phymat.nico
phymat.nico

Hyperledger Fabric权限进阶篇

对于Fabric的权限和MSP配置这块,可能大家实际部署会给一堆msp目录绕晕,我们回过头来梳理一下。

1.Peer节点如何控制用户的采访权限?
我们以first-network为例, 先看下peer0的启动配置docker-compose-cli.yaml。

引用到base/docker-compose-base.yaml

peer0.org1.example.com:
    container_name: peer0.org1.example.com
    extends:
      file: peer-base.yaml
      service: peer-base
    environment:
      - CORE_PEER_ID=peer0.org1.example.com
      - CORE_PEER_ADDRESS=peer0.org1.example.com:7051
      - CORE_PEER_GOSSIP_BOOTSTRAP=peer1.org1.example.com:7051
      - CORE_PEER_GOSSIP_EXTERNALENDPOINT=peer0.org1.example.com:7051
      - CORE_PEER_LOCALMSPID=Org1MSP
    volumes:
        - /var/run/:/host/var/run/
        - ../crypto-config/peerOrganizations/org1.example.com/peers/peer0.org1.example.com/msp:/etc/hyperledger/fabric/msp
        - ../crypto-config/peerOrganizations/org1.example.com/peers/peer0.org1.example.com/tls:/etc/hyperledger/fabric/tls
        - peer0.org1.example.com:/var/hyperledger/production
    ports:
      - 7051:7051
      - 7053:7053

引用到base/peer-base.yaml

services:
  peer-base:
    image: hyperledger/fabric-peer:$IMAGE_TAG
    environment:
      - CORE_VM_ENDPOINT=unix:///host/var/run/docker.sock
      # the following setting starts chaincode containers on the same
      # bridge network as the peers
      # https://docs.docker.com/compose/networking/
      - CORE_VM_DOCKER_HOSTCONFIG_NETWORKMODE=${COMPOSE_PROJECT_NAME}_byfn
      - CORE_LOGGING_LEVEL=INFO
      #- CORE_LOGGING_LEVEL=DEBUG
      - CORE_PEER_TLS_ENABLED=true
      - CORE_PEER_GOSSIP_USELEADERELECTION=true
      - CORE_PEER_GOSSIP_ORGLEADER=false
      - CORE_PEER_PROFILE_ENABLED=true
      - CORE_PEER_TLS_CERT_FILE=/etc/hyperledger/fabric/tls/server.crt
      - CORE_PEER_TLS_KEY_FILE=/etc/hyperledger/fabric/tls/server.key
      - CORE_PEER_TLS_ROOTCERT_FILE=/etc/hyperledger/fabric/tls/ca.crt
    working_dir: /opt/gopath/src/github.com/hyperledger/fabric/peer
    command: peer node start

peer node start启动节点peer0.org1.example.com

环境变量CORE_PEER_MSPCONFIGPATH这里没有显示声明, 默认值应该是对应docker容器里面的/etc/hyperledger/fabric/msp

蓝色部分的卷映射指向主机的
../crypto-config/peerOrganizations/org1.example.com/peers/peer0.org1.example.com/msp

[root@k8s-master msp]# pwd
/mnt/sda3/fabric-samples/first-network/crypto-config/peerOrganizations/org1.example.com/peers/peer0.org1.example.com/msp
[root@k8s-master msp]# ll
总用量 24
drwxr-xr-x. 2 root root 4096 9月  29 10:32 admincerts
drwxr-xr-x. 2 root root 4096 9月  29 10:32 cacerts
-rw-r--r--. 1 root root  254 9月  29 10:32 config.yaml
drwxr-xr-x. 2 root root 4096 9月  29 10:32 keystore
drwxr-xr-x. 2 root root 4096 9月  29 10:32 signcerts
drwxr-xr-x. 2 root root 4096 9月  29 10:32 tlscacerts

(1)cacerts

文件夹放置的用于身份识别的ca根证书, 回忆下基础篇的会员身份使用PKI等数字签名技术用于识别客户身份(这里特指可连接到peer节点的客户端)。

一个组织对一个根CA(不考虑中间CA情况), 所以组织org1下的peer0和peer1实际配置的是同一个ca.org1.example.com-cert.pem, 所以这个文件夹应该放的是对应组织的CA根证书

[root@k8s-master cacerts]# pwd
/mnt/sda3/fabric-samples/first-network/crypto-config/peerOrganizations/org1.example.com/peers/peer0.org1.example.com/msp/cacerts
[root@k8s-master cacerts]# ll
总用量 4
-rw-r--r--. 1 root root 843 9月  29 10:32 ca.org1.example.com-cert.pem

假装专业些给大家看下证书内容

[root@k8s-master cacerts]# openssl x509 -in ca.org1.example.com-cert.pem -noout -text
Certificate:
    Data:
        Version: 3 (0x2)
        Serial Number:
            17:b3:7f:af:19:79:82:d1:1d:78:86:fb:97:10:e7:50
    Signature Algorithm: ecdsa-with-SHA256
        Issuer: C=US, ST=California, L=San Francisco, O=org1.example.com, CN=ca.org1.example.com
        Validity
            Not Before: Sep 29 02:27:16 2018 GMT
            Not After : Sep 26 02:27:16 2028 GMT
        Subject: C=US, ST=California, L=San Francisco, O=org1.example.com, CN=ca.org1.example.com
        Subject Public Key Info:
            Public Key Algorithm: id-ecPublicKey
                Public-Key: (256 bit)
                pub: 
                    04:13:93:55:07:a9:bf:a1:19:7d:21:c0:ee:2d:2a:
                    94:d4:e6:9b:27:35:c9:56:f4:72:81:a1:41:08:96:
                    77:b6:6b:2b:c9:fa:78:b7:07:fe:a1:db:20:e5:1c:
                    88:1b:94:7b:57:6f:e4:47:5c:ab:a5:fe:dd:c1:ff:
                    30:9f:2a:02:ae
                ASN1 OID: prime256v1
                NIST CURVE: P-256
        X509v3 extensions:
            X509v3 Key Usage: critical
                Digital Signature, Key Encipherment, Certificate Sign, CRL Sign
            X509v3 Extended Key Usage: 
                Any Extended Key Usage
            X509v3 Basic Constraints: critical
                CA:TRUE
            X509v3 Subject Key Identifier: 
                F3:40:31:60:A2:2B:B9:CB:B5:FD:10:24:E1:BA:65:D9:8D:2C:E4:E1:AB:51:FB:55:6B:17:35:E1:11:CF:6E:82
    Signature Algorithm: ecdsa-with-SHA256
         30:44:02:20:03:84:0c:0e:e5:12:dd:77:af:5d:cc:ea:a3:f0:
         e2:e4:b5:8a:b2:36:7c:27:9b:e9:6d:e0:8a:e4:c1:97:7b:33:
         02:20:7b:bf:6e:2b:f5:fc:94:18:cf:db:f0:55:15:ea:22:7c:
         ee:df:38:30:04:33:b0:81:7b:08:b1:79:44:4c:42:d7
[root@k8s-master cacerts]#

(2)config.yaml
主要配置的可采访的组织单元,也就是说X.509 PEM证书里面的OU(组织单元)要么是client或者peer才能采访当前节点。

NodeOUs:
  Enable: true
  ClientOUIdentifier:
    Certificate: cacerts/ca.org1.example.com-cert.pem
    OrganizationalUnitIdentifier: client
  PeerOUIdentifier:
    Certificate: cacerts/ca.org1.example.com-cert.pem
    OrganizationalUnitIdentifier: peer

对于这里的Certification配置也有一些疑惑, cacerts文件夹使用根CA证书确定了连接客户身份,这里的config.yaml算是第二层过滤吧, 每个不同类型的组织单元OUIdentifier的Certificate应该不能对应其它的CA根证书,应该只能是同一个CA根证书或者不同的中间CA证书。

OU=client的证书实际上后面会看到admincerts是OU=client, org1下的
[email protected]用户也是OU=client, 貌似外部接入peer节点的用户都归到OU=client.

OU=peer的证书暂时只有peer节点自身的证书,例如peer0,peer1都是OU=peer
/mnt/sda3/fabric-samples/first-network/crypto-config/peerOrganizations/org1.example.com/peers/peer0.org1.example.com/msp/signcerts/peer0.org1.example.com-cert.pem

实际OU=client和peer的有什么不同权限,笔者估计是peer是标记不同peer节点的调用, 或者是在链码安装的时候可以指定不同的OU

config.yaml的配置是可选的, 它是通过crypto-config.yaml下org设置了EnableNodeOUs: true才默认会生成MSP模板。

(3)keystore
存放的peer0节点的私钥,可以用于数字签名。

[root@k8s-master msp]# cd keystore/
[root@k8s-master keystore]# ll
总用量 4
-rw-------. 1 root root 241 9月  29 10:32 
47374918f7a4640f8d28d89b66820505702cb269bd2f1314ca420fbb64950223_sk

私钥内容

——-BEGIN PRIVATE KEY——-
MIGHAgEAMBMGByqGSM49AgEGCCqGSM49AwEHBG0wawIBAQQgMJM5N0U+nS8GYarY
GwQfj++skU1ttNDj9xalBVZrUOShRANCAASQemtTNZXyQktIv1XrWqRItxB6ldSp
PWWszknMJvRetGBMG03ekUeeNeIDbdQSiLhcjttWfBZgMxZziEXqj22O
——-END PRIVATE KEY——-

(4)signcerts

存放的是peer0被ca.org1.example.com签名的证书。注意到蓝色部分, OU=peer

[root@k8s-master msp]# cd signcerts/
[root@k8s-master signcerts]# ll
总用量 4
-rw-r--r--. 1 root root 810 9月  29 10:32 peer0.org1.example.com-cert.pem
[root@k8s-master signcerts]# vim peer0.org1.example.com-cert.pem 
[root@k8s-master signcerts]# openssl x509 -in peer0.org1.example.com-cert.pem -noout -text
Certificate:
    Data:
        Version: 3 (0x2)
        Serial Number:
            97:ca:cf:78:35:11:e4:02:f7:c8:a9:52:61:b6:e6:44
    Signature Algorithm: ecdsa-with-SHA256
        Issuer: C=US, ST=California, L=San Francisco, O=org1.example.com, CN=ca.org1.example.com
        Validity
            Not Before: Sep 29 02:27:16 2018 GMT
            Not After : Sep 26 02:27:16 2028 GMT
        Subject: C=US, ST=California, L=San Francisco, OU=peer, CN=peer0.org1.example.com
        Subject Public Key Info:
            Public Key Algorithm: id-ecPublicKey
                Public-Key: (256 bit)
                pub: 
                    04:90:7a:6b:53:35:95:f2:42:4b:48:bf:55:eb:5a:
                    a4:48:b7:10:7a:95:d4:a9:3d:65:ac:ce:49:cc:26:
                    f4:5e:b4:60:4c:1b:4d:de:91:47:9e:35:e2:03:6d:
                    d4:12:88:b8:5c:8e:db:56:7c:16:60:33:16:73:88:
                    45:ea:8f:6d:8e
                ASN1 OID: prime256v1
                NIST CURVE: P-256
        X509v3 extensions:
            X509v3 Key Usage: critical
                Digital Signature
            X509v3 Basic Constraints: critical
                CA:FALSE
            X509v3 Authority Key Identifier: 
                keyid:F3:40:31:60:A2:2B:B9:CB:B5:FD:10:24:E1:BA:65:D9:8D:2C:E4:E1:AB:51:FB:55:6B:17:35:E1:11:CF:6E:82

    Signature Algorithm: ecdsa-with-SHA256
         30:45:02:21:00:d2:c3:79:5f:cc:95:be:6c:39:bc:b0:ee:ce:
         c2:95:d7:59:2b:b3:30:fc:f3:4c:ae:cb:5a:16:9b:90:43:87:
         a9:02:20:5d:ab:06:b6:7d:8d:23:bc:20:2b:e2:66:59:31:35:
         d6:35:a3:e3:bf:3d:5c:3a:13:e9:f2:b9:71:b4:b0:1c:4f
[root@k8s-master signcerts]#

(5)tlscacerts

如果peer0启用了TLS保证安全和校验,就必须指定tlscacerts证书了,一般使用与cacerts不同的ca证书会安全些。 证书内容如下:

[root@k8s-master tlscacerts]# ll
总用量 4
-rw-r--r--. 1 root root 855 9月  29 10:32 tlsca.org1.example.com-cert.pem
[root@k8s-master tlscacerts]# openssl x509 -in tlsca.org1.example.com-cert.pem -noout -text
Certificate:
    Data:
        Version: 3 (0x2)
        Serial Number:
            7a:fa:31:77:69:bb:28:fc:b9:3d:81:98:7b:f3:83:64
    Signature Algorithm: ecdsa-with-SHA256
        Issuer: C=US, ST=California, L=San Francisco, O=org1.example.com, CN=tlsca.org1.example.com
        Validity
            Not Before: Sep 29 02:27:16 2018 GMT
            Not After : Sep 26 02:27:16 2028 GMT
        Subject: C=US, ST=California, L=San Francisco, O=org1.example.com, CN=tlsca.org1.example.com
        Subject Public Key Info:
            Public Key Algorithm: id-ecPublicKey
                Public-Key: (256 bit)
                pub: 
                    04:92:79:62:41:43:06:7d:30:65:ef:2c:ae:87:8e:
                    41:f6:12:27:f0:9f:a0:c1:3d:f1:03:3d:ee:e7:45:
                    87:58:72:f7:a0:24:85:d8:3d:01:42:d2:01:15:fc:
                    e1:8a:d8:6b:56:0c:25:e2:98:8d:09:fb:0e:a5:65:
                    ea:4a:ec:a0:06
                ASN1 OID: prime256v1
                NIST CURVE: P-256
        X509v3 extensions:
            X509v3 Key Usage: critical
                Digital Signature, Key Encipherment, Certificate Sign, CRL Sign
            X509v3 Extended Key Usage: 
                Any Extended Key Usage
            X509v3 Basic Constraints: critical
                CA:TRUE
            X509v3 Subject Key Identifier: 
                25:41:EA:7D:4B:4F:14:0B:13:6D:E1:EE:09:AA:00:A6:90:66:B4:2B:2F:90:6B:DF:E2:EF:D6:59:AE:17:40:4B
    Signature Algorithm: ecdsa-with-SHA256
         30:45:02:21:00:cd:3b:23:ed:fb:2b:de:bf:64:87:f0:af:f6:
         0a:02:5f:26:83:ff:32:08:58:16:23:ba:30:36:b5:ee:aa:c9:
         55:02:20:4b:40:a8:89:c7:2d:0c:8f:c0:b6:34:9a:72:f0:47:
         0e:66:8a:85:7b:d6:51:d6:1f:75:1e:e6:03:40:95:09:c9

参考peer-base.yaml是开启了TLS的 - CORE_PEER_TLS_ENABLED=true

(6)admincerts
这里存放的是整个组织org1的管理员证书, 和
/mnt/sda3/fabric-samples/first-network/crypto-config/peerOrganizations/org1.example.com/users/[email protected]下的签名证书是一致的, peer1.org1.example.com节点也是如此。

就是说执行cryptogen generate —config=./crypto-config.yaml默认就是让org1下的所有peer都有相同的admin.

如果peer0和peer1的admincerts不一样,应该会有问题,第二个问题我们会查看下创世块的具体内容,里面指定的是组织的admin而不会有节点的admin。

话说这个admin的权限就比较大了,可以把peer节点加入到channel, 可以安装和实例化chaincode。BYFN里面容器里面执行的peer命令实际对应的都是admin的msp.

[root@k8s-master admincerts]# pwd
/mnt/sda3/fabric-samples/first-network/crypto-config/peerOrganizations/org1.example.com/peers/peer0.org1.example.com/msp/admincerts
[root@k8s-master admincerts]# ll
总用量 4
-rw-r--r--. 1 root root 810 9月  29 10:32 [email protected]

我们看下组织管理员证书的内容, OU=client

[root@k8s-master admincerts]# openssl x509 -in Admin\@org1.example.com-cert.pem -noout -text
Certificate:
    Data:
        Version: 3 (0x2)
        Serial Number:
            48:15:46:a1:6c:25:63:98:c7:e9:c5:26:b8:67:f9:53
    Signature Algorithm: ecdsa-with-SHA256
        Issuer: C=US, ST=California, L=San Francisco, O=org1.example.com, CN=ca.org1.example.com
        Validity
            Not Before: Sep 29 02:27:16 2018 GMT
            Not After : Sep 26 02:27:16 2028 GMT
        Subject: C=US, ST=California, L=San Francisco, OU=client, [email protected]
        Subject Public Key Info:
            Public Key Algorithm: id-ecPublicKey
                Public-Key: (256 bit)
                pub: 
                    04:59:01:48:99:af:c8:30:17:e2:5a:b4:ee:5a:1c:
                    c6:79:a7:c5:3a:14:20:d1:a0:39:de:13:5e:99:c6:
                    d1:4e:9c:cd:63:fb:73:96:9f:b4:48:60:4f:8e:72:
                    10:ee:54:19:33:5f:dc:29:e2:94:39:b3:4e:f2:d3:
                    cd:1f:3d:0a:54
                ASN1 OID: prime256v1
                NIST CURVE: P-256
        X509v3 extensions:
            X509v3 Key Usage: critical
                Digital Signature
            X509v3 Basic Constraints: critical
                CA:FALSE
            X509v3 Authority Key Identifier: 
                keyid:F3:40:31:60:A2:2B:B9:CB:B5:FD:10:24:E1:BA:65:D9:8D:2C:E4:E1:AB:51:FB:55:6B:17:35:E1:11:CF:6E:82

    Signature Algorithm: ecdsa-with-SHA256
         30:44:02:20:0c:be:41:5b:58:1e:df:7e:78:5d:77:00:44:c7:
         a1:c8:2f:e1:6b:bb:8a:ac:b2:26:aa:ab:35:f6:f5:4b:66:6d:
         02:20:46:b7:32:c2:4f:a1:d0:89:20:32:42:35:50:80:8e:9e:
         ba:66:d6:b2:6b:55:1f:e0:b5:5f:2c:04:be:b0:6c:1e

小结:
PEER作为接入点, 主要也是靠本地的MSP去识别用户身份,判断用户是否是所信任的CA颁发证书, 再结合组织单元等确定用户是否可采访节点。

2.Channel是如何控制不同组织或peer节点的接入权限的?

一个channel对应一个ledger账本, 也可以说对应一条区块链,怎么控制采访账本的用户呢?

先看BYFN如何创建channel:

cryptogen generate --config=./crypto-config.yaml
export CHANNEL_NAME=mychannel  

configtxgen -profile TwoOrgsChannel -outputCreateChannelTx ./channel-artifacts/channel.tx -channelID $CHANNEL_NAME

Channel.tx实际是创建通道的请求报文内容,看下configtx.yaml的TwoOrgsChannel profile对应的联盟和通道应用,包含了Org1和Org2, 即mychannel通道允许org1或org2下的用户采访。


Profiles:
    TwoOrgsOrdererGenesis:
        Capabilities:
            <<: *ChannelCapabilities
        Orderer:
            <<: *OrdererDefaults
            Organizations:
                - *OrdererOrg
            Capabilities:
                <<: *OrdererCapabilities
        Consortiums:
            SampleConsortium:
                Organizations:
                    - *Org1
                    - *Org2
    TwoOrgsChannel:
        Consortium: SampleConsortium
        Application:
            <<: *ApplicationDefaults
            Organizations:
                - *Org1
                - *Org2
            Capabilities:
                <<: *ApplicationCapabilities


Organizations:

    # SampleOrg defines an MSP using the sampleconfig.  It should never be used
    # in production but may be used as a template for other definitions
    - &OrdererOrg
        # DefaultOrg defines the organization which is used in the sampleconfig
        # of the fabric.git development environment
        Name: OrdererOrg

        # ID to load the MSP definition as
        ID: OrdererMSP

        # MSPDir is the filesystem path which contains the MSP configuration
        MSPDir: crypto-config/ordererOrganizations/example.com/msp

    - &Org1
        # DefaultOrg defines the organization which is used in the sampleconfig
        # of the fabric.git development environment
        Name: Org1MSP

        # ID to load the MSP definition as
        ID: Org1MSP

        MSPDir: crypto-config/peerOrganizations/org1.example.com/msp

        AnchorPeers:
            # AnchorPeers defines the location of peers which can be used
            # for cross org gossip communication.  Note, this value is only
            # encoded in the genesis block in the Application section context
            - Host: peer0.org1.example.com
              Port: 7051

    - &Org2
        # DefaultOrg defines the organization which is used in the sampleconfig
        # of the fabric.git development environment
        Name: Org2MSP

        # ID to load the MSP definition as
        ID: Org2MSP

        MSPDir: crypto-config/peerOrganizations/org2.example.com/msp

        AnchorPeers:
            # AnchorPeers defines the location of peers which can be used
            # for cross org gossip communication.  Note, this value is only
            # encoded in the genesis block in the Application section context
            - Host: peer0.org2.example.com
              Port: 7051

我们假装专业些查看下channel.tx的内容

[root@k8s-master first-network]# configtxgen -profile TwoOrgsChannel -channelID mychannel  -inspectChannelCreateTx ./channel-artifacts/channel.tx 
2018-10-11 16:37:24.650 CST [common/tools/configtxgen] main -> INFO 001 Loading configuration
2018-10-11 16:37:24.663 CST [common/tools/configtxgen] doInspectChannelCreateTx -> INFO 002 Inspecting transaction
2018-10-11 16:37:24.663 CST [common/tools/configtxgen] doInspectChannelCreateTx -> INFO 003 Parsing transaction
{
    "payload": {
        "data": {
            "config_update": {
                "channel_id": "mychannel",
                "read_set": {
                    "groups": {
                        "Application": {
                            "groups": {
                                "Org1MSP": {
                                    "mod_policy": "",
                                    "version": "0"
                                },
                                "Org2MSP": {
                                    "mod_policy": "",
                                    "version": "0"
                                }
                            },
                            "mod_policy": "",
                            "version": "0"
                        }
                    },
                    "mod_policy": "",
                    "values": {
                        "Consortium": {
                            "mod_policy": "",
                            "version": "0"
                        }
                    },
                    "version": "0"
                },
                "write_set": {
                    "groups": {
                        "Application": {
                            "groups": {
                                "Org1MSP": {
                                    "mod_policy": "",
                                    "version": "0"
                                },
                                "Org2MSP": {
                                    "mod_policy": "",
                                    "version": "0"
                                }
                            },
                            "mod_policy": "Admins",
                            "policies": {
                                "Admins": {
                                    "mod_policy": "Admins",
                                    "policy": {
                                        "type": 3,
                                        "value": {
                                            "rule": "MAJORITY",
                                            "sub_policy": "Admins"
                                        }
                                    },
                                    "version": "0"
                                },
                                "Readers": {
                                    "mod_policy": "Admins",
                                    "policy": {
                                        "type": 3,
                                        "value": {
                                            "rule": "ANY",
                                            "sub_policy": "Readers"
                                        }
                                    },
                                    "version": "0"
                                },
                                "Writers": {
                                    "mod_policy": "Admins",
                                    "policy": {
                                        "type": 3,
                                        "value": {
                                            "rule": "ANY",
                                            "sub_policy": "Writers"
                                        }
                                    },
                                    "version": "0"
                                }
                            },
                            "values": {
                                "Capabilities": {
                                    "mod_policy": "Admins",
                                    "value": {
                                        "capabilities": {
                                            "V1_2": {}
                                        }
                                    },
                                    "version": "0"
                                }
                            },
                            "version": "1"
                        }
                    },
                    "mod_policy": "",
                    "values": {
                        "Consortium": {
                            "mod_policy": "",
                            "value": {
                                "name": "SampleConsortium"
                            },
                            "version": "0"
                        }
                    },
                    "version": "0"
                }
            }
        },
        "header": {
            "channel_header": {
                "channel_id": "mychannel",
                "epoch": "0",
                "timestamp": "2018-10-11T07:13:13.000Z",
                "tx_id": "",
                "type": 2,
                "version": 0
            }
        }
    }
}

我们大概的看下这个交易json请求内容即可,主要是定义了更新channel的报文,定义了对应组织的读写,管理权限。

我们主要掌握配置configtx.yaml(BYFN的configtx.yaml简单了些,无法体现出读写,管理的权限配置)。 我们这次深入学习官方的sampleconfig下完整例子。

参考
https://hyperledger-fabric.readthedocs.io/en/release-1.2/access_control.html
完整一些的configtx.yaml可以参考
https://github.com/hyperledger/fabric/blob/release-1.2/sampleconfig/configtx.yaml
Policy定义两种

(1)签名策略/signature policies

Organizations:

    # SampleOrg defines an MSP using the sampleconfig. It should never be used
    # in production but may be used as a template for other definitions.
    - &SampleOrg
        # Name is the key by which this org will be referenced in channel
        # configuration transactions.
        # Name can include alphanumeric characters as well as dots and dashes.
        Name: SampleOrg

        # ID is the key by which this org's MSP definition will be referenced.
        # ID can include alphanumeric characters as well as dots and dashes.
        ID: SampleOrg

        # MSPDir is the filesystem path which contains the MSP configuration.
        MSPDir: msp

        # Policies defines the set of policies at this level of the config tree
        # For organization policies, their canonical path is usually
        #   /Channel///
        Policies: &SampleOrgPolicies
            Readers:
                Type: Signature
                Rule: "OR('SampleOrg.member')"
                # If your MSP is configured with the new NodeOUs, you might
                # want to use a more specific rule like the following:
                # Rule: "OR('SampleOrg.admin', 'SampleOrg.peer', 'SampleOrg.client')"
            Writers:
                Type: Signature
                Rule: "OR('SampleOrg.member')"
                # If your MSP is configured with the new NodeOUs, you might
                # want to use a more specific rule like the following:
                # Rule: "OR('SampleOrg.admin', 'SampleOrg.client')"
            Admins:
                Type: Signature
                Rule: "OR('SampleOrg.admin')"

        # AnchorPeers defines the location of peers which can be used for
        # cross-org gossip communication. Note, this value is only encoded in
        # the genesis block in the Application section context.
        AnchorPeers:
            - Host: 127.0.0.1
Port: 7051

简单点说就是证书里面不是有organization(O=xx)和organizationUnit(OU=xx), 结合逻辑关系操作符OR, AND, NOutOf

(2)ImplicitMeta 隐式标签

Channel: &ChannelDefaults
    # Policies defines the set of policies at this level of the config tree
    # For Channel policies, their canonical path is
    #   /Channel/
    Policies:
        # Who may invoke the 'Deliver' API
        Readers:
            Type: ImplicitMeta
            Rule: "ANY Readers"
        # Who may invoke the 'Broadcast' API
        Writers:
            Type: ImplicitMeta
            Rule: "ANY Writers"
        # By default, who may modify elements at this config level
        Admins:
            Type: ImplicitMeta
            Rule: "MAJORITY Admins"


    # Capabilities describes the channel level capabilities, see the
    # dedicated Capabilities section elsewhere in this file for a full
    # description
    Capabilities:
<<: *ChannelCapabilities

Rule语法 .
MAJORITY - 满足主要的子组的策略, 上面例子的Admins应该是下一级的signature policy
ANY - 满足任意子组的policy
ALL - 满足所有的子组的policy

那这些POLICY怎么使用呢?通常结合ACL配置Resource的采访权限,Resource基本定义为 系统或用户的chaincode, 和系统消息资源, 我们看个例子:

Application: &ApplicationDefaults
    ACLs: &ACLsDefault
        # This section provides defaults for policies for various resources
        # in the system. These "resources" could be functions on system chaincodes
        # (e.g., "GetBlockByNumber" on the "qscc" system chaincode) or other resources
        # (e.g.,who can receive Block events). This section does NOT specify the resource's
        # definition or API, but just the ACL policy for it.
        #
        # User's can override these defaults with their own policy mapping by defining the
        # mapping under ACLs in their channel definition

        #---Lifecycle System Chaincode (lscc) function to policy mapping for access control---#

        # ACL policy for lscc's "getid" function
        lscc/ChaincodeExists: /Channel/Application/Readers

        # ACL policy for lscc's "getdepspec" function
        lscc/GetDeploymentSpec: /Channel/Application/Readers

        # ACL policy for lscc's "getccdata" function
        lscc/GetChaincodeData: /Channel/Application/Readers

        # ACL Policy for lscc's "getchaincodes" function
        lscc/GetInstantiatedChaincodes: /Channel/Application/Readers

        #---Query System Chaincode (qscc) function to policy mapping for access control---#

        # ACL policy for qscc's "GetChainInfo" function
        qscc/GetChainInfo: /Channel/Application/Readers

        # ACL policy for qscc's "GetBlockByNumber" function
        qscc/GetBlockByNumber: /Channel/Application/Readers

        # ACL policy for qscc's  "GetBlockByHash" function
        qscc/GetBlockByHash: /Channel/Application/Readers

        # ACL policy for qscc's "GetTransactionByID" function
        qscc/GetTransactionByID: /Channel/Application/Readers

        # ACL policy for qscc's "GetBlockByTxID" function
        qscc/GetBlockByTxID: /Channel/Application/Readers

        #---Configuration System Chaincode (cscc) function to policy mapping for access control---#

        # ACL policy for cscc's "GetConfigBlock" function
        cscc/GetConfigBlock: /Channel/Application/Readers

        # ACL policy for cscc's "GetConfigTree" function
        cscc/GetConfigTree: /Channel/Application/Readers

        # ACL policy for cscc's "SimulateConfigTreeUpdate" function
        cscc/SimulateConfigTreeUpdate: /Channel/Application/Readers

        #---Miscellanesous peer function to policy mapping for access control---#

        # ACL policy for invoking chaincodes on peer
        peer/Propose: /Channel/Application/Writers

        # ACL policy for chaincode to chaincode invocation
        peer/ChaincodeToChaincode: /Channel/Application/Readers

        #---Events resource to policy mapping for access control###---#

        # ACL policy for sending block events
        event/Block: /Channel/Application/Readers

        # ACL policy for sending filtered block events
        event/FilteredBlock: /Channel/Application/Readers

    # Organizations lists the orgs participating on the application side of the
    # network.
    Organizations:

    # Policies defines the set of policies at this level of the config tree
    # For Application policies, their canonical path is
    #   /Channel/Application/
    Policies: &ApplicationDefaultPolicies
        Readers:
            Type: ImplicitMeta
            Rule: "ANY Readers"
        Writers:
            Type: ImplicitMeta
            Rule: "ANY Writers"
        Admins:
            Type: ImplicitMeta
            Rule: "MAJORITY Admins"

    # Capabilities describes the application level capabilities, see the
    # dedicated Capabilities section elsewhere in this file for a full
    # description
    Capabilities:
<<: *ApplicationCapabilities

ApplicationDefault是Channel应用的默认配置, ACLsDefault就是配置chaincode和policy映射, 例如:
lscc和qscc都是系统默认的chaincode, 可以对应/Channel/Application/Reader或Writer
这里是Reader,Writer policy归属在Application当前配置范围, 但它们又使用隐式策略ANY Readers, ANY Writers让下一级的的子策略组去确定是否可以采访。

Channel应用的下一级就有组织, 我们再看例子中的Profile:

# SampleDevModeSolo defines a configuration which uses the Solo orderer,
# contains the sample MSP as both orderer and consortium member, and
# requires only basic membership for admin privileges. It also defines
# an Application on the ordering system channel, which should usually
# be avoided.
    SampleDevModeSolo:
        <<: *ChannelDefaults
        Orderer:
            <<: *OrdererDefaults
            Organizations:
                - <<: *SampleOrg
                  Policies:
                      <<: *SampleOrgPolicies
                      Admins:
                          Type: Signature
                          Rule: "OR('SampleOrg.member')"
        Application:
            <<: *ApplicationDefaults
            Organizations:
                - <<: *SampleOrg
                  Policies:
                      <<: *SampleOrgPolicies
                      Admins:
                          Type: Signature
                          Rule: "OR('SampleOrg.member')"
        Consortiums:
            SampleConsortium:
                Organizations:
                    - <<: *SampleOrg
                      Policies:
                          <<: *SampleOrgPolicies
                          Admins:
                              Type: Signature
Rule: "OR('SampleOrg.member')"

SampleDevModeSolo定义了一个区块链网络.
Application定义为Channel应用, 使用默认的ApplicationDefault配置。
包含SampleOrg一个组织, 在policy定义上有贴内容。

Policies基于SampleOrgPolicies, 并且覆写其中的Admins policy定义, 定义为X.509证书归属到SampleOrg下member都可以是Admins, 这里的member应该是统配符指SampleOrg下的任意会员, 应该不是特别的OU, 也可以指定特定的OU, 例如SampleOrg.peer, SampleOrg.client, 我们之前看过一些X.509内容。

如果你看得昏昏的就对了,笔者也写得有点晕,是不是这设计有点复杂? 当然平常这些ACL的配置我们一般很少需要去配置, 就按照configtxgen生成的默认值就好, 但是开发者需要知道Readers, Writers, Admins 策略的含义和默认的ACL的策略。

回过头到BYFN的channel.tx更新交易报文内容, 估计就懂些了。

[root@k8s-master first-network]# configtxgen -profile TwoOrgsChannel -channelID mychannel  -inspectChannelCreateTx ./channel-artifacts/channel.tx

read_set应该没多大作用,主要是用于更新写报文的write_set, 定义了groups是由Org1MSP, Org2MSP组成, 即mychannel有两个组织会员组成,policies定义了Readers, Writers, Admins可对channel读,写和管理。

Readers/Writers/Admins下的ModPolicy则是指定谁才可以修改这些Readers/Writers/Amins策略内容, 这里一般都是Admins本身。

而具体的Readers,Writers权限ACL应该就是类似上面ApplicationDefaults默认对应的chaincode内容,没显式的打出来。

Readers,Writers对应的Signature Policy, Admins到底对应什么签名用户又哪里找得到呢?要晕了吧,又得回去找下创始块的内容。

configtxgen -inspectBlock ./channel-artifacts/genesis.block

Hyperledger Fabric权限进阶篇_第1张图片

Hyperledger Fabric权限进阶篇_第2张图片

Hyperledger Fabric权限进阶篇_第3张图片

创世块json具体一些细节笔者一下也没找到些文档对应,讲不好要跟下configtxgen源码才能对应好,读者有兴趣也请自行跟进。

小结一下:

一个channel即一个账本,一个链。
其下包含多个org组织, 组织会配置上admin, 还有OU组织单元标记用户(config.yaml)。
一个组织可有多个接入peer节点,peer有自己的local MSP限制接入。

说白了用户接入peer,再接入到通道,还是得依靠自身的证书的组织和OU等是否符合channel的权限配置。

如果确实需要定制化一些权限,可以在configtx.yaml组织的配置上覆写新的policy策略。

3.chaincode的权限如何配置?

(1) 参考问题2的ApplicationDefaults ACL配置
Chaincode的安装,实例化应该是系统级的chaincode实现的, 默认需要高级些的权限, 一般是组织Admins。

Chaincode的调用需要Writers策略

ACL policy for invoking chaincodes on peer

peer/Propose: /Channel/Application/Writers

(2) 而在链码的实例化的时候是可以配置背书策略(特别是在更新操作的时候要首先要发请求到背书节点)例如需要org1和org2背书。

peer chaincode instantiate -o orderer.example.com:7050 --tls --cafile /opt/gopath/src/github.com/hyperledger/fabric/peer/crypto/ordererOrganizations/example.com/orderers/orderer.example.com/msp/tlscacerts/tlsca.example.com-cert.pem -C $CHANNEL_NAME -n mycc -v 1.0 -c '{"Args":["init","a", "100", "b","200"]}' -P "AND ('Org1MSP.peer','Org2MSP.peer')"

(3)使用私有数据可以配置策略, 例如

# ACL policy for invoking chaincodes on peer
peer/Propose: /Channel/Application/Writers


// collections_config.json

[
  {
       "name": "collectionMarbles",
       "policy": "OR('Org1MSP.member', 'Org2MSP.member')",
       "requiredPeerCount": 0,
       "maxPeerCount": 3,
       "blockToLive":1000000
  },

  {
       "name": "collectionMarblePrivateDetails",
       "policy": "OR('Org1MSP.member')",
       "requiredPeerCount": 0,
       "maxPeerCount": 3,
       "blockToLive":3
  }
]

peer chaincode instantiate -o orderer.example.com:7050 --tls --cafile $ORDERER_CA -C mychannel -n marblesp -v 1.0 -c '{"Args":["init"]}' -P "OR('Org1MSP.member','Org2MSP.member')" --collections-config  $GOPATH/src/github.com/chaincode/marbles02_private/collections_config.json

(4)链码级别的背书策略设置
Chaincode/链码级别的背书策略之前我们是在chaincode实例化和更新时才能修改背书策略, 而现在新的shim api接口支持在chaincode编写的时候动态的设置背书策略。

对应shim api接口:

SetStateValidationParameter(key string, ep []byte) error
GetStateValidationParameter(key string) ([]byte, error)

SetPrivateDataValidationParameter(collection, key string, ep []byte) error
GetPrivateDataValidationParameter(collection, key string) ([]byte, error)

对应ep策略结构
type KeyEndorsementPolicy interface {
    // Policy returns the endorsement policy as bytes
    Policy() ([]byte, error)

    // AddOrgs adds the specified orgs to the list of orgs that are required
    // to endorse
    AddOrgs(roleType RoleType, organizations ...string) error

    // DelOrgs delete the specified channel orgs from the existing key-level endorsement
    // policy for this KVS key. If any org is not present, an error will be returned.
    DelOrgs([]string) error

    // DelAllOrgs removes any key-level endorsement policy from this KVS key.
    DelAllOrgs() error

    // ListOrgs returns an array of channel orgs that are required to endorse changes
    ListOrgs() ([]string, error)
}

最后总结下
这个进阶篇可能会有其它一些遗漏,例如orderer权限, 动态调整权限等。 笔者的团队会在实践后再和大家分享, 有问题也欢迎大家多交流。

原文地址:https://tech.lock-in.cn/news/a74a120208ac49c0a457e54e9efed4bb

你可能感兴趣的:(并行架构)

  • 机器学习是怎么一步一步由神经网络发展到今天的Transformer架构的? yuanpan 机器学习神经网络transformer
    机器学习和神经网络的发展经历了一系列重要的架构和技术阶段。以下是更全面的总结,涵盖了从早期神经网络到卷积神经网络之前的架构演变:1.早期神经网络:感知机(Perceptron)时间:1950年代末至1960年代。背景:感知机由FrankRosenblatt提出,是第一个具有学习能力的神经网络模型。它由单层神经元组成,可以用于简单的二分类任务。特点:输入层和输出层之间直接连接,没有隐藏层。使用简单的
  • Spring Cloud:微服务架构的利器 Earth explosion 架构springcloud微服务
    在当今快速变化的软件开发领域,微服务架构凭借其灵活性、可扩展性和易于维护的特点,成为了众多企业构建大型应用系统的首选方案。而SpringCloud,作为Spring生态系统中的一部分,为开发者提供了一整套用于构建微服务架构的工具集,极大地简化了微服务应用的开发、部署和管理过程。本文将深入介绍SpringCloud的核心概念、关键技术及其在实际项目中的应用。一、SpringCloud简介Spring
  • 推荐开源项目:RxFeedback —— 极简的RxSwift架构设计 柏赢安Simona
    推荐开源项目:RxFeedback——极简的RxSwift架构设计RxFeedback.swiftTheuniversalsystemoperatorandarchitectureforRxSwift项目地址:https://gitcode.com/gh_mirrors/rx/RxFeedback.swift项目介绍RxFeedback是一个专为RxSwift设计的简洁架构方案,它以反馈循环为基础
  • 【运维的七种武器】 搞技术的季 运维
    最近项目陆续增加,相应的运维方面压力逐步攀升,经常出现打包和发布失败的情况,给交付团队带来困扰。运维技术是随着软件技术的发展同步发展起来的,当前复杂的软件技术架构对运维的稳定和高效带了了很大挑战。一、运维平台发展史:1.第一阶段,以专业化网管工具为代表,包括网络设备、主机、数据库、中间件、存储等进行专业监控管理的各种专业化工具。2.第二阶段,以ITIL流程化管理为代表的综合网管,通过事件、服务、流
  • Java Web开发技术解析:从基础到实践的全栈指南 以恒1 java前端开发语言
    JavaWeb开发技术解析:从基础到实践的全栈指南在互联网技术演进中,JavaWeb凭借其跨平台特性、成熟的生态系统和强大的企业级服务能力,成为构建动态Web应用的核心技术栈。本文从技术组成、开发工具、实战应用三个维度,全面解析JavaWeb的完整技术体系,并结合最新行业实践探讨其演进方向。一、JavaWeb的核心技术组成JavaWeb开发以Servlet和JSP为基石,通过分层架构实现动态网页生
  • Flink命令行启动Job任务 平凡的运维之路 linux程序人生
    Flink非交互式运行Job任务Flink命令行启动Job任务具体命令flink参数说明-c,--class-d,--detached后台运行-p,--parallelism并行度[test@xxx~]$flinkrun-d-cclass_nameJob-p3./flink-statics-1.0.jar-zookeeper"10.130.41.51:2181,10.130.41.52:2181,
  • Hive面试题 御风行云天 面试题大全hivehadoop数据仓库面试
    Hive面试题1Hive基础概念1.1解释Hive是什么以及它的用途Hive的主要用途:1.2描述Hive架构和组件1.HiveCLI/Beeline和WebUI2.HiveQL3.HiveDriver(驱动)4.Metastore5.Compiler(编译器)6.Optimizer(优化器)7.Executor(执行器)8.HadoopCoreComponents(核心组件)9.HiveUDFs
  • 模型上下文协议 (MCP)是什么?Model Context Protocol 需要你了解一下 同学小张 学习AIGCAI-nativeagigpt开源协议
    大家好,我是同学小张,+v:jasper_8017一起交流,持续学习AI大模型应用实战案例,持续分享,欢迎大家点赞+关注,订阅我的大模型专栏,共同学习和进步。在人工智能领域,ModelContextProtocol(MCP)正逐渐成为连接AI模型与各类数据源及工具的重要标准。MCP究竟为何物?它又将如何改变AI应用的开发与使用?文章目录0.概念1.MCP的总体架构2.为何使用MCP?3.我的理解4
  • MCP服务器:AI智能体的新时代连接标准 真挺乐 人工智能
    在AI技术的不断发展中,MCP(ModelContextProtocol,模型上下文协议)正成为AI智能体与外部系统交互的新标准。MCP的目标是提供一个统一的方法,让AI智能体能够安全、高效地访问各种数据源、API接口和系统工具,从而扩展其能力,提升智能化水平。本文将深入探讨MCP服务器的架构、优势及其在现实世界中的应用。什么是MCP服务器?MCP服务器是MCP架构中的关键组件,它们充当AI智能体
  • 领域驱动设计(DDD)与MVC架构:理念对比与架构选择 以恒1 mvc架构
    领域驱动设计(DDD)与MVC架构:理念对比与架构选择一、架构之争的本质:业务复杂度驱动技术演进在软件开发领域,没有银弹式的完美架构,只有适合当前业务场景的合理选择。MVC与DDD的区别本质上是业务复杂度与架构响应能力的匹配问题。让我们通过一个真实案例展开思考:案例背景某金融科技公司初期采用MVC架构开发支付系统,随着业务扩展,新增跨境支付、分账系统、风控规则等功能后,代码库逐渐演变成"大泥球"架
  • 稳定运行的以PostgreSQL数据库为数据源和目标的ETL性能变差时提高性能方法和步骤 weixin_30777913 postgresql开发语言数据库性能优化etl
    在使用PostgreSQL作为数据源和目标的ETL(Extract,Transform,Load)过程中,当ETL性能变差时,可以通过一系列方法来诊断问题并提高性能。提高PostgreSQL数据库ETL性能的核心思想是从数据库配置、查询优化、硬件资源、并行处理等多个方面入手。通过上述方法逐步优化,可以大幅提升ETL过程的效率。下面是提高PostgreSQL数据库ETL性能的一些常用方法和步骤:1.
  • 锥面箍接/快拆环突破!拆装效率飙升200%,终结机器人螺丝拆装时代 CodePatentMaster 机器人人工智能
    颠覆性散热革新!宇树科技弹性散热架构让四足机器人稳定性提升40%核心价值杭州宇树科技通过弹性接触式散热仓盖与导流件协同设计,实现计算单元散热效率提升32%且抗冲击性能增强40%,攻克四足机器人高热工况下的核心组件易损难题[1][4]。一、技术原理深度剖析1.痛点定位:高动态场景下的散热与防护两难当前四足机器人的计算单元面临两大挑战:散热瓶颈:传统刚性固定导致接触热阻增加30%以上(见热成像对比数据
  • Pydantic配置继承抽象基类模式
    title:Pydantic配置继承抽象基类模式date:2025/3/21updated:2025/3/21author:cmdragonexcerpt:Pydantic模型配置系统支持通过嵌套Config类定义字段校验、序列化等行为。配置继承需显式指定父类Config,子类可覆盖或扩展配置项。动态配置管理允许运行时通过工厂函数创建带特定设置的模型,支持热更新验证规则。企业级架构中采用基类配置继
  • 《深度剖析:BERT与GPT——自然语言处理架构的璀璨双星》 人工智能深度学习
    在自然语言处理(NLP)的广袤星空中,BERT(BidirectionalEncoderRepresentationsfromTransformers)与GPT(GenerativePretrainedTransformer)系列模型宛如两颗最为耀眼的星辰,引领着NLP技术不断迈向新的高度。它们基于独特的架构设计,以强大的语言理解与生成能力,彻底革新了NLP的研究与应用范式,成为学界和业界竞相探索
  • 如何将丝杆升降机与PLC控制系统集成 demaichuandong 制造人工智能自动化
    将丝杆升降机与PLC(可编程逻辑控制器)控制系统集成,通常涉及以下几个关键步骤:一、明确需求与设计确定控制要求:根据丝杆升降机的功能需求,明确PLC需要控制的动作、状态监测以及故障报警等功能。选择合适的PLC型号:根据控制要求的复杂性和输入输出点的数量,选择合适的PLC型号。设计控制系统架构:绘制控制系统方框图,明确PLC、传感器、执行器等组件之间的连接关系。二、硬件连接与配置连接传感器与执行器:
  • SM系列密码算法在网络空间安全中的体系化应用研究 安全
    一、算法架构与技术特性解析1.1SM2椭圆曲线公钥算法基于Fp-256r1椭圆曲线构建,采用Weierstrass方程形式:y²≡x³+ax+b(modp),其核心安全参数满足:素数模p:256位大素数基域Fp上椭圆曲线阶n满足n>2^191抗MOV约化攻击特性支持高效标量乘运算优化密钥协商协议采用改进的ECMQV机制,通过两步验证实现前向安全性,计算流程包含:临时密钥对生成:(d_A,P_A)←
  • 使用arm-linux-gdb进行正确安装和编程 风华绚烂 arm开发linux运维编程
    在嵌入式系统开发中,使用适用于ARM架构的调试器是至关重要的。GNU调试器(GDB)是一个功能强大的调试工具,可以用于调试ARM平台上的应用程序。本文将介绍如何正确安装arm-linux-gdb,并提供一些示例源代码,以便您开始进行ARM平台上的编程和调试。步骤1:安装arm-linux-gdb首先,我们需要安装arm-linux-gdb。以下是在Linux上安装arm-linux-gdb的步骤:
  • 密码学协议在SSL/TLS证书体系中的深度解析 安全
    摘要:本文从密码学协议演进视角,系统剖析SSL/TLS证书体系的实现机理与安全边界。聚焦TLS1.3协议标准,揭示椭圆曲线密码体制(ECC)与混合密钥交换机制的协同运作,探讨证书透明度(CT)系统的密码学验证模型,并构建后量子时代数字证书的迁移路径框架。一、SSL/TLS协议栈的密码学架构演进X.509证书的密码学基因由PKI体系决定,其信任锚点植根于CA机构的数字签名算法选择。TLS1.3协议废
  • RabbitMQ 与 Kafka:消息中间件的终极对比与选型指南 海上彼尚 node.jsrabbitmqkafka分布式node.js
    引言在分布式系统架构中,消息中间件是异步通信的核心组件。RabbitMQ和Kafka作为两大主流技术,常被开发者拿来比较。本文深入解析两者的设计哲学、性能差异和典型场景,助你做出精准技术选型。目录引言一、核心设计差异1.定位与数据模型二、性能与架构对比1.吞吐量与延迟2.集群与扩展三、功能特性对决1.消息可靠性2.消息路由四、典型场景与选型决策1.优先选择Kafka的场景2.优先选择RabbitM
  • 基于FPGA的DDS连续FFT 仿真验证 toonyhe FPGA开发fpga开发DDSFFTIFFT
    基于FPGA的DDS连续FFT仿真验证1摘要本文聚焦AMDLogiCOREIPFastFourierTransform(FFT)核心,深入剖析其在FPGA设计中的应用。该FFT核心基于Cooley-Tukey算法,具备丰富特性,如支持多种数据精度、算术类型及灵活的运行时配置。文中详细介绍了其架构选项、端口设计、理论运算原理,以及在不同场景下的动态范围特性。同时,结合VivadoDesignSuit
  • 嵌入式硬件篇---WIFI模块 Ronin-Lotus 程序代码篇嵌入式硬件篇嵌入式硬件cWIFI
    文章目录前言一、核心工作原理1.物理层(PHY)工作频段2.4GHz5GHz调制技术直接序列扩频正交频分复用高效数据编码2.协议栈架构MAC层Beacon帧4次握手3.核心工作模式二、典型应用场景1.智能家居系统远程控制环境监测视频监测2.工业物联网设备远程运维生产线监控仓储管理3.医疗设备远程诊疗医疗影像药品管理4.消费电子智能音箱游戏设备打印设备三、ESP32开发示例1.环境配置(Platfo
  • YOLOv12优化:图像去噪 | AAAI2025 Transformer |一种基于Transformer的盲点网络(TBSN)架构 ,结合空间和通道自注意力层来增强网络能力 AI小怪兽 YOLOv12魔术师YOLOtransformer深度学习人工智能python
    提出了一种基于Transformer的盲点网络(TBSN)架构,通过分析和重新设计Transformer运算符以满足盲点要求。TBSN遵循扩张BSN的架构原则,并结合空间和通道自注意力层来增强网络能力。如何使用:1)结合C3k2二次创新使用;2)结合A2C2f二次创新使用;亮点包括:1.提出了一种新的基于Transformer的盲点网络(TBSN)架构;2.引入了知识蒸馏策略来提高计算效率;3.在
  • ACI EP Learning Whitepaper 1. ACI EP组件 m0_54931486 思科ACI网络思科ACIEndpointACIfabricNexusEP学习
    1.ACIEndpointACI网络架构的Endpoint表整合了传统MAC地址表和ARP表的功能。其核心机制是通过硬件层直接学习数据包的源MAC地址与IP地址映射关系,摒弃了传统ARP协议依赖广播请求获取下一跳MAC地址的模式。这种设计优化体现在两方面:1)减少控制面ARP流量处理带来的资源消耗;2)基于终端实际流量即可实时感知主机IP/MAC地址的拓扑迁移,无需依赖GARP通告即可实现终端移动
  • 星型组网和路由器组网的区别 森焱森 架构网络智能路由器
    星型组网和路由器组网是两种不同的网络架构,它们都可以用于构建局域网(LAN)。以下是它们的详细比较:星型组网(StarTopology):1.拓扑结构:星型组网是一种物理拓扑结构,其中所有的终端设备(如计算机、打印机、手机等)都通过无线或有线连接到一个中心设备(通常是接入点AP,如果是有线网络则是集线器或交换机)。2.特点:3.所有设备都依赖于中心设备(AP或交换机)进行通信。4.任何设备之间的通
  • 无人机喊话系统:空中扩音器的科技密码! 云卓SKYDROID 无人机科技人工智能云卓科技科普高科技
    一、技术核心:空中声波系统的三重架构1.声源处理中枢支持双模输入:麦克风实时采集与数字音频导入搭载DSP数字信号处理器,实现动态降噪(信噪比>70dB)自适应EQ调节,针对不同场景优化频响曲线(如灾害现场增强低频穿透力)2.定向声场发生器采用相控阵扬声器技术,波束角可调范围15°-60°声压级最高达125dB(相当于喷气式飞机起飞噪音)有效投射距离300米(静风环境下)3.飞控集成平台专用减震支架
  • 架构设计的灵魂交响曲:系统设计各维度的深度解析与实战指南 领码科技 IT职场技能篇架构设计系统设计功能模块模型驱动协同设计
    引言:系统设计的背景与重要性在快速变化的技术环境中,数字化转型成为企业生存与发展的核心驱动力。系统设计能力不仅是技术团队的核心竞争力,也是推动业务创新和提升整体效率的关键因素。根据Gartner的研究,超过70%的数字化转型项目未能实现预期结果,这强调了有效系统设计的重要性。企业需通过科学合理的系统设计来应对市场变化、用户需求和技术发展,从而实现更高的业务价值。文章将深入探讨架构设计的各个维度,通
  • 论云原生架构及其应用 桃花键神 云原生架构
    摘要:2021年7月,我所在的公司承担了广东省某医院的网上预约挂号项目的开发工作,我有幸作为系统架构师参与整个系统的开发过程,并负责了系统架构设计工作。该系统以预约挂号为主线,其中包括管理平台审核、确认挂号、订单支付、更新预约状态等业务模块。本文以网上预约挂号项目为例,详细论述了云原生架构在该项目中的具体应用。系统以SpringCloud微服务框架开发,分为前端Web服务、平台保障服务、业务服务三
  • 代码管理工具——SVN weixin_33728708 git开发工具python
    2019独角兽企业重金招聘Python工程师标准>>>SVN版本控制的作用:记录若干文件内容变化,以便将来查阅特定版本修订情况。版本管理工具发展简史,cvs-->svn-->Git(参考:http://luckypoem14.github.io/test/2012/04/24/scm-history/)。svn全称subversion,是一个开源版本控制系统(C/S架构),始于2000年;git(
  • Ceph数据恢复方案–分布式文件系统删除数据的恢复 San结构数据恢复 数据恢复相关ceph
    提示:文章写完后,目录可以自动生成,如何生成可参考右边的帮助文档文章目录前言一、Ceph的三种存储结构二、Ceph中删除数据的恢复提取1.本次案例情况简介:2.数据分析:2.1:BlueStore架构2.2分布式存储中元数据概述2.3提取元数据2.3.2:获取meta_data2.3.4.元数据整理2.3.5.计算数据地址3.数据恢复提取总结前言什么是分布式文件系统分布式文件系统(Distribu
  • 【服务器数据恢复】数据中心存储服务器VMware vSAN分布式存储架构数据恢复解析 海境超备 服务器分布式架构网络安全系统安全运维
    随着企业数据中心的数据量的不断增加,数据存储和恢复成为了企业必须面对的重要问题。vSAN(VirtualStorageAreaNetwork)分布式存储架构是一种新型的存储技术,它可以有效地解决企业数据存储和管理方面的问题。本文将详细介绍vSAN分布式存储架构的原理和特点,并解析其数据恢复的原理和方法。分布式文件系统(DistributedFileSystem,DFS)是一种能够在多台计算机之间共
  • rust的指针作为函数返回值是直接传递,还是先销毁后创建? wudixiaotie 返回值
     这是我自己想到的问题,结果去知呼提问,还没等别人回答, 我自己就想到方法实验了。。 fn main() { let mut a = 34; println!("a's addr:{:p}", &a); let p = &mut a; println!("p's addr:{:p}", &a
  • java编程思想 -- 数据的初始化 百合不是茶 java数据的初始化
      1.使用构造器确保数据初始化      /* *在ReckInitDemo类中创建Reck的对象 */ public class ReckInitDemo { public static void main(String[] args) { //创建Reck对象 new Reck(); } }
  • [航天与宇宙]为什么发射和回收航天器有档期 comsci
           地球的大气层中有一个时空屏蔽层,这个层次会不定时的出现,如果该时空屏蔽层出现,那么将导致外层空间进入的任何物体被摧毁,而从地面发射到太空的飞船也将被摧毁...        所以,航天发射和飞船回收都需要等待这个时空屏蔽层消失之后,再进行 &
  • linux下批量替换文件内容 商人shang linux替换
    1、网络上现成的资料   格式: sed -i "s/查找字段/替换字段/g" `grep 查找字段 -rl 路径`   linux sed 批量替换多个文件中的字符串   sed -i "s/oldstring/newstring/g" `grep oldstring -rl yourdir`   例如:替换/home下所有文件中的www.admi
  • 网页在线天气预报 oloz 天气预报
    网页在线调用天气预报 <%@ page language="java" contentType="text/html; charset=utf-8" pageEncoding="utf-8"%> <!DOCTYPE html PUBLIC "-//W3C//DTD HTML 4.01 Transit
  • SpringMVC和Struts2比较 杨白白 springMVC
    1. 入口 spring mvc的入口是servlet,而struts2是filter(这里要指出,filter和servlet是不同的。以前认为filter是servlet的一种特殊),这样就导致了二者的机制不同,这里就牵涉到servlet和filter的区别了。 参见:http://blog.csdn.net/zs15932616453/article/details/8832343 2
  • refuse copy, lazy girl! 小桔子 copy
           妹妹坐船头啊啊啊啊!都打算一点点琢磨呢。文字编辑也写了基本功能了。。今天查资料,结果查到了人家写得完完整整的。我清楚的认识到: 1.那是我自己觉得写不出的高度 2.如果直接拿来用,很快就能解决问题 3.然后就是抄咩~~ 4.肿么可以这样子,都不想写了今儿个,留着作参考吧!拒绝大抄特抄,慢慢一点点写!  
  • apache与php整合 aichenglong php apache web
    一  apache web服务器 1 apeche web服务器的安装   1)下载Apache web服务器   2)配置域名(如果需要使用要在DNS上注册)   3)测试安装访问http://localhost/验证是否安装成功 2 apache管理   1)service.msc进行图形化管理   2)命令管理,配
  • Maven常用内置变量 AILIKES maven
    Built-in properties ${basedir} represents the directory containing pom.xml ${version} equivalent to ${project.version} (deprecated: ${pom.version}) Pom/Project properties Al
  • java的类和对象 百合不是茶 JAVA面向对象 类 对象
    java中的类:     java是面向对象的语言,解决问题的核心就是将问题看成是一个类,使用类来解决   java使用 class 类名   来创建类 ,在Java中类名要求和构造方法,Java的文件名是一样的   创建一个A类: class A{ }   java中的类:将某两个事物有联系的属性包装在一个类中,再通
  • JS控制页面输入框为只读 bijian1013 JavaScript
    在WEB应用开发当中,增、删除、改、查功能必不可少,为了减少以后维护的工作量,我们一般都只做一份页面,通过传入的参数控制其是新增、修改或者查看。而修改时需将待修改的信息从后台取到并显示出来,实际上就是查看的过程,唯一的区别是修改时,页面上所有的信息能修改,而查看页面上的信息不能修改。因此完全可以将其合并,但通过前端JS将查看页面的所有信息控制为只读,在信息量非常大时,就比较麻烦。  
  • AngularJS与服务器交互 bijian1013 JavaScriptAngularJS$http
            对于AJAX应用(使用XMLHttpRequests)来说,向服务器发起请求的传统方式是:获取一个XMLHttpRequest对象的引用、发起请求、读取响应、检查状态码,最后处理服务端的响应。整个过程示例如下: var xmlhttp = new XMLHttpRequest(); xmlhttp.onreadystatechange
  • [Maven学习笔记八]Maven常用插件应用 bit1129 maven
    常用插件及其用法位于:http://maven.apache.org/plugins/   1. Jetty server plugin 2. Dependency copy plugin 3. Surefire Test plugin 4. Uber jar plugin           1. Jetty Pl
  • 【Hive六】Hive用户自定义函数(UDF) bit1129 自定义函数
    1. 什么是Hive UDF Hive是基于Hadoop中的MapReduce,提供HQL查询的数据仓库。Hive是一个很开放的系统,很多内容都支持用户定制,包括: 文件格式:Text File,Sequence File 内存中的数据格式: Java Integer/String, Hadoop IntWritable/Text 用户提供的 map/reduce 脚本:不管什么
  • 杀掉nginx进程后丢失nginx.pid,如何重新启动nginx ronin47 nginx 重启 pid丢失
    nginx进程被意外关闭,使用nginx -s reload重启时报如下错误:nginx: [error] open() “/var/run/nginx.pid” failed (2: No such file or directory)这是因为nginx进程被杀死后pid丢失了,下一次再开启nginx -s reload时无法启动解决办法:nginx -s reload 只是用来告诉运行中的ng
  • UI设计中我们为什么需要设计动效 brotherlamp UIui教程ui视频ui资料ui自学
    随着国际大品牌苹果和谷歌的引领,最近越来越多的国内公司开始关注动效设计了,越来越多的团队已经意识到动效在产品用户体验中的重要性了,更多的UI设计师们也开始投身动效设计领域。 但是说到底,我们到底为什么需要动效设计?或者说我们到底需要什么样的动效?做动效设计也有段时间了,于是尝试用一些案例,从产品本身出发来说说我所思考的动效设计。 一、加强体验舒适度 嗯,就是让用户更加爽更加爽的用你的产品。
  • Spring中JdbcDaoSupport的DataSource注入问题 bylijinnan javaspring
    参考以下两篇文章: http://www.mkyong.com/spring/spring-jdbctemplate-jdbcdaosupport-examples/ http://stackoverflow.com/questions/4762229/spring-ldap-invoking-setter-methods-in-beans-configuration Sprin
  • 数据库连接池的工作原理 chicony 数据库连接池
           随着信息技术的高速发展与广泛应用,数据库技术在信息技术领域中的位置越来越重要,尤其是网络应用和电子商务的迅速发展,都需要数据库技术支持动 态Web站点的运行,而传统的开发模式是:首先在主程序(如Servlet、Beans)中建立数据库连接;然后进行SQL操作,对数据库中的对象进行查 询、修改和删除等操作;最后断开数据库连接。使用这种开发模式,对
  • java 关键字 CrazyMizzz java
    关键字是事先定义的,有特别意义的标识符,有时又叫保留字。对于保留字,用户只能按照系统规定的方式使用,不能自行定义。 Java中的关键字按功能主要可以分为以下几类:    (1)访问修饰符       public,private,protected       p
  • Hive中的排序语法 daizj 排序hiveorder byDISTRIBUTE BYsort by
    Hive中的排序语法 2014.06.22 ORDER BY hive中的ORDER BY语句和关系数据库中的sql语法相似。他会对查询结果做全局排序,这意味着所有的数据会传送到一个Reduce任务上,这样会导致在大数量的情况下,花费大量时间。 与数据库中 ORDER BY 的区别在于在hive.mapred.mode = strict模式下,必须指定 limit 否则执行会报错。
  • 单态设计模式 dcj3sjt126com 设计模式
      单例模式(Singleton)用于为一个类生成一个唯一的对象。最常用的地方是数据库连接。 使用单例模式生成一个对象后,该对象可以被其它众多对象所使用。 <?phpclass Example{    // 保存类实例在此属性中    private static&
  • svn locked dcj3sjt126com Lock
    post-commit hook failed (exit code 1) with output: svn: E155004: Working copy 'D:\xx\xxx' locked svn: E200031: sqlite: attempt to write a readonly database svn: E200031: sqlite: attempt to write a
  • ARM寄存器学习 e200702084 数据结构C++cC#F#
    无论是学习哪一种处理器,首先需要明确的就是这种处理器的寄存器以及工作模式。     ARM有37个寄存器,其中31个通用寄存器,6个状态寄存器。 1、不分组寄存器(R0-R7)     不分组也就是说说,在所有的处理器模式下指的都时同一物理寄存器。在异常中断造成处理器模式切换时,由于不同的处理器模式使用一个名字相同的物理寄存器,就是
  • 常用编码资料 gengzg 编码
    List<UserInfo> list=GetUserS.GetUserList(11); String json=JSON.toJSONString(list); HashMap<Object,Object> hs=new HashMap<Object, Object>(); for(int i=0;i<10;i++) {
  • 进程 vs. 线程 hongtoushizi 线程linux进程
    我们介绍了多进程和多线程,这是实现多任务最常用的两种方式。现在,我们来讨论一下这两种方式的优缺点。 首先,要实现多任务,通常我们会设计Master-Worker模式,Master负责分配任务,Worker负责执行任务,因此,多任务环境下,通常是一个Master,多个Worker。 如果用多进程实现Master-Worker,主进程就是Master,其他进程就是Worker。 如果用多线程实现
  • Linux定时Job:crontab -e 与 /etc/crontab 的区别 Josh_Persistence linuxcrontab
    一、linux中的crotab中的指定的时间只有5个部分:* * * * * 分别表示:分钟,小时,日,月,星期,具体说来: 第一段 代表分钟 0—59 第二段 代表小时 0—23 第三段 代表日期 1—31 第四段 代表月份 1—12 第五段 代表星期几,0代表星期日 0—6   如: */1 * * * *   每分钟执行一次。 *
  • KMP算法详解 hm4123660 数据结构C++算法字符串KMP
         字符串模式匹配我们相信大家都有遇过,然而我们也习惯用简单匹配法(即Brute-Force算法),其基本思路就是一个个逐一对比下去,这也是我们大家熟知的方法,然而这种算法的效率并不高,但利于理解。       假设主串s="ababcabcacbab",模式串为t="
  • 枚举类型的单例模式 zhb8015 单例模式
    E.编写一个包含单个元素的枚举类型[极推荐]。代码如下: public enum MaYun {himself; //定义一个枚举的元素,就代表MaYun的一个实例private String anotherField;MaYun() {//MaYun诞生要做的事情//这个方法也可以去掉。将构造时候需要做的事情放在instance赋值的时候:/** himself = MaYun() {*
  • Kafka+Storm+HDFS ssydxa219 storm
    cd /myhome/usr/stormbin/storm nimbus &amp;bin/storm supervisor &amp;bin/storm ui &amp;Kafka+Storm+HDFS整合实践kafka_2.9.2-0.8.1.1.tgzapache-storm-0.9.2-incubating.tar.gzKafka安装配置我们使用3台机器搭建Kafk
  • Java获取本地服务器的IP 中华好儿孙 javaWeb获取服务器ip地址
    System.out.println("getRequestURL:"+request.getRequestURL()); System.out.println("getLocalAddr:"+request.getLocalAddr()); System.out.println("getLocalPort:&quo
按字母分类: ABCDEFGHIJKLMNOPQRSTUVWXYZ其他