分类：大杂烩

尝试使用高德官方flutter插件amap_flutter_map
之前一直在用amap_map_fluttify ，但我发现国内开源太容易半途而废了，当然不去说对错，这东东算是完了，就算以后再发新版本我也不敢用了。

高德官方的flutter插件早就出了，这次小试了下，感觉不错。
- 支持Null-Safety和新版本flutter完美兼容。
- 配置方便，可以在native端配置key，也可以直接在代码中配置。
- 最新版本完成了工信部的合规！这个很重要！
- 官方版本，更新更及时，可以单独配置SDK版本。
相较于以前版本的复杂配置，高德官方版本配置很方便，flutter可以搭配不同的native端！只要在android/app/build.gradle配置，就可以选择你要的SDK版本。
```
dependencies {
    implementation('com.amap.api:3dmap:9.2.1')
    implementation('com.amap.api:location:6.1.0')
}
```
就可以完美使用了，不用自己去加载lib和so，很方便，当然缺点也有。
- 高德对于商用授权都要收费了，没有免费这一说了。
- 只有地图和定位两大类包，不过这个也没关系，可以使用web api获得其他接口。
- 没有官方讨论区，也只有商业授权用户才能得到官方的技术支持。
2022年6月16日
WordPress升级到了6.0，苹果换了DP线开启了HDR

打开wordpress后台一看，奥哟，升级6.0了，果断升级，没有感觉出任何区别。

最重要的事情记录一笔，之前macbook pro用的是hdmi，由于是hdmi 2.0在mac osx下是无法开启hdr的，所以换了跟display port线，dp 1.4版本，果然在系统偏好设置中，显示器设置中可以看到高动态范围这个选项了！太棒了，内置的radean pro 4gb看4k hdr毫无压力！非常棒！ATI其实有点被低估了！

ps：DP外接显示器后务必安装一个MonitorControl，免费开源的工具，通过DCC调节显示器亮度对比度音量等。

2022年5月26日
ASUS的MB169C+必须关闭VividPixel

老夫有一台便携屏华硕的MB169C+，但利用率不是很高，出差接苹果用的。之所以利用率不高，就是敲代码时候字体太丑陋。上海疫情期间，台机的1060挂了，迁移到MACBOOK PRO敲代码，又接上了我的便携屏。

仔细研究了下，是华硕VividPixel这个技术在作怪，为了让边缘轮廓显示更锐利。这就奇了怪了，明明是一台用来办公用的屏幕，默认开启这种游戏配置很糟心，文本和图片显示都很诡异。所以，正确的办法就是关闭VividPixel，关闭TraceFree回归到一个正常显示文本的正确模式！一切完美！

最后，这台ASUS还是有一个糟心的地方，不能连接switch！

2022年5月15日
关于Dart中generic function type aliases衍生的一个问题
之前Dart里定义一个函数结构可以用
```
typedef Widget ItemGenerator<T> ({Key? key, required T model});
```
这样的语法，但是到了新版本Dart静态检查会建议使用
```
typedef ItemGenerator<T> = Widget Function({Key? key, required T model});
```
这就会产生我今天犯下一个隐蔽的bug，引入泛型的时候会不小心写成。
```
typedef ItemGenerator = Widget Function<T>({Key? key, required T model});
```
能编译通过，但是在实际场景中你无法为你的变量设置正确的泛型，虽然看上去好像是正确的，补充一句，新的写法可以不单单定义回调，还可以定义一个结构，例如：经常用到的JSON格式在Dart中的定义，使其更具语义化！
```
typedef JsonMap = Map<String, dynamic>;
```
2022年5月11日
Android Studio下Flutter项目控制台中文乱码
AS构建Flutter项目出控制台中文乱码，之前都是修改android/app/build.gradle，添加：
```
tasks.withType(JavaCompile) {
    options.encoding = "UTF-8"
}
```
但是这次玄学了，怎么restart清缓存都没用，最后参考 https://blog.csdn.net/u011054333/article/details/54175641 使用终极方法，在Windows下，新建GRADLE_OPTS环境变量，值为-Dfile.encoding=utf-8。然后新开一个终端窗口再次使用gradle命令，就会发现这下Gradle已经可以正确识别编码了。

题外话，升级到了JDK18后我的IDEA也出中文乱码了，我惊了，不是18原生支持UTF-8么，只能回到JDK17。
2022年4月22日
舟哥的Spring Boot手册：Spring Security入门
舟哥的Spring Boot手册

目的
- 旨在记录Spring Boot的经验
- 从零到一构建WEB项目
- 纯API服务
资源
- 基于Spring Boot 2.0构建
- 推荐使用JetBrains IDEA编辑器
完成度
- [x] Spring Security
- [x] Spring JPA
简单介绍一下Spring Security

Spring Security是Spring全家桶中负责安全的模块，安全是任何一个应用访问的基础。在我经验中安全主要提供两个主要功能，一个是Authentication，另外一个是Authorization。

Authentication的意思是鉴权，也就是通过请求判断用户身份，传统的手段很多，比如表单登陆，Basic Auth，令牌等等。Authorization就是访问控制，用来控制应用内的ACL（Access Control List，访问控制列表），由此判断当前用户是否有权限来使用对应资源。

Spring Security的设计初衷是所有应用都能使用安全模块，但毫无疑问作为全家桶成员，他在WEB方面是有很多天生优势的，和很多安全系统设计Shiro，Symfony Securiy等是高度相似的，如果有这些产品的经验，会很容易的转换到Spring Security中去。

JWT概念

概述

JWT（JSON Web Token），是JWT组织提出的一种基于JSON在客户端和服务器之间交换用户态的一种规范。

优点
- 天生WEB亲和力
- 不再使用Session，降低服务器性能开销。
- 使用方便，全平台类库很容易找到。
- 基于JWT可以衍生出很多安全策略
微信登陆流程

所有OPENID登陆基类
```
package com.nuspet.yihuan.security.mini;

import org.springframework.security.authentication.AbstractAuthenticationToken;

// 小程序系列的token接口
// 衍生出微信，百度，支付宝等小程序token的类
public abstract class OpenIDToken extends AbstractAuthenticationToken {

    // 构造函数的说
    // 小程序类型的登陆token没有权限
    public OpenIDToken() {
        super(null);
        super.setAuthenticated(false);
    }

    // 小程序token都会转换成jwt token 所以不能设置信任为ture
    @Override
    public void setAuthenticated(boolean isAuthenticated) throws IllegalArgumentException {
        if (isAuthenticated) {
            throw new IllegalArgumentException(
                    "不能设置小程序类token受信任，最终会转换成信任的jwt token。");
        }
        super.setAuthenticated(false);
    }
}
```
2022年4月18日

我的Mysql DockerCompose配置带my.cnf和自动定时备份

一鼓作气

把K8S拆了后，一鼓作气，MySQL也自建了一个，放放BLOG太实惠，就算本地用TCP不用套接字连，也比腾讯云的速度快太多。

docker-compose.yml

一共三个Service，mysql和mysql-backup以及PhpMyAdmin的管理界面，其中PMA没有做端口映射，需要访问你可以自己用端口或者Traefik之类代理把服务暴露出来。
my.cnf的权限：因为MySQL官方的要求，你需要在windows系统下把文件选择只读然后保存，在linux下chmod 444 my.cnf来修改权限防止world writeable的问题。
mysql-backup的备份目录权限：因为mysql-backup的代码是以appuser的权限执行，所以你要么让容器以root的权限执行，要么和我一样给/backup目录777就可以了。
backup启动时间要有空格，源代码localtime$target_time=$(date --date="${today}${DB_DUMP_BEGIN}" +"%s")兼容性问题。

# 数据库配置 mysql+backup+phpmyadmin
version: '3.4'
services:
  mysql:
    image: mysql:5.7
    restart: always
    environment:
      - MYSQL_ROOT_PASSWORD=111111
    volumes:
      - ./my.cnf:/etc/mysql/conf.d/my.cnf # 额外的配置文件
      - ./data:/var/lib/mysql # 挂载data文件
      - ./backup:/backup # 挂载备份目录
      - /etc/localtime:/etc/localtime:ro # 传时间过去
    networks:
      - mysql
  mysql-backup:
    image: databack/mysql-backup:latest
    restart: always
    depends_on:
      - mysql
    environment:
      - DB_SERVER=mysql
      - DB_PORT=3306
      - DB_USER=root
      - DB_PASS=111111
      - DB_DUMP_TARGET=/backup
      # 注意时间要有空格
      - DB_DUMP_BEGIN= 0345
      - DB_DUMP_FREQ=1440
      # 分schema备份
      - DB_DUMP_BY_SCHEMA=true
      - COMPRESSION=bzip2
      - NICE=true
    networks:
      - mysql
    volumes:
      - /etc/localtime:/etc/localtime:ro # 传时间过去
      - ./backup:/backup # 挂载备份目录
  phpmyadmin:
    image: phpmyadmin:latest
    restart: always
    depends_on:
      - mysql
    networks:
      - traefik
      - mysql
    environment:
      - MYSQL_ROOT_PASSWORD=111111 # root密码
      - PMA_HOST=mysql
      - UPLOAD_LIMIT=300M # 上传限制
      #- PMA_ARBITRARY=1 # 可以使用任意服务器
networks:
  traefik:
    external: true
  mysql:
    external: true

my.cnf

这个配置差不多是针对2核4G内存服务器配置的一个优化

[client]
default-character-set=utf8mb4

[mysql]
default-character-set=utf8mb4

[mysqld]
datadir=/var/lib/mysql
server-id=1
skip_ssl
auto_increment_increment=1
auto_increment_offset=1
automatic_sp_privileges=ON
back_log=3000
log-bin=mysql-bin
binlog_cache_size=2097152
binlog_checksum=CRC32
binlog_format=ROW
binlog_order_commits=ON
binlog_row_image=FULL
binlog_rows_query_log_events=OFF
binlog_stmt_cache_size=32768
block_encryption_mode=AES-128-ECB
bulk_insert_buffer_size=8388608
character_set_filesystem=BINARY
character_set_server=utf8mb4
collation-server=utf8mb4_general_ci
concurrent_insert=AUTO
connect_timeout=10
default_password_lifetime=0
default_storage_engine=INNODB
default_week_format=0
delay_key_write=ON
delayed_insert_limit=100
delayed_insert_timeout=300
delayed_queue_size=1000
disconnect_on_expired_password=ON
div_precision_increment=4
end_markers_in_json=OFF
eq_range_index_dive_limit=200
event_scheduler=OFF
explicit_defaults_for_timestamp=OFF
flush_time=0
ft_max_word_len=84
ft_min_word_len=4
ft_query_expansion_limit=20
group_concat_max_len=1024
host_cache_size=644
init_connect=
innodb_adaptive_flushing=ON
innodb_adaptive_flushing_lwm=10
innodb_adaptive_hash_index=OFF
innodb_adaptive_max_sleep_delay=150000
innodb_autoextend_increment=64
innodb_autoinc_lock_mode=2
innodb_buffer_pool_dump_at_shutdown=ON
innodb_buffer_pool_dump_pct=25
innodb_buffer_pool_instances=1
innodb_buffer_pool_load_at_startup=ON
innodb_buffer_pool_size=805306368
innodb_change_buffer_max_size=25
innodb_change_buffering=ALL
innodb_checksum_algorithm=CRC32
innodb_cmp_per_index_enabled=OFF
innodb_commit_concurrency=0
innodb_compression_failure_threshold_pct=5
innodb_compression_level=6
innodb_compression_pad_pct_max=50
innodb_concurrency_tickets=5000
innodb_deadlock_detect=ON
innodb_default_row_format=DYNAMIC
innodb_disable_sort_file_cache=OFF
innodb_flush_log_at_trx_commit=1
innodb_flush_method=O_DIRECT
innodb_flush_neighbors=0
innodb_flush_sync=ON
innodb_ft_cache_size=8000000
innodb_ft_enable_diag_print=OFF
innodb_ft_enable_stopword=ON
innodb_ft_max_token_size=84
innodb_ft_min_token_size=3
innodb_ft_num_word_optimize=2000
innodb_ft_result_cache_limit=2000000000
innodb_ft_server_stopword_table=NULL
innodb_ft_sort_pll_degree=2
innodb_ft_total_cache_size=640000000
innodb_ft_user_stopword_table=NULL
innodb_io_capacity=20000
innodb_io_capacity_max=40000
innodb_large_prefix=ON
innodb_lock_wait_timeout=50
innodb_log_checksums=ON
innodb_log_compressed_pages=ON
innodb_lru_scan_depth=1024
innodb_max_dirty_pages_pct=75
innodb_max_dirty_pages_pct_lwm=0
innodb_max_purge_lag=0
innodb_max_purge_lag_delay=0
innodb_max_undo_log_size=1073741824
innodb_monitor_disable=ALL
innodb_monitor_enable=ALL
innodb_old_blocks_pct=37
innodb_old_blocks_time=1000
innodb_online_alter_log_max_size=134217728
innodb_optimize_fulltext_only=OFF
innodb_page_cleaners=4
innodb_print_all_deadlocks=ON
innodb_purge_batch_size=300
innodb_purge_rseg_truncate_frequency=128
innodb_purge_threads=4
innodb_random_read_ahead=OFF
innodb_read_ahead_threshold=56
innodb_read_io_threads=8
innodb_rollback_on_timeout=OFF
innodb_rollback_segments=128
innodb_sort_buffer_size=1048576
innodb_spin_wait_delay=6
innodb_stats_auto_recalc=ON
innodb_stats_method=NULLS_EQUAL
innodb_stats_on_metadata=OFF
innodb_stats_persistent=ON
innodb_stats_persistent_sample_pages=20
innodb_stats_transient_sample_pages=8
innodb_status_output=OFF
innodb_status_output_locks=OFF
innodb_strict_mode=ON
innodb_sync_array_size=1
innodb_sync_spin_loops=30
innodb_table_locks=ON
innodb_thread_concurrency=0
innodb_write_io_threads=8
interactive_timeout=7200
join_buffer_size=262144
key_cache_age_threshold=300
key_cache_block_size=1024
key_cache_division_limit=100
lc_time_names=EN_US
local_infile=OFF
lock_wait_timeout=31536000
log_output=FILE
log_queries_not_using_indexes=OFF
log_slow_admin_statements=OFF
log_throttle_queries_not_using_indexes=0
log_timestamps=SYSTEM
log_error_verbosity=3
long_query_time=1
low_priority_updates=OFF
lower_case_table_names=1
master_verify_checksum=OFF
max_allowed_packet=1073741824
max_connect_errors=999999999
max_connections=1000
max_error_count=64
max_heap_table_size=67108864
max_length_for_sort_data=1024
max_points_in_geometry=65536
max_prepared_stmt_count=16382
max_sort_length=1024
max_sp_recursion_depth=0
max_user_connections=0
min_examined_row_limit=0
myisam_sort_buffer_size=8388608
mysql_native_password_proxy_users=OFF
net_buffer_length=16384
net_read_timeout=30
net_retry_count=10
net_write_timeout=60
ngram_token_size=2
optimizer_prune_level=1
optimizer_search_depth=62
optimizer_switch=INDEX_MERGE=ON,INDEX_MERGE_UNION=ON,INDEX_MERGE_SORT_UNION=ON,INDEX_MERGE_INTERSECTION=ON,ENGINE_CONDITION_PUSHDOWN=ON,INDEX_CONDITION_PUSHDOWN=ON,MRR=ON,MRR_COST_BASED=ON,BLOCK_NESTED_LOOP=ON,BATCHED_KEY_ACCESS=OFF,MATERIALIZATION=ON,SEMIJOIN=ON,LOOSESCAN=ON,FIRSTMATCH=ON,DUPLICATEWEEDOUT=ON,SUBQUERY_MATERIALIZATION_COST_BASED=ON,USE_INDEX_EXTENSIONS=ON,CONDITION_FANOUT_FILTER=ON,DERIVED_MERGE=ON
optimizer_trace_limit=1
optimizer_trace_max_mem_size=16384
optimizer_trace_offset=-1
performance_schema=OFF
preload_buffer_size=32768
query_alloc_block_size=8192
query_cache_limit=1048576
query_cache_min_res_unit=4096
query_cache_size=0
query_cache_type=OFF
query_cache_wlock_invalidate=OFF
query_prealloc_size=8192
range_alloc_block_size=4096
range_optimizer_max_mem_size=8388608
read_buffer_size=262144
read_rnd_buffer_size=524288
session_track_gtids=OFF
session_track_schema=ON
session_track_state_change=OFF
sha256_password_proxy_users=OFF
show_compatibility_56=OFF
slave_net_timeout=120
slave_parallel_type=LOGICAL_CLOCK
slave_parallel_workers=0
slave_rows_search_algorithms=TABLE_SCAN,INDEX_SCAN
slow_launch_time=2
slow_query_log=ON
sort_buffer_size=868352
sql_mode=ONLY_FULL_GROUP_BY,STRICT_TRANS_TABLES,NO_ZERO_IN_DATE,NO_ZERO_DATE,ERROR_FOR_DIVISION_BY_ZERO,NO_AUTO_CREATE_USER,NO_ENGINE_SUBSTITUTION
stored_program_cache=256
sync_binlog=1
table_definition_cache=1024
table_open_cache=1024
table_open_cache_instances=4
thread_cache_size=512
thread_handling=one-thread-per-connection
thread_stack=524288
tmp_table_size=209715200
transaction_alloc_block_size=8192
transaction_prealloc_size=4096
updatable_views_with_limit=YES
wait_timeout=3600

2022年4月17日

使用Fluentd收集容器内PHP-FPM下Monolog的日志

K8S回归Docker Compose

接上回说到，从K8S回归到Docker Compose，有一块调整的比较大，就是日志。原来有点懒惰，腾讯云的TKE集群可以默认接入他的LogListener，这个日志组件可以很方便从Container里取日志，方便到你根本不用改造原来的应用。但现在由于离开了K8S，还是要提升下收集日志的效率，所以所有容器内的应用都会由init进程管理输出到stdout或stderr，再由容器接住，新版本docker已经支持--log-driver=fluentd来指定一个fluentd的后端来接受所有日志。

日志规划流向

应用日志

Monolog写php://stderr → PHP-FPM接到error_log → init进程Supervisor接到/dev/stderr → Container接到日志 → Docker daemon设置了log-driver → 写到Fluentd → Fluentd处理后通过Kafka协议发到腾讯云CLS日志处理

访问日志

因为Traefik不支持FastCGI协议，所以FPM前面是挡了一层Nginx，访问日志都从Nginx取，类似应用日志，不同的是访问日志都写了stdout，这其实并没有关系，因为最后在Fluentd处理的时候还是会用正则匹配的。

STEP0: NGINX ACCESS_LOG 访问日志

在nginx.conf的http段中配置JSON格式的字段，根据你的需要来，我建议加入request_id，方便关联应用日志。

http {
  log_format mylog escape=json '{"time_local":"$time_iso8601",'
                           '"request_id":"$request_id",'
                           '"host":"$server_addr",'
                           '"clientip":"$remote_addr",'
                           '"size":$body_bytes_sent,'
                           '"request":"$request",'
                           '"request_body":"$request_body",'
                           '"responsetime":$request_time,'
                           '"upstreamtime":"$upstream_response_time",'
                           '"http_host":"$host",'
                           '"url":"$uri",'
                           '"domain":"$host",'
                           '"xff":"$http_x_forwarded_for",'
                           '"referer":"$http_referer",'
                           '"http_user_agent":"$http_user_agent",'
                           '"status":"$status"}';
  include mime.types;
  server_tokens off;
  tcp_nopush on;
  tcp_nodelay on;
  keepalive_timeout 120;
  types_hash_max_size 2048;
  client_max_body_size 100m;
  default_type application/octet-stream;
  access_log off;
  error_log off;
  gzip on;
  gzip_disable "msie6";
  include vhost/*.conf;
}

在具体的虚拟机中就可以配置你设置的json格式access log

server {
    server_name symfony.tld;
    root /data/www/public;

    location / {
        # try to serve file directly, fallback to index.php
        try_files $uri /index.php$is_args$args;
    }

    location ~ ^/index\.php(/|$) {
        fastcgi_pass unix:/dev/shm/php-fpm.sock;
        fastcgi_split_path_info ^(.+\.php)(/.*)$;
        include fastcgi_params;

        fastcgi_param SCRIPT_FILENAME $realpath_root$fastcgi_script_name;
        fastcgi_param DOCUMENT_ROOT $realpath_root;
        fastcgi_param HTTPS off;
        fastcgi_param REQUEST_ID $request_id;

        internal;
    }

    # return 404 for all other php files not matching the front controller
    # this prevents access to other php files you don't want to be accessible.
    location ~ \.php$ {
        return 404;
    }

    error_log stderr;
    access_log /dev/stdout mylog;
}

STEP1: 改造APP LOG

App的日志一般都会用主流的包可以选择，在这个例子中，我用的是Symfony原配的Monolog，这里可以根据自己的需要进行拦截。例如访问量小的时候，你可以把所有用户侧的异常抓下来看看，所以app这个pool里，level是info的我都抓了。

在你的异常拦截里面加上日志，可以从$_SERVER['REQUEST_ID']取得你需要的nginx侧请求ID。

$this->logger->info($exception->getMessage(),[你需要的其他数据]);

mololog的配置

monolog:
    handlers:
        app:
            level: info
            type: stream
            path: "php://stderr"
            channels: [ app ]
            formatter: 'monolog.formatter.json'
        main:
            type: fingers_crossed
            action_level: error
            handler: nested
            excluded_404s:
                # regex: exclude all 404 errors from the logs
                - ^/
        nested:
            type: stream
            path: "php://stderr"
            formatter: 'monolog.formatter.json'
        console:
            type:   console
            process_psr_3_messages: false
            channels: ["!event", "!doctrine"]

STEP2: 给Supervisor加上参数

记得给启动命令加上参数--force-stderr --nodaemonize，否则PHP-FPM的/proc/pid/fd/2不是pipe，参考之前文章PHP-FPM在Docker没有日志输出到/dev/stder。

[program:php-fpm]
command=/usr/local/sbin/php-fpm --force-stderr --nodaemonize --fpm-config /usr/local/etc/php-fpm.d/www.conf
autostart=true
autorestart=true
priority=5
stdout_events_enabled=true
stderr_events_enabled=true
stdout_logfile=/dev/stdout
stdout_logfile_maxbytes=0
stderr_logfile=/dev/stderr
stderr_logfile_maxbytes=0
stopsignal=QUIT

STEP3: 修改容器日志输出驱动格式

普通容器可以在run的时候加上--log-driver=fluentd，如果是compose可以在配置里加上logging字段。

version: '3'

services:
  delta:
    image: ccr.ccs.tencentyun.com/zhouzhou/phpallinone:allinone-master-20220331
    ports:
      - "80:80"
    logging:
      driver: "fluentd"
      options:
        fluentd-address: localhost:24224
        tag: delta
networks:
  default:
    driver: bridge

STEP4: 配置Fluentd

Fluentd可以做很多事情，当然其他日志收集器也可以，但Docker内置了Fluentd驱动，就用了它。我使用的场景很简单，单纯的在宿主机进行收集，简单的格式化处理，由于日质体量很小，所以发送到腾讯云CLS来处理。

发送到腾讯云CLS需要Kafka协议，所以我们要做一个自己的Fluentd镜像，加上了kafka协议和兼容腾讯侧的rdkafka库，请注意，github官网的debian镜像是有问题的，例子用的是Alpine版本。

FROM fluentd:v1.14.0-1.0

# Use root account to use apk
USER root

# below RUN includes plugin as examples elasticsearch is not required
# you may customize including plugins as you wish
# 安装rdkafka和kafka插件
RUN apk add --no-cache --update --virtual .build-deps \
        sudo build-base ruby-dev bash\
 && sudo gem install rdkafka  \
 && sudo gem install fluent-plugin-kafka \
 && sudo gem sources --clear-all \
 && apk del .build-deps \
 && rm -rf /tmp/* /var/tmp/* /usr/lib/ruby/gems/*/cache/*.gem

USER fluent

# 覆盖一下
ENTRYPOINT ["tini",  "--", "/bin/entrypoint.sh"]
CMD ["fluentd"]

配置这里说下思路，Fluentd的配置顺序简单来说是由上自下，并没有很强大的语法，利用本身的插件来完成一些其实本身很简单的操作，所以有点反直觉。我的容器中目前有访问日志和应用日志两类，我需要根据各自的特征发送到各自在腾讯云的主题进行分析。

<source>
  @type forward
  port 24224
  bind 0.0.0.0
</source>

<match *>
  @type copy
  <store>
    @type relabel
    @label @PHPERROR
  </store>
  <store>
    @type relabel
    @label @NGINXACCESS
  </store>
</match>

<label @PHPERROR>
  <filter delta>
    @type grep
    <regexp>
      key log
      pattern \[pool ([^\]]*)\]
    </regexp>
  </filter>

  # 解析原始的PHP-FPM日志
  <filter delta>
    @type parser
    key_name log
    reserve_data true
    # reserve_data true
    # hash_value_field parsed
    <parse>
      @type regexp
      expression /^\[(?<logtime>[^\]]*)\] (?<level>(DEBUG|INFO|NOTICE|WARNING|ERROR|CRITICAL|ALERT|EMERGENCY)): \[pool (?<pool>[^\]]*)\] child (?<child>\d+) said into stderr: \"(?<message>.+)\"$/
    </parse>
  </filter>

  # 转json
  <filter delta>
    @type parser
    reserve_data true
    key_name message
    <parse>
      @type json
      time_key logtime
    </parse>
  </filter>

  <match delta>
    @type rdkafka2

    brokers sh-producer.cls.tencentcs.com:9096
    use_event_time true

    <format>
      @type json
    </format>

    <buffer topic>
      @type memory
      flush_interval 3s
    </buffer>

    # 腾讯云日志主题
    default_topic 9d7fc234-e090-4a48-8888-642f5b56e82c

    # producer settings
    required_acks -1
    rdkafka_delivery_handle_poll_timeout 5

    rdkafka_options {
      "security.protocol" : "SASL_PLAINTEXT",
      "sasl.mechanism" : "PLAIN",
      # 日志集主题
      "sasl.username" : "e63de52e-a012-45f6-8888-ca2dab7aeda1",
      "sasl.password" : "SecurityId#SecurityKey"
    }
  </match>

</label>

<label @NGINXACCESS>
  <filter delta>
    @type grep
    <regexp>
      key source
      pattern stdout
    </regexp>
  </filter>

  <filter delta>
    @type parser
    key_name log
    <parse>
      @type json
      # 指定nginx原始日志的事件作为事件事件
      time_key time_local
    </parse>
  </filter>

  <match delta>
    @type rdkafka2

    brokers sh-producer.cls.tencentcs.com:9096
    use_event_time true

    <format>
      @type json
    </format>

    <buffer topic>
      @type memory
      flush_interval 3s
    </buffer>

    # 腾讯云日志主题
    default_topic 0c0872c5-00b5-8888-b658-e88769118c30

    # producer settings
    required_acks -1
    rdkafka_delivery_handle_poll_timeout 5

    rdkafka_options {
      "security.protocol" : "SASL_PLAINTEXT",
      "sasl.mechanism" : "PLAIN",
      # 日志集主题
      "sasl.username" : "e63de52e-a012-8888-8932-ca2dab7aeda1",
      "sasl.password" : "SecurityId#SecurityKey"
    }
  </match>
</label>

以上配置简单的把单容器所有日志输出接住，先用relabel这个插件把日志复制出两股Label进行分别处理，这里有点反直觉。然后在不同的Label下进行json处理和投递工作，注意的是，PHP-FPM的Error LOG是不能定义格式的，所以需要正则匹配，然后把message部分进行json处理，注意使用reserve_data = true防止之前的key被覆写。最后记得腾讯云目前的Kafka环境必须用rdkafka库，SASL_PLAINTEXT密码的配置请注意！

全部搞定

请注意的时候，腾讯云的kafka可以走内网，域名和端口和外网的不同。你也可以自己做Elasticsearch和Kibana，组你自己的EFK。

2022年4月12日

PHP-FPM在Docker没有日志输出到/dev/stderr
kubernetes迁移产生日志收集问题

今天把腾讯kubernetes TKE上的一些服务弄到单机docker-compose里去了。为什么迁TKE的问题先不谈，因为原来的服务日志都是依赖腾讯Loglistener，这个日志端和腾讯TKE是完美配合的，去node上拿文件日志非常方便，也没有去优化。但这次由于结构换了，期望从docker-compose的Fluentd驱动来获得日志然后用kafka协议发到接收端，第一步就是要把容器都输出到/dev/stdout和/dev/stderr。

找不到日志

monolog的配置

代码用的是php里最有名的monolog，先改配置。把日志流输出到path: "php://stderr"，这里有第一个发现，不能写path: "/dev/stderr"或者path: "/proc/1/fd/2"，这两种写法都会报File Append的错误，显然要使用最前面的封装版本，当然这和手册上的有点出入。

推荐你简单使用常量 STDIN、 STDOUT 和 STDERR 来代替手工打开这些封装器。

https://www.php.net/manual/zh/wrappers.php.php 手册上原话。

找不到日志

容器服务是用Supervisor管理的，一个容器上跑php-fpm和nginx，Supervisor里FPM的配置是写到/dev/stderr里去的，但结果就是无论如何配置都无法写到/dev/stderr。
```
bash-5.1# ps aux | grep master
    7 root      0:00 php-fpm: master process (/usr/local/etc/php-fpm.d/www.conf)
    8 root      0:00 nginx: master process /usr/local/nginx/sbin/nginx -g daemon off;
```
查看下进程err输出情况。
```
bash-5.1# ls -l /proc/7/fd/2
l-wx------    1 root     root            64 Apr  7 14:44 /proc/7/fd/2 -> /usr/local/var/log/php-fpm.log
```
日志被牢牢的写进了/usr/local/var/log/php-fpm.log，没有进管道，找了半天发现，是一个神奇的配置组合问题。
```
[program:php-fpm]
command=/usr/local/sbin/php-fpm --force-stderr --nodaemonize --fpm-config /usr/local/etc/php-fpm.d/www.conf
autostart=true
autorestart=true
priority=5
stdout_events_enabled=true
stderr_events_enabled=true
stdout_logfile=/dev/stdout
stdout_logfile_maxbytes=0
stderr_logfile=/dev/stderr
stderr_logfile_maxbytes=0
stopsignal=QUIT
```
关键在于，当你用了nodaemonized，就要用–force-stderr来保证进程写到容器的stderr输出。参考，https://stackoverflow.com/questions/50995042/docker-does-not-catch-php-fpm-outputs-with-symfony-and-monolog

As php-fpm is run in nodaemonized mode, you need to set the –force-stderr flag which "Force output to stderr in nodaemonize even if stderr is not a TTY."

检查一下，连接对了！用docker logs -f container检查也没问题了！
```
bash-5.1# ls -l /proc/7/fd/2
l-wx------    1 root     root            64 Apr  7 14:44 /proc/7/fd/2 -> pipe:[13099270]
```
2022年4月7日
Traefik会修改头部以符合HTTP标准

Traefik Modify Header

使用Traefik代理的所有http请求，header的大小写会变化，这是因为Traefik用了Go的标准库，在这个库里所有的header都会遵循规范来。可以参考，https://github.com/golang/go/issues/5022

Http Canonical 规范

简单说，http 1.1对header是大小写敏感的，但http 2是header全小写。这样一来很多旧时的代码是无法兼容客户端变化的，例如：JWT需要使用header传递，你取key得时候就要根据http版本来取大小写的key。在大小写敏感前提下，authentication和Authentication代表着两个不同的key，但他们不应该同时存在！

结论：Traefik的做法是对的

我认为，服务端输出的header的代码应该是根据http版本输出大小写的，而客户端是知道自己的http版本而取对应的key。所以应该理解header大小写问题是一个抽象的概念，他只是抽象到头部中有一个key，我需要取得这个key，而在客户端中已经自动把对应版本的key进行了大小写转换。所以Traefik的做法是正确的，他把抽象的key根据协议转换了大小写。

还是需要关心的问题

大部分客户端和服务端并没有对http版本做对齐，所以你要关心你的开发环境如果不经过代理“标准化”头部是不是还正常，你的客户端能不能对齐服务端的变化！~

2022年4月2日

Traefik和Docker配合优秀的边缘路由

Traefik简单介绍

最近把一套服务从K8S降级为普通的docker-compose，使用了Traefik来做反向代理，也称为边缘路由，相当于守护整套服务的边界，他和Docker配合完美，可以轻松的发现服务并且发布服务，当然也可以配置路由，以及很简单就能实现的中间件。最早nginx-proxy最先实现了其中docker服务发现的功能，但是Traefik的使用更方便，更强大，还带有一个UI控制面板。

基于2.6的Traefik，来看下我的部署笔记，一个反向代理，后面挂载一个api服务，还有api要用的缓存，分别拥有两个网络。

docker-compose服务

这里有一个反直觉的地方，80和443的服务要分别配置两条相同的路由，但是名字不同，分别对应不同的入口，443的入口要开启TLS，80的入口建议你开启中间件跳转，从http跳转到https。
我的例子中api服务delta使用了两个网络，所以请记得traefik.docker.network=traefik配置发现用的网络，否则很有可能出504 Gateway timeout。

version: '3'

services:
  proxy:
    image: traefik:2.6
    restart: unless-stopped
    ports:
      - "80:80"
      - "443:443"
      - "9000:9000"
    depends_on:
      - delta
    volumes:
      - /var/run/docker.sock:/var/run/docker.sock
      - ./traefik.toml:/traefik.toml # traefik静态配置
      - ./logs:/var/log # traefik日志
      - ./dynamic_conf.toml:/dynamic_conf.toml # traefik动态配置
      - ./ssl:/data/ssl/ # 证书
    networks:
      - traefik

  delta:
    image: ccr.ccs.tencentyun.com/zhouzhou/phpallinone:allinone-master-20220331 # 一个简单的nginx
    expose:
      - 80 # 一定要有 不会自动发现  超过一个端口就配置loadbalancer.server.port
    deploy:
      replicas: 2 # 副本数量
    labels:
      - "traefik.enable=true" # 声明公开此容器访问
      - "traefik.http.routers.delta.rule=Host(`api.zhouzhou.net`)" # 解析规则用域名
      - "traefik.http.routers.delta.entrypoints=web" # 只允许来自预定义的入口点 web 80的请求
      - "traefik.http.routers.delta-ssl.rule=Host(`api.zhouzhou.net`)" # ssl单独写一条 routers
      - "traefik.http.routers.delta-ssl.entrypoints=websecure" # 只允许来自预定义的入口点 443的请求
      - "traefik.http.routers.delta-ssl.tls=true" # 443的请求要ssl
      # - "traefik.http.services.delta.loadbalancer.server.port=80"
      - traefik.docker.network=traefik # 发现网络
      - "traefik.http.routers.delta.middlewares=https-redirect" # 跳转中间件
      - "traefik.http.middlewares.https-redirect.redirectscheme.scheme=https" # http跳https
    networks:
      - traefik
      - delta
    depends_on:
      - cache
    environment:
      - APP_ENV=prod
  cache:
    image: bitnami/redis:latest
    environment:
      - ALLOW_EMPTY_PASSWORD=yes
    networks:
      - delta

networks:
  traefik:
    external: true # 必须有外部网络 方便其他访问 以及在两个网络情况下traefik.docker.network起作用
  delta:

traefik.toml 静态配置

这里exposedByDefault配置需要注意，如果是false，需要显示的标记需要被发现的服务。

################################################################
#
# Configuration sample for Traefik v2.
#
# For Traefik v1: https://github.com/traefik/traefik/blob/v1.7/traefik.sample.toml
#
################################################################

################################################################
# Global configuration
################################################################
[global]
  checkNewVersion = true
  sendAnonymousUsage = true

################################################################
# Entrypoints configuration
################################################################

# Entrypoints definition
#
# Optional
# Default:
[entryPoints]
  [entryPoints.web]
    address = ":80"

  [entryPoints.websecure]
    address = ":443"

  [entryPoints.traefik]
    address = ":9000"

################################################################
# Traefik logs configuration
################################################################

# Traefik logs
# Enabled by default and log to stdout
#
# Optional
#
[log]

  # Log level
  #
  # Optional
  # Default: "ERROR"
  #
  # level = "DEBUG"

  # Sets the filepath for the traefik log. If not specified, stdout will be used.
  # Intermediate directories are created if necessary.
  #
  # Optional
  # Default: os.Stdout
  #
  filePath = "/var/log/traefik.log"

  # Format is either "json" or "common".
  #
  # Optional
  # Default: "common"
  #
  format = "json"

################################################################
# Access logs configuration
################################################################

# Enable access logs
# By default it will write to stdout and produce logs in the textual
# Common Log Format (CLF), extended with additional fields.
#
# Optional
#
# [accessLog]

  # Sets the file path for the access log. If not specified, stdout will be used.
  # Intermediate directories are created if necessary.
  #
  # Optional
  # Default: os.Stdout
  #
  # filePath = "/path/to/log/log.txt"

  # Format is either "json" or "common".
  #
  # Optional
  # Default: "common"
  #
  # format = "json"

################################################################
# API and dashboard configuration
################################################################

# Enable API and dashboard
[api]

  # Enable the API in insecure mode
  #
  # Optional
  # Default: false
  #
  insecure = false

  # Enabled Dashboard
  #
  # Optional
  # Default: true
  #
  dashboard = true

################################################################
# Ping configuration
################################################################

# Enable ping
[ping]

  # Name of the related entry point
  #
  # Optional
  # Default: "traefik"
  #
  entryPoint = "traefik"

################################################################
# Docker configuration backend
################################################################

# Enable Docker configuration backend
[providers.docker]

  # Docker server endpoint. Can be a tcp or a unix socket endpoint.
  #
  # Required
  # Default: "unix:///var/run/docker.sock"
  #
  endpoint = "unix:///var/run/docker.sock"

  # Default host rule.
  #
  # Optional
  # Default: "Host(`{{ normalize .Name }}`)"
  #
  # defaultRule = "Host(`{{ normalize .Name }}.docker.localhost`)"

  # Expose containers by default in traefik
  #
  # Optional
  # Default: true
  #
  # 限制服务发现范围
  # 如果设置为 false, 则没有 traefik.enable=true 标签的容器将从生成的路由配置中忽略
  exposedByDefault = false
  # network = "traefik"

# 动态配置
[providers.file]
  filename = "dynamic_conf.toml"
  watch = true

dynamic_conf.toml 动态加载的配置

这里是动态配置，在静态配置里可以看到最下面的providers.file，根据官方手册，可以修改立即生效。
这里做了一个中间件，为Traefik的控制面板提供了一个BasicAuth的验证功能，密码自己用htpasswd生成。
证书也挂载这里了。

# dashboard界面
[http.routers.api]
  rule = "Host(`traefik.zhouzhou.net`)" # 匹配规则
  entrypoints = ["websecure"] #界面走443
  service = "api@internal"
  middlewares = ["myAuth"]
  [http.routers.api.tls]

# 给dashboard准备的密码 nickzhuo 密码 test
[http.middlewares.myAuth.basicAuth]
  users = [
    "nickzhuo:$apr1$mattJycX$3UG/8ObEI4kowL9yBBfE01"
  ]

# 证书配置
[tls]
  [[tls.certificates]]
    certFile = "/data/ssl/api.zhouzhou.net_bundle.crt"
    keyFile = "/data/ssl/api.zhouzhou.net.key"
  [[tls.certificates]]
    certFile = "/data/ssl/traefik.zhouzhou.net_bundle.crt"
    keyFile = "/data/ssl/traefik.zhouzhou.net.key"

2022年4月1日

WordPress在cdn开启quic后有HTTPS跳转302循环的bug
上海最近每天感染人数愈发多，没有控制住，说回正题，这两天把服务器重新弄了下。

再重新部署Wordpress的时候，数据库都是以前的，但登陆界面302无限loop循环。寻找原因发现，官方在hub上的说明写的很清楚Using a Reverse Proxy，但是这里的示范代码有一个bug，
```
if (strpos($_SERVER['HTTP_X_FORWARDED_PROTO'], 'https') !== false)
```
这段代码判断了前面扔过来的HTTP_X_FORWARDED_PROTO头部，但是我用的腾讯云开启了quic之后，回传过来的“quic”，所以导致无限302跳转，所以只有去关闭quic，或者修改代码让$_SERVER['HTTPS'] = 'on'就能解决问题了！
2022年3月29日
2021年的最后一天

肉眼可见新冠疫情还是影响着我们的生活，虽然可能有时候不是很近，但也不远。又因为这个世界都是连接着的，所以心理总是会有扭结。今天是21年的最后一天，总结一年成果若干，最大的成果是身体状态异常的好，可以说达到历史巅峰水平，肌肥大训练到了一个新的层次，对自己的认识更充分。其次读了很多很多书，把南北朝的历史盲区补充了起来，以及元朝的历史和欧洲罗马史。希望22年大家都健康起来，病毒不再横行，找到终结病毒的办法。

2021年12月31日
撤销了Serverless回到容器版本的wordpress

今天撤回WP回到自己的K8S上面，发现腾讯云的DOCKER HUB官方同步镜像停止更新了，需要自己把官方的wordpress镜像搬到CCR腾讯的个人版本容器镜像服务才能继续使用。拉到本地，打了个TAG，推到了CCR，重新部署完毕，是的，又好了。

2021年12月9日
腾讯云CLB负载均衡大涨价，Serverless仍然是纸上谈兵。

年底了，腾讯云突然给CLB负载均衡涨价了，要知道一个问题，当你的服务全部容器化之后，暴露出的服务最好走的是ingress，而ingress是和负载均衡的功能绑定的，使用量最小单位是一个k8s命名空间使用一个（曾经腾讯的ingress是只能绑定一个证书，现在可以绑多个了）。这样带来的结果是，你的费用会突然大幅度的提高，尤其当你划分某些辅助用的业务在一个独立的namespace里方便管理，而单独提供此命名空间的clb费用可能比你单独租用轻服务器的费用还高，这样显然是极其不合理的！

试图降低费用，我把zhouzhou.net的服务以serverless的方式从k8s中分离。体验之后发现，serverless在现阶段依然是纸上谈兵，通过api网关他视图提供一个web服务的标准生态，比如版本，路由，日志等等重要的基础功能。但是serverless的问题是，第一点，它对代码是入侵的，你的代码必须和你使用的IaaS云服务绑定，而各个供应商之间是没有标准的，这就导致你需要修改代码才能部署，虽然不入侵到业务层面，但完整的测试流程依然是让你头痛的，他可能适用于SaaS方式给客户部署业务的供应商，这样的成本会相对的低廉。第二点，serverless的生态即它的运行时环境其实不友好，你得到的环境都相对的不是最新的，是云商给你做的，可能和你开发环境有非常大的差异，当你发现有因为环境而导致出现问题自己却无法解决的时候，是难受的。第三点，以前有传统的web容器，所以我们有了CGI（通用网关接口）来和各个语言通信，现在由于web容器的服务被api网关全部代替了，那么里面跑的是什么呢？很不幸，以PHP为例，是以内置服务器方式跑，而这个模式在官方手册中不建议跑生产环境。当然这个问题k8s也会碰到，你的镜像大都有套娃，ingress里面套nginx，只是为了看上去平滑兼容，如果有一种通用容器接口，就能解决最后一公里的问题。

2021年11月27日

分类： 大杂烩

舟哥的Spring Boot手册

目的

资源

完成度

简单介绍一下Spring Security

JWT概念

概述

优点

微信登陆流程

所有OPENID登陆基类