Bitwarden(Vaultwarden) 提供了命令行版本的客户端, 利用 Ansible 的 vault_password_file, 我们可以很方便的在使用 ansible-vault 时调用 Bitwarden 里的密码。

　　赛博大善人的 Cloudflare Tunnel(前 Argo Tunnel) 只需要一个域名、一个 Cloudflare 帐号便可以将服务接入到 Cloudflare 的网络，提供了非常方便的内网穿透方式， 同时还提供了 ZeroTrust、防护等功能， 而这一切基本几乎都是免费的，相信看到此文的小伙伴已经薅上一段时间了，不过由于 Cloudflare Tunnel 官方的服务节点分布有限，在部分时空/场景下，Tunnel 连通性会面临一些挑战， 这时候要是能够通过前置代理去连接到 Tunnel 服务，问题便能得到解决，可惜官方目前并没打算支持这个特性。

　　Vaulwarden 是一个开源自托管的密码管理工具，这个项目使用 Rust 实现了一套 Bitwarden Server API， 很多小伙伴都用它来管理密钥与凭证。 本文将利用 fail2ban 来实现在 CDN 场景下的防暴力破解。

我在这里分享一下我最近在香港中银行成功开户的经历。

　　雷池(SafeLine) 是长亭科技部分开源的一款 Web 防火墙，社区版本已经有较为完善的 WAF 功能，可以满足个人项目的基本 Web 防护需求。 不过目前(v5.2.0)雷池对于证书的操作，仅支持从 UI 导入或使用 Let’s Encrypt 的 HTTP-01 验证方法 来配置证书， 这对于使用 DNS 验证的短期证书用户来说非常不方便，可以看到社区有这样的需求的小伙伴还是挺多的： [建议] 证书增加使用路径导入方式 | Github issue， 因此便写了个小脚本来实现这个需求。

　　在 基于Terraform在AWS ECS中构建Jenkins持续集成体系 一文中， Alliot 采用了 EFS 作为 Jenkins 容器的数据卷，直接挂载了 /var/jenkins_home 目录。
正如评论区提到的， 我们在使用 bursting 模式的 EFS 时，遇到了 IO 性能的问题， 虽然 master + slave 架构的 Jenkins 将构建任务分发到了 slave 节点，减少了 master 节点的压力，但是在启动构建任务时， master 节点依然会有大量的 IO 操作， 这个时候会导致 bursting 模式下的 EFS 瞬间打光 Credit 从而导致整个 master 挂掉。当然，我们可以使用 Provisoning 模式缓解性能问题，但其价格又非常贵，性价比不高。
　　好在从今年(2024)的一月开始， AWS ECS 的 Fargate 支持使用 EBS 卷作为 Volume 了。 目前官网的文档还比较分散，这里小记一些需要注意的点。

　　双十一给家里买了台电视——酷开M85（创维的子品牌），作为典型的国产品牌“智能电视”，本土特色自然少不了，包括但不限于各种广告满天飞、无法安装第三方应用、后台自动热更新越更越卡等。恰好年前回家早，浅浅的调教折腾一下它。

　　我们的部分后端服务正在经历容器化的改造， 由于历史包袱，现网的网关等设施无法一次性迁移到 k8s 集群中， 因此使用 Nginx proxy_pass 转发到 AWS ALB 这样一个曲线救国的临时方案。
　　但是在使用时，我们发现一段时间后 Nginx 出现了 504 的错误，检查后端服务均是正常的，而单独访问 ALB 也是正常响应的，因此便有了此文。

　　我们在远程办公时通常需要通过内部 OpenV** 来访问公司内部的敏感系统， 默认情况下， OpenV** 会临时修改本地路由表，将所有流量都指向了 v**_gateway，导致一些本地规则被覆盖，甚至无法打开部分国内的网站，带来了很多不便。这里记录一下手动指定路由规则的配置，仅让指定的网段或域名走 gateway。

　　众所周知，我们可以通过修改本地 hosts 文件来定义一个域名的指向，这个过程我们可以简单的理解为在本机创建了一个优先级很高的 DNS A 记录，实现了某种程度上的域名劫持， 利用这种特性我们可以实现诸如广告屏蔽、本地测试、别名等需求，但 hosts 机制仅仅能定义域名与 IP 对应关系， 并不能模拟其他的 Record 类型， 比如 CNAME 记录。

　　迫于无法忍受现成的 NAS 系统的限制，Alliot 正在着手将最常用的一些服务剥离出来，方便迁移与定制， WebDAV 首当其冲， Alliot 在许多场景下的同步与备份都依赖它。
　　WebDAV 作为一种基于HTTP/HTTPS协议的网络通信协议，预想是非常简单的，然而在具体动手的过程中还是遇到了挺多坑，Obsidian 的 Remotely-save 便是其中一个。
　　本文将基于 Nginx/Tengine 手把手构建一个 WebDAV 服务。

　　自从 2017 年使用 Hexo+NexT 作为博客框架以来，已经过去好几个年头。就如前面那篇hexo使用Artalk评论系统 博客所言，由于 Alliot 之前对 NexT 主题与部分插件做了许多侵入式的魔改，基本没有对其做过日常的版本升级维护，因此，已经没有平滑升级的可能性。在一次插件失效的契机下，终于下定决心推倒重建。 本文记录了这一次重建的过程以及在维护模式上相比旧版本的改进。

　　在工作中，常常会容易遇到一台电脑用多个 Git 账号的场景，比如账号 company 账号是工作用的，而账号 personal 是自己个人用的。 由于 Git 本身并没有多账号的机制，导致我们在默认设置下无法很好的区分哪个仓库使用哪个账号。 同时，在某些众所周知的场景下，我们无法直接访问到 Github 仓库，需要走一层 proxy 来加速我们的代码拉取与推送速度， 本文将使用 SSH config 相对优雅的解决这些问题。

  眼镜是心灵的窗户，不巧，我的窗户不是很标准，从小到大，戴过很多副眼镜，从三甲到爱某眼科、宝某、博某，呱呱呱一顿操作下来自己啥也不懂是什么意思，最近由于眼镜被我一屁股坐坏了，就在附近的眼镜城配了眼镜，之后就有了此文。

　　Prometheus 的 relabel 功能可以在目标的 label 被抓取之前重写它，每个采集配置可以配置多个 relabel，并按照配置的顺序来应用于每个 target 的 label。利用这个特性，我们可以实现动态的 metrics-path。

　　之前我们旧的 Jenkins 集群跑在 AWS EC2 上，近期由于大量新增 Job 以及大量构建任务的并行，导致集群资源吃紧，不得不新增更多的 Slave 来应对。为了降低成本，同时获得更好的资源弹性，Alliot 打算基于 Terraform 在 AWS ECS 中构建新的 Jenkins 持续集成体系。容器提供了更细的资源粒度，拥有更好的资源弹性和资源利用率。

　　我们在开始一个 Terraform 工程项目的时候，首先要做的就是 terraform init， 这个动作会在当前工作目录下创建 .terraform 目录，并联网下载项目所需要的 provider 到该目录下。 即便是多个项目使用的是同样的 provider，但每个工程项目仍然都有自己单独的 .terraform, 这不仅仅会浪费磁盘空间，还会花费很多不必要的时间去等待联网下载 provider，好在 Terraform 官方为我们提供了缓存目录。

　　有一个比较奇怪的需求，需要给 FileZilla-server 新建大量的 ftp 用户，为其配置随机密码，指定单独家目录与用户组等。

　　一直有对看的书、看的剧做记录的习惯，翻看自己的豆瓣，在工作后浮躁、忙碌的状态下，已经很长一段时间没有更新了。这几年经历了很多，一直没能停下来好好的总结与反思，恰好再一次遇到了《非暴力沟通》