天外之家

VMware Fusion 10 Pro 序列号

Tue, 10 Oct 2017 11:56:12 +0000

2017年10月10号更新

VMware Fusion 10 Pro 终于出来了，支持macOS High Sierra.

下载地址在此：

http://www.vmware.com/cn/products/fusion/fusion-evaluation

提供几枚key：

FG3TU-DDX1M-084CY-MFYQX-QC0RD

使用ULB的时候如何优雅的启动后端服务程序

Sat, 21 May 2016 20:56:12 +0000

第一弹的后端有很多很多个实例来提供服务，使用了Ucloud提供的ULB负载均衡器来对外接收请求，之前在重启后端服务程序的时候，往往要进控制台在ULB里把对应的服务给禁用了，然后重启完再启用，如果有很多台机器的话，要一个个操作，非常非常的麻烦。

最近想到，能不能用ULB的状态检查功能来自动禁用对应的服务，这样服务重启以后也会自动的恢复，免去人工操作的步骤。

ULB支持两种状态检查方法：端口检查和HTTP检查。

端口检查就是ULB会去ping后端服务的端口，如果端口联通就判定为可用，否则判定后端服务不可用，但是这么做有个延迟，ULB是两秒检查一次，如果三次检查发现有问题才会切换，这样就会有6秒的时间，后端服务已经关闭了，但是ULB依然会把连接发过去，会造成很多用户连接失败。

HTTP检查好像是最近加的功能，通过一个HTTP请求来判断，如果返回200，说明服务可用，其他返回值说明服务不可用，这个方法可以很方便的使用，后端程序提供一个URL来进行检查，正常情况下，这个URL返回的是200，当需要重启的时候，先把该URL的返回值设置为其他值，比如404，然后等若干秒以后，ULB把流量切换走了，再关闭端口，进行重启的步骤，这样有效的避免了在重启过程中用户无法连接的问题。

以下是我们的tornado相关代码

class HealthHandler(tornado.web.RequestHandler):
    def head(self):
        if not Global.is_in_stop:
            self.write('')
        else:
            raise tornado.web.HTTPError(404)

如此一来，每次部署程序的时候只要挨个重启后端服务就行了，不需要登录控制台操作ULB了。

VMware Fusion 8 Pro 序列号

Sat, 29 Aug 2015 20:56:12 +0000

2015年8月29号更新

VMware Fusion 8 Pro 终于出来了，支持OS X El Capitan 和 Windows 10.

下载地址在此：

http://www.vmware.com/cn/products/fusion/fusion-evaluation

提供几枚key：

FA3RK-FHGD5-M88TZ-V4WEZ-MVAW0
FU75U-4KD5L-0845Z-JEXNZ-MLKD8
UV7XK-4PXEJ-080WY-4WXQT-NC0ZF
VC79R-6NF81-M84XZ-VNW5G-NKUW8
GC1HA-01Z14-H8D2P-04NNZ-Z6RY0

编译OpenSSL到 Android

Thu, 14 May 2015 15:00:12 +0000

今天研究怎么把OpenSSL编译成Android原生库，记录一下。

1 安装NDK

首先，你得有NDK，下载NDK，然后将其解压到一个地方就可以了。我安装NDK的目录是：

/Volumes/DATA/develop/android-ndk-r10d

2 初始化Android交叉编译工具

使用NDK的功能初始化一个Android的GCC工具：

export NDK=/Volumes/DATA/develop/android-ndk-r10d
$NDK/build/tools/make-standalone-toolchain.sh --platform=android-19 --toolchain=arm-linux-androideabi-4.6 --install-dir=`pwd`/android-toolchain-arm

可以根据大家的需求选择Android版本号和GCC版本，我这里选择的是Android 4.4和GCC4.6。

然后大家会在 android-toolchain-arm 目录下找到生成的交叉编译器

3 获取OpenSSL

使用Git可以获取最新代码

$ git clone git://git.openssl.org/openssl.git

当然在Windows上要对git进行配置

$ cd openssl
$ git config core.autocrlf false
$ git config core.eol lf
$ git checkout .

4 设置环境变量

需要设置一下环境变量，使用刚刚设置好的交叉编译器，其实也很简单，改一下 PATH 就可以了

$ export PATH=/Volumes/DATA/develop/android-ndk-r10d/android-toolchain-arm/arm-linux-androideabi/bin:$PATH
$ export ANDROID_DEV=/Volumes/DATA/develop/android-ndk-r10d/platforms/android-19/arch-arm/usr

记得把上面的地址改成你的 android-toolchain-arm 地址

5 编译

最后一步是编译了

$ ./Configure android-armv7
$ make -j

-j 选项的意思是，尽可能的使用多的线程进行编译。

这么编译出来的是静态库，也就是包含 libssl.a 和 libcrypto.a。如果想编译成动态库，./Configure 的时候添加 shared 选项即可

其实编译很简单。

nginx: worker process is shutting down 原因解析

Tue, 31 Mar 2015 17:00:12 +0000

今天配置服务器的时候，发现了很多的 nginx: worker process is shutting down 。

顿时整个人都警觉起来了，是不是服务出问题了。

后来查资料后发现，这个完全不是问题，出现这个的原因是因为我重启 nginx 的时候用了 service nginx reload ，这是一种平滑重启的方案，不会把已有的连接断掉，而这些维护已有连接的 nginx 进程则会进入 nginx: worker process is shutting down 状态，稍微等一等就好了。

果然，过了10分钟， nginx: worker process is shutting down 进行就都消失了。

Nginx做反向代理时缓存问题总结

Tue, 31 Mar 2015 17:00:12 +0000

今天给中科院镜像服务器做了双机负载均衡，使用Nginx进行反向代理，遇到一些缓存的问题，总结如下。

缓存过期时间

在配置的时候，有如下三个地方可以设置缓存过期时间：

inactive=1d
proxy_cache_valid 200 304 1h
expires 10m

其实解释起来很简单：

inactive=1d 是指多久未访问以后清除缓存
proxy_cache_valid 200 304 1h 是指距离缓存产生时间多久以后清除缓存
expires 10m 这个不是控制服务器端的，而是指在Http Response header里指定的过期时间，是给客户端看的。

temp的问题

Nginx进行反代的时候，遇到超出文件大小 proxy_buffer_size 的时候，是一次性把文件都加载到Temp目录，然后再发送给用户。

如果设置了 proxy_buffering off 则不会加载到Temp目录，而是同步的从上游进行加载。

可以通过设置 proxy_max_temp_file_size 参数来设置最大可以缓存的文件大小。

206 和 Byte Range 的问题

Byte Range允许客户端向服务器请求一部分文件，而不是整个文件。大部分支持多线程下载和断点下载的软件都是用的这个功能。这个时候服务器返回的Http Code是206 Partial Requests.

但是Nginx做反代的时候，如果没有好好的设置，这个功能可能会引来Dos攻击。

因为默认做反代的时候，Nginx向后端服务器请求的时候是不会把 Range 参数加上的，而是会去请求整个文件，比方说有一个1G的文件，每次请求1M，Nginx会在每次请求的时候去后端请求一个完整的1G文件，然后取出其中的1M发给客户端，这个时候中间的流量会暴增，导致整个服务器宕机。今天因为这个问题导致我检查了很久。

解决方案也很简单，把 Range 加到Header里就行了。

proxy_set_header Range $http_range;
proxy_set_header If-Range $http_if_range;
proxy_no_cache $http_range $http_if_range;

Mac下安装使用pypy

Sun, 29 Mar 2015 23:25:12 +0000

PyPy是一个比CPython更好的解释器。在Mac上测试使用了一下。

安装

如果你有 homebrew 的话，安装过程会非常简单

$ brew install pypy

这样就会自动搜索安装了

使用

在命令行里使用 pypy 代替 python 就可以了。

pip

当然忘不了伟大的 pip 方法也很简单。

brew安装以后会自动生成以下两个文件：

easy_install_pypy
pip_pypy

使用两个代替 pip 或者 easy_install 就可以了。

是不是很简单啊

测试

对我目前的一个项目进行了一下测试

cPython

$ ab -n 1000 -c 20 "http://127.0.0.1:8000/v0.2/posts?page=1&perPage=15"
This is ApacheBench, Version 2.3 <$Revision: 1554214 $>
Copyright 1996 Adam Twiss, Zeus Technology Ltd, http://www.zeustech.net/
Licensed to The Apache Software Foundation, http://www.apache.org/

Benchmarking 127.0.0.1 (be patient)
Completed 100 requests
Completed 200 requests
Completed 300 requests
Completed 400 requests
Completed 500 requests
Completed 600 requests
Completed 700 requests
Completed 800 requests
Completed 900 requests
Completed 1000 requests
Finished 1000 requests


Server Software:        TornadoServer/4.1
Server Hostname:        127.0.0.1
Server Port:            8000

Document Path:          /v0.2/posts?page=1&perPage=15
Document Length:        14127 bytes

Concurrency Level:      20
Time taken for tests:   16.366 seconds
Complete requests:      1000
Failed requests:        0
Total transferred:      14493000 bytes
HTML transferred:       14127000 bytes
Requests per second:    61.10 [#/sec] (mean)
Time per request:       327.311 [ms] (mean)
Time per request:       16.366 [ms] (mean, across all concurrent requests)
Transfer rate:          864.82 [Kbytes/sec] received

Connection Times (ms)
              min  mean[+/-sd] median   max
Connect:        0    0   0.2      0       2
Processing:    87  324  32.6    317     453
Waiting:       87  324  32.6    317     453
Total:         89  324  32.5    317     453

Percentage of the requests served within a certain time (ms)
  50%    317
  66%    328
  75%    332
  80%    336
  90%    359
  95%    368
  98%    434
  99%    444
 100%    453 (longest request)

内存占有率是 40M

pypy

$ ab -n 1000 -c 20 "http://127.0.0.1:8000/v0.2/posts?page=1&perPage=15"
This is ApacheBench, Version 2.3 <$Revision: 1554214 $>
Copyright 1996 Adam Twiss, Zeus Technology Ltd, http://www.zeustech.net/
Licensed to The Apache Software Foundation, http://www.apache.org/

Benchmarking 127.0.0.1 (be patient)
Completed 100 requests
Completed 200 requests
Completed 300 requests
Completed 400 requests
Completed 500 requests
Completed 600 requests
Completed 700 requests
Completed 800 requests
Completed 900 requests
Completed 1000 requests
Finished 1000 requests


Server Software:        TornadoServer/4.1
Server Hostname:        127.0.0.1
Server Port:            8000

Document Path:          /v0.2/posts?page=1&perPage=15
Document Length:        14127 bytes

Concurrency Level:      20
Time taken for tests:   27.627 seconds
Complete requests:      1000
Failed requests:        0
Total transferred:      14493000 bytes
HTML transferred:       14127000 bytes
Requests per second:    36.20 [#/sec] (mean)
Time per request:       552.548 [ms] (mean)
Time per request:       27.627 [ms] (mean, across all concurrent requests)
Transfer rate:          512.29 [Kbytes/sec] received

Connection Times (ms)
              min  mean[+/-sd] median   max
Connect:        0    0   0.1      0       2
Processing:    27  548 266.5    516    8026
Waiting:       27  547 266.5    516    8026
Total:         28  548 266.5    516    8027

Percentage of the requests served within a certain time (ms)
  50%    516
  66%    552
  75%    572
  80%    587
  90%    614
  95%    672
  98%   1104
  99%   1245
 100%   8027 (longest request)

内存占用飙到了 240M

而且性能不是很理想，难道是我的使用方法不对，等过段时间再进行研究吧。

M2Crypto操作X509证书

Thu, 26 Mar 2015 10:15:12 +0000

在Python的所有OpenSSL封装里，这个库是最好用最完全的。

其中的 M2Crypto.X509 则是对X509的一个封装，下面就来看看如何使用M2Crypto操作X509证书。

关于M2Crypto，完整的API可以看这里：http://www.heikkitoivonen.net/m2crypto/api/

一般来说，产生一张X509证书的过程如下：

申请者生成非对称加密算法的密钥，如RSA，DSA还有最新流行的ECC等。
申请者生成电子证书请求文件(X509_Request)。其中包含申请者的身份信息、公钥，并且用自己的私钥签名。
CA读取电子证书请求文件。核查身份信息是否正确。如果身份信息正确就对电子证书进行签名。其中包含CA的身份信息、申请者的身份信息、申请者的公钥、电子证书的起始有效时间，电子证书的结束有效时间。通常还会记录这是CA所颁发的第几个证书。

产生私钥

可以使用OpenSSL命令产生私钥或者使用M2Crypto来产生：

#此函数生成一个2048位的RSA密钥，将其转化成PEM格式返回
from M2Crypto import *
def genrsa(self):
    bio=BIO.MemoryBuffer()
    rsa=RSA.gen_key(2048, 65537, lambda *arg:None)
    rsa.save_key_bio(bio, None)
    return bio.read_all()

其中的 2048 指的是密钥位数，65537是生成因子，据OpenSSL的文档说，这个函数通常是三个奇数 3 , 17 , 65537 之一，而在使用OpenSSL命令生成私钥的时候，可以看出往往使用的是65537。

生成证书请求

可以使用OpenSSL来生成证书请求或者使用M2Crypto来生成

from M2Crypto import *

#首先载入密钥文件。此文件同时保存了申请者的私钥与公钥。
pkey_str=file("prikey.pem", "rb").read()
pkey=EVP.load_key_string(pkey_str, util.no_passphrase_callback)
req=X509.Request()
req.set_pubkey(pkey) #包含公钥
#req.set_version(1)

#身份信息不是简单的字符串。而是X509_Name对象。
name=X509.X509_Name()

#CN是Common Name的意思。如果是一个网站的电子证书，就要写成网站的域名
name.CN="WangYang"

#Organization Unit，通常是指部门吧，组织内单元
name.OU="SKLOIS"

#Organization。通常是指公司
name.O="IIE"

#State or Province。州或者省
name.ST="Beijing"

#Locale。
name.L="Beijing"

#国家。不能直接写国家名字，比如China之类的，而应该是国家代码。
#CN代表中国。US代表美国，JP代表日本
name.C="CN"

req.set_subject(name) #包含通信节点的身份信息
req.sign(pkey, "sha256") #使用通信节点的密钥进行签名，sha1已经不安全了，这里使用sha256
file("req.pem", "wb").write(req.as_pem()) #写入到文件

CA签发证书

关于如何产生一个CA

from M2Crypto import *
import time

#首先读取证书请求文件。
req_str=file("req.pem", "rb").read()

#返回一个X509.Request类型代表证书请求文件
req=X509.load_request_string(req_str)

#首先验证一下，是不是真的是使用它本身的私钥签名的。
#如果是，返回非0值。如果不是，说明这是一个非法的证书请求文件。
print req.verify(req.get_pubkey())

#接下来载入CA的电子证书。与CA的密钥不一样，CA的电子证书包含了CA的身份信息。
#CA的电子证书会分发给各个通信节点。
ca_str=file("ca.pem", "rb").read()
ca=X509.load_cert_string(ca_str)

#可以使用check_ca()方法判断这个证书文件是不是CA。
#本质是判断它是不是自签名。如果是的话，就返回非0值。如果不是的话就返回0。
print ca.check_ca()

#接下来载入CA的密钥
cakey_str=file("cakey.pem", "rb").read()

#一般CA的密钥要加密保存。回调函数返回密码
cakey=EVP.load_key_string(cakey_str, lambda *args:"1234")

#接下来开始生成电子证书
cert=X509.X509()

#首先，设定开始生效时间与结束生效时间
t = long(time.time()) + time.timezone #当前时间，单位是秒

#开始生效时间。证书的时间类型不是普通的Python datetime类型。
now = ASN1.ASN1_UTCTIME()
now.set_time(t)
nowPlusYear = ASN1.ASN1_UTCTIME() #结束生效时间
nowPlusYear.set_time(t + 60 * 60 * 24 * 365) #一年以后。
cert.set_not_before(now)
cert.set_not_after(nowPlusYear)

#把证书请求附带的身份信息复制过来
cert.set_subject(req.get_subject())

#设置颁发者的身份信息，把CA电子证书内身份信息复制过来
cert.set_issuer(ca.get_subject())

#序列号是指，CA颁发的第几个电子证书文件
cert.set_serial_number(2)

#把证书请求内的公钥复制过来
cert.set_pubkey(req.get_pubkey())

#使用CA的秘钥进行签名。
cert.sign(cakey, "sha1")
file("cert.pem", "wb").write(cert.as_pem())#保存文件。

接下来我们就可以看到一张由我们的CA签发的证书了。

OpenSSL建立CA

Wed, 25 Mar 2015 21:04:12 +0000

OpenSSL的用法网上有一大堆，大多讲的特别繁琐，在这里将使用OpenSSL建立CA的过程记录一下。

生成 RSA 密钥对

第一步是建立密钥对：

$ openssl genrsa -out cakey.pem 2048

若想对私钥进行加密可以用 -des3 参数

生成 CA 证书请求

openssl req -new -days 365 -sha256 -key cakey.pem -out careq.pem

现在都是sha256了，sha1已经被证明是不安全的东西了。

对 CA 证书请求进行签名

由于是CA，所以是自签名的

$ openssl ca -selfsign -in careq.pem -out cacert.pem

然后就搞定了，生成的cacert.pem就是CA证书

一步到位

当然上面的过程还是很繁琐的，有没有一步到位的办法呢，当然是有的。

openssl req -new -x509 -days 365 -key cakey.pem -out cacert.pem

当然，key还是要单独生成的。

把博客迁移到了jekyll

Mon, 23 Mar 2015 12:53:12 +0000

抛弃了使用多年的Wordpress，转而使用jekyll并且部署到了Github Pages上。

实在不想折腾了，果然还是如阮一峰所说:

喜欢写Blog的人，会经历三个阶段

第一阶段，刚接触Blog，觉得很新鲜，试着选择一个免费空间来写。

第二阶段，发现免费空间限制太多，就自己购买域名和空间，搭建独立博客。

第三阶段，觉得独立博客的管理太麻烦，最好在保留控制权的前提下，让别人来管，自己只负责写文章。

看来我是到了第三个阶段了，不想折腾了。