• 关于

    数据分发管理错误如何解决

    的搜索结果

问题

【阿里云产品评测】个人WP站的云体验

cnsjw 2019-12-01 20:54:27 22207 浏览量 回答数 25

回答

在开始谈我对架构本质的理解之前,先谈谈对今天技术沙龙主题的个人见解,千万级规模的网站感觉数量级是非常大的,对这个数量级我们战略上 要重 视 它 , 战术上又 要 藐 视 它。先举个例子感受一下千万级到底是什么数量级?现在很流行的优步(Uber),从媒体公布的信息看,它每天接单量平均在百万左右, 假如每天有10个小时的服务时间,平均QPS只有30左右。对于一个后台服务器,单机的平均QPS可以到达800-1000,单独看写的业务量很简单 。为什么我们又不能说轻视它?第一,我们看它的数据存储,每天一百万的话,一年数据量的规模是多少?其次,刚才说的订单量,每一个订单要推送给附近的司机、司机要并发抢单,后面业务场景的访问量往往是前者的上百倍,轻松就超过上亿级别了。 今天我想从架构的本质谈起之后,希望大家理解在做一些建构设计的时候,它的出发点以及它解决的问题是什么。 架构,刚开始的解释是我从知乎上看到的。什么是架构?有人讲, 说架构并不是一 个很 悬 乎的 东西 , 实际 上就是一个架子 , 放一些 业务 和算法,跟我们的生活中的晾衣架很像。更抽象一点,说架构其 实 是 对 我 们 重复性业务 的抽象和我 们 未来 业务 拓展的前瞻,强调过去的经验和你对整个行业的预见。 我们要想做一个架构的话需要哪些能力?我觉得最重要的是架构师一个最重要的能力就是你要有 战 略分解能力。这个怎么来看呢: 第一,你必须要有抽象的能力,抽象的能力最基本就是去重,去重在整个架构中体现在方方面面,从定义一个函数,到定义一个类,到提供的一个服务,以及模板,背后都是要去重提高可复用率。 第二, 分类能力。做软件需要做对象的解耦,要定义对象的属性和方法,做分布式系统的时候要做服务的拆分和模块化,要定义服务的接口和规范。 第三, 算法(性能),它的价值体现在提升系统的性能,所有性能的提升,最终都会落到CPU,内存,IO和网络这4大块上。 这一页PPT举了一些例子来更深入的理解常见技术背后的架构理念。 第一个例子,在分布式系统我们会做 MySQL分 库 分表,我们要从不同的库和表中读取数据,这样的抽象最直观就是使用模板,因为绝大多数SQL语义是相同的,除了路由到哪个库哪个表,如果不使用Proxy中间件,模板就是性价比最高的方法。 第二看一下加速网络的CDN,它是做速度方面的性能提升,刚才我们也提到从CPU、内存、IO、网络四个方面来考虑,CDN本质上一个是做网络智能调度优化,另一个是多级缓存优化。 第三个看一下服务化,刚才已经提到了,各个大网站转型过程中一定会做服务化,其实它就是做抽象和做服务的拆分。第四个看一下消息队列,本质上还是做分类,只不过不是两个边际清晰的类,而是把两个边际不清晰的子系统通过队列解构并且异步化。新浪微博整体架构是什么样的 接下我们看一下微博整体架构,到一定量级的系统整个架构都会变成三层,客户端包括WEB、安卓和IOS,这里就不说了。接着还都会有一个接口层, 有三个主要作用: 第一个作用,要做 安全隔离,因为前端节点都是直接和用户交互,需要防范各种恶意攻击; 第二个还充当着一个 流量控制的作用,大家知道,在2014年春节的时候,微信红包,每分钟8亿多次的请求,其实真正到它后台的请求量,只有十万左右的数量级(这里的数据可能不准),剩余的流量在接口层就被挡住了; 第三,我们看对 PC 端和移 动 端的需求不一样的,所以我们可以进行拆分。接口层之后是后台,可以看到微博后台有三大块: 一个是 平台服 务, 第二, 搜索, 第三, 大数据。到了后台的各种服务其实都是处理的数据。 像平台的业务部门,做的就是 数据存储和读 取,对搜索来说做的是 数据的 检 索,对大数据来说是做的数据的 挖掘。微博其实和淘宝是很类似 微博其实和淘宝是很类似的。一般来说,第一代架构,基本上能支撑到用户到 百万 级别,到第二代架构基本能支撑到 千万 级别都没什么问题,当业务规模到 亿级别时,需要第三代的架构。 从 LAMP 的架构到面向服 务 的架构,有几个地方是非常难的,首先不可能在第一代基础上通过简单的修修补补满足用户量快速增长的,同时线上业务又不能停, 这是我们常说的 在 飞 机上 换 引擎的 问题。前两天我有一个朋友问我,说他在内部推行服务化的时候,把一个模块服务化做完了,其他部门就是不接。我建议在做服务化的时候,首先更多是偏向业务的梳理,同时要找准一个很好的切入点,既有架构和服务化上的提升,业务方也要有收益,比如提升性能或者降低维护成本同时升级过程要平滑,建议开始从原子化服务切入,比如基础的用户服务, 基础的短消息服务,基础的推送服务。 第二,就是可 以做无状 态 服 务,后面会详细讲,还有数据量大了后需要做数据Sharding,后面会将。 第三代 架构 要解决的 问题,就是用户量和业务趋于稳步增加(相对爆发期的指数级增长),更多考虑技术框架的稳定性, 提升系统整体的性能,降低成本,还有对整个系统监控的完善和升级。 大型网站的系统架构是如何演变的 我们通过通过数据看一下它的挑战,PV是在10亿级别,QPS在百万,数据量在千亿级别。我们可用性,就是SLA要求4个9,接口响应最多不能超过150毫秒,线上所有的故障必须得在5分钟内解决完。如果说5分钟没处理呢?那会影响你年终的绩效考核。2015年微博DAU已经过亿。我们系统有上百个微服务,每周会有两次的常规上线和不限次数的紧急上线。我们的挑战都一样,就是数据量,bigger and bigger,用户体验是faster and faster,业务是more and more。互联网业务更多是产品体验驱动, 技 术 在 产 品 体验上最有效的贡献 , 就是你的性能 越来越好 。 每次降低加载一个页面的时间,都可以间接的降低这个页面上用户的流失率。微博的技术挑战和正交分解法解析架构 下面看一下 第三代的 架构 图 以及 我 们 怎么用正交分解法 阐 述。 我们可以看到我们从两个维度,横轴和纵轴可以看到。 一个 维 度 是 水平的 分层 拆分,第二从垂直的维度会做拆分。水平的维度从接口层、到服务层到数据存储层。垂直怎么拆分,会用业务架构、技术架构、监控平台、服务治理等等来处理。我相信到第二代的时候很多架构已经有了业务架构和技术架构的拆分。我们看一下, 接口层有feed、用户关系、通讯接口;服务层,SOA里有基层服务、原子服务和组合服务,在微博我们只有原子服务和组合服务。原子服务不依赖于任何其他服务,组合服务由几个原子服务和自己的业务逻辑构建而成 ,资源层负责海量数据的存储(后面例子会详细讲)。技 术框架解决 独立于 业务 的海量高并发场景下的技术难题,由众多的技术组件共同构建而成 。在接口层,微博使用JERSY框架,帮助你做参数的解析,参数的验证,序列化和反序列化;资源层,主要是缓存、DB相关的各类组件,比如Cache组件和对象库组件。监 控平台和服 务 治理 , 完成系统服务的像素级监控,对分布式系统做提前诊断、预警以及治理。包含了SLA规则的制定、服务监控、服务调用链监控、流量监控、错误异常监控、线上灰度发布上线系统、线上扩容缩容调度系统等。 下面我们讲一下常见的设计原则。 第一个,首先是系统架构三个利器: 一个, 我 们 RPC 服 务组 件 (这里不讲了), 第二个,我们 消息中 间 件 。消息中间件起的作用:可以把两个模块之间的交互异步化,其次可以把不均匀请求流量输出为匀速的输出流量,所以说消息中间件 异步化 解耦 和流量削峰的利器。 第三个是配置管理,它是 代码级灰度发布以及 保障系统降级的利器。 第二个 , 无状态 , 接口 层 最重要的就是无状 态。我们在电商网站购物,在这个过程中很多情况下是有状态的,比如我浏览了哪些商品,为什么大家又常说接口层是无状态的,其实我们把状态从接口层剥离到了数据层。像用户在电商网站购物,选了几件商品,到了哪一步,接口无状态后,状态要么放在缓存中,要么放在数据库中, 其 实 它并不是没有状 态 , 只是在 这 个 过 程中我 们 要把一些有状 态 的 东 西抽离出来 到了数据层。 第三个, 数据 层 比服 务层 更需要 设计,这是一条非常重要的经验。对于服务层来说,可以拿PHP写,明天你可以拿JAVA来写,但是如果你的数据结构开始设计不合理,将来数据结构的改变会花费你数倍的代价,老的数据格式向新的数据格式迁移会让你痛不欲生,既有工作量上的,又有数据迁移跨越的时间周期,有一些甚至需要半年以上。 第四,物理结构与逻辑结构的映射,上一张图看到两个维度切成十二个区间,每个区间代表一个技术领域,这个可以看做我们的逻辑结构。另外,不论后台还是应用层的开发团队,一般都会分几个垂直的业务组加上一个基础技术架构组,这就是从物理组织架构到逻辑的技术架构的完美的映射,精细化团队分工,有利于提高沟通协作的效率 。 第五, www .sanhao.com 的访问过程,我们这个架构图里没有涉及到的,举个例子,比如当你在浏览器输入www.sanhao网址的时候,这个请求在接口层之前发生了什么?首先会查看你本机DNS以及DNS服务,查找域名对应的IP地址,然后发送HTTP请求过去。这个请求首先会到前端的VIP地址(公网服务IP地址),VIP之后还要经过负载均衡器(Nginx服务器),之后才到你的应用接口层。在接口层之前发生了这么多事,可能有用户报一个问题的时候,你通过在接口层查日志根本发现不了问题,原因就是问题可能发生在到达接口层之前了。 第六,我们说分布式系统,它最终的瓶颈会落在哪里呢?前端时间有一个网友跟我讨论的时候,说他们的系统遇到了一个瓶颈, 查遍了CPU,内存,网络,存储,都没有问题。我说你再查一遍,因为最终你不论用上千台服务器还是上万台服务器,最终系统出瓶颈的一定会落在某一台机(可能是叶子节点也可能是核心的节点),一定落在CPU、内存、存储和网络上,最后查出来问题出在一台服务器的网卡带宽上。微博多级双机房缓存架构 接下来我们看一下微博的Feed多级缓存。我们做业务的时候,经常很少做业务分析,技术大会上的分享又都偏向技术架构。其实大家更多的日常工作是需要花费更多时间在业务优化上。这张图是统计微博的信息流前几页的访问比例,像前三页占了97%,在做缓存设计的时候,我们最多只存最近的M条数据。 这里强调的就是做系统设计 要基于用 户 的 场 景 , 越细致越好 。举了一个例子,大家都会用电商,电商在双十一会做全国范围内的活动,他们做设计的时候也会考虑场景的,一个就是购物车,我曾经跟相关开发讨论过,购物车是在双十一之前用户的访问量非常大,就是不停地往里加商品。在真正到双十一那天他不会往购物车加东西了,但是他会频繁的浏览购物车。针对这个场景,活动之前重点设计优化购物车的写场景, 活动开始后优化购物车的读场景。 你看到的微博是由哪些部分聚合而成的呢?最右边的是Feed,就是微博所有关注的人,他们的微博所组成的。微博我们会按照时间顺序把所有关注人的顺序做一个排序。随着业务的发展,除了跟时间序相关的微博还有非时间序的微博,就是会有广告的要求,增加一些广告,还有粉丝头条,就是拿钱买的,热门微博,都会插在其中。分发控制,就是说和一些推荐相关的,我推荐一些相关的好友的微博,我推荐一些你可能没有读过的微博,我推荐一些其他类型的微博。 当然对非时序的微博和分发控制微博,实际会起多个并行的程序来读取,最后同步做统一的聚合。这里稍微分享一下, 从SNS社交领域来看,国内现在做的比较好的三个信息流: 微博 是 基于弱关系的媒体信息流 ; 朋友圈是基于 强 关系的信息流 ; 另外一个做的比 较 好的就是今日 头 条 , 它并不是基于关系来构建信息流 , 而是基于 兴趣和相关性的个性化推荐 信息流 。 信息流的聚合,体现在很多很多的产品之中,除了SNS,电商里也有信息流的聚合的影子。比如搜索一个商品后出来的列表页,它的信息流基本由几部分组成:第一,打广告的;第二个,做一些推荐,热门的商品,其次,才是关键字相关的搜索结果。 信息流 开始的时候 很 简单 , 但是到后期会 发现 , 你的 这 个流 如何做控制分发 , 非常复杂, 微博在最近一两年一直在做 这样 的工作。刚才我们是从业务上分析,那么技术上怎么解决高并发,高性能的问题?微博访问量很大的时候,底层存储是用MySQL数据库,当然也会有其他的。对于查询请求量大的时候,大家知道一定有缓存,可以复用可重用的计算结果。可以看到,发一条微博,我有很多粉丝,他们都会来看我发的内容,所以 微博是最适合使用 缓 存 的系统,微博的读写比例基本在几十比一。微博使用了 双 层缓 存,上面是L1,每个L1上都是一组(包含4-6台机器),左边的框相当于一个机房,右边又是一个机房。在这个系统中L1缓存所起的作用是什么? 首先,L1 缓 存增加整个系 统 的 QPS, 其次 以低成本灵活扩容的方式 增加 系统 的 带宽 。想象一个极端场景,只有一篇博文,但是它的访问量无限增长,其实我们不需要影响L2缓存,因为它的内容存储的量小,但它就是访问量大。这种场景下,你就需要使用L1来扩容提升QPS和带宽瓶颈。另外一个场景,就是L2级缓存发生作用,比如我有一千万个用户,去访问的是一百万个用户的微博 ,这个时候,他不只是说你的吞吐量和访问带宽,就是你要缓存的博文的内容也很多了,这个时候你要考虑缓存的容量, 第二 级缓 存更多的是从容量上来 规划,保证请求以较小的比例 穿透到 后端的 数据 库 中 ,根据你的用户模型你可以估出来,到底有百分之多少的请求不能穿透到DB, 评估这个容量之后,才能更好的评估DB需要多少库,需要承担多大的访问的压力。另外,我们看双机房的话,左边一个,右边一个。 两个机房是互 为 主 备 , 或者互 为热备 。如果两个用户在不同地域,他们访问两个不同机房的时候,假设用户从IDC1过来,因为就近原理,他会访问L1,没有的话才会跑到Master,当在IDC1没找到的时候才会跑到IDC2来找。同时有用户从IDC2访问,也会有请求从L1和Master返回或者到IDC1去查找。 IDC1 和 IDC2 ,两个机房都有全量的用户数据,同时在线提供服务,但是缓存查询又遵循最近访问原理。还有哪些多级缓存的例子呢?CDN是典型的多级缓存。CDN在国内各个地区做了很多节点,比如在杭州市部署一个节点时,在机房里肯定不止一台机器,那么对于一个地区来说,只有几台服务器到源站回源,其他节点都到这几台服务器回源即可,这么看CDN至少也有两级。Local Cache+ 分布式 缓 存,这也是常见的一种策略。有一种场景,分布式缓存并不适用, 比如 单 点 资 源 的爆发性峰值流量,这个时候使用Local Cache + 分布式缓存,Local Cache 在 应用 服 务 器 上用很小的 内存资源 挡住少量的 极端峰值流量,长尾的流量仍然访问分布式缓存,这样的Hybrid缓存架构通过复用众多的应用服务器节点,降低了系统的整体成本。 我们来看一下 Feed 的存 储 架构,微博的博文主要存在MySQL中。首先来看内容表,这个比较简单,每条内容一个索引,每天建一张表,其次看索引表,一共建了两级索引。首先想象一下用户场景,大部分用户刷微博的时候,看的是他关注所有人的微博,然后按时间来排序。仔细分析发现在这个场景下, 跟一个用户的自己的相关性很小了。所以在一级索引的时候会先根据关注的用户,取他们的前条微博ID,然后聚合排序。我们在做哈希(分库分表)的时候,同时考虑了按照UID哈希和按照时间维度。很业务和时间相关性很高的,今天的热点新闻,明天就没热度了,数据的冷热非常明显,这种场景就需要按照时间维度做分表,首先冷热数据做了分离(可以对冷热数据采用不同的存储方案来降低成本),其次, 很容止控制我数据库表的爆炸。像微博如果只按照用户维度区分,那么这个用户所有数据都在一张表里,这张表就是无限增长的,时间长了查询会越来越慢。二级索引,是我们里面一个比较特殊的场景,就是我要快速找到这个人所要发布的某一时段的微博时,通过二级索引快速定位。 分布式服务追踪系统 分布式追踪服务系统,当系统到千万级以后的时候,越来越庞杂,所解决的问题更偏向稳定性,性能和监控。刚才说用户只要有一个请求过来,你可以依赖你的服务RPC1、RPC2,你会发现RPC2又依赖RPC3、RPC4。分布式服务的时候一个痛点,就是说一个请求从用户过来之后,在后台不同的机器之间不停的调用并返回。 当你发现一个问题的时候,这些日志落在不同的机器上,你也不知道问题到底出在哪儿,各个服务之间互相隔离,互相之间没有建立关联。所以导致排查问题基本没有任何手段,就是出了问题没法儿解决。 我们要解决的问题,我们刚才说日志互相隔离,我们就要把它建立联系。建立联系我们就有一个请求ID,然后结合RPC框架, 服务治理功能。假设请求从客户端过来,其中包含一个ID 101,到服务A时仍然带有ID 101,然后调用RPC1的时候也会标识这是101 ,所以需要 一个唯一的 请求 ID 标识 递归迭代的传递到每一个 相关 节点。第二个,你做的时候,你不能说每个地方都加,对业务系统来说需要一个框架来完成这个工作, 这 个框架要 对业务 系 统 是最低侵入原 则 , 用 JAVA 的 话 就可以用 AOP,要做到零侵入的原则,就是对所有相关的中间件打点,从接口层组件(HTTP Client、HTTP Server)至到服务层组件(RPC Client、RPC Server),还有数据访问中间件的,这样业务系统只需要少量的配置信息就可以实现全链路监控 。为什么要用日志?服务化以后,每个服务可以用不同的开发语言, 考虑多种开发语言的兼容性 , 内部定 义标 准化的日志 是唯一且有效的办法。最后,如何构建基于GPS导航的路况监控?我们刚才讲分布式服务追踪。分布式服务追踪能解决的问题, 如果 单一用 户发现问题 后 , 可以通 过请 求 ID 快速找到 发 生 问题 的 节 点在什么,但是并没有解决如何发现问题。我们看现实中比较容易理解的道路监控,每辆车有GPS定位,我想看北京哪儿拥堵的时候,怎么做? 第一个 , 你肯定要知道每个 车 在什么位置,它走到哪儿了。其实可以说每个车上只要有一个标识,加上每一次流动的信息,就可以看到每个车流的位置和方向。 其次如何做 监 控和 报 警,我们怎么能了解道路的流量状况和负载,并及时报警。我们要定义这条街道多宽多高,单位时间可以通行多少辆车,这就是道路的容量。有了道路容量,再有道路的实时流量,我们就可以基于实习路况做预警? 对应于 分布式系 统 的话如何构建? 第一 , 你要 定义 每个服 务节 点它的 SLA A 是多少 ?SLA可以从系统的CPU占用率、内存占用率、磁盘占用率、QPS请求数等来定义,相当于定义系统的容量。 第二个 , 统计 线 上 动态 的流量,你要知道服务的平均QPS、最低QPS和最大QPS,有了流量和容量,就可以对系统做全面的监控和报警。 刚才讲的是理论,实际情况肯定比这个复杂。微博在春节的时候做许多活动,必须保障系统稳定,理论上你只要定义容量和流量就可以。但实际远远不行,为什么?有技术的因素,有人为的因素,因为不同的开发定义的流量和容量指标有主观性,很难全局量化标准,所以真正流量来了以后,你预先评估的系统瓶颈往往不正确。实际中我们在春节前主要采取了三个措施:第一,最简单的就是有降 级 的 预 案,流量超过系统容量后,先把哪些功能砍掉,需要有明确的优先级 。第二个, 线上全链路压测,就是把现在的流量放大到我们平常流量的五倍甚至十倍(比如下线一半的服务器,缩容而不是扩容),看看系统瓶颈最先发生在哪里。我们之前有一些例子,推测系统数据库会先出现瓶颈,但是实测发现是前端的程序先遇到瓶颈。第三,搭建在线 Docker 集群 , 所有业务共享备用的 Docker集群资源,这样可以极大的避免每个业务都预留资源,但是实际上流量没有增长造成的浪费。 总结 接下来说的是如何不停的学习和提升,这里以Java语言为例,首先, 一定要 理解 JAVA;第二步,JAVA完了以后,一定要 理 解 JVM;其次,还要 理解 操作系统;再次还是要了解一下 Design Pattern,这将告诉你怎么把过去的经验抽象沉淀供将来借鉴;还要学习 TCP/IP、 分布式系 统、数据结构和算法。

hiekay 2019-12-02 01:39:25 0 浏览量 回答数 0

回答

服务器和操作系统 1、主板的两个芯片分别是什么芯片,具备什么作用? 北桥:离CPU近,负责CPU、内存、显卡之间的通信。 南桥:离CPU远,负责I/O总线之间的通信。 2、什么是域和域控制器? 将网络中的计算机逻辑上组织到一起,进行集中管理,这种集中管理的环境称为域。 在域中,至少有一台域控制器,域控制器中保存着整个域的用户账号和安全数据,安装了活动目录的一台计算机为域控制器,域管理员可以控制每个域用户的行为。 3、现在有300台虚拟机在云上,你如何进行管理? 1)设定堡垒机,使用统一账号登录,便于安全与登录的考量。 2)使用ansiable、puppet进行系统的统一调度与配置的统一管理。 3)建立简单的服务器的系统、配置、应用的cmdb信息管理。便于查阅每台服务器上的各种信息记录。 4、简述raid0 raid1 raid5 三种工作模式的工作原理及特点 磁盘冗余阵列(Redundant Arrays of Independent Disks,RAID),把硬盘整合成一个大磁盘,在大磁盘上再分区,存放数据、多块盘放在一起可以有冗余(备份)。 RAID整合方式有很多,常用的:0 1 5 10 RAID 0:可以是一块盘和N个盘组合 优点:读写快,是RAID中最好的 缺点:没有冗余,一块坏了数据就全没有了 RAID 1:只能2块盘,盘的大小可以不一样,以小的为准 10G+10G只有10G,另一个做备份。它有100%的冗余,缺点:浪费资源,成本高 RAID 5 :3块盘,容量计算10*(n-1),损失一块盘 特点:读写性能一般,读还好一点,写不好 总结: 冗余从好到坏:RAID1 RAID10 RAID 5 RAID0 性能从好到坏:RAID0 RAID10 RAID5 RAID1 成本从低到高:RAID0 RAID5 RAID1 RAID10 5、linux系统里,buffer和cache如何区分? buffer和cache都是内存中的一块区域,当CPU需要写数据到磁盘时,由于磁盘速度比较慢,所以CPU先把数据存进buffer,然后CPU去执行其他任务,buffer中的数据会定期写入磁盘;当CPU需要从磁盘读入数据时,由于磁盘速度比较慢,可以把即将用到的数据提前存入cache,CPU直接从Cache中拿数据要快的多。 6、主机监控如何实现? 数据中心可以用zabbix(也可以是nagios或其他)监控方案,zabbix图形界面丰富,也自带很多监控模板,特别是多个分区、多个网卡等自动发现并进行监控做得非常不错,不过需要在每台客户机(被监控端)安装zabbix agent。 如果在公有云上,可以使用云监控来监控主机的运行。 网络 7、主机与主机之间通讯的三要素有什么? IP地址、子网掩码、IP路由 8、TCP和UDP都可以实现客户端/服务端通信,这两个协议有何区别? TCP协议面向连接、可靠性高、适合传输大量数据;但是需要三次握手、数据补发等过程,耗时长、通信延迟大。 UDP协议面向非连接、可靠性低、适合传输少量数据;但是连接速度快、耗时短、延迟小。 9、简述TCP协议三次握手和四次分手以及数据传输过程 三次握手: (1)当主机A想同主机B建立连接,主机A会发送SYN给主机B,初始化序列号seq=x。主机A通过向主机B发送SYS报文段,实现从主机A到主机B的序列号同步,即确定seq中的x。 (2)主机B接收到报文后,同意与A建立连接,会发送SYN、ACK给主机A。初始化序列号seq=y,确认序号ack=x+1。主机B向主机A发送SYN报文的目的是实现从主机B到主机A的序列号同步,即确定seq中的y。 (3)主机A接收到主机B发送过来的报文后,会发送ACK给主机B,确认序号ack=y+1,建立连接完成,传输数据。 四次分手: (1)当主机A的应用程序通知TCP数据已经发送完毕时,TCP向主机B发送一个带有FIN附加标记的报文段,初始化序号seq=x。 (2)主机B收到这个FIN报文段,并不立即用FIN报文段回复主机A,而是想主机A发送一个确认序号ack=x+1,同时通知自己的应用程序,对方要求关闭连接(先发ack是防止主机A重复发送FIN报文)。 (3)主机B发送完ack确认报文后,主机B 的应用程序通知TCP我要关闭连接,TCP接到通知后会向主机A发送一个带有FIN附加标记的报文段,初始化序号seq=x,ack=x+1。 (4)主机A收到这个FIN报文段,向主机B发送一个ack确认报文,ack=y+1,表示连接彻底释放。 10、SNAT和DNAT的区别 SNAT:内部地址要访问公网上的服务时(如web访问),内部地址会主动发起连接,由路由器或者防火墙上的网关对内部地址做个地址转换,将内部地址的私有IP转换为公网的公有IP,网关的这个地址转换称为SNAT,主要用于内部共享IP访问外部。 DNAT:当内部需要提供对外服务时(如对外发布web网站),外部地址发起主动连接,由路由器或者防火墙上的网关接收这个连接,然后将连接转换到内部,此过程是由带有公网IP的网关替代内部服务来接收外部的连接,然后在内部做地址转换,此转换称为DNAT,主要用于内部服务对外发布。 数据库 11、叙述数据的强一致性和最终一致性 强一致性:在任何时刻所有的用户或者进程查询到的都是最近一次成功更新的数据。强一致性是程度最高一致性要求,也是最难实现的。关系型数据库更新操作就是这个案例。 最终一致性:和强一致性相对,在某一时刻用户或者进程查询到的数据可能都不同,但是最终成功更新的数据都会被所有用户或者进程查询到。当前主流的nosql数据库都是采用这种一致性策略。 12、MySQL的主从复制过程是同步的还是异步的? 主从复制的过程是异步的复制过程,主库完成写操作并计入binlog日志中,从库再通过请求主库的binlog日志写入relay中继日志中,最后再执行中继日志的sql语句。 **13、MySQL主从复制的优点 ** 如果主服务器出现问题,可以快速切换到从服务器提供的服务; 可以在从服务器上执行查询操作,降低主服务器的访问压力; 可以在从服务器上执行备份,以避免备份期间影响主服务器的服务。 14、redis有哪些数据类型? (一)String 最常规的set/get操作,value可以是String也可以是数字。一般做一些复杂的计数功能的缓存。 (二)hash 这里value存放的是结构化的对象,比较方便的就是操作其中的某个字段。做单点登录的时候,就是用这种数据结构存储用户信息,以cookieId作为key,设置30分钟为缓存过期时间,能很好的模拟出类似session的效果。 (三)list 使用List的数据结构,可以做简单的消息队列的功能。另外还有一个就是,可以利用lrange命令,做基于redis的分页功能,性能极佳,用户体验好。 (四)set 因为set堆放的是一堆不重复值的集合。所以可以做全局去重的功能。为什么不用JVM自带的Set进行去重?因为我们的系统一般都是集群部署,使用JVM自带的Set,比较麻烦,难道为了一个做一个全局去重,再起一个公共服务,太麻烦了。 另外,就是利用交集、并集、差集等操作,可以计算共同喜好,全部的喜好,自己独有的喜好等功能。 (五)Zset Zset多了一个权重参数score,集合中的元素能够按score进行排列。可以做排行榜应用,取TOP N操作。另外,sorted set可以用来做延时任务。最后一个应用就是可以做范围查找。 15、叙述分布式数据库及其使用场景? 分布式数据库应该是数据访问对应用透明,每个分片默认采用主备架构,提供灾备、恢复、监控、不停机扩容等整套解决方案,适用于TB或PB级的海量数据场景。 应用 16、Apache、Nginx、Lighttpd都有哪些特点? Apache特点:1)几乎可以运行在所有的计算机平台上;2)支持最新的http/1.1协议;3)简单而且强有力的基于文件的配置(httpd.conf);4)支持通用网关接口(cgi);5)支持虚拟主机;6)支持http认证,7)集成perl;8)集成的代理服务器;9)可以通过web浏览器监视服务器的状态,可以自定义日志;10)支持服务器端包含命令(ssi);11)支持安全socket层(ssl);12)具有用户绘画过程的跟踪能力;13)支持fastcgi;14)支持java servlets Nginx特点:nginx是一个高性能的HTTP和反向代理服务器,同时也是一个IMAP/POP3/SMTP代理服务器,处理静态文件,索引文件以及自动索引,无缓存的反向代理加速,简单的负载均衡和容错,具有很高的稳定性,支持热部署。 Lighttpd特点:是一个具有非常低的内存开销,CPU占用率低,效能好,以及丰富的模块,Lighttpd是众多opensource轻量级的webserver中较为优秀的一个,支持fastcgi,cgi,auth,输出压缩,url重写,alias等重要功能。 17、LVS、NGINX、HAPROXY的优缺点? LVS优点:具有很好的可伸缩性、可靠性、可管理性。抗负载能力强、对内存和CPU资源消耗比较低。工作在四层上,仅作分发,所以它几乎可以对所有的应用做负载均衡,且没有流量的产生,不会受到大流量的影响。 LVS缺点:软件不支持正则表达式处理,不能做动静分离,如果web应用比较庞大,LVS/DR+KEEPALIVED实施和管理比较复杂。相对而言,nginx和haproxy就简单得多。 nginx优点:工作在七层之上,可以针对http应用做一些分流的策略。比如针对域名、目录结构。它的正则规则比haproxy更为强大和灵活。对网络稳定性依赖非常小。理论上能PING就能进行负载均衡。配置和测试简单,可以承担高负载压力且稳定。nginx可以通过端口检测到服务器内部的故障。比如根据服务器处理网页返回的状态码、超时等。并且可以将返回错误的请求重新发送给另一个节点,同时nginx不仅仅是负载均衡器/反向代理软件。同时也是功能强大的web服务器,可以作为中层反向代理、静态网页和图片服务器使用。 nginx缺点:不支持URL检测,仅支持HTTP和EMAIL,对session的保持,cookie的引导能力相对欠缺。 Haproxy优点:支持虚拟主机、session的保持、cookie的引导;同时支持通过获取指定的url来检测后端服务器的状态。支持TCP协议的负载均衡;单纯从效率上讲比nginx更出色,且负载策略非常多。 aproxy缺点:扩展性能差;添加新功能很费劲,对不断扩展的新业务很难对付。 18、什么是中间件?什么是jdk? 中间件介绍: 中间件是一种独立的系统软件或服务程序,分布式应用软件借助这种软件在不同的技术之间共享资源 中间件位于客户机/ 服务器的操作系统之上,管理计算机资源和网络通讯 是连接两个独立应用程序或独立系统的软件。相连接的系统,即使它们具有不同的接口 但通过中间件相互之间仍能交换信息。执行中间件的一个关键途径是信息传递 通过中间件,应用程序可以工作于多平台或OS环境。 jdk:jdk是Java的开发工具包 它是一种用于构建在 Java 平台上发布的应用程序、applet 和组件的开发环境 19、日志收集、日志检索、日志展示的常用工具有哪些? ELK或EFK。 Logstash:数据收集处理引擎。支持动态的从各种数据源搜集数据,并对数据进行过滤、分析、丰富、统一格式等操作,然后存储以供后续使用。 Kibana:可视化化平台。它能够搜索、展示存储在 Elasticsearch 中索引数据。使用它可以很方便的用图表、表格、地图展示和分析数据。 Elasticsearch:分布式搜索引擎。具有高可伸缩、高可靠、易管理等特点。可以用于全文检索、结构化检索和分析,并能将这三者结合起来。Elasticsearch 基于 Lucene 开发,现在使用最广的开源搜索引擎之一,Wikipedia 、StackOverflow、Github 等都基于它来构建自己的搜索引擎。 Filebeat:轻量级数据收集引擎。基于原先 Logstash-fowarder 的源码改造出来。换句话说:Filebeat就是新版的 Logstash-fowarder,逐渐取代其位置。 20、什么是蓝绿发布和灰度发布? 蓝绿:旧版本-新版本 灰度:新旧版本各占一定比例,比例可自定义 两种发布都通过devops流水线实现

剑曼红尘 2020-03-23 15:51:44 0 浏览量 回答数 0

Quick BI 数据可视化分析平台

2020年入选全球Gartner ABI魔力象限,为中国首个且唯一入选BI产品

回答

HTTPS基本原理 一、http为什么不安全。 http协议没有任何的加密以及身份验证的机制,非常容易遭遇窃听、劫持、篡改,因此会造成个人隐私泄露,恶意的流量劫持等严重的安全问题。 国外很多网站都支持了全站https,国内方面目前百度已经在年初完成了搜索的全站https,其他大型的网站也在跟进中,百度最先完成全站https的最大原因就是百度作为国内最大的流量入口,劫持也必然是首当其冲的,造成的有形的和无形的损失也就越大。关于流量劫持问题,我在另一篇文章中也有提到,基本上是互联网企业的共同难题,https也是目前公认的比较好的解决方法。但是https也会带来很多性能以及访问速度上的牺牲,很多互联网公司在做大的时候都会遇到这个问题:https成本高,速度又慢,规模小的时候在涉及到登录和交易用上就够了,做大以后遇到信息泄露和劫持,想整体换,代价又很高。 2、https如何保证安全 要解决上面的问题,就要引入加密以及身份验证的机制。 这时我们引入了非对称加密的概念,我们知道非对称加密如果是公钥加密的数据私钥才能解密,所以我只要把公钥发给你,你就可以用这个公钥来加密未来我们进行数据交换的秘钥,发给我时,即使中间的人截取了信息,也无法解密,因为私钥在我这里,只有我才能解密,我拿到你的信息后用私钥解密后拿到加密数据用的对称秘钥,通过这个对称密钥来进行后续的数据加密。除此之外,非对称加密可以很好的管理秘钥,保证每次数据加密的对称密钥都是不相同的。 但是这样似乎还不够,如果中间人在收到我的给你公钥后并没有发给你,而是自己伪造了一个公钥发给你,这是你把对称密钥用这个公钥加密发回经过中间人,他可以用私钥解密并拿到对称密钥,此时他在把此对称密钥用我的公钥加密发回给我,这样中间人就拿到了对称密钥,可以解密传输的数据了。为了解决此问题,我们引入了数字证书的概念。我首先生成公私钥,将公钥提供给相关机构(CA),CA将公钥放入数字证书并将数字证书颁布给我,此时我就不是简单的把公钥给你,而是给你一个数字证书,数字证书中加入了一些数字签名的机制,保证了数字证书一定是我给你的。 所以综合以上三点: 非对称加密算法(公钥和私钥)交换秘钥 + 数字证书验证身份(验证公钥是否是伪造的) + 利用秘钥对称加密算法加密数据 = 安全 3、https协议简介 为什么是协议简介呢。因为https涉及的东西实在太多了,尤其是一些加密算法,非常的复杂,对于这些算法面的东西就不去深入研究了,这部分仅仅是梳理一下一些关于https最基本的原理,为后面分解https的连接建立以及https优化等内容打下理论基础。 3.1 对称加密算法 对称加密是指加密和解密使用相同密钥的加密算法。它要求发送方和接收方在安全通信之前,商定一个密钥。对称算法的安全性依赖于密钥,泄漏密钥就意味着任何人都可以对他们发送或接收的消息解密,所以密钥的保密性对通信至关重要。 对称加密又分为两种模式:流加密和分组加密。 流加密是将消息作为位流对待,并且使用数学函数分别作用在每一个位上,使用流加密时,每加密一次,相同的明文位会转换成不同的密文位。流加密使用了密钥流生成器,它生成的位流与明文位进行异或,从而生成密文。现在常用的就是RC4,不过RC4已经不再安全,微软也建议网络尽量不要使用RC4流加密。 分组加密是将消息划分为若干位分组,这些分组随后会通过数学函数进行处理,每次一个分组。假设需要加密发生给对端的消息,并且使用的是64位的分组密码,此时如果消息长度为640位,就会被划分成10个64位的分组,每个分组都用一系列数学公式公式进行处理,最后得到10个加密文本分组。然后,将这条密文消息发送给对端。对端必须拥有相同的分组密码,以相反的顺序对10个密文分组使用前面的算法解密,最终得到明文的消息。比较常用的分组加密算法有DES、3DES、AES。其中DES是比较老的加密算法,现在已经被证明不安全。而3DES是一个过渡的加密算法,相当于在DES基础上进行三重运算来提高安全性,但其本质上还是和DES算法一致。而AES是DES算法的替代算法,是现在最安全的对称加密算法之一。分组加密算法除了算法本身外还存在很多种不同的运算方式,比如ECB、CBC、CFB、OFB、CTR等,这些不同的模式可能只针对特定功能的环境中有效,所以要了解各种不同的模式以及每种模式的用途。这个部分后面的文章中会详细讲。 对称加密算法的优、缺点: 优点:算法公开、计算量小、加密速度快、加密效率高。 缺点:(1)交易双方都使用同样钥匙,安全性得不到保证; (2)每对用户每次使用对称加密算法时,都需要使用其他人不知道的惟一钥匙,这会使得发收信双方所拥有的钥匙数量呈几何级数增长,密钥管理成为用户的负担。 (3)能提供机密性,但是不能提供验证和不可否认性。 3.2 非对称加密算法 在非对称密钥交换算法出现以前,对称加密一个很大的问题就是不知道如何安全生成和保管密钥。非对称密钥交换过程主要就是为了解决这个问题,使得对称密钥的生成和使用更加安全。 密钥交换算法本身非常复杂,密钥交换过程涉及到随机数生成,模指数运算,空白补齐,加密,签名等操作。 常见的密钥交换算法有RSA,ECDHE,DH,DHE等算法。涉及到比较复杂的数学问题,下面就简单介绍下最经典的RSA算法。RSA:算法实现简单,诞生于1977年,历史悠久,经过了长时间的破解测试,安全性高。缺点就是需要比较大的素数也就是质数(目前常用的是2048位)来保证安全强度,很消耗CPU运算资源。RSA是目前唯一一个既能用于密钥交换又能用于证书签名的算法。我觉得RSA可以算是最经典的非对称加密算法了,虽然算法本身都是数学的东西,但是作为最经典的算法,我自己也花了点时间对算法进行了研究,后面会详细介绍。 非对称加密相比对称加密更加安全,但也存在两个明显缺点: 1,CPU计算资源消耗非常大。一次完全TLS握手,密钥交换时的非对称解密计算量占整个握手过程的90%以上。而对称加密的计算量只相当于非对称加密的0.1%,如果应用层数据也使用非对称加解密,性能开销太大,无法承受。 2,非对称加密算法对加密内容的长度有限制,不能超过公钥长度。比如现在常用的公钥长度是2048位,意味着待加密内容不能超过256个字节。 所以公钥加密(极端消耗CPU资源)目前只能用来作密钥交换或者内容签名,不适合用来做应用层传输内容的加解密。 3.3 身份认证 https协议中身份认证的部分是由数字证书来完成的,证书由公钥、证书主体、数字签名等内容组成,在客户端发起SSL请求后,服务端会将数字证书发给客户端,客户端会对证书进行验证(验证查看这张证书是否是伪造的。也就是公钥是否是伪造的),并获取用于秘钥交换的非对称密钥(获取公钥)。 数字证书有两个作用: 1,身份授权。确保浏览器访问的网站是经过CA验证的可信任的网站。 2,分发公钥。每个数字证书都包含了注册者生成的公钥(验证确保是合法的,非伪造的公钥)。在SSL握手时会通过certificate消息传输给客户端。 申请一个受信任的数字证书通常有如下流程: 1,终端实体(可以是一个终端硬件或者网站)生成公私钥和证书请求。 2,RA(证书注册及审核机构)检查实体的合法性。如果个人或者小网站,这一步不是必须的。 3,CA(证书签发机构)签发证书,发送给申请者。 4,证书更新到repository(负责数字证书及CRL内容存储和分发),终端后续从repository更新证书,查询证书状态等。 数字证书验证: 申请者拿到CA的证书并部署在网站服务器端,那浏览器发起握手接收到证书后,如何确认这个证书就是CA签发的呢。怎样避免第三方伪造这个证书。答案就是数字签名(digital signature)。数字签名是证书的防伪标签,目前使用最广泛的SHA-RSA(SHA用于哈希算法,RSA用于非对称加密算法)数字签名的制作和验证过程如下: 1,数字签名的签发。首先是使用哈希函数对待签名内容进行安全哈希,生成消息摘要,然后使用CA自己的私钥对消息摘要进行加密。 2,数字签名的校验。使用CA的公钥解密签名,然后使用相同的签名函数对待签名证书内容进行签名并和服务端数字签名里的签名内容进行比较,如果相同就认为校验成功。 需要注意的是: 1)数字签名签发和校验使用的密钥对是CA自己的公私密钥,跟证书申请者提交的公钥没有关系。 2)数字签名的签发过程跟公钥加密的过程刚好相反,即是用私钥加密,公钥解密。 3)现在大的CA都会有证书链,证书链的好处一是安全,保持根CA的私钥离线使用。第二个好处是方便部署和撤销,即如果证书出现问题,只需要撤销相应级别的证书,根证书依然安全。 4)根CA证书都是自签名,即用自己的公钥和私钥完成了签名的制作和验证。而证书链上的证书签名都是使用上一级证书的密钥对完成签名和验证的。 5)怎样获取根CA和多级CA的密钥对。它们是否可信。当然可信,因为这些厂商跟浏览器和操作系统都有合作,它们的公钥都默认装到了浏览器或者操作系统环境里。 3.4 数据完整性验证 数据传输过程中的完整性使用MAC算法来保证。为了避免网络中传输的数据被非法篡改,SSL利用基于MD5或SHA的MAC算法来保证消息的完整性。 MAC算法是在密钥参与下的数据摘要算法,能将密钥和任意长度的数据转换为固定长度的数据。发送者在密钥的参与下,利用MAC算法计算出消息的MAC值,并将其加在消息之后发送给接收者。接收者利用同样的密钥和MAC算法计算出消息的MAC值,并与接收到的MAC值比较。如果二者相同,则报文没有改变;否则,报文在传输过程中被修改,接收者将丢弃该报文。 由于MD5在实际应用中存在冲突的可能性比较大,所以尽量别采用MD5来验证内容一致性。SHA也不能使用SHA0和SHA1,中国山东大学的王小云教授在2005年就宣布破解了 SHA-1完整版算法。微软和google都已经宣布16年及17年之后不再支持sha1签名证书。MAC算法涉及到很多复杂的数学问题,这里就不多讲细节了。 专题二--【实际抓包分析】 抓包结果: fiddler: wireshark: 可以看到,百度和我们公司一样,也采用以下策略: (1)对于高版本浏览器,如果支持 https,且加解密算法在TLS1.0 以上的,都将所有 http请求重定向到 https请求 (2)对于https请求,则不变。 【以下只解读https请求】 1、TCP三次握手 可以看到,我们访问的是 http://www.baidu.com/ , 在初次建立 三次握手的时候, 用户是去 连接 8080端口的(因为公司办公网做了代理,因此,我们实际和代理机做的三次握手,公司代理机再帮我们去连接百度服务器的80端口) 2、CONNECT 建立 由于公司办公网访问非腾讯域名,会做代理,因此,在进行https访问的时候,我们的电脑需要和公司代理机做 " CONNECT " 连接(关于 " CONNECT " 连接, 可以理解为虽然后续的https请求都是公司代理机和百度服务器进行公私钥连接和对称秘钥通信,但是,有了 " CONNECT " 连接之后,可以认为我们也在直接和百度服务器进行公私钥连接和对称秘钥通信。 ) fiddler抓包结果: CONNECT之后, 后面所有的通信过程,可以看做是我们的机器和百度服务器在直接通信 3、 client hello 整个 Secure Socket Layer只包含了: TLS1.2 Record Layer内容 (1)随机数 在客户端问候中,有四个字节以Unix时间格式记录了客户端的协调世界时间(UTC)。协调世界时间是从1970年1月1日开始到当前时刻所经历的秒数。在这个例子中,0x2516b84b就是协调世界时间。在他后面有28字节的随机数( random_C ),在后面的过程中我们会用到这个随机数。 (2)SID(Session ID) 如果出于某种原因,对话中断,就需要重新握手。为了避免重新握手而造成的访问效率低下,这时候引入了session ID的概念, session ID的思想很简单,就是每一次对话都有一个编号(session ID)。如果对话中断,下次重连的时候,只要客户端给出这个编号,且服务器有这个编号的记录,双方就可以重新使用已有的"对话密钥",而不必重新生成一把。 因为我们抓包的时候,是几个小时内第一次访问 https://www.baodu.com 首页,因此,这里并没有 Session ID. (稍会儿我们会看到隔了半分钟,第二次抓包就有这个Session ID) session ID是目前所有浏览器都支持的方法,但是它的缺点在于session ID往往只保留在一台服务器上。所以,如果客户端的请求发到另一台服务器,就无法恢复对话。session ticket就是为了解决这个问题而诞生的,目前只有Firefox和Chrome浏览器支持。 (3) 密文族(Cipher Suites): RFC2246中建议了很多中组合,一般写法是"密钥交换算法-对称加密算法-哈希算法,以“TLS_RSA_WITH_AES_256_CBC_SHA”为例: (a) TLS为协议,RSA为密钥交换的算法; (b) AES_256_CBC是对称加密算法(其中256是密钥长度,CBC是分组方式); (c) SHA是哈希的算法。 浏览器支持的加密算法一般会比较多,而服务端会根据自身的业务情况选择比较适合的加密组合发给客户端。(比如综合安全性以及速度、性能等因素) (4) Server_name扩展:( 一般浏览器也支持 SNI(Server Name Indication)) 当我们去访问一个站点时,一定是先通过DNS解析出站点对应的ip地址,通过ip地址来访问站点,由于很多时候一个ip地址是给很多的站点公用,因此如果没有server_name这个字段,server是无法给与客户端相应的数字证书的,Server_name扩展则允许服务器对浏览器的请求授予相对应的证书。 还有一个很好的功能: SNI(Server Name Indication)。这个的功能比较好,为了解决一个服务器使用多个域名和证书的SSL/TLS扩展。一句话简述它的工作原理就是,在连接到服务器建立SSL连接之前先发送要访问站点的域名(Hostname),这样服务器根据这个域名返回一个合适的CA证书。目前,大多数操作系统和浏览器都已经很好地支持SNI扩展,OpenSSL 0.9.8已经内置这一功能,据说新版的nginx也支持SNI。) 4、 服务器回复(包括 Server Hello, Certificate, Certificate Status) 服务器在收到client hello后,会回复三个数据包,下面分别看一下: 1)Server Hello 1、我们得到了服务器的以Unix时间格式记录的UTC和28字节的随机数 (random_S)。 2、Seesion ID,服务端对于session ID一般会有三种选择 (稍会儿我们会看到隔了半分钟,第二次抓包就有这个Session ID) : 1)恢复的session ID:我们之前在client hello里面已经提到,如果client hello里面的session ID在服务端有缓存,服务端会尝试恢复这个session; 2)新的session ID:这里又分两种情况,第一种是client hello里面的session ID是空值,此时服务端会给客户端一个新的session ID,第二种是client hello里面的session ID此服务器并没有找到对应的缓存,此时也会回一个新的session ID给客户端; 3)NULL:服务端不希望此session被恢复,因此session ID为空。 3、我们记得在client hello里面,客户端给出了21种加密族,而在我们所提供的21个加密族中,服务端挑选了“TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256”。 (a) TLS为协议,RSA为密钥交换的算法; (b) AES_256_CBC是对称加密算法(其中256是密钥长度,CBC是分组方式); (c) SHA是哈希的算法。 这就意味着服务端会使用ECDHE-RSA算法进行密钥交换,通过AES_128_GCM对称加密算法来加密数据,利用SHA256哈希算法来确保数据完整性。这是百度综合了安全、性能、访问速度等多方面后选取的加密组合。 2)Certificate 在前面的https原理研究中,我们知道为了安全的将公钥发给客户端,服务端会把公钥放入数字证书中并发给客户端(数字证书可以自签发,但是一般为了保证安全会有一个专门的CA机构签发),所以这个报文就是数字证书,4097 bytes就是证书的长度。 我们打开这个证书,可以看到证书的具体信息,这个具体信息通过抓包报文的方式不是太直观,可以在浏览器上直接看。 (点击 chrome 浏览器 左上方的 绿色 锁型按钮) 3)Server Hello Done 我们抓的包是将 Server Hello Done 和 server key exchage 合并的包: 4)客户端验证证书真伪性 客户端验证证书的合法性,如果验证通过才会进行后续通信,否则根据错误情况不同做出提示和操作,合法性验证包括如下: 证书链的可信性trusted certificate path,方法如前文所述; 证书是否吊销revocation,有两类方式离线CRL与在线OCSP,不同的客户端行为会不同; 有效期expiry date,证书是否在有效时间范围; 域名domain,核查证书域名是否与当前的访问域名匹配,匹配规则后续分析; 5)秘钥交换 这个过程非常复杂,大概总结一下: (1)首先,其利用非对称加密实现身份认证和密钥协商,利用非对称加密,协商好加解密数据的 对称秘钥(外加CA认证,防止中间人窃取 对称秘钥) (2)然后,对称加密算法采用协商的密钥对数据加密,客户端和服务器利用 对称秘钥 进行通信; (3)最后,基于散列函数验证信息的完整性,确保通信数据不会被中间人恶意篡改。 此时客户端已经获取全部的计算协商密钥需要的信息:两个明文随机数random_C和random_S与自己计算产生的Pre-master(由客户端和服务器的 pubkey生成的一串随机数),计算得到协商对称密钥; enc_key=Fuc(random_C, random_S, Pre-Master) 6)生成 session ticket 如果出于某种原因,对话中断,就需要重新握手。为了避免重新握手而造成的访问效率低下,这时候引入了session ID的概念, session ID的思想很简单,就是每一次对话都有一个编号(session ID)。如果对话中断,下次重连的时候,只要客户端给出这个编号,且服务器有这个编号的记录,双方就可以重新使用已有的"对话密钥",而不必重新生成一把。 因为我们抓包的时候,是几个小时内第一次访问 https://www.baodu.com 首页,因此,这里并没有 Session ID. (稍会儿我们会看到隔了半分钟,第二次抓包就有这个Session ID) session ID是目前所有浏览器都支持的方法,但是它的缺点在于session ID往往只保留在一台服务器上。所以,如果客户端的请求发到另一台服务器,就无法恢复对话。session ticket就是为了解决这个问题而诞生的,目前只有Firefox和Chrome浏览器支持。 后续建立新的https会话,就可以利用 session ID 或者 session Tickets , 对称秘钥可以再次使用,从而免去了 https 公私钥交换、CA认证等等过程,极大地缩短 https 会话连接时间。 7) 利用对称秘钥传输数据 【半分钟后,再次访问百度】: 有这些大的不同: 由于服务器和浏览器缓存了 Session ID 和 Session Tickets,不需要再进行 公钥证书传递,CA认证,生成 对称秘钥等过程,直接利用半分钟前的 对称秘钥 加解密数据进行会话。 1)Client Hello 2)Server Hello

玄学酱 2019-12-02 01:27:08 0 浏览量 回答数 0

回答

回 2楼(eason_zhang) 的帖子 您好, 例子中的第7个步骤,是测试目标的IPv6网址是否可用的啊。 ------------------------- 回 3楼(eason_lin) 的帖子 您好, 您需要检查一下tomcat是否在IPv6的端口里监听喔(例子中的第6个步骤)。 ------------------------- 回 8楼(eason_zhang) 的帖子 您好, 是能ping通Ipv6地址,但web不能访问。 建议您检查web服务是否在ipv6的网络端口里使用。 ------------------------- 回 10楼(eason_zhang) 的帖子 您好, 如果您的苹果APP资源是由tomcat的,那是需要tomcat支持Ipv6访问啊。 ------------------------- 回 11楼(eason_zhang) 的帖子 您好, 根据图中的信息,80端口仅在ipv4里监听,并不包括ipv6。 ------------------------- 回 14楼(eason_zhang) 的帖子 您好, 现在测试,是成功了的,恭喜您喔。 root@los:~# wget -6 http://smmj.smmjyl.com converted 'http://smmj.smmjyl.com' (ANSI_X3.4-1968) -> 'http://smmj.smmjyl.com' (UTF-8) --2016-11-10 22:23:36--   http://smmj.smmjyl.com/ Resolving smmj.smmjyl.com (smmj.smmjyl.com)... 2001:470:18:172::2 Connecting to smmj.smmjyl.com (smmj.smmjyl.com)|2001:470:18:172::2|:80... connected. HTTP request sent, awaiting response... 200 OK Length: unspecified [text/html] Saving to: 'index.html.1' ------------------------- 回 17楼(ap6554s5w) 的帖子 您好, 抱歉延时回复。 图中显示的,是IPv6 Web Server拒绝连接,可以尝试排除以下因素: a. 是否成功在系统里设置了IPv6隧道地址 b. Web服务是否在IPv6地址里监听 ------------------------- 回 19楼(ap6554s5w) 的帖子 您好, 好象不行呢。 root@los:~# ping6 2001:470:18:16d::2 PING 2001:470:18:16d::2(2001:470:18:16d::2) 56 data bytes From 2001:470:0:ba::2 icmp_seq=1 Destination unreachable: Address unreachable From 2001:470:0:ba::2 icmp_seq=2 Destination unreachable: Address unreachable From 2001:470:0:ba::2 icmp_seq=3 Destination unreachable: Address unreachable From 2001:470:0:ba::2 icmp_seq=4 Destination unreachable: Address unreachable From 2001:470:0:ba::2 icmp_seq=5 Destination unreachable: Address unreachable ------------------------- 回 21楼(ap6554s5w) 的帖子 您好, 可以ping通ipv6地址,但ipv6 80端口无法访问。 root@los:~# curl [2001:470:18:16d::2] curl: (7) Failed to connect to 2001:470:18:16d::2 port 80: Connection refused root@los:~# ping6 2001:470:18:16d::2 PING 2001:470:18:16d::2(2001:470:18:16d::2) 56 data bytes 64 bytes from 2001:470:18:16d::2: icmp_seq=1 ttl=56 time=560 ms 64 bytes from 2001:470:18:16d::2: icmp_seq=2 ttl=56 time=565 ms ------------------------- 回 23楼(ap6554s5w) 的帖子 您好, 应该是的,恭喜您。 ------------------------- 回 26楼(东哥来了) 的帖子 您好, 抱歉延时回复。 请问您有按帖子里的操作顺序操作吗?如第2步里的将禁用的模块设置去掉。 ------------------------- 回 28楼(airzhangfish) 的帖子 您好, 欢迎来到阿里云论坛。 抱歉给您带来困惑, 请问您的IPv6隧道地址是:2001:470:c:d53::2 吗? ------------------------- 回 30楼(airzhangfish) 的帖子 您好, 感谢您的更新回复喔,这可以为其他云友提供参考。 ------------------------- 回 32楼(fswing) 的帖子 您好, 第五步里的命令是Linux系统有的,不需借助其它网站,tunnelbroker.net 提供这些命令,是方便用户操作。 ------------------------- 回 35楼(fswing) 的帖子 您好, 或许例子中,您ping测试时,目标主机地址不应该带http, 或许如这样的: ping6 ipv6.google.com ------------------------- 回 40楼(fswing) 的帖子 您好, 或许具体到您的情况,第五步中其中的一条命令,应该是: ifconfig sit1 inet6 add 216:3eff:fe02:8609/64 而不是:ifconfig sit1 inet6 add fe80::216:3eff:fe02:8609/64 ------------------------- 回 42楼(fswing) 的帖子 您好, 看起来, 216:3eff:fe02:8609 不是一个有效的IPv6地址,能截图看一下HE分配给您IPv6隧道地址的页面内容吗? nginx不是必须的,例子中仅是用于测试web访问而已。 ------------------------- 回 44楼(fswing) 的帖子 您好, 就是在您申请IPv6地址的那个网站的配置信息里,会有显示分配给您的IPv6隧道地址是什么的喔,如下图: ------------------------- 回 46楼(fswing) 的帖子 您好, 从截图上的测试信息来看,您的ipv6隧道地址应该是配置成功了喔。 恭喜。 ------------------------- 回 48楼(eason_zhang) 的帖子 您好, 您的IPv6地址,好象可以ping通,但网页的80端口访问不了喔: root@los:~# ping6 srmj.mhhdkj.com PING srmj.mhhdkj.com(Easonzhanglin-3-pt.tunnel.tserv20.hkg1.ipv6.he.net) 56 data bytes 64 bytes from Easonzhanglin-3-pt.tunnel.tserv20.hkg1.ipv6.he.net: icmp_seq=1 ttl=57 time=1131 ms 64 bytes from Easonzhanglin-3-pt.tunnel.tserv20.hkg1.ipv6.he.net: icmp_seq=2 ttl=56 time=516 ms 64 bytes from Easonzhanglin-3-pt.tunnel.tserv20.hkg1.ipv6.he.net: icmp_seq=3 ttl=56 time=516 ms 64 bytes from Easonzhanglin-3-pt.tunnel.tserv20.hkg1.ipv6.he.net: icmp_seq=4 ttl=56 time=516 ms 64 bytes from Easonzhanglin-3-pt.tunnel.tserv20.hkg1.ipv6.he.net: icmp_seq=5 ttl=56 time=522 ms 64 bytes from Easonzhanglin-3-pt.tunnel.tserv20.hkg1.ipv6.he.net: icmp_seq=6 ttl=56 time=516 ms --- srmj.mhhdkj.com ping statistics --- 7 packets transmitted, 6 received, 14% packet loss, time 6005ms rtt min/avg/max/mdev = 516.354/620.077/1131.474/228.713 ms, pipe 2 root@los:~# curl -6 'http://srmj.mhhdkj.com' -so - | grep -iPo '(?<=<title>)(.*)(?=</title>)' root@los:~# curl -6 'http://srmj.mhhdkj.com' curl: (7) Failed to connect to srmj.mhhdkj.com port 80: Permission denied ------------------------- 回 51楼(eason_zhang) 的帖子 您好, 如上边测试提到的,Permission denied, 这是否是您的Web服务或防火墙设置不正确呢?因为现在在浏览器里访问 http://14.29.47.23/ 也是显示不出来页面内容。 ------------------------- 回 53楼(eason_zhang) 的帖子 您好, 您自己能正常访问您的Web站点内容吗? 或许您需要联系一下您的服务器管理员,这样处理起来,较顺手些: liujia@hk2:~/test4$ wget http://14.29.47.23/ --2017-01-03 10:22:38--   http://14.29.47.23/ Connecting to 14.29.47.23:80... connected. HTTP request sent, awaiting response... No data received. Retrying. --2017-01-03 10:22:39--  (try: 2)   http://14.29.47.23/ Connecting to 14.29.47.23:80... connected. HTTP request sent, awaiting response... No data received. Retrying. ------------------------- 回 56楼(ap6554s5w) 的帖子 您好, CentOS 5 的,我没有测试过喔, 但如果您要求,等有测试机时,为您测试一下喔。 ------------------------- 回 58楼(song8528) 的帖子 您好, 第五步是设置隧道地址的,执行后影响的是当前的系统状态, 简单的方法是,重启一下系统,那系统会恢复到之前的状态(清除了IPv6的地址设置),您可以重新执行第五步。 ------------------------- 回 60楼(song8528) 的帖子 您好, 测试提示您的站点能被访问,那说明当时的设置是有效的。 有其它用户反馈的现象是,有可能因为IPv6隧道地址的服务(HE)不稳定,出现有时不可以访问的结果。如果是这个原因,您可以尝试更换到另一个隧道节点(如将香港的转到美国的)。请别灰心喔。 ------------------------- 回 62楼(song8528) 的帖子 您好, 一般几个小时后可以出审核的结果呢? ------------------------- Re:回 56楼(ap6554s5w) 的帖子 您好, 我在CentOS 5上测试,可以正常添加iPv6隧道地址喔, 有可能是您没有成功为系统启用IPv6的地址: [root@iZ23jyp275rZ ~]# ifconfig sit0 up [root@iZ23jyp275rZ ~]# ifconfig sit0 inet6 tunnel ::216.218.221.6 [root@iZ23jyp275rZ ~]# ifconfig sit1 up [root@iZ23jyp275rZ ~]# ifconfig sit1 inet6 add 2001:470:18:401::2/64 [root@iZ23jyp275rZ ~]# route -A inet6 add ::/0 dev sit1 [root@iZ23jyp275rZ ~]# ping6 ipv6.anqun.org PING ipv6.anqun.org(liujia2-1-pt.tunnel.tserv20.hkg1.ipv6.he.net) 56 data bytes 64 bytes from liujia2-1-pt.tunnel.tserv20.hkg1.ipv6.he.net: icmp_seq=0 ttl=64 time=0.038 ms 64 bytes from liujia2-1-pt.tunnel.tserv20.hkg1.ipv6.he.net: icmp_seq=1 ttl=64 time=0.042 ms --- ipv6.anqun.org ping statistics --- 2 packets transmitted, 2 received, 0% packet loss, time 1000ms rtt min/avg/max/mdev = 0.038/0.040/0.042/0.002 ms, pipe 2 [root@iZ23jyp275rZ ~]# cat /etc/redhat-release CentOS release 5.11 (Final) ------------------------- 回 56楼(ap6554s5w) 的帖子 您好, 为您写了这个例子,希望对您有用:《为阿里云ECS(CentOS 5)配置IPv6隧道地址》 - https://bbs.aliyun.com/read/304532.html ------------------------- 回 66楼(jidi) 的帖子 您好, 欢迎来到阿里云论坛, 请您在ECS本机,能ping6通自己的域名地址吗?如执行: ping6 api2.imptrip.com ------------------------- 回 68楼(jidi) 的帖子 您好, 那 ping6 ipv6.google.com 呢? ------------------------- 回 70楼(jidi) 的帖子 您好, 如果您无法ping6通外网的ipv6地址,有可能您的ipv6路由设置不正确喔: PING ipv6.google.com(hkg12s02-in-x0e.1e100.net) 56 data bytes 64 bytes from hkg12s02-in-x0e.1e100.net: icmp_seq=1 ttl=55 time=146 ms 64 bytes from hkg12s02-in-x0e.1e100.net: icmp_seq=2 ttl=55 time=146 ms ------------------------- 回 72楼(jidi) 的帖子 您好, 在第五步中的多个命令中,其中 route -A inet6 add ::/0 dev sit1 应该是的为ipv6网络添加默认路由的。 ------------------------- 回 74楼(jidi) 的帖子 您好, SIOCSIFDSTADDR: No buffer space available 如果您之前已经运行过类似的命令,建议您重启系统后,再执行。 ------------------------- 回 76楼(jidi) 的帖子 您好, 很高兴听到您已经解决了问题,同时祝您新春大吉。 ------------------------- 回 78楼(al2587946397) 的帖子 您好, 欢迎来到阿里云论坛,祝你新春大吉大利, 如果有绝色的勾号,那说明检测通过了。 至于显示“cannot identify web server”,可能是检测的程序没有识别的您的Web服务程序类别(如常见的nginx,apache,iis等)。但并不影响您的站点ipv6访问。 ------------------------- 回 81楼(al2587946397) 的帖子 您好, 与是否识别到web服务程序类型好象无关, 现在我测试您的ipv6站点,返回来的是连接重置错误喔。或许您需要重点检查一下web服务的运行状态。 root@los:~/test# curl -6 zhibo.law7net.com/zhiboapp curl: (56) Recv failure: Connection reset by peer ------------------------- 回 83楼(al2587946397) 的帖子 您好, 现在好象我加不加/,都不能成功访问到内容呢。 root@los:~# ping6 ipv6.google.com PING ipv6.google.com(tk-in-x66.1e100.net) 56 data bytes 64 bytes from tk-in-x66.1e100.net: icmp_seq=1 ttl=46 time=144 ms 64 bytes from tk-in-x66.1e100.net: icmp_seq=2 ttl=46 time=145 ms --- ipv6.google.com ping statistics --- 2 packets transmitted, 2 received, 0% packet loss, time 1000ms rtt min/avg/max/mdev = 144.712/144.887/145.062/0.175 ms root@los:~# curl -6 zhibo.law7net.com/zhiboapp/ root@los:~# curl -6 zhibo.law7net.com/zhiboapp ------------------------- 回 85楼(zw0472) 的帖子 您好, 从 ipv6 validation 的测试结果来看,您的ipv6隧道地址配置是正确的, 我在我的测试机里测试您的站点网址,看起来,也正常: 您可以尝试多向苹果提交几次,或换一个中转的IPv6隧道服务器地址后,再提交,因为有的用户反馈有时可能因为隧道服务器地址不稳定而导致苹果审核时失败。 root@los:~/test# wget https://yishanggou.net/ converted 'https://yishanggou.net/' (ANSI_X3.4-1968) -> 'https://yishanggou.net/' (UTF-8) --2017-02-12 23:09:38--   https://yishanggou.net/ Resolving yishanggou.net (yishanggou.net)... 2001:470:35:3eb::2 Connecting to yishanggou.net (yishanggou.net)|2001:470:35:3eb::2|:443... connected. HTTP request sent, awaiting response... 302 Moved Temporarily Location: user.php [following] converted 'https://yishanggou.net/user.php' (ANSI_X3.4-1968) -> 'https://yishanggou.net/user.php' (UTF-8) --2017-02-12 23:09:47--   https://yishanggou.net/user.php Reusing existing connection to [yishanggou.net]:443. HTTP request sent, awaiting response... 200 OK Length: unspecified [text/html] Saving to: 'index.html.2' ------------------------- 回 89楼(六灵私家) 的帖子 您好, 看截图中的“IPv6 web server”是绿色打勾的,应该ipv6隧道地址配置成功了喔。 ------------------------- 回 91楼(六灵私家) 的帖子 您好, 或许您需要添加A(IPv4)和AAAA(IPv6)记录。 请参考: 1. https://help.aliyun.com/knowledge_detail/39787.html 2. https://help.aliyun.com/knowledge_detail/39813.html ------------------------- 回 93楼(nodejs小白) 的帖子 您好, 欢迎来到阿里云论坛。 从您的截图来看,可能是外网无法访问到您的80端口(可能需要检查一下防火墙的设置或ECS实例的安全组规则)。 您在本地能打开ipv6的网址吗? ot@los:~/test5# curl -6 http://[2001:470:35:bf7::1] curl: (7) Failed to connect to 2001:470:35:bf7::1 port 80: Connection refused ------------------------- 回 95楼(nodejs小白) 的帖子 您好, 那您在本地测试,能正常显示网页的内容吗? 如 curl -6 http://[2001:470:35:bf7::1] 或: curl -6 http://[::1] ------------------------- 回 97楼(nodejs小白) 的帖子 您好, 好象 curl 的命令测试不成功,提示有错误。您可以尝试修改一下,目的是想测试本地的 ipv6 网址是否能访问到。 ------------------------- 回 99楼(nodejs小白) 的帖子 您好, 如在我的测试机里运行的结果如下: root@los:~/test5# curl -6 -i http://[::1] HTTP/1.1 200 OK Server: nginx/1.6.2 Date: Mon, 20 Mar 2017 04:52:58 GMT Content-Type: text/html Content-Length: 867 Last-Modified: Sat, 06 Feb 2016 14:51:03 GMT Connection: keep-alive ETag: "56b60857-363" Accept-Ranges: bytes <!DOCTYPE html> <html> <head> <title>Welcome to nginx on Debian!</title> <style>     body { ------------------------- 回 100楼(nodejs小白) 的帖子 您好, 看您的 netstat 命令,nginx 是已经在 ::80 端口上监听了。 我的 netstat 命令输出结果如下: tcp6       0      0 :::80                   :::*                    LISTEN      off (0.00/0/0) ------------------------- 回 103楼(nodejs小白) 的帖子 您好, 可对比例子多测试几次, 如果多次测试后,还不行,可通过站内信提供临时的登录信息,我为您登录查看喔。 ------------------------- 回 105楼(jianxun123) 的帖子 您好, 抱歉延时回复, 现在测试,好象web可以通过ipv6隧道地址访问喔。 root@los:~/test5# wget -i -6 http://www.chinahjz.cn converted 'http://www.chinahjz.cn' (ANSI_X3.4-1968) -> 'http://www.chinahjz.cn' (UTF-8) --2017-03-21 19:34:34--   http://www.chinahjz.cn/ Resolving www.chinahjz.cn (www.chinahjz.cn)... 2001:470:35:c08::2, 112.74.131.2 Connecting to www.chinahjz.cn (www.chinahjz.cn)|2001:470:35:c08::2|:80... connected. HTTP request sent, awaiting response... 302 Moved Temporarily Location: /shenzhen [following] converted 'http://www.chinahjz.cn/shenzhen' (ANSI_X3.4-1968) -> 'http://www.chinahjz.cn/shenzhen' (UTF-8) --2017-03-21 19:34:36--   http://www.chinahjz.cn/shenzhen Reusing existing connection to [ www.chinahjz.cn]:80. HTTP request sent, awaiting response... 200 OK Length: unspecified [text/html] Saving to: 'index.html.1' ------------------------- 回 103楼(nodejs小白) 的帖子 您好, 经测试,好象您在解析域名到IPv6隧道地址时,是写错了, 正确的地址应该是 2001:470:35:bf7::2,而不是: 2001:470:35:bf7::1 root@los:~/test5# curl -6 -i http://[2001:470:35:bf7::2] HTTP/1.1 200 OK Content-Type: text/plain Date: Wed, 22 Mar 2017 00:02:20 GMT Connection: keep-alive Transfer-Encoding: chunked ------------------------- 回 108楼(噜噜噜噜) 的帖子 您好, 欢迎来到阿里云论坛。 请问您是 ping6 哪个地址呢? ------------------------- 回 110楼(噜噜噜噜) 的帖子 您好, 请问您的ECS实例网络类型是什么呢?是专有网络吗? ------------------------- 回 112楼(nodejs小白) 的帖子 您好, 如果您仅是为了通过苹果手机的APP审核,那第三项的测试可暂不理会。 ------------------------- 回 114楼(白鹿洞) 的帖子 您好, 现在从我的测试机里,好象能ping6通您的ipv6隧道地址喔。 root@los:~# ping6 2001:470:1f04:aaa::2 PING 2001:470:1f04:aaa::2(2001:470:1f04:aaa::2) 56 data bytes 64 bytes from 2001:470:1f04:aaa::2: icmp_seq=1 ttl=55 time=282 ms 64 bytes from 2001:470:1f04:aaa::2: icmp_seq=2 ttl=55 time=282 ms 64 bytes from 2001:470:1f04:aaa::2: icmp_seq=3 ttl=55 time=283 ms ------------------------- 回 116楼(超级猪包) 的帖子 您好, 提示 No route to host ,您是否已经成功执行  route -A inet6 add ::/0 dev sit1 的命令了呢。 一般AAAA记录是 Client IPv6 Address,即 您的 2001:470:c:100a::2 。 ------------------------- 回 119楼(超级猪包) 的帖子 您好, 提示 No route to host 喔。 root@los:~/test5# curl -6 https://itf.fox008.com curl: (7) Failed to connect to itf.fox008.com port 443: No route to host ------------------------- 回 121楼(zjlzbin) 的帖子 您好, 抱歉给您带来不便。 是的,目前已知的,“专有网络”不能使用HE提供的IPv6隧道地址(网上查资料,知HE提供的IPv6隧道地址是属于6in4,无法在“专有网络”中的SNAT使用)。 不能在帖子里上传图片的原因,有可能是因为论坛附件上传可能对某些线路的某些浏览器不兼容(如我用广东电信的宽带,在Firefox里不能成功上传附件)。 ------------------------- 回 123楼(adsfdf) 的帖子 您好, 欢迎来到阿里云论坛。 如果您向苹果提交的审核地址是域名URL的,是需要为域名创建AAAA记录喔。 ------------------------- 回 125楼(fswing) 的帖子 您好, 原因可能是IPv6隧道服务器(图中的216.218.221.6)不稳定,或许您可以考虑一下换一个IPv6隧道服务器的地址,如换成美国境内的来试试。 ------------------------- 回 127楼(hbgzliyan) 的帖子 您好, 欢迎来到阿里云论坛。 请问您的ECS云服务器的网络类型是“经典网络”吗? ------------------------- Re:回 130楼(hbgzliyan) 的帖子 您好, 现在测试,是可以访问: --2017-04-11 00:41:16-- http://m.xiaozhubanjia.com/ Resolving m.xiaozhubanjia.com (m.xiaozhubanjia.com)... 2001:470:23:1101::2 Connecting to m.xiaozhubanjia.com (m.xiaozhubanjia.com)|2001:470:23:1101::2|:80... connected. HTTP request sent, awaiting response... 200 OK Length: 449 [text/html] Saving to: 'index.html.9' 您可以尝试更换其它的IPv6服务器地址,假如您当前选择的是香港的,可以选择一下其它的,如美国的。 ------------------------- 回 132楼(uatcre) 的帖子 您好, 抱歉延时回复, 已经通过站内信,发检测的结果给您喔。 ------------------------- 回 134楼(山东周杰伦) 的帖子 您好, 现在测试,好象可以访问到内容喔: --2017-04-19 06:35:46--   http://demo1.foxteam.cc/ Resolving demo1.foxteam.cc (demo1.foxteam.cc)... 2001:470:18:683::2 Connecting to demo1.foxteam.cc (demo1.foxteam.cc)|2001:470:18:683::2|:80... connected. HTTP request sent, awaiting response... 302 Moved Temporarily Location: ./web/index.php? [following] converted 'http://demo1.foxteam.cc/./web/index.php?' (ANSI_X3.4-1968) -> 'http://demo1.foxteam.cc/./web/index.php?' (UTF-8) --2017-04-19 06:35:49--   http://demo1.foxteam.cc/web/index.php? Reusing existing connection to [demo1.foxteam.cc]:80. HTTP request sent, awaiting response... 302 Moved Temporarily Location: ./index.php?c=user&a=login& [following] converted 'http://demo1.foxteam.cc/web/./index.php?c=user&a=login&' (ANSI_X3.4-1968) -> 'http://demo1.foxteam.cc/web/./index.php?c=user&a=login&' (UTF-8) --2017-04-19 06:35:51--   http://demo1.foxteam.cc/web/index.php?c=user&a=login& Reusing existing connection to [demo1.foxteam.cc]:80. HTTP request sent, awaiting response... 200 OK Length: unspecified [text/html] Saving to: 'index.html.17' ------------------------- 回 136楼(ywwj) 的帖子 您好, 请问您的金融云ECS,网络类型是“专有网络”的吗? ------------------------- 回 137楼(xd1412) 的帖子 您好, 好象现在没有返回AAAA地址了, dig +nocmd +nostats app.nzhousechina.com AAAA ;; Got answer: ;; ->>HEADER<<- opcode: QUERY, status: NXDOMAIN, id: 2896 ;; flags: qr rd ra; QUERY: 1, ANSWER: 0, AUTHORITY: 1, ADDITIONAL: 1 ;; OPT PSEUDOSECTION: ; EDNS: version: 0, flags:; udp: 8192 ;; QUESTION SECTION: ;app.nzhousechina.com.          IN      AAAA ;; AUTHORITY SECTION: nzhousechina.com.       28800   IN      SOA     ns.freeparking.co.nz. hostmaster.freeparking.co.nz. 2017042615 86400 7200 3600000 28800 ------------------------- 回 140楼(daiwdddd) 的帖子 您好, 欢迎来到阿里云论坛。 请问您的ECS实例“网络类型”是哪种,是“专有网络”吗? ------------------------- 回 140楼(daiwdddd) 的帖子 您好, 抱歉延时回复。 现在测试,您的ipv6隧道地址还是ping不通, PING 2001:470:18:886::2(2001:470:18:886::2) 56 data bytes --- 2001:470:18:886::2 ping statistics --- 6 packets transmitted, 0 received, 100% packet loss, time 4999ms ------------------------- 回 142楼(gt888) 的帖子 您好, 因为负载均衡的IP管理权限不在您这里,所以可能无法设置ipv6隧道地址喔。 但您可以尝试用其它方法来尝试,如其他网友提到过的,用国外的 ipv6 proxy 来转发,或用国外的 ipv6 CDN 来分发。 ------------------------- 回 146楼(aquare) 的帖子 您好, 从国外的测试机来访问测试,http是不成功。 建议您检查一下系统的防火墙,看是否有阻止外网访问。 converted 'http://ipv6.51cs8.com' (ANSI_X3.4-1968) -> 'http://ipv6.51cs8.com' (UTF-8) --2017-05-15 16:06:55--   http://ipv6.51cs8.com/ Resolving ipv6.51cs8.com (ipv6.51cs8.com)... 2001:470:18:fe::2 Connecting to ipv6.51cs8.com (ipv6.51cs8.com)|2001:470:18:fe::2|:80... failed: Connection timed out. Retrying. --2017-05-15 16:08:00--  (try: 2)   http://ipv6.51cs8.com/ Connecting to ipv6.51cs8.com (ipv6.51cs8.com)|2001:470:18:fe::2|:80... ------------------------- 回 148楼(chisj) 的帖子 您好, 可能对于ipv6的防火墙服务,是 ip6tables 。 ------------------------- 回 149楼(chisj) 的帖子 您好, 嗯,可以再细心检查,检查。 现在您的ipv6隧道地址好象ping不通了, PING 2001:470:18:fe::2(2001:470:18:fe::2) 56 data bytes --- 2001:470:18:fe::2 ping statistics --- 47 packets transmitted, 0 received, 100% packet loss, time 46031ms ------------------------- 回 154楼(chisj) 的帖子 您好, 现在我从国外的测试机测试,无法ping通您的ipv6隧道地址喔。 在Linux系统里,有时ipv6隧道地址会在约30分钟后掉(ping不通),建议您可以用ping命令一直保持着,让ipv6隧道地址不掉。 ------------------------- 回 156楼(chisj) 的帖子 您好, 是的,在服务器里ping一个ipv6地址,如ipv6.google.com是可以的。 ------------------------- 回 157楼(chisj) 的帖子 您好, 是的,可以。但您的Shell会话退出后,可能这个ping进程也会退出,不能继续ping了喔。可以尝试结合使用 nohup 的命令。 ------------------------- 回 158楼(chisj) 的帖子 您好, 现在测试,可以ping得通喔: PING 2001:470:18:fe::2(2001:470:18:fe::2) 56 data bytes 64 bytes from 2001:470:18:fe::2: icmp_seq=1 ttl=57 time=620 ms 64 bytes from 2001:470:18:fe::2: icmp_seq=2 ttl=57 time=601 ms 64 bytes from 2001:470:18:fe::2: icmp_seq=3 ttl=57 time=595 ms ------------------------- 回 159楼(chisj) 的帖子 您好, 您指的是用 Mac + iPhone 搭建的 NAT64/DNS64 环境,无法ping通 ipv6.51cs8.com 吗? 请问是ping域名返回不到IP地址,还是路由不到目标地址呢? ------------------------- 回 165楼(chisj) 的帖子 您好, 从dig的信息来看,是能查询到域名的ipv6地址, 但在Mac里,ping命令是默认可以ping通ipv4或ipv6地址吗?在Linux中,需要ping6的命令来ping通ipv6地址的喔。 ------------------------- 回 169楼(chisj) 的帖子 您好, 抱歉您的APP这次还是不能通过审核, 苹果的回复里提到,是尝试登录到APP时,弹出了错误信息(we received an error message when we attempted to log in the app), 具体的错误信息是什么呢?苹果还提供了截图,能否也贴上截图? ------------------------- 回 171楼(cxck) 的帖子 您好, 欢迎来到阿里云论坛。 当您填写的网址是https时,或许需要检查系统中的ipv6地址是否在443端口监听使用喔(并不是80端口)。 请运行 netstat -noa | grep 443 的端口试试哩。 ------------------------- 回 173楼(cxck) 的帖子 您好, 在Web里的ssl配置文件里增加上ipv6的网络接口啊。 ------------------------- 回 175楼(cxck) 的帖子 您好, 现在好象ping6不通您的ipv6隧道地址喔: root@los:~# ping6 www.cxckquhuan.com PING www.cxckquhuan.com(Cxckquahuan-1-pt.tunnel.tserv20.hkg1.ipv6.he.net) 56 data bytes --- www.cxckquhuan.com ping statistics --- 8 packets transmitted, 0 received, 100% packet loss, time 6999ms ------------------------- 回 178楼(cxb0dly0zz) 的帖子 您好, 欢迎来到阿里云论坛。 能否看一下您的当前路由表呢?如运行 route -6 的命令,看看输出结果。 ------------------------- 回 180楼(cxb0dly0zz1) 的帖子 您好, 您指的两台机子互相ping6 ipv6的地址,不能通吗? 那这两台机子,能ping6通外网的,如 ipv6.google.com 的地址吗? ------------------------- 回 182楼(cxb0dly0zz1) 的帖子 您好, 是的,有可能是因为其中一台的ipv6默认路由不生效哩。 ------------------------- 回 184楼(等火车) 的帖子 您好, 在另一个帖子里看到您说已经解决了喔: https://bbs.aliyun.com/read/299254.html?displayMode=1&page=13#881075 ------------------------- 回 186楼(等火车) 的帖子 您好, 请问能否查看一下当前的ipv6路由表呢? ------------------------- 回 189楼(法克金嗯嗯) 的帖子 您好, 欢迎来到阿里云论坛。 现在从我这里测试,好象返回的是403禁止访问的错误提示喔: converted 'http://[2001:470:c:176::2]' (ANSI_X3.4-1968) -> 'http://[2001:470:c:176::2]' (UTF-8) --2017-06-02 14:40:25--  http://[2001:470:c:176::2]/ Connecting to [2001:470:c:176::2]:80... connected. HTTP request sent, awaiting response... 403 Forbidden 2017-06-02 14:40:25 ERROR 403: Forbidden. ------------------------- 回 191楼(法克金嗯嗯) 的帖子 您好, 很高兴听到您已经解决问题了喔。 ------------------------- 回 193楼(nhwuxiaojun) 的帖子 您好, 欢迎来到阿里云论坛。 我没有使用过金融云里的ECS产品, 不过,之前有用户曾反馈过类似的现象, 或许金融云默认的安全规则会比普通的ECS产品严格些,所以需要额外调整一下, 您可以多次尝试,或请官方的客服协助您一下喔: https://workorder.console.aliyun.com/ ------------------------- 回 195楼(dialect) 的帖子 您好, 欢迎来到阿里云论坛。 从外网测试您的ipv6隧道地址,是正常的(返回404): --2017-06-21 09:41:17--  http://[2001:470:c:393::2]/ Connecting to [2001:470:c:393::2]:80... connected. HTTP request sent, awaiting response... 404 Not Found 2017-06-21 09:41:18 ERROR 404: Not Found. 被拒的原因,有可能是APP软件本身不支持ipv6环境。 请问您的APP是如何构建的呢? ------------------------- 回 197楼(dialect) 的帖子 您好, 现在我从外网测试的话,是可以访问的喔: --2017-06-21 14:25:53--   https://api.oudalady.com/ Resolving api.oudalady.com (api.oudalady.com)... 2001:470:c:393::2 Connecting to api.oudalady.com (api.oudalady.com)|2001:470:c:393::2|:443... connected. HTTP request sent, awaiting response... 404 Not Found 2017-06-21 14:25:54 ERROR 404: Not Found. ------------------------- 回 200楼(fliu) 的帖子 您好, 欢迎来到阿里云论坛。 现在我测试,您的隧道地址ping6不通喔。 PING 2001:470:c:5ca::2(2001:470:c:5ca::2) 56 data bytes --- 2001:470:c:5ca::2 ping statistics --- 10 packets transmitted, 0 received, 100% packet loss, time 9007ms ------------------------- 回 202楼(fliu) 的帖子 您好, 请问还是之前的这个ipv6隧道地址吗? 如果是,现在我还是ping6不通喔: PING 2001:470:c:5ca::2(2001:470:c:5ca::2) 56 data bytes --- 2001:470:c:5ca::2 ping statistics --- 5 packets transmitted, 0 received, 100% packet loss, time 3998ms ------------------------- 回 204楼(fliu) 的帖子 您好, 请问现在在系统里,能ping6通ipv6.google.com或其它ipv6地址吗? ------------------------- 回 206楼(fliu) 的帖子 您好, 那就奇怪了。 能否运行 ifconfig 和 ping6 ipv6.google.com 的截图看看呢? ------------------------- 回 208楼(fliu) 的帖子 您好, 能否检查一下您的系统里,是否有启用防火墙,或ECS的安全组是否有过滤的规则? ------------------------- 回 210楼(法克金嗯嗯) 的帖子 您好, 暂时我没有遇到类似的现象, 能否提供您在电脑里测试ping不通的截图,大家一起看看? ------------------------- 回 212楼(法克金嗯嗯) 的帖子 您好, 是喔,需要先确认ipv6域名解析有效喔。 ------------------------- 回 214楼(我的天啊666) 的帖子 您好, 欢迎来到阿里云论坛。 现在测试,可以正常连接到80端口喔。 --2017-08-05 10:18:02--   http://app6.51dtwl.com/ Resolving app6.51dtwl.com (app6.51dtwl.com)... 2001:470:18:3aa::2 Connecting to app6.51dtwl.com (app6.51dtwl.com)|2001:470:18:3aa::2|:80... connected. HTTP request sent, awaiting response... 200 OK Length: unspecified [text/html] Saving to: ‘index.html.2’ ------------------------- 回 216楼(我的天啊666) 的帖子 您好, 现在为您测试,好象成功的啊。 ------------------------- 回 219楼(yingegou) 的帖子 您好, 现在我从外网ping6不通您的隧道地址喔。 如果可以的话,您可以尝试在安全组规则里临时放行所有的协议和端口,对比测试一下。 ------------------------- 回 222楼(babos) 的帖子 您好, 很高兴听到您已经解决了问题,欢迎有空时,多来论坛逛逛。 ------------------------- 回 223楼(咯咯嘿嘿) 的帖子 您好, 欢迎来到阿里云论坛。 可以尝试用 nohup 的命令,把ping6命令放到后台长驻运行。 ------------------------- 回 227楼(cheyuu) 的帖子 您好, 欢迎来到阿里云论坛。 较“粗野”的方法是:重启系统。 ------------------------- 回 229楼(cheyuu) 的帖子 您好, 现在我也是能ping6通您的隧道地址的,如果苹果苹果还是卡在ipv6这里,建议先检查APP的ipv6兼容性(可在本地模拟网络测试)。 PING 2001:470:c:12a3::2(2001:470:c:12a3::2) 56 data bytes 64 bytes from 2001:470:c:12a3::2: icmp_seq=1 ttl=59 time=325 ms 64 bytes from 2001:470:c:12a3::2: icmp_seq=2 ttl=59 time=331 ms 64 bytes from 2001:470:c:12a3::2: icmp_seq=3 ttl=59 time=321 ms 64 bytes from 2001:470:c:12a3::2: icmp_seq=4 ttl=59 time=312 ms ------------------------- 回 231楼(cheyuu) 的帖子 您好, 有的情况是,ipv6隧道地址在约20~30分钟内无数据交互,可能会“掉”(ping6不通)的, 您可以先排除这个现象。 ------------------------- 回 236楼(独凭栏) 的帖子 您好, 如果您不是将绑定隧道地址的命令设置成为开机自动运行, 那重启系统后,隧道地址可能会掉的喔, 您能在当前系统上查看到隧道地址的配置信息吗? ------------------------- 回 238楼(独凭栏) 的帖子 您好, 请问您之前是用哪些命令来配置ipv6隧道地址的呢? ------------------------- 回 242楼(独凭栏) 的帖子 您好, 可以尝试调整实例的安全组规则, 如放行全部的协议后,再对比试试。 ------------------------- 回 244楼(独凭栏) 的帖子 您好, 测试本地的ipv6地址,是什么结果呢? 如 ping6 ::1 ping6 www.100rd.com ------------------------- 回 246楼(独凭栏) 的帖子 您好, 好象您的隧道地址有时能ping6通,有时不能。 建议后台长驻运行一条ping6命令看看,如 nohup ping6 ipv6.google.com ------------------------- 回 246楼(独凭栏) 的帖子 您好, 现在从外网测试,您的隧道地址网站能访问了, liujia@hk2:~$ wget -6   www.100rd.com --2017-10-17 17:18:11--   http://www.100rd.com/ Resolving www.100rd.com (www.100rd.com)... 2001:470:1f06:327::2 Connecting to www.100rd.com (www.100rd.com)|2001:470:1f06:327::2|:80... connected. HTTP request sent, awaiting response... 302 Found Location: /index.html [following] --2017-10-17 17:18:13--   http://www.100rd.com/index.html Reusing existing connection to [ www.100rd.com]:80. HTTP request sent, awaiting response... 200 OK Length: 45552 (44K) [text/html] Saving to: ‘index.html.6’ ------------------------- 回 249楼(魔笛手) 的帖子 您好, 请问您的ECS实例网络类型是“专有网络”的吗? ------------------------- 回 251楼(帅到天涯) 的帖子 版主回复: 或许您可以在实例的安全组规则里,放行所有协议,或对he.net的服务器允许访问。 ------------------------- Re:回 253楼(友链) 的帖子 版主回复: 至少目前我尝试从外网测试,ping6不能您的ipv6隧道地址喔: $ ping6 www.whoju.com PING www.whoju.com(huju-1-pt.tunnel.tserv20.hkg1.ipv6.he.net) 56 data bytes --- www.whoju.com ping statistics --- 10 packets transmitted, 0 received, 100% packet loss, time 9072ms ------------------------- Re:回 255楼(友链) 的帖子 版主回复: 好象现在测试,还是不可以喔: $ wget -6 www.whoju.com --2017-11-10 11:23:56--   http://www.whoju.com/ Resolving www.whoju.com (www.whoju.com)... 2001:470:18:c11::2 Connecting to www.whoju.com (www.whoju.com)|2001:470:18:c11::2|:80... failed: Connection timed out. Retrying. ------------------------- 回 257楼(jacky1204) 的帖子 版主回复: 看起来,好象您的命令脚本,1.sh 不是很符合实际的情况。 可以尝试再调整一下,或用he提供的例子命令。 ------------------------- 回 259楼(ap6554s5w) 的帖子 版主回复: 个人较“生硬”的做法是,逐条命令来执行,如有错,再根据具体的错误信息来排查哩。 ------------------------- 回 261楼(真的虾米) 的帖子 版主回复: 是哩。在实践中,先ping6通,才能使用隧道地址,我们管这叫“激活”。 您可以使用nohup等工具,将ping6放到后台或自动运行,可能就可以一直保持“激活”状态了。 ------------------------- 回 263楼(肉松小贝) 的帖子 版主回复: 如果在绑定ipv6隧道地址之前,您的ubuntu系统没有启用ipv6,请先启用ipv6喔,如能ping6通 ::1。 ------------------------- 回 266楼(11提供给个) 的帖子 版主回复: 看起来,您的隧道地址,从外网ping6不通呢: $ ping6 2001:470:1f04:101e::2 PING 2001:470:1f04:101e::2(2001:470:1f04:101e::2) 56 data bytes --- 2001:470:1f04:101e::2 ping statistics --- 58 packets transmitted, 0 received, 100% packet loss, time 57000ms ------------------------- 回 267楼(御峰金服) 的帖子 版主回复: 现在测试,好象您的ipv6隧道地址信息失效了: $ ping6  2001:470:39:693::1 PING 2001:470:39:693::1(2001:470:39:693::1) 56 data bytes From 2001:470:0:24b::2 icmp_seq=1 Destination unreachable: No route From 2001:470:0:24b::2 icmp_seq=2 Destination unreachable: No route From 2001:470:0:24b::2 icmp_seq=3 Destination unreachable: No route From 2001:470:0:24b::2 icmp_seq=4 Destination unreachable: No route ------------------------- 回 288楼(hammondzhw) 的帖子 您好,我没用过NAT网关,但在he官方常见问答里提到重要的两点:可以响应 ICMP 及允许41协议通过。 Two important notes: Your IPv4 endpoint address must be reachable via ICMP ECHO_REQUEST (Internet Control Message Protocol). If you are using a NAT (Network Address Translation) appliance, please make sure it allows and forwards IP protocol 41. ------------------------- 回 290楼(xxjava) 的帖子 您好, 一般情况下,需要删除之前在系统里已经配置的IPv6隧道地址信息,再重新绑。就是不能重复绑定。

dongshan8 2019-12-02 02:43:52 0 浏览量 回答数 0
阿里云大学 云服务器ECS com域名 网站域名whois查询 开发者平台 小程序定制 小程序开发 国内短信套餐包 开发者技术与产品 云数据库 图像识别 开发者问答 阿里云建站 阿里云备案 云市场 万网 阿里云帮助文档 免费套餐 开发者工具 企业信息查询 小程序开发制作 视频内容分析 企业网站制作 视频集锦 代理记账服务 2020阿里巴巴研发效能峰会 企业建站模板 云效成长地图 高端建站