OCSP是更轻量级的，因为它一次只获取一条记录。但是副作用是，当连接到服务器的时候，OCSP请求必须发送到第三方响应者，这增加了延迟，以及失败的可能。实际上，OCSP响应者由CA操控，由于它常常不可靠，导致浏览器由于收不到适时的响应而失败。这减少了安全性，因为它允许攻击者对OCSP响应者进行DoS攻击来取消验证。

使用nexus3.x配置docker镜像仓库及仓库代理

前言

我们一直使用 docker registry 作为docker的镜像仓库，但docker registry只能作为私有仓库，当需要Docker Hub 或 Google Cloud Containers 上的镜像时，我们只能自己手动pull，重新打tag，再push到docker registry上。

当需要拉取多个镜像时，这样相当麻烦，尤其是我们使用Kubespray来部署Kubernetes集群，仅仅准备镜像就需要花费很多时间。

我们希望有一个Docker仓库，能同时托管私有镜像，还能代理访问公共的镜像仓库。

正好我们在使用Nexus作为Maven的仓库，同时nexus3提供了Docker, yum, apt, npm, ruby gems, pypi 等诸多类型的仓库功能。

经过技术调研，Nexus3完全可以达到我们的预期。

Nexus3

Nexus介绍

Nexus是一个强大的仓库管理器，它极大地简化了本地内部仓库的维护和外部仓库的访问。

Nexus在代理远程仓库的同时维护本地仓库，以降低中央仓库的负荷,节省外网带宽和时间，Nexus私服就可以满足这样的需要。

Nexus是一套“开箱即用”的系统不需要数据库，它使用文件系统加Lucene来组织数据。

Nexus使用ExtJS来开发界面，利用Restlet来提供完整的REST APIs，通过m2eclipse与Eclipse集成使用。

Nexus支持WebDAV与LDAP安全身份认证。

Nexus还提供了强大的仓库管理功能，构件搜索功能，它基于REST，友好的UI是一个extjs的REST客户端，它占用较少的内存，基于简单文件系统而非数据库。

!参考
由于之前的线上的版本是CentOS 6，鉴于该系统实在老旧目前正慢慢的往CentOS7和Ubuntu16上升级。

一般如果使用云服务器，厂商都会对镜像做一些优化，不太需要我们怎么操心。

新版的系统CentOS7和Ubuntu16对比CentOS6进步不是一点点，至少烦人的Python2和Gcc版本过低问题，在这里是完全没有了。

安装 openswan 及其环境

一、 openswan 介绍

OpenSWan是linux选Ipsec及I2tp协议的一个不错的实现方案。他支持和ipsec相关的大多数的扩展（RFC+IETF drafts）。Openswan项目起源于FreeS/WAN 2.04项目，该项目的功能很强大，可以很大程度上保证数据在跨网传输中的安全性、完整性，特别是通过它，可以很好地实现跨机房或异地办公场所实现局域网互联解决方案，如果和openvpn工具配合，可以实现将注入门户网站的多机房互访及vpn的各种强大解决方案.  
能实现 IPsec 的目前总体上有 openswan，libreswan，strongswan 这3种。 libreswan 是基于 openswan 的 fork，所以现在各个发行版基本已经看不到 openswan 的身影了。 当然也有使用 strongswan 的。

rsyslog 日志转发

前言

使用rsyslog日志收集是尽量保证日志的原始性不去做任何处理 ，直接收集入到队列，如kafka、redis，这样做的的好处时，减少日志客户端rsyslog的性能压力，从而不影响所在服务器上正常业务，并且保持原始日志也便于各自业务方处理，自己写的日志自己最熟悉。

日志收集客户端rsyslog 可以使用守护进程的工具做守护,如supervisor、monit等

rsyslog提供三个远程日志传输方式：

UDP: 数据包传输可信度不高
TCP: 数据包传输可信度比较高
RELP: 数据包传输可信度最高，避免数据丢失，比较新的协议，目前应用较少

下面介绍的RELP方式

Install Pure-ftp

FTP 簡介

　FTP (File Transfer Protocol) 是在因特网上已行之多年的文件传输协议，透过这个通讯协议，可以将远程计算机的档案数据传送回本机端 (下载)，也可以把本机的档案数据传输至远程计算机 (上传) ﹔而所谓的 FTP Server，就是一部专门提供给客户端进行档案上传与下载服务的服务器。

Centos7.5 [yum update -y] 更新报错

yum update Errno 256 No more mirrors to try

环境

CentOS Linux release 7.5.1804 (Core)

参考资料
官方网址

filebeat

filebeat 是基于原先 logstash-forwarder 的源码改造出来的。换句话说：filebeat 就是新版的 logstash-forwarder，也会是 Elastic Stack 在 shipper 端的第一选择。
Filebeat 是本地文件的日志数据采集器，可监控日志目录或特定日志文件（tail file），并将它们转发给Elasticsearch或Logstatsh进行索引、kafka等。带有内部模块（auditd，Apache，Nginx，System和MySQL），可通过一个指定命令来简化通用日志格式的收集，解析和可视化。

1.sersync介绍

sersync的实时数据同步：

• sersync监控指定的目录，对监控路径下变化的文件进行实时同步到rsync的服务端。
• 整个过程相当于rsync+inotify，并且推送是通过rsync --delete的，所以使用的时候要谨慎。