运维与架构

引言 2026年3月1日，一个看似普通的日子，却在科技史上留下了不可磨灭的印记。伊朗用无人机袭击了亚马逊在阿联酋和巴林的三个数据中心。这不是普通的网络攻击，而是物理层面的军事打击。 这是全球首次针对"超大规模云计算服务商"的军事行动。它的意义，远不止几个数据中心瘫痪那么简单。 事件回顾 攻击目标： 阿联酋：2处数据中心被直接命中 巴林：1处数据中心受爆炸波及 攻击方式：无人机精确打击 影响范围： AWS云服务出现错误率上升、可用性下降 部分设施因消防进水而进一步受损 多个"可用区"瘫痪，容灾机制未能完全发挥作用 截至发稿，部分设施仍处于离线状态 亚马逊的建议很直接：备份数据，考虑迁移到其他区域。 为什么是数据中心？ 从工业时代的"供血系统"到AI时代的"神经中枢" 清华大学孙成昊的观察非常精准： “过去军事打击往往瞄准油气设施、发电厂、港口与通信枢纽，因为这些是工业社会的’供血系统’。而在AI与云计算主导的时代，算力与数据基础设施正在变成国家运行的’神经中枢’。” 这个比喻很到位。数据中心不像发电厂那样显眼，但它们承载的已经不仅仅是"计算"—— 金融交易 物流调度 通信服务 政府系统 AI推理 一次精准打击，不需要摧毁整座设施，只要打断供电、冷却或关键网络节点，就能造成长时间的大面积中断，并外溢到金融、物流等多个系统。 数据中心的"软肋" 一个残酷的现实：数据中心太大了，太大就意味着难防守。 卡内基国际和平基金会的研究员指出了一个关键点： “数据中心通常拥有明显的外部设施，例如大型空调系统、柴油发电机和燃气轮机。这些设施占地广阔，只要破坏部分冷却设备，就可能让整个数据中心完全下线。” 想想看，一栋大楼里装着成千上万台服务器，它们的共同弱点是什么？ 散热：没有空调，服务器会在几分钟内过热宕机 电力：没有电，再好的服务器也是废铁 网络：光缆一断，就是一座孤岛 无人机不需要炸穿钢筋混凝土外壳，只要精准打击外部的冷却塔或变压器，就能让整个数据中心瘫痪。这是非对称战争的典型打法。 地缘政治的新战场 伊朗的逻辑 伊朗法尔斯通讯社的表态耐人寻味： “此举旨在查明这些中心在支持敌方军事和情报活动中的作用。” 换句话说，伊朗认为这些数据中心不再是无辜的民用设施，而是潜在军事基础设施。这是一个危险的信号。 在伊朗看来： 美国科技公司在中东的扩张，与美国的军事存在密不可分 这些数据中心可能被用于情报收集、军事指挥 打击它们，是一种"对等的回应" 不管这个逻辑是否成立，它揭示了一个事实：科技公司已经无法在军事冲突中保持中立。 海湾国家的困境 沙特和阿联酋一直在努力打造"全球AI枢纽"的形象： 沙特的Humain公司承诺建设大型数据中心集群 阿联酋的G42与英伟达、亚马逊、微软签署多项合作 阿布扎比正在建造OpenAI的"星际之门"超级数据中心 但现在，这个叙事变得脆弱了。 美国外交关系委员会的高级研究员Jessica Brandt说得直白： “海湾国家一直把自己宣传为比其他市场更安全的选择，但现在这个论点变得更难成立。” 投资人会问：如果伊朗可以轻易打到亚马逊的数据中心，那我们的百亿美元投资还安全吗？ 保险公司会问：这种风险怎么定价？ 科技公司的工程师会问：我要不要去一个可能被轰炸的地方工作？ 云计算的"集中风险" 这次袭击暴露了一个深层次的问题：云计算的集中性，本身就是一种风险。 商业集中 = 军事目标 Uptime Institute的分析师Owen Rogers指出： “服务军事需求的数据中心通常规模较小且’隐藏较深’，而像亚马逊云服务这样的大型商业设施往往拥有数千客户，一旦遭袭将带来严重的’集中风险’。” 这就像金融业的"大而不倒"问题——AWS太大了，大到成为了战略目标。 想想看，AWS在海湾地区的数据中心承载着什么： 当地政府的云计算业务 银行和金融机构的交易系统 电商和物流平台 初创公司的全部IT基础设施 一旦这些设施瘫痪，影响是指数级扩散的。这不是一个客户的问题，是整个生态系统的停摆。 ...

阿里巴巴构建的阿里云开发者社区真是懂程序员所想，这里有一切你想你要的。 主页： https://developer.aliyun.com 特别是它的阿里云镜像站，真是一个大宝藏啊 https://developer.aliyun.com/mirror/ 里面包含所有Linux版本的操作系统镜像 此外还有： DNS解析 https://developer.aliyun.com/mirror/DNS NTP服务器 https://developer.aliyun.com/mirror/NTP 各种语言的镜像： python pypi软件仓 https://developer.aliyun.com/mirror/pypi rubygems https://developer.aliyun.com/mirror/rubygems maven仓镜像 https://maven.aliyun.com/mvn/view npmjs https://developer.aliyun.com/mirror/NPM

当你编译一个开源软件的时候，例如nginx、php，他可能需要依赖很多开源库，一种做法是去官方网站上下载，自己编译。 但是新的开源库，可能又依赖另外一个开源库，你会发现自己陷入一个二叉树。。。。 还是使用系统的应用管理软件去直接安装开发包，是最方便的，例如SUSE的zypper。编译的时候依赖哪个包就安装哪个包， zypper帮你自动下载安装它所依赖的其它库。 一个开源库，有两个jar包，一个普通的包，一个是开发包（会包含编译用的头文件）。举例zlib库。 一个是zlib包，一个zlib-devel包。系统的安装盘里，只有zlib包，zlib-devel包是在SDK盘里。 SUSE的SDK安装源是非常难找啊，但是还是被我找到一个： 如果你和我一样使用的SUSE 你所需要的安装源，可以在http://demeter.uni-regensburg.de这个网站找这个SDK盘的安装源。 比如，我用的是SLE11SP3，对应的SDK安装源就是http://demeter.uni-regensburg.de/SLE11SP3-SDK-x64/DVD1/ 现在做的就是配置到zypper里： vi /etc/zypp/repos.d/SLES11-SP3-SDK.repo 输入： [SLES11-SP3-SDK] name=SLES11-SP3-SDK enabled=1 autorefresh=1 baseurl=http://demeter.uni-regensburg.de/SLE11SP3-SDK-x64/DVD1/ path=/ type=yast2 keeppackages=0 这样你就可以安装zlib-devel等开发包了： zypper install zlib-devel 再去编译nginx、php等其它开源软件，就不会有少依赖库的问题了。

一直对https有个模糊的概念，只是知道https安全，信息是加密的，但是对于细节一直是不明白，特别是为什么要买个证书。今天看图灵图书的《图解HTTP》一书，看到https这一章节，终于知道个大概是咋回事了。 第一：https的概念 https就是把http协议包裹在SSL协议里，再加上一些证书的东西，就称为https。https就是躲在SSL协议之后的http协议。 http是把http请求或者响应传给传输层，传输层把请求或者响应包装之后发给http通信的另外一端。 https是SSL协议先把通信的两端加密方式协商好，http再把请求和响应传给SSL协议层，SSL层把请求和响应加密之后，再传给传输层，传给通信的另外一端，另外一端也是先由SSL层解密，再交给http层。 第二：SSL协议 SSL协议是介于传输层（tcp协议）和应用层（http协议）之间的一个协议。 SSL协议之前是网景公司提出的，后来由另外一个标准制定组织接收了，又提出了基于SSL协议发展的TLS协议. SSL协议就是用于通信两端建立安全连接，完成加密传输，保证传输的完整性。 第三：https通信过程。 1、SSL协议层先握手建立连接，协商使用的加密算法。 2、服务器先把公钥发给客户端。 3、这样客户端可以使用公钥加密发给服务器，服务器用私钥解密，服务器可以通过私钥加密发给客户端，客户端用公钥加密。 4、后面就开始正式的http通信。 （备注;ssl协议不仅仅使用非对称加密，还会混合使用对称加密，因为非对称加密很耗CPU，性能不好，ssl在建立连接之后，后面会协商一个共享秘钥进行内容通信。) 通过加密传输的数据就是安全的。 第四：证书 上面的通信过程建立链接之后是安全的，但是有一个漏洞。 第一：就是黑客可以冒充服务器发送假的公钥，和客户端通信 第二：就是黑客可以冒充假的客户端和服务器通信 先说第一个问题： 客户端如何证实是真的服务器发过来的真的公钥呢？这就出现了服务端的证书。 方法是通过第三方权威机构颁发的证书，所谓证书，就是第三方权威机构用自己的私钥，对某服务器的公钥进行的数字签名。 服务器在把公钥发给客户端的时候，也要发送自己的证书（也就是第三方机构的数字签名）。 客户端用第三方机构的公钥对数字签名进行验证，验证通过，就认为这个公钥是合法的。因为第三方权威机构的私钥是很安全的（我们暂且这么认为），所以伪造不了。 这就解决了第一个问题。 第三方权威机构必须是有信用的公司，例如VeriSign公司是专门的证书颁发机构，当然如果这个公司靠不住，以上都不成立了。 有人会问，这个第三方机构的公钥也是假的呢？ 这个第三方机构的公钥肯定要以一种更安全的方式传给客户端。 那就是各大浏览器在发布的时候，已经把一些权威机构的公钥预置进去了，除非你下载了盗版的浏览器。 再说第二个问题，服务端如何识别客户端是真的客户端呢？ 最安全的方式就是客户端也使用证书，每个专门的用户一个证书，但是这个代价比较高，因为申请证书要收费的。 目前大部分互联网企业做法是只对服务器端进行证书认证，只要确保客户端能识别真的服务器就可以了。 至于对客户端的真伪，一般的做法是通过用户名密码，只要用户名密码对了，我就认为和服务器连得客户端就是那个我认为的客户端。 再安全一点的做法就是验证手机号，弄个不断变化的密令，宝令，usb密码狗之类的。 所以用户千万不能把你的密码告诉别人。 以上看来，https通信还是比较安全的，怪不得那么多互联网公司都在转向全网https，这是一个趋势。 对于https还有很多细节，我这里只是大概描述个https的概念，更专业的东西就让专业搞密码学的人去搞吧。

有时候遇到这样的问题。 第一种情况： A可以访问B机器，B可以访问C机器。A不可以访问C机器。 B机器可以做一个端口代理，让A可以访问到C机器。 在B机器上执行 ssh -C -f -N -g -L 9022:C机器的ip:22 root@B机器的IP 回车后输入B机器root密码。 这样在A机器上访问B机器的9022端口，就是相当于访问C机器的22端口。 第二种情况： 有一个VPN代理，想让多个人代理上网。 找一台linux机器A执行 ssh -q -T -f -n -N -D A机器IP:17111 vpn账号@VPN地址 -p vpn端口 回车后输入vpn密码。 多个浏览器就可以通过A机器的17111代理上网了，代理类型是SOCKET类型。

单个文件，对其内容进行排序，使用sort命令： sort a.txt 去重加-u选项 sort -u a.txt 输出到一个文件 sort -o a.txt_sort -u a.txt 如果是100个1G大小的文件呢？如何进行排序去重呢？使用sort命令也是可以实现的。 第一步：先对单个文件进行排序去重 sort -o a1.txt -u a1.txt sort -o a2.txt -u a2.txt sort -o a3.txt -u a3.txt sort -o a4.txt -u a4.txt 。。。。 sort -o a100.txt -u a100.txt 第二步：使用sort的合并排序 sort -o a.txt -u -m a*.txt -m选项 表示merge已经有序的文件，如果文件事先没有排好序，这个可能会出错。 在执行merge的时候，你可能会遇到空间不足，无法写/tmp/sortXXXX的错误。 因为是多个大文件的合并操作，内存不够用，肯定是要写临时文件的。默认sort是写到/tmp目录下。 还好sort命令想的周到，你可以通过-T 选项指定一个较大空间的磁盘目录作为sort的临时文件目录。 sort -o a.txt -T /disk/temp -u -m a*.txt 最后等结果吧。

第一部分：原子匹配，所有的可见的不可见的字符都可以直接书写用于匹配， 注意1：对于不可见的字符和正则表达式的使用的特殊字符使用反斜杠转义。 注意2：对于中文最好使用unicode编码 第二部分：原子筛选 1点：“|” 表示前后都匹配，或者 ab|bc ab和bc都可以匹配成功。 2点：[abc] 匹配其中任何一个。 （注："-" 表示区间，例如a到z所有字母可以写成[a-z]） 3点：[^abc] 不包含任何一个。 第三部分：原子集合（类似于快捷键一样） 第1点：. 匹配换行符之外的所有字符 第2点：\d 匹配数字和[0-9]等价 \D是\d的补集，等价[^0-9] 第3点：\s 匹配不可见的字符和[\r\n\t\f\v]等价，\S是\s的补集 第4点：\w 匹配字母数字和下划线和[0-9a-zA-Z_]等价，\W是\w的补集 第四部分：量词(修饰匹配前面的原子的个数) 第1点：{n} 恰好出现n次 第2点:{n,} 大于等于n次 第3点:{n,m} 大于等于n次，小于等于m次 第4点：* 匹配0次 1次或者多次，相当于{0,} 第5点：+ 匹配1次或者多次,相当于{1,} 第6点：? 匹配0次或者1次，相当于{0,1} 第五部分：边界控制和模式单元 第1点：^表示以后面的原子作为开头，前面没有任何东西 第2点：$表示以前面的原子作为结尾，后面没有任何东西 第3点：() 括起来的内容作为一个原子例如(ab){2},就表示匹配2个ab，(aa|bb)cd, 就表示匹配aacd或者bbcd 第六部分：修正类型（为了消除正则表达式的歧义） 修正类型有好多种，我觉得最重要一个就是关于贪婪模式和懒惰模模式的修正，也是和第四部分相关的。 例如： 正则表达式是：(ab){2,3}，匹配对象是：ababab 那匹配的结果是abab， 还是ababab呢，前面的就是懒惰模式，后面的就是贪婪模式。 为了消除这种歧义，你要指定你所使用的模式。不同的正则引擎，指定方式不一样： 例如： php的是在正则表达式后面加个U或者u，分别表示懒惰模式和贪婪模式 例如’/[0-9]*/U' java使用的正则引擎是支持在有歧义的量词后面加个？表示懒惰模式，默认是贪婪模式。 例如 [0-9]+? 就表示匹配到尽量少的内容就返回。 正则表达式还有一些其它内容和细节，但是我觉得掌握这些概念，在实际应用中可以构造任何想要的匹配形式了。

工作中有一项工作就是一个监视脚本，把数据的增量信息，每天以邮件的形式发送给相关人员，但是每天的增量信息并不能直观的带来可用信息，比较有用的是近一段时间数据的增长趋势。 如果描述近一段时间的增长趋势，比较直观的做法，就是生成图像，虽然email支持html，但是它毕竟不是在浏览器中浏览，没法使用一些画图js。最后想到的就是生成图片格式的文件。 根据数据生成图片文件，首先想到的是Graphviz，之前用过它的dot命令。可以生成流程图。仔细研究了下这个软件包，貌似它只局限于关系图的表达，并不擅长图表领域。 再继续找，便找到了大名鼎鼎的gnuplot。记得大学时候用的仿真软件RSOFT，都内带了这款画图软件，说明gnuplot在专业绘图领域还是很出名的。 简单的示例，生成一个柱状图。 数据文件 data.txt 1月 22 2月 23 3月 20 4月 26 5月 32 6月 13 7月 22 8月 23 9月 20 10月 26 11月 32 12月 42 再写个脚本文件:plot.sh #!/bin/bash echo " set terminal png truecolor set output \"my.png\" set grid set style data histograms set style fill solid 1.00 border -1 set xlabel \"date\" set ylabel \"num\" plot \"data.txt\" using 2:xtic(1) title \"my data\" " | gnuplot 你也可以把echo的内容输入到一个文件里，然后使用gnuplot命令执行这个文件。 执行之后，生成的my.png文件如下，很不幸，不支持中文，不过网上有解决的方法。 ...

一直在找一个bash实现的多线程，虽然这个方法看着不怎么高明，但是比那个fifo的写法，看着明白点。这里面也限制了最多线程数，类似于线程池，记录在此，以备后用。 #!/bin/bash MAX_THREAD_NUM=10; thread_pids=() #执行线程 function hello_thread(){ echo "print $1" sleep 5; } #检查是否有完成的线程，把pid剔除调 function check_current_thread(){ if [ ${#thread_pids[@]} -ne 0 ]; then for pid_idx in ${!thread_pids[*]}; do pid_val=${thread_pids[$pid_idx]} kill -s 0 $pid_val &>/dev/null || unset thread_pids[$pid_idx] done thread_pids=("${thread_pids[@]}") fi; } for i in {1..100}; do #如果当前执行的线程数少于10个，就加一个任务 if [ ${#thread_pids[@]} -lt $MAX_THREAD_NUM ]; then hello_thread $i & thread_pids=("${thread_pids[@]}" "$!"); else sleep 1; check_current_thread; fi done #等待最后的任务结束 while [ ${#thread_pids[@]} -ne 0 ]; do check_current_thread; sleep 1; done;

在工作中需要调查一处性能问题，初步怀疑是两个机器之间的网络传输性能有瓶颈，如何判断两个机器之间的传输性能呢，排除丢包等网络故障，那就剩下带宽了。 1、首先两个机器的网卡的网速限制： 如果你的是百兆网卡，即便机器之间用光缆链接，那最高带宽也就100M，查看网卡的网速： 执行ethtool eth0可以查看对应网卡的网速 Settings for eth0: Supported ports: [ FIBRE ] Supported link modes: 1000baseT/Full Supports auto-negotiation: Yes Advertised link modes: 1000baseT/Full Advertised auto-negotiation: Yes Speed: 1000Mb/s Duplex: Full Port: FIBRE PHYAD: 2 Transceiver: internal Auto-negotiation: on Supports Wake-on: d Wake-on: d Link detected: yes 第二：即便两台机器都配有千兆网卡，如果中间有一个百兆交换机相连，他们的网速也只有100M。但是两台机器之间的链路复杂，还是需要测量得到两台机器的真实带宽，多平台带宽测试软件iperf（官方网站：https://iperf.fr/） linux x64下，直接下载可执行文件即可： wget –no-check-certificate https://iperf.fr/download/iperf_2.0.5/iperf_2.0.5-2_amd64 chmod +x iperf_2.0.5-2_amd64 sudo mv iperf_2.0.5-2_amd64 /usr/bin/iperf 在一台机器(ip=192.168.1.101)上执行：iperf -s -i 1 -w 1M 在另外一台机器上执行：iperf -c 192.168.1.1 -i 1 -w 1M 立马可以得到真实带宽： iperf -c 192.168.1.101 -i 1 -w 1M Client connecting to 192.168.1.101, TCP port 5001 TCP window size: 512 KByte (WARNING: requested 1.00 MByte) [ 3] local 192.168.1.102 port 12702 connected with 192.168.1.101 port 5001 [ ID] Interval Transfer Bandwidth [ 3] 0.0- 1.0 sec 113 MBytes 945 Mbits/sec [ 3] 1.0- 2.0 sec 112 MBytes 942 Mbits/sec [ 3] 2.0- 3.0 sec 112 MBytes 942 Mbits/sec [ 3] 3.0- 4.0 sec 112 MBytes 941 Mbits/sec [ 3] 4.0- 5.0 sec 112 MBytes 942 Mbits/sec [ 3] 5.0- 6.0 sec 112 MBytes 941 Mbits/sec [ 3] 6.0- 7.0 sec 112 MBytes 942 Mbits/sec [ 3] 7.0- 8.0 sec 112 MBytes 941 Mbits/sec [ 3] 8.0- 9.0 sec 112 MBytes 943 Mbits/sec [ 3] 9.0-10.0 sec 112 MBytes 942 Mbits/sec [ 3] 0.0-10.0 sec 1.10 GBytes 942 Mbits/sec

最近一段时间发现我的博客隔三差五的就有一个访问高峰，在同一时刻近百个IP访问我的网站，并且只是访问首页而已，停留几秒遍离开了，这是一种不正常的访问。我想我的小博客没什么名气，和别的网站也没有什么利益冲突。应该不会有人对我进行DDOS攻击吧。但是我的博客是使用的廉价虚拟机，无论是不是恶意攻击，这样的短时间内的高强度访问，对我们的博客都是一定的冲击。 我首先分析了访问我博客这些IP的特征，发现全部是来自北京、浙江、山东三个地区的。IP段分别是：27.221.37.* 115.239.212.* 111.13.102.* 我首先想到的方法是屏蔽IP，到底在哪一层屏蔽IP呢？ 我首先想到的是最外边的DNS层，如果这些IP访问我的网站，我不给它域名解析了，它的请求就到不了我的服务器，问题也解决了。我的域名解析使用了DNSPod，登陆上去查看了控制面板的所有功能，貌似没有提供这样的服务。那就只能在服务器上做屏蔽了，只要是这些ip来的请求，我返回一个403错误，问题也解决了，然而在西部数码的控制面板上也好像没找到这样的功能。 我遍寻百度，看到网站上关于使用apache的.htaccess文件来屏蔽ip访问的方法。而我的网站的根目录下确实是有这么一个文件。恶补了一下htaccess文件的来历和用途，发现确实是可以实现这样的功能的。然后我按网站上介绍的方法，在根目录的.htaccess文件中加入下面的语句： Order Allow,Deny Allow from all Deny from 115.239.212 111.13.102 27.221.37 我首先屏蔽了自己的IP，发现该功能并未起效，自己照样可以访问自己的博客，无奈我只好咨询了西部数码的工作人员，欣喜的是他们给了正确的操作方法，在htacess文件中加入下面的语句即可： <IfModule mod_rewrite.c> RewriteEngine On ##Block ip RewriteCond %{http:X-Forwarded-For}&%{REMOTE_ADDR} (27.221.37|115.239.212|111.13.102) [NC] RewriteRule (.*) - [F] </IfModule> 最终问题解决了，希望不再有恶意的攻击。