
    && rm -rf /tmp/*

# 可选：打印Java版本信息
CMD ["sh", "-c", "echo 'Java version:' && java -version && echo 'Current date and time:' && date"]

执行build，并启动容器验证

1	docker build -t jre17 .

1 2	// 执行会打印JAVA版本信息和时间信息 docker run --rm jre17

这种方式构建的是最全的，但是感觉还是有点大，所以还是自定义吧！

第二种自己构建JRE环境包

思路：首先用JDK包构建自定义的JRE环境包，再将JRE包制作到镜像里。需要采用Docker的多阶段构建，可以减少镜像大小。
老样子 先下载对应Alpine平台的的包，放到同级目录。如下：

Dockerfile文件内容如下

# 第一阶段：使用基础镜像来下载和安装JDK
FROM alpine:3.18 as builder

# 设置 JDK并复制本地压缩包
ARG JDK_DIR=/usr/lib/jvm/java17
COPY OpenJDK17U-jdk_x64_alpine-linux_hotspot_17.0.12_7.tar.gz ./jdk.tar.gz

# 安装必要的工具，binutils 是使用 jlink 所需的工具
RUN set -eux; \
    apk add --no-cache tar gzip binutils;

# 解压 JDK
RUN set -eux; \
    mkdir -p ${JDK_DIR}; \
    tar --extract \
        --file jdk.tar.gz \
        --directory ${JDK_DIR} \
        --strip-components 1 \
        --no-same-owner;

# 设置环境变量
ENV JAVA_HOME=${JDK_DIR}
ENV PATH=$JAVA_HOME/bin:$PATH

# 使用 jlink 创建自定义JRE --add-modules这个参数传全部模块：ALL-MODULE-PATH 或者指定只包含JAVA SE平台下的模块：java.se
RUN set -eux; \
    $JAVA_HOME/bin/jlink \
         --module-path ${JAVA_HOME}/jmods \
         --add-modules ALL-MODULE-PATH \
         --strip-debug \
         --no-man-pages \
         --no-header-files \
         --compress=2 \
         --output /jre17;

# 第二阶段：创建最终镜像
FROM alpine:3.18

# 设置 JDK 安装目录
ARG JDK_HOME_DIR=/opt/java/jdk17

# 复制自定义 JRE 到新镜像
COPY --from=builder /jre17 ${JDK_HOME_DIR}

# 设置环境变量
ENV JAVA_HOME=${JDK_HOME_DIR}
ENV PATH=$JAVA_HOME/bin:$PATH

# 设置其它环境变量
ENV TZ='Asia/Shanghai'
ENV LANG=C.UTF-8

# 更新 Alpine 的软件源为阿里云
RUN echo "https://mirrors.aliyun.com/alpine/v3.18/main" > /etc/apk/repositories \
    && echo "https://mirrors.aliyun.com/alpine/v3.18/community" >> /etc/apk/repositories

# 安装必要的软件包，包括时区设置和字体支持
RUN apk add --no-cache fontconfig libretls ttf-dejavu tzdata musl-locales musl-locales-lang ca-certificates p11-kit-trust \
    && rm -rf /var/cache/apk/*

# 测试 Java 安装和显示当前时间 不需要可以删除这一行
CMD ["sh", "-c", "echo 'Java version:' && java -version && echo 'Current date and time:' && date"]

部署并验证

执行build，并启动容器验证

1	docker build -t jre17all .

// 执行会打印JAVA版本信息和时间信息
docker run --rm jre17all
// 打标签 上传到私有镜像仓库
docker tag jre17all registry.cn-hangzhou.aliyuncs.com/blog/jre17
docker push registry.cn-hangzhou.aliyuncs.com/blog/jre17

然后拿一个Springboot微服务验证一下
修改微服务Dockerfile首行的基础镜像为自定义的JRE from registry.cn-hangzhou.aliyuncs.com/blog/jre17

FROM registry.cn-hangzhou.aliyuncs.com/blog/jre17
MAINTAINER dollcode
ARG JAR_FILE
COPY ${JAR_FILE} app.jar
EXPOSE 8080
ENTRYPOINT ["java","-jar","/app.jar"]

docker-compose一键部署yapi接口文档

2024-05-24T00:00:00.000Z

yapi 已经很久没人更新和维护，但界面和功能还是挺不错的，支持从Swagger快速导入更新接口，适合团队接口文档管理和存档。
官方并没有直接封装docker镜像，但是有一个二次开发的 YAPIPro镜像。https://hub.docker.com/r/yapipro/yapi 提供了部署文档，但是步骤有点多。于是动手自定义了docker-compose.yml实现快速部署。

前提准备

机器已安装docker-compose

创建一个目录，接下来安装操作都在这个目录下操作。目录名称就叫 yapi 吧

1 2	mkdir yapi cd yapi

我们需要安装 yapi 和 mongodb 两个容器。并且需要提前创建mongodb的用户信息，并设置用户名和密码
所以需要准备一个脚本文件 init-mongo.js

db = db.getSiblingDB('yapi');

db.createUser({
  user: "yapiblog",
  pwd: "yapi666",
  roles: [{ role: "dbAdmin", db: "yapi" },{ role: "readWrite", db: "yapi" }]
});

还需要准备yapi的配置文件 config.json

{
  "port": "3000",
  "adminAccount": "hexiaohei1024@gmail.com",
  "timeout":120000,
  "db": {
    "servername": "mongodb",
    "DATABASE": "yapi",
    "port": 27017,
    "user": "yapiblog",
    "pass": "yapi666",
    "authSource": ""
  },
  "mail": {
    "enable": true,
    "host": "smtp.gmail.com",
    "port": 465,
    "from": "*",
    "auth": {
      "user": "hexiaohei1024@gmail.com",
      "pass": "xxx"
    }
  }
}

准备之后的目录结构如下：

yapi
 ├── config.json
 ├── docker-compose.yml
 ├── init-mongo.js

部署脚本

因为yapi流程需要先初始化数，再二次启动运行。所以yml中需要增加一个一次性容器用于初始化数据库

docker-compose.yml 文件内容如下：

version: '3'
services:
  mongodb:
    image: mongo:5.0.14
    container_name: mongodb
    restart: always
    ports:
      - "27017:27017"
    environment:
      MONGO_INITDB_DATABASE: yapi
      # 设置ROOT用户和密码
      MONGO_INITDB_ROOT_USERNAME: yapipro
      MONGO_INITDB_ROOT_PASSWORD: yapipro1024
    volumes:
      - ./mongo-data:/data/db
      - ./init-mongo.js:/docker-entrypoint-initdb.d/init-mongo.js
    command: mongod --auth

# 这个容器只需要执行一次即可
  yapi-init:
    image: yapipro/yapi:1.9.5
    container_name: yapi-init
    restart: "no"
    depends_on:
      - mongodb
    volumes:
      - ./config.json:/yapi/config.json
    # 设置延迟执行安装初始化
    entrypoint: ["sh", "-c", "sleep 15 && node server/install.js"]

  yapi:
    image: yapipro/yapi:1.9.5
    container_name: yapi
    restart: always
    depends_on:
      - mongodb
    ports:
      - "3000:3000"
    volumes:
      - ./config.json:/yapi/config.json
    entrypoint: ["sh", "-c", "sleep 30 && node server/app.js"]

启动验证

1	docker-compose up -d

初始化管理员账号在上面的 config.json 配置中 hexiaohei1024@gmail.com，初始密码是 yapi.pro，
可以登录后进入个人中心修改。访问 IP:3000登录即可！

关于MongoDB版本选择：长时间运行且对稳定性要求高的生产环境：推荐使用 MongoDB 4.4.x 或 5.0.x，这些版本经过了大量验证，社区反馈也较好

DB-GPT本地部署体验讯飞星火大模型V3.5

2024-04-19T00:00:00.000Z

首先我们从 DB-GPT官网，可以得到的https://docs.dbgpt.site/docs/latest/quickstart
DB-GPT是一个开源的AI原生数据应用开发框架(AI Native Data App Development framework with AWEL(Agentic Workflow Expression Language) and Agents)。目的是构建大模型领域的基础设施，通过开发多模型管理(SMMF)、Text2SQL效果优化、RAG框架以及优化、Multi-Agents框架协作、AWEL(智能体工作流编排)等多种技术能力，让围绕数据库构建大模型应用更简单，更方便。
数据3.0 时代，基于模型、数据库，企业/开发者可以用更少的代码搭建自己的专属应用

本次我们通过代理模型方式，使用讯飞星火大模型3.5版本，来进行验证部署。

需要提前将Miniconda环境安装

环境配置

首先根据官方文档说明，下载源码，并配置环境(python >= 3.10)

// 拉取源码
git clone https://github.com/eosphoros-ai/DB-GPT.git
// 进入项目目录
cd DB-GPT

创建环境

// 创建环境
conda create -n dbgpt_env python=3.10
// 激活环境
conda activate dbgpt_env
// 安装依赖
pip install -e ".[default]"
// 复制环境配置文件
cp .env.template  .env

文本向量模型配置

在项目目录下，创建一个models文件夹，用来存放模型文件

1	mkdir models and cd models

下载模型，国内访问不了https://huggingface.co/GanymedeNil/text2vec-large-chinese
可以替换为镜像站https://hf-mirror.com/GanymedeNil/text2vec-large-chinese

1	git clone https://hf-mirror.com/GanymedeNil/text2vec-large-chinese

配置星火3.5模型

因为源码中没有3.5的API，需要手动修改一下代码，主要需要修改/DB-GPT/dbgpt/model/proxy/llms/spark.py
直接将3.1改为3.5即可使用

然后在.env文件中将以下星火相关的配置替换即可

LLM_MODEL=spark_proxyllm
XUNFEI_SPARK_API_VERSION=v3.5
XUNFEI_SPARK_APPID=xx
XUNFEI_SPARK_API_KEY=xxx
XUNFEI_SPARK_API_SECRET=xxx

启动项目

1	python dbgpt/app/dbgpt_server.py

看到日志输出启动完成，打开浏览器访问http://localhost:5670

PostgreSQL UPSERT(insert on conflict do)和pgpass使用说明

2023-12-21T00:00:00.000Z

PostgreSQL INSERT INTO ON CONFLICT语法。UPSERT(insert on conflict do) 记录存在就更新，不存在就更新。
在某些业务场景中，需要把插入语句和更新组合到一起，一条SQL同时完成插入和更新逻辑。
这个时候就需要用到 INSERT ON CONFLICT语法特性了。可以实现根据主键或者唯一约束，来插入或指定条件更新。

官方语法说明

Command:     INSERT  
Description: create new rows in a table  
Syntax:  
[ WITH [ RECURSIVE ] with_query [, ...] ]  
INSERT INTO table_name [ AS alias ] [ ( column_name [, ...] ) ]  
    { DEFAULT VALUES | VALUES ( { expression | DEFAULT } [, ...] ) [, ...] | query }  
    [ ON CONFLICT [ conflict_target ] conflict_action ]  
    [ RETURNING * | output_expression [ [ AS ] output_name ] [, ...] ]  
  
where conflict_target can be one of:  
  
    ( { index_column_name | ( index_expression ) } [ COLLATE collation ] [ opclass ] [, ...] ) [ WHERE index_predicate ]  
    ON CONSTRAINT constraint_name  
  
and conflict_action is one of:  
  
    DO NOTHING  
    DO UPDATE SET { column_name = { expression | DEFAULT } |  
                    ( column_name [, ...] ) = ( { expression | DEFAULT } [, ...] ) |  
                    ( column_name [, ...] ) = ( sub-SELECT )  
                  } [, ...]  
              [ WHERE condition ]

假如我们有这样一张日志表，要同时实现写入和更新。

CREATE TABLE user_log_info (
    log_id text NOT NULL,
    log_name text,
    log_path text,
    log_size bigint,
    log_time timestamp,
    create_time timestamp,
    PRIMARY KEY (log_id,log_time)
)

根据主键新增或更新

符合写入日志时间比当前记录新，才执行写入更新

INSERT INTO user_log_info
VALUES
( 'demo001', 'open1', '/logs/a.log', 30, TO_TIMESTAMP( 1713509590 ), LOCALTIMESTAMP ) ON CONFLICT ( log_id, log_time ) DO
UPDATE 
SET log_name = EXCLUDED.log_name,
log_path = EXCLUDED.log_path,
log_size = EXCLUDED.log_size,
log_time = EXCLUDED.log_time,
create_time = EXCLUDED.create_time 
WHERE
EXCLUDED.log_time > user_log_info.log_time

根据符合条件才更新

举例：符合日志size大小，比之前大才会更新，SQL如下

INSERT INTO user_log_info
VALUES
( 'demo001', 'open1', '/logs/a.log', 30, TO_TIMESTAMP( 1713509590 ), LOCALTIMESTAMP ) ON CONFLICT ( log_id, log_time ) DO
UPDATE 
SET log_name = EXCLUDED.log_name,
log_path = EXCLUDED.log_path,
log_size = EXCLUDED.log_size,
log_time = EXCLUDED.log_time,
create_time = EXCLUDED.create_time 
WHERE
EXCLUDED.log_size > user_log_info.log_size

实际应用场景

相当于我们在写入数据时，可以像写查询一样带上WHERE条件，实现符合条件才更新

PGSQL定时任务实现

cron + pgpass
利用shell脚本 + Linux定时任务，去定时执行清理日志表

首先配置命令行免密登录

根据Postgres的官方文档配置.pgpass。

文件内容格式如下：127.0.0.1:5432:库名:用户:密码

登录服务器，在用户主目录中创建`.pgpass`文件配置
vi .pgpass
127.0.0.1:5432:demo_test:postgres:123456

// 授权当前用户可见
chmod 600 .pgpass

// 执行验证测试，查询连接用户数SQL
/usr/pgsql-13/bin/psql -h 127.0.0.1 -p 5432 -d demo_test  -U postgres  -c "select COUNT(*) from pg_stat_activity"

编写shell脚本封装SQL

vim pgcron.sh。文件内容如下

#!/bin/bash

# 执行方法处理
execpgsql(){
  echo $1
  starttime=`date +"%Y-%m-%d %H:%M.%S"` 
  result=$(/usr/pgsql-13/bin/psql -h 127.0.0.1 -p 5432 -d demo_test  -U postgres  -c "$1")
  endtime=`date +"%Y-%m-%d %H:%M.%S"`
  echo "[开始执行:$starttime" "执行结束:$endtime]" "SQL:$1" "结果:$result"
}

# 定时删除表
sql="DROP TABLE user_log_info"
execpgsql "$sql"

再将这个脚本加入 crontab，并设定执行周期

搭建PostgreSQL主从架构

2023-08-23T00:00:00.000Z

PostgreSQL是一个功能非常强大的、源代码开放的客户/服务器关系型数据库管理系统（RDBMS），被业界誉为“先进的开源数据库”，支持NoSQL数据类型，主要面向企业复杂查询SQL的OLTP业务场景。
并且提供PostGIS地理信息引擎，也是我本次使用它的原因。经常在网上看到“PostgreSQL —— 世界上最流行的数据库”
这一次从零开始搭建PG主从架构，做读写分离。

1. 配置PostgreSQL下载源

首先准备两台服务器，安装PostgreSQL主从。版本选择这块，选了中间版本13 (详细版本是：13.12)。各版本信息可以在官网查看：https://www.postgresql.org/docs/

// 首先下载PostgreSQL的RPM文件包
wget --no-check-certificate https://download.postgresql.org/pub/repos/yum/reporpms/EL-7-x86_64/pgdg-redhat-repo-latest.noarch.rpm

// 安装RPM包
rpm -ivh pgdg-redhat-repo-latest.noarch.rpm

2. 安装PostgreSQL

根据自己业务需要，除了sever包之外，这里我还会多安装两个包。（如果不需要可以不装）

postgresql13-server：数据库
postgresql13-contrib：自定义函数需要通过contrib模块进行扩展
pg_cron_13：PostgreSQL定时任务插件

1 2	// 安装 yum install postgresql13-server postgresql13-contrib pg_cron_13 -y

自定义数据存储目录

默认的存储目录是/var/lib/pgsql/13/data。可以修改为自定义

1	vim /usr/lib/systemd/system/postgresql-13.service

修改默认的存储目录，然后重新加载一次服务

1	systemctl daemon-reload

配置服务器postgres用户密码

因为安装PG数据库之后会自动创建postgres用户，可以设置一下密码

1 2	// 设置postgres用户密码，回车之后输入密码确认即可 passwd postgres

至此在两台机器上都执行完成这些命令之后，准备工作就差不多完成了。

主库搭建

首先初始化数据库，并配置启动

// 初始化数据库
/usr/pgsql-13/bin/postgresql-13-setup initdb
// 启动
systemctl start postgresql-13.service
// 设置服务开机自启动
systemctl enable postgresql-13.service

修改配置文件

配置文件有很多选项需要优化，优化放到最后说，搭建我们只需要注意三个配置即可

1 2	// 编辑postgresql.conf vim /var/lib/pgsql/13/data/postgresql.conf

listen_addresses为*，max_connections调大到500，wal_level决定多少信息写入到 WAL中。默认值是replica

1
2
3

listen_addresses = '*'
max_connections = 500
wal_level = replica

创建主从复制账号

登录到PG，并创建用于主从复制的账号

// 登录postgres用户
su - postgres

// 当显示-bash-4.2$时表示成功登录，然后输入以下命令进入PostgreSQL交互终端
psql

// 为用户postgres设置密码
ALTER USER postgres WITH PASSWORD 'admin123';

// 创建数据库账号slavereplica，并设置密码及登录权限和备份权限。
CREATE ROLE slavereplica login replication encrypted password 'slaver123';

在pg_hba.conf 中增加一行从库节点机器IP段。自己查看服务器IP和内网网段。方法配置trust表示直接信任

1	vim /var/lib/pgsql/13/data/pg_hba.conf

1	host replication slavereplica 192.168.0.0/16 trust

1 2	// 全部配置完成之后重新启动 systemctl restart postgresql-13.service

主库的配置就全部完成了，接下来是从库的操作了

从库搭建

从库的配置比较简单了，迁移主库数据就可以了

// 初始化数据库
/usr/pgsql-13/bin/postgresql-13-setup initdb

// 从节点 清空data 目录
rm -rf /var/lib/pgsql/13/date/*

// 复制主节点data数据: IP为主库的机器IP
sudo -u postgres pg_basebackup -h 192.168.31.190 -p 5432 -U slavereplica -X stream -D /var/lib/pgsql/13/data -R -P

备份完成，会在数据库实例目录下自动生成standby.signal“信号”文件，并在postgresql.auto.conf文件写入了主库的连接信息

// 启动从库
systemctl start postgresql-13.service

// 验证是否为从节点，会得到t，即true，为从节点
sudo -u postgres /usr/pgsql-13/bin/psql -c "select pg_is_in_recovery()"

pg_is_in_recovery 
-------------------
 t
(1 row)

同时在主库机器执行以下命令可以查看到集群状态

1	sudo -u postgres /usr/pgsql-13/bin/psql -c "select * from pg_stat_replication"

用户访问权限配置

如果需要外网访问，需要配置权限。
编辑pg_hba.conf文件，新增一行允许所有用户所有库所有IP访问

1	host all all 0.0.0.0/0 scram-sha-256

这是最省事的方法，但是不太安全，建议是单个用户单个配置

第一列：类型（host固定）
第二列：数据库（all表示所有数据库，可以单独设置库名）
第三列：用户（all表示所有用户，可以单独设置用户）
第四列：IP-CIDR表达式（0.0.0.0/0表示不限制）
第五列：认证方式（scram-sha-256=密码认证；trust=直接信任）

postgresql.conf配置优化

数据库的配置，需要根据服务器性能合理配置。这里推荐一个参考项目：填入机器配置，可以自动生成对于的数据库配置信息(可以参考)
项目地址：https://pgtune.leopard.in.ua

配置信息说明

持续完善中。。。

max_connections = 1000# 最大连接数
shared_buffers = 4GB# 建议的设置值为机器总内存大小的1/4
effective_cache_size = 8GB # 缓存数据大小

max_worker_processes = 8# 最大后台进程数

pgadmin管理端

数据库管理工具这一块，可以使用pgadmin。用docker可以快速搭建好，这样就可以通过web端在游览器管理数据库了
https://www.pgadmin.org/download/pgadmin-4-container/

Docker命令如下：配置了管理员的登录邮箱和密码

docker run --name "pgadmin4" \
-p 8080:80 \
    -e "PGADMIN_DEFAULT_EMAIL=admin@163.com" \
    -e "PGADMIN_DEFAULT_PASSWORD=admin123" \
-e "PGADMIN_LISTEN_ADDRESS=0.0.0.0" \
    -d dpage/pgadmin4

启动成功之后，登录pgadmin并配置数据库的连接信息之后，就可以在WEB端对数据库进行监控和管理了。

K8s搭建Flink集群并用StreamPark管理

2023-06-08T00:00:00.000Z

前面文章中，成功搭建了K8s集群。这篇文章就开始来搭建组件了！

实时即未来 Apache Flink被普遍认为是下一代大数据流计算引擎。官网地址：https://flink.apache.org
Apache StreamPark之前也叫做 Streamx。是Flink开发利器。官网地址：https://streampark.apache.org

所以本文内容：K8s搭建Flink集群并用StreamX管理。

前提说明

官方文档地址如下：

依托于 StreamX一站式管理 和 K8s强大的调度管理。Flink集群的搭建算是比较简单了，按照官方文档一步一步就可以完成搭建。

K8s Flink 有要求 Kubernetes >= 1.9 前面装的1.22是满足的。

部署Flink集群

环境配置

首先登录k8smaster节点机器，检查kubectl是否正常

1 2	# 查看集群信息 kubectl cluster-info

输出集群信息，证明kubectl连接正常即可

1 2	Kubernetes control plane is running at https://192.168.31.190:6443 CoreDNS is running at https://192.168.31.190:6443/api/v1/namespaces/kube-system/services/kube-dns:dns/proxy

接下来Kubernetes RBAC配置

# 创建命名空间
kubectl create namespace flink-cluster

# 创建Flink角色权限，指定命名空间，默认k8s账户
kubectl create clusterrolebinding flink-role-binding-default --clusterrole=edit --serviceaccount=flink-cluster:default

这样K8s这边准备工作就全部完成了，是不是很简单。那是因为把所有的创建和管理全部用StreamX去承载了。

如果不使用StreamX。那么也可以直接使用Flink官方文档上的配置进行Flink安装，但是那样是需要用命令方式提交任务和管理的，不太方便。

安装StreamX

StreamX就直接安装在K8smaster所在机器上了，但需要提前准备一些环境：

JAVA 1.8+（需要安装在部署机器上）
MySQL 5.6+（安装在部署机器或者其他机器已经有MySQL也行）
Flink版本必须是1.12.x或以上版本, scala版本必须是2.11

下载安装包地址：https://github.com/apache/incubator-streampark/releases/download/v1.2.3/streamx-console-service_2.11-1.2.3.tar.gz

解压缩之后，cd进入该目录，可以看到目录结构如下

需要修改目录conf/application.yml文件中的三处
(Mysql连接信息、本地存储位置、docker仓库的命名空间)

接下来，在Mysql创建一个数据库streamx。并找到目录script/final.sql 执行这个SQL脚本。完成表和数据导入。

启动streamx

1	./bin/startup.sh

会输出一连串启动日志，最后一行[StreamX] StreamX start successful. pid: xxxx。就证明启动成功了

游览器打开：IP:10000端口，访问，输入默认账号密码admin / streamx

streamx配置

首先找到设置

先配置系统设置，Flink搭建目前只需要配置最下面的 Docker三项

Docker Register Address
Docker Register User
Docker Register Password

再点击Flink Home配置，可以配置多个不同版本Flink

按照StreamX的环境要求，选择scala版本必须是2.11，大家可以自由选择版本，只需要改动地址中的版本号，即可进入对应版本文档

所以我这里下载1.13.6。下载地址:https://archive.apache.org/dist/flink/flink-1.13.6/

解压缩之后放到/opt/flinkpackages目录下。以后其他版本也放到这里

填入名称和目录位置再点击提交即可

接下来开始配置集群信息，先创建一个Session集群，这里先简单配置一下，验证整个流程是否通顺

启动完成之后，点击 小眼睛 按钮直接跳转到Flink UI。

测试验证

点击 Application 按钮，看到有一个自带的Demo，点击编辑按钮

测试session模式部署任务

选择刚刚启动的Session-test集群，其他下面配置不用改，直接点提交

然后点击第二个按钮Launch Application，等待编译完成之后 > 再次点击就是Start Application。会弹出启动配置窗口 > 关闭savepoint。再点击应用。
等待启动成功变为Running状态，点击小眼睛 按钮查看详细，可以跳转到Flink UI。

可以在Flink UIk看到在运行，这个Demo一会就跑完了。然后会自动伸缩TaskManagers

至此，整个Flink Session部署的流程就跑通了！

测试application模式部署任务

这里面有一个前提条件，需要预先在每台节点机器上登录docker私有仓库

1
2

# docker login命令用于登陆到一个Docker镜像仓库，如果未指定镜像仓库地址，默认为官方仓库DockerHub（hub.docker.com）。
docker login --username=用户名 镜像仓库地址

还是用上面的Flink SQL Demo，再次编辑，模式选择kubernetes application 自定义clusterId：test123，然后点提交。

接下来就是和session集群一样的操作，点击第二个按钮Launch。等待docker镜像bulid完成并上传到docke仓库。就可以再次点击启动了

等待启动成功变为Running状态，点击小眼睛 按钮查看详细，可以跳转到Flink UI 进行查看。

至此，整个Flink application部署的流程也跑通了！

也可以直接在K8s Dashboard 查看，等待jobmanager和taskmanager都为running。

Flink 任务资源配置

接下来就是根据任务来合理配置不同的部署模式。合理利用资源。

高效利用资源，让K8s合理分配，可以从Flink官方文档中了解Flink的整个配置说明。
地址：https://nightlies.apache.org/flink/flink-docs-release-1.13/docs/deployment/config/#kubernetes

从文档中，我们可以看到所有配置项，可以直接在Streamx上直接对Flink集群进行配置写在：“Dynamic Option” （一行一个配置，首位添加-D）中比如：

配置了一个TaskManger中有三个slot
配置了任务重启策略为固定间隔重启
配置了任务重启次数为10次
配置了K8s限制jobmangerCPU资源为0.5
配置了K8s限制taskmangerCPU资源为1

这样在Flink集群启动时，就会按照配置加载，从Flink UI中也可以看到集群的详细配置

Flink镜像时区修改

用Flink的官方镜像，时区不是东八区，从日志打印也可以看出来慢了8个小时。所以我们需要构建自定义镜像，修改时区为东八区
首先创建一个Dockerfile

1
2
3

FROM apache/flink:1.13.6-scala_2.11
RUN ln -sf /usr/share/zoneinfo/Asia/Shanghai /etc/localtime
RUN echo 'Asia/Shanghai' > /etc/timezone

在Dockerfil同级目录，执行build命令(注意命令最后有一点)，打成自定义镜像。

1	docker build -t streamx/flink:1.13.6-scala_2.11 .

再推送到私服

1	docker push streamx/flink:1.13.6-scala_2.11

接着修改集群设置中的镜像配置”Flink Base Docker Image”为新的自定义镜像，再次启动即可。

Streamx中使用UDF函数

在Flink SQL 中，会需要使用到自定义的UDF函数，来做一些复杂的计算。
首先我们创建一个Maven工程，Pom.xml引入基础的包，和业务需要的包即可

<dependencies>

       <dependency>
           <groupId>org.apache.flinkgroupId>
           <artifactId>flink-table-commonartifactId>
           <version>${flink.version}version>
           <scope>providedscope>
       dependency>
   dependencies>

   <build>
       <plugins>
           <plugin>
               <groupId>org.apache.maven.pluginsgroupId>
               <artifactId>maven-shade-pluginartifactId>
               <version>3.2.4version>
               <executions>
                   <execution>
                       <phase>packagephase>
                       <goals>
                           <goal>shadegoal>
                       goals>
                       <configuration>
                           <transformers>
                               <transformer implementation="org.apache.maven.plugins.shade.resource.ManifestResourceTransformer">
                                   <mainClass>cn.dollcode.TestCalcmainClass>
                               transformer>
                           transformers>
                       configuration>
                   execution>
               executions>
           plugin>
           <plugin>
               <groupId>org.apache.maven.pluginsgroupId>
               <artifactId>maven-compiler-pluginartifactId>
               <configuration>
                   <source>8source>
                   <target>8target>
               configuration>
           plugin>
       plugins>
   build>

然后创建自定义函数类，并继承Flink的ScalarFunction类，这里举例就简单实现拼接函数

public class TestCalc extends ScalarFunction {

    public String eval(String value) {
        return "Hello" + value;
    }
}

将Maven工程打成Jar包，在Streamx中创建Flink SQL任务，并在Dependency一栏选择 Upload Jar。

同时需要在SQL中添加注册函数

 CREATE TABLE datagen (
   f_sequence INT,
   f_random INT,
   f_random_str STRING,
   ts AS localtimestamp,
   WATERMARK FOR ts AS ts
 ) WITH (
   'connector' = 'datagen',
   -- optional options --
   'rows-per-second'='5',
   'fields.f_sequence.kind'='sequence',
   'fields.f_sequence.start'='1',
   'fields.f_sequence.end'='500',
   'fields.f_random.min'='1',
   'fields.f_random.max'='500',
   'fields.f_random_str.length'='10'
 );

 CREATE TABLE print_table (
   f_sequence INT,
   f_random INT,
   f_random_str STRING
   ) WITH (
   'connector' = 'print'
 );

 CREATE FUNCTION TestCalc as 'cn.dollcode.TestCalc'; -- 注册函数，前面是定义函数名，后面是指定函数路径
 
 INSERT INTO print_table 
   select 
f_sequence,
f_random,
TestCalc(f_random_str) -- 使用函数
from datagen;

k8s集群管理面板dashboard部署

2023-06-02T00:00:00.000Z

在上一篇文章中，已经完成了K8s集群的搭建，现在再加上一个可视化的webUI来进行管理和方便查看。
这里选择kubernetes/dashboard 通过官方的配置可以一键部署。

安装

访问下载页面： https://github.com/kubernetes/dashboard/releases
选择自己K8s集群的兼容版本，进行安装

执行安装命令

1	kubectl apply -f https://raw.githubusercontent.com/kubernetes/dashboard/v2.7.0/aio/deploy/recommended.yaml

查看启动状态

1	kubectl get pods -n=kubernetes-dashboard -o wide

都为Running状态就可以了

1
2
3

NAME                                         READY   STATUS    RESTARTS   AGE     IP            NODE       NOMINATED NODE   READINESS GATES
dashboard-metrics-scraper-7c857855d9-r6wh7   1/1     Running   0          4m31s   10.98.90.18   k8snode1              
kubernetes-dashboard-658b66597c-6rrzs        1/1     Running   0          4m31s   10.98.90.17   k8snode1

官方说明上的API访问方式需要本地配置config,并开启kubectl proxy，比较麻烦

我们可以直接修改kubernetes-dashboard service的Type属性
将里面的type: ClusterIP改为type: NodePort

1	kubectl edit service kubernetes-dashboard -n=kubernetes-dashboard

:wq 保存退出即可

等待更新完成之后，查看端口

1	kubectl get service kubernetes-dashboard -n=kubernetes-dashboard

1 2	NAME TYPE CLUSTER-IP EXTERNAL-IP PORT(S) AGE kubernetes-dashboard NodePort 10.99.117.158 443:32576/TCP 19s

打开游览器输入IP:32576，访问成功，但是会有https证书警告。

重新生成证书

#Step 1: 新建目录：
mkdir key && cd key

#Step 2: 生成 SSL 证书
openssl genrsa -out dashboard.key 2048

#Step 3: 我这里写的自己的 node1 节点，因为我是通过 nodeport 访问的
openssl req -new -out dashboard.csr -key dashboard.key -subj '/CN=192.168.31.190'
openssl x509 -req -in dashboard.csr -signkey dashboard.key -out dashboard.crt

#Step 4: 删除原有的证书 secret
kubectl delete secret kubernetes-dashboard-certs -n kubernetes-dashboard

#Step 5: 创建新的证书 secret
kubectl create secret generic kubernetes-dashboard-certs --from-file=dashboard.key --from-file=dashboard.crt -n kubernetes-dashboard

#Step 6: 查看 pod
kubectl get pod -n kubernetes-dashboard

#Step 7: 重启 pod
kubectl delete pod kubernetes-dashboard-7b5bf5d559-gn4ls  -n kubernetes-dashboard

创建认证Token

创建用户配置

cat >> admin-user.yaml << EOF
apiVersion: v1
kind: ServiceAccount
metadata:
  name: admin-user
  namespace: kubernetes-dashboard
EOF

创建角色绑定关系配置

cat >> admin-user.yaml << EOF
apiVersion: rbac.authorization.k8s.io/v1
kind: ClusterRoleBinding
metadata:
  name: admin-user
roleRef:
  apiGroup: rbac.authorization.k8s.io
  kind: ClusterRole
  name: cluster-admin
subjects:
- kind: ServiceAccount
  name: admin-user
  namespace: kubernetes-dashboard
EOF

然后依次执行

1 2	kubectl create -f admin-user.yaml kubectl create -f admin-user-role-binding.yaml

获取Token

获取Token命令如下，执行之后会输出token。可以看到是JWT形式的

1	kubectl -n kubernetes-dashboard describe secret $(kubectl -n kubernetes-dashboard get secret \| grep admin-user \| awk '{print $1}')

token方式登录

将Token复制到控制台，登录即可。不过默认的过期时间是15分钟。太短了不太方便。可以在容器加入参数配置，指定过期时效（单位:秒）
- --token-ttl=864000 我这里直接设置了10天（不过为了安全，不建议设置这么久）

1	kubectl edit deployment kubernetes-dashboard -n=kubernetes-dashboard

至此整个部署就完成了！！！

参考资源

https://developer.aliyun.com/article/856527

使用kubeadm方式搭建K8s集群

2023-06-01T00:00:00.000Z

从零开始搭建K8s集群，一般网上的教程都会让大家提前准备三台机器，分别进行环境的安装。其实我们可以通过VMware虚拟机的克隆机制直接复制得到虚拟机。这样就只需要处理一台的环境即可。

k8s环境安装并配置

VMware安装centos7之后，用这台虚拟机用作master，安装并配置环境之后，再直接克隆出两个node即可

角色	IP	备注
k8smaster	192.168.31.190	安装环境只做一次即可
k8snode1	192.168.31.191	克隆虚拟机，并改MAC地址、改hostname
k8snode2	192.168.31.192	克隆虚拟机，并改MAC地址、改hostname

环境配置

防火墙、selinux、swap

部署k8s，需要关闭防火墙、禁用selinux、swap

关闭防火墙的原因（nftables后端兼容性问题，产生重复的防火墙规则）
禁用selinux的原因（关闭selinux以允许容器访问宿主机的文件系统）
禁用swap的原因（swap将部分内存数据存放到磁盘中，这样会使性能下降）

依次执行下列命令

# 关闭防火墙
systemctl stop firewalld
# 禁用开机自启
systemctl disable firewalld

# 关闭selinux
sed -i 's/enforcing/disabled/' /etc/selinux/config

# 关闭swap
sed -ri 's/.*swap.*/#&/' /etc/fstab

# 设置主机名称为k8smaster
hostnamectl set-hostname k8smaster

# 添加hosts
cat >> /etc/hosts << EOF
192.168.31.190 k8smaster
192.168.31.191 k8snode1
192.168.31.192 k8snode2
EOF

# 将桥接的IPv4流量传递到iptables的链
cat > /etc/sysctl.d/k8s.conf << EOF
net.bridge.bridge-nf-call-ip6tables = 1
net.bridge.bridge-nf-call-iptables = 1
EOF

# 生效
sysctl --system  

# 安装ntpdate
yum install ntpdate -y
# 执行时间同步
ntpdate time.windows.com

# 全部执行完成之后，重启
reboot

安装Docker

# 添加Docker阿里镜像源
wget https://mirrors.aliyun.com/docker-ce/linux/centos/docker-ce.repo -O /etc/yum.repos.d/docker-ce.repo

# 查看docker版本列表信息
yum list docker-ce --showduplicates|grep "^doc"|sort -r

# 安装指定版本Docker
yum -y install docker-ce-19.03.15-3.el7 docker-ce-cli-19.03.15-3.el7 containerd.io

# 配置自己的阿里云镜像加速，同时配置Docker的cgroupdrvier和kubelet的cgroupdrver一致
cat >> /etc/docker/daemon.json << EOF
{
  "registry-mirrors": ["https://xxxx.mirror.aliyuncs.com"], "exec-opts": ["native.cgroupdriver=systemd"]
}
EOF

# 设置自启
systemctl enable docker

# 启动docker
systemctl start docker

# 查看docker安装版本情况
docker version

显示如下输出，docker安装就完成了

Client: Docker Engine - Community
 Version:           24.0.2
 API version:       1.40 (downgraded from 1.43)
 Go version:        go1.20.4
 Git commit:        cb74dfc
 Built:             Thu May 25 21:55:21 2023
 OS/Arch:           linux/amd64
 Context:           default

Server: Docker Engine - Community
 Engine:
  Version:          19.03.15
  API version:      1.40 (minimum version 1.12)
  Go version:       go1.13.15
  Git commit:       99e3ed8919
  Built:            Sat Jan 30 03:16:33 2021
  OS/Arch:          linux/amd64
  Experimental:     false
 containerd:
  Version:          1.6.21
  GitCommit:        3dce8eb055cbb6872793272b4f20ed16117344f8
 runc:
  Version:          1.1.7
  GitCommit:        v1.1.7-0-g860f061
 docker-init:
  Version:          0.18.0
  GitCommit:        fec3683

配置K8s环境

# 添加阿里云Kubernetes yum镜像源
cat > /etc/yum.repos.d/kubernetes.repo << EOF
[kubernetes]
name=Kubernetes
baseurl=https://mirrors.aliyun.com/kubernetes/yum/repos/kubernetes-el7-x86_64
enabled=1
gpgcheck=0
repo_gpgcheck=0
gpgkey=https://mirrors.aliyun.com/kubernetes/yum/doc/yum-key.gpg https://mirrors.aliyun.com/kubernetes/yum/doc/rpm-package-key.gpg
EOF

# 安装kubelet、kubeadm、kubectl(注意版本要和k8s的版本一致)
yum -y install kubelet-1.22.0 kubeadm-1.22.0 kubectl-1.22.0

# 配置kubelet的cgroupdrver与Docker一致
vim /etc/sysconfig/kubelet
# 在属性后增加参数如下，然后:wq保存
KUBELET_EXTRA_ARGS="--cgroup-driver=systemd"

# 重载配置文件
systemctl daemon-reload

# 配置自启
systemctl enable kubelet

可能会出现的问题

kubeadm init执行的时候出现：unexpected kernel config: CONFIG_CGROUP_PIDS。这个问题需要升级Linux内核

# 查看当前默认启动内核
grub2-editenv list

# 升级内核命令，依次执行
rpm --import https://www.elrepo.org/RPM-GPG-KEY-elrepo.org
rpm -Uvh http://www.elrepo.org/elrepo-release-7.0-2.el7.elrepo.noarch.rpm
yum --disablerepo="*" --enablerepo="elrepo-kernel" list available
yum --enablerepo=elrepo-kernel install kernel-ml
cp /etc/default/grub  /etc/default/grub_bak
grub2-mkconfig -o /boot/grub2/grub.cfg
systemctl enable docker.service
reboot

# 重启完成之后，查看已安装内核列表
cat /boot/grub2/grub.cfg | grep -v rescue | grep ^menuentry

# 设置默认启动内核
grub2-set-default 'CentOS Linux (6.3.5-1.el7.elrepo.x86_64) 7 (Core)'

# 再次重启
reboot

克隆虚拟机机

首先关闭虚拟机 - 设置 - 克隆（克隆之后需要修改两处：1.MAC地址 2.HostName）

选择完整克隆

命名为k8snode1

然后记得 在虚拟机的网络适配器高级设置中修改MAC地址
打开虚拟机之后，修改hostname

hostnamectl set-hostname k8snode1

# 然后重启
reboot

第三台也是一样的操作。

master安装k8s

用kubeadm init命令来安装，kubeadm的版本和kubernetes-version需要一致，如下都为1.22。

kubeadm init --apiserver-advertise-address=192.168.31.190 --image-repository registry.aliyuncs.com/google_containers --kubernetes-version v1.22.10 --service-cidr=10.96.0.0/12  --pod-network-cidr=10.244.0.0/16

出现下面的日志就安装成功了

Your Kubernetes control-plane has initialized successfully!
To start using your cluster, you need to run the following as a regular user:
mkdir -p $HOME/.kube
sudo cp -i /etc/kubernetes/admin.conf $HOME/.kube/config
sudo chown $(id -u):$(id -g) $HOME/.kube/config
You should now deploy a pod network to the cluster .
Run "kubectl apply -f [podnetwork] .yamLu with one of the options listed at:
https: / /kube rnetes. io/docs /concepts/cluster- administration/ addons I
Then you can join any number of worker nodes by running the following on each as root:
kubeadm join 192.168.31.190:6443 --token 2luxh6.uhhj74j5oj6xfdtv \
--discovery-token-ca-cert-hash sha256:4f558182265bee13182b2480ba7180a867a5f3b93ab18c82c4a0d542a4c2poi1

配置kubectl工具

1
2
3

mkdir -p $HOME/.kube
sudo cp -i /etc/kubernetes/admin.conf $HOME/.kube/config
sudo chown $(id -u):$(id -g) $HOME/.kube/config

查看节点状态

1	kubectl get nodes

能够看到，目前有一个master节点已经运行了，但是还处于未准备状态
下面我们还需要在Node节点执行其它的命令，将node1和node2加入到我们的master节点上

node1加入集群

复制上面 master安装成功之后的输出的kubeadm join命令，默认的token有效期为24小时，当过期之后，该token就不能用了，这时可以使用如下的命令创建token

1 2	# 生成一个永不过期的token kubeadm token create --ttl 0

将该token替换上面的join命令中的token

1 2	kubeadm join 192.168.31.190:6443 --token 7auxee.exh5uov0uorusyl \ --discovery-token-ca-cert-hash sha256:4f558182265bee13182b2480ba7180a867a5f3b93ab18c82c4a0d542a4c2poi1

Master部署CNI网络插件

1	kubectl apply -f https://raw.githubusercontent.com/coreos/flannel/master/Documentation/kube-flannel.yml

如果网络访问不了，也可以先在自己电脑上下载完成之后，再传输到虚拟机上，执行kubectl apply -f kube-flannel.yml

然后等待pod全部安装，进入running状态

1	kubectl get pods -n kube-system

这个时候，我们再次查看节点状态就都是Ready状态了

如果node节点还不是Ready状态

需要先删除节点，再重置
在master机器上删除node1

1	kubectl delete node k8snode1

然后在node1机器上执行重置

1	kubeadm reset

再次join

1 2	kubeadm join 192.168.31.190:6443 --token 7auxee.exh5uov0uorusyl \ --discovery-token-ca-cert-hash sha256:4f558182265bee13182b2480ba7180a867a5f3b93ab18c82c4a0d542a4c2poi1

回到master机器上，再次查看node状态

集群健康检查

在master机器上执行健康检查状态

1	kubectl get cs

输出如下

NAME                 STATUS    MESSAGE                         ERROR
scheduler            Healthy   ok                              
controller-manager   Healthy   ok                              
etcd-0               Healthy   {"health":"true","reason":""}

如果出现状态出现 Unhealthy，就需要删掉配置中- --port=0 这一行
vim /etc/kubernetes/manifests/kube-controller-manager.yaml
vim /etc/kubernetes/manifests/kube-scheduler.yaml

1 2	# 重启kubelet服务 systemctl restart kubelet

至此，整个搭建过程就完成了。

参考来源：

群晖7.0安装Transmission4.0挂PT(docker版)

2023-03-24T00:00:00.000Z

最近把NAS升级了一下，关于群晖7.0和docker安装Transmission4.0，这种最新版本的安装教程较少，同时Transmission4.0的配置和3.0是有很大区别的，汉化目录、WEB授权方式和路径都变了。所以在这里记录一下。

群晖套件安装Docker

这一步很简单，在套件中心，搜索Docker，安装即可

下载Transmission镜像

选择第一个镜像下载，选择latest版本。从右上角可以点击跳转详细页面，能看到最新版就是4.0.2

配置容器参数

首先在docker目录下创建transmission文件夹。同时给予权限everyone

然后在子目录下再创建三个目录 downloads，config，watch 分别挂载到容器的对应目录

环境变量（重点）

TRANSMISSION_WEB_HOME ：自定义web页面目录
USER ：web页面的登录用户名
PASS ：web页面的登录密码

端口映射

汉化web页面

transmission UI 汉化 GitHub项目地址：https://github.com/ronggang/transmission-web-control
下载页面地址：https://github.com/ronggang/transmission-web-control/releases
下载ZIP包，解压得到src目录下的文件。

然后在config目录下创建一个web-control目录。将刚刚解压出的整个放到目录下即可

启动容器

启动容器之后，在游览器打开 IP:9091 端口进入web页面，输入配置的用户名和密码即可。

可以看到系统信息4.0.2准确无误，功能也正常。

大功告成！

qbittorrent内网穿透解决端口阻塞

2022-12-01T00:00:00.000Z

前提场景

在qbittorrent没有公网IP，并且也开不了路由器端口转发的情况下，通过一台公网服务器中转，进行Socket5代理和内网穿透，解决qbittorrent端口阻塞问题。
主要用到以下软件：

公网机器配置

公网机器用来让内网中的qbittorrent客户端机器获取公网IP，同时转发客户端的端口流量。

启动gost

./gost -L=qbadmin:123456@blog.dollcode.cn:8081

//执行之后会输出如下日志就是正常成功了
2022/12/01 03:11:45 route.go:694: auto://blog.dollcode.cn:8081 on xxx.xxx.xxx.xxx:8081

配置说明：
代表开启一个Socket5代理
用户名是：qbadmin；密码是：123456
IP是：blog.dollcode.cn(可以用域名也可以用IP)
端口是：8081

启动frps

frp有两个包：frps是服务器端；frpc是客户端。这里我们配置frps的配置

[common]
# 允许任意IP
bind_addr = 0.0.0.0
# udp端口
bind_udp_port = 8080
# tcp端口
bind_port = 8080
# 安全连接
tls_only = true
# 连接密钥
token = dollcode
# 日志文件路径
log_file = ./frps.log
# 日志级别
log_level = info
# 日志文件保存天数
log_max_days = 3

// 执行启动命令
./frps -c frps.conf

// 查看启动日志，输出如下就是正常成功了
2022/12/01 03:07:04 [I] [service.go:152] frps tcp listen on 0.0.0.0:8080
2022/12/01 03:07:04 [I] [service.go:233] nat hole udp service listen on 0.0.0.0:8080
2022/12/01 03:07:04 [I] [root.go:205] start frps success

上面指定的8080端口和8081端口，需要在服务器的防火墙中放开该端口

qbittorrent客户端机器配置

内网客户端用来qbittorrent下载

启动frpc

[common]
# 公网服务器的IP或域名
server_addr = blog.dollcode.cn
# 公网机器隧道端口
server_port = 8080 
tls_enable = true
token = dollcode

# 58736这个端口就是qbittorrent的连接端口
[tcppt]
type = tcp
local_ip = 127.0.0.1
local_port = 58736
remote_port = 58736

[udppt]
type = udp
local_ip = 127.0.0.1
local_port = 58736
remote_port = 58736

启动之后可以看到连接成功的日志

配置qbittorrent代理

填入服务器gost设置的配置即可

退出软件重新进入，就可以看到绿灯亮了

至此，整个内网穿透和Socket5代理就全部完成了。可以开始愉快的下载啦！！！

超时问题解决

如果qbittorrent日志中出现连接超时，一般就是服务器防火墙端口没开，或者账号密码输错了，记得检查一下哦！

linux 软连接link的使用

2022-11-14T00:00:00.000Z

当我们需要在不同的目录，用到相同的文件场景中：我们不需要在每一个需要的目录下都放一个相同的文件，我们只要在其它的目录下用ln命令链接（link）就可以，不必重复的占用磁盘空间。
软连接是linux中一个常用命令，它的功能是为某一个文件在另外一个位置建立一个同不的链接。

创建软链

命令：ln -s [源文件] [目标文件]

比如：将存放在/home/books目录下的书籍，软链到/opt/shu目录，实现在/opt/shu下也能使用查看书籍，也可以创建多个软链。如下：shu、shu1、shu2三个软链。

root@Blog:/home/books# ls
三国.txt  水浒传.txt
root@Blog:/home/books# ln -s /home/books /opt/shu
root@Blog:/home/books# cd /opt/shu/
root@Blog:/opt/shu# ls
三国.txt  水浒传.txt
root@Blog:/opt/shu# ln -s /home/books /opt/shu1
root@Blog:/opt/shu# ln -s /home/books /opt/shu2
root@Blog:/opt/shu# cd /opt/shu1
root@Blog:/opt/shu1# ls
三国.txt  水浒传.txt
root@Blog:/opt/shu1# cd /opt/shu2
root@Blog:/opt/shu2# ls
三国.txt  水浒传.txt
root@Blog:/opt/shu2#

删除软链

删除软链接与删除普通的文件是一样的，删除都是使用rm来进行操作。

1 2	// 删除 /opt/shu2 rm -rf /opt/shu2

修改软链

命令：ln –snf [新的源文件或目录] [目标文件或目录]

修改/opt/shu1，指向别的新目录。比如：原来是books目录现在改为music

1 2	ln -s /home/books /opt/shu1 //原来的软链指向 ln -snf /home/music /opt/shu1 //修改后的指向

记一次FlinkSQL中Could not forward element to next operator异常

2022-11-11T00:00:00.000Z

在Flink SQL 开发过程中，遇到这样一个错误:Caused by: org.apache.flink.streaming.runtime.tasks.ExceptionInChainedOperatorException: Could not forward element to next operator

错误日志

Caused by: org.apache.flink.streaming.runtime.tasks.ExceptionInChainedOperatorException: Could not forward element to next operator
at org.apache.flink.streaming.runtime.tasks.ChainingOutput.pushToOperator(ChainingOutput.java:114) ~[flink-dist_2.11-1.13-vvr-4.0.13-1-SNAPSHOT.jar:1.13-vvr-4.0.13-1-SNAPSHOT]
at org.apache.flink.streaming.runtime.tasks.ChainingOutput.collect(ChainingOutput.java:93) ~[flink-dist_2.11-1.13-vvr-4.0.13-1-SNAPSHOT.jar:1.13-vvr-4.0.13-1-SNAPSHOT]
at org.apache.flink.streaming.runtime.tasks.ChainingOutput.collect(ChainingOutput.java:39) ~[flink-dist_2.11-1.13-vvr-4.0.13-1-SNAPSHOT.jar:1.13-vvr-4.0.13-1-SNAPSHOT]
at org.apache.flink.streaming.api.operators.CountingOutput.collect(CountingOutput.java:50) ~[flink-dist_2.11-1.13-vvr-4.0.13-1-SNAPSHOT.jar:1.13-vvr-4.0.13-1-SNAPSHOT]
at org.apache.flink.streaming.api.operators.CountingOutput.collect(CountingOutput.java:28) ~[flink-dist_2.11-1.13-vvr-4.0.13-1-SNAPSHOT.jar:1.13-vvr-4.0.13-1-SNAPSHOT]
at StreamExecCalc$1653.processElement(Unknown Source) ~[?:?]

问题排查

从异常描述来看是：无法将元素转发给下一个算子。

根据含义可以初步定位问题在数据源端，检查源表SQL字段类型、大概率是字段类型不对或者有NULL数据导致的。

（比如：数据源主键为INT，FlinkSQL中定义成了VARCHAR，就会报这个错）
（比如：FlinkSQL中定义了字段不能为NULL，但其实数据源端有NULL数据，也会报这个错）

解决方法

首先检查SQL中是否写错了数据源端的字段类型，保证两端的字段数据类型一致。
再对SQL中定义了NOT NULL的字段，在消费时需要判断NULL并赋个默认值。

cloudflared内网穿透实现Windows远程桌面

2022-07-30T00:00:00.000Z

个人经常会有远程Windows的需要，没有找到中意的远程软件
用过向日葵，三天两头服务器奔溃，账户莫名登录不上，直接劝退。
TeamViewer就厉害了，识别到国内IP就是特供版，不验证手机号直接不让用，也劝退了。
Todesk就直接告辞了，你以为在白嫖它的服务，殊不知电脑的网络被它一直在白嫖
偶然看到Cloudflare Tunnel穿透，配合Freenom的免费域名，通过windows远程桌面就可以直接远程了

提前准备

Cloudflare账号，注册地址：https://www.cloudflare.com
自定义域名并托管到Cloudflare（使用Freenom免费域名）
下载 Cloudflare可执行文件下载地址：https://github.com/cloudflare/cloudflared/releases

被控端电脑配置

将下载好的可执行文件(cloudflared-windows-amd64.exe) 复制到自己定义的目录并改短名称为(cloudflared.exe)，方便操作

在当前目录打开 cmd 窗口，输入如下命令进行登录验证，会自动打开游览器进行登录

1	cloudflared.exe login

登录完成之后会在 C:\Users\%USERNAME%\.cloudflared 目录下生成登录凭证

创建隧道，随意自定义名称

1	cloudflared.exe tunnel create

配置 DNS 记录（使用Freenom免费域名），就是上一步创建的隧道名称

1	cloudflared.exe tunnel route dns diy.domain.cf

配置完成之后，可以在控制台看到记录

在 cloudflared.exe 同级目录创建一个 config.yaml 文件，内容如下

# 隧道的 UUID, 就是登录凭证的json文件名称
tunnel: xxxxxxx-xxxx-xxxx-xxxx-xxxxxxxx
# 鉴权文件的全路径，注意替换为自己的
credentials-file: C:\Users\%USERNAME%\.cloudflared\xxxxxxx-xxxx-xxxx-xxxx-xxxxxxxx.json

ingress:
  # 你的freenom二级域名
  - hostname: diy.domain.cf
    service: rdp://localhost:3389
  # 默认错误404
  - service: http_status:404

验证连接情况

被控端

被控端输入如下命令，注意替换配置文件路径

1	cloudflared.exe --config=D:\Config\config.yaml tunnel run

控制端

同样下载可执行文件，并在目录打开 cmd。输入如下命令，即可启动 Start Websocket listener

hostname 填写自定义的域名
url 填写映射的本地端口，如localhost:3000

1	cloudflared.exe access rdp --hostname diy.domain.cf --url localhost:3000

再打开 windows远程桌面 -> 输入 localhost:3000 能连接的话就说明配置没问题了

配置开机自启

被控端如果还需要手动执行命令，那不是脱裤子放屁。

肯定是需要注册成Windows服务，自动启动滴！

首先 以管理员身份打开 cmd，进入cloudflared.exe所在目录，执行如下命令，注册成服务

1	cloudflared.exe service install

打开注册表(regedit.exe)，在 HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services 找到 Cloudflared
将 ImagePath 修改为 D:\Config\cloudflared.exe --config=D:\Config\config.yaml tunnel run 注意替换自己路径

再打开Windows服务(services.msc)，找到 cloudflared agent 右键重新启动。自启就配置完成啦！！！

建议配合笔者之前写的 Windows开机自动发送邮件食用更佳。

nginx配置返回json或html

2022-07-28T00:00:00.000Z

最近刚好需要清理一些旧接口，不让外界访问。通过Nginx直接拦截接口，返回接口不可用信息。记录一下操作

配置参数说明

default_type

配置	说明
application/json	返回json格式
text/html	返回text/html格式

配置直接返回数据

需要配置 default_type，不然游览器无法识别数据类型，会触发游览器下载

格式：return HTTP状态码数据内容

配置返回JSON

location = /blog/choose {
    default_type application/json;
    return 200 '{"code": -1, "msg": "接口已升级，请重新配置"}';
}

配置返回HTML

如果出现中文乱码，应该是Server没有配置字符集。增加 charset utf-8;

server {
  listen  80
  server_name  域名;
  charset utf-8;
}

location = /blog/choose {
    default_type text/html;
    return 200 '接口已升级，请重新配置
';
}