原创 進程在多核CPU環境下分佈不均導致TCP連接堆積
今天處理了一個客戶的故障,可能在web排錯方面有一定的代表性,所以在這裏跟大家分享。 背景: 電商客戶,系統架構是前端一臺負載均衡設備,負載均衡算法是輪詢(round robin);後面是兩臺web服務器,跑的應用是gunicorn
2019-01-11 13:07:06
3
原创 URL中多個slash及其帶來的安全問題
最近發現大部分web server產品都接受包含連續多個“/”的http請求。例如: 這是一個正常URL: http://games.yahoo.com/game/jacks-flash.html 這個是一個插入了多個slash的UR
2019-01-11 13:07:05
1
原创 在某些成員節點失效時,負載均衡器會如何處理已有TCP連接?
作爲負載均衡設備的系統管理員,經常遇到的問題是pool中配置的member或者說service的監控狀態爲失敗(down)了。我們知道,負載均衡器會禁用這個失效的節點,把新的流量發送給pool中其他可用節點。但是,已經跟這個失效節點
2019-01-11 13:07:04
2
原创 說說URL重定向的301和302類型
最初接觸URL重定向的時候,我也被這兩個類型給搞糊塗了。甚至有同事問,是不是301是地址欄顯示的地址不改變,而302是改變的?萌萌的問題。 那麼301 redirect和302 redirect兩者,到底有什麼區別和聯繫呢?
2019-01-11 13:07:04
原创 在netscaler上實現service的slow start up
在對netscaler上pool中的服務器節點做批量重啓時/或者啓用原先禁用的節點時,有時候會發生連接數堵塞導致pool失去響應的故障。症狀表現爲,pool中的一些節點無法正常處理應用請求,連接數很高,無法處理,成爲死節點;導致其他
2019-01-11 13:07:04
5
原创 談談一個重要的http協議頭標:X-Forwarded-For
有次一個同事詢問,爲什麼經過一個網頁請求經過了Http代理服務器後,網站依然能夠獲知訪問者的真實IP地址。不是經過代理了嗎?兩個原因無法獲得真實IP:TCP連接是在代理和網站之間,而非用戶與網站之間的;HTTP協議只是第七層協議,怎
2019-01-11 13:07:04
原创 通配符在DNS系統中的應用
一般情況下,DNS記錄類型裏用的最多的是A記錄、CNAME別名記錄、MX郵件記錄、PTR反向記錄等類型。而且一般來說,DNS裏存在的記錄就能解析,不存在的記錄就不能解析。但有些情況下,希望凡是無法匹配已存在的記錄的請求,也能有一個有
2019-01-11 13:07:04
1
原创 利用VRID/VMAC實現更安全的netscaler HA故障切換
大家都知道netscaler或bigip等負載均衡產品都可以實現HA模式下的故障切換,這也是負載均衡產品的主要特性之一。但是這個特性是如何實現的呢? 下面以netscaler爲例,簡要介紹一下virtual MAC在故障切
2019-01-11 13:07:04
1
原创 處理vShpere中無法正常結束的任務的方法
今天碰到一個小麻煩,是關於vmware的。有一臺virtual machine在網絡中下線了,失去了響應。登錄到vSphere中,發現這臺VM的guest memory是零,也就是說已經不在運行了。但狀態是on的,就準備把它rest
2019-01-11 13:07:04
原创 tcpdump在bigip網絡排錯中的應用
F5的負載均衡產品Bigip不用我多介紹了,是ADN(應用交付網絡)市場裏的龍頭老大。由於其基於Linux系統,所以同樣擁有tcpdump網絡抓包工具,是網絡排錯方面的必備工具。下面簡單介紹用法。 對特定網絡接口做抓包:t
2019-01-11 13:07:04
原创 淺談虛擬MAC地址在netscaler和bigip中的應用
MAC地址大家都很熟悉,是網絡接口卡地全球唯一標識符,保證了各個接口卡在網絡環境中的唯一可識別性。隨着HA應用和虛擬化的發展,虛擬MAC也越來越多的被應用到生產環境之中。下面淺要談一下負載均衡產品netscaler和bigip中的虛
2019-01-11 13:07:04
1
原创 有關SSL證書的一些事兒
隨着網絡安全形勢越來越嚴峻,整個互聯網界似乎已經達成了共識:那就是盡一切可能提高網站的安全性。安全技術有很多,其中SSL/TLS非對稱加密技術及對應的PKI公鑰架構體系又是最重要的技術之一。由於其技術分支較爲複雜,這裏僅就幾個知識點
2019-01-11 13:07:04