OpenNJet支持FTP/FTPS反向代理(PASV被动模式)
NGINX 向云原生演进,All in OpenNJet
1. FTP/FTPS协议知识
FTP rfc959:
https://www.rfc-editor.org/rfc/inline-errata/rfc959.html
FTPS rfc2228:
https://docs.huihoo.com/rfc/RFC2228.txt
1.1 FTP
文件传输协议(File Transfer Protocol,FTP),基于该协议FTP客户端与服务端可以实现共享文件、上传文件、下载、删除文件。FTP服务器端可以同时提供给多人共享使用。
FTP服务是Client/Server(简称C/S)模式,基于FTP协议实现FTP文件对外共享及传输的软件称之为FTP服务器源端,客户端程序基于FTP协议,则称之为FTP客户端,FTP客户端可以向FTP服务器上传、下载文件。
FTP上传和下载文件需要有两个tcp连接:
一个是控制连接(port:21),控制连接用于在两个主机之间传输控制信息,如口令,用户标识,存放、获取文件等命令
一个是数据连接(port:20)。数据连接用于实际发送一个文件,发送完文件之后数据连接会关闭
关于数据连接的建立实际又有两种模式:主动模式和被动模式
1.1.1 主动模式 Port(服务端连接客户端)
客户端开启一个端口N(>1023)向服务端的21端口,建立连接,同时开启一个N+1端口监听,告诉服务端,我监听的是N+1端口,服务端接到请求之后,用自己的20端口连接到客户端的N+1端口,进行传输
1.1.2 被动模式 Passive(客户端连接服务端)
客户端同时随机开启两个端口(比如1024,1025),一个端口(1024)跟服务端的21端口建立连接。服务端接到请求之后,随机会开启一个端口(1027)并告诉客户端我开启的是1027端口,客户端用另一个端口(1025)与服务端的(1027)端口进行连接,传输数据
1.2 FTPS(安全的FTP)
纯格式”FTP的一个重要问题是它不安全——用户名、密码和数据都是以明文形式通过网络发送的。这意味着嗅探网络的窃听者在获取传输文件的凭证和副本方面不会遇到什么麻烦。
FTPS协议是通过使用SSL/TLS协议加密通信来解决这个问题的,SSL/TLS协议是专门为保护网络连接而设计的。
而FTPS也有两种形式,隐式FTPS和显式FTPS,但始终首选显式模式
1.2.1 隐式FTPS
FTP服务器要求FTP客户必须初始化SSL握手过程并和FTP服务器之间建立安全的加密控制连接, 加密控制连接建立之后FTP命令才能够被送到FTP服务器. 如果FTP客户不支持SSL功能,或它和服务器之间没有建立安全的加密控制连接,FTP服务器将不对来自FTP客户的命令做出任何反应
1.2.2 显式FTPS
当FTP客户端希望使用安全的加密控制连接时, 它需要显式的发出AUTH命令例如 "AUTH TLS" 或 "AUTH SSL" 以初始化SSL握手过程并和FTP服务器之间建立安全的加密控制连接. AUTH命令必须在FTP客户登录之前发出. 如果FTP客户端没有发出AUTH命令,它和FTP服务器之间的控制连接将保持未加密状态
1.2.3 保护控制和数据通道
FTP会话使用两个通道:控制通道和数据通道。每次会话中只使用一个控制通道,但可以使用多个数据通道——每次数据传输一个通道。AUTH命令只保护控制通道。在PBSZ和PROT命令发出之前,数据通道是不安全的。这些命令告诉服务器后续数据通道是否应该是安全的。
客户端可以以不加密的方式连接FTPS服务器,然后根据请求切换到安全模式。为此,客户端发出AUTH命令,根据该命令,客户端和服务器协商建立安全连接。切换后,所有FTP命令都被加密,但重要的是,除非提供进一步的命令,否则数据不会被加密。
1.2.4 FTPS协议命令
使用三个命令:AUTH、PBSZ和PROT。其中之一,PBSZ,似乎是多余的,可能只是为了满足RFC规范而包含它。
1.2.4.1 AUTH(认证)
AUTH命令使用一个参数来定义要使用的安全机制,通常是“SSL”或“TLS”。
AUTH TLS
使用此命令,将尝试在控制通道上协商TLS连接。服务器试图通过发送其证书(服务器验证)向客户端验证自己。它还可能涉及客户端将其证书发送到服务器(客户端验证)。
1.2.4.2 PBSZ保护缓冲区大小
PBSZ命令用于定义安全机制在对数据通道上的数据进行加密时要使用的缓冲区大小。然而,对于TLS,这个设置是多余的,并且总是将值“0”作为参数传递。
1.2.4.3 PROT(数据通道保护级别)
PROT定义数据通道是否需要保护。数据通道为Clear(默认值)或Private。Clear表示在数据通道上不使用任何安全性(即文件传输不加密),Private表示应该对数据通道进行加密。
2. OpenNJet支持FTP/FTPS反向代理
2.1 功能支持
- 支持明文的FTP反向代理
- 支持隐式FTPS模式(客户端和服务端先建立加密连接,再开始发送命令,数据连接也需要加密)
2.2 系统依赖
需要系统上先执行如下命令:
modprobe nf_conntrack_ipv4 modprobe nf_conntrack_ipv62.3 FTP 被动模式PASV指令介绍
客户端发送PASV指令:
"PASV \r\n"
服务端返回开发地址和端口格式如下:
"%d Entering Passive Mode (%d,%d,%d,%d,%d,%d).\r\n"服务端会返回一个状态码,并携带服务端开放的数据端口过来。
(IP1,IP2,IP3,IP4,PORT1,PORT2)解析方式:
ip = IP1.IP2.IP3.IP4 port = PORT1 * 256 + PORT2通过上面的解析,就得到了服务端开放的数据传输的ip和端口
2.4 方案
2.4.1 配置示例
需要系统上先执行如下命令:
stream { #真正的ftp服务器地址 upstream ctl_upstream { server 192.168.40.91:21; } #控制通道 server { listen 21; #由控制通道负责zone的创建, port 用来跟ftp server的数据port做一个映射关系,避免冲突 ftp_ctrl zone=ftp_zone:10M proxy_ip=192.168.40.136 min_port=10000 max_port=10010; proxy_pass ctl_upstream; } #数据通道,ftp_ctrl设置的port范围的数据需要都转到本端口(10001) server { listen 10000-10010; njtmesh_dest on; #必须该指令,用于获取真实的目标地址 #配置ftp_data后不能再配置proxy_pass指令 ftp_data zone=ftp_zone; #zone要与控制通道zone一致,读取数据port映射 } } 2.4.2 指令设计
- 控制通道指令
| Syntax | ftp_ctrl zone={ftp_zone:10M} proxy_ip={192.168.40.136} min_port={12000} max_port={13000}; |
| Default | - |
| Context | stream,server |
- 参数说明
端口范围跟真实的ftp服务端端口范围没有必然联系,对于客户端来说,只会看到代理的端口范围,并发数受代理端口范围限制
| 参数 | 类型 | 必填 | 描述 |
| zone | string | 是 | 配置共享内存以及大小 |
| proxy_ip | string | 是 | ftp代理的IP,因为可能存在默认的127.0.0.1或者多ip情况,必须明确填写ip |
| min_port | int | 是 | ftp 代理支持的端口范围下限 |
| max_port | int | 是 | ftp 代理支持的端口范围上限(max_port-min_port 表示ftp代理支持的最多ftp并发数据连接) |
- 数据通道指令:
| Syntax | ftp_data zone={ftp_zone}; |
| Default | - |
| Context | stream,server |
- 参数说明
| 参数 | 类型 | 必填 | 描述 |
| zone | string | 是 | 设置共享内存名称,由控制通道创建,此处只需要指定共享内存名称,与控制通道共享内存名称保持一致 |
2.5 测试
2.5.1 系统依赖
需要系统上先执行如下命令:
modprobe nf_conntrack_ipv4 modprobe nf_conntrack_ipv6 2.5.2 FTP服务器和客户端搭建
分别在90机器和91机器启动了两个ftp server
systemctl start|stop|restart vsftpd
90机器: ftpuser/ftpuser /home/ftpuser/
91机器: root/root /home/root/
2.5.3 数据连接多端口监听方式
数据连接监听多端口与配置的控制连接设置的端口范围一致,这种方式会将该范围的端口全部作为监听端口
比如,控制连接中配置端口范围为10000-10010, 那么数据连接监听多端口为 listen 10000-10010
2.5.3.1 明文FTP模式
2.5.3.1.1 配置示例
OpenNJet配置:
helper broker modules/njt_helper_broker_module.so conf/mqtt.conf; helper ctrl modules/njt_helper_ctrl_module.so conf/ctrl.conf; load_module modules/njt_http_location_module.so; load_module modules/njt_stream_ftp_proxy_module.so; #加载ftp代理模块 user root; worker_processes 1; cluster_name helper; node_name node1; error_log logs/error.log info; pid logs/njet.pid; events { worker_connections 1024; } stream { upstream ctl_upstream { hash $remote_addr consistent; server 192.168.40.91:21; } server { listen 21; ftp_ctrl zone=ftp_zone:10M proxy_ip=192.168.40.136 min_port=10000 max_port=10010; proxy_pass ctl_upstream; proxy_timeout 2000s; #ftp连接默认10分钟会断开,如果传输大文件超过10分钟时,配置该指令 } server { #不能再配置proxy_pass指令 listen 10000-10010; njtmesh_dest on; #一定要配置该指令,能够获取真实端口 ftp_data zone=ftp_zone; } } vsftpd服务端建议配置:
#配置为ftp 被动模式 pasv_enable=YES #配置被动模式数据端口范围 pasv_max_port=60000 pasv_min_port=60100 #这个配置是允许user_list文件里配置的用户可以访问 userlist_deny=no 2.5.3.1.2 测试效果
ftp客户端,192.168.40.136为我们的ftp代理
[root@node90 njet1.0]# ftp 192.168.40.136 Connected to 192.168.40.136 (192.168.40.136). 220 (vsFTPd 3.0.2) Name (192.168.40.136:root): root 331 Please specify the password. Password: 230 Login successful. Remote system type is UNIX. Using binary mode to transfer files. ftp> get 91.conf #此处下载91.conf文件 local: 91.conf remote: 91.conf 227 Entering Passive Mode (192,168,40,136,39,16). 150 Opening BINARY mode data connection for 91.conf (41 bytes). 226 Transfer complete. #显示下载成功,可在本地看到该文件 41 bytes received in 0.0146 secs (2.81 Kbytes/sec) ftp> exit OpenNJet日志
#ftp客户端连接到ftp代理 2023/10/30 13:54:31 [info] 4977#0: *1 client 192.168.40.90:54990 connected to 0.0.0.0:21 #ftp代理连接到ftpserver 2023/10/30 13:54:31 [info] 4977#0: *1 proxy 192.168.40.136:43174 connected to 192.168.40.91:21 #ftp代理分配代理数据端口 2023/10/30 13:54:45 [debug] 4977#0: ftp_proxy now_port is:10000 next empty port is:10001 used_port_num:1 freed_port_num:10 cip:192.168.40.90 cport:54990 sip:192.168.40.91 sport:61299 #ftp客户端连接代理数据端口 2023/10/30 13:54:45 [info] 4977#0: *3 client 192.168.40.90:61476 connected to 0.0.0.0:10000 #ftp代理替换数据端口为真正的ftpserver分配的数据端口 2023/10/30 13:54:45 [debug] 4977#0: ftp data replace server addr:192.168.40.91:61299 #ftp代理数据连接去连接真正的ftpserver分配的数据端口 2023/10/30 13:54:45 [info] 4977#0: *3 proxy 192.168.40.136:36322 connected to 192.168.40.91:61299 #数据传输完成,ftpserver断开连接 2023/10/30 13:54:45 [info] 4977#0: *3 upstream disconnected, bytes from/to client:0/41, bytes from/to upstream:41/0 #ftp代理释放掉分配的数据代理端口资源 2023/10/30 13:54:45 [debug] 4977#0: ftp_proxy data free_port:10000 cip:192.168.40.90 cport:61476 used_port_num:0 freed_port_num:11 2.5.3.2 隐式FTPS模式
需要ftp server配置require_ssl_reuse=NO, 表示数据连接不共用控制连接的ssl通道
2.5.3.2.1 配置示例
OpenNJet配置
helper broker modules/njt_helper_broker_module.so conf/mqtt.conf; helper ctrl modules/njt_helper_ctrl_module.so conf/ctrl.conf; load_module modules/njt_http_location_module.so; load_module modules/njt_stream_ftp_proxy_module.so; #加载ftp代理模块 user root; worker_processes 1; cluster_name helper; node_name node1; error_log logs/error.log info; pid logs/njet.pid; events { worker_connections 1024; } stream { upstream ctl_upstream { hash $remote_addr consistent; server 192.168.40.91:990; } server { listen 21 ssl; ftp_ctrl zone=ftp_zone:10M proxy_ip=192.168.40.136 min_port=10000 max_port=10010; ssl_protocols TLSv1 TLSv1.1 TLSv1.2 TLSv1.3; ssl_ciphers AES128-SHA:AES256-SHA:RC4-SHA:DES-CBC3-SHA:RC4-MD5; ssl_certificate /etc/vsftpd/.sslkey/vsftpd.pem; ssl_certificate_key /etc/vsftpd/.sslkey/vsftpd.pem; proxy_ssl on; proxy_pass ctl_upstream; proxy_timeout 2000s; #ftp连接默认10分钟会断开,如果传输大文件超过10分钟时,配置该指令 } server { listen 10000-10010 ssl; njtmesh_dest on; #一定要配置该指令,能够获取真实端口 ftp_data zone=ftp_zone; ssl_protocols TLSv1 TLSv1.1 TLSv1.2 TLSv1.3; ssl_ciphers AES128-SHA:AES256-SHA:RC4-SHA:DES-CBC3-SHA:RC4-MD5; ssl_certificate /etc/vsftpd/.sslkey/vsftpd.pem; ssl_certificate_key /etc/vsftpd/.sslkey/vsftpd.pem; proxy_ssl on; } } vsftpd配置示例
#配置服务端为隐式ftp implicit_ssl=YES #开启ssl ssl_enable=YES ssl_sslv2=YES ssl_sslv3=YES ssl_tlsv1=YES #控制连接与数据连接不共用ssl session, 一定要配置 require_ssl_reuse=NO #配置ssl证书 rsa_cert_file=/etc/vsftpd/.sslkey/vsftpd.pem #一般隐式ftp 端口会只用990端口,如果不配置,vsftpd默认还是21, #有的ftp服务可能会默认为990,此处明确指定端口为990 listen_port=990 #配置ftp server 日志文件 dual_log_enable=YES vsftpd_log_file=/var/log/vsftpd.log xferlog_file=/var/log/xferlog #配置为ftp 被动模式 pasv_enable=YES #配置被动模式数据端口范围,这个端口范围跟ftp代理的端口范围没有必然关系 pasv_max_port=60000 pasv_min_port=60100 #这个配置是允许user_list文件里配置的用户可以访问 userlist_deny=no 2.5.3.2.2 测试效果
OpenNJet日志, 跟明文ftp一致
2023/11/02 14:53:40 [info] 26818#0: *1 upstream disconnected, bytes from/to client:386/1266, bytes from/to upstream:1266/386 2023/11/02 14:54:38 [info] 26818#0: *15 client 192.168.40.205:61445 connected to 0.0.0.0:21 2023/11/02 14:54:38 [info] 26818#0: *15 proxy 192.168.40.136:33732 connected to 192.168.40.91:990 2023/11/02 14:54:39 [debug] 26818#0: ftp_proxy now_port is:10000 next empty port is:10001 used_port_num:1 freed_port_num:10 cip:192.168.40.205 cport:61445 sip:192.168.40.91 sport:60627 2023/11/02 14:54:39 [info] 26818#0: *17 client 192.168.40.205:61446 connected to 0.0.0.0:10000 2023/11/02 14:54:39 [debug] 26818#0: ftp data replace server addr:192.168.40.91:60627 2023/11/02 14:54:39 [info] 26818#0: *17 proxy 192.168.40.136:46632 connected to 192.168.40.91:60627 2023/11/02 14:56:12 [info] 26818#0: *17 upstream disconnected, bytes from/to client:0/1064925119, bytes from/to upstream:1064925119/0 2023/11/02 14:56:12 [debug] 26818#0: ftp_proxy data free_port:10000 cip:192.168.40.205 cport:61446 used_port_num:0 freed_port_num:11 2.5.4 数据连接单端口监听方式
数据连接设置一个监听端口,即可完成所有数据连接端口的连接
需要依赖range模块(range内核端口数据转发模块 )提供的端口流量转发功能
2.5.4.1 隐式FTPS模式
需要ftp server配置require_ssl_reuse=NO, 表示数据连接不共用控制连接的ssl通道
2.5.4.1.1 配置示例
OpenNJet配置
helper broker modules/njt_helper_broker_module.so conf/mqtt.conf; helper ctrl modules/njt_helper_ctrl_module.so conf/ctrl.conf; load_module modules/njt_http_location_module.so; load_module modules/njt_range_module.so; #range 模块 load_module modules/njt_http_dyn_range_module.so; #range 动态修改模块,依赖于上面的range模块 load_module modules/njt_stream_ftp_proxy_module.so; #加载ftp代理模块 user root; worker_processes 1; cluster_name helper; node_name node1; error_log logs/error.log info; pid logs/njet.pid; events { worker_connections 1024; } #默认路径为/usr/sbin/iptables, 如果系统路径不一致需要调用该指令设置下路径 range iptables_path=/usr/sbin/iptables; #range 静态配置 #配置流量转发规则,将控制连接设置的11000-12000端口范围流量转发到数据连接配置的10001端口上 range type=tcp src_ports=11000:12000 dst_port=10001; stream { upstream ctl_upstream { hash $remote_addr consistent; server 192.168.40.91:990; } server { listen 21 ssl; ftp_ctrl zone=ftp_zone:10M proxy_ip=192.168.40.136 min_port=11000 max_port=12000; ssl_protocols TLSv1 TLSv1.1 TLSv1.2 TLSv1.3; ssl_ciphers AES128-SHA:AES256-SHA:RC4-SHA:DES-CBC3-SHA:RC4-MD5; ssl_certificate /etc/vsftpd/.sslkey/vsftpd.pem; ssl_certificate_key /etc/vsftpd/.sslkey/vsftpd.pem; proxy_ssl on; proxy_pass ctl_upstream; proxy_timeout 2000s; #ftp连接默认10分钟会断开,如果传输大文件超过10分钟时,配置该指令 } server { listen 10001 ssl; #此处配置一个随机端口监听即可 njtmesh_dest on; #一定要配置该指令,能够获取真实端口 ftp_data zone=ftp_zone; ssl_protocols TLSv1 TLSv1.1 TLSv1.2 TLSv1.3; ssl_ciphers AES128-SHA:AES256-SHA:RC4-SHA:DES-CBC3-SHA:RC4-MD5; ssl_certificate /etc/vsftpd/.sslkey/vsftpd.pem; ssl_certificate_key /etc/vsftpd/.sslkey/vsftpd.pem; proxy_ssl on; } } vsftpd配置示例
#配置服务端为隐式ftp implicit_ssl=YES #开启ssl ssl_enable=YES ssl_sslv2=YES ssl_sslv3=YES ssl_tlsv1=YES #控制连接与数据连接不共用ssl session, 一定要配置 require_ssl_reuse=NO #配置ssl证书 rsa_cert_file=/etc/vsftpd/.sslkey/vsftpd.pem #一般隐式ftp 端口会只用990端口,如果不配置,vsftpd默认还是21, #有的ftp服务可能会默认为990,此处明确指定端口为990 listen_port=990 #配置ftp server 日志文件 dual_log_enable=YES vsftpd_log_file=/var/log/vsftpd.log xferlog_file=/var/log/xferlog #配置为ftp 被动模式 pasv_enable=YES #配置被动模式数据端口范围,这个端口范围跟ftp代理的端口范围没有必然关系 pasv_max_port=60000 pasv_min_port=60100 #这个配置是允许user_list文件里配置的用户可以访问 userlist_deny=no 2.5.4.1.2 测试效果
ftp客户端日志,实际分配的数据端口为11000, OpenNjet range模块会将11000端口流量转发到10001端口上
OpenNJet日志
#ftp 客户端连接控制端口21 2023/11/20 16:16:22 [info] 26775#0: *1 client 192.168.40.205:52209 connected to 0.0.0.0:21 #ftp 代理连接ftp server 990端口 2023/11/20 16:16:23 [info] 26775#0: *1 proxy 192.168.40.136:40738 connected to 192.168.40.91:990 #ftp客户端连接10001端口, 该流量由range模块转发而来,如上面ftp客户端截图,实际数据端口为11000 2023/11/20 16:16:23 [info] 26773#0: *3 client 192.168.40.205:52210 connected to 0.0.0.0:10001 2023/11/20 16:16:23 [info] 26773#0: *3 proxy 192.168.40.136:38672 connected to 192.168.40.91:64820 2023/11/20 16:16:23 [info] 26773#0: *3 upstream disconnected, bytes from/to client:0/3568, bytes from/to upstream:3568/0 2023/11/20 16:16:32 [info] 26774#0: *5 client 192.168.40.205:52215 connected to 0.0.0.0:10001 2023/11/20 16:16:32 [info] 26774#0: *5 proxy 192.168.40.136:49256 connected to 192.168.40.91:62390 2023/11/20 16:16:32 [info] 26774#0: *5 upstream disconnected, bytes from/to client:0/11374, bytes from/to upstream:11374/0 2023/11/20 16:16:37 [info] 26774#0: *7 client 192.168.40.205:52230 connected to 0.0.0.0:10001 2023/11/20 16:16:37 [info] 26774#0: *7 proxy 192.168.40.136:37246 connected to 192.168.40.91:64145 2023/11/20 16:16:37 [info] 26774#0: *7 client disconnected, bytes from/to client:3578/0, bytes from/to upstream:0/3578 2023/11/20 16:16:37 [info] 26775#0: *9 client 192.168.40.205:52231 connected to 0.0.0.0:10001 2023/11/20 16:16:37 [info] 26775#0: *9 proxy 192.168.40.136:42000 connected to 192.168.40.91:64166 2023/11/20 16:16:37 [info] 26775#0: *9 upstream disconnected, bytes from/to client:0/3568, bytes from/to upstream:3568/0 2.5.4.2 明文FTP模式
2.5.4.2.1 配置示例
OpenNJet配置
helper broker modules/njt_helper_broker_module.so conf/mqtt.conf; helper ctrl modules/njt_helper_ctrl_module.so conf/ctrl.conf; load_module modules/njt_http_location_module.so; load_module modules/njt_range_module.so; #range 模块 load_module modules/njt_http_dyn_range_module.so; #range 动态修改模块,依赖于上面的range模块 load_module modules/njt_stream_ftp_proxy_module.so; #加载ftp代理模块 user root; worker_processes 1; cluster_name helper; node_name node1; error_log logs/error.log info; pid logs/njet.pid; events { worker_connections 1024; } #默认路径为/usr/sbin/iptables, 如果系统路径不一致需要调用该指令设置下路径 range iptables_path=/usr/sbin/iptables; #range 静态配置 #配置流量转发规则,将控制连接设置的11000-12000端口范围流量转发到数据连接配置的10001端口上 range type=tcp src_ports=11000:12000 dst_port=10001; stream { upstream ctl_upstream { hash $remote_addr consistent; server 192.168.40.91:990; } server { listen 21; ftp_ctrl zone=ftp_zone:10M proxy_ip=192.168.40.136 min_port=11000 max_port=12000; proxy_pass ctl_upstream; proxy_timeout 2000s; #ftp连接默认10分钟会断开,如果传输大文件超过10分钟时,配置该指令 } server { listen 10001 ssl; #此处配置一个随机端口监听即可 njtmesh_dest on; #一定要配置该指令,能够获取真实端口 ftp_data zone=ftp_zone; } } vsftpd配置示例
#配置为ftp 被动模式 pasv_enable=YES #配置被动模式数据端口范围 pasv_max_port=60000 pasv_min_port=60100 #这个配置是允许user_list文件里配置的用户可以访问 userlist_deny=no OpenNJet 最早是基于 NGINX1.19 基础 fork 并独立演进,具有高性能、稳定、易扩展的特点,同时也解决了 NGINX 长期存在的难于动态配置、管理功能影响业务等问题。 邮件组 官网
关注公众号 低调大师中文资讯倾力打造互联网数据资讯、行业资源、电子商务、移动互联网、网络营销平台。
持续更新报道IT业界、互联网、市场资讯、驱动更新,是最及时权威的产业资讯及硬件资讯报道平台。
转载内容版权归作者及来源网站所有,本站原创内容转载请注明来源。
- 上一篇
前端monorepo大仓权限设计的思考与实现
一、背景 前端 monorepo 在试行大仓研发流程过程中,已经包含了多个业务域的应用、共享组件库、工具函数等多种静态资源,在实现包括代码共享、依赖管理的便捷性以及更好的团队协作的时候,也面临大仓代码文件权限的问题。如何让不同业务域的研发能够顺畅的在大仓模式下开发,离不开有效的权限管理方法。好的权限管理方法能够确保研发同学轻松找到和理解项目的不同部分,而不受混乱或不必要的复杂性的影响,并且也应该允许研发同学合作并同时工作,同时也要确保代码合并的更改经过代码审查,以维护代码的质量和稳定性。本文通过实践过程中遇到的一些问题以及逐步沉淀下来的最佳实践,来阐述下前端大仓 monorepo 在权限这块是如何思考以及设计的。 二、前期调研 在做大仓权限设计的时候,前期做了很多的调研,也参考了国内和国外的一些技术文章,总结起来主要是基于以下三点的设计思路去实现: 文件系统的自研,能够做到文件读写权限的完全控制:对于文件系统的自研,国外的最佳实践不外乎是 Google 和 Meta,他们都是大仓实践的典范。对于文件系统的权限控制,有一套自研的文件系统,能够对核心代码和配置文件做到读写权限控制。在 Go...
- 下一篇
Java HeartBeat 3.0.0 发布,心跳检测各类服务 (支持 HTTP/UDP/TCP) 应用
Java HeartBeat 3.0.0 版本已经发布,带来Socket监控支持(TCP/UDP)。 3.0.0 版本主要更新如下: 添加Socket (TCP,UDP)的监控 升级JDK, SpringBoot等基础版本, log升级使用logback框架, thymeleaf替换jsp 各实例提供分组与查询 邮件配置界面化,更灵活(不在配置文件中写固定) 提醒方式增加钉钉机器人(相比邮件即时性更好) 优化界面部分UI,更直观简洁 HeartBeat 3.0.0 版本访问地址:https://gitee.com/mkk/HeartBeat/tree/3.0.0/
相关文章
文章评论
共有0条评论来说两句吧...
文章二维码
点击排行
推荐阅读
最新文章
- CentOS8安装MyCat,轻松搞定数据库的读写分离、垂直分库、水平分库
- Eclipse初始化配置,告别卡顿、闪退、编译时间过长
- Docker使用Oracle官方镜像安装(12C,18C,19C)
- CentOS7设置SWAP分区,小内存服务器的救世主
- SpringBoot2更换Tomcat为Jetty,小型站点的福音
- SpringBoot2整合Thymeleaf,官方推荐html解决方案
- CentOS7编译安装Cmake3.16.3,解决mysql等软件编译问题
- MySQL8.0.19开启GTID主从同步CentOS8
- SpringBoot2整合Redis,开启缓存,提高访问速度
- Linux系统CentOS6、CentOS7手动修改IP地址
微信收款码
支付宝收款码