SSL中级证书、交叉证书

最近公司一个域名购买了SSL证书,证书商家是GeoTrust,在国内有代理机构,服务态度和颁发效率都还可以,就是贵了点。证书拿到手后,就是2个文件,server.crt(公钥)和server.key(私钥)。这2个文件都可以自己使用openssl工具制作,但关键是要交给CA机构进行身份认证和数字签名,否则不被浏览器信任。

在申请证书过程中,私钥当然是自己保管。商家审核通过后,会将SSL证书(签名过的公钥)邮件发过来。但是,发过来的有3个文件:SSL证书、中级证书、交叉证书。除了SSL证书外,另外两个证书有神马作用呢?经向厂家咨询,它们的作用如下:

  • 中级证书是SSL证书的颁发者(父亲)跟SSL证书一起组成一个证书链,一起返回给客户端,客户端能根据这个中级证书关联到一个可信的根证书,这样证书才被客户端承认,才能正常使用。
  • 交叉证书是一个特殊的中级证书,安装它是为了兼容一些老的客户端,比如2000年以前的客户端、比较老的手机客户端等。

继续阅读

发表在 Common | 标签为 , | 留下评论

巴赫提车记

标题党,请注意不是迈巴赫,是巴赫自行车。3月公司年会上中奖的,拿回家放了一个月。京东快递到的,当时在公司三个大男人没把它装好。上周末拿到唐家一个自行车店,老板重新组装,花了几十大元。老板说价格双倍,拆的费用一半,装的费用一半。装好后,从唐家沿着海边骑到家中,全程约5公里,耗时半小时,零油耗。

behee

继续阅读

发表在 Common | 标签为 | 留下评论

根据ISP分配IP的Neutron API扩展

我们组的Yuanle Song同学,提供一个Neutron API扩展,在创建port时,支持port根据指定的ISP参数来绑定IP地址。

中国很多IDC提供双线或多线服务器,比如电信、联通双线。在使用Neutron的port-create命令时,默认情况下是从多个subnet池里随机拿一个IP地址,无法准确得到是电信的,还是联通的。虽然可以指定subnet id获取特定的IP,但这样做涉及到对网络配置元数据的管理,比如客户端要保存subnet id以及subnet与ISP的映射关系,增加了复杂度。该Neutron API扩展解决了这个问题,让创建不同ISP的IP地址变得简单。

在使用这个扩展后,调用subnet-create创建子网时,可以指定–isp:name参数,表示ISP名字,比如:

$ neutron subnet-create \
--tenant-id $ADMIN_TENANT_ID \
--name=tel-001 \
--isp:name=tel \
--enable_dhcp=True eth1 10.3.1.0/24

上述表示创建一个子网,位于电信ISP。

然后,在创建port时,可以指定–isp:hint参数,指定从哪个ISP池里获取IP地址,例如:

$ bin/neutron port-create --isp:hint="tel,uni" eth1

上述表示创建一个电信IP、一个联通IP,绑定在同一个port上。

作者提供的完整文档请见:http://www.nsbeta.info/doc/neutronISP.html

发表在 Common | 标签为 | 留下评论

Streem提供无限空间的流媒体云存储

假如你使用云存储不止是存储文件,也存储音乐、电影、和其他流媒体内容,Streem就非常合适,它提供无限空间的云存储和流媒体存储,每月费用20刀(Beta期间免费)。如果用户不愿意付费,那么得到20GB免费空间。它同样有桌面和移动APP,可以跨平台访问。

流媒体的好处是,在播放它们时,不必下载到本地。只要上传一份文件,然后在任何有网络连接的地方,都可以在线访问。当访问文件时,流媒体采用自适应比特率,根据网络连接好坏情况,得到最好的播放质量。它甚至可以实时转码,让你在任何设备上都能正常访问媒体内容,不局限于媒体格式。

streem

 

发表在 Common | 标签为 , | 2条评论

学习Openstack的指导性资源

Jason Hibbets写了一个经典帖子,帮助人们理解和学习Openstack,包括:

  • 什么是Openstack
  • Openstack参与和社区
  • Openstack技术相关

完整帖子请猛击这里

发表在 Common | 标签为 | 留下评论

云数据库和云主机数据库对比

看到Rackspace这篇blog,对比了云Mysql数据库和基于云主机的Mysql数据库的性能和使用成本。性能对比图表如下:

compare_tps

实线的是云数据库,虚线的是云主机数据库,不同的颜色代表不同的内存大小。这里的数据说明云数据库通常情形下性能高于云主机数据库,特别在压力大时。

还做了一个成本收益对比,从每刀支出带来的处理能力进行统计,图表如下:

compare_cost

这个数据也说明压力越大时,云数据库成本优势越明显。

综上,从性能和成本角度看,云数据库优于基于云主机的数据库。不过云数据库也有自己的缺点,比如Mysql参数是默认调优,你不能修改它的参数,也不能配置master/slave复制。

性能测试工具是sysbench,测试表的大小是两百万行记录,测试客户端是4G内存云主机、200Mbps网络吞吐量。

发表在 Common | 标签为 , | 留下评论

什么是DNS?

在一个朋友的blog上看到这篇文章”What is DNS“,描述了DNS的发展历史和基本作用,写的浅显易懂,转帖如下。

The Domain Name System (DNS) is a distributed database that maps domain names to network IP addresses.

That, essentially, is all DNS does. You could navigate around the Internet via IP addresses instead of domain names and just remember that google.com is 72.14.213.147. And in the early days of the Internet in the late 1960’s this is exactly what folks did.

继续阅读

发表在 Common | 标签为 , | 留下评论

Openstack基本命令

Openstack有数量众多的命令行工具(CLI),用来执行各式各样的管理任务,例如VM管理、存储管理、网络管理。本文描述用Openstack CLI工具执行如下任务:

  • 设置环境变量
  • 使用内置帮助
  • 创建和使用SSH密钥对
  • 创建和修改glance镜像
  • 创建nova flavor
  • 启动和删除镜像
  • 创建tenant
  • 创建tenant的用户和角色
  • 测试身份认证

继续阅读

发表在 Common | 标签为 | 留下评论

System-NS.com介绍

System-NS.com是2013年新出现的DNS解析服务,当前处于Beta状态。在Beta期间,用户注册后可以免费解析5个域名,也可以使用它作为secondary DNS。它也有一个基本的动态DNS服务,免费用户可获得一个子域名。

优点:

  • DNS记录可通过API动态更新(跟DNSbed一样)
  • 免费服务可解析5个域名
  • Secondary DNS可以有10个域名

缺点:

  • 还在Beta状态,可能有bug
  • 价格尚不明
  • DDNS没有客户端,只提供了一个API
  • 主站位于欧洲,国内访问慢

继续阅读

发表在 Common | 标签为 , | 留下评论

Neutron网络介绍

Neutron是Openstack的网络组件,它跟其他组件如Nova, Glance, Keystone, Horizon协同工作,完成Openstack的虚拟网络功能。Neutron使用Open vSwitch(OVS)这个开源的、软件基础的虚拟交换机。Neutron的OVS组件由2部分构成:

  • OVS插件:由Neutron服务在运行时加载。该插件提供API访问,并存储网络逻辑数据和映射关系在后台数据库里。
  • OVS代理:在每个计算节点运行。该代理从数据库里获取配置信息,并与本地的OVS实例进行通信,执行网络配置。

对Openstack来说,OVS作为内核模块存在,或作为唯一的用户空间进程存在。与物理交换机类似,OVS基于端口配置,负责网络数据包的打标签、转发等。Neutron通过OVS插件与OVS进行交互。

继续阅读

发表在 Common | 标签为 | 留下评论