Category Archives

5 Articles

Ubuntu 22.04 / OpenSSH 8.9 使用 gpg-agent 登錄報錯 agent refused operation 的解決方法

0   5880 轉為簡體

Ubuntu 22.04 升級了 OpenSSH 到8.9,這個版本默認開啟 [email protected] 作為密鑰交換(KEX)方法。這個算法使用 512 bit 的 hash。

如果客戶端和服務端都升級到了8.9或以上,則成功協商使用這一KEX算法,這時如果使用 gpg-agent 的 SSH 功能簽名則會報 agent refused operation。

打印 gpg-agent 的日誌可看到報錯為 Provided object is too large。

解決方法是在客戶端(~/.ssh/config)或服務端(/etc/ssh/sshd_config)中禁用這個算法

同理 diffie-hellman-group16-sha512 和 diffie-hellman-group18-sha512 也應該被禁用,但它們優先級本來就很低。

如果仍然有問題,把Kex Host Key Algorithm也改一下,如改成

Hashicorp Nomad的坑

0   7599 轉為簡體

因為組裡k8s大佬濃度不夠,最後用了Nomad來做容器編排。開個文章記錄一下踩過的坑:

network allocation配額沒有明確的提示

Nomad的文檔以及各種Grafana dashboard都沒有提到node上的network allocation其實是有上限的,雖然metrics里是有這一項的(nomad_client_allocated_network/nomad_client_unallocated_network)。具體如何計算尚不明確,可能需要看代碼。我們的EC2上有看到500Mb和1000Mb的上限。

如果不指定,默認每個task佔用100Mb的速度(見文檔),這是一個硬上限,如果node完全被allocate的時候,超過這個限制的容器會被限速。個人覺得Nomad的這個設計是坑爹的,網速這類資源相比於CPU和內存是更加體現突發的特性的,如果只能設置硬性上限,利用率顯然會非常低。這個是上個世紀的QoS了吧。

allocation啟動時的template re-render

這是一個bug:https://github.com/hashicorp/nomad/issues/5459。如果用了集成的consul-template來做服務發現,某些情況下可能在allocation啟動過程中觸發re-render,從而nomad client向容器發送信號;但當容器還沒起來的時候,nomad client會拒絕發送信號並且把這個容器幹掉,並且不會嘗試重新啟動

也不知道是哪個神仙想出來的這種奇葩設計。

system類型的task

如果一個task是system類型, 那它會在所有滿足條件的node上運行。但是它默認的restart參數很容易會因為一些臨時性的錯誤讓整個task掛掉,我們重新設置了restart參數

容器里的單個端口無法映射成多個端口

docker里我們可以把容器里的一個端口映射成任意多個端口;但是nomad無法做到,看起來像是處理job definition時的一個bug(issue鏈接)。

下面的配置,只有8001端口會被映射;http1這個端口在port_map里被http2覆蓋了。

下面的配置不會報錯,但是仍然只有8001會被映射。

解決的辦法是在容器內開多個端口,分別映射到不同的外部端口。

terraform provider無法檢查nomad job的更改

遠古bug: https://github.com/hashicorp/terraform-provider-nomad/issues/1

如果在terraform外部修改了nomad的job定義,在terraform provider里是無法檢測到的。

不是很懂那我有它何用?

從 MaxMind 新版 GeoIP 數據庫轉換舊版數據庫

0   8163 轉為簡體

因為MaxMind不再更新v1版的GeoIP數據庫,所以自己從v2的CSV文件轉格式。

使用的工具是https://github.com/fffonion/geolite2legacy

城市和ASN數據庫可以從這裡下載,每日更新。也可以直接使用cidr.me來查詢,使用方法可以參閱這篇文章

ASN數據來自HE BGP toolkit,可以同時查詢上一級的ASN。使用的工具是https://github.com/fffonion/GeoIPASNum-Generator

另外這個老哥也有(每月?)更新的數據庫,但是IPv6+IPv4的數據庫有問題,應該用的是上游的轉換腳本(騙了個PR)。

注意從2019年12月30日開始,需要使用License Key下載數據庫。

附更新腳本:

 

Jenkins 中構建有私有模塊的Go項目

0   7598 轉為簡體

更新:

可以使用 athens 來建立全局go modules緩存,管理SSH密鑰會更加方便。

 

go get 的底層會調用git來clone模塊,因此我們只要保證git clone repo_url 可以無交互正常運行,就可以讓go get 也正常下載模塊。

如果是在本地使用, 則可以安裝hub或者設置將https重寫成ssh地址,以自動使用私鑰下載,而無需交互輸入用戶名密碼。

如果在Jenkins中使用,就算可以馬上使用後刪除,任何時候讓一個ssh私鑰保存在磁盤上都是不安全的。所以我們使用credential.helper + 環境變量,並且用https地址的方式來給git提供用戶名密碼。

使用credential.helper 可以允許git調用配置的命令獲取用戶名和密碼,我們使用一個一行的shell腳本把環境變量$USERNAME  和 $PASSWORD 打印出來:

這樣,任何時候我們都不會在磁盤上保存用戶名和密碼,所有信息都在內存里。

然後,因為go get 會clone一個新的repo到本地,我們沒有辦法在這之前設置每個repo的credential.helper,所以這個配置必須是全局的設置。我們用一個docker容器來完成整個項目,然後把這個配置通過docker volume掛載到$HOME/.gitconfig下:

注意Jenkins的docker插件會傳遞當前的HOME等環境變量,這個目錄往往在容器中不存在,所以我們覆蓋容器中的用戶目錄到/tmp。

完整的Jenkinsfile如下: