V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
V2EX  ›  kyonn  ›  全部回复第 1 页 / 共 13 页
回复总数  251
1  2  3  4  5  6  7  8  9  10 ... 13  
@w568w 这个是把支持 PAM 的应用接入谷歌两步验证把, 虽然做了集中, 但是每次还是要输密码把, ldap 也是类似道理. 有办法让鉴权这个事本身透过 指纹或摄像头 自动完成吗?

记得微软的验证可以自动发送个 请求 到个人账户的 2FA APP 上, 指纹批准就算通过了, 想找的是类似这样的方案, 能把所有设备都接入这种.
5 天前
回复了 kyonn 创建的主题 程序员 求助个透明网关问题
@yinmin 好的, 多谢.
5 天前
回复了 kyonn 创建的主题 程序员 求助个透明网关问题
@yinmin 有些难以取舍. 还有别的方法吗?

方法一多加了一层 NAT, 性能倒是其次, 关键是 透明网关 上的统计信息无法再看到实际的源 ip 了.
方案二每台机器都要配置, 最早还开了 dchp option121 直接下发 7.0.0.0/8 的静态路由给所有客户端, 后来发现米家的中枢网关会被这条下发的静态路由规则搞死, 上不了网, 因此就把 option 121 关掉了.
5 天前
回复了 kyonn 创建的主题 程序员 求助个透明网关问题
宿主机上还有其他虚拟机, 这些虚拟机的容器内 到 7.0.0.11 是可达的, 抓包发现路径也跟前面的一样, 响应报文不会经过路由器网关. 也就是说, 报文的去程和回程也是不同的, 但是可达.
5 天前
回复了 kyonn 创建的主题 程序员 求助个透明网关问题
宿主机直接加一条静态路由 : route add -net 7.0.0.0 netmask 255.0.0.0 gw 192.168.10.5 可以解决问题.

想知道比较正确的做法应该是怎样的?
5 天前
回复了 kyonn 创建的主题 程序员 求助个透明网关问题
问题原因应该是 透明网关发现 icmp 的源 ip 是宿主机 bridge0 网卡, 所以目的 mac 就直接用 bridge0 网卡的, 而不是回复给路由器网关.
最终还是写 iptables 规则了事
@badgv 要这么说也很有道理... 之前之所以不考虑直接在宿主机上配 iptables 主要是考虑到 宿主机上起了 docker, 本身 iptables 规则已经被搞得乱七八糟了, 再手动加规则, 感觉不好维护, 也不知道会不会被 docker 的操作自动清除规则, 或者规则冲突之类的.
@badgv 怎么说?
感觉需要的是一个更简单的三层交换机功能的容器.
@badgv 感觉用 openwrt 好像还是复杂, 做不到开箱即用, 容器启动后还要登录网页或 ssh 配置转发规则?
@cdlnls 确实, docker-compose 比较熟悉, 没用过 k8s , 想了解下用 swarm 的话会有什么缺点吗? 比如什么功能是不容易实现的, 或者比较繁琐.
@Jokesy 对 k8s 不是很熟悉, 请问 ds 是什么? 用 k8s 相比于 swarm 有什么优点呢?
20 天前
回复了 PeterGriffins 创建的主题 NAS NAS 小白组 Raid10 求建议
家用 NAS, 强烈不建议组 RAID, RAID 的主要目的不是备份, 是保证服务 24h 不间断, 家用根本没这个场景. 备份数据建议用定期的冷备, 简单点就用 rsync 硬链接, 复杂点就用 btrfs/zfs 这些的快照 + 备份功能.

强烈不建议用 RAID, 只会提升故障率.
@XiLingHost 除了 dockerhub 代理,其他代理设置的都是 Use proxy registry
@XiLingHost 现在就是这么做的,而且在 /etc/docker/daemon.json 配置 registry-mirrors 指向 nexus 所在机器的 docker group 地址。

现在的疑问是直接 pull 镜像名,如果这个镜像在 dockerhub 有,那么工作正常,但是如果是 ghcr 这些非 dockerhub 独有的镜像,则 pull 命令无法拉到镜像,除非给镜像名前加上 nexus 地址前缀(这个地址对应 docker group )。


包括 hosted 地址的私有镜像,也无法通过镜像名直接拉取,必须加上 nexus 地址前缀。
@2Nfree 直接指定 nexus 的地址前缀,是可以从 quay 、gcr 这些非 dockerhub 拉取的。
@2Nfree 按照下面这篇文章,应该是可以省略域名前缀的。当然,这个文章比较早。

[Using Nexus OSS as a proxy/cache for Docker images – Tech by Maarten]( https://mtijhof.wordpress.com/2018/07/23/using-nexus-oss-as-a-proxy-cache-for-docker-images/)
@2Nfree 我配置了 daemon.json 的 mirror 为 nexus 的 docker group 地址,不加域名前缀也能正常工作。但是如果拉的镜像是 非 dockerhub 的,nexus 好像就没办法处理,理论上,流量都发给 nexus 了,应该能处理才对。
29 天前
回复了 kyonn 创建的主题 NAS 有没有 nexus 镜像源的平替?
@surfingboy 老哥,为什么拉取要加 nexus IP:PORT ?

已经在 /etc/docker/daemon.json 配置 registry-mirrors 指向 nexus 所在机器的 docker group 地址了。
现在发现确实,只要拉非 dockerhub 的镜像,必须加 nexus 的 ip 和端口,否则拉不下来。如果镜像在 dockerhub ,则没这问题。
1  2  3  4  5  6  7  8  9  10 ... 13  
关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   1132 人在线   最高记录 6679   ·     Select Language
创意工作者们的社区
World is powered by solitude
VERSION: 3.9.8.5 · 19ms · UTC 18:52 · PVG 02:52 · LAX 11:52 · JFK 14:52
Developed with CodeLauncher
♥ Do have faith in what you're doing.