8 月 22 2024

更換 SSL 憑證與 DNSSEC 演算法

近期處理一些網站 SSL 憑證與 DNSSEC 相關的事,寫這篇留點紀錄供日後參考…

原先的 SSL 憑證幾乎都是透過 certbot 取得 (參考:用 certbot 取用 Let’s Encrypt 的 certificates);在 ECDSA certificates by default and other upcoming changes in Certbot 2.0 能看到其預設的演算法已從 RSA 變更成 ECDSA,但… 早期取得憑證時產生的設定檔仍須自己做更改。

設定檔都在 /etc/letsencrypt/renewal 目錄裡面,調整後的參數如下:

...
[renewalparams]
...
key_type = ecdsa
# default: secp256r1
#elliptic-curve = secp384r1
...

在準備更換 SSL 憑證時,恰巧看到 RFC 8624 – Algorithm Implementation Requirements and Usage Guidance for DNSSEC,就順便處理 DNSSEC 的事。


依據 3.1 節的說明,ED25519 是最佳選擇,其次就是 ECDSAP384SHA384 或 ED448;選擇演算法前,必須先看看域名註冊商提供的設定項。

以 ED25519 為例,我的操作流程如下:

  1. 先產生金鑰 (第一行指令產生 ZSK,第二行指令產生 KSK)
    # dnssec-keygen -a ED25519 ##DOMAIN##.tw
# dnssec-keygen -f KSK -a ED25519 ##DOMAIN##.tw
  2. 把 K##DOMAIN##.tw.+015+##ID##.key 的內容提供給域名註冊商;若域名註冊商需要的是 DS record,可先透過下述指令取得:
    # dnssec-dsfromkey K##DOMAIN##.tw.+015+##ID##.key
  3. 把舊的 ZSK 跟 KSK 檔案刪除
  4. 修改域名的 searial
  5. 重新啟動 DNS service

過一段時間後,可以透過一些線上工具作驗證,像是 DNSViz | A DNS visualization tool

By 0 • Tags: , , , ,

6 月 3 2024

Raspberry Pi 5 的 PCIe ( Gen2 vs Gen3 )

之前測完 Raspberry Pi 5 的 PCIe 之後,便丟了些東西讓它跑,順便觀察其在室溫的運作狀況。

搭配 Argon NEO 5 M.2 NVME PCIE Case for Raspberry Pi 5 的運作狀況: CPU 均溫約攝氏 60 度 (風扇轉速約 3500 RPM,挺安靜)、Intel 760p SSD 約攝氏 30 度。

但我發現其 PCIe 規格是可以用 Gen3 運作的,便又好奇測試看看。

預設的模式是 Gen2 (LnkCap 是其匯流排能力,LnkSta 是目前運作的匯流排模式):

fio 測試循序讀取,iops 約 97.9k,傳輸約 383MB/s。

改用 PCIe Gen3:

fio 測試循序讀取,iops 約 141k,傳輸約 551MB/s。

與 Gen2 相比,大約是 50% 的性能提昇;但隨機讀寫的效能提昇幅度不大,Gen3 的 iops 約 54.5k,傳輸約 213MB/s。

我曾讓它改用 PCIe Gen3,但擺著不到一天,它就失聯了…
最後乖乖改回來…

By 0 • Tags: , , , , , ,

5 月 22 2024

測試 Raspberry Pi 5 的 PCIe

之前測過 Raspberry Pi 4B 的儲存裝置 (測試紀錄),但對結果不甚滿意,而且… 我發現 USB boot 不算好搞(它常常失靈)。看到 Raspberry Pi 5 內建 PCIe 插槽真的讓我躍躍欲試,自它面世後,偶爾心血來潮就會找一下 Raspberry Pi 5 的 PCIe <-> NVMe 相關套件;前陣子看到 Argon NEO 5 M.2 NVME PCIE Case for Raspberry Pi 5 實測影片,決定買來玩玩…

Argon NEO 5 M.2 NVME PCIE Case for Raspberry Pi 5 分拆後的結構如下圖,裡面附了兩條 PCIe 排線(其中一條算是備品)、兩塊晶片導熱片,M.2 NVMe 安裝處還有另外一片導熱片。

搭配一起作測試的是 SSD 是 Intel 760p,合照如下:

目前 Raspberry Pi 5 預設出廠的 EEPROM 沒讓 NVMe 參與開機,要刷韌體;我選擇用官方工具刷。

相關資訊:

測試一樣是用 fio ,只是把 size 擴增(原本的參數幾乎是瞬間就完成了):

-iodepth=128 -ioengine=libaio -bs=4k \
--runtime=300 --size=10G \
--direct=1 --rw=randrw

結果:iops 約 47.4k,傳輸約 185MB/s。

感覺可以放一些東西進去讓它跑,然後插一張高耐寫的 MicroSD 作備份…

By 1 • Tags: , , , , , , , ,

6 月 5 2023

在 NAS 測試 SATA SSD

自己在家裡用的 NAS 能跑 VM(透過 QEMU),也能跑 Docker 容器,所以自己的一些玩具機便被我丟進 NAS 裡。

NAS 裡面的 VM、容器運作的挺穩定,但 Disk I/O 效能遠不能跟 VPS 相比;某天突然想試試在 NAS 放 SSD,便買了這兩個東西來用…

放進 NAS 之後,用 fio 簡單作測試,參數:

-iodepth=128 -ioengine=libaio -bs=4k \
--runtime=300 --size=500M \
--direct=1 --rw=randrw

測試結果如下:

SATA HDDSATA SSD
NAS Read IOPS: 2117 B/W: 8472KB/s
Write IOPS: 2107 B/W: 8429KB/s
 Read IOPS: 12.7k B/W: 49.6MB/s
Write IOPS: 12.6k B/W: 49.3MB/s
VM Read IOPS: 1106 B/W: 4426KB/s
Write IOPS: 1100 B/W: 4404KB/s
 Read IOPS: 7266k B/W: 28.4MB/s
Write IOPS: 7229k B/W: 28.2MB/s
容器 Read IOPS: 1972 B/W: 7891KB/s
Write IOPS: 1962 B/W: 7851KB/s
 Read IOPS: 10.0k B/W: 41.1MB/s
Write IOPS: 9972 B/W: 39.0MB/s

By 0 • Tags: , , , , ,

5 月 14 2023

Percona XtraBackup 8.0.32 released

其實 Percona XtraBackup 8.0.32 最初在 2023 年 2 月就有釋出,只是一直在忙,就沒寫 blog;最近處理了幾台 MySQL server,順道提一下…

特別寫這篇是因為 8.0.32-25 的 release note 有這段(我認為它很重要):

簡單說… 就是:「若 MySQL server 的版本已更新為 8.0.32,又使用 Percona XtraBackup 作備份,請搭配 8.0.32-25 版」

主因如下…
MySQL server 自 8.0.29 之後支援以下這組語法,若沒指定 ALGORITHM,預設就會是 INSTANT:

ALTER TABLE ... DROP COLUMN ... , ALGORITHM=INSTANT;

(ADD COLUMN 自 8.0.12 就開始支援,也成為預設;兩者在未調整前的預設 ALGORITHM 都是 INPLACE)

這樣的調整導致 Percona XtraBackup 在做備份時出錯,於是便有了 Percona XtraBackup 8.0.29 and INSTANT ADD/DROP Columns 這篇文章;我在留言處有留下解決方式(用 pt-online-schema-change)。

目前 MySQL server 的最新版本是 8.0.33,而 Percona XtraBackup 則是 8.0.32-26;目前這樣的搭配運作正常。

By 0 • Tags: , ,

9 月 2 2022

幫 Apache Tomcat 7/9 上 HTTPS

近日敝單位踩到 HSTS 的地雷,於是就著手解決問題…

先說地雷的引爆點: 新上線 example.com 這網站給了 “strict-transport-security: max-age=31536000; includeSubDomains” 這組 HTTP header,使得原本透過 Apache Tomcat 提供服務的 http://system.example.com.tw:8080/ 網頁瀏覽異常;因瀏覽器參照 HSTS 後,只把 “http://” 改為 “https://” ,瀏覽器不知道應該同步修改連接埠號(port 8080)。

因為這幾台伺服器的網頁服務僅使用 Apache Tomcat,沒有 Apache HTTPDnginx 等其他軟體佔用 port 80 與 443,用 iptables 作 port redirection 就可以擺平,調整的方式會比較簡單。

需要作的事的大概就這些:

  • 取得 SSL certificates,並確認 renew 的時候可重新啟動 Apache Tomcat
  • 安裝 Tomcat Native
  • 調整 Tomcat 的 server.xml
  • 調整 iptables rules

Apache Tomcat 7 的 server.xml 用這段(某些參數視狀況調整):

<Connector port="8443" protocol="org.apache.coyote.http11.Http11AprProtocol"
           maxThreads="200" SSLEnabled="true"
           SSLCertificateFile="/etc/letsencrypt/live/example.com/cert.pem"
           SSLCertificateKeyFile="/etc/letsencrypt/live/example.com/privkey.pem"
           SSLCACertificateFile="/etc/letsencrypt/live/example.com/chain.pem" />

Apache Tomcat 9 的 server.xml 用這段(某些參數視狀況調整),支援 HTTP/2:

<Connector port="8443" protocol="org.apache.coyote.http11.Http11AprProtocol"
           maxThreads="200" SSLEnabled="true" >
  <UpgradeProtocol className="org.apache.coyote.http2.Http2Protocol" />
  <SSLHostConfig>
    <Certificate certificateKeyFile="/etc/letsencrypt/live/example.com/privkey.pem"
                 certificateFile="/etc/letsencrypt/live/example.com/cert.pem"
                 certificateChainFile="/etc/letsencrypt/live/example.com/chain.pem"
                 type="RSA" />
  </SSLHostConfig>
</Connector>

iptables rules 增加以下這兩條:

/sbin/iptables -t nat -A PREROUTING -p tcp --dport 80 -j REDIRECT --to-port 8080
/sbin/iptables -t nat -A PREROUTING -p tcp --dport 443 -j REDIRECT --to-port 8443

By 0 • Tags: , , , ,

11 月 29 2021

MySQL 8.0.26 與 8.0.27

MySQL 8.0.27 GA 好一陣子了,手邊的一些 server 在升級時作了點調整,只是這幾天才想到要作些紀錄…

首先是 8.0.25 升版 8.0.26:

我在升版過程看到的 log messages 像這樣:

8.0.26 升版 8.0.27 則是調整了 authentication 設定變數(Ref. Changes in MySQL 8.0.27 (2021-10-19, General Availability) : Functionality Added or Changed),調整方式可以參考這段文件說明

除了 master / slave 字詞以外,設定檔變動範圍大致如下:

tls_version                     = TLSv1.2
#default_authentication_plugin  = mysql_native_password
authentication_policy           = mysql_native_password,,

By 0 • Tags:

8 月 7 2021

Oracle Cloud Free Tier

前陣子看到 Oracle Cloud Free Tier ,網頁說下圖這些服務是永遠免費的,便註冊了一個帳號試玩看看…

參閱這個頁面的說明之後,我建立了一個 Compute VM instance 跟一塊 Block Storage 作些簡單的測試。

免費的服務當然有些代價,與其他 VPS 付費建立的 instance 相比,差別最大的是 Disk I/O;Oracle Cloud Free Tier 提供的硬體應該是 HDD,不是 SSD。

這圖是 Oracle Cloud Free Tier 的 sysbench 測試結果:

Vultr 的付費 VM instance 配置 SSD ,測試結果如下:

感覺 Oracle Cloud Free Tier 的永遠免費資源在學習、測試的用途上是足夠的,但架設網站應該是不太行。
我個人是把 Compute VM instance 用作 MySQL replica,並掛載 Block Storage 作為 MySQL 的資料目錄,定時作 btrfs snapshot。

By 0 • Tags: , ,

6 月 8 2021

Percona XtraBackup 8.0.25-17.0 released

之前寫 MySQL 8.0.23 released 是 1 月的事,但 Percona XtraBackup 在兩個月後(3 月)才釋出 8.0.23-16.0;接著 MySQL 在 2021-04-20 釋出 8.0.24,2021-05-11 釋出 8.0.25 ,所以 Percona XtraBackup 的版本編號就直接跳上 8.0.25-17.0 了…

這個版本比較特別的是權限調整,需要額外賦予 performance_schema.keyring_component_status 這個 TABLE 的 SELECT 權限,如下圖標示處。

(參照:Percona XtraBackup – Documentation : Connection and Privileges Needed

P.S. 在 Github 也可以看到紀錄: PXB-2490 xtrabackup privileges update (8.0)

By 0 • Tags: ,

1 月 19 2021

MySQL 8.0.23 released

剛看到 MySQL 8.0.23 的 release note ,便挑了台機器試試。

先談測試結果:建議 PXB(Percona XtraBackup) 的使用者先等待新版釋出再一併作升版。
原因如下:

  • PXB 自 8.0.22 開始會檢查 MySQL server 版本,沒加上 –no-server-version-check 這參數會卡住。
  • 我在 PXB 的 prepare 階段看到 “Unknown error 3611” 。

2020 年資訊/軟體界在談論 master / slave 與 blacklist / whitelist 這類可被聯想成「歧視」的字眼,而 MySQL 也開始作調整了…

8.0.22 版開始調整 “SLAVE” 字眼(Ref. MySQL 8.0.22 的 release note):

新釋出的 8.0.23 調整 “MASTER” 與 “blacklist” 字眼:

另外,參照這頁,MySQL 8.0.23 的資料庫帳號 host 欄位開始支援 CIDR 格式。

By 1 • Tags: , , ,

1 2 3 4»