九千万代码的梦想

服务器部署mihomo

Wed, 19 Nov 2025 00:00:00 +0000

前言
目标
部署
使用

前言

我主要是因为需要搭建一个代理服务的环境，用来配置代理服务进行科学上网。现在有很多clash的客户端，但是他们都需要在设备上安装软件，而我期望的方式是直接设置代理服务即可，无需在每台设备上安装clash的客户端，所以要部署在内网服务器作为代理网关。这样所有设备只需要配置代理地址，就能使用统一的代理服务。

目标

使用订阅连接自动更新路由配置，需要定期更新，并且支持简单快捷的切换订阅连接地址
带ui控制台，方便管理
部署在内网服务器，无需公开订阅连接，客户端只需要设置代理地址，配置账号密码即可使用代理
在linux服务器上使用命令行部署，通过docker容器化运行

部署

clash、clash meta和mihomo简介

Clash 是一款用 Go 编写的基于规则的代理工具，最初由 Dreamacro 开发。它支持多种代理协议，包括 Shadowsocks、VMess、Trojan 等。

Clash Meta（现更名为 Mihomo）是基于 Clash 开源项目的二次开发版本。它继承了 Clash 的核心功能并增加了一些独特的特性，包括部分原 Clash Premium 核心的功能。相比于 Clash，Clash Meta/Mihomo 引入了更多协议支持（如 VLESS XTLS、Trojan XTLS、Hysteria 等）和更丰富的规则控制。

在 2023 年经历了 Clash for Windows 删库事件之后，原 Clash 项目停止更新，于是开发者将 Clash Meta 改名为 Mihomo，继续进行维护和更新。

环境准备

首先我们需要准备部署环境和创建工作目录：

# 创建工作目录
mkdir -p ~/workspace/mihomo/config
cd ~/workspace/mihomo

docker compose部署

创建 docker-compose.yml 文件：

services:
  # 主体服务
  mihomo:
    container_name: mihomo
    image: metacubex/mihomo
    restart: always
    ports:
      - "7890:7890"
      - "7891:7891"
      - "9090:9090"
    volumes:
      - ./config:/root/.config/mihomo
  # ui站点
  metacubexd:
    container_name: metacubexd
    image: ghcr.io/metacubex/metacubexd
    restart: always
    ports:
      - "9097:80"

配置文件准备

创建基础配置文件 config/config.yaml。

现在的配置托管地址通常都是包含完整的clash配置文件，因此我们只需要从订阅地址直接下载：

$> curl -s -H "User-Agent: clash" "https://clash.example.top/subscribe" -o ./config/config.yaml

注意：有些服务的订阅地址，会根据User-Agent的请求头来决定返回的内容，比如我用的订阅服务，默认情况下只返回节点列表的base64结果，而加上User-Agent: clash请求头则可以返回完整的clash配置。

更新订阅脚本

创建订阅更新脚本 update.sh：

#! /bin/bash
export converter_url="https://clash.example.top/subscribe"
curl -H "User-Agent: clash" $converter_url > ~/workspace/mihomo/config/config.yaml
echo "secret: Pass@word123" >> ~/workspace/mihomo/config/config.yaml
sed -i 's/127.0.0.1:9090/0.0.0.0:9090/' ~/workspace/mihomo/config/config.yaml
sed -i 's/port: 7890/port: 0/' ~/workspace/mihomo/config/config.yaml
sed -i 's/socks-port: 7891/socks-port: 0/' ~/workspace/mihomo/config/config.yaml
sed -i 's/mixed-port: 0/mixed-port: 7890/' ~/workspace/mihomo/config/config.yaml
echo "authentication: " >> ~/workspace/mihomo/config/config.yaml
echo '- "admin:pass@word"' >> ~/workspace/mihomo/config/config.yaml

curl -ik -s -X PUT "http://127.0.0.1:9090/configs" -H "Content-Type: application/json" -H "Authorization: Bearer Pass@word123" -d '{"path": "/root/.config/mihomo/config.yaml"}'

这里的订阅更新脚本做了几件事：

从订阅链接下载新的订阅配置

在配置中加入secret配置，指定管理密钥

将外部控制绑定地址从127.0.0.1:9090改为0.0.0.0:9090

将代理端口从7890改为0,socks-port端口从7891改为0，mixed-port端口改为7890，这几个端口分别是http代理端口，socks5代理端口，以及混合代理端口

设置代理认证账号密码，客户端需要使用账号密码才能使用代理，不会随便被人使用

触发mihomo的核心服务更新配置

设置定时任务

为了让配置自动更新，我们需要添加一个cron任务。

执行cron命令：

$> crontab -e

进入cron任务编辑，输入如下cron表达式：

0 2 * * * ~/workspace/mihomo/update.sh

这个表达式表示每天凌晨2点定期执行~/workspace/mihomo/update.sh脚本，这样就可以通过脚本定期更新配置文件和刷新核心服务配置了。

启动服务

现在只需要在~/workspace/mihomo目录下，执行如下命令即可启动mihomo：

docker compose up -d

使用

Web UI管理

首先通过web ui查看服务的情况。

在浏览器输入地址：

http://127.0.0.1:9097

即可看到如下界面：

输入后端地址：http://127.0.0.1:9090，密钥Pass@word123即可链接核心服务：

Chrome插件

chrome的插件Zero Omega可以非常方便的配置和切换代理。

安装地址Zero Omega。

安装后进入选项页：

添加一个profile：

选择Proxy Profile：

输入代理地址：

点击应用即可：

如果你的服务端跟我一样设置了密码，那在输入代理的时候，还需要点击代理地址右边的小锁头图标，输入账号密码才能使用。

设置完成后，只需要在chrome的插件图标中点击Zero Omega，选择mihomo的代理即可让浏览器使用代理上网了。

电脑系统代理

如果希望在整个电脑级别使用代理，可以将mihomo设置为系统代理，不同操作系统设置系统代理的方式不一样，这里以mac为例。

打开设置 -> 网络 -> 详情（当前网络下）：

选择代理菜单：

保存即可。

其他操作系统原理是一样的，自行搜索如何设置即可。

手机设置

如果你使用手机连接家里的wifi，则可以在手机的wifi设置代理即可，具体的设置方法可以执行百度。

ai编程工具汇总

Mon, 29 Sep 2025 00:00:00 +0000

前言
Claude Code
Claude Code + ccr
Claude Code + Kimi
- 使用方法
- 评价
Cursor
- 使用方法
- 评价
gemini-cli
qwen code
Codex
trea
- 使用方法
- 评价
总结

前言

AI编程助手已经成为开发者不可获取的提效工具，本文主要给大家介绍对比市面上各种常用的编程助手。

Claude Code

Claude Code 是由 Anthropic 推出的 AI 编程助手，基于 Claude 大语言模型。它支持多种编程语言，能够帮助开发者自动补全代码、生成函数、解释代码逻辑、修复 bug 以及编写单元测试。Claude Code 强调安全性和可靠性，适合在敏感或高要求的项目中使用。其界面简洁，支持与主流 IDE 集成，提升开发效率，适合个人开发者和团队协作。

claude code本身是开源的，项目地址：anthropics/claude-code。

官网文档地址：Claude Docs

安装方法

$> npm install -g @anthropic-ai/claude-code

claude code依赖nodejs，因为运行前需要安装nodejs，具体安装方法可以参考官网：NodeJs。

使用方法

Claude Code是命令行工具，直接通过命令行启动：

$> claude
╭─────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────╮
│                                                                                                                                                                                                                 │
│ Do you trust the files in this folder?                                                                                                                                                                          │
│                                                                                                                                                                                                                 │
│ /home/kael                                                                                                                                                                                                      │
│                                                                                                                                                                                                                 │
│ Claude Code may read, write, or execute files contained in this directory. This can pose security risks, so only use files from trusted sources.                                                                │
│                                                                                                                                                                                                                 │
│ Learn more ( https://docs.claude.com/s/claude-code-security )                                                                                                                                                   │
│                                                                                                                                                                                                                 │
│ ❯ 1. Yes, proceed                                                                                                                                                                                               │
│   2. No, exit                                                                                                                                                                                                   │
│                                                                                                                                                                                                                 │
╰─────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────╯
   Enter to confirm · Esc to exit

其中内置了很多命令,可以输入/获得提示：

╭───────────────────────────────────────────────────╮
│ ✻ Welcome to Claude Code!                         │
│                                                   │
│   /help for help, /status for your current setup  │
│                                                   │
│   cwd: /home/kael                                 │
│                                                   │
│   ─────────────────────────────────────────────── │
│                                                   │
│   Overrides (via env):                            │
│                                                   │
│   • API Key: kae…                                 │
│   • API Base URL: https://claude.server.com       │
╰───────────────────────────────────────────────────╯

 Tips for getting started:

  Run /init to create a CLAUDE.md file with instructions for Claude
  Use Claude to help with file analysis, editing, bash commands and git
  Be as specific as you would with another engineer for the best results

 Note: You have launched claude in your home directory. For the best experience, launch it in a project directory instead.

───────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────
> / 
───────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────
  /add-dir                Add a new working directory
  /agents                 Manage agent configurations
  /bashes                 List and manage background tasks
  /clear (reset, new)     Clear conversation history and free up context
  /compact                Clear conversation history but keep a summary in context. Optional: /compact [instructions for summarization]
  /config (theme)         Open config panel
  /context                Visualize current context usage as a colored grid
  /cost                   Show the total cost and duration of the current session
  /doctor                 Diagnose and verify your Claude Code installation and settings
  /exit (quit)            Exit the REPL

输入@符号可以选择文件：

───────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────
> @ 
───────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────
  .SmartTomcat/
  .SwitchHosts/
  .TranslationPlugin/
  .android/
  .arthas/
  .bash_history
  .bash_logout
  .bash_profile
  .bashrc
  .bin/

评价

优点：

Claude Code是目前业内评价最好的AI编程助手之一，配合Claude相关模型效果非常优秀
支持安装idea和vs code插件实现联动，使用体验优秀

缺点：

价格偏贵，对token使用的优化较差，相同的任务使用的token数更多
Anthropic公司视中国为敌对国，封禁中国用户，付费困难

Claude Code + ccr

claude code router（简称ccr）是国人开发的一个开源适配服务，其主要作用是降低Claude Code的使用门槛。

项目地址： claude-code-router

ccr的原理是适配Anthropic的api接口协议，转换为openai的接口协议，然后将claude code的baseurl替换为ccr的地址来实现代替官方的后端。并且支持替换其他模型，从而减少模型费用。

使用ccr之前需要先安装claude code

安装方法

$> npm install -g @musistudio/claude-code-router

使用方法

安装之后，可以在~/.claude-code-router/目录下创建一个config.json文件对ccr进行配置，也可以使用ccr提供的ui进行配置。

配置完成后使用ccr启动claude code：

$> ccr code

这里会设置环境变量并启动claude code，使得你的claude服务端变成ccr的服务入口：

╭───────────────────────────────────────────────────╮
│ ✻ Welcome to Claude Code!                         │
│                                                   │
│   /help for help, /status for your current setup  │
│                                                   │
│   cwd: /home/kael                                 │
│                                                   │
│   ─────────────────────────────────────────────── │
│                                                   │
│   Overrides (via env):                            │
│                                                   │
│   • API Key: kae…                                 │
│   • API Base URL: http://127.0.0.1:3456           │
╰───────────────────────────────────────────────────╯

 Tips for getting started:

  Run /init to create a CLAUDE.md file with instructions for Claude
  Use Claude to help with file analysis, editing, bash commands and git
  Be as specific as you would with another engineer for the best results

 Note: You have launched claude in your home directory. For the best experience, launch it in a project directory instead.

───────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────
> 
───────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────

直接访问http://127.0.0.1:3456/ui即可打开配置页面：

评价

使用ccr本质上还是使用claude code。

优点：

可以通过OpenRouter等渠道进行付费，实现Claude Code + Claude的最强组合，使用门槛低
可以自主替换低成本模型，实现效果和成本的平衡

缺点：

需要多启动一个本地进程，且只能使用API方式，价格按照Token使用量计算，重度使用价格比订阅更贵
需要学习和理解ccr的转换器配置等功能，学习成本高
ccr目前功能还不够丰富完善，只能个人使用

Claude Code + Kimi

Kimi 是由月之暗面（Moonshot AI）推出的大型语言模型，专注于中文和多语言场景，具备强大的代码理解与生成能力。Kimi 支持多种主流编程语言，能够自动补全代码、生成函数、解释代码逻辑、修复 bug 以及编写单元测试。其模型在长文本处理和复杂任务推理方面表现优异，适合开发者在实际项目中进行代码辅助和智能问答。Kimi 提供 API 接口和网页端，易于集成到各类开发工具和工作流中，目前Kimi也兼容了Anthropic的API接口，可以代替Claude Code的后端。

使用方法

首先安装Claude Code。

$> npm install -g @anthropic-ai/claude-code

然后生成一个kimi的apikey：访问用户中心创建一个新的apikey即可。

apikey只能在创建的时候复制，之后无法再看到了，要自己保存好
在~/.claude/settings.json中配置：

{
  "env": {
    "ANTHROPIC_BASE_URL": "https://api.moonshot.cn/anthropic",
    "ANTHROPIC_API_KEY": "{kimi api key}",
  }
}

完成配置后即可启动：

$> claude

参考在 software agents 中使用 kimi k2 模型

评价

Claude Code + Kimi的使用方式进一步降低了门槛，据网上的评价，可以达到使用Claude模型的70%左右的效果，但是价格会便宜许多。

价格对比

模型	每百万输入token	每百万输出token
Kimi K2	命中缓存： 1元，未命中：4元	16元
kimi-k2-turbo-preview	命中缓存： 4元，未命中：16元	64元
Opus 4.1	命中缓存：1.5$，未命中：15$	命中缓存：18.75$，未命中：75$
Sonnet 4	命中缓存： 0.3$(token <= 200k) 0.6$(token > 200k) 未命中： 3$(token <= 200k) 6$(token > 200k)	命中缓存： 3.75$(token <= 200k) 7.5$(token > 200k) 未命中： 15$(token <= 200k) 22.5$(token > 200k)

官网价格说明：

Claude

Kimi

2025年9月16日-10月15日官方kimi-k2-turbo-preview 模型限时折扣 50%，10月16日恢复原价

优点：

充值使用方便，kimi k2主要卖点也是编程能力，价格便宜

缺点：

效果不如Claude，并且只能使用Kimi模型

Cursor

Cursor 是一款专为开发者设计的 AI 编程助手和智能代码编辑器。它集成了主流大语言模型（如 GPT-4、Claude、Kimi 等），支持自动补全、代码生成、智能重构、代码解释和单元测试生成等功能。Cursor 提供类 IDE 的界面，兼容 VS Code 插件生态，支持多种编程语言和项目类型。其强大的 AI 能力能够显著提升开发效率，适合个人开发者和团队协作。Cursor 支持本地和云端运行，用户可根据需求选择不同模型和服务，灵活性高，体验优秀。

使用方法

直接通过官网下载cursor：

Cursor

下载后安装即可。

Cursor是基于vs code开发的，按照vs code的习惯使用即可。

评价

优点：

使用门槛低，充值方便
可以使用cursor等优秀模型，效果非常好

缺点：

价格偏贵，免费体验期结束后，20$每月限量使用，不限量使用要200$每月
基于vs code使用，对java的项目支持体验不如idea

gemini-cli

Gemini CLI 是一款开源 AI 代理，可将 Gemini 的强大功能直接引入您的终端。它提供对 Gemini 的轻量级访问，为您提供从终端提示到我们模型的最直接路径。

项目地址：gemini-cli

安装方法

$> npm install -g @google/gemini-cli

使用方法

启动：

$> gemini

启动后会可以选择使用google账号登录（Login with Google）或者使用Gemini API Key（Use Gemini API Key）的方式验证。

选择Login with Google的方式会打开浏览器，登录谷歌账号即可。选择Use Gemini API Key的方式，则需要自己先生成一个Gemini API key，并配置到~/.env文件中。

生成Gemini API key的方法：

打开aistudio，点击右上角的Create API Key生成一个key
将API key配置到~/.env文件中：

GEMINI_API_KEY=AIzaSysxxxxxxxxxxx

谷歌gemini是现在了亚太地区使用的，因此ip出口在亚太地区的话，使用gemini-cli会出现报错：
[API Error: User location is not supported for the API use. (Status: FAILED_PRECONDITION)]

评价

优点：

使用谷歌账号登录每天1000个免费请求，无需计算token数，个人用户使用0成本
使用apikey可以使用Gemini 2.5 Pro模型，每天100个免费请求

缺点：

对ip出口有严格限制，需要全程使用代理确保ip出口在谷歌支持的地区,有一定的使用门槛
不支持替换后端服务，只能使用gemini模型

qwen code

Qwen Code 是一款功能强大的命令行 AI 工作流工具，改编自 Gemini CLI （详情），并专门针对 Qwen3-Coder 模型进行了优化。它通过高级代码理解、自动化任务和智能辅助功能增强您的开发工作流程。

项目地址：qwen-code

安装方法

使用npm安装：

$> npm install -g @qwen-code/qwen-code@latest

使用方法

命令行启动千问：

$> qwen

总体使用方法跟gemini-cli相似。

评价

优点：

个人使用每天2000个请求，无需计算token数，个人用户使用0成本
支持替换后端服务，可以使用其他openai接口兼容的模型

缺点：

当前效果无法跟cursor和claude code相比

Codex

Codex 是由 OpenAI 推出的强大代码生成与理解模型，基于 GPT-3 架构，专为编程任务优化。Codex 能够理解自然语言描述，自动生成多种编程语言的代码，支持自动补全、代码解释、单元测试生成等功能。它已集成到 GitHub Copilot、OpenAI Playground 等工具中，广泛应用于软件开发、数据分析和自动化脚本编写。Codex 支持多种主流 IDE，能够显著提升开发效率，适合个人开发者和团队协作。

项目地址：codex

安装方法

$> npm i -g @openai/codex

使用方法

启动：

$> codex

╭───────────────────────────────────────────────────────────╮
│ >_ OpenAI Codex (v0.42.0)                                 │
│                                                           │
│ model:     deepseek/deepseek-chat-v3.1   /model to change │
│ directory: ~/workspace/code/project                       │
╰───────────────────────────────────────────────────────────╯

  To get started, describe a task or try one of these commands:

  /init - create an AGENTS.md file with instructions for Codex
  /status - show current session configuration
  /approvals - choose what Codex can do without approval
  /model - choose what model and reasoning effort to use

▌ hello

> Hello! I'm Codex CLI, a coding assistant. I'm here to help you with any coding tasks in the /home/kael/workspace/code/project workspace.

  What would you like to work on today?

codex同样内置了诸多命令，使用/获得命令提示。

codex启动后同样会询问授权方式，可以使用oauth2登录，也可以使用apikey。

使用apikey的方式，可以在api-key这里创建一个新的apikey，然后配置到~/.codex/auth.json中：

{
  "OPENAI_API_KEY": "asdasdad"
}

如果要替换使用其他openai接口兼容的服务端，需要修改~/.codex/config.toml的配置 (文件不存在可以自行创建)，在最开始添加如下配置：

model = "gpt-5"
model_provider = "mail"
model_reasoning_effort = "medium"

[model_providers.mail]
name = "Mail"
base_url = "http://compatible.server/protocol/openai/v1"
env_key = "CODEX_API_KEY"

这里env_key的值CODEX_API_KEY是一个环境变量的key，apikey的真正值要在环境变量设置CODEX_API_KEY=${apikey}

评价

优点：

支持替换openai接口兼容的模型服务
支持多个ide的插件（不支持idea插件）

缺点：

没有免费额度
默认直接使用openai的模型，由于禁止中国使用，充值门槛也较高，通常建议使用openrouter或者国内其他openai兼容接口模型

trea

Trea 是字节跳动推出的 AI 编程助手，专注于提升开发者的编程效率。Trea 支持多种主流编程语言，具备代码自动补全、智能生成、代码解释、Bug 修复和单元测试生成等功能。它集成了先进的大语言模型，能够理解复杂的开发需求，适用于个人开发者和团队协作。Trea 提供命令行工具和 IDE 插件，易于集成到现有开发流程中，助力开发者高效完成各类编程任务。

使用方法

trae分国内版和海外版。

国内版官网: 免费，只能使用国内大模型

海外版官网：分免费版和Pro版，可以使用Claude等大模型，免费版有部分限制，付费版10$每月

国内版只能使用国内的大模型，海外版可以使用claude等模型。

下载后打开，登录即可：

评价

优点：

免费使用，海外版支持海外大模型，但不支持中国地区
海外付费版付费方便，可以使用支付宝微信支付

缺点：

目前总体评价一般，效果一般

总结

上面的说明ai编程工具对比推荐：

免费版用户： qwen code 原因：使用无门槛，效果能达到claude code 60%左右，完全免费使用。
付费版用户：Claude Code + Kimi K2 原因：付费使用简单，门槛低，客户端支持常用idea插件，费用整体不高，效果能达到claude code的70%

降级组件对比

Sun, 05 Nov 2023 00:00:00 +0000

前言
组件对比
推荐方案

前言

目前业内常见的微服务系统容错降级方案主要有几个：

这里对几个组件简单介绍一下。

Hystrix

Hystrix [hɪst’rɪks] 是Netflix开源的延迟和容错组件，主要是用于隔离远程系统，服务和第三方组件的一些接口故障，包括无法连接，超时，报错等，实现在复杂的分布式系统中的容错和弹性。

Hystrix基于Java开发，目前最新的版本是1.5.18，支持如下功能：

请求限流
服务降级
服务隔离（舱壁模式）
服务熔断
调用缓存

Netflix已经宣布不再开发新功能，仅维护现有功能稳定，并且推荐使用新的高可用框架Resilience4j。

Reselience4j

Resilience4j [rɪˈzɪliəns] 是一个函数式编程设计的容错库，是Hystrix停更之后推荐的高可用容错组件，Resilience4j本身是受Hystrix启发而设计开发的，相比于Hystrix更加轻量，少了很多外部依赖，只依赖Vavr。

Resilience4j提供了一些基于装饰器模式的高阶函数，用于增强函数接口和lambda表达式的方法，用于增强断路器，限流器，重试器和舱壁隔离等。Resilience4j的设计思想是按需取用，因为不同功能都区分了模块，主要提供了如下几个核心功能模块：

resilience4j-circuitbreaker：断路模块，支持熔断功能
resilience4j-ratelimiter：速率模块，支持限流功能
resilience4j-bulkhead：舱壁模块，支持服务隔离
resilience4j-retry：重试模块，支持自动重试
resilience4j-timelimiter：超时模块，支持超时处理
resilience4j-cache：缓存模块，支持调用缓冲

Resilience4j目前还在持续发展，社区也有一定的活跃程度，但是目前国内使用比较少。

Sentinel

Sentinel 是面向分布式、多语言异构化服务架构的流量治理组件，主要以流量为切入点，从流量路由、流量控制、流量整形、熔断降级、系统自适应过载保护、热点流量防护等多个维度来帮助开发者保障微服务的稳定性。

Sentinel是一个轻量的组件，不依赖任何框架和库，能够运行于Java 8及以上的版本，同时对常见的开源组件有较好的支持，主要的功能包括：

流量控制
熔断降级
系统负载保护

sentinel目前社区活跃，在国内广泛使用，是一个非常受欢迎的容错组件。

组件对比

对比项	Hystrix	Resilience4j	Sentinel	对比
流量控制	1.基于信号量 2.基于线程数（官方推荐）	支持信号量限流	1. 基于QPS和并发线程数的限制 2. 基于调用关系的流量控制	1. Hystrix对限流的支持功能较弱，比较有限 2. Resilience4j的限流只支持信号量，但限流功能较强 3. Sentinel的限流功能最灵活强大
熔断策略	基于数量的异常比例	1. 基于请求数量的滑动窗口 2. 基于时间的滑动窗口	基于滑动时间窗口	1. Hystrix熔断策略单一 2. Resilience4j的熔断策略最丰富，但是基于请求数量的滑动窗口策略较少使用 3. Sentinel基于滑动时间窗口的熔断策略功能最灵活
服务隔离策略	基于线程池隔离	1. 基于信号量隔离 2. 基于有界队列和固定的线程池隔离	基于信号量隔离	1. Hystrix基于线程池的隔离策略较重，并且需要预先设置好各个服务的线程池数量 2. Resilience4j的隔离策略较灵活丰富 3. Sentinel中规中矩，仅支持信号量隔离
黑白名单	不支持	不支持	基于来源配置黑白名单	黑白名单功能比较少用，只有在极特殊的场景进行动态阻断流量使用
指标监控	支持实时控制台，需要接入springboot框架	支持通过prometheus接入grafana监控	支持开箱即用的实时控制台，并且可以通过控制台动态修改降级规则	1. Sentinel的实时控制台最强大，但是缺少报警功能 2. resilience4j可以通过接入grafana实现报警功能 3. Hystrix的控制台较弱，只能看数据，并且有框架依赖
系统自适应保护	不支持	不支持	支持	Sentinel可以针对系统负载情况进行自适应保护，防止系统出现集群故障
动态规则	基于Archaius的动态配置	不支持	通过控制台动态配置	1. Hystrix基于文件的动态配置，需要通过svn/git等工具进行配置文件管理 2. Sentinel可以通过控制台或者接口进行修改 3. Resilience4j需要定制开发实现动态配置
规则持久化	基于配置文件存储	不支持（写在代码中）	Zookeeper Apollo Nacos	1. Sentinel的配置持久化支持较好，并且可以自主扩展其他持久化存储 2. Resilience4j需要定制开发实现配置持久化
主流框架适配	spring boot spring cloud	1. spring boot 2. spring cloud 3. 其他（参考文档）	1. spring boot 2. spring cloud 3. 其他（参考文档）	1. 实际上几个组件对spring boot/spring cloud体系的集成都是不错的 2. sentinel有更多开源框架的适配 3. sentinel适配spring boot 2.0.x版本的组件已经不再维护，建议升级了
基于插件机制	基于插件机制	通过springboot框架提供的插件机制	支持功能槽扩展内置SPI机制扩展	1. Hystrix官网提供了插件机制支持扩展和二次开发 2. Resilience4j官方文档没有提及扩展和二次开发的能力 3. Sentinel的扩展能力最强，设计时已经预留基于责任链模式的扩展槽，并且内置提供了SPI机制用于扩展开发
最新稳定版本	1.5.8	1.7.0	1.8.1

Sentinel规则说明

Wed, 02 Nov 2022 00:00:00 +0000

简介
流控规则
降级规则

简介

Sentinel是阿里巴巴开源的一个容错降级组件，其核心的设计思想是定义资源，然后为资源定义规则实现流控和容错降级，本文主要讨论Sentinel的规则配置。

流控规则

流控规则配置的核心类是com.alibaba.csp.sentinel.slots.block.flow.FlowRule，主要的配置也是按照这个类的属性配置。

属性	必须	默认值	说明
resource	是	-	资源名称，表面这个规则对哪个资源生效
limitApp	是	default	流控针对的调用来源，default表示不区分来源
grade	是	1	限流阈值类型，QPS 或线程数模式，1表示QPS模式，0表示线程模式
count	是	0	一旦配置了`resource`，这个流量就必须配置，否则按默认值处理的话，会拦截所有流量
strategy	是	0	调用关系限流策略：0: 直接、1: 关联、2: 链路
controlBehavior	是	0	流控效果（0:直接拒绝、1: 慢启动模式、2：排队等待、3: 慢启动+限速模式），不支持按调用关系限流

直接拒绝：放流量通过，但是直接进入降级逻辑
慢启动模式：逐步增加通过流量，给服务端热身时间，达到count的阈值之后，多余的流量进入降级逻辑
排队等待：控制流量进入，只能以固定速率进入正常逻辑，不会进入降级逻辑
慢启动+限速模式：逐步增加通过流量，给服务端热身时间，达到count的阈值之后，其他请求继续等待，不会进入降级逻n辑

降级规则

降级规则配置的核心类是com.alibaba.csp.sentinel.slots.block.degrade.DegradeRule。

属性	必须	默认值	说明
resource	是	-	资源名称，表面这个规则对哪个资源生效
grade	是	0	熔断策略，0: 慢调用比例，1：异常比例，2: 异常数
count	是	0	慢调用比例下表示慢调用阈值，即超过这个值的调用计为慢调用，单位s，异常比例/异常数模式下为对应的阈值
timeWindow	是	0	熔断时长，单位s
minRequestAmount	是	5	熔断触发的最小请求数，即请求数小于该值则不会进行熔断
statIntervalMs	是	1000	统计时长，单位ms
slowRatioThreshold	是	1.0	慢调用比例阈值，仅慢调用比例模式有效（1.8.0引入）

Tunnelblick自动输入动态密码和自动连接

Fri, 28 Oct 2022 00:00:00 +0000

前言
前期准备
编写脚本
设置启动连接【可选】

前言

很多公司为了保证安全，一般内网服务都不允许直接公网访问，员工使用内网服务通常都需要使用VPN接入公司内网，目前企业内网的VPN方便常见的有微软自带的VPN功能，或者开元的OpenVPN协议，或者其他的easy connect等等。

本文主要讨论基于OpenVPN方案的工具。

基于OpenVPN方案的客户端比较常见的有OpenVPN Connect和Tunnelblick，这两个都是非常优秀的客户端软件，（Ubuntu系统自带了OpenVPN连接，可以不使用这两个软件）。

出于工作需要，每次打开电脑都要连接VPN，如果使用固定密码的话，可以通过软件的记住密码功能实现不用每次都输入密码，但是有些公司的服务器为了安全，不会使用固定密码，而是使用类似谷歌验证的方式，使用动态密码，这个时候就非常麻烦了，每次连接必须先获取谷歌动态密码，然后再输入到密码框中，一天连接一次可能还好，连接多次的时候，确实是非常烦人的操作。

目前经过笔者研究，OpenVPN Connect还不支持使用脚本动态输入密码，但是Tunnelblick从3.8.3beta02以后的版本就支持通过脚本动态替换密码的能力了，官网文档Using Scripts。

本文主要介绍在Mac OS系统下如何基于Tunnelblick的脚本功能实现动态输入密码自动连接VPN。

前期准备

在开始实现动态输入密码的脚本前，我们要先通过正常的安装和配置，确保们的VPN已经可以正常使用，参考官网安装并导入配置即可。

安装配置完成后，可以看到如下vpn详情中有如下配置：

现在我们先配置自动登录：

这里的密码随便输入，后面我们会用脚本自动替换，在这里随便输入密码只是为了自动触发登录的操作。

ok，到这里我们的前期准备已经完成。

编写脚本

根据官网的文档：

password-replace.user.sh is executed to get a string to replace a password before it is passed to OpenVPN.

我们可以使用脚本password-replace.user.sh在登录前对输入的密码进行替换，替换成我们自动计算的动态密码即可，需要实现如下两部：

生成谷歌验证码
使用password-replace.user.sh脚本将谷歌验证码返回给tunnelblick替换前面记住的密码
重新加载配置，使脚本生效

生成谷歌验证码

首选我们需要一个自动生成谷歌验证码的脚本，目前最简单的方式就是使用python脚本，这里给出一个实际可用的例子：

import hmac, base64, struct, hashlib, time
import platform

def get_hotp_token(secret, intervals_no):
    key = base64.b32decode(secret, True)
    msg = struct.pack(">Q", intervals_no)
    h = hmac.new(key, msg, hashlib.sha1).digest()
    o = ord(chr(h[19])) & 15
    h = (struct.unpack(">I", h[o:o+4])[0] & 0x7fffffff) % 1000000
    return h

def get_totp_token(secret, bias):
    return get_hotp_token(secret, intervals_no=int(time.time()+bias)//30)

def get_google_code():
    secret="$SECRET" # 谷歌验证密钥，用于生成谷歌验证码，需要注意的是，验证码的长度需是16的整数倍，比如16，32，64等，如果长度不足，则通过=号补齐长度
    googlecode=get_totp_token(secret, 0)
    return '%06d' % googlecode

print(get_google_code(),end="")

完成上述脚本之后，可以执行一下验证是否成功：

$> python3 tunnelblick.py
303158%

说明脚本已经ok。

注意最后的%，这个是自动添加的，可以不理会，tunnelblick在使用密码的时候会自动将这个结尾去掉，官网原文：
If the output from the "password…" scripts ends in an ASCII LF character (0x0A), it will be removed before the string is used to replace or modify the password.

替换输入密码

password-replace.user.sh脚本要放在对应的VPN设置目录下，默认是:

/Library/Application Support/Tunnelblick/Users/{user}/{config_name}.tblk/Contents/Resources

这个目录必须使用root权限创建和修改脚本，参考官网File Locations。

脚本内容如下：

#! /bin/bash
PASSWORD=$(python3 tunnelblick.py)
echo "$PASSWORD"

这里第一行的#! /bin/bash不能少，否则tunnelblick不会执行这个脚本。

echo输出的结果tunnelblick会作为返回值，替换原来记住的密码，可以根据需要处理即可。

password-replace.user.sh脚本的权限必须是0755，否则tunnelblick会识别为不安全脚本无法连接

google_auth.py的目录建议不要放在自己的目录下，否则权限也必须是0755

重新加载配置

增加这个脚本后，相当于修改了当前vpn连接的配置，Tunnelblick会扫描并发现配置变更了，此时连接会出现警告：

这里有三个选项：

Secure the Configuration: 回滚配置，使用最后一次正确的配置
Revert to the Last Secured Copy: 应用配置，保存本次变更为最后一次正确配置
Cancel: 取消，暂时不处理，也不连接VPN

这里我们选择Revert to the Last Secured Copy保存配置即可。

有可能不会每次都弹出这个提醒，如果没有弹出这个提醒,并且连接一直失败的话，请重启tunnelblick，并检查2.1.2中的脚本权限是否正确

现在已经可以自动填写动态密码并连接VPN了。

设置启动连接【可选】

最后，我们可以在配置中选择启动tunnelblick即自动连接VPN，这样就可以达到重启后也自动连接的目的，最大限度减少我们关注VPN是否连接的问题：

狼蛛F87说明书

Thu, 01 Sep 2022 00:00:00 +0000

狼蛛F87说明书照片

狼蛛F87说明书照片

杂牌三模87热插拔键盘

Thu, 01 Sep 2022 00:00:00 +0000

杂牌三模热插拔87键说明书电子版照片

杂牌三模热插拔87键说明书电子版照片

k8s部署实战

Wed, 12 Jan 2022 00:00:00 +0000

前言
参考资料

前言

k8s全称kubernetes，这个名字大家应该都不陌生，k8s是为容器服务而生的一个可移植容器的编排管理工具，越来越多的公司正在拥抱k8s，并且当前k8s已经主导了云业务流程，推动了微服务架构等热门技术的普及和落地，正在如火如荼的发展。

本文主要介绍k8s的部署实施方法。

k8s一共有三种方式部署目前一共三种部署方式：

Minikube：官方部署工具，可以在本地快速运行一个单点的k8s，可以用于日常开发和学习使用。
Kubeadm：官方部署工具，用于快速部署和节点管理等，使用要求较多，可以用于生产环境部署。
二进制包：即手工部署，需要自己下载二进制包，并手动配置和启动k8s服务。

Minikube部署

对于开发和学习使用，Minikube是最好的选择，因为部署非常简单，可以节省大量时间，不用陷入各种配置细节。

使用Minikube需要先安装Minikube。

官方文档提供了多种安装方式，在本文我们使用64位的CentOS 7，使用如下方式安装：

curl -LO https://storage.googleapis.com/minikube/releases/latest/minikube-linux-amd64
sudo install minikube-linux-amd64 /usr/local/bin/minikube

安装完成后，使用如下命令启动：

minikube start

正确执行结果如下：

😄  minikube v1.24.0 on Centos 7.6.1810 (kvm/amd64)
✨  Using the docker driver based on existing profile
👍  Starting control plane node minikube in cluster minikube
🚜  Pulling base image ...
🔄  Restarting existing docker container for "minikube" ...
🐳  Preparing Kubernetes v1.22.3 on Docker 20.10.8 ...
🔎  Verifying Kubernetes components...
    ▪ Using image gcr.io/k8s-minikube/storage-provisioner:v5
🌟  Enabled addons: storage-provisioner, default-storageclass
🏄  Done! kubectl is now configured to use "minikube" cluster and "default" namespace by default

minikube支持基于docker，kvm2，virtualBox，裸金属，podman等多种环境部署，因此start之前，必须已经安装如上环境之一，并且需要安装ssh，否则可能安装失败。

笔者这里是安装了docker环境，因此启动过程使用了docker作为k8s的驱动，在启动日志的第二行即可看到：

✨  Using the docker driver based on existing profile

启动完成之后，可以看到一个正在运行的docker容器：

$> docker ps
CONTAINER ID   IMAGE                                 COMMAND                  CREATED       STATUS       PORTS                                                                                                                                  NAMES
7f2230cc94fb   gcr.io/k8s-minikube/kicbase:v0.0.28   "/usr/local/bin/entr…"   4 hours ago   Up 2 hours   127.0.0.1:49162->22/tcp, 127.0.0.1:49161->2376/tcp, 127.0.0.1:49160->5000/tcp, 127.0.0.1:49159->8443/tcp, 127.0.0.1:49158->32443/tcp   minikube

如果你的机器上已经安装kubectl, minikube还会自动将kubectl配置为使用minikube机群，可以看到启动日志的最后一行：

🏄  Done! kubectl is now configured to use "minikube" cluster and "default" namespace by default

如果没有安装kubectl的话，可以使用minikube kubectl --代替kubectl，minikube会自动下载合适的kubectl版本进行操作，但是每次使用kubectl命令都要输入这个命令也比较麻烦，可以为这个命令设置别名：

alias kubectl="minikube kubectl --"

到这里本地一个本地开发的k8s集群就部署好了，非常简单。

Kubeadm部署

二进制包部署

参考资料

[1]: 使用kubeadm快速部署一套K8S集群以及众多神坑记录

istio部署与评估

Wed, 12 Jan 2022 00:00:00 +0000

前言
准备工作
开始安装
示例应用
查看仪表盘

前言

istio是服务网格的一种具体实现方案，在网上已经有非常非常多的相关介绍了，本文主要介绍如何搭建一个开发环境的istio。

准备工作

istio提供了多种部署方式：

istioctl：官方安装工具，需要k8s集群
Istio Operator：官方安装工具，需要k8s集群
helm：使用k8s的helm安装
多集群安装：跨多个k8s集群安装
虚拟机安装：虚拟机直接安装

出于开发使用和安装简单，我们使用istioctl的方式安装，需要做如下准备：

部署一个k8s集群，参考k8s部署实战
下载istio部署包

curl -L https://istio.io/downloadIstio | sh -

下载后进入部署包目录：

cd istio-1.12.1

部署包内包含了客户端工具bin/istioctl和示例应用samples。

将istioctl客户端加入搜索路径：

export PATH=$PWD/bin:$PATH

开始安装

下载的安装包里包含了不同部署场景的配置。

面向开发使用的场景我们选用demo，这里包含了一组专门为测试准备的功能集合。

$ istioctl install --set profile=demo -y
✔ Istio core installed
✔ Istiod installed
✔ Egress gateways installed
✔ Ingress gateways installed
✔ Installation complete

给命名空间添加标签，指示istio在部署应用的时候，自动注入Envoy边车代理：

$ kubectl label namespace default istio-injection=enabled
namespace/default labeled

这里使用的是kubectl，k8s的工具，实际上是增加了一个触发器，在Pod创建时，会触发istio的sidecar注入流程，为pod注入sidecar（istio默认使用的是envoy），注入sidecar的pod实际上会产生两个容器。

到这里，我们就完成在k8s集群上部署istio了。

整个部署过程非常简单，接下来我们看看如何试用istio的功能。

示例应用

在istio中，提供了一个非常经典的示例应用，Bookinfo，现在我们将这个应用部署到k8s中：

部署Bookinfo

$ kubectl apply -f samples/bookinfo/platform/kube/bookinfo.yaml
service/details created
serviceaccount/bookinfo-details created
deployment.apps/details-v1 created
service/ratings created
serviceaccount/bookinfo-ratings created
deployment.apps/ratings-v1 created
service/reviews created
serviceaccount/bookinfo-reviews created
deployment.apps/reviews-v1 created
deployment.apps/reviews-v2 created
deployment.apps/reviews-v3 created
service/productpage created
serviceaccount/bookinfo-productpage created
deployment.apps/productpage-v1 created

istio内置的示例应用实际上是通过k8s的配置文件实现的，k8s的部署就是配置文件编写，程序镜像已经事先推送到docker的镜像仓库了。

部署命令执行完成后，并不是部署完成了，而是存储了部署计划，开始启动部署流程，我们可以通过k8s的命令查看部署的情况：

查看部署情况：

$ kubectl get services
NAME          TYPE        CLUSTER-IP      EXTERNAL-IP   PORT(S)    AGE
details       ClusterIP   10.0.0.212      <none>        9080/TCP   29s
kubernetes    ClusterIP   10.0.0.1        <none>        443/TCP    25m
productpage   ClusterIP   10.0.0.57       <none>        9080/TCP   28s
ratings       ClusterIP   10.0.0.33       <none>        9080/TCP   29s
reviews       ClusterIP   10.0.0.28       <none>        9080/TCP   29s

$ kubectl get pods
NAME                              READY   STATUS    RESTARTS   AGE
details-v1-558b8b4b76-2llld       2/2     Running   0          2m41s
productpage-v1-6987489c74-lpkgl   2/2     Running   0          2m40s
ratings-v1-7dc98c7588-vzftc       2/2     Running   0          2m41s
reviews-v1-7f99cc4496-gdxfn       2/2     Running   0          2m41s
reviews-v2-7d79d5bd5d-8zzqd       2/2     Running   0          2m41s
reviews-v3-7dbcdcbc56-m8dph       2/2     Running   0          2m41s

重复运行kubectl get pods等待所有pod的READY状态值为2/2，STATUS的值为Running，才表示部署完成。

确认服务已经正常运行：

kubectl exec "$(kubectl get pod -l app=ratings -o jsonpath='{.items[0].metadata.name}')" -c ratings -- curl -s productpage:9080/productpage | grep -o "<title>.*</title>"
<title>Simple Bookstore App</title>

看到<title>Simple Bookstore App</title>的结果即说明我们已经可以访问应用了。

虽然部署已经完成，但是此时我们还是无法访问这个应用，因为k8s内部的资源无法被外部直接访问，我们还需要开放外部访问。

开放外部访问

要开放示例应用的外部访问，我们需要一个Istio入站网关（Ingress Gateway），它会在网格边缘把一个路径映射到路由。

先把应用关联到Istio网关：

$ kubectl apply -f samples/bookinfo/networking/bookinfo-gateway.yaml
gateway.networking.istio.io/bookinfo-gateway created
virtualservice.networking.istio.io/bookinfo created

然后验证配置文件：

$ istioctl analyze
✔ No validation issues found when analyzing namespace: default.

关联到istio网关是指，在istio网关上增加一个代理的配置，将istio网关的特定url转发到示例应用的服务中来。

现在示例应用已经挂到istio的网关上了，我们需要知道istio网关的访问地址。

不同的k8s集群部署方式获取istio网关访问地址的方式不同，本文使用的是minikube部署的k8s集群，接下来的介绍我们基于minikube的方式介绍，如果是采用其他方式部署的k8s机器，请参考官网文档

支持外部访问

我们使用minikube部署的k8s集群，实现的原理是在本机的docker上运行了一个镜像：

$ docker ps
CONTAINER ID   IMAGE                                 COMMAND                  CREATED        STATUS        PORTS                                                                                                                                  NAMES
ce4e90343fc9   gcr.io/k8s-minikube/kicbase:v0.0.28   "/usr/local/bin/entr…"   46 hours ago   Up 46 hours   127.0.0.1:49172->22/tcp, 127.0.0.1:49171->2376/tcp, 127.0.0.1:49170->5000/tcp, 127.0.0.1:49169->8443/tcp, 127.0.0.1:49168->32443/tcp   minikube

这个docker镜像才是k8s集群的节点（不是本机），因此在本机的docker里我们看不到k8s里运行的容器，这个k8s里的容器，也有docker，真正的k8s内部署的应用，实际上是在容器内的docker运行的，因此想看到k8s上运行的容器，我们得进入到docker容器内运行docker ps。

因此，实际上我们现在在本机，访问k8s的容器，已经可以访问到示例应用了，但是要怎么访问呢？

我们先看看istio网关监听的端口：

$ echo $(kubectl -n istio-system get service istio-ingressgateway -o jsonpath='{.spec.ports[?(@.name=="http2")].nodePort}')
32608

然后看看k8s容器的ip地址：

$ minikube ip
192.168.49.2

那么访问地址如下：

echo http://$(minikube ip):$(kubectl -n istio-system get service istio-ingressgateway -o jsonpath='{.spec.ports[?(@.name=="http2")].nodePort}')/productpage

可以直接使用如下命令访问：

$ curl http://$(minikube ip):$(kubectl -n istio-system get service istio-ingressgateway -o jsonpath='{.spec.ports[?(@.name=="http2")].nodePort}')/productpage | grep -o "<title>.*</title>"
<title>Simple Bookstore App</title>

到这一步，如果你是在本机直接部署访问的，到这里即可访问了，但是在开发阶段，我们也有可能不是在本机部署，是在虚拟机部署之后，在开发机上访问，那么这种情况是访问不了的，因为k8s容器监听的端口没有绑定到宿主机上，

因此要实现其他机器访问示例应用，只能通过宿主机端口转发的方式，端口转发的方法有很多，这里我们使用ncat来实现：

# 安装ncat
$ yum install nmap-ncat -y 
# 运行端口转发
$ ncat --sh-exec "ncat $(minikube ip) $(kubectl -n istio-system get service istio-ingressgateway -o jsonpath='{.spec.ports[?(@.name=="http2")].nodePort}')" -l 8888  --keep-open 

现在我们使用宿主机的ip:8888这个地址就可以访问服务了：

查看仪表盘

到目前为止，我们完成了istio和bookinfo示例应用的部署，但是还没有感受到istio带来的效果和威力，接下来我们开始部署真正展现istio威力的工具。

使用如下命令部署istio集成的遥测应用（包括：Kiali，Prometheus，Grafana，Jaeger）：

kubectl apply -f samples/addons
kubectl rollout status deployment/kiali -n istio-system
Waiting for deployment "kiali" rollout to finish: 0 of 1 updated replicas are available...
deployment "kiali" successfully rolled out

如果安装插件时出错，再运行一次命令即可，有一些和时间相关的问题，再运行就能解决。

访问Kiali仪表板

istioctl dashboard kiali

上面的命令运行后，可以直接在本地访问Kiali仪表板，如果我们想在其他机器上访问，则需要指定–address参数来指定Kiali绑定的host，并且可以用–port来制定端口。

这里为了方便，我们可以使用如下命令截取本机ip：

$ ip addr | grep "eth0" | awk '/^[0-9]+: / {}; /inet.*global/ {print gensub(/(.*)\/(.*)/, "\\1", "g", $2)}'

这里eth0是网卡名称，如果你希望获取其他网卡的ip，请自行替换

最终我们可以用如下命令运行：

$ istioctl dashboard kiali --address $(ip addr | grep "eth0" | awk '/^[0-9]+: / {}; /inet.*global/ {print gensub(/(.*)\/(.*)/, "\\1", "g", $2)}') --port 8003
http://10.224.192.140:8003/kiali
Failed to open browser; open http://10.224.192.140:8003/kiali in your browser.

此时我们通过http://10.224.192.140:8003/kiali就可以访问到Kiali仪表盘了：

查看Prometheus仪表盘

先验证前面是否已安装Prometheus的插件：

$ kubectl -n istio-system get svc prometheus
NAME         CLUSTER-IP     EXTERNAL-IP   PORT(S)    AGE
prometheus   10.59.241.54   <none>        9090/TCP   2m

这里我们可以看到已经安装了。

用如下命令可以启动一个代理，在本地访问Prometheus：

$ istioctl dashboard prometheus

当然，如果需要在其他的机器上访问的话，则需要指定–address参数：

$ istioctl dashboard prometheus --address $(ip addr | grep "eth0" | awk '/^[0-9]+: / {}; /inet.*global/ {print gensub(/(.*)\/(.*)/, "\\1", "g", $2)}') --port 8004
http://10.224.192.140:8004
Failed to open browser; open http://10.224.192.140:8004 in your browser.

现在我们可以通过http://10.224.192.140:8004访问Prometheus：

我们执行一个Prometheus查询，在 web 页面顶部的 “Expression” 对话框中，输入文本：

istio_requests_total

然后点击 Execute 按钮，结果类似如下：

查看Grafana面板

Grafana面板依赖Prometheus，因此要先确认Prometheus已经部署：

$ kubectl -n istio-system get svc prometheus
NAME         CLUSTER-IP     EXTERNAL-IP   PORT(S)    AGE
prometheus   10.59.241.54   <none>        9090/TCP   2m

再检查Grafana服务是否部署：

$ kubectl -n istio-system get svc grafana
NAME      CLUSTER-IP      EXTERNAL-IP   PORT(S)    AGE
grafana   10.59.247.103   <none>        3000/TCP   2m

如果都运行了，可以使用如下命令启动Grafana的外部访问：

kubectl -n istio-system port-forward $(kubectl -n istio-system get pod -l app=grafana -o jsonpath='{.items[0].metadata.name}')  --address=$(ip addr | grep "eth0" | awk '/^[0-9]+: / {}; /inet.*global/ {print gensub(/(.*)\/(.*)/, "\\1", "g", $2)}') 3000:3000 &

在浏览器中访问http://10.224.192.140:3000即可打开控制台界面：

到这里，我们对istio开发版的部署和评估已经基本完成，istio通过sidecar的方式实现服务网格，在sidecar中植入了许多特性，帮助我们实现服务中公共的功能抽离出来，极大减轻了应用的对接负担，但是这种模式本身的部署和管理是非常麻烦的，因此最好在基于k8s的环境上部署和实施。

S/MIME的技术流程

Mon, 27 Dec 2021 00:00:00 +0000

前言
S/MIME协议
- 为什么要使用S/MIME协议
- S/MIME协议工作流程
S/MIME证书
证书分发

前言

近期在研究S/MIME协议，对于整个协议的大致流程网上有很多说明了，但是却很少有能够详细说明技术细节流程给技术实现提供指导方向的文章，因此在查阅大量文档后，我决定自己整理这样一篇文章来记录一下。

S/MIME协议

MIME协议是一个互联网标准，全称是多用途互联网邮件扩展（Multipurpose Internet Mail Extensions），它扩展了电子邮件标准，使其能够支撑更多形式的信息（如二进制，声音，图像等），而S/MIME则是在MIME的基础上支持签名和加密，他们的关系类似http和https的关系。

为什么要使用S/MIME协议

S/MIME主要提供两种安全服务：

数字签名
邮件加密

数字签名可以保证邮件内容不被篡改，从而保证邮件的发件人和发件内容不被伪造（这同时也保证可以邮件确实出自发件人，即可以用来作为发件人发件的证据），邮件加密可以保证邮件内容不会泄露，只有邮件的接收人可以看到邮件的内容，从而保证邮件的安全性。

特别说明：S/MIME协议是端对端协议，也就是说，只有发送人和接收人都支持S/MIME协议，才可以使用S/MIME协议收发邮件，如果接收人不支持S/MIME协议，对方会收到一封只有附件的邮件，附件名为：smime.p7m。

S/MIME协议工作流程

S/MIME分发送方和接受方，发送方需要签名和加密：

捕获邮件。
检索用来唯一标识发件人的信息。
检索用来唯一标识收件人的信息。
使用发件人的唯一信息对邮件执行签名操作，以产生数字签名。
将数字签名附加到邮件中。
使用收件人的信息对邮件执行加密操作，以产生加密的邮件。
用加密后的邮件替换原始邮件。
发送邮件。

这里第2，3，7需要特殊说明一下。
2中，检索唯一标识发件人的信息，要求发件人要在发件客户端安装私钥，用于邮件签名。
3中，检索用来唯一标识收件人的信息，需要在发件客户端安装收件人证书，用于邮件加密。
7中，为了让接收方能够验证签名，需要在邮件中附上发送方的证书。

对于接受方，需要解密和验证签名：

接收邮件。
检索加密邮件。
检索用来唯一标识收件人的信息。
使用收件人的唯一信息对加密邮件执行解密操作，以产生未加密的邮件。
返回未加密的邮件。
将未加密的邮件返回给收件人。
从未加密的邮件中检索数字签名。
检索用来标识发件人的信息。
使用发件人的信息对未加密的邮件执行签名操作，以产生数字签名。
将邮件所附带的数字签名与收到邮件后所产生的数字签名进行比较。
如果数字签名匹配，则说明邮件有效。

这里4，9需要进行特殊说明。
4中，需要在接收端客户端安装接收人的私钥，用来给加密邮件进行解密，只有解密后的邮件才能进行签名校验。
9中，解密邮件后，可以拿到邮件签名和发送方证书，接收方需要对证书进行验证，验证有效后，即可利用证书的公钥对邮件的签名进行校验，校验通过则说明邮件没有被篡改，是可信的。

S/MIME证书

看了前面的收发信流程，你是否有如下问题？

如何保证加密结果只有收件人能解密？
使用发件人提供的证书校验签名，如何确认证书不是和邮件一起被篡改的？
如何确定证书是可信任的？

非对称加密

对于第一个问题，S/MIME协议如何保证邮件内容只有收件人可以解密呢？这里实际上采用的是非对称加密算法。

在S/MIME协议中，每一个人申请证书时，都会收到至少两个证书：公钥证书和私钥证书，公钥证书是可以公开的，私钥证书是需要自己保存并且不能泄露的。

在给收件人发送邮件时，需要先获取到收件人公钥，公钥可以先找收件人提供，或者通过服务器获取（协议中没有规定如何获取收件人公钥，因此获取方法也不是固定的）。

拿到公钥加密后，密文内容就只有收件人的私钥可以解密了，因此能看到密文内容的人，就只有持有收件人私钥的人了。

签名校验

我们知道，签名算法是私钥签名，公钥按照特定算法计算得到签名，然后比较私钥签名结果和公钥签名，相同即可确认签名有效。

从这个算法可以看出，当邮件内容签名可以用公钥验证时，至少可以保证邮件内容与私钥-公钥是对应的（如果公钥被篡改，原来的私钥校验肯定不通过），此时我们假设公钥是正确的，没有被篡改，说明邮件内容是可信的，没有被篡改。

如何确定证书是可信的

在签名校验的环节，我们假设了证书是可靠的，没有被篡改，因此得出邮件内容是可靠的，没有被篡改，那么如何用验证证书是可靠的这个假设呢？

这里就涉及证书校验的知识了。

严格来说，证书没有可靠和不可靠的说法，只有信任和不信任，什么样的证书是受信任的，什么样的证书是不受信任的，这里就不仅仅涉及技术问题了，也有一些约定的关系。

证书链

事实上，每一个证书都不是单独存在的，它是在证书链上的叶子结点，打开百度，我们可以看到百度的证书链如下：

这里我们可以看到三个证书：

baidu.com
GlobalSign Organization Validation CA - SHA256 - G2
GlobalSign Root CA

这个就是百度的证书链，其中，baidu.com我们叫最终证书（end-user certificates），GlobalSign Organization Validation CA - SHA256 - G2我们叫中间证书（intermediates certificates）， GlobalSign Root CA我们叫根证书（Root certificates），在一个证书链里，通常可以有一个活着多个中间证书（多层级）。

实际上，证书的信任是通过这个证书链传递的，当我们检查是否信任一个证书时，会逐步往上层找中间证书，一直找到根证书，如果信任根证书，则可以信任最初的最终证书。

那根证书怎么来的？我们为什么要信任根证书？

这里实际上是一些约定关系了，全球有几个特定的厂商，即根证书厂商，所有的根证书都出自这几个厂商（暂且称为根证书厂商），相当于全球约定信任这几个厂商，每个厂商使用自己的根证书去签发中间证书，再由中间证书签发最终证书，最终产生各种各种的证书。

全球所有的根证书厂商的根证书，都是要预先存储在计算机或者浏览器（firefox）中的，因此在校验证书的过程，只要一层一层往上找，最终找到根证书，只要计算机在根证书库中能找到对应的根证书，则说明该根证书可信，进而证明原来的最终证书可信。

目前，全球受信根证书企业大致有如下几家：

Digicert

DigiCert（原Symantec）是全球首屈一指的网络安全品牌，也是互联网上最受认可和信任的CA机构，其邮件安全证书功能强大、稳定性好，可以提供企业版的S/MIME证书，深受金融、银行、医疗药业等企业的喜爱。

Sectigo

Sectigo（原Comodo）是全球数字证书市场占有率最高的CA，可提供个人版和企业版的邮件证书，最重要的一点是Sectigo是国际品牌中性价比最高的邮件安全证书品牌，其个人版邮件证书只需148元/年。企业版的S/MIME证书适合中小企业的邮件系统使用。

GlobalSign

GlobalSign也是信息安全领域的佼佼者，在中国深受各大企业欢迎，尤其是电商行业和互联网企业。目前常用的有个人版、部门版和企业版三种邮件安全证书，可以满足不同用户需求。GlobalSign的S/MIME证书价格跟DigiCert差不多，主要服务中高端用户群体。

中间证书

现在我们知道，如果想知道最终证书是否可信，只要找到可信的根证书即可，那么如何找到根证书呢？在多层级的证书链中，我们只有最终证书，需要逐层网上寻找中间证书进行验证，一般来说，应用在校验证书时会有两种方式处理缺失的中间证书：

根据证书信息中提供的上一级中间证书查找并下载中间证书，然后递归寻找直到找到根证书
直接提醒中间证书丢失，让用户自己安装

对于自动查找并下载中间证书的方式，应用可以在证书中找到上级签发证书的下载地址：

。

证书分发

现在我们知道S/MIME完整的签名加密-解密校验流程了，那么用户如何获取到自己的证书呢？

通常来说，用户如果需要一个全球信任的证书，就需要去前面提到的几个根证书厂商申请，当然，国内也有很多中间证书厂商可以申请个人证书，大部分情况下都是要收费的（看证书类型，一般DV证书不收费，OV和EV收费）。

个人申请证书之后，如何分发自己的公钥？

这是一个比较麻烦的问题，S/MIME并没有给出证书分发的过程，因此为了方便用户使用，我们通常需要一个证书和密钥的管理分发系统，称为电子密钥管理系统（Electronic Key Management System， EKMS）。

目前业内并没有规范指导证书分发的方式，因此各个邮件服务商都是自己开发的证书交换服务来简化用户分发证书的过程。

S/MIME常用的方式是先由第一个用户发送一封只有签名，没有加密的邮件给第二个用户，第二个用户就可以通过这封邮件拿到第一个用户的证书了，然后就可以给第一个用户发送加密邮件了，第一个用户收到第二个用户的加密邮件后，用自己的私钥解密就可以拿到第二个用户的证书了。

九千万代码的梦想

服务器部署mihomo

前言

目标

部署

clash、clash meta和mihomo简介

环境准备

docker compose部署

配置文件准备

更新订阅脚本

设置定时任务

启动服务

使用

Web UI管理

Chrome插件

电脑系统代理

手机设置

ai编程工具汇总

前言

Claude Code

安装方法

使用方法

评价

Claude Code + ccr

安装方法

使用方法

评价

Claude Code + Kimi

使用方法

评价

Cursor

使用方法

评价

gemini-cli

安装方法

使用方法

评价

qwen code

安装方法

使用方法

评价

Codex

安装方法

使用方法

评价

trea

使用方法

评价

总结

降级组件对比

前言

Hystrix

Reselience4j

Sentinel

组件对比

推荐方案

Sentinel规则说明

简介

流控规则

降级规则

Tunnelblick自动输入动态密码和自动连接

前言

前期准备

编写脚本

生成谷歌验证码

替换输入密码

重新加载配置

设置启动连接【可选】

狼蛛F87说明书

狼蛛F87说明书照片

杂牌三模87热插拔键盘

杂牌三模热插拔87键说明书电子版照片

k8s部署实战

前言

Minikube部署

Kubeadm部署

二进制包部署

参考资料

istio部署与评估

前言