📚 构建长期复利型知识基础设施的指南,详见 RAG 实战手册

博客

AI、云原生与开源技术分享,实用经验与最新动态。

MCP:AI 的 USB 插槽协议

深入理解 Model Context Protocol (MCP),探索其在 AI 应用中的扩展能力,像 USB 一样简便的接口设计,助力开发者提升效率。

从大数据到 AI Agent 的技术演进

对比大数据时代的流式数据处理与当下 AI 原生 Agent 工作流的异同,结合 Dataiku、IBM StreamSets 与 n8n 的最新动态进行案例分析与趋势判断,探讨技术演进与融合趋势。

开源 AI Agent 与工作流平台全景对比分析

对比 Coze Studio/Loop、n8n、Dify、FastGPT、RAGFlow、LangGraph、Fabric 等开源 AI Agent 与工作流平台,从功能定位、生态扩展、自托管能力、许可证限制、社区活跃度等维度全面分析,并重点探讨在这些工具中选择长期投入平台的参考依据。

Mac mini M4 丐版扩容体验

详细记录了使用三星 990 Pro NVMe SSD 扩容 Mac mini M4 的全过程,包括选购理由、扩容方案、性能对比、开发环境搭建、兼容性迁移、日常开发体验与扩展坞使用心得。文章还分享了实际测试数据和花费明细,为开发者和办公用户提供了高性价比桌面主机的实用参考。

Envoy Jaeger Tracing 示例详解

本文通过详细解析 Envoy 官方 Jaeger Tracing 示例,展示了如何构建分布式追踪架构,涵盖架构设计、文件配置及运行流程,帮助读者深入理解服务网格中的追踪上下文传播与数据可视化。

访伦敦格林尼治天文台有感

从格林尼治本初子午线的确立,到全球时区的划分与标准时间的制定,空间与时间如何成为帝国主义权力投射的载体?本文结合科学史、政治与文化,剖析全球时间秩序背后的霸权逻辑。

从 ingress-nginx 迁移到 Envoy Gateway 指南

本博客介绍如何从 ingress-nginx 平滑迁移到基于 Gateway API 的 Envoy Gateway,包含迁移动因、Minikube 实操步骤及 ingress2gateway 工具的使用,帮助用户实现更现代、可扩展的 Ingress 管理。

Istiod 架构详解

本文译自 Istio 官方代码仓库中对 Istiod 架构的解析。描述了 Istio 控制平面——Istiod 的高层架构。Istiod 是一个模块化的单体应用,涵盖了从证书签名、代理配置(XDS)、传统的 Kubernetes 控制器等多种功能。

解密 Kubernetes 网络:跟随数据包的奇妙旅程

本文介绍了传统网络和 Kubernetes 网络的基本概念。通过比喻和图示,解释了 IP 地址、子网、MAC 地址等概念,并以“跟随数据包”的方式讲解了网络通信的过程。同时,也对 Kubernetes 中的网络通信进行了类比,解释了 Pod、CNI 和 eBPF 的概念。整体而言,文章从简单到复杂地讲解了网络通信的原理,便于读者理解。

ICA 认证:Istio 技能认证的最新变化和考试准备指南

本文介绍了 ICA 认证的起源和最近的变化,以及考试准备指南。ICA 考试是由 Tetrate 贡献的 CIAT 考试演变而来,为 Istio 技能认证提供了全面的考核。读者将了解考试的背景、考试过程、建议以及参考资料,有助于准备和通过考试。ICA 考试对 Istio 文档的熟悉度至关重要,建议先完成 Tetrate 的 Istio 基础教程。参加考试前应熟悉 PSI 系统和考试环境,保持冷静和专注,以确保顺利通过考试。

后 Serverless 时代的云计算趋势分析

这篇文章主要讨论了未来云计算领域的三大趋势:从基本元素到云构件作为服务的转变、从超大规模到超专业化的转变、以及从基础设施到组合式编程作为服务的转变。作者指出,未来的云服务将更加集成编程构件,使得开发人员能够无缝地使用他们喜欢的编程语言来组合应用程序。文章强调了这些趋势对开发人员和运营团队的影响,并指出了这些变化将如何塑造未来以开发人员为中心的云服务。

如何用 eBPF 改变网络编程的游戏规则

这篇文章介绍了 eBPF 在网络领域的一些应用和实践,包括 XDP、TC 和 sysprobes 三种不同的 eBPF 程序挂载方式的优缺点,以及如何使用 eBPF 实现网络数据的捕获、分析和修改。作者还分享了一些有用的 eBPF 工具和资源,以及自己开发的一个 eBPF 网络代理的项目。

云原生软件的关键用例安全保障之道

云原生软件开发意味着为公有云和私有云的特性优化应用和环境。Chainguard 旨在提供不影响开发者体验的软件供应链安全工具,通过提供最小化、强化的容器镜像,让用户能够准确地扫描漏洞并消除 CVE 警报。本文介绍了 Chainguard Images 为 Istio 和 Cilium 这两个云原生基础技术提供的安全增强方案。

使用 Cilium 实现 Gateway API 指南

这篇文章介绍了如何使用 Cilium 部署和配置 Gateway API,一个新的服务网格 API,用于管理 Kubernetes 中的服务间通信。文章详细说明了 Gateway API 的概念和组件,以及如何使用 Cilium 的特性和工具,实现高效和灵活的路由策略。

HashiCorp 创始人 Mitchell Hashimoto 宣布离职

Mitchell Hashimoto 的离职意味着 HashiCorp 这一领先的云原生工具和解决方案提供商将迎来新的篇章。他在离开之际分享了对过去的回顾和对未来的展望。HashiCorp 社区和生态系统将继续发展壮大,我们期待看到他们在云原生领域取得更多的成功。

Envoy 创始人 Matt Klein 领衔 Bitdrift 创业,推出创新移动可观测性产品并获得 1500 万美元 A 轮融资

Envoy 创始人 Matt Klein 领导的 Bitdrift 宣布推出首款产品 Capture,并完成 1500 万美元 A 轮融资。Capture 旨在革新移动端可观测性,允许动态实时控制遥测数据,大幅提高移动开发者的调试效率。这标志着 Bitdrift 在提升移动和服务器端可观测性方面迈出了重要一步,预示着可观测性生态系统的未来发展方向。

Cilium 的相互认证如何危及安全

这篇文章是关于如何使用 Cilium 来实现 互相认证 (mTLS) 的,以及这种方法可能带来的安全问题。文章介绍了 Cilium 的特点和功能,以及如何使用 Cilium CLI 或 Hubble UI 来创建和管理证书和策略。文章还分析了 Cilium 的互相认证的局限和风险,例如证书过期,撤销,泄露和伪造等。文章的目的是帮助用户了解和使用 Cilium 来提高服务间的安全性。

使用相互 TLS 和 Istio 保护应用程序通信

本文讨论了使用相互 TLS (mTLS) 和 Istio 保护应用程序通信的重要性。mTLS 提供了端到端的安全性,只有源和目标可以解密数据,从而防止中间人攻击。然而,如果源或目标的身份没有加密,可能会出现问题。Istio 中的 mTLS 可以简单地启用,并为每个应用程序 pod 提供身份证书。为了强制执行严格的 mTLS,可以使用 Istio 的 PeerAuthentication 策略和 AuthorizationPolicy。最后,TLS 协议是最广泛审查、专家批准、经过战斗测试的数据安全协议之一,Istio 默认在内网应用程序通信中使用 TLS 1.3 版本。

创业指南

创业指南关键点:快速解雇有毒员工,忽略竞争对手;尽快实现“拉面盈利”;筹资时要有好公司,不要失去节俭精神。

如何在 Docker 容器中运行 GUI 应用程序

本文介绍了如何在 Docker 容器中运行 GUI 应用程序。通过使用 x11docker 应用程序,可以轻松启动带有桌面环境的 GUI 容器,并提供了许多功能,如 GPU 硬件加速、声音、剪贴板共享等。文章还提供了安装 Docker 运行时引擎和 x11docker 的详细步骤,并演示了使用 VLC 媒体播放器在容器中运行 GUI 应用程序的示例。

创建高效 Kubernetes 策略的 7 个步骤

本文介绍了 Kubernetes 策略的七个步骤,包括基线、修复标签和注释、迁移到受限制的 Pod Security 标准、压制误报、加入常见加固指南、插入并播放、添加自定义规则以应对未预料的特殊情况。通过实施这些步骤,可以逐步减少配置错误和漏洞的数量,实现认证、合规和长期安全目标。

Kubernetes 故障排除智慧的演变

本文讨论了在 Kubernetes 故障排除中的两种路径:一种是增强操作员的分析工作,通过自动化和简化对故障排除知识的访问来提供帮助;另一种是将操作员从故障排除中排除,通过使用 AI/ML 模型和可观测性数据来自动化故障修复。同时强调了数据的重要性,以及继续共享故障排除经验和建立对可观测性的一致认识的必要性。

OpenTelemetry Protocol (OTLP) 1.0.0 发布

OpenTelemetry Protocol (OTLP) 1.0.0 已发布,它是 OpenTelemetry 项目中的通用遥测数据传递协议。OpenTelemetry 是一个开源的可观测性框架,提供了一组 API、库、代理和收集器服务,用于捕获分布式跟踪和指标。OTLP 在客户端和服务器之间进行数据交换,定义了一个序列化模式,紧密遵循跟踪、指标和日志的数据模型。

Envoy Gateway 0.4.0 发布:自定义 API 扩展

Envoy Gateway 是一款基于 Envoy 代理和 Kubernetes Gateway API 开发的开源 API 网关,最近发布了 0.4.0 版本。此次发布的版本着重于自定义功能,旨在为最终用户提供更多的用例。在本文中,我们将讨论此版本中可用的新自定义选项及其对用户的重要性。

OSM(Open Service Mesh)项目将停止更新,团队将协力 Istio 服务网格开发

开放服务网格(OSM)宣布停止更新,将与 Istio 社区更加紧密地合作,以加速实现下一代服务网格技术的发展。服务网格社区的发展,如 Kubernetes Gateway API 和 GAMMA,进一步凸显了服务网格在当今云原生栈中的关键重要性和成熟度。OSM 团队将与 Istio 社区合作,包括利用 Kubernetes 的 ClusterTrustBundles 功能增强 Istio 的网格证书管理体验,提出“安全模式”功能方法,改进 Istio 的遥测体验,并与 Istio 新宣布的无 Sidecar 环境网格模式进行合作。

Docker 多平台构建指南:构建 WebAssembly 镜像

本文介绍了 Docker buildx 的多平台构建指南,包括构建器、并行器、缓存管理器和输出器等组件,以及常用的 docker buildx 命令及其用法。同时还介绍了如何管理和维护 Docker buildx 的构建环境,以及构建 WebAssembly 镜像的一般步骤和注意事项。

为什么 Docker 要增加 WebAssembly 运行时?

本文介绍了 Docker 为什么要增加对 WebAssembly 的支持,以及在 Docker 中运行 WebAssembly 应用的优势和方法。WebAssembly 应用相对于 Linux 镜像有更高的性能、可移植性和安全性,适用于边缘计算、云原生应用和微服务等场景。Docker 支持四种 WebAssembly 运行时,分别为 spin、spiderlightning、WasmEdge 和 wasmtime。

Docker 发展史:四个重大举措,影响深远!

在 2017 年的容器编排大战中,Docker 公司失败后沉寂了几年,但近年来又开始频繁行动,例如腾退开源组织账号,支持 WebAssembly 等。本文将回顾 Docker 公司发展过程中的四个重大举措,这些措施深深地影响了 Docker 公司的发展,也对 Docker 甚至 Kubernetes 社区产生了深远的影响。

Istio 中的外部授权过滤器:使用 OPA 实现灵活的授权策略

本文介绍了如何将服务网格和开放策略代理(OPA)结合使用,以实现基于身份的分割的五个策略检查。服务网格为前四项检查提供了执行点,而 OPA 则在第五项中发挥作用。本文还探讨了如何将特定于业务的策略应用于请求,以及如何使用 OIDC 或专用授权基础设施来实现最终用户对资源的授权。

体验过 Google Bard 之后我有些话要说

这篇文章介绍了 Google Bard,它是一个由 Google 开发的生成式 AI 工具,可以与用户合作,帮助他们更有效地思考和创造。文章还比较了 Bing Chat、OpenAI ChatGPT 和 Google Bard 的不同,以及它们对同一个问题的回答。笔者认为必应聊天的回答最好。

Google 开源 Service Weaver——构建和部署分布式应用程序框架

编者按:近日 Google 开源了一个名为 Service Weaver 的开源框架,它可以帮助开发者构建和部署分布式应用程序。Service Weaver 的特点是,它允许开发者以模块化单体的方式编写应用程序,然后使用自定义部署器将其部署为一组微服务。这样,开发者可以在不改变代码的情况下,灵活地调整应用程序的架构和性能。

什么是 Day-2 Operation?

在 IstioCon 2021 上,Istio 社区确定了 2021 年的社区的工作重点是 Day-2 Operation,很多人问我这个词是什么意思。我查了下中文互联网上,没有对这个词的解释,我在网上找到了一些解释,我发现大部分文章的源头都指向了这篇 Defining Day-2 Operations。因此,在此我将问翻译一下,同时再加上一些我自己的见解。

Istio 对虚拟机支持史话

本文将为你介绍 Istio 历史上对虚拟机负载的支持情况,尤其是 Istio 1.8 中引入的智能 DNS 代理及 WorkloadGroup 使得虚拟机与容器在资源抽象层面可以等同视之。我将为你展现一幅 Istio 支持虚拟机的波澜壮阔的奥德赛。

Istio 1.8——用户至上的选择

Istio 信守了年初的承诺,从 1.1 开始,几乎每三个月一个版本,更能体会用户的需求了。此次是 2020 年的最后一个版本,引入了 WorkloadGroup 和 DNS proxy,对如虚拟机的非 Kubernetes 负载的支持更进了一步。

如何在 Istio Service Mesh 中集成虚拟机?

将基于虚拟机的工作负载更好地集成到服务网格中,是 Istio 团队今年的一大重点。Tetrate 还通过其产品 Tetrate Service Bridge 提供了无缝的多云连接、安全性和可观测性,包括针对虚拟机的。本文将带您了解为什么 Istio 需要与虚拟机整合,以及如何整合。

在 Istio 中跟踪 gRPC

本文介绍的是如何在 Istio 中使用 grpc 并设置跟踪(tracing)与 header 传播,包括 gRPC 到 grpc 请求传播 header、gRPC 到 HTTP 请求传播 header、使用 grpc-gateway 时传播 header 等

使用 Envoy 作为前端代理

本文是使用 Envoy 作为前端代理的介绍,仅使用 docker 容器和 docker-compose 做编排在单机中运行,帮助我们从更底层了解 Envoy,当我们将 Envoy 作为 Istio Service Mesh 的 data panel 的时候将更加游刃有余。