PHPor 的Blog – 第69页

端口重定向工具

fpipe： tcp or udp （without encrypt）

http://www.mcafee.com/cn/downloads/free-tools/fpipe.aspx

spipe： only for tcp

http://www.enet.com.cn/article/2009/0625/A20090625491131.shtml

stunnel：

https://www.stunnel.org/index.html

关于redis短连接问题

场景：

PHP通过phpredis(https://github.com/phpredis/phpredis)循环执行如下操作：

<?php
while(true) {
        $r = new Redis();
        $r->connect(...);
        $r->auth(...);
        $r->set(...);
        $r->get(...);
}

<?php

while(true) {

$r = new Redis();

$r->connect(...);

$r->auth(...);

$r->set(...);

$r->get(...);

}

发现connect会出现大量超过1s的情况，甚至超过3s；但是，如下图抓包所示：两次请求之间间隔了3s才发送syn请求，并且没有失败，也就是说，并非syn丢包所致，而是因为某种原因导致根本没有发送syn包；但是外部表现却是connect花费了很多时间（3s）；

所以，从此推断，连接超时未必就一定是网络的问题，你们究竟会是什么原因导致client端3s后才发送syn的呢？

阅读源码发现： redis的connect用的是php提供的connect方法：php_stream_xport_create

其实，fsockopen用的也是该方法，如此的话，不放通过如下脚本直接测试connect：

<?php

$errno = 0;
$error = "";
$i = 0;
while(true) {
	$i++;
	$time_start = microtime(1);
	$fp = fsockopen("10.172.90.108", 6379, $errno, $error, 5);
	$time_end = microtime(1);
	$time_use = $time_end - $time_start;
	if ($time_use > 1) {
		echo "timeout: $time_use ($i)\n";
	}
	if ($fp) fclose($fp);
}

<?php

$errno = 0;

$error = "";

$i = 0;

while(true) {

$i++;

$time_start = microtime(1);

$fp = fsockopen("10.172.90.108", 6379, $errno, $error, 5);

$time_end = microtime(1);

$time_use = $time_end - $time_start;

if ($time_use > 1) {

echo "timeout: $time_use ($i)\n";

}

if ($fp) fclose($fp);

}

结果如下：

connect超过1s的还挺不少的
前面300多次的时候连续出了好几次超过1s的，你们怎么会从374到13489一直没出错呢？而且，运行程序的时候也能感觉到，从第374到第13489花费时间很短的，难道这个区间根本没有发生真正的连接？ strace 跟踪统计发现，确实connect了，就是说，一般情况下，connect是很快的
该问题可能发生在PHP中，也可能发生在glibc中，也可能发生在系统层面，排查办法：
1. 写一个C的，如果不出现问题，那么就是PHP的问题；如果依然如此，很可能是系统问题

salt-cp 不能传二进制问题

问题：

salt-cp copy 了一个9MB的字体文件，结果就把内存耗光了，不解；

突然想起哪里又说salt-cp不能处理二进制文件，翻下代码看看：（注意这里的fopen）

/usr/lib/python2.6/site-packages/salt/cli/cp.py

让go get 支持gitlab

参考文章： https://baokun.li/archives/go-get-proxy/

在你的nginx中添加配置：

if ($args ~* "^go-get=1") {
  set $condition goget;
}
if ($uri ~ ^/([a-zA-Z0-9_-]+)/([a-zA-Z0-9_-]+)/.*$) {
  set $condition "{condition}path";   
}
if ($condition = gogetpath) {
  return 200 "<!DOCTYPE html><html><head><meta content='your.domain.com/$1/$2 git http://your.domain.com/$1/$2.git' name='go-import'></head></html>";
}

if ($args ~* "^go-get=1") {

set $condition goget;

}

if ($uri ~ ^/([a-zA-Z0-9_-]+)/([a-zA-Z0-9_-]+)/.*$) {

set $condition "{condition}path";

}

if ($condition = gogetpath) {

return 200 "<!DOCTYPE html><html><head><meta content='your.domain.com/$1/$2 git http://your.domain.com/$1/$2.git' name='go-import'></head></html>";

}

注意：修改你自己的域名

另：

可能你自己的gitlab没有配置https，那么可以给go get 添加 -insecure 选项即可
可能你的gitlab仓库需要输入用户名和密码，那么你可以改成public的就好了

centos 修改时区

cp /usr/share/zoneinfo/Asia/Shanghai /etc/localtime

1	cp /usr/share/zoneinfo/Asia/Shanghai /etc/localtime

rpm打包

参考： https://docs.fedoraproject.org/en-US/Fedora_Draft_Documentation/0.1/html/RPM_Guide/ch-advanced-packaging.html

关于docker

docker create -it 其中 -it选项，如果没有的话，docker exec 进去，top时会报 TERM environment variable not set. 错误 ; 其实没有关系，手动 export TERM=xterm-256color 就可以了;其实， -it 选项和1号进程为 /bin/bash 是密切相关的；如果1号进程不是 /bin/bash 的话，-it选项没有屁用
docker 的CMD 其实是1号进程，一定不能立即就会退出的进程，如： service sshd start 就不行，如下脚本就可以：

#!/bin/bash # this is a start shell for containner service sshd start while :; do sleep 10000 done

1
2
3
4
5
6

#!/bin/bash
# this is a start shell for containner
service sshd start
while :; do
sleep 10000
done
容器可以自杀：容器内进程使用root kill -9 1 默认是杀不死1号进程的，但是：
当strace -p 1 的时候，kill -9 1 是可以杀死1号进程的（难道说这是个bug？）
因为docker stop时是先给1号进程发送sigterm，是在不行才kill -9 ；所以，1号进程最好能合理处理sigterm信号，最后退出；然而，容器内的root进程是有权限给1号进程发送sigterm信号的，所以，容器自杀其实是很方便的
改进版的1号进程
myinit.c

#include <stdlib.h> #include <unistd.h> int main(int ac, char **av) { while(1){ sleep(10000); } return 0; }

1
2
3
4
5
6
7
8
9

#include <stdlib.h>
#include <unistd.h>

int main(int ac, char **av) {
while(1){
sleep(10000);
}
return 0;
}

gcc -o myinit myinit.c
myinit.sh

#!/bin/bash # this is a start shell for containner service sshd start exec /sbin/myinit

1
2
3
4

#!/bin/bash
# this is a start shell for containner
service sshd start
exec /sbin/myinit

其实还不够
你会慢慢发现，ssh连接失败，因为：sshd接到连接请求之后，检查是否session太多了（默认最大10个），超过了就不伺候了，直接断开；为什么会太多了？sshd每次接到连接请求，会fork => fork (两次fork)出来一个子进程处理请求，就因为是两次fork，这个新的sshd进程便“过继”给了1号进程；但是上面的1号进程还不够成熟，不会带孩子，当这个新的sshd进程退出的时候，就需要1号进程来做一些处理（如：清理进程表项），但是1号进程还不会，于是新的sshd进程会处于 <defunct>状态；而sshd的祖先还以为该session还没结束，就不再接受新的请求了，解决办法：添加信号处理，如下：

#include <stdlib.h>
#include <unistd.h>
#include <signal.h>

int main(int ac, char **av) {
	signal(SIGCHLD, SIG_IGN);
	while(1){
		sleep(10000);
	}
	return 0;
}

#include <stdlib.h>

#include <unistd.h>

#include <signal.h>

int main(int ac, char **av) {

signal(SIGCHLD, SIG_IGN);

while(1){

sleep(10000);

}

return 0;

}

参考资料：
https://blog.phusion.nl/2015/01/20/docker-and-the-pid-1-zombie-reaping-problem/
https://github.com/phusion/baseimage-docker/blob/rel-0.9.16/image/bin/my_init
dockerd 提供了init 和init-path的选项，允许配置是否启动一个指定的（默认的）init进程，该进程就是为了转发信号和收割僵尸进程的

上面sshd对于连接请求是两次fork的说法不太对，见下图：

99、134进程并没有立即退出（不过，一旦意外退出，则 101、136将会被1号进程收养）
还有一种情况为：sshd被restart了，这时候30号进程退出，99、134被1号进程收养，如下：

由于我重启了sshd，再次连接就会失败，如下：

为什么呢？
稍后再查，至少可以确定的是，启动容器时候启动的sshd是可以正常服务的，登录进去重启的sshd是不能正常服务的

关于docker的内存限制：

如果每个docker容器限制最大使用4G，则可能会使用超过4G，（似乎是使用了交换分区了）
如果宿主机有64G内存，则允许docker容器内存总和大于64G，（这个不会也和交换分区有关吧）
文档说–memory-swap=-1 就禁止使用交换分区了，但是测试发现还是使用了1倍内存的交换分区

缅怀一下阿里云云引擎

学习一下人家下线产品是咋写的：

阿里云云引擎ACE产品转型下线公告
尊敬的阿里云用户：
您好。
自ACE产品上线以来，我们致力于为用户提供更好的服务以及体验。
今日，我们非常遗憾的通知您，由于产品体系升级，阿里云云引擎ACE产品将于2016年5月12日整体下线，届时ACE产品（包括扩展服务）将全部停止服务（整体下线安排见后）。我们推荐您使用云服务器ECS、弹性web托管、容器服务等其他云计算产品。
在此期间，ACE产品团队将会：
1、 如选择使用ECS或弹性web托管服务，我们将提供相应的代金券；
2、 在用户管理控制台为您提供数据下载的快速通道，您可通过此快速通道进行数据下载\备份以及迁移的工作（如您选择阿里云其他产品的，阿里云并将提供对应的迁移方案）；
3、 针对未到期的包年包月ACE产品，阿里云将启动退款程序（具体方案将通过站内信或邮件发送给您）。
请在ACE服务到期日之前安排好数据，逾期将无法找回。
如您在下线过程中遇到问题，可直接从阿里云用户中心—工单管理—提交工单-云引擎ACE提交工单。
因产品体系升级给您带来不便，我们深表歉意。
再次感谢您对阿里云的支持！
阿里云计算有限公司
2016年4月6日
常用Q&A
1、云引擎ACE为什么要下线？
答：您好，非常抱歉，由于产品体系升级，业务调整影响，云引擎ACE将不再提供服务。
2、已买了云引擎ACE的包年包月某某版本，在2016年4月6日以后服务还未到期，产品下线了怎么办？
答：您好，已购用户一方面我们会根据您购买ACE的不同语言针对性的推荐阿里云其它产品并提供对应的迁移方案，另一方面会启动退款程序，已购用户的邮箱或者站内信、短信4月6日会统一收到通知，请收到的用户及时查到您的手机、邮箱或阿里云账户中心
3、已买了按量付费云引擎ACE，产品下线了怎么办？
答：您好，一方面我们会根据您购买ACE的不同语言针对性的推荐阿里云其它产品并提供对应的迁移方案，另一方面我们已争取替代产品的最大化代金券，已发放至您的账号，您可以直接用来购买新产品
4、产品下线了，我的应用数据怎么办
答：您好，5月12正式下线之前，我们会一直提供数据下载快速通道，您可以随时做好数据下线和备份工作，若您选择阿里云其他产品，我们提供推荐产品的迁移方案，您可直接根据方案迁移数据
5、我的应用正好在你产品下线期间到期了怎么办？
答：您好，为了保证用户体验，在4月6日-5月12日期间到期的客户可以继续使用应用直至5月12日产品正式下线为止。
6、你们产品下线，推荐我购买其他产品有没有优惠？
答：您好，我们已争取其他产品的最大化优惠代金券，已发放至您的账号，您可以直接用来购买新产品，代金券有效期为30天，请及时使用 。
7、下线期限，包年包月超过流量套餐配置外流量还收费吗？
答：您好，4月6日-5月12日针对超套餐的流量系统仍计费，超出部分按照￥0.80/GB收费，基本版和普通版每个月50GB免费公网流出流量，流入流量免费，专业版每个月80GB免费公网流出流量，流入流量免费

阿里云云引擎ACE产品转型下线公告

尊敬的阿里云用户：

您好。

自ACE产品上线以来，我们致力于为用户提供更好的服务以及体验。

今日，我们非常遗憾的通知您，由于产品体系升级，阿里云云引擎ACE产品将于2016年5月12日整体下线，届时ACE产品（包括扩展服务）将全部停止服务（整体下线安排见后）。我们推荐您使用云服务器ECS、弹性web托管、容器服务等其他云计算产品。

在此期间，ACE产品团队将会：

1、如选择使用ECS或弹性web托管服务，我们将提供相应的代金券；

2、在用户管理控制台为您提供数据下载的快速通道，您可通过此快速通道进行数据下载\备份以及迁移的工作（如您选择阿里云其他产品的，阿里云并将提供对应的迁移方案）；

3、针对未到期的包年包月ACE产品，阿里云将启动退款程序（具体方案将通过站内信或邮件发送给您）。

请在ACE服务到期日之前安排好数据，逾期将无法找回。

如您在下线过程中遇到问题，可直接从阿里云用户中心—工单管理—提交工单-云引擎ACE提交工单。

因产品体系升级给您带来不便，我们深表歉意。

再次感谢您对阿里云的支持！

阿里云计算有限公司

2016年4月6日

常用Q&A

1、云引擎ACE为什么要下线？

答：您好，非常抱歉，由于产品体系升级，业务调整影响，云引擎ACE将不再提供服务。

2、已买了云引擎ACE的包年包月某某版本，在2016年4月6日以后服务还未到期，产品下线了怎么办？

答：您好，已购用户一方面我们会根据您购买ACE的不同语言针对性的推荐阿里云其它产品并提供对应的迁移方案，另一方面会启动退款程序，已购用户的邮箱或者站内信、短信4月6日会统一收到通知，请收到的用户及时查到您的手机、邮箱或阿里云账户中心

3、已买了按量付费云引擎ACE，产品下线了怎么办？

答：您好，一方面我们会根据您购买ACE的不同语言针对性的推荐阿里云其它产品并提供对应的迁移方案，另一方面我们已争取替代产品的最大化代金券，已发放至您的账号，您可以直接用来购买新产品

4、产品下线了，我的应用数据怎么办

答：您好，5月12正式下线之前，我们会一直提供数据下载快速通道，您可以随时做好数据下线和备份工作，若您选择阿里云其他产品，我们提供推荐产品的迁移方案，您可直接根据方案迁移数据

5、我的应用正好在你产品下线期间到期了怎么办？

答：您好，为了保证用户体验，在4月6日-5月12日期间到期的客户可以继续使用应用直至5月12日产品正式下线为止。

6、你们产品下线，推荐我购买其他产品有没有优惠？

答：您好，我们已争取其他产品的最大化优惠代金券，已发放至您的账号，您可以直接用来购买新产品，代金券有效期为30天，请及时使用。

7、下线期限，包年包月超过流量套餐配置外流量还收费吗？

答：您好，4月6日-5月12日针对超套餐的流量系统仍计费，超出部分按照￥0.80/GB收费，基本版和普通版每个月50GB免费公网流出流量，流入流量免费，专业版每个月80GB免费公网流出流量，流入流量免费

关于API网关

https://tyk.io/
阿里云API网关： https://help.aliyun.com/product/9194896_apigateway.html
AWS API网关：https://aws.amazon.com/cn/api-gateway/

为什么API网关也能成为一种服务： http://www.d1net.com/cloud/vendors/359931.html

关于httpdns

概要

httpdns就是通过http的方式进行域名解析；阿里云有提供httpdns服务（目前2016-4-9 还处于公测阶段，需要申请公测资格才能用）。

传统dns解析存在的问题：

由于传统dns解析采用udp方式，而且是明文，所以
1. 可能会被篡改
2. 可能会被投毒（什么叫“投毒”？且看下文）

httpdns的实现原理：

通过http的方式进行域名解析，如：

curl http://203.107.1.1/100000/d?host=www.aliyun.com {"host":"www.aliyun.com","ips":["140.205.63.8"],"ttl":274}

1
2

curl http://203.107.1.1/100000/d?host=www.aliyun.com
{"host":"www.aliyun.com","ips":["140.205.63.8"],"ttl":274}
通过设置http host header的方式发起http请求，如：

curl -H"Host: www.aliyun.com" http://140.205.115.67/

1

curl -H"Host: www.aliyun.com" http://140.205.115.67/

问题：

httpdns server的域名如何解析？
httpdns server 不通过域名提供服务，（只能）直接通过一个固定IP提供服务；服务提供商有足够的手段让这个IP不会出现宕机，而且世界各地（或者是全国各地）访问都能很快（就近访问），这个IP在世界上存在多份。
如何保证连接的这个ip是没被劫持呢？
1. 或许可以给这个IP买个https证书，https证书提供商是可以给IP颁发证书的（比较少见），不过可能贵的多

优点：（参考文档： https://www.aliyun.com/product/httpdns?spm=5176.7960203.223922.4.2JohAO）

防劫持
避免dns服务商莫名其妙的cache，可以做到立即修改理解生效

精准调度

对于地址：
http://203.107.1.1/100000/d?host=www.aliyun.com&amp;ip=111.111.11.111
其中：
100000是你的账户ID，host参数是你要解析的域名，ip参数是你的来源IP（用来做精准调度的）；
你可以在你的账户中设置允许解析的域名，以及要解析到的地址，甚至可以根据来源IP解析到不同的IP，
做到精准调度

对于地址：

http://203.107.1.1/100000/d?host=www.aliyun.com&ip=111.111.11.111

其中：

100000是你的账户ID，host参数是你要解析的域名，ip参数是你的来源IP（用来做精准调度的）；

你可以在你的账户中设置允许解析的域名，以及要解析到的地址，甚至可以根据来源IP解析到不同的IP，

做到精准调度

问题：

https请求问题及解决方案： https://help.aliyun.com/document_detail/httpdns/practice/https.html?spm=5176.7947101.220063.5.9DtXGS
1. 这里回避了单个IP上多个https证书的问题，或许也可以通过钩子解决，但是不一定存在这样的钩子； ssl握手的时候，必须告知正确的host信息，否则，服务器无法知道该返回哪个证书，而不仅仅是验证证书的问题
httpdns只适用于app、client的情况，对于web浏览器是不行的，还好现在大家都是在玩app了；
对于app里面适用webview的情况需要特殊处理一下：https://help.aliyun.com/document_detail/httpdns/practice/webview.html?spm=5176.dochttpdns/user-guide/resolve-stats.6.127.VFTz3N；
对于通过react native来开发app的情况不知道是否方便使用

dns投毒：

因为域名解析是udp的，只要我已dns server的ip不断地向你的机器发送域名解析结果响应的话，你可能就会认为确实是dns server响应的结果；当然，有几个关键点需要注意：