获得徽章 7
检查,合并提交关键命令:
git log --oneline c4448db6abde90c7851de11df997431defac501d -1
c4448db6 fix: prevent service crashes when clients disconnect.
git show c4448db6abde90c7851de11df997431defac501d --format=fuller
git log --oneline c4448db6abde90c7851de11df997431defac501d -1
c4448db6 fix: prevent service crashes when clients disconnect.
git show c4448db6abde90c7851de11df997431defac501d --format=fuller
展开
评论
1
aws-vault 支持使用 macOS 的 Touch ID 进行生物认证。有几种方法可以实现:
方法 1: 使用 file 后端 + 密码管理器
# 设置 aws-vault 使用 file 后端
export AWS_VAULT_BACKEND=file
# 然后正常使用
aws-vault exec xlink -- zsh
方法 2: 配置 Keychain 访问控制(推荐)
macOS Keychain 本身支持 Touch ID。你可以通过以下步骤配置:
1. 打开 Keychain Access 应用
2. 找到 aws-vault 相关的条目
3. 右键点击 → Get Info → Access Control 标签
4. 勾选 "Allow access by all applications" 或将 aws-vault 添加到允许列表
方法 3: 使用 --prompt=osascript 参数
aws-vault exec xlink --prompt=osascript -- zsh
这会使用 macOS 原生对话框,可能触发 Touch ID。
方法 4: 延长 session 时间减少认证次数
在 ~/.aws/config 中添加:
[profile xlink]
mfa_serial=arn:aws:iam::ACCOUNT_ID:mfa/your-user
credential_process=aws-vault exec xlink --json --duration=12h
或者设置环境变量延长 session:
export AWS_VAULT_SESSION_TOKEN_TTL=12h
export AWS_VAULT_ASSUME_ROLE_TTL=1h
最简单的方案
在 ~/.zshrc 或 ~/.bashrc 中添加:
export AWS_VAULT_PROMPT=osascript
export AWS_VAULT_KEYCHAIN_NAME=login
这样 aws-vault 会使用 macOS 的登录 keychain,它在你解锁 Mac 时就已经解锁了,通常不需要再次输入密码。
方法 1: 使用 file 后端 + 密码管理器
# 设置 aws-vault 使用 file 后端
export AWS_VAULT_BACKEND=file
# 然后正常使用
aws-vault exec xlink -- zsh
方法 2: 配置 Keychain 访问控制(推荐)
macOS Keychain 本身支持 Touch ID。你可以通过以下步骤配置:
1. 打开 Keychain Access 应用
2. 找到 aws-vault 相关的条目
3. 右键点击 → Get Info → Access Control 标签
4. 勾选 "Allow access by all applications" 或将 aws-vault 添加到允许列表
方法 3: 使用 --prompt=osascript 参数
aws-vault exec xlink --prompt=osascript -- zsh
这会使用 macOS 原生对话框,可能触发 Touch ID。
方法 4: 延长 session 时间减少认证次数
在 ~/.aws/config 中添加:
[profile xlink]
mfa_serial=arn:aws:iam::ACCOUNT_ID:mfa/your-user
credential_process=aws-vault exec xlink --json --duration=12h
或者设置环境变量延长 session:
export AWS_VAULT_SESSION_TOKEN_TTL=12h
export AWS_VAULT_ASSUME_ROLE_TTL=1h
最简单的方案
在 ~/.zshrc 或 ~/.bashrc 中添加:
export AWS_VAULT_PROMPT=osascript
export AWS_VAULT_KEYCHAIN_NAME=login
这样 aws-vault 会使用 macOS 的登录 keychain,它在你解锁 Mac 时就已经解锁了,通常不需要再次输入密码。
展开
评论
点赞
aws 日本区域有几个可用区,分别是什么?
aws --profile xlink ec2 describe-availability-zones --region
ap-northeast-1 --query 'AvailabilityZones[*].[ZoneName,ZoneId,State]'
--output table
aws --profile xlink ec2 describe-availability-zones --region
ap-northeast-3 --query 'AvailabilityZones[*].[ZoneName,ZoneId,State]'
--output table 2>/dev/null
⏺ AWS 日本有两个区域,共 6 个可用区:
ap-northeast-1 (东京) - 3 个可用区
| 可用区名称 | Zone ID | 状态 |
|-----------------|-----------|-----------|
| ap-northeast-1a | apne1-az4 | available |
| ap-northeast-1c | apne1-az1 | available |
| ap-northeast-1d | apne1-az2 | available |
注:ap-northeast-1b 曾经存在但已被弃用,所以编号是 a、c、d
ap-northeast-3 (大阪) - 3 个可用区
| 可用区名称 | Zone ID | 状态 |
|-----------------|-----------|-----------|
| ap-northeast-3a | apne3-az3 | available |
| ap-northeast-3b | apne3-az1 | available |
| ap-northeast-3c | apne3-az2 | available |
aws --profile xlink ec2 describe-availability-zones --region
ap-northeast-1 --query 'AvailabilityZones[*].[ZoneName,ZoneId,State]'
--output table
aws --profile xlink ec2 describe-availability-zones --region
ap-northeast-3 --query 'AvailabilityZones[*].[ZoneName,ZoneId,State]'
--output table 2>/dev/null
⏺ AWS 日本有两个区域,共 6 个可用区:
ap-northeast-1 (东京) - 3 个可用区
| 可用区名称 | Zone ID | 状态 |
|-----------------|-----------|-----------|
| ap-northeast-1a | apne1-az4 | available |
| ap-northeast-1c | apne1-az1 | available |
| ap-northeast-1d | apne1-az2 | available |
注:ap-northeast-1b 曾经存在但已被弃用,所以编号是 a、c、d
ap-northeast-3 (大阪) - 3 个可用区
| 可用区名称 | Zone ID | 状态 |
|-----------------|-----------|-----------|
| ap-northeast-3a | apne3-az3 | available |
| ap-northeast-3b | apne3-az1 | available |
| ap-northeast-3c | apne3-az2 | available |
展开
评论
点赞
GitLab CI 的 Masked(掩码)机制是基于“值”(Value)的内容匹配,而不是基于“变量名”。
1. 值匹配:当 Runner 运行 Job 时,它会获取所有被标记为 Masked 的变量的具体值,并将这些值加入一个“黑名单”。
2. 日志扫描:Runner 会实时扫描所有输出到控制台的日志。只要日志中出现的字符串与“黑名单”中的任何一个值完全匹配,它就会被替换为 [MASKED]。
3. 引用传递:当您定义 CD_TRIGGER_TOKEN: $GITOPS_TRIGGER_TOKEN 时,CD_TRIGGER_TOKEN 获得的值与 GITOPS_TRIGGER_TOKEN 完全相同。因此,这个值依然在 Runner
的“黑名单”中。
前提条件
要确保万无一失,必须满足以下条件:
* 必须勾选 Masked:在 GitLab Group/Project Settings 中添加 GITOPS_TRIGGER_TOKEN 时,必须确保勾选了 Masked 选项。
* 值必须合规:Masked 变量的值必须满足 GitLab 的要求(通常是至少 8 个字符,仅包含 Base64 字符集等),否则 GitLab 界面上会提示无法 Mask。
* 不要修改值:只要是直接赋值(如 VAR_B: $VAR_A),就是安全的。
* 风险提示:如果脚本中对变量进行了转换(例如 Base64 编码),变换后的新值将不会被自动 Mask,那才是风险所在。
1. 值匹配:当 Runner 运行 Job 时,它会获取所有被标记为 Masked 的变量的具体值,并将这些值加入一个“黑名单”。
2. 日志扫描:Runner 会实时扫描所有输出到控制台的日志。只要日志中出现的字符串与“黑名单”中的任何一个值完全匹配,它就会被替换为 [MASKED]。
3. 引用传递:当您定义 CD_TRIGGER_TOKEN: $GITOPS_TRIGGER_TOKEN 时,CD_TRIGGER_TOKEN 获得的值与 GITOPS_TRIGGER_TOKEN 完全相同。因此,这个值依然在 Runner
的“黑名单”中。
前提条件
要确保万无一失,必须满足以下条件:
* 必须勾选 Masked:在 GitLab Group/Project Settings 中添加 GITOPS_TRIGGER_TOKEN 时,必须确保勾选了 Masked 选项。
* 值必须合规:Masked 变量的值必须满足 GitLab 的要求(通常是至少 8 个字符,仅包含 Base64 字符集等),否则 GitLab 界面上会提示无法 Mask。
* 不要修改值:只要是直接赋值(如 VAR_B: $VAR_A),就是安全的。
* 风险提示:如果脚本中对变量进行了转换(例如 Base64 编码),变换后的新值将不会被自动 Mask,那才是风险所在。
展开
评论
点赞
把普通用户添加docker组后不能使用docker命令的根本原因分析:
将用户添加到新组后,需要终止该用户的所有现有进程(包括 SSH 会话),新的组权限才能生效。
解决步骤:
1.
将 admin 添加到 docker 组:sudo usermod -aG docker admin
2. 终止 admin 用户的所有进程:sudo pkill -u admin(这会强制所有 SSH 会话重新登录)
3. 新的 SSH 连接现在会正确加载 docker 组权限
将用户添加到新组后,需要终止该用户的所有现有进程(包括 SSH 会话),新的组权限才能生效。
解决步骤:
1.
将 admin 添加到 docker 组:sudo usermod -aG docker admin2.
终止 admin 用户的所有进程:sudo pkill -u admin(这会强制所有 SSH 会话重新登录)3.
新的 SSH 连接现在会正确加载 docker 组权限
展开
7
37