2021年07月_enlyhua

原创 1.Prometheus 监控技术与实践 --- 云计算时代的监控系统

第1章　云计算时代的监控系统 1.1　云计算时代的应用系统 1.1.1 企业“IT云化”实现数字化转型 1.1.2　云计算时代的IT架构特点 1.1.3　云计算时代的IT管理变革 1.企业IT投入模式改变在传统的IT模式下，基础设施的投入占比最大，服务器运维人工成本次之，应用开发的投入占比最小。上云后，投入比例相反。 2.IT人员能力要求改变传统IT人员更关注底层基础设施的运维，项目管理，对业务需求的理解和响应比较被动。云计算IT人员需要更关注业务的需求，.

2021-07-29 00:48:27 502

原创 12.企业安全建设指南(金融行业安全架构与技术实践) --- 移动应用安全

第12章　移动应用安全12.1　概述从通信安全性，键盘输入安全性，客户端运行时安全性，客户端安全防护，代码安全性，客户端业务逻辑安全性。建议采用更加安全的 app 加固解决方案，同时增加应用分发渠道监控，第一时间监控盗版，篡改应用发布上线；增加应用自身完整性校验功能，检测到应用被篡改后，及时提醒用户卸载非法应用或者自动进行更新修复。12.2　APP开发安全 12.2.1　AndroidManifest配置安全每个android应用的根目录都必须有一个 AndroidManife.

2021-07-26 13:42:09 417 1

原创 11.企业安全建设指南(金融行业安全架构与技术实践) --- 互联网应用安全

第11章　互联网应用安全传统企业会用防火墙进行隔离，将应用部署在隔离区(DMZ)。11.1　端口管控首先要做的就是端口管控，即在防火墙上严格限制对外开放的端口。原则上DMZ服务器只允许对外开放80，443端口，而且DMZ服务器不允许主动访问外部，访问外部的业务需要一对一开通访问。端口扫描工具： 1.Nmap 2.Zmap 3.Masscan11.2　Web应用安全 1.web应用防火墙有硬件防火墙，软件防火墙，基于云的防火墙。 2.入侵检测/防御系统(ID.

2021-07-26 01:14:04 514

原创 10.企业安全建设指南(金融行业安全架构与技术实践) --- 安全预算、总结与汇报

10.1　安全预算 1.安全预算比例占用IT投入的 3% ~ 10%。 2.预算分配投入前三名为：保护和预防，检测和响应，合规和审计。 "三三三原则"： 1/3投入到外部情报收集，这是来自于外部的红军，包括众测和SRC的建设； 1/3投入到安全感知系统建设，只有先看到，才能实施有效防御; 1/3投入到防御系统的建设。 3.ROI和TCO10.2　安全总结一份安全总结应该包括： 1.内外部监管任务落实情况 2.全年安全事件和安全指标完成情况 .

2021-07-25 16:48:54 316

原创 9.企业安全建设指南(金融行业安全架构与技术实践) --- 安全认证

第9章　安全认证9.1　为什么要获得认证9.2　认证概述 9.2.1　认证分类 9.2.2　认证机构9.3　选择什么样的认证9.4　如何通过认证...

2021-07-25 16:29:55 172 1

原创 8.企业安全建设指南(金融行业安全架构与技术实践) --- 安全考核

第8章　安全考核8.1　考核评价体系与原则 1.考核评价体系 2.奖惩机制 3.人才选拔机制 4.管理者的权利与义务8.2　安全考核对象 1.考核团队信息安全考核内容通常既包括结果指标，又包括过程指标： 1.安全事件数 a) 区分原因 b) 不区分原因 2.合规率 3.安全建设项目完成率 4.扣分项 2.考核个人 8.3　考核方案 8.3.1　考核方案设计原则 1.既要设置过程指标，又要设置结果指标 2.既要设置客观性指.

2021-07-25 16:18:42 271 1

原创 7.企业安全建设指南(金融行业安全架构与技术实践) --- 外包安全管理

第7章　外包安全管理7.1　外包安全管理的问题与“痛点” 7.1.1　几个教训深刻的外包风险事件 7.1.2　外包安全管理的必要性 7.1.3　外包管理中的常见问题7.2　外包战略体系外包战略由以下几部分组成： 1.外包管理目标 2.外包管理方针 3.外包组织结构 4.外包的选择策略 5.核心能力建设 6.外包商关系管理策略明确组织架构： 1.董事会和高管层 2.信息科技外包管理相关部门 3.信息科技部门内部科室强化制定制约： 1.政.

2021-07-25 15:28:46 459

原创 6.企业安全建设指南(金融行业安全架构与技术实践) --- 安全培训

第6章　安全培训6.1　安全培训的问题与“痛点” 安全意识就是 "对风险的感知和主动规避"。 6.1.1　信息安全意识不足的真实案例 6.1.2　信息安全培训的必要性金融企业信息安全培训的必要性体现在三个方面： 1.金融企业涉及的信息的敏感性极高 2.金融企业信息安全的核心问题是人的安全意识 3.金融企业信息安全意识仍然普通较为薄弱 6.1.3　信息安全培训的“痛点” 1.未建立系统化的信息安全培训体系 2.培训针对性不足，培训内容不接地气 3.培训形式单.

2021-07-25 00:16:41 334 1

原创 12.Kong入门与实战基于Nginx和OpenResty的云原生微服务网关 --- 高级案例实战

第　12 章高级案例实战　12.1　案例 1：智能路由　通过智能路由使部分用户使用新版本加以验证。 12.1.1　插件需求　 12.1.2　插件开发　 12.1.3　插件部署　 12.1.4　插件配置　 12.1.5　插件验证　12.2　案例 2：动态限频　动态限频插件可以控制微服务站点的请求流量。当微服务站点面对大流量访问的时候，可以通过动态限频插件在网关层面对请求流量进行并发控制，以防止大流量对后端核心服务造成影响和破坏，从而导致系统被拖垮且不可用。换言之就是通过调节请求.

2021-07-24 18:51:41 645

原创 11.Kong入门与实战基于Nginx和OpenResty的云原生微服务网关 --- 自定义插件

11.1　简介　 kong 的自定义插件由一组Lua模块文件组成，其中每个文件均可以被视为一个独立的模块，实现独立的功能。插件的模块文件名遵循下面的约定： kong.plugins.<plugin_name>.<module_name> 其中 plugin_name 是自定义插件的名称，module_name 是模块文件的名称。在kong内部，我们使用 lua_package_path 所设置的路径来搜索和加载所需的模块文件。除此之外，我们还需要将插件的名称添加到配置.

2021-07-24 17:04:20 587

原创 10.Kong入门与实战基于Nginx和OpenResty的云原生微服务网关 --- 内置插件

第　10 章内置插件插件是代理请求和响应的生命周期内执行的lua代码，既可以添加到服务和路由中，也可以关联到特定的消费者。10.1　插件分类主要有7类： 1.身份验证 2.安全防护 3.流量控制 4.无服务器架构 5.分析监控 6.信息转换器 7.日志记录　10.2　环境准备　10.3　身份验证　 10.3.1　基本身份验证在服务或者路由中添加基本身份验证(Basic Auth)插件后，如果客户端想访问，就需要提供用户名和密码。此插件会检查请求.

2021-07-24 00:58:16 561

原创 9.Kong入门与实战基于Nginx和OpenResty的云原生微服务网关 --- 高级进阶

9.1　负载均衡的原理　 kong 为后端服务器节点提供了2种负载均衡策略，一种是直接基于dns的策略，另外一种是动态的环形均衡器策略，其中后者无需dns服务器即可进行服务的注册与发现。 9.1.1　基于 DNS 的负载均衡　当服务中的host属性不能被解析为上游名称或此host属性的名称并不在本地的 DNS host 文件中，且服务中的host属性是名称而不是ip地址时， kong会自动选择基于dns的负载均衡策略。当使用基于dns的负载均衡策略时，后端服务的注册是在kong外部.

2021-07-22 23:44:35 1233

原创 8.Kong入门与实战基于Nginx和OpenResty的云原生微服务网关 --- 指标监控与报警

第　8 章指标监控与报警　常见的监控指标有，cpu使用率，内使用率，GC，磁盘IO，网络流量，网络延迟，请求速度，请求排队，链接数，用户态与内核态的上下文切换等。指标监控和报警主要分为以下6个方面： 1.采集指标数据 2.存储指标数据 3.分析指标数据 4.展示指标数据 5.监控指标数据 6.报警处理8.1　Kong 的监控指标　8.2　Prometheus　开源的监控，报警，时间序列数据库的组合。 8.2.1　安装　 8.2.2　配置　 8.2..

2021-07-17 20:07:57 394

原创 7.Kong入门与实战基于Nginx和OpenResty的云原生微服务网关 --- 日志收集与分析

7.1　日志的分类与配置　7.1.1　访问日志的属性　7.1.2　访问日志的配置　7.1.3　错误日志的配置　7.2　ELK Filebeat 的选择　7.3　Filebeat　7.3.1　安装　7.3.2　配置　7.3.3　启动　7.4　Elasticsearch　7.4.1　安装　7.4.2　配置　7.4.3　启动　7.5　Logstash　7.5.1　安装　7.5.2　配置　7.5.3　启动　7.6　Kibana　7.6.1　安装　7.6.2　配置　7.6.3.

2021-07-17 19:02:20 274

原创 6.Kong入门与实战基于Nginx和OpenResty的云原生微服务网关 --- Lua 语言

6.1　简介　6.2　环境　 yum install libtermcap-dev ncuress-devel libevent-devel readline-devel curl -R -O http://www.lua.org/ftp/lua-5.3.5.tar.gz tar zxf lua-5.3.5.tar.gz cd lua-5.3.5 make linux test ls -s ~/lua5.3.5/src/lua /usr/bin/lua lua6.3　注.

2021-07-17 18:35:28 240

原创 5.Kong入门与实战基于Nginx和OpenResty的云原生微服务网关 --- Kong 的配置详解

第　5 章 Kong 的配置详解　配置文件主要分为9大类： 1.常规通用配置 2.nginx通用配置 3.指令注入配置 4.数据存储配置 5.存储缓存配置 6.DNS解析配置 7.路由同步配置 8.Lua综合配置 9.混合模式配置5.1　常规通用配置　5.2　Nginx 通用配置　 5.2.1　代理 / 监听类　 5.2.2　工作进程类　 5.2.3　请求类　 5.2.4　SSL/TLS 类　 5.2.5　真实 IP 类　 5.2.6　其他类　.

2021-07-17 12:39:06 531 1

原创 4.Kong入门与实战基于Nginx和OpenResty的云原生微服务网关 --- Kong 的基本功能

第４章　Kong 的基本功能　路由转发，负载均衡，灰度发布，蓝绿部署，正则路由，https跳转，混合模式，tcp流代理。4.1　路由转发　创建一个名为 helloworld 的路由转发服务，效果是请求到 example.com，会打开 helloworld.com。 4.1.1　配置服务　 curl -i -X POST --url http://localhost:8001/services/ --data 'name=example-service' --data 'url=http.

2021-07-17 01:18:56 528

原创 3.Kong入门与实战基于Nginx和OpenResty的云原生微服务网关 --- Kong 的管理运维

3.1　Konga 介绍　通过 Konga 和 Kong Admin API 完成的操作都是即时生效的。3.2　源码安装　 3.2.1　安装 Git 和 Node.js　 curl --silent --location https://rpm.nodesource.com/setup_10.x | sudo bash yum install -y nodejs 3.2.2　安装 Konga　 git clone https://github.com/pantsel/konga..

2021-07-15 23:54:41 477 2

原创 2.Kong入门与实战基于Nginx和OpenResty的云原生微服务网关 --- Kong 的安装和基本概念

2.1　Kong 的安装部署 2.1.1　环境介绍　 2.1.2　直接安装　 yum install epel-release yum install kong-2.0.0.el7.amd64.rpm --nogpgcheck kong version 2.1.3　容器安装　 docker pull kong:2.0 2.1.4　Kubernetes 安装　2.2　Kong 数据库的安装部署　 kong 数据库支持 PostgreSQL,Cassandra和DB-less.

2021-07-15 01:03:42 444 1

原创 1.Kong入门与实战基于Nginx和OpenResty的云原生微服务网关 --- 基础知识点概述

1.1　网关　网关是一种高性能，低延迟的流量负载均衡服务，是大型分布式系统中用来保护内部服务的一道安全屏障。它可以对请求实施统一拦截，帮助开发人员轻松的向外界提供服务，是的开发人员不必考虑路由，版本，缓存，认证，授权，身份验证，限流，熔断，灰度，过滤，转换，计费，审计，脱敏，日志和监控等事情，只需要专注于业务的实现即可。除了将网关应用于常见的代理服务之外，还可以广泛应用于 waf,cdn，边缘计算，IoT等。1.2　微服务　客户端和服务端之间的流量叫做南北流量，不同服务器之间的流量叫做.

2021-07-14 22:45:27 539

原创 1.企业IT架构转型之道：阿里巴巴中台战略思想与架构实战 --- 阿里巴巴集团中台战略引发的思考

第1章阿里巴巴集团中台战略引发的思考1.1 阿里巴巴共享业务事业部的发展史1.2 企业信息中心发展的症结在高层看来，IT信息部门定位成了业务支持的部门，是一个花钱的成本中心。造成这样的处境的原因是，IT信息部门的人不懂业务。在对业务系统的具体流程，操作，数据模型方面 IT 人员比业务部门更懂，是业务这些系统是IT人员负责建设的，但我所说的懂业务是指，能对业务的下一步发展有着自己的想法和见解，对业务流程如何进一步优化能更好的提升业务，甚至对企业现有的业务提出创新的想法，为企业带来新的业务.

2021-07-12 00:36:20 371

原创 6.支付平台架构：业务、规划、设计与实现 --- 安全与风控

第6章安全与风控 6.1 准入 6.1.1 从业范围限定 6.1.2 支付牌照申请 6.2 终端安全 6.2.1 安全加密采用安全加密方式和算法时一般依据自身的数据安全要求级别进行界定，比如：在使用场景中是否需要高安全级别，非常快的加解密速度和进行高性能处理。 1.个人信息数据安全级别高。这种个人信息数据支付系统一般采用由机构自己研发加解密引擎来支持并且采用云端存储方案，其他不具备加解密引擎研发能力的结构通常也会使用国际流行的高强度加密算法(例如AE.

2021-07-10 01:16:46 379

原创 5.支付平台架构：业务、规划、设计与实现 --- 账务系统

第5章账务系统记账软件可以分为三种： 1.以个人，家庭流水记账为主体的个人财务软件 2.以中小企业经营活动为主体的财务系统 3.以商业银行，金融机构，第三方支付机构为代表的账务系统这类系统与前面两种有较大的区别，以账户为中心来记账，需要支持海量账户数量和账务数据的核对，核算，同时需要较强的安全性，设计性和容灾性处理。5.1 账务系统的概念账务系统，从概念上来讲，指专门用于账务处理的计算机软件系统，也是银行信息化建设的核心之一。第三方金融(支付)机构的账务系统往往参照银.

2021-07-07 00:09:28 3274

原创 4.支付平台架构：业务、规划、设计与实现 --- 中国银联和中国网联

第4章中国银联和中国网联清算机构指负责管理和执行清算的机构，在我国除了中国人民银行，还有两家大型且具有合法资质的清算机构： 1.中国银联是目前中国境内唯一的银行卡转接清算机构，具有中国人民银行颁发的银行卡清算业务许可证。 2.中国网联是经人民银行批准成立的非银行支付机构的网络支付清算平台。4.1 中国银联介绍 4.1.1 互联互通 4.1.2 跨区跨行跨境交易清算有以下系统或参与者与中国银联银行卡跨行支付系统进行数据通信和交付： 1.持卡人 .

2021-07-04 16:36:50 2933

原创 3.支付平台架构：业务、规划、设计与实现 --- 支付后端技术实战

第3章支付后端技术实战支付后端也叫支付云端，指的是部署在私有云或公有云主机上的支付后端服务应用和数据存储单元，是支付前端的有力支撑，为支付收银台，客户端，SDK和前端系统提供业务服务，数据存储管理，数据验证，安全传输，账户管理和安全验证，资金和渠道管理，消息推送和分发，支付业务流程，风控等相关服务。3.1 业务架构 3.1.1 产品层产品层主要面向线上和线下用户，其中的用户包含C端用户，商户，金融机构等。 3.1.2 核心业务层核心业务层无疑是整个支付平台架构最有核心价值的一.

2021-07-03 16:26:54 1392

enlyhua的专栏