​ 其实这个问题已经不是第一次遇到了，而且每次也能预见到以后还会遇到相同的问题，但是就是懒得记下，这次吸取了教训记录下来。

​ Harbor在部署的时候开启TLS需要指定证书的路径，配置文件需要填写 certificate 和 private_key。我是使用的 acme.sh 用于生成证书：

acme.sh --issue -d <domain> --standalone --force

执行成功之后会在对应目录生成 domain.cer 和 domain.key 等多个文件，只需要将文件路径替换到配置里面即可。

在通过浏览器访问地址时是没有问题的，但是我们在使用 docker 命令行登陆时会提示证书错误：

Login did not succeed, error: Error response from daemon: Get "https://<domain>/v2/": tls: failed to verify certificate: x509: certificate signed by unknown authority

这是由于 acme.sh 生成的 domain.cer 文件并没有包含证书链，我们需要将证书链加进去，操作如下：

将 acme.sh 生成的 fullchain.cer 内容复制粘贴到 domain.cer里面，重启 Harbor服务即可

博主服务运行环境为k3s，流量经由阿里云的服务器的80，443端口通过frp穿透到家庭服务器k3s环境的30871和30166端口。由于搭建了safeline防火墙，当防火墙拦截到违规请求的时候会记录客户端的ip，但是显示的全部都是服务器内网ip。解决办法如下：

serverAddr = "<your server ip>"
serverPort = 7000
auth.token = "<your token>"

[[proxies]]
name = "ssh"
type = "tcp"
localIP = "127.0.0.1"
localPort = 22
remotePort = 8000


[[proxies]]
name = "80"
type = "tcp"
localIP = "127.0.0.1"
localPort = 30871
remotePort = 80
transport.proxyProtocolVersion = "v2"

[[proxies]]
name = "443"
type = "tcp"
localIP = "127.0.0.1"
localPort = 30166
remotePort = 443
transport.proxyProtocolVersion = "v2"

[[proxies]]
name = "6443"
type = "tcp"
localIP = "127.0.0.1"
localPort = 6443
remotePort = 6443

在相关 proxies 的配置下方增加 transport.proxyProtocolVersion = "v2"

另外，对应的Nginx需要增加如下配置，以nginx-ingress为例：

allow-snippet-annotations: 'false'
compute-full-forwarded-for: 'true'
forwarded-for-header: X-Forwarded-For
plugins: safeline
use-forwarded-headers: 'true'
use-proxy-protocol: 'true'

该配置是 ingress-nginx-controller 的 configmap

至此，waf记录的ip为客户端的真实公网ip

利用公有云穿透至家庭服务器并对外提供服务

​ 我是一个喜欢折腾的人，但是也仅限于享受折腾的过程，很多时候折腾完了就扔在了一边，也没有记录的习惯。这导致下次再遇到相同问题的时候还需要再次翻资料，所以在发现了shiro之后便有了记录解决问题的习惯。

​ 言归正传，我们都知道公有云的服务器价格都不低，但是配置却一般，不过最吸引人的在于它拥有固定IP以及80和443端口（前提需要备案）。于是乎我们是否可以借助公有云的资源将流量穿透到家庭服务器，答案是可以的。

​ 这次借助的工具是frp.frp分为客户端和服务端，服务端部署在公有云的服务器上，客户端部署在自己的服务器上。我们首选在公有云服务器安装frp，安装过程见官方文档，建议加入systemd，方便启动，我这边只展示相关配置，我在服务端定义配置文件为 frps.toml：

bindPort = 7000
auth.token = "<your token>"

服务端配置很简单，启动之后会占用7000端口。接下来在自己的服务器上同样下载frp，配置文件名称设置为 frpc.toml：

serverAddr = "<your server ip>"
serverPort = 7000
auth.token = "<your token>"

[[proxies]]
name = "ssh"
type = "tcp"
localIP = "127.0.0.1"
localPort = 22
remotePort = 8000


[[proxies]]
name = "80"
type = "tcp"
localIP = "127.0.0.1"
localPort = 30871
remotePort = 80
transport.proxyProtocolVersion = "v2"

[[proxies]]
name = "443"
type = "tcp"
localIP = "127.0.0.1"
localPort = 30166
remotePort = 443
transport.proxyProtocolVersion = "v2"

[[proxies]]
name = "6443"
type = "tcp"
localIP = "127.0.0.1"
localPort = 6443
remotePort = 6443

简单解释下配置文件含义，第一个proxies协议为四层网络协议TCP类型，代表本地服务器和云厂商服务器通过8000端口穿透，即访问远端服务器的8000端口时，会代理到本地服务器的22端口，所以在使用ssh命令连接远端服务器的8000端口时，会自动连接到家庭服务器的ssh。以下三个proxies配置同理。

我在80和443的proxies上增加了一行transport.proxyProtocolVersion = "v2"，这个目的是为了让经过穿透后的请求到达后端时，依旧能识别出remote ip。因为我我的本地服务是个k3s集群，由ingress-nginx作为网关，safeline作为防火墙，加上这行配置可以让safeline识别到远端的真实ip。后面有机会单独写一篇文章描述下相关配置。

​ 我比较喜欢也习惯在k8s环境下搭建一些长期使用的系统，即使是本人的私有服务器也是建立在k3s基座之上的。通过argocd管理和发布一些应用，非常方便，但是得做很多的前置工作，比如镜像构建和helm封装等。我在使用argocd的时候遇到了一些问题，一个是通过ingress访问argocd-server的时候会有报错，还有一个是argocd对ingress的health check有一些问题。

1.解决ingress访问argocd-server报错

我们只需要修改argocd-server的delpoyment的启动参数，增加一行 --insecure，重新启动即可

args:
  - /usr/local/bin/argocd-server
  - '--insecure'
  - '--port=8080'
  - '--metrics-port=8083'

2.解决ingress建行检查

修改 argocd-cm 配置，增加一行配置：

resource.customizations: |
  networking.k8s.io/Ingress:
      health.lua: |
        hs = {}
        hs.status = "Healthy"
        return hs

以上，即可解决argocd安装问题

1.背景

​ 偶然看到了某位开发者的博客网站，一眼看去非常清爽且交互非常友好，经过查找发现是 shiro。在大多数博文类型的网站采用纯前端方式的今天，前后端分离的方式倒是让我觉得挺新奇。其实很多次都有锅建设一个博客之类的网站，用于记录平时开发中的一些困难，亦或者一些小技巧什么的，但很多时候问题解决之后就会丢在一边，以至于后面再次遇到了又得重新查找相关资料，而且还不止一次，相信很多人都有相同的经历吧，哈哈。 初见shiro花了点时间了解了它的架构和部署方式，目前官方的部署方式是基于docker compose，奈何我个人习惯于在k8s下部署，于是花了点时间进行了一些改造，并创建了helm便于部署

2.部署mx-server

helm repo add nisainan https://nisainan.github.io/helm-charts

helm install mx-server nisainan/mx-server -n shiro --create-namespace

注：mx-server依赖mongodb和redis，请自行提前安装，或者参考如下命令行安装

helm repo add bitnami https://charts.bitnami.com/bitnami

helm install mongodb --set useStatefulSet=true --set auth.enbaled=false bitnami/mongodb -n mongodb --create-namespace

helm install redis --set auth.enabled=false --set replica.replicaCount=0 bitnami/redis -n redis --create-namespace

那么，env的设置如下：

...
DB_HOST : mongodb.mongodb
NODE_ENV : production
REDIS_HOST : redis-master.redis
...

至于ingress的配置不做赘述，helm结构完全依照于helm create命令所生成的配置文件，示例如下：

ingress:
  enabled: true
  ingressClassName: nginx
  annotations:
    cert-manager.io/cluster-issuer: nginx-cert
    kubernetes.io/tls-acme: 'true'
  hosts:
    - mixapi.kolex.com.cn
  tls:
    - hosts:
        - mixapi.kolex.com.cn
      secretName: mixapi.kolex.com.cn-tls

至此，mx-server安装成功

3.部署shiro

我将shiro也封装了helm，安装命令如下：

helm repo add nisainan https://nisainan.github.io/helm-charts

helm install shiro nisainan/shiro -n shiro --create-namespace

注：请自行修改values的值以适配自身服务

至此，前后端全部安装完成