欧阳天涵的专栏

Ansible 是一种基础设施即代码定义语言，Keycloak 是一种 OpenID-Connect 提供者、认证代理和可以处理用户联合的工具。在本文中，我将描述如何通过 Ansible 完全基于模型创建可扩展的 Keycloak 单点登录（SSO）设置。要跟进，您需要对 Docker（compose）、Ansible、代理、Linux 和 OpenID-Connect 有基本了解。

Keycloak 允许用户与 AD/LDAP 联合。本教程将引导您完成使用 OpenLDAP 服务的用户联合。了解更多信息, 请参考。Keycloak 支持多种 LDAP 服务，包括 Microsoft AD 和 OpenLDAP。本教程将在同一个 VPC 中运行一个 OpenLDAP 服务，并在此演示中使用 Keycloak 服务。

启用Keycloak中的LDAP身份验证后，您可以使用存储在LDAP中的用户信息实现SSO。这样，您可以轻松将原本在登录时需要引用LDAP服务器的应用程序添加到Keycloak作为SSO协作对象中。除了身份验证外，我们还尝试将存储在LDAP中的用户信息批量导入到Keycloak，或者从Keycloak向LDAP中导入用户信息。我们总结要做的三件事如下。

当我们执行[myrealm-keycloak-configuration.sh]脚本以启动一个全新的Keycloak实例时，它将运行并以完全自动化的方式进行设置。在所有即将发布的教程中，将应用相同的配置Keycloak的过程。与大多数关于Keycloak的其他博客/教程/文章的一个重大区别是，我们通过使用Keycloak的。虽然存在其他用于脚本化配置的替代方法，但是管理CLI在所有运行时环境中都可用，并且可以直接使用。realm，并请求一个经过身份验证的会话，该会话将用于所有进一步的调用。

在数字时代，并确保是至关重要的。在新项目中担任的第一个任务中，我被实现。当我深入研究这篇旨在强调重要性并阐明的文章时，我意识到它在确保安全和个性化用户体验方面扮演的。在这一领域起着至关重要的作用，作为防止和其他危害的，同时促进。

中有配置文件的示例。复制并创建 config.php 文件，并进行配置，这样就可以用 phpLDAPadmin 管理 LDAP 服务器了。对于 PHP5.5 以上版本，需要应用补丁。从以下网址获取补丁文件（phpldapadmin-1.2.3-php5.5.patch）。要能够远程管理 LDAP 服务器，需要进行以下设置。准备如下 LDIF 文件。需要设置使得从 Web 服务器可以访问到 phpLDAPadmin。可以从以下网址下载 phpLDAPadmin。使用 LDAP 实用工具进行配置更改。

OpenLDAP附带的LDAP管理命令非常灵活和方便。但是，为了进行注册或更改，您需要创建一个特殊格式（LDIF文件）的文件，这非常繁琐。因此，推荐使用适用于不同用途的GUI管理工具。在这里，我们将介绍通用的LDAP管理工具“phpLDAPadmin”以及其他LDAP管理工具。

在诸如RedHat Enterprise Linux、CentOS、Debian、Ubuntu等Linux发行版中，OpenLDAP作为软件包提供。然而，最近的OpenLDAP比各个发行版采用的版本更加高级，并且后端数据库也更换为更快速的版本。以下是源代码安装方法的说明。

LDAP服务器（slapd）是一种可以在各种用途中使用的LDAP服务器。它可以在不允许停机的环境或者非常频繁访问的环境中使用。因此，在搭建LDAP服务器时，始终建议采用冗余配置。此外，LDAP服务器（slapd）提供了扩展API，可以灵活地扩展功能。本文将介绍LDAP服务器（slapd）的系统配置和扩展API。

这是LDAP Version 3中定义的身份验证方法，在OpenLDAP附带的实用工具命令中，此方法是默认的。然而，使用此DN进行所有操作是危险的。LDAP服务器（slapd）支持在常规的ldap端口（TCP 389）上连接后，通过STARTTLS切换到TLS模式，以及在LDAP over TLS（TCP 636）上一开始就使用TLS的两种方法。要将LDAP服务器（slapd）配置为支持SSL/TLS，可以使用下面示例的LDIF文件注册LDAP服务器的服务器证书、服务器密钥、CA证书等。

代理服务器充当客户端请求资源和提供资源的服务器之间的中介。它可以用于各种目的，如缓存资源以加快访问速度，匿名化请求，执行安全策略以及在多个服务器之间进行负载均衡。基本上，它接收来自客户端的请求，将其转发到相关服务器，然后将服务器的响应返回给客户端。

这是整个系列中我们一直在等待的：创建一个可以部署在OpenStack上并利用OpenStack服务的应用程序。作为这些练习的一部分，我希望我们能够体验到以下内容：1. 部署一个“支持(support)”服务器（我们已经在我们的PostgreSQL数据库中完成了这一步）。2. 编写一个连接到另一个服务器（数据库）的应用程序。3. 集成OpenStack SDK与OpenStack服务一起工作（我们将使用[Swift对象存储服务](https://www.openstack.org/software/

在最后的中，我们回顾了项目的设计，并设置了项目环境。在这篇文章中，我们将开始设置项目的工作组件并开始测试。考虑到 OpenStack 是一个组织技术（类似于 Kubernetes，但用于虚拟机），您可以开始理解 [Nova（计算组件）作为一个像 QEMU、VirtualBox 或 Xen 这样的虚拟机控制器。这意味着您可以像在本地机器上启动 VM 一样在 OpenStack 上运行 VM。让我们看看其中的一些方式。

现在我们对平台的外观和运作有了更清晰的认识，我们可以开始在其基础上构建一些东西。但我们要建造什么？对我来说，为了构建和演示OpenStack的一些特性，最容易的方法是构建一个简单的Web应用程序。

DevStack是一组脚本，可以“快速”（15-20分钟 vs 2小时）和轻松地在您的环境中部署一个新的OpenStack云。提供的默认设置允许您创建默认组件，以便快速入门，但是可以添加配置选项来定制设置，以满足您的需求。默认情况下，该环境不包含OpenStack提供的所有组件。Keystone（身份服务）Glance（镜像服务）Nova（计算服务）Placement（放置/HTTP API服务）Cinder（块存储）Neutron（网络）Horizon（仪表板服务）

如果您编写一个应用程序并将其部署到一个平台上，那么代码必须针对您正在开发的平台进行定制。如果你被告知需要将代码迁移到另一个平台（这比你意识到的要频繁），你就得重新设计所有的代码。XaaS（一切即服务）：我可能会用这个观点挑起一些争议，但请听我说。作为一个应用程序开发人员，我希望部署多个相互交互的节点。如果我在一个具有DBaaS或STaaS（用于存储/数据的服务）、PaaS（用于计算节点/服务器的服务）、FaaS（用于处理物联网/事件驱动流程的服务）的平台上，这些服务都是从它们自己的集群部署的，这意味着它们

领域驱动设计是关于建模复杂的业务流程和规则的。DDD中常见的错误是将中心概念——比如金融业务中的“账户”、电子商务中的“客户”和保险业中的“保单”——错误地建模为边界上下文或API。这种错误在使用领域驱动设计时非常昂贵。避免这种陷阱的关键是将设计与被建模的业务流程联系起来。这些中心概念确实在领域驱动设计中起着关键作用。但是它们的作用是作为Bounded Context的维护者和控制者（也就是：聚合），而不是Bounded Context本身。

发布/订阅消息使应用程序和生产者能够异步向订阅者发送事件，而这些生产者无需与发送者耦合。发送者（发布者）使用输入信道将事件打包成消息，然后发送消息。然后将这些消息发送到每个对消息感兴趣的消费者（订阅者）的输出消息信道。每个订阅者将从他们的输出信道中获得消息的副本。代表具有发布者-订阅模型的消息系统的流程图。从左侧开始，一个标记为’发布者’的矩形发送一条消息到一个标记为’输入信道’的矩形。然后，该信道将消息转发到一个标记为’消息代理’的中央矩形。

这种架构的目的是：使过程独立且以独特的方式管理，没有相互依赖，因此责任被划分和分权，这在分布式计算模式中非常常见。问题是孤立发生的，而且问题会被解决。在技术领域，没有完美的解决方案，关于可用性的问题将始终是相关的。微服务架构是否具有容错性？在这种情况下，答案是否定的。迁移不同架构不会完全解决所有容错问题。分布式计算架构只有在具有弹性及其模式作为构建本质时才可以被称为容错性。我们需要注意到分布式组件可能会发生故障，但在这种情况下，我们将预测故障并对其进行管理。

在这种情况下，依赖的消费者服务如何做出反应是非常重要的？理想情况下，期望是这些依赖服务具有强健的特性，能够优雅地处理此类问题。但如果它们不具有弹性，那么您将影响这些服务负责的功能的可用性。这就是我们在这篇博客中要讨论的内容 — 构建具有弹性的微服务的模式！！！

负载均衡器将传入的网络流量分发到多个服务器上，以确保没有单个服务器承载太大负载。通过有效地分散请求，它们提高了应用程序的容量和可靠性。

StackOverflow 逆着微服务趋势而行，使用极其高效的整体架构和最少的基础设施，平均延迟为 18 毫秒，在其 200 个站点中每月处理 13 亿次页面浏览量。我们作为架构师，在进行各种微服务架构的实践的同时，也需要学习借鉴各个成熟实践的精华。因此本文，我们将了解学习一下作为世界级流量最大之一的网站StackOverflow网站的架构设计。组件是整体式的意味着它们无法扩展，因此服务器必须使用给定的资源来管理所有负载”。每台服务器每秒处理 450 个峰值请求，CPU 使用率仅为 12%。

微服务架构严重依赖于服务之间的通信，这会影响系统的整体性能，并且通常需要工具来。大多数微服务都设计为通过 API 相互通信。延迟是数据从一点传输到另一点所需的时间。在 API 上下文中，它是 API 请求从客户端传输到服务器并返回响应所花费的时间。在微服务内处理 API 请求时，许多参数都会影响响应的整体延迟。其中包括网络延迟、处理时间、数据库访问时间以及作为满足 API 请求的一部分而执行的任何其他同步 API 调用。因此，减少 API 延迟至关重要，因为它直接影响微服务的响应能力和可扩展性。

有时需要创建像Azure Function App这样的特殊应用程序，以执行一些后台工作或作为无服务器架构的一部分。此应用程序需要部署（托管）在Azure App Service上 - 但作为Function App（因为Azure上的所有应用程序都作为App Service）。还有Azure DevOps服务，提供完整功能来开发应用程序，并通过CI/CD流程管理工作。Azure Repos用于Git存储库。Azure Pipelines用于构建和部署。Azure云托管应用程序。

在开发过程中，包含许多步骤，其中之一是交付部分 - 应用程序需要放置在某个地方，以供最终用户使用并运行并提供实际功能。这是DevOps文化和一般SDLC周期的一部分。这部分通常被称为构建和部署，或者更现代化的方式是CI（持续集成）和CD（持续交付）。主要思想是尽可能自动化这个过程，每当我们推送新代码时，构建和发布过程可以自动运行，以将更改交付到源位置。

本文将介绍如何在 AWS EC2 上运行 K3s。您将创建一个 EC2 实例并在 AWS 上运行单节点 K3s 集群。自托管的 K3s 允许您在裸金属上运行 Kubernetes，并应用较小、低资源工作负载的原则。哦，你还可以控制你的控制平面。这有点像逃离托管 Kubernetes 的黑匣子。K3s 让一个小公司开发产品的服务器成本更合理。

Portainer 是一个用于管理 Docker 环境的容器管理工具。它提供了直观的用户界面。通过 Portainer，你可以轻松部署、管理和监控容器和容器集群。Portainer 支持像 Docker Desktop、Docker Swarm 和 Kubernetes 这样的 Docker 环境。你现在有 WordPress CMS 与 Portainer 一起运行。如何设置 Portainer。使用 Portainer stack 运行 WordPress 和 MySQL。

Kubernetes定义了一个网络模型，以帮助在各种网络环境和网络实现中提供简单性和一致性。Kubernetes网络模型为理解Kubernetes中容器、Pod和服务之间的通信提供了基础。本指南解释了关键概念以及它们如何结合在一起。

GitHub在几种编程语言中表现最佳，包括Typescript、Javascript、Ruby、Python、GO、C#和C++。这是一个基于云的工具，可让您与团队配置、控制和维护代码库。GitHub支持的平台包括Windows、Linux、MacOS、Android和IOS。该工具适用于Web、Windows、MacOS、Android、IOS和Linux等多个平台。Microsoft Teams可用于Web、IOS、Android、Windows和MacOS，包括内置应用程序和集成。

敏捷指标也可以称为敏捷关键绩效指标。这些指标用于衡量您团队在[SDLC阶段]中的工作。它有助于识别流程的优势，并在早期阶段暴露问题。除此之外，敏捷指标还有助于涵盖不同方面，包括生产力、质量和团队健康。它促进团队的持续改进它有助于识别团队面临的挑战，并跟踪实现目标的进展它保持对敏捷开发的节奏它加快了产品交付到最终用户手中的时间它有助于避免有关带宽的猜测。

CI指的是推动软件开发团队自动且频繁地将代码更改集成到共享源代码存储库的实践。它帮助加快构建、打包和测试应用程序的流程。尽管自动化测试并不是CI的严格组成部分，但通常会隐含其中。通过这种方法，团队成员可以在新提交集成到新分支时检查应用程序是否出现故障。这使他们能够及早发现和修复质量问题，并获得快速反馈。这确保了软件产品尽快（每周、每天或每天多次 - 根据组织）发布给最终用户，并可以创建为他们提供价值的更多功能。

随着 Kubernetes 继续成为容器编排的基石，掌握其配置和特性变得对 DevOps 专业人员至关重要。在 2024 年，某些 Kubernetes 配置因其在云原生环境中增强自动化、安全性和性能的能力而脱颖而出。本博文深入探讨了 13 个关键的 Kubernetes 配置，提供了对每个配置的深入分析，包括使用案例、好处和代码示例。

作为一个 Kubernetes 专家，你可能已经听过这个并不那么秘密的秘密很多次 — Kubernetes Secrets 并不加密！ [Secret 的值是在 etcd 中存储的 base64 编码](https://kubernetes.io/docs/concepts/configuration/secret/#working-with-secrets) 字符串。这意味着任何能够访问您集群的人都可以轻松解码您的敏感数据。任何人？是的，几乎任何人都可以，特别是如果集群的 R

当您的 Kubernetes 集群需要接受来自外部的流量时，引入一个 Ingress 控制器来处理这个是一种典型的方法。它为您提供许多好处（成本、安全等）。Contour 是一个非常好的现代 Ingress 控制器的很好例子，性能出色且具有直观的 API。我强烈推荐使用它，希望这篇博文能帮助您了解 Contour！

GitOps是一种范式，利用Git作为基础设施和应用配置的单一真实来源。使用GitOps，系统的整个状态，包括Kubernetes清单，在Git存储库中被声明性描述和版本化。通过Git提交进行任何所需更改，实现透明、可审计和协作式管理基础设施的方法。FluxCD是一种专为Kubernetes设计的开源持续交付工具。它充当GitOps操作者，不断确保集群状态与Git存储库中指定的期望状态相匹配。自动同步：FluxCD监视Git存储库的更改，并自动同步集群以反映最新状态。

SAST工具通过分析应用程序的基础元素来工作，审查其代码库而无需执行应用程序。通过这种方式，SAST工具可以识别可能难以在不仔细审查系统的情况下发现的漏洞。在此级别上识别错误和漏洞还可以使解决过程更加高效；开发人员知道问题所在以及他们需要修复的问题。这导致了安全和有弹性的应用程序结构，节省了时间和资源，从长远来看，可能会用于解决安全事件。在本指南中，我们列出了可以帮助您的应用程序从最基本级别保护的前10个SAST工具。

随着我们逐渐接近2024年，DevOps和SRE领域不断发展，涌现出一系列旨在提高软件开发和运营效率、可伸缩性和可靠性的新一代工具。在本文中，我们将探讨一些最有前景的工具，它们正在塑造持续集成和部署、监控和可观测性、基础设施/应用平台、事件管理和警报、安全性以及图解的未来。所以，话不多说，让我们马上开始吧！

2024年，监视对现代DevOps团队的工作至关重要。DevOps团队需要可靠且灵活的工具，以有效监视和管理复杂系统，这些系统可以提供有关系统性能、可用性和安全性的实时见解。开源监控工具由于其成本效益、灵活性和社区支持而日益受到青睐。

[SonarQube](https://www.sonarqube.org/)是一个开源的代码质量检测工具。通常情况下，我们将其安装在一些中型实例上或在Docker中运行。在这里，我们使用的是AWS Fargate Serverless无服务器模型，这也是具有成本效益的。

使用AWS应用负载均衡器ALB和Azure AD OIDC简化SSO AWS应用负载均衡器支持一个我认为被低估的功能：在第7层进行请求认证（通过OIDC）。这使开发人员可以将几乎所有认证都保留在应用层代码之外。一个理想的用例可能是一个仅内部使用的Web应用程序，需要认证，但几乎不需要RBAC授权。ALB认证通过在监听器规则中定义认证操作来进行。ALB的认证操作将检查传入请求中是否存在会话cookie，然后检查其是否有效。如果会话cookie已设置且有效，则ALB将将请求路由到设置了头部的目标组。