Home on wd and cc

聊聊 AWS SSO auth 的 token 管理

Fri, 09 Jan 2026 16:27:32 -0800

最近使用 Golang 重构了一个使用 python 写的和 aws 认证的项目。研究了一下 AWS 这个 SSO 是怎么回事，记录一下。

我们去年迁移到了 AWS identity center，通过 okta 来做 auth。okta 登录之后会根据用户所在 okta group 分配适当的权限。web 使用比较简单，这里主要说 cli 的使用。

Use Golang to Generate Eks Token

Sun, 02 Nov 2025 20:08:14 -0800

在研究 kubeconfig 配置文件的时候，看到如果使用 aws 命令来生成 token 的话，就需要传递 cluster name 和 region 给到 aws 命令。这样就相等于每个集群都配置一个相应的命令，感觉有点傻好像。

研究的过程中发现 kubeconfig 的配置里面有一个 KUBERNETES_EXEC_INFO 这样的变量，可以携带 cluster 中的配置给到执行的命令。这样好像就有可能使用这个特性来简化命令的配置了。

Aggregated Role in Kubernetes

Mon, 15 Sep 2025 13:02:30 -0700

k8s 里面授权一般是通过创建一个 role/clusterrole 然后通过 rolebinding/clusterrolebinding 这些和 service account 绑定。

之前有一次需要研究为啥用户拥有我们没有显式赋予的权限的时候，发现了

Company and Team Culture

Mon, 18 Aug 2025 14:28:52 -0700

我记得很多年前，头一次听说“公司文化”这个词的时候有点不明白是什么意思。这和我第一次听说价值观不理解什么意思一样。但是这么多年之后，我现在逐渐认识到公司文化和价值观的重要性。

公司文化通常指的是一个公司对待一些事情的通常的态度。例如常见的 996 是有些公司的文化，那么这些公司里面一个人工作到晚上 9 点下班大家就一点都不会奇怪，大家安排工作默认就会按照晚上 9 点你还会在公司来安排，如果你不在公司可能还会有人奇怪。公司文化就是深入公司每个人内心对一些事情的看法。这些事情还有可能是对外的，比如对待供应商是否允许有同情心这些等等。

Istio Multi Cluster

Thu, 07 Aug 2025 18:39:44 -0700

istio 对于多集群的支持方式有很多不同的方式。取决于组网模式，controlplane 模式。可以参考这篇文章理解具体不同。

single or multiple cluster
single or multiple network
single or multiple control plane
single or multiple mesh

网络模式，主要是关注集群之间是否可以直接连接。主要是指多个集群之间的 pod 是否可以直接互相访问。这主要是考虑是否用了 VPC-cni。例如 EKS 里面使用 vpc-cni 之后 pod 获取的 ip 和节点获取的 ip 是同一个子网的。只要是在一个互相做了连接的 vpc 中就可以互相访问。如果集群间 pod 可以互联，那就是 single network。如果不能互联，那就是 multiple network。

In the US

Tue, 17 Jun 2025 08:30:20 -0700

2025.1 举家 relocate 到了美国。到现在快半年了。记录一下这边的见闻。

很多东西都比较大

刚来的时候租车特意没选特别大的那种车，因为怕停车什么的不方便。结果出去几次就发现，他们这边的车位都奇大一个，甚至都不用倒车入库，直接头就可以进去，因为地方很大。他们这里驾照考试也没有要求说需要会倒车入库。我比较怀疑很多人可能根本就不会倒车入库。我开一个 suv，在路上有时候还会遇到那种高出我的车好多的车。这样的车都可以正常停车。

Gentoo

Fri, 27 Dec 2024 08:22:19 +0800

好久没有玩 Linux 桌面了，上次感觉还是10几年前。最近弄了一个 IBM thinkpad x1 carbon，非常轻薄，对 Linux 的支持也不错。这几天折腾了一下，安装一个 Gentoo。

安装之前我其实使用 LiveUSB 尝试了好几个系统。甚至还安装一个 manjaro 看了一下 wayland 的支持。我当时测试 Ubuntu 的时候，发现合盖之后一晚上居然消耗不到 10% 的电感觉很惊讶。就决定把 Windows 彻底干掉了。

Slow Is Fast 慢就是快

Sun, 01 Dec 2024 19:37:35 +0800

小步快跑

小步快跑是最近一些年流传的比较广的一种理论。大致是说要快速迭代，在市场里面快速测试想法可行性，不行就换方向重新迭代。这个乍一听似乎没问题，天下武功唯快不破。你速度够快才能在别人还没有动作的时候早日抢占市场，抢占用户。但是真的是这样吗？实际上一个产品最终如何，通常都不是抢占的那点先机决定的。要经受住市场考验，用户才会真的有黏性。而为了抢占先机做出来的功能，通常会不完善，功能不完整等等，导致前期培养的一些黏性用户失望而离开。反而可能你的竞争对手认真的学习并 copy 之后，功能做的扎实完善，吸引了用户。在我看来，小步快跑正是一些无能的领导们想出来的东西。因为他们心中对全局也没有很好的思路，并不知道下一步的战略应该在哪个方向。所以就让大家小步快跑，不停试错。但是这样时间必然会浪费一些，那么带来的后果就是大家加班严重。我之前体验过任何功能定好了今晚上线，就必须今晚上线的公司。即使 QA 工程师测试的时候发现产品文档写的不清不楚，也一定需要上线。最后的结果就是，QA 加开发工程师和产品经理一起在最后一刻打磨功能，大家一起加班。而这个功能上线之后，还有下一个功能等着，结果就是无穷尽的加班。半年之后回顾的时候，会发现大家忙乎了大半年，产品做的好不好不一定，反正班加了不少，每个人都很忙碌。

Resolve Dependency Issue for a Simple Java Program

Sat, 31 Aug 2024 09:58:48 +0800

最近需要把一个服务从对 Envoy 的依赖迁移到 Nginx。我们大都是 GRPC 请求，所以需要代码对 http2 + ssl 做支持。

GRPC 是基于 h2 的，当使用 Envoy 的时候，代码都是发 h2c 的情况给本地的 envoy。这个过程没有 ssl 握手。而 Nginx 不支持 h2c 的支持，必须处理 ssl 握手。我们的服务都是在 Nginx 后面的，Nginx 层面也做了会多 Virtual Host 的配置，所以需要通过 Host 来做匹配，这个 Host 也必须得正确，要不然就是会匹配到 default 的 server，无非是得到一个 404。

Open Decision Making

Sun, 14 Jul 2024 20:12:34 +0800

最近读了一篇文章（论文），关于如何通过群里智慧来做决策的。网址在这里 https://web.stanford.edu/~ouster/cgi-bin/decisions.php。作者是斯坦福大学的一个教授。下面是我自己做的一些笔记。

我们会遇到很多需要做决定的情况：

technical decisions about how to build products
personnel decisions about whom to hire
business decisions about how to market and sell our products
strategic decisions about company direction and financing
and many others.

对于有些决定比较满意，有些对过程和结果都不满意。所以作者根据自己经验给出来了一套框架来让你持续高效的做出好的决定，能让执行的人愿意去执行他。

How to Improve Sleep Quality

Wed, 20 Dec 2023 09:02:00 +0800

在之前公司的时候，满脑子都是工作，所以经常性的半夜3，4点醒来然后就睡不着了。醒来比较常做的事情就是刷手机，希望能把自己刷睡着，但是往往事与愿违。越刷越睡不着。也尝试过褪黑素啥的，还别说好像是有点用。经过这几年的摸索，我感觉我好像摸索出来一点道道。

Dns Query

Sun, 13 Aug 2023 19:19:34 +0800

总结一个前段时间遇到的问题。当时的现象是 Nginx 报错误说 dns 有问题，不能正常处理一个域名（我们的 upstream 配置的是域名。）

但是我使用 dig 测试总是可以成功的，看了下好像应该有的进程也都在，就有点摸不着头脑。后来另一个同事使用 nslookup 可以复现 dns 查询问题，然后发现是本机的一个 dns 服务对于 TCP 的端口的监听消失了。现在问题和原因都知道了，然后我就很好奇为啥我自己 dig 测试就没测试出来问题呢？

Setup Tproxy on Router

Sun, 28 May 2023 12:00:46 +0800

使用了一段时间的 wireguard 之后，使用的时候时不时总是会断一会，我感觉体验不是很好。所以想换回使用 v2ray 了。当然 wireguard 还是继续作为国内回家使用。和国外的 tunnel 就换 v2ray 了。

首先需要做的就是调整原来的那套方案里面的出国线路。

把 ipset/dnsmasq/iptables 相关的配置删掉。
把 hotplug 里面关于 ip rule add fwmark 的部分删掉。相关 route 还是需要留着，因为我还需要在家之外的网络连回家。
吧 wireguard 里面和 VPS 的连接也去掉。

这一顿操作之后，出国应该就挂了。接下来就配置透明代理。

Use Rime Again

Thu, 06 Apr 2023 10:04:20 +0800

Updates: 已经放弃了。感觉没有自带输入法流畅。 Updates2: 尝试了 oh-my-rime 之后，我就一直用着了，这里面应该也集成了雾凇的一些东西，已经用了感觉得有一年了，感觉非常好用。

以前用过很久的 rime，但是后来换了原生输入法，因为现在原生输入法也很好用。最近这个雾凇拼音很火，就又尝试了一下 rime。这个确实也还不错的样子。

Howto Build an Old Golang Project

Wed, 05 Apr 2023 17:29:47 +0800

我开始使用 golang 的时候，就已经进入了 go mod 时代了。这个时候就不用和 GOPATH 做斗争了。所以对于 GOPATH 时代的项目没啥经验。

最近需要 debug 一个 consul 的古老版本 v1.2.4，项目显示支持 go 1.10+。这一定不能是支持 go mod 的版本了，我查了一下 GOPATH 似乎是在 1.17 正式 deprecate 的。所以似乎理论上 1.10 - 1.16 的版本都可以。

Make DNS Service in K8s Stable

Wed, 23 Nov 2022 19:51:18 +0800

我们用的 k8s 是通过 rancher 管理的。rancher 又是使用 rke 这个 engine 来创建集群的。我们使用的 CNI 是 calico，DNS 是 coredns。按说 DNS 服务是核心服务，如果这个玩意不稳定或者有问题，那么整个集群都不安宁。coredns 按说挺有名气来，按说没问题。。吧？

Use Emacs in terminal

Tue, 22 Nov 2022 20:45:39 +0800

I usually use the Emacs GUI to manage and edit files for each project. The GUI version looks great and works great.

However, I have to use Vim in the terminal since it starts much faster than Emacs. I have tried with Emacs daemon in the past, but I met some weird issues when connecting GUI Emacs to the daemon. Some of the function does not work very well.

I used the combination of Vim and Emacs for a very long time until yesterday. I realized why I don't use Emacs daemon in the terminal while using Emacs GUI without the daemon.

Use Kubeconform to Validate Manifests Locally

Sat, 29 Oct 2022 17:58:39 +0800

kubeconform is a tool that allows us to validate Kubernetes manifests.

Retrieve open API specification from Kubernetes

Use this command to retrieve the open API specifications from Kubernetes.

1k get --raw '/openapi/v2' > /tmp/specs.json

Generate JSON schema file

Use openapi2jsonschema to generate the JSON schemas.

 1$ python openapi2jsonschema/command.py -o /tmp/json-schemas/v1.20.11-standalone-strict \
 2--kubernetes --stand-alone \
 3--expanded --strict \
 4/tmp/specs.json
 5
 6Downloading schema
 7Parsing schema
 8Generating shared definitions
 9Generating individual schemas
10Processing alertmanager-monitoring-v1
11Generating alertmanager-monitoring-v1.json
12Processing alertmanagerlist-monitoring-v1
13Generating alertmanagerlist-monitoring-v1.json
14Processing prometheus-monitoring-v1
15Generating prometheus-monitoring-v1.json
16Processing prometheuslist-monitoring-v1
17....
18Processing networksetlist-crd-v1
19Generating networksetlist-crd-v1.json
20Generating schema for all types

The command will report some errors like the one below which is fine since the tool does not support `customresourcedefinition`.

Webhooks in Kubernetes

Sun, 28 Aug 2022 09:38:59 +0800

Kubernetes allows us to hook on API request chain to do some specific checks or modifies.

Kubernetes API access control

There are two types of control. One is to control which user(token, group) is allowed to access, the other one is to control which resource a user could access. The kube-apiserver has two arguments to allow users to define that.

Authentication: –authentication-token-webhook-config-file
Authorization: –authorization-webhook-config-file

Admission webhook

Here is the definition about what admission webhook could do.

Admission webhooks are HTTP callbacks that receive admission requests and do something with them. You can define two types of admission webhooks, validating admission webhook and mutating admission webhook. Mutating admission webhooks are invoked first, and can modify objects sent to the API server to enforce custom defaults. After all object modifications are complete, and after the incoming object is validated by the API server, validating admission webhooks are invoked and can reject requests to enforce custom policies.

Debugging Iptables

Fri, 15 Apr 2022 14:30:46 +0800

iptables 是个很有用的工具。可以可以方便的操纵包的走向，作为 ops 不可避免的需要了解如何 debug 一些问题。

首先肯定是需要对 iptables 的包在各个 table 和 chain 的走向需要有了解。这个随便一搜就有很多的图片，不过各个图可能还是有些许差别，另外有些理解起来没那么好懂。不过想要了解 iptables 还是需要硬着头皮去看看。

妞妞再见

Wed, 30 Mar 2022 18:35:22 +0800

妞妞是我和老婆养的一只猫，前几天永远的离开了我们。享年将近 19 岁，算是大龄猫了。她比毛毛还大一岁，不过毛毛早几年就走了。

妞妞是在毛毛之后来到我们家的，当时想的是再找一只给毛毛作伴，避免一只猫太孤单。妞妞是我老婆从淘宝领养的（你没看错就是淘宝，当时有人会把猫图片放上去等领养）。当时看图片的时候，是被妞妞忧郁的眼神吸引的。原生家庭特别好，原主人家里有钱，我记得应该是银行工作的。当时家里很多只猫，还有专门的阁楼阳光房给猫。因为猫有点多，所以想送人几只。我们去领养的时候，人家还送了很多东西给我们。一点也不像现在的一些领养，各种要求。

Year in Review 2021

Mon, 03 Jan 2022 15:08:31 +0800

2021 年结束了，照例来总结下。

Family

幼幼越长越大了，1 岁生日的时候带着去了一趟澳门，那是唯一一个算是出国又不需要隔离的地区。不过即使这样，我的健康码回来之后有几天显示无法展示状态。。然后联系各种部门都无法解决。后来自己好了。。

Expand Yourself

Sun, 26 Dec 2021 11:09:15 +0800

刚开始工作的时候，一个常见的话题就是自己遇到领导或者老板好不好。什么是好领导或者好老板呢？平时什么都不管你，你想干什么就干什么这种？还是你做的任何事情都过问，细节也不放过，对你做的这些都要把控？也可能是上面两种的综合？

Add Monitor Graphs to Openwrt

Sat, 11 Dec 2021 19:38:12 +0800

According to the docs here https://openwrt.org/docs/guide-user/luci/luci_app_statistics, OpenWrt supports us using the Collectd to collect metrics and the Rrdtool draw the graph later.

Install

1opkg update
2opkg install luci-app-statistics

We can run the command opkg list | grep collectd-mod to see what mertics we can collect. I have installed these modules

 1collectd-mod-cpu
 2collectd-mod-curl
 3collectd-mod-dns
 4collectd-mod-exec
 5collectd-mod-interface
 6collectd-mod-iwinfo
 7collectd-mod-load
 8collectd-mod-memory
 9collectd-mod-network
10collectd-mod-ping
11collectd-mod-rrdtool
12collectd-mod-thermal

Most of the plugins work out of the box, such as the cpu one. And some of them need some configurations on the UI, such as the curl one. You have to tell the plugin the URL you want to monitor.

DNS Request in Alpine Image

Thu, 25 Nov 2021 20:15:39 +0800

Alpine 镜像可以带来很小的镜像体积，所以大家比较热衷于使用这个镜像做基础镜像。但是实际上因为一些系统库是阉割版本，可能会导致一些意想不到的问题。例如这里想说的 DNS 的问题。

有一个同事报告说在他们的应用的 container 里面使用 curl 请求一个网址的时候，有一定概率会收到 Could not resolve host: 这个错误，但是也有一定概率会成功返回 200。同时在同一个 pod 的一个 sidecar container 里面使用 curl 访问相同的网址就没问题，总是会返回 200。

Setup Policy Route on Openwrt X86 With Wireguard

Sat, 06 Nov 2021 15:07:32 +0800

刷系统

选择 image，我用的是 x86_64 的硬件。如果你不确定，可以选择 generic 的试试看，如果你能用 64 的，启动的时候提示你用 64 位的性能更好。

然后需要选择不同的包，主要是在下面两个里面选。

squashfs-combined：类似传统路由器，可以任意重置路由器。但是磁盘大小也是固定大小。
ext4-combined：磁盘可以 resize，如果你有超过 50G 的磁盘，都想要在路由器里面用，那就选这个。否则上面那个更好，毕竟有问题的时候重置很方便。这个恐怕只能重新刷系统了，麻烦多了。

准备两个 u 盘。如果你能有一个 u 盘可以启动加存放那个 img 那就更好了。

An Incomplete List of Skills Senior Engineers Need Beyond Coding

Sat, 25 Sep 2021 17:37:11 +0800

看到一篇文章，An incomplete list of skills senior engineers need, beyond coding, 感觉挺有意思，本来想要翻译的，结果发现已经有人翻译了，直接贴这里好了。。

翻译参考了: https://kanchengzxdfgcv.blogspot.com/2021/07/incomplete-list-of-skills-senior.html

How to run a meeting, and no, being the person who talks the most in the meeting is not the same thing as running it

> 知道如何主持会议。要注意成为会议里面说的最多的那个人并不同于主持会议。

Limit and Request in Kubernetes

Sun, 01 Aug 2021 17:28:00 +0800

程序跑在 K8s 里面的时候，特别要注意的是设置正确的 Request 和 limit。其中 Request 是 guaranteed 的资源是下限，如果节点上面不能给你保证这个资源，那么 pod 是不会调度上去的。而 Limit 是 burstable 资源，这部分资源有时候是会需要和节点上面其他程序竞争的。对于 CPU 来说，如果产生了竞争，那会遇到比较严重的 throttle，对于内存，那可能就会遇到 OOM kill 了。这些内容很容易查到资料，不多说了。

Local Persistent Volume vs HostPath

Sun, 28 Feb 2021 14:52:23 +0800

Kubernetes 可以用 Local persistent volume 来使用本机的磁盘。那和 hostPath volume 有啥区别呢？这篇文档有说明，大致翻译下。

一般来说 Persistent volume 都是通过远程文件系统实现的。远程文件系统可以不依赖 kubernetes 节点而保存数据。但是远程文件系统往往不能提供本地文件系统一样的性能。

为了能更好的理解 Local Persistent Volume，有必要把它和 HostPath volume 比较下。HostPath volume 是挂载主机的一个文件或者目录到 pod。类似的 Local Persistent Volume 是挂载主机的一块磁盘或者分区到一个 pod。

Upgrade Yourself

Sun, 21 Feb 2021 10:37:37 +0800

前几年一直在做管理，之前写过一篇成长。最近开始做独立开发者，感觉可能前面忽视了一些东西。这里补充总结下。

对于各方面能力都很强的人来说，做管理人员可以让他成就更大的事情。毕竟一个人精力有限，即使很多方面都精通也没法说 7x24 把这些方面的事情都安排的妥妥当当的，这个时候必定会需要代理给别人，那就是组建团队和做所谓的管理了。