LemonMadison
LemonMadison

kubernetes权限RBAC之授权、鉴权、审计

文章目录

  • 权限认证
  • 一、kubernetes权限RBAC
  • 二、验证权限的过程
  • 三、代码分析
  • 四、填充请求信息
  • 五、多集群路由转发和协议升级
  • 六、权限获取
  • 七、k8s集群资源转发
  • 总结

权限认证

一、kubernetes权限RBAC

kubernetes使用的RBAC的示意图如下:user1 可以使用role1和role2所允许的资源,user2只可以使用 role1 所允许的资源。我们有时候会称user为subject
在这里插入图片描述

kubernetes权限RBAC之授权、鉴权、审计_第1张图片
kubernetes,serviceaccount、user、groupuser。、clusterrole和role代表role。clusterrolebindingrolebinding代表rolebinding。

  • GlobalRole(CRD资源)和ClusterRole、Role:全局角色,集群角色,项目角色,这三个都包含Rules,定义了这个Role所能允许的资源。三者的区别在于,在Role中是有namespace的,属于单个命名空间,ClusterRole是单个集群的,GlobalRole是多个集群的。
  • Subject :里面对应相应的用户如上图所示,Subject里面包含:apiGroup、Kind、Name(User的Name)
  • RoleBinding、ClusterRoleBinding、GlobalRoleBinding:将Role与Subject绑定。确定每一个用户都有确定的Rules(权限)。

二、验证权限的过程

  1. 填充请求。确定请求的范围,单集群还是多集群,是否是发给k8s的请求
  2. 验证用户,密码、token等方式,如果是无用户则定义为anonymous
  3. 如果是多集群,则需要转发。
  4. 确定该资源是否能被用户获取
    1. 通过user,globalRoleBinding获取到globalRole,查看GlobalRole对该资源是否允许。
    2. 通过user,ClusterroleBinding获取到Clusterrole
    3. 通过user,Rolebinding获取到Role,查看Role对资源是否允许
    为了减少查询次数,通过if来过滤
  5. 审计
  6. 如果是k8s资源,类似于kubectl get pod -A的资源,则转发给kube-apiserver

三、代码分析

本项目使用的是iam模块来进行权限和权限获取,本项目使用go-restful开发 web应用框架,权限认证和权限获取都是在filter进行的
权限代码如下: **注意:filter和handle的方式一样,先被封装后被运行。**所以下面请求的执行过程是:
WithRequestInfo—>WithAuthentication—>WithMultipleClusterDispatcher—>WithAuthorization—>WithAuditing---->WithKubeAPIServer

func (s *APIServer) buildHandlerChain(stopCh <-chan struct{}) {
	//.....
	handler := s.Server.Handler
	handler = filters.WithKubeAPIServer(handler, s.KubernetesClient.Config(), &errorResponder{})
//开启审计
	if s.Config.AuditingOptions.Enable {
		handler = filters.WithAuditing(handler,
			audit.NewAuditing(s.InformerFactory, s.Config.AuditingOptions.WebhookUrl, stopCh))
	}
	//授权
	handler = filters.WithAuthorization(handler, authorizers)
	if s.Config.MultiClusterOptions.Enable {
		//多集群转发
		handler = filters.WithMultipleClusterDispatcher(handler, clusterDispatcher)
	}

	loginRecorder := im.NewLoginRecorder(s.KubernetesClient.KubeSphere())
	//认证
	handler = filters.WithAuthentication(handler, authn, loginRecorder)
	//WithRequestInfo
	handler = filters.WithRequestInfo(handler, requestInfoResolver)
	s.Server.Handler = handler
}

主要分为以下步骤

  1. WithRequestInfo :填充请求信息
  2. WithAuthentication:权限认证
  3. WithMultipleClusterDispatcher:多集群路径填补和转发,多集群时根据requestinfo,将信息发送给对应的集群。
  4. WithAuthorization:权限获取,判断是否对应集群资源有获取权限。
  5. WithAuditing:审计
  6. WithKubeAPIServer:转发,如果是直接对k8s的请求,则直接转发给k8s。

四、填充请求信息

请求信息如下:

type RequestInfo struct {
    // import k8s.io/apiserver/pkg/endpoints/request
	*k8srequest.RequestInfo
	//是否是k8s的请求,如果是k8s的请求,则会直接转发到kube-apiserver
	IsKubernetesRequest bool

	//请求资源所在的Workspace,可以为空
	Workspace string

	//请求资源所在的Cluster,如果是单集群则为空
	Cluster string

	//请求资源所在的devops项目
	DevOps string

	// 资源请求范围
	ResourceScope string
}

认证
有三个认证方式,anoymous、password、token三个方法任意一个通过校验,就立刻返回。

  1. anoymous的实现方法如下
 func (a *Authenticator) AuthenticateRequest(req *http.Request) (*authenticator.Response, bool, error) {
   	auth := strings.TrimSpace(req.Header.Get("Authorization"))
   	if auth == "" {
   		return &authenticator.Response{
   			User: &user.DefaultInfo{
   				Name:   user.Anonymous,
   				UID:    "",
   				Groups: []string{user.AllUnauthenticated},
   			},
   		}, true, nil
   	}
   	return nil, false, nil
   }
  1. password的实现方法如下:从user资源中获取信息
func (im *passwordAuthenticator) Authenticate(username, password string) (authuser.Info, error) {
   	//从k8s 集群中查询到user资源
   	user, err := im.searchUser(username)
   	
   	providerOptions, ldapProvider := im.getLdapProvider()
   	//....
       //通过ldapProvider来判断账号密码是否正确
   	if ldapProvider != nil && username != constants.AdminUserName {
   		//
   		authenticated, err := ldapProvider.Authenticate(username, password)
   		//....
   		if authenticated != nil {
   			return &authuser.DefaultInfo{
   				Name: authenticated.Name,
   				UID:  string(authenticated.UID),
   			}, nil
   		}
   	}
   	//也可以通过use资源的EncryptedPassword,验证密码
   	if checkPasswordHash(password, user.Spec.EncryptedPassword) {
   		return &authuser.DefaultInfo{
   			Name: user.Name,
   			UID:  string(user.UID),
   		}, nil
   	}
   
   	return nil, AuthFailedIncorrectPassword
   }
  1. token:使用jwt验证
  func (t tokenOperator) Verify(tokenStr string) (user.Info, error) {
       //调用jwt包验证
   	authenticated, tokenType, err := t.issuer.Verify(tokenStr)
   	//这里应该是过期时间,0为永不过期。这个为配置设置
   	if t.options.OAuthOptions.AccessTokenMaxAge == 0 ||
   		tokenType == token.StaticToken {
   		return authenticated, nil
   	}
       //redis验证
   	if err := t.tokenCacheValidate(authenticated.GetName(), tokenStr); err != nil {
   		klog.Error(err)
   		return nil, err
   	}
   	return authenticated, nil
   }

五、多集群路由转发和协议升级

只在多集群下运行此函数

func (c *clusterDispatch) Dispatch(w http.ResponseWriter, req *http.Request, handler http.Handler) {
	info, _ := request.RequestInfoFrom(req.Context())
	//cluster 是crd 资源。获取集群所有cluster信息
	cluster, err := c.clusterLister.Get(info.Cluster)
	//请求集群是主机集群,不需要通过代理
	if isClusterHostCluster(cluster) {
		req.URL.Path = strings.Replace(req.URL.Path, fmt.Sprintf("/clusters/%s", info.Cluster), "", 1)
		handler.ServeHTTP(w, req)
		return
	}
	//查询集群
	innCluster := c.getInnerCluster(cluster.Name)
	transport := http.DefaultTransport
	//替换url
	u := *req.URL
	u.Path = strings.Replace(u.Path, fmt.Sprintf("/clusters/%s", info.Cluster), "", 1)
	if cluster.Spec.Connection.Type == clusterv1alpha1.ConnectionTypeDirect &&
		len(cluster.Spec.Connection.KubeSphereAPIEndpoint) == 0 {
		u.Scheme = innCluster.kubernetesURL.Scheme
		u.Host = innCluster.kubernetesURL.Host
		u.Path = fmt.Sprintf(proxyURLFormat, u.Path)
		transport = innCluster.transport
         //...
	} else {
		u.Host = innCluster.kubesphereURL.Host
		u.Scheme = innCluster.kubesphereURL.Scheme
	}
    
	httpProxy := proxy.NewUpgradeAwareHandler(&u, transport, false, false, c)
	httpProxy.ServeHTTP(w, req)
}

六、权限获取

首先在apiserver层中初始化Authorizer,然后进行授权模式的判断 代码如下:

var authorizers authorizer.Authorizer

	switch a.Config.AuthorizationOptions.Mode{
	case authorizationoptions.AlwaysAllow:
		authorizers = authorizerfactory.NewAlwaysAllowAuthorizer()
	case authorizationoptions.AlwaysDeny:
		authorizers = authorizerfactory.NewAlwaysDenyAuthorizer()
	default:
		fallthrough
	case authorizationoptions.RBAC:
	//放行的所有路径:如登录等
		excludePaths := []string{"/login/*"}
		pathAuthorizer,_ :=path.NewAuthorizer(excludePaths)
//RBAC权限判断,url鉴权
		RBACAuthorizer:=rbac.NewRBACAuthorizer(a.KubernetesClient.Kubernetes(),a.KubernetesClient.Kubesphere())
		//将放行的路径和RBAC权限授权放到unionauthorizer里面,然后进行首先判断,是不是放行的路径,根据pathAuthorizer返回的Authorizer,来判断如果是放行的路径,直接放行,否则进行RBAC权限判定
		authorizers = unionauthorizer.New(pathAuthorizer,RBACAuthorizer)
	}
//将授权加到handler里面
	handler = middleware.WithAuthorization(handler,authorizers)

path放行路径的截取
代码如下:

	var prefixes []string
	paths := sets.NewString()
	for _, p := range alwaysAllowPaths {
	//将放行的URL的前缀/去掉,如:/login/*去掉后为login/*
		p = strings.TrimPrefix(p, "/")
		if len(p) == 0 {
			paths.Insert(p)
			continue
		}
		//判断放行的URL是不是写的为/**
		if strings.ContainsRune(p[:len(p)-1], '*') {
			return nil, fmt.Errorf("only trailing * allowed in %q", p)
		}
		//去掉后面的*
		if strings.HasSuffix(p, "*") {
			prefixes = append(prefixes, p[:len(p)-1])
		} else {
			paths.Insert(p)
		}
	}
	return authorizer.AuthorizerFunc(func(a authorizer.Attributes) (authorizer.Decision, string, error) {
		pth := strings.TrimPrefix(a.GetPath(), "/")
		//如果是不带*的则需要用户请求的路径和放行的路径完全相同
		if paths.Has(pth) {
			return authorizer.DecisionAllow, "", nil
		}
		//如果是/*的则只要前缀为例如/login的即可
		for _, prefix := range prefixes {
			if strings.HasPrefix(pth, prefix) {
			//放行
				return authorizer.DecisionAllow, "", nil
			}
		}

		return authorizer.DecisionNoOpinion, "", nil
	}), nil

Union来判断是放行的路径,还是进行RBAC授权

//...authorizer.Authorizer 代表可以存放多个类型为Authorizer的结构体(即:放行的路径、RBAC授权)
func New(authorizationHandlers ...authorizer.Authorizer) authorizer.Authorizer {
	return unionAuthzHandler(authorizationHandlers)
}

func (authzHandler unionAuthzHandler) Authorize(a authorizer.Attributes) (authorizer.Decision, string, error) {
	var (
		errlist    []error
		reasonlist []string
	)

	for _, currAuthzHandler := range authzHandler {
		decision, reason, err := currAuthzHandler.Authorize(a)

		if err != nil {
			errlist = append(errlist, err)
		}
		if len(reason) != 0 {
			reasonlist = append(reasonlist, reason)
		}
		//根据截取放行的路径返回的放行DecisionAllow,进行放行
		switch decision {
		case authorizer.DecisionAllow, authorizer.DecisionDeny:
			return decision, reason, err
		case authorizer.DecisionNoOpinion:
			// continue to the next authorizer
		}
	}

	return authorizer.DecisionNoOpinion, strings.Join(reasonlist, "\n"), utilerrors.NewAggregate(errlist)
}

RBAC用户授权

func appliesTo(user user.Info, bindingSubjects []rbacv1.Subject, namespace string) (int, bool) {
	for i, bindingSubject := range bindingSubjects {
		if appliesToUser(user, bindingSubject, namespace) {
			return i, true
		}
	}
	return 0, false
}
//根据请求的用户去查看是否有该用户
func appliesToUser(user user.Info, subject rbacv1.Subject, namespace string) bool {
	switch subject.Kind {
	case rbacv1.UserKind:
		a :=strings.Compare(user.GetName(),subject.Name)
		return a == 0
	default:
		return false
	}
}

RBAC权限匹配


func ruleAllows(requestAttributes authorizer.Attributes, rule *rbacv1.PolicyRule) bool {
	//判断是否是资源请求
	if requestAttributes.IsResourceRequest() {
		//如果含有子资源的请求,则进行拼接
		combinedResource := requestAttributes.GetResource()
		if len(requestAttributes.GetSubresource()) > 0 {
			combinedResource = requestAttributes.GetResource() + "/" + requestAttributes.GetSubresource()
		}
		//进行权限、APIGroup、资源、资源名字进行判断用户请求的URL和该用户拥有的权限是否一致
		return VerbMatches(rule, requestAttributes.GetVerb()) &&
			APIGroupMatches(rule, requestAttributes.GetAPIGroup()) &&
			ResourceMatches(rule, combinedResource, requestAttributes.GetSubresource()) &&
			ResourceNameMatches(rule, requestAttributes.GetName())
	}
	return VerbMatches(rule, requestAttributes.GetVerb())
}

权限获取是通过RBAC方式。先调用Authorize

func (r *RBACAuthorizer) Authorize(requestAttributes authorizer.Attributes) (authorizer.Decision, string, error) {
	//调用visitRulesFor检查权限
	r.visitRulesFor(requestAttributes, ruleCheckingVisitor.visit)
	if ruleCheckingVisitor.allowed {
		return authorizer.DecisionAllow, ruleCheckingVisitor.reason, nil
	}
    //...
    //记录日志
    klog.Infof("...")
    //...
	return authorizer.DecisionNoOpinion, reason, nil
}

在调用vistRulesFor

func (r *RBACAuthorizer) visitRulesFor(requestAttributes authorizer.Attributes, visitor func(source fmt.Stringer, regoPolicy string, rule *rbacv1.PolicyRule, err error) bool) {
	//查看globalRole是否有对此资源的获取权限
	if globalRoleBindings, err := r.am.ListGlobalRoleBindings(""); err != nil {
		//...
	} else {
		sourceDescriber := &globalRoleBindingDescriber{}
        //循环globalRoleBindings。找到该用户的globalRoleBindings。
		for _, globalRoleBinding := range globalRoleBindings {
			subjectIndex, applies := appliesTo(requestAttributes.GetUser(), globalRoleBinding.Subjects, "")
			if !applies {
                //如果不是这个找到该用户的globalRoleBindings,则continue
				continue
			}
            //根据globalRoleBinding上的roleref,获取到role。进一步获取到regoPolicy和rules。这是两个规则,只要有一个规则符合即可
			regoPolicy, rules, err := r.am.GetRoleReferenceRules(globalRoleBinding.RoleRef, "")
			//...
             //根据regoPolicy验证是否符合规则
			if !visitor(sourceDescriber, regoPolicy, nil, nil) {
				return
			}
             //根据rules验证是否符合规则
			for i := range rules {
				if !visitor(sourceDescriber, "", &rules[i], nil) {
					return
				}
			}
		}
        //...
	}
	
	if requestAttributes.GetResourceScope() == request.WorkspaceScope ||
		requestAttributes.GetResourceScope() == request.NamespaceScope ||
		requestAttributes.GetResourceScope() == request.DevOpsScope {
		//...
         // 代码部分删除,这部分主要是获取workspace
	    workspace, err = r.am.GetNamespaceControlledWorkspace(requestAttributes.GetNamespace()); err != nil 
		// 通过workspace获取workspaceRoleBindings。
		if workspaceRoleBindings, err := r.am.ListWorkspaceRoleBindings("", workspace); ...{
		     //...
		} else {
			//...轮训workspaceRoleBindings,找到workspaceRole,在进行权限检测。这部分和grobalrole一样
			for _, workspaceRoleBinding := range workspaceRoleBindings {
				subjectIndex, applies := appliesTo(requestAttributes.GetUser(), workspaceRoleBinding.Subjects, "")
				if !applies {
					continue
				}
				regoPolicy, rules, err := r.am.GetRoleReferenceRules(workspaceRoleBinding.RoleRef, "")
				//...
				if !visitor(sourceDescriber, regoPolicy, nil, nil) {
					return
				}
				for i := range rules {
					if !visitor(sourceDescriber, "", &rules[i], nil) {
						return
					}
				}
			}
		}
	}

	if requestAttributes.GetResourceScope() == request.NamespaceScope ||
		requestAttributes.GetResourceScope() == request.DevOpsScope {
		
		namespace := requestAttributes.GetNamespace()
		// 直接获取namespace,或者根据DevOps获取namespace
		if requestAttributes.GetResourceScope() == request.DevOpsScope {
			if relatedNamespace, err := r.am.GetDevOpsRelatedNamespace(requestAttributes.GetDevOps()); err != nil {
				if !visitor(nil, "", nil, err) {
					return
				}
			} else {
				namespace = relatedNamespace
			}
		}
		//根据namespace获取rolebinding
		if roleBindings, err := r.am.ListRoleBindings("", namespace); err != nil {
			if !visitor(nil, "", nil, err) {
				return
			}
		} else {
			sourceDescriber := &roleBindingDescriber{}
             //轮训roleBindings,找到role,检查role
			for _, roleBinding := range roleBindings {
				subjectIndex, applies := appliesTo(requestAttributes.GetUser(), roleBinding.Subjects, namespace)
				if !applies {
					continue
				}
				regoPolicy, rules, err := r.am.GetRoleReferenceRules(roleBinding.RoleRef, namespace)
				if err != nil {
					visitor(nil, "", nil, err)
					continue
				}
				sourceDescriber.binding = roleBinding
				sourceDescriber.subject = &roleBinding.Subjects[subjectIndex]
				if !visitor(sourceDescriber, regoPolicy, nil, nil) {
					return
				}
				for i := range rules {
					if !visitor(sourceDescriber, "", &rules[i], nil) {
						return
					}
				}
			}
		}
	}
	//获取所有clusterRoleBindings,轮训查找到clusterRole。检查规则
	if clusterRoleBindings, err := r.am.ListClusterRoleBindings(""); err != nil {
		if !visitor(nil, "", nil, err) {
			return
		}
	} else {
		sourceDescriber := &clusterRoleBindingDescriber{}
		for _, clusterRoleBinding := range clusterRoleBindings {
			subjectIndex, applies := appliesTo(requestAttributes.GetUser(), clusterRoleBinding.Subjects, "")
			if !applies {
				continue
			}
			regoPolicy, rules, err := r.am.GetRoleReferenceRules(clusterRoleBinding.RoleRef, "")
			if err != nil {
				visitor(nil, "", nil, err)
				continue
			}
			sourceDescriber.binding = clusterRoleBinding
			sourceDescriber.subject = &clusterRoleBinding.Subjects[subjectIndex]
			if !visitor(sourceDescriber, regoPolicy, nil, nil) {
				return
			}
			for i := range rules {
				if !visitor(sourceDescriber, "", &rules[i], nil) {
					return
				}
			}
		}
	}
}

检查规则的函数是visitor,如果regoPolicy符合就不检查rule

func (v *authorizingVisitor) visit(source fmt.Stringer, regoPolicy string, rule *rbacv1.PolicyRule, err error) bool {
    //调用open-policy-agent库检查权限
	if regoPolicy != "" && regoPolicyAllows(v.requestAttributes, regoPolicy) {
		v.allowed = true
		v.reason = fmt.Sprintf("RBAC: allowed by %s", source.String())
		return false
	}
    //调用k8s 接口实现rbac检查权限
	if rule != nil && ruleAllows(v.requestAttributes, rule) {
		v.allowed = true
		v.reason = fmt.Sprintf("RBAC: allowed by %s", source.String())
		return false
	}
	if err != nil {
		v.errors = append(v.errors, err)
	}
	return true
}

七、k8s集群资源转发

如果这个资源是向k8s请求的,则直接向k8s请求

func WithKubeAPIServer(handler http.Handler, config *rest.Config, failed proxy.ErrorResponder) http.Handler {
	//...
    //这部分为初始化内容,在请求时不执行。
	return http.HandlerFunc(func(w http.ResponseWriter, req *http.Request) {
		info, ok := request.RequestInfoFrom(req.Context())
		if !ok {
			err := errors.New("Unable to retrieve request info from request")
			klog.Error(err)
			responsewriters.InternalError(w, req, err)
		}
		// 确认是否为k8s请求
		if info.IsKubernetesRequest {
			s := *req.URL
			s.Host = kubernetes.Host
			s.Scheme = kubernetes.Scheme

			// make sure we don't override kubernetes's authorization
			req.Header.Del("Authorization")
            //转发
			httpProxy := proxy.NewUpgradeAwareHandler(&s, defaultTransport, true, false, failed)
			httpProxy.UpgradeTransport = proxy.NewUpgradeRequestRoundTripper(defaultTransport, defaultTransport)
			httpProxy.ServeHTTP(w, req)
			return
		}

		handler.ServeHTTP(w, req)
	})
}

总结

希望与大佬们进行交流学习 。如有侵权部分请联系删除侵权内容

你可能感兴趣的:(云原生,kubernets,go,k8s,kubernetes,golang)

  • Django之Debug篇 菜鸟之编程 Djangodjangopython后端
    一、DebugToolBar基本使用1.1、概述Django框架的调试工具栏使用django-debug-toolbar库,是一组可配置的面板,显示有关当前请求/响应的各种调试信息,点击时,显示有关面板内容的更多详细信息。官方文档:DjangoDebugToolbar—DjangoDebugToolbar4.3.0documentation1.2、安装pipinstalldjango-debug-
  • helm 部署 Kube-Prometheus + Grafana + 钉钉告警部署 Kube-Prometheus zxj19880502 grafanaprometheus
    背景角色IPK8S版本容器运行时k8s-master-1172.16.16.108v1.24.1containerd://1.6.8k8s-node-1172.16.16.109v1.24.1containerd://1.6.8k8s-node-2172.16.16.110v1.24.1containerd://1.6.8安装kube-prometheusmkdir-p/data/yaml/kub
  • 谷歌浏览器驱动Chromedriver(114-120版本)文件以及驱动下载教程 pigerr杨 Pythonpythonchromedrivers
    ChromeDriver官方网站GitHub||GoogleChromeLabs/chrome-for-testingChromeDriver113-125_JSONChromeforTestingavailability123-125zip白月黑羽Python基础|进阶|Qt图形界面|Django|自动化测试|性能测试|JS语言|JS前端|原理与安装
  • docker怎么端口映射 Lance_mu docker容器运维
    1、默认固定的端口#Web服务器:WebApache或Nginx通常使用80端口HTTP:80HTTPS:443#数据库服务器MySQL:3306PostgreSQL:5432MongoDB:27017Redis:6379#邮件服务器SMTP:25POP3:110IMAP:143#其他服务SSH:22FTP:21DNS(域名解析):53代理服务器Squid:3128版本控制系统Git:9418(S
  • Golang标准库fmt深入解析与应用技巧 walkskyer golang标准库golangjava数据库
    Golang标准库fmt深入解析与应用技巧前言fmt包的基本使用打印与格式化输出函数Print系列函数格式化字符串格式化输入函数小结字符串格式化基本类型的格式化输出自定义类型的格式化输出控制格式化输出的宽度和精度小结错误处理与fmt使用fmt.Errorf生成错误信息fmt包与错误处理的最佳实践小结日志记录与fmtfmt包在日志记录中的应用结合log包使用fmt进行高级日志处理小结fmt与IOfm
  • Flutter运行flutter doctor 命令长时间未响应如何解决 咕噜签名分发-淼淼 flutter
    Hello大家好!我是咕噜铁蛋!在移动应用开发领域,Flutter以其高效、跨平台的特性吸引了众多开发者的关注。然而,在使用Flutter进行项目开发时,开发者可能会遇到各种问题,其中之一就是运行flutterdoctor命令时长时间未响应。今天铁蛋将深入探讨这一问题的成因、解决方案以及相关的Flutter环境配置知识。一、Flutter与flutterdoctor命令简介Flutter是Goog
  • golang 加密 大鲤余 Golanggolang开发语言后端
    代码示例packageutilsimport("crypto/md5""encoding/hex""golang.org/x/crypto/bcrypt")//BcryptHash使用bcrypt对数据进行加密funcBcryptHash(passwordstring)string{bytes,_:=bcrypt.GenerateFromPassword([]byte(password),bcry
  • max_element()和min_element()函数及用法介绍 藕粉和藕片 数据结构c++
    头文件:algorithminta[]={1,4,7,2,8,9,3,5};1.max_element(first,last)作用:返回数组区间[first,last)中最大元素的位置用法:intt=max_element(a,a+8)-a;//注意要减去a本身的地址cout<
  • go-zero处理本地事务 年少~年 golanggolang后端
    go-zero处理本地事务,sqlx.SqlConn提供了基础的事务机制,官方代码varconnsqlx.SqlConnerr:=conn.TransactCtx(context.Background(),func(ctxcontext.Context,sessionsqlx.Session)error{r,err:=session.ExecCtx(ctx,"insertintouser(id,n
  • k8s入门到实战(十)—— CronJob详细介绍及使用示例 一弓虽 k8s学习kubernetes容器云原生
    CronJob什么是CronJob在k8s中,CronJob是一种用于定期执行任务的资源对象。它基于Cron表达式,允许您在指定的时间间隔内自动运行容器化的任务。CronJob可以定义以下属性:schedule:指定任务执行的时间表,使用标准的Cron表达式语法。例如,“0****”表示每小时执行一次任务。jobTemplate:定义要执行的任务的模板,通常是一个Pod模板。这个模板包含了任务所需
  • Django forms组件 在飞行-米龙 Djangodjangopython后端
    【一】引入【1】实现登陆验证功能(1)需求分析登陆验证需要前后端交互,采用form表单提交数据对数据进行校验用户名必须以英文大写字母开头密码必须大于三位数反馈给用户错误的信息除了反馈错误的信息还有保留原始输入内容(2)后端代码使用user_info_dict字典每次刷新存储存储前端发送的信息存储后端进行验证的信息defhome(request):#每次后刷新这个信息字典user_info_dict
  • Azkaban各种类型的Job编写 __元昊__
    一、概述原生的Azkaban支持的plugin类型有以下这些:command:Linuxshell命令行任务gobblin:通用数据采集工具hadoopJava:运行hadoopMR任务java:原生java任务hive:支持执行hiveSQLpig:pig脚本任务spark:spark任务hdfsToTeradata:把数据从hdfs导入TeradatateradataToHdfs:把数据从Te
  • Nginx服务 老伙子53 nginx运维
    Nginx服务一、什么是Nginx1、概念Nginx是一个高性能的开源的HTTP和反向代理服务器,以及邮件(IMAP/POP3)代理服务器。它最初由IgorSysoev创建,并于2004年首次公开发布。Nginx的主要特点包括高性能、低内存占用、高并发处理能力以及高度的可靠性。2、特点高性能Nginx被设计成高性能的服务器软件,能够处理大量并发连接和高流量的请求。它采用了事件驱动的架构,使用异步I
  • Ubuntu下安装Chrome浏览器(简单,使用) Starry-sky(jing) [linux操作系统笔记]chrome深度学习linux
    下载安装GoogleChrome浏览器deb包极速下载:下载链接32位wgethttps://dl.google.com/linux/direct/google-chrome-stable_current_i386.deb64位wgethttps://dl.google.com/linux/direct/google-chrome-stable_current_amd64.deb安装sudodpk
  • macOS安装mongoDB(homebrew) lx741602698 macosmongodb数据库
    使用HomebrewHomebrew是macOS的一个包管理器,可以非常方便地安装MongoDB和其他软件。如果你还没有安装Homebrew,可以从它的官网上找到安装指令。已安装Homebrew的话,先更新一下homebrewbrewupdate你可以使用下面的命令来安装MongoDB的社区版:brewtapmongodb/brewbrewinstallmongodb-community安装完成后
  • AI大模型学习:开启智能时代的新篇章 游向大厂的咸鱼 人工智能学习
    随着人工智能技术的不断发展,AI大模型已经成为当今领先的技术之一,引领着智能时代的发展。这些大型神经网络模型,如OpenAI的GPT系列、Google的BERT等,在自然语言处理、图像识别、智能推荐等领域展现出了令人瞩目的能力。然而,这些模型的背后是一系列复杂的学习过程,深度学习技术的不断演进推动了AI大模型学习的发展。首先,AI大模型学习的基础是深度学习技术。深度学习是一种模仿人类大脑结构的机器
  • COMP315 JavaScript Cloud Computing for E Commerce zhuyu0206girl javascript开发语言ecmascript
    Assignment1:Javascript1IntroductionAcommontaskincloudcomputingisdatacleaning,whichistheprocessoftakinganinitialdatasetthatmaycontainerroneousorincompletedata,andremovingorfixingthoseelementsbeforeform
  • git使用代理解决无法clone的问题及git代理设置 yaningli
    在使用git的时候,经常需要去国外的一些网站clone,由于众所周知的原因,clone失败例如:$gitclonehttps://android.googlesource.com/platform/packages/apps/MessagingCloninginto‘Messaging’…fatal:unabletoaccess‘https://android.googlesource.com/p
  • go chan简单使用 fightingwy gogolang开发语言后端
    chan在go中是一个通道有可读可写的chan,也存在只读只写的chan,通过共享内存而实现通信chan注意点:在关闭chan后再关闭chan会出现panic关闭chan后可以继续进行取值,取完后可以再取但都是对应类型的0值。可以通过v,ok:==0;i--{temp:=s/int64(math.Pow(10,float64(i)))fmt.Println(temp)s=s%int64(math.
  • GROM学习 码小白l golang
    什么是GROMGo语言ORM(对象关系映射)库,它提供了一种高效、简洁的方式来操作数据库。通过将数据库表映射为Go语言的结构体,GORM让数据库操作变得更加直观和类型安全。GORM支持主流的数据库系统,包括MySQL、PostgreSQL、SQLite和SQLServer等GORM提供了一系列的API来操作MySQL数据库。以下是一些常用的GORMAPI操作,以及它们在操作MySQL时的用法:安装
  • 使用Github+PicGo搭建个人图床 水煮养乐多
    写在开头每个人都需要一个自己的个人图床,什么是图床?图床就是把图片存到服务器上,通过一个公开的链接地址进行访问或者下载平时我们将图片夹杂在文章、文档、公众号、博客当中,一般情况下这样似乎没有任何问题,可试想一下若我们需要同时维护多份,不停地在不同渠道重复上传、编辑,图片也会散落各地,难以维护管理,这时候若有个统一的存储地方就可以很轻松维护。我们将图片直接放到在线静态页面当中的话,在访问时需要等待全
  • [技巧] 全排列问题的五种解法 喜欢迈巴赫的将军 算法
    一、全排列问题定义:给任意个元素,求解所有可能得排列方式解法一//数比较少可以用暴力循环求解。intmain(){inti,j,k;for(i=1;i0{cnts[i]--acc[pos]=byte('a'+i)dfs(acc,pos+1)cnts[i]++}}}acc:=make([]byte,len(goods))dfs(acc,0)returnans}
  • vscode配置go远程linux gdut17 golang
    Toolsenvironment:GOPATH=/root/goInstalling9toolsat/root/go/bininmodulemode.gopkgsgo-outlinegotestsgomodifytagsimplgoplaydlvgolintgoplsInstallinggithub.com/uudashr/gopkgs/v2/cmd/gopkgs(/root/go/bin/gop
  • 文字的搬运工 滴水_旅途
    维克多·雨果(VictorHugo,1802年2月26日—1885年5月22日),法国作家,19世纪前期积极浪漫主义文学的代表作家,人道主义的代表人物,法国文学史上卓越的资产阶级民主作家,被人们称为“法兰西的莎士比亚”。一生写过多部诗歌、小说、剧本、各种散文和文艺评论及政论文章,在法国及世界有着广泛的影响力。雨果的创作历程超过60年,其作品包括26卷诗歌、20卷小说、12卷剧本、21卷哲理论著,合
  • MongoDB聚合运算符:$indexOfArray 原子星 mongodbmongodb数据库
    文章目录语法使用举例$indexOfArray聚合运算符返回指定值在数组中第一次出现的索引位置,数组的索引从0开始。语法{$indexOfArray:[,,,]}$indexOfArray参数说明:,字符串,可以是任何能够解析为数组的表达式,如果表达式解析为null或引用的字段不存在,$indexOfArray返回null。如果表达式不能解析为数组或null且引用的字段都存在,$indexOfAr
  • PTE阅读考试比较难的句子该如何突破? 气泡_2e06
    PTE阅读是让很多小伙伴们头疼的一项,考完分数总是差2、3分。为什么PTE阅读比较难呢?如何提高自己的阅读分数呢?今天小编来教大家PTE比较难的句子该如何突破。Step1.找出下列句子的主语和谓语1)StudyingEnglishtakestimes.2)Thefirststepisalwaysthehardest.3)ChattingontheInternetbringsmealotoffun.
  • HTML背景带视频的个人炫酷引导页源码 erthre 源码php
    正文:一款简洁大气得个人团队引导HTML单页,非常不错,LOGO支持自行更改替换,可以拿来做为团队官网也可以个人,只是单页没有后台。程序:wwhtxs.lanzouq.com/if6oE0i26ohi图片:
  • AI推介-大语言模型LLMs论文速览(arXiv方向):2024.02.20-2024.02.25 小小帅AIGC LLMs论文时报人工智能语言模型深度学习LLM大语言模型论文推送
    论文目录~1.Zero-shotcross-lingualtransferininstructiontuningoflargelanguagemodel2.ScalingEfficientLLMs3.LLM-DA:DataAugmentationviaLargeLanguageModelsforFew-ShotNamedEntityRecognition4.WhoseLLMisitAnyway?L
  • go 语言怎么解决不同包的结构体之间的循环依赖 serve the people 日常琐问golang开发语言后端
    在Go中,不同包的结构体之间的循环依赖是一种设计上的困扰,但可以通过一些技巧来解决。以下是一些建议:接口抽象:将接口定义在其中一个包中,然后在另一个包中实现该接口。这种方式可以减少直接的结构体依赖,而是依赖于接口。使用空的接口:如果不同包的结构体需要相互引用,可以考虑使用空的接口interface{}或interface{}{}(空的结构体切片)来传递数据。这虽然不是最理想的解决方案,但可以避免直
  • go的Job Scheduling ~kiss~ gogolang开发语言后端
    背景司内线上服务有很多异步脚本,大量冗余代码,管理很不方便急需一个美丽的框架,让代码变得美好包gogetgithub.com/go-co-op/gocron/v2介绍gocronisajobschedulingpackagewhichletsyourunGofunctionsatpre-determinedintervals.概念JobJob封装(encapsulates)一个“任务task”,它
  • Linux的Initrd机制 被触发 linux
    Linux 的 initrd 技术是一个非常普遍使用的机制,linux2.6 内核的 initrd 的文件格式由原来的文件系统镜像文件转变成了 cpio 格式,变化不仅反映在文件格式上, linux 内核对这两种格式的 initrd 的处理有着截然的不同。本文首先介绍了什么是 initrd 技术,然后分别介绍了 Linux2.4 内核和 2.6 内核的 initrd 的处理流程。最后通过对 Lin
  • maven本地仓库路径修改 bitcarter maven
    默认maven本地仓库路径:C:\Users\Administrator\.m2 修改maven本地仓库路径方法:     1.打开E:\maven\apache-maven-2.2.1\conf\settings.xml     2.找到        
  • XSD和XML中的命名空间 darrenzhu xmlxsdschemanamespace命名空间
    http://www.360doc.com/content/12/0418/10/9437165_204585479.shtml http://blog.csdn.net/wanghuan203/article/details/9203621 http://blog.csdn.net/wanghuan203/article/details/9204337 http://www.cn
  • Java 求素数运算 周凡杨 java算法素数
    网络上对求素数之解数不胜数,我在此总结归纳一下,同时对一些编码,加以改进,效率有成倍热提高。 第一种:   原理: 6N(+-)1法         任何一个自然数,总可以表示成为如下的形式之一: 6N,6N+1,6N+2,6N+3,6N+4,6N+5 (N=0,1,2,…)   
  • java 单例模式 g21121 java
    想必单例模式大家都不会陌生,有如下两种方式来实现单例模式:   class Singleton { private static Singleton instance=new Singleton(); private Singleton(){} static Singleton getInstance() { return instance; }
  • Linux下Mysql源码安装 510888780 mysql
    1.假设已经有mysql-5.6.23-linux-glibc2.5-x86_64.tar.gz (1)创建mysql的安装目录及数据库存放目录       解压缩下载的源码包,目录结构,特殊指定的目录除外:           
  • 32位和64位操作系统 墙头上一根草 32位和64位操作系统
    32位和64位操作系统是指:CPU一次处理数据的能力是32位还是64位。现在市场上的CPU一般都是64位的,但是这些CPU并不是真正意义上的64 位CPU,里面依然保留了大部分32位的技术,只是进行了部分64位的改进。32位和64位的区别还涉及了内存的寻址方面,32位系统的最大寻址空间是2 的32次方= 4294967296(bit)= 4(GB)左右,而64位系统的最大寻址空间的寻址空间则达到了
  • 我的spring学习笔记10-轻量级_Spring框架 aijuans Spring 3
    一、问题提问:     → 请简单介绍一下什么是轻量级?     轻量级(Leightweight)是相对于一些重量级的容器来说的,比如Spring的核心是一个轻量级的容器,Spring的核心包在文件容量上只有不到1M大小,使用Spring核心包所需要的资源也是很少的,您甚至可以在小型设备中使用Spring。  
  • mongodb 环境搭建及简单CURD antlove WebInstallcurdNoSQLmongo
    一 搭建mongodb环境 1. 在mongo官网下载mongodb 2. 在本地创建目录 "D:\Program Files\mongodb-win32-i386-2.6.4\data\db" 3. 运行mongodb服务 [mongod.exe --dbpath "D:\Program Files\mongodb-win32-i386-2.6.4\data\
  • 数据字典和动态视图 百合不是茶 oracle数据字典动态视图系统和对象权限
    数据字典(data dictionary)是 Oracle 数据库的一个重要组成部分,这是一组用于记录数据库信息的只读(read-only)表。随着数据库的启动而启动,数据库关闭时数据字典也关闭   数据字典中包含   数据库中所有方案对象(schema object)的定义(包括表,视图,索引,簇,同义词,序列,过程,函数,包,触发器等等) 数据库为一
  • 多线程编程一般规则 bijian1013 javathread多线程java多线程
           如果两个工两个以上的线程都修改一个对象,那么把执行修改的方法定义为被同步的,如果对象更新影响到只读方法,那么只读方法也要定义成同步的。        不要滥用同步。如果在一个对象内的不同的方法访问的不是同一个数据,就不要将方法设置为synchronized的。
  • 将文件或目录拷贝到另一个Linux系统的命令scp bijian1013 linuxunixscp
    一.功能说明        scp就是security copy,用于将文件或者目录从一个Linux系统拷贝到另一个Linux系统下。scp传输数据用的是SSH协议,保证了数据传输的安全,其格式如下:        scp 远程用户名@IP地址:文件的绝对路径
  • 【持久化框架MyBatis3五】MyBatis3一对多关联查询 bit1129 Mybatis3
    以教员和课程为例介绍一对多关联关系,在这里认为一个教员可以叫多门课程,而一门课程只有1个教员教,这种关系在实际中不太常见,通过教员和课程是多对多的关系。   示例数据:   地址表:   CREATE TABLE ADDRESSES ( ADDR_ID INT(11) NOT NULL AUTO_INCREMENT, STREET VAR
  • cookie状态判断引发的查找问题 bitcarter formcgi
    先说一下我们的业务背景: 1.前台将图片和文本通过form表单提交到后台,图片我们都做了base64的编码,并且前台图片进行了压缩 2.form中action是一个cgi服务 3.后台cgi服务同时供PC,H5,APP 4.后台cgi中调用公共的cookie状态判断方法(公共的,大家都用,几年了没有问题) 问题:(折腾两天。。。。) 1.PC端cgi服务正常调用,cookie判断没
  • 通过Nginx,Tomcat访问日志(access log)记录请求耗时 ronin47
    一、Nginx通过$upstream_response_time $request_time统计请求和后台服务响应时间 nginx.conf使用配置方式: log_format main '$remote_addr - $remote_user [$time_local] "$request" ''$status $body_bytes_sent "$http_r
  • java-67- n个骰子的点数。 把n个骰子扔在地上,所有骰子朝上一面的点数之和为S。输入n,打印出S的所有可能的值出现的概率。 bylijinnan java
    public class ProbabilityOfDice { /** * Q67 n个骰子的点数 * 把n个骰子扔在地上,所有骰子朝上一面的点数之和为S。输入n,打印出S的所有可能的值出现的概率。 * 在以下求解过程中,我们把骰子看作是有序的。 * 例如当n=2时,我们认为(1,2)和(2,1)是两种不同的情况 */ private stati
  • 看别人的博客,觉得心情很好 Cb123456 博客心情
       以为写博客,就是总结,就和日记一样吧,同时也在督促自己。今天看了好长时间博客:    职业规划:    http://www.iteye.com/blogs/subjects/zhiyeguihua      android学习:    1.http://byandby.i
  • [JWFD开源工作流]尝试用原生代码引擎实现循环反馈拓扑分析 comsci 工作流
        我们已经不满足于仅仅跳跃一次,通过对引擎的升级,今天我测试了一下循环反馈模式,大概跑了200圈,引擎报一个溢出错误      在一个流程图的结束节点中嵌入一段方程,每次引擎运行到这个节点的时候,通过实时编译器GM模块,计算这个方程,计算结果与预设值进行比较,符合条件则跳跃到开始节点,继续新一轮拓扑分析,直到遇到
  • JS常用的事件及方法 cwqcwqmax9 js
    事件 描述 onactivate 当对象设置为活动元素时触发。 onafterupdate 当成功更新数据源对象中的关联对象后在数据绑定对象上触发。 onbeforeactivate 对象要被设置为当前元素前立即触发。 onbeforecut 当选中区从文档中删除之前在源对象触发。 onbeforedeactivate 在 activeElement 从当前对象变为父文档其它对象之前立即
  • 正则表达式验证日期格式 dashuaifu 正则表达式IT其它java其它
    正则表达式验证日期格式 function isDate(d){ var v = d.match(/^(\d{4})-(\d{1,2})-(\d{1,2})$/i); if(!v) { this.focus(); return false; } } <input value="2000-8-8" onblu
  • Yii CModel.rules() 方法 、validate预定义完整列表、以及说说验证 dcj3sjt126com yii
    public array rules () {return} array 要调用 validate() 时应用的有效性规则。 返回属性的有效性规则。声明验证规则,应重写此方法。 每个规则是数组具有以下结构:array('attribute list', 'validator name', 'on'=>'scenario name', ...validation
  • UITextAttributeTextColor = deprecated in iOS 7.0 dcj3sjt126com ios
    In this lesson we used the key "UITextAttributeTextColor" to change the color of the UINavigationBar appearance to white. This prompts a warning "first deprecated in iOS 7.0." Ins
  • 判断一个数是质数的几种方法 EmmaZhao Mathpython
    质数也叫素数,是只能被1和它本身整除的正整数,最小的质数是2,目前发现的最大的质数是p=2^57885161-1【注1】。 判断一个数是质数的最简单的方法如下: def isPrime1(n): for i in range(2, n): if n % i == 0: return False return True 但是在上面的方法中有一些冗余的计算,所以
  • SpringSecurity工作原理小解读 坏我一锅粥 SpringSecurity
      SecurityContextPersistenceFilter   ConcurrentSessionFilter   WebAsyncManagerIntegrationFilter   HeaderWriterFilter   CsrfFilter   LogoutFilter   Use
  • JS实现自适应宽度的Tag切换 ini JavaScripthtmlWebcsshtml5
    效果体验:http://hovertree.com/texiao/js/3.htm   该效果使用纯JavaScript代码,实现TAB页切换效果,TAB标签根据内容自适应宽度,点击TAB标签切换内容页。 HTML文件代码: <!DOCTYPE html> <html xmlns="http://www.w3.org/1999/xhtml"
  • Hbase Rest API : 数据查询 kane_xie RESThbase
    hbase(hadoop)是用java编写的,有些语言(例如python)能够对它提供良好的支持,但也有很多语言使用起来并不是那么方便,比如c#只能通过thrift访问。Rest就能很好的解决这个问题。Hbase的org.apache.hadoop.hbase.rest包提供了rest接口,它内嵌了jetty作为servlet容器。   启动命令:./bin/hbase rest s
  • JQuery实现鼠标拖动元素移动位置(源码+注释) 明子健 jqueryjs源码拖动鼠标
    欢迎讨论指正!   print.html代码: <!DOCTYPE html> <html> <head> <meta http-equiv=Content-Type content="text/html;charset=utf-8"> <title>发票打印</title> &l
  • Postgresql 连表更新字段语法 update qifeifei PostgreSQL
    下面这段sql本来目的是想更新条件下的数据,可是这段sql却更新了整个表的数据。sql如下: UPDATE tops_visa.visa_order SET op_audit_abort_pass_date = now() FROM tops_visa.visa_order as t1 INNER JOIN tops_visa.visa_visitor as t2 ON t1.
  • 将redis,memcache结合使用的方案? tcrct rediscache
    公司架构上使用了阿里云的服务,由于阿里的kvstore收费相当高,打算自建,自建后就需要自己维护,所以就有了一个想法,针对kvstore(redis)及ocs(memcache)的特点,想自己开发一个cache层,将需要用到list,set,map等redis方法的继续使用redis来完成,将整条记录放在memcache下,即findbyid,save等时就memcache,其它就对应使用redi
  • 开发中遇到的诡异的bug wudixiaotie bug
    今天我们服务器组遇到个问题: 我们的服务是从Kafka里面取出数据,然后把offset存储到ssdb中,每个topic和partition都对应ssdb中不同的key,服务启动之后,每次kafka数据更新我们这边收到消息,然后存储之后就发现ssdb的值偶尔是-2,这就奇怪了,最开始我们是在代码中打印存储的日志,发现没什么问题,后来去查看ssdb的日志,才发现里面每次set的时候都会对同一个key
按字母分类: ABCDEFGHIJKLMNOPQRSTUVWXYZ其他