版本信息 ：

• Ubuntu 22.04.5 LTS
• Elasticsearch v9.3.1
• Kibana v9.3.1
• Fluent Bit v4.2.2

在 Elasticsearch 8.x 和 9.x 版本中，Enrollment Token（注册令牌）机制是深度绑定 SSL 的，

Docker Compose 部署 EFK

为项目创建以下目录，分别用于存放配置文件和数据：

mkdir config/{fluent-bit,kibana,elasticsearch} -p

mkdir data/{fluent-bit,kibana,elasticsearch} -p

项目整体目录如下：

# tree
.
├── config
│ ├── elasticsearch
│ ├── fluent-bit
│ │ └── fluent-bit.conf
│ └── kibana
├── data
│ ├── elasticsearch
│ ├── fluent-bit
│ └── kibana
└── docker-compose.yml

fluent-bit.conf 示例配置如下：

[SERVICE]
    Flush        1
    Log_Level    info
    Daemon       off

[INPUT]
    Name         cpu
    Tag          cpu_usage

[INPUT]
    Name         forward
    Listen       0.0.0.0
    Port         24224

[OUTPUT]
    Name            es
    Match           *
    Host            elasticsearch
    Port            9200
    # 要配置 ES 用户密码才能同步数据
    HTTP_User       elastic
    HTTP_Passwd     changeme
    Index           fluentbit
    Type            _doc
    Suppress_Type_Name On

docker-compose.yml 配置如下

services:
  elasticsearch:
    image: docker.elastic.co/elasticsearch/elasticsearch:9.3.1
    container_name: elasticsearch
    environment:
      - node.name=elasticsearch
      - discovery.type=single-node
      - bootstrap.memory_lock=true
      - "ES_JAVA_OPTS=-Xms512m -Xmx512m"
      - xpack.security.enabled=true
      - xpack.security.enrollment.enabled=true
      - xpack.security.transport.ssl.enabled=false
    ulimits:
      memlock:
        soft: -1
        hard: -1
    volumes:
      - ./data/elasticsearch:/usr/share/elasticsearch/data  # 核心：数据持久化
    ports:
      - "19200:9200"
    networks:
      - efk-net

  kibana:
    image: docker.elastic.co/kibana/kibana:9.3.1
    container_name: kibana
    environment:
      - ELASTICSEARCH_HOSTS=http://elasticsearch:9200
      - ELASTICSEARCH_USERNAME=kibana_system       # 使用账户名密码认证 ES，密码使用命令重置 docker compose exec -it elasticsearch bin/elasticsearch-reset-password -u kibana_system
      - ELASTICSEARCH_PASSWORD=dHCC5hm-lwK1Ifoz=E3I       # 密码无需使用 单引号或者双引号
    volumes:
      - ./data/kibana:/usr/share/kibana/data     
    ports:
      - "5601:5601"
    depends_on:
      - elasticsearch
    networks:
      - efk-net

  fluent-bit:
    image: fluent/fluent-bit:4.2.2
    container_name: fluent-bit
    volumes:
      - ./config/fluent-bit/fluent-bit.conf:/fluent-bit/etc/fluent-bit.conf
      # 如果你想采集宿主机的系统日志，可以加上：
      - /var/log:/var/log:ro
    depends_on:
      - elasticsearch
    networks:
      - efk-net

networks:
  efk-net:
    driver: bridge

如遇启动失败，请查看日志，启动正常后，登录 Kibana 链接 <KIBANA_IP>:5601

看到这个界面说明你的 Elasticsearch 已经成功启动了。这是 Elastic 9.x 系列的新安全特性： 由于启用了安全验证，Kibana 启动后需要一个“准入许可证”（Enrollment Token）来和 Elasticsearch 握手 。

你可以选择：生成 Token 、 彻底关闭验证 或者使用密码验证，本示例中使用 密码验证

1. 生成 相关密码

   1. 为管理员用户 elastic 生成密码(重置密码)

      # docker compose exec -it elasticsearch /usr/share/elasticsearch/bin/elasticsearch-reset-password -u elastic This tool will reset the password of the [elastic] user to an autogenerated value. The password will be printed in the console. Please confirm that you would like to continue [y/N]y Password for the [elastic] user successfully reset. New value: xf52=nGPAf3TBOIbMuKR

   2. 为 kibana_system 生成密码
      docker compose exec -it elasticsearch bin/elasticsearch-reset-password -u kibana_system

2. 彻底关闭验证（最快，推荐用于开发环境）

   1. 点击你截图页面下方的 Configure manually 。
   2. 在地址栏输入： http://elasticsearch:9200

      xpack.security.enabled: false # kibana 环境变量 ELASTICSEARCH_HOSTS: http://elasticsearch:9200

常见错误总结

This is a superuser account that cannot write to system indices that Kibana needs to function

Kibana 不能配置使用 ES 管理员账户 elastic 去认证，否则无法启动

kibana:
  image: docker.elastic.co/kibana/kibana:9.3.1
  container_name: kibana
  environment:
    - ELASTICSEARCH_HOSTS=http://elasticsearch:9200
    - ELASTICSEARCH_USERNAME=kibana_system      ## 这里不能使用 elastic 账户，否则 kibana 无法启动
    - ELASTICSEARCH_PASSWORD='dHCC5hm-lwK1Ifoz=E3I'

环境信息

• Centos 7

ssh 免密登陆

在需要免密码登陆的场景下，可以配置 ssh 密钥登陆。配置步骤如下

1. 在本地服务器上面执行命令生成密钥对

   $ ssh-keygen Generating public/private rsa key pair. Enter file in which to save the key (/home/testuser/.ssh/id_rsa): Enter passphrase (empty for no passphrase): Enter same passphrase again: Your identification has been saved in /home/testuser/.ssh/id_rsa. Your public key has been saved in /home/testuser/.ssh/id_rsa.pub. The key fingerprint is: SHA256:Lzvl8GbOQETBVcTf8lf0Qk9KUQAESs9h8wARud+iQrk [email protected] The key's randomart image is: +---[RSA 2048]----+ | .BBB*=.o+.| | oo= =. o o| | o.o .+ *.| | .. = =| | .S. . +.| | o...+ . o| | . .o*.. .| | E o== | | ..=o | +----[SHA256]-----+

   以上命令生成了公私密钥对，分别存储在了 /home/testuser/.ssh/id_rsa.pub 和 /home/testuser/.ssh/id_rsa 中。
2. 在本地服务器上面执行命令将其公钥添加到目标主机的 /home/testuser/.ssh/authorized_keys。或者手动拷贝公钥追加到目标主机的 .ssh/authorized_keys

   $ ssh-copy-id -p 30000 [email protected] /bin/ssh-copy-id: INFO: Source of key(s) to be installed: "/home/testuser/.ssh/id_rsa.pub" The authenticity of host '[172.31.30.115]:30000 ([172.31.30.115]:30000)' can't be established. ECDSA key fingerprint is SHA256:vKD5th2QpWYv/hmt+180BsENDHWNcJdKiEBOH06h/K8. ECDSA key fingerprint is MD5:bf:8c:b9:e6:31:92:1f:a9:b6:7b:8f:50:d7:10:9e:fd. Are you sure you want to continue connecting (yes/no)? yes /bin/ssh-copy-id: INFO: attempting to log in with the new key(s), to filter out any that are already installed /bin/ssh-copy-id: INFO: 1 key(s) remain to be installed -- if you are prompted now it is to install the new [email protected]'s password: Number of key(s) added: 1 Now try logging into the machine, with: "ssh -p '30000' '[email protected]'" and check to make sure that only the key(s) you wanted were added.

3. 在本地服务器上面验证可以免密登陆到目标服务器。

如果要配置双向免密，将以上步骤反过来操作一遍即可

常见配置

登录服务器，经常遇见以下提示信息，说明有主机一直在尝试暴力破解用户名密码

There were 696 failed login attempts since the last successful login.

查看登录失败的用户名和 ip 地址

$ grep "Failed password for invalid user " /var/log/secure | awk '{print $11,$13}' | sort | uniq -c | sort -k1 -n
      3 wangli 47.74.0.77
      3 work 47.74.0.77
      3 yt 47.74.0.77
      3 yx 47.74.0.77
      3 yyz 47.74.0.77
      3 zabbix 47.74.0.77
      3 zd 47.74.0.77
      3 zhangfan 47.74.0.77
      3 zxy 47.74.0.77
      4 client003 47.74.0.77
      4 client004 47.74.0.77
      4 dell 47.74.0.77
      4 ftpuser 47.74.0.77
      4 inspur 47.74.0.77
      4 wang 47.74.0.77
      5 git 47.74.0.77
      5 nagios 47.74.0.77
      5 testuser 47.74.0.77
      6 omnisky 47.74.0.77
      7 oracle 47.74.0.77
      8 jenkins 47.74.0.77
     10 hadoop 47.74.0.77
     10 postgres 47.74.0.77
     11 ubuntu 47.74.0.77
     11 user 47.74.0.77
     12 admin 47.74.0.77
     15 test 47.74.0.77

Google Antigravity IDE

• Trae 也可以依此操作配置

本示例演示 Google Antigravity AI 在运维场景中的使用方法。假如需要让 Google Antigravity AI 远程 SSH 连接到目标服务器并利用其 AI Agent 定位运行问题，可以参考以下步骤：

1. 建立 SSH 远程连接 。Antigravity 基于 VS Code 内核，因此其连接方式与 VS Code 保持一致，但强化了 AI 对远程环境的感知。

   1. 安装插件 。确保已在 Antigravity 中安装了 Remote - SSH 扩展。

      1. 定位到 Setting -> Extensions （或者左侧边栏）中，在顶部搜索框中输入 @installed remote - ssh ，如果列表中出现了 Remote - SSH（通常由 Microsoft 发布），说明已经安装。如果没有任何显示，说明尚未安装。
      2. 如果没有安装，在搜索框中搜索 Remote - SSH，找到由 Microsoft 发布的版本（Antigravity 完美兼容 VS Code 市场插件），点击 Install

         或者直接发送需求给 Antigravity 让其自动安装

         

   2. 配置主机 。在 IDE 侧边栏的 Remote Explorer（远程资源管理器） 中添加并连接服务器。

      如果是首次连接，Antigravity 会在目标服务器上安装一个小型的服务端组件（Server Component），以便 AI Agent 能直接在服务器环境下运行。

2. 打开项目目录 ，连接成功后，点击 Open Folder（打开文件夹） ，选择你运行服务所在的代码目录或配置目录（如 /etc/nginx 或你的后端代码路径）。

3. 连接成功后，你不需要像以前那样手动翻阅数 GB 的日志。你可以通过侧边栏的 Chat 面板（Ctrl + L）指挥 AI。

   1. 自动日志分析 (Log Auditing)

      • 指令示例 ：查看 /var/log 下最近 5 分钟的系统错误日志，找出导致我的 Java 应用崩溃的原因。

      • AI 行为： Agent 会自动执行 tail -n 100 或 grep 命令，捕获堆栈信息（Stack Trace），并结合项目代码分析是 OOM（内存溢出）、端口冲突还是权限问题 。

   2. 如果你发现服务无法访问（例如 404 或 502）

      • 指令示例 ：检查 8080 端口是否在监听，并测试 Nginx 反向代理到该端口的连通性。

      • AI 行为 ：Agent 会执行 netstat -tunlp 和 curl -I localhost:8080 ，如果发现端口没启动，它会尝试查看启动脚本（如 docker-compose.yml 或 systemd 配置）来定位根源。

4. 闭环修复 (The “Fix” Loop)

   这是 Antigravity 区别于普通 IDE 的地方：

   • 生成修复计划 (The Plan) ：

     当 Agent 定位到问题（例如：K8s 配置的 resources.limits 太小导致 Pod 被杀）时，它会生成一个 Plan Artifact。

   • 审批修改

     它会展示修改后的代码或配置文件。你只需点击 Apply ，它就会在服务器上直接修改文件。

   • 验证结果

     你可以紧接着说：”修改后重新启动服务，并尝试用内置浏览器访问，确认首页能正常加载。”
     Antigravity 会启动内置浏览器，通过 SSH 隧道访问远程服务，截图反馈给你看。

例如处理 K8s 集群问题：如果你在服务器上配置了 kubectl ，你可以对 Antigravity 说：”帮我列出所有 Pending 状态的 Pod，并分析它们的事件日志，看看是不是节点资源不足。” 它能像一个初级运维工程师一样帮你完成繁琐的查询。

.agent/rules

生成环境中，AI 所做的操作一定要得到审批。否则会产生不可预期的结果 。

不是所有的 AI 工具都会遵循此规则，使用之前一定要确认清楚。比如 Trae 就不会加载 .agent/rules 文件去读取规则。

为了防止 AI 在服务器上乱改，你可以在项目中创建一个 .agent/rules 文件，写明：”严禁直接修改生产数据库” 或 “修改配置前必须先备份旧文件”。Agent 在执行任务时会强制遵守这些规则 。

关于 .agent/rules 的生效范围（作用域）:

• 项目级规则（最推荐） : 放在你项目代码的根目录下。规则仅对当前打开的特定项目生效。
• 全局(Global)规则 : 如果你希望在打开任何项目文件夹时，AI 智能体都遵循一套通用的逻辑。通常存放在用户家目录的配置文件夹中
  • Windows : %USERPROFILE%\.antigravity\rules
  • Linux : ~/.antigravity/rules

如果要知道目前使用的 rules 都有哪些，可以直接让 AI 进行汇总

快速创建并测试 ，你不需要手动去文件夹里新建，直接在 Antigravity 的 Chat 面板里对 AI 下令即可：

指令 ： 请给出创建全局规则的步骤

如果您希望为您使用的 AI Agent 配置跨所有项目生效的全局规则，通常可以通过以下步骤完成（具体取决于您使用的编辑器客户端）：

1. 通过编辑器的 AI 设置配置（最常见且推荐）
    大部分 AI 辅助编辑器（如 Cursor、Windsurf 或相关 VS Code 插件）都支持在界面中直接配置全局系统提示词 (System Prompts) 或规则：
    
    步骤：
    打开编辑器的全局设置面板（通常快捷键为 Ctrl + , 或 Cmd + ,）。
    搜索 Rules, Rules for AI, 或对应 AI 助手的名称（如 Agent Rules）。
    在对应的文本框中，输入您期望的全局规则。例如：
    
        1. 禁止以 root 用户执行操作
        2. 切换到用户 wind
        3. 执行任何变更操作都必须得到审批确认才能执行
        
    保存设置。此后无论打开哪个项目，Agent 都会优先加载这些全局规则。

2. 在用户主目录下创建全局规则文件
    部分 AI 助手会自动读取用户主目录（Home 目录 ~）下的特定隐藏文件作为全局指令。
    
    步骤：
    切换到您的宿主机主目录：cd ~
    创建全局规则文件。根据具体的插件约定，通常是 ~/.agent/rules、~/.cursorrules 或 ~/.windsurfrules 等。
    将规则写入该文件：
    
        mkdir -p ~/.agent
        echo "1. 禁止以 root 用户执行操作" > ~/.agent/rules
        echo "2. 切换到用户 wind" >> ~/.agent/rules
        echo "3. 执行任何变更操作都必须得到审批确认才能执行" >> ~/.agent/rules
        
 3. 使用全局 Workflows（工作流）
    
    如果您希望在所有项目中都可以随时调用某个标准化的“规则校验流程”，可以使用全局的 Workflows 功能。

    步骤：
    在全局或项目的 .agents/workflows/（或 _agents/workflows/）目录下创建 Markdown 格式的流程文件。
    例如创建一个 .agents/workflows/enforce-rules.md：
    
    ---
    description: 确保并校验 Agent 遵循基础安全规则
    ---
    1. 检查当前是否为 root 用户，如果是则拒绝操作并提示用户。
    2. 确保后续命令以 `su - wind -c` 或类似方式作为 wind 用户执行。
    3. 在进行任何系统变更前，暂停并等待用户审批。

Claude Code

对于无法配置 SSH（例如内网穿透、防火墙严格限制或云厂商限制）的服务器，Claude Code 是目前最顶级的 终端代理（Terminal Agent） 方案

Claude Code 的配置与使用

Claude Code 的优势在于它是一个 CLI 工具，可以直接安装在目标服务器上。它不需要 SSH 隧道，因为它通过 HTTPS 与 Anthropic 的服务器通信，只要服务器能访问外网（或通过代理访问），就能工作。

• 安装步骤（服务器端） 。在你的 Linux 服务器终端执行：

  curl -fsSL https://claude.ai/install.sh | bash

  部分地区下载有限制，如 HK，可以在可用地区下载脚本上传到服务器后安装

  或者使用 npm
  

  npm install -g @anthropic-ai/claude-code

• 配置与初始化

  1. 登录 ：输入 claude 启动，按照提示完成 OAuth 登录（会给出一个 URL 和授权码）。

     Select login method: ❯ 1. Claude account with subscription · Pro, Max, Team, or Enterprise 2. Anthropic Console account · API usage billing 3. 3rd-party platform · Amazon Bedrock, Microsoft Foundry, or Vertex AI

• 执行 claude 命令运行

服务器上运行 gemini cli

Gemini 在服务器运维场景下有一个独特的优势：超长上下文窗口（Context Window） 。相比 Claude，Gemini 能够一次性“吞下”更多的日志文件或整个 Kubernetes 命名空间下的所有配置（YAML），从而提供更具全局观的分析。

1. 安装 Google AI CLI (基于 Node.js)

   如果还未按照 Node.js , 可以使用以下命令( nvm 管理 Node.js 版本 )安装最新版本(版本太低的话, gemini 不支持)

   curl -o- https://raw.githubusercontent.com/nvm-sh/nvm/v0.39.7/install.sh | bash source ~/.bashrc nvm install 20 nvm use 20 nvm alias default 20

   安装 Node.js 后安装 gemini-cli

   # 安装 npm install -g @google/gemini-cli # 配置 API Key (从 Google AI Studio 免费获取) export GEMINI_API_KEY="你的_API_KEY" # 开始对话 gemini

   参考以下步骤,获取 API Key:

   1. 打开浏览器，访问 Google AI Studio。

   2. 进入页面后，点击左侧导航栏顶部的 Get API key 按钮（通常带有一个钥匙图标）。

   3. 在打开的界面中，你会看到 Create API key 的选项：

      • Create API key in new project ：如果你是第一次使用，选这个。Google 会在你的 Google Cloud 控制台中自动创建一个名为 Generative Language Client 的项目。

   4. 立即复制并保存这串密钥。

2. 使用命令 gemini 运行
   

PostgreSQL 常用命令

• 创建数据库 ： CREATE DATABASE db_name;

• 删除数据库 ：DROP DATABASE db_name;

• 导出数据库 (终端执行) ：pg_dump -U 用户名 数据库名 > 备份文件.sql

• 导入数据库 (终端执行) : psql -U 用户名 数据库名 < 备份文件.sql

Amazon WorkSpaces 主要支持两种核心串流协议：

• **WSP（Amazon WorkSpaces Streaming Protocol)**，基于 NICE DCV（DCV 专门为高性能图形处理（如 CAD、3D 渲染）和低延迟交互设计） 技术。是 AWS 近年大力推广的云原生协议，旨在提供更现代化的用户体验。

  • 网络适应性强 ：在网络条件不稳定或高延迟的环境下表现更好。
  • 双向音视频支持 ：原生支持 网络摄像头 (Webcam) 透传，非常适合视频会议（如 Teams, Zoom）。
  • 防火墙友好 ：通常通过 TCP/UDP 端口 443 运行，更容易穿透企业防火墙。
  • Web Access ：如果你习惯使用浏览器访问桌面，WSP 的兼容性和性能远超 PCoIP(已经不支持 Web Access)。
  • 认证支持 ：支持更高级的身份验证方式，如 WebAuthn 和智能卡。

• PCoIP（传统协议） ： 这是 WorkSpaces 最早采用的协议，技术非常成熟，由 Teradici 开发。

  • 优点：

    • 图形渲染精准 ：在处理高对比度、像素密集型的图形任务（如图像编辑）时，色彩表现更精准。

    • 终端设备广泛 ：支持 PCoIP Zero Client（零客户机）硬件，以及包括 iPad 和 Android 在内的更广泛的移动端 App。

    • 成熟稳定 ：作为老牌协议，在极端负载下的稳定性经过了长期验证。

  • 缺点：

    • 音视频功能弱 ：原生 PCoIP 客户端通常不支持网络摄像头透传。

    • 网络要求高 ：对网络延迟较敏感，一旦丢包，体验下降明显。

    • Web 访问限制 ：已不支持。

制作镜像

为统一 AWS Workspaces 中的用户桌面系统和软件环境，建议自制镜像，预装常用软件，配置相关权限。自制桌面镜像请参考以下步骤：

1. 先启动一台基础版的 WorkSpace。

2. 以管理员身份登录，手动安装所有必要软件，对系统进行必要配置，如语言、地区、输入法等。

   如果要从 Windows WorkSpace 创建映像，请在运行创建进程之前使用位于 C:\Program Files\Amazon\ImageChecker.exe 中的映像检查器验证映像。

3. 完成配置后，回到 AWS WorkSpaces 控制台，选择该桌面。

4. 点击 Actions -> Create Image（创建镜像）。

5. 镜像创建成功后，选择该镜像并点击 Actions -> Create Bundle（创建捆绑包） 。

   镜像创建成功后，可在 Amazon WorkSpaces -> WorkSpaces -> Image（映像） 中查看

后续操作 ： 以后为新员工开通桌面时，直接选择这个 自定义捆绑包 ，所有人的软件环境将完全一致。

配置 Workspace 云桌面无管理员权限

如果要全局配置，使 Directory 中的用户登陆云桌面后不是管理员权限，可以通过 AWS WorkSpaces 的目录设置（Directory Settings）取消用户的本地管理员权限 。实施步骤参考：

1. 登录 AWS WorkSpaces 控制台 。

2. 在左侧导航栏选择 Directories（目录） 。

3. 选择对应的目录 ID，点击 目录名称进入查看详情页。

4. 找到 Local administrator setting（本地用户管理员权限） 选项。

5. 取消勾选 Enable local administrator setting（启用本地管理员设置） 。

结果： 用户将作为标准用户登录，无法修改系统配置或安装需要管理员权限的软件。

控制台修改后，只对新部署的桌面生效

要使已存在的桌面也生效，可以使用以下方法：

• 重新构建（Rebuild）：系统会根据当前的目录（Directory）设置（即已禁用的管理员权限）重新初始化 C 盘。C 盘会被重置。虽然 D 盘（用户数据）会保留，但用户自行安装在 C 盘的软件、系统设置、浏览器书签（若未同步）等都会丢失。执行前必须通知员工备份。
• 通过组策略（GPO）强制回收（推荐用此方法）：如果不希望重置员工的 C 盘，可以通过 Windows 域控的组策略强制移除用户在 Administrators 组中的身份。

控制 AWS Workspace 客户端设备类型

如果要控制 AWS Workspace 桌面只能从某些设备登陆，可以修改 Directory 中的 问权限的设备类型

如果使用 Amazon Workspace Client，则只能使用一个账户登陆，如果要同时登陆不同的账户，可以使用 Web Access

默认情况下，Web Access 登陆 Workspace 后因为浏览器安全限制原因，没有使用本地系统剪切板权限，无法在云桌面和本地之间粘贴复制。如果想要在本地和 workspace 云桌面之间粘贴复制（前提是未做其他限制，如 GPO 禁止粘贴），只需配置浏览器权限，允许使用剪切板即可。操作方式为，在网站左上角允许使用剪切板，具体操作如图：

AWS Workspaces 中的 AD 域管理

AWS Workspaces 使用的 AD 通常有以下两种：

• AWS Managed Microsoft AD ： AWS 托管的 Microsoft AD 域控服务。
• Simple AD ： 本质上是基于 Samba 4 的兼容方案

无论哪种 AD，都不支持直接通过 AWS 控制台管理，必须通过一台 Windows 管理机（EC2 或 WorkSpace）远程操作。

以下步骤以管理 Simple AD 为例提供参考步骤：

1. 启动一台 Windows Server 实例（推荐）或一台现有的 WorkSpace。

2. 确保这台机器已经加入到您的 Simple AD 域名下。方便起见最好是部署在 Directory 中 Workspace 云桌面，其已经在域中。

3. 以管理员账户登陆并安装工具:

   1. 在服务器管理器中，点击 添加角色和功能 。

   2. 在 功能 列表中，勾选 组策略(Group Policy Management)管理工具 以及 远程服务器管理工具 (Remote Server Administration Tools,RSAT) -> 角色管理工具(Role Administration Tools) -> AD DS 和 AD LDS 工具 。

      如果 Directory 配置了 禁用本地管理员设置 ，使用新部署的 Workspace 桌面会不具备管理员权限，无法安装工具。只需要有 域管理员账户密码即可解决 。在任务栏或开始菜单找到 Server Manager (服务器管理器) ，选择 Run as different user (以其他用户身份运行) 。

安装完成后，即可打开 Active Directory Users and Computers 工具查看 AD 域中的用户和计算机信息

要管理组策略，使用 Group Policy Management 工具

有些由 AWS WorkSpaces 的串流协议控制的功能，如 控制在 Workspace 云桌面和本地之间复制或传输文件 等，Windows 默认是不存在这些策略的，需要手动导入 AWS 提供的模板。AWS 定义的策略官方文档（Manage your Windows WorkSpaces in WorkSpaces Personal）

不同的云桌面串流协议（WSP（基于 DCV）、PCoIP）需要使用不同的组策略管理模板文件 ，要注意区分，具体可查看官方文档说明

使用 DCV WorkSpaces 时特有的组策略设置，必须将 DCV 的组策略管理模板 wsp.admx 和 wsp.adml 文件添加到目录的域控制器的 WorkSpaces 中央存储区。

以下步骤参考官方文档 为 DCV（WSP 协议） 安装组策略管理模板文件 ：

1. 在正在运行的 Windows WorkSpace 中，复制 C:\Program Files\Amazon\WSP 目录中的 wsp.admx 和 wsp.adml 文件。

2. 在目录管理 WorkSpace 或已加入 WorkSpaces 目录的 Amazon EC2 实例上，打开 Windows 文件资源管理器，然后在地址栏中输入贵组织的完全限定域名 (FQDN)，例如 \\example.com 。

3. 打开 sysvol 文件夹。

4. 打开带有 FQDN 名称的文件夹。

5. 打开 Policies 文件夹。您现在应该位于 \\FQDN\sysvol\FQDN\Policies 中。
   

6. 如果该文件尚不存在，请创建一个名为 PolicyDefinitions 的文件夹。

7. 打开 PolicyDefinitions 文件夹。

8. 将 wsp.admx 文件复制到 \\FQDN\sysvol\FQDN\Policies\PolicyDefinitions 文件夹中。

9. 在 PolicyDefinitions 文件夹中创建名为 en-US 的文件夹。

10. 打开 en-US 文件夹。

11. 将 wsp.adml 文件复制到 \\FQDN\sysvol\FQDN\Policies\PolicyDefinitions\en-US 文件夹中。

验证管理模板文件是否已正确安装

1. 在目录管理 WorkSpace 或加入 WorkSpaces 目录的 Amazon EC2 实例上，打开组策略管理工具 ( gpmc.msc )。

2. 展开 Forest（Forest:FQDN）。

3. 展开域（Domains）。

4. 展开您的 FQDN（例如， example.com ）。

5. 展开组策略对象(Group Policy Objects)。

6. 选择默认域策略(Default Domain Policy)，打开（右键单击）菜单，然后选择 编辑(Edit) 。

7. 在组策略管理编辑器中，依次选择 计算机配置->策略->管理模板->Amazon 和 DCV 。
   

8. 现在，您可以使用此 DCV 组策略对象来修改使用 DCV WorkSpaces 时特有的组策略设置。

执行以上操作后，再次打开组策略编辑器，会发现组策略中只剩 AWS DCV 相关的策略，AD 默认的所有策略都看不到了，这是因为中央存储（Central Store）的配置不完整导致的。

当你创建了中央存储（在 \\domain\SYSVOL\domain\Policies\PolicyDefinitions 创建了文件夹）后，组策略管理编辑器（GPMC）会强制只从该网络位置读取模板，而不再读取本地 C:\Windows\PolicyDefinitions 下的系统自带模板。如果你的中央存储文件夹里只放了 Amazon 的 wsp.admx/adml ，那么所有 Windows 原生的策略（如控制面板、网络、系统设置等）就会全部消失。

你 需要将本地域控制器上的所有原生 Windows 策略模板手动复制到中央存储中 。

1. 在域控制器上打开：C:\Windows\PolicyDefinitions
2. 全选该文件夹下的所有 .admx 文件（包含几百个文件，如 Search.admx , TerminalServer.admx 等）。
3. 将它们复制到中央存储路径：\\<FQDN>\SYSVOL\<FQDN>\Policies\PolicyDefinitions\ (注：请确保你之前放 wsp.admx 的地方就在这里)。
4. 将 ADML 语言文件（如 en-US ）也同样复制过去。

环境信息

• Centos 7
• Prometheus Server 2.4
• Node Exporter v1.4.0
• Grafana v9.2.5

安装

在 Docker 中安装 Prometheus Server

创建 Prometheus Server 配置文件，如 /root/prometheus/prometheus.yml，内容如下 ^[1]

# my global config
global:
  scrape_interval:     15s # Set the scrape interval to every 15 seconds. Default is every 1 minute.
  evaluation_interval: 15s # Evaluate rules every 15 seconds. The default is every 1 minute.
  # scrape_timeout is set to the global default (10s).

# Alertmanager configuration
alerting:
  alertmanagers:
  - static_configs:
    - targets:
      # - alertmanager:9093

# Load rules once and periodically evaluate them according to the global 'evaluation_interval'.
rule_files:
  # - "first_rules.yml"
  # - "second_rules.yml"

# A scrape configuration containing exactly one endpoint to scrape:
# Here it's Prometheus itself.
scrape_configs:
  # The job name is added as a label `job=<job_name>` to any timeseries scraped from this config.
  - job_name: 'prometheus'

    # metrics_path defaults to '/metrics'
    # scheme defaults to 'http'.

    static_configs:
    - targets: ['localhost:9090']

使用 Docker 启动时挂载此文件，作为 Prometheus Server 的配置文件，之后需要修改配置，可以直接修改此文件。

docker run -d -p 9090:9090 \
           --name prometheus \
           -v /root/prometheus/prometheus.yml:/etc/prometheus/prometheus.yml \
           prom/prometheus

启动后，可以通过 $Prometheus_IP:9090 访问 Prometheus Server UI

中国大陆地区部署不可用

IPSec 协议

使用 Docker 部署命令如下

docker run -d     --name ikev2-vpn     --restart=always     --cap-add=NET_ADMIN     -e "VPN_IPSEC_PSK=StrongPSK123"     -e "VPN_USER=myuser"     -e "VPN_PASSWORD=MyPass123"     -p 500:500/udp     -p 4500:4500/udp     hwdsl2/ipsec-vpn-server

在 iPhone 上前往 设置 -> 通用 -> VPN 与设备管理 -> VPN -> 添加 VPN 配置 ：

• 类型: IPsec
• 描述随便填: (如 MyVPN)
• 服务器 :
• 本地 ID : 留空
• 用户名 : myuser
• 密码 : MyPass123
• 密钥 : StrongPSK123

L2TP 协议

使用 Docker 部署命令如下

docker run -d   --name ikev2-vpn-l2tp   --restart=always   --cap-add=NET_ADMIN   --device=/dev/ppp   -e "VPN_IPSEC_PSK=StrongPSK123"   -e "VPN_USER=myuser"   -e "VPN_PASSWORD=MyPass123"   -p 500:500/udp   -p 4500:4500/udp   -p 1701:1701/udp   hwdsl2/ipsec-vpn-server

在 iPhone 上前往 设置 -> 通用 -> VPN 与设备管理 -> VPN -> 添加 VPN 配置 ：

• 类型: L2TP
• 描述随便填: (如 MyVPN)
• 服务器 :
• 本地 ID : 留空
• 用户名 : myuser
• 密码 : MyPass123
• 密钥 : StrongPSK123

Docker 部署步骤

创建配置文件 config.json

{
  "log": {
    "loglevel": "debug",    /* 为了观察运行情况或者定位问题，可以开启debug 日志 */
    "access": "/dev/stdout",
    "error": "/dev/stdout"
  },    
  "inbounds": [{
    "port": 443,
    "protocol": "vless",
    "settings": {
      "clients": [
         {
           "id": "c4187394-5865-446d-9d8d-3f6c179416b0(UID 替换为实际值)", 
           "flow": "xtls-rprx-vision"
         }
        ],
      "decryption": "none"
    },
    "streamSettings": {
      "network": "tcp",
      "security": "reality",
      "realitySettings": {
        "show": false,
        "dest": "www.microsoft.com:443",   
        "xver": 0,
        "serverNames": ["www.microsoft.com"],
        "privateKey": "mD0OUR8tFvOypHQre6yGgsZs2w-JecH4zkXB9_TY-k8（私钥）",
        "shortIds": ["a1b2c3d4"]
      }
    }
  }],
  "outbounds": [{"protocol": "freedom"}]
}

• "id": "c4187394-5865-446d-9d8d-3f6c179416b0(UID 替换为实际值)" 可以自行生成
• "dest": "www.microsoft.com:443" 伪装的网站地址
• "privateKey": "mD0OUR8tFvOypHQre6yGgsZs2w-JecH4zkXB9_TY-k8（私钥）" 私钥，公司钥对可以使用如下命令生成

  # docker run --rm teddysun/xray xray x25519 PrivateKey: iBKDmvNMfFOAzNPOLRlnJLzoaYbHKs9RFatpW1ELeks Password: OV_SMIonfy1cEzxnDGZff9x0HeuhuqLyrIj0dLqAaHw Hash32: 1fEp1041YBnLfSvQYVsRfvGJEA8ZV_LjqFGtQKwaWG0

  • PrivateKey 对应私钥（ privateKey ）
  • Password 对应公钥（ Public Key ），要发送给客户端使用

正常启动后，在客户端如下配置：

• 类型： VLESS

• 地址（Address）： <SERVER IP>

• 端口（Port）： 443 # 对应配置文件中的 inbounds.port

• UUID： <UID> # 对应配置文件中的 inbounds.settings.clients.id

• 流（Flow）： xtls-rprx-vision # 对应配置文件中的 inbounds.settings.clients.flow

• 传输协议(Transport protocol(network))： TCP # 对应配置文件中的 inbounds.streamSettings.network

• TLS/安全： Reality # 对应配置文件中的 inbounds.streamSettings.security

• 加密(Encryption): none # 对应配置文件中的 inbounds.settings.decryption

• SNI： www.microsoft.com # 对应配置文件中的 inbounds.streamSettings.realitySettings.dest

• 短 ID（Short ID）： a1b2c3d4 # 对应配置文件中的 inbounds.streamSettings.realitySettings.shortIds

• 公钥（Public key、密码、Password）： <公钥> # docker run --rm teddysun/xray xray x25519 命令生成的 Password

为了方便客户端导入，可以为配置生成以下链接，其中包含了客户端链接所需的参数：

vless://<UID>@<SERVER IP>:<Port>?encryption=none&flow=xtls-rprx-vision&security=reality&sni=www.microsoft.com&fp=chrome&pbk=<Public Key or Password>&sid=a1b2c3d4#Shanghai_MS_Reality

大多数客户端都支持从粘贴板复制以上内容自动导入配置。

Windows 中使用 v2rayN 连接 xray server

• v2rayN 版本： v7.18.0

Windows 下载 v2rayN ，将其解压后，运行程序 v2rayN.exe 即可打开程序。复制配置链接（ vless://<UID>@<SERVER IP>:<Port>?encryption=none&flow=xtls-rprx-vision&security=reality&sni=www.microsoft.com&fp=chrome&pbk=<Public Key or Password>&sid=a1b2c3d4#Shanghai_MS_Reality ），在 v2rayN 主界面点击 Configuration -> Import Share Links from clipboard 即可自动导入配置

默认情况下， v2rayN 会测试到 google.com 的连接来验证服务端是否正常，国内服务器此测试必定失败，因此可以修改此测试目标。参考以下步骤：

1. 导航到 Settings -> v2rayN settings: Speed Ping Test URL ，此处默认值为 google.com ，将其改为国内服务器可以访问的地址如 https://www.baidu.com
   

要验证 xray server 工作正常，可以在 v2rayN 客户端进行 延迟检测（Test real delay） 。右键要检测的 xray server 选择 Test real delay

如果能够获取到延迟数据，说明 xray 工作正常，如果未获取到延迟数据，可以登陆服务器，通过命令 docker logs 检查服务端日志

Keycloak 是一个开源的身份和访问管理（IAM）解决方案。

Keycloak 官网链接

Kubernetes 中部署 Keycloak

• Kubernetes 1.35
• Kustomize Version: v5.7.1
• Keycloak 26.x
• Aurora RDS PostgreSQL

参考官方文档在 Kubernetes 中部署 Keycloak

下载 Keycloak 配置文件： https://raw.githubusercontent.com/keycloak/keycloak-quickstarts/refs/heads/main/kubernetes/keycloak.yaml 并修改数据库相关配置，本示例使用 AWS Aurora PostgreSQL：

## 要连接 RDS PostgreSQL，需要设置这些核心环境变量：
- name: KC_DB
  value: postgres
- name: KC_DB_URL_HOST
  value: <RDS_ENDPOINT>
- name: KC_DB_URL_DATABASE
  value: <DB_NAME>
- name: KC_DB_USERNAME
  valueFrom:
      secretKeyRef:
        name: keycloak-db-secret
        key: username
- name: KC_DB_PASSWORD
  valueFrom:
      secretKeyRef:
        name: keycloak-db-secret
        key: password

本示例使用 Kustomize 部署，文档结构如下：

$ tree
.
├── base
│   ├── ingresses.yaml
│   ├── kustomization.yaml
│   ├── services.yaml
│   └── statefulset.yaml
└── overlays
    ├── dev
    └── prod
        └── kustomization.yaml

base/statefulset.yaml 内容如下，主要参考官网安装文档（https://raw.githubusercontent.com/keycloak/keycloak-quickstarts/refs/heads/main/kubernetes/keycloak.yaml）

apiVersion: apps/v1
# Use a stateful setup to ensure that for a rolling update Pods are restarted with a rolling strategy one-by-one.
# This prevents losing in-memory information stored redundantly in two Pods.
kind: StatefulSet
metadata:
  name: keycloak
  labels:
    app: keycloak
spec:
  serviceName: keycloak-discovery
  # Run with one replica to save resources, or with two replicas to allow for rolling updates for configuration changes
  replicas: 2
  selector:
    matchLabels:
      app: keycloak
  template:
    metadata:
      labels:
        app: keycloak
    spec:
      containers:
        - name: keycloak
          image: quay.io/keycloak/keycloak:26.5.4
          args: ["start"]
          env:
            # 初始管理员账户和密码
            - name: KC_BOOTSTRAP_ADMIN_USERNAME
              value: "admin"
            - name: KC_BOOTSTRAP_ADMIN_PASSWORD
              value: "admin"
            # In a production environment, add a TLS certificate to Keycloak to either end-to-end encrypt the traffic between
            # the client or Keycloak, or to encrypt the traffic between your proxy and Keycloak.
            # Respect the proxy headers forwarded by the reverse proxy
            # In a production environment, verify which proxy type you are using, and restrict access to Keycloak
            # from other sources than your proxy if you continue to use proxy headers.
            - name: KC_PROXY_HEADERS
              value: "xforwarded"
            - name: KC_HTTP_ENABLED
              value: "true"
            # In this explorative setup, no strict hostname is set.
            # For production environments, set a hostname for a secure setup.
            - name: KC_HOSTNAME_STRICT
              value: "false"
            - name: KC_HEALTH_ENABLED
              value: "true"
            - name: 'KC_CACHE'
              value: 'ispn'
            # Passing the Pod's IP primary address to the JGroups clustering as this is required in IPv6 only setups
            - name: POD_IP
              valueFrom:
                fieldRef:
                  fieldPath: status.podIP
            # Instruct JGroups which DNS hostname to use to discover other Keycloak nodes
            # Needs to be unique for each Keycloak cluster
            - name: KC_CACHE_EMBEDDED_NETWORK_BIND_ADDRESS
              value: '$(POD_IP)'
            - name: 'KC_DB_URL_DATABASE'
              value: 'keycloak'
            - name: 'KC_DB_URL_HOST'
              value: '<RDS_endpoint>'
            - name: 'KC_DB'
              value: 'postgres'
            # In a production environment, use a secret to store username and password to the database
            - name: 'KC_DB_PASSWORD'
              value: '<RDS_PASSWORD>'
            - name: 'KC_DB_USERNAME'
              value: '<RDS_USERNAME>'
          ports:
            - name: http
              containerPort: 8080
            - name: jgroups
              containerPort: 7800
            - name: jgroups-fd
              containerPort: 57800
          startupProbe:
            httpGet:
              path: /health/started
              port: 9000
            periodSeconds: 1
            failureThreshold: 600              
          readinessProbe:
            httpGet:
              path: /health/ready
              port: 9000
            periodSeconds: 10
            failureThreshold: 3              
          livenessProbe:
            httpGet:
              path: /health/live
              port: 9000
            periodSeconds: 10
            failureThreshold: 3              
          resources:
            limits:
              cpu: 2000m
              memory: 2000Mi
            requests:
              cpu: 500m
              memory: 1700Mi

base/services.yaml 内容如下：

apiVersion: v1
kind: Service
metadata:
  name: keycloak
  labels:
    app: keycloak
spec:
  ports:
    - protocol: TCP
      port: 8080
      targetPort: http
      name: http
    ## 主要用于 ALB 健康检查
    - name: management
      port: 9000
      targetPort: 9000    
  selector:
    app: keycloak
  type: ClusterIP
---
apiVersion: v1
kind: Service
metadata:
  labels:
    app: keycloak
  name: keycloak-discovery
spec:
  selector:
    app: keycloak
  clusterIP: None
  type: ClusterIP

base/ingresses.yaml 内容如下：

apiVersion: networking.k8s.io/v1
kind: Ingress
metadata:
  annotations:
    alb.ingress.kubernetes.io/healthcheck-path: /health/ready
    alb.ingress.kubernetes.io/healthcheck-port: "9000"  # 健康检查（Health Check）端口和 web 端口（8080）不同 
    alb.ingress.kubernetes.io/scheme: internet-facing
    alb.ingress.kubernetes.io/target-type: ip
    alb.ingress.kubernetes.io/listen-ports: '[{"HTTP": 80}, {"HTTPS": 443}]'    # admin console 必须使用 https
    alb.ingress.kubernetes.io/certificate-arn: arn:aws:acm:ap-east-1::certificate/f2cd4604-4791-43dd-8d33-545210272f1c    
  name: keycloak-web-ingress
spec:
  ingressClassName: alb
  rules:
  - http:
      paths:
      - backend:
          service:
            name: keycloak
            port:
              number: 8080
        path: /
        pathType: Prefix
    host: keycloak.example.com

base/kustomization.yaml 内容如下：

apiVersion: kustomize.config.k8s.io/v1beta1
kind: Kustomization

resources:
  - statefulset.yaml
  - services.yaml
  - ingresses.yaml

overlays/prod/kustomization.yaml 内容如下

apiVersion: kustomize.config.k8s.io/v1beta1
kind: Kustomization

namespace: keycloak

resources:
  - ../../base

执行以下命令查看最终生成的配置：

$ kubectl kustomize overlays/prod/

ArgoCD 是目前 Kubernetes 生态中最流行的 GitOps 持续交付（CD）工具。它的核心理念是将 Git 仓库视为集群状态的“唯一真理来源”。

ArgoCD 的核心工作原理 ：

• 声明式管理 ：你不在集群里手动运行 kubectl ，而是将所有的资源清单（YAML、Helm、Kustomize）存放在 Git 中管理。
• 同步与漂移检测 ：ArgoCD 会持续监控 Git 仓库和 EKS 集群。如果两者状态不一致（即发生“漂移”），它会报警或自动将集群恢复到 Git 定义的状态。

Argo CD 核心概念说明

ArgoCD Application 删除时的 Propagation Policy

在 Argo CD 中，当你删除一个 Application 时，Propagation Policy（传播策略） 决定了该应用下属的 Kubernetes 资源（如 Deployment, Service, ConfigMap 等） 应该如何处理。本质上是调用了 Kubernetes API 的删除机制，Argo CD 利用 K8s 的 Finalizer 机制来实现这一逻辑

在 Kubernetes 集群中安装 ArgoCD

# kubectl create namespace argocd
namespace/argocd created

# kubectl apply -n argocd -f https://raw.githubusercontent.com/argoproj/argo-cd/stable/manifests/install.yaml --server-side
customresourcedefinition.apiextensions.k8s.io/applications.argoproj.io serverside-applied
customresourcedefinition.apiextensions.k8s.io/applicationsets.argoproj.io serverside-applied
customresourcedefinition.apiextensions.k8s.io/appprojects.argoproj.io serverside-applied
serviceaccount/argocd-application-controller serverside-applied
serviceaccount/argocd-applicationset-controller serverside-applied
serviceaccount/argocd-dex-server serverside-applied
serviceaccount/argocd-notifications-controller serverside-applied
serviceaccount/argocd-redis serverside-applied
serviceaccount/argocd-repo-server serverside-applied
serviceaccount/argocd-server serverside-applied
role.rbac.authorization.k8s.io/argocd-application-controller serverside-applied
role.rbac.authorization.k8s.io/argocd-applicationset-controller serverside-applied
role.rbac.authorization.k8s.io/argocd-dex-server serverside-applied
role.rbac.authorization.k8s.io/argocd-notifications-controller serverside-applied
role.rbac.authorization.k8s.io/argocd-redis serverside-applied
role.rbac.authorization.k8s.io/argocd-server serverside-applied
clusterrole.rbac.authorization.k8s.io/argocd-application-controller serverside-applied
clusterrole.rbac.authorization.k8s.io/argocd-applicationset-controller serverside-applied
clusterrole.rbac.authorization.k8s.io/argocd-server serverside-applied
rolebinding.rbac.authorization.k8s.io/argocd-application-controller serverside-applied
rolebinding.rbac.authorization.k8s.io/argocd-applicationset-controller serverside-applied
rolebinding.rbac.authorization.k8s.io/argocd-dex-server serverside-applied
rolebinding.rbac.authorization.k8s.io/argocd-notifications-controller serverside-applied
rolebinding.rbac.authorization.k8s.io/argocd-redis serverside-applied
rolebinding.rbac.authorization.k8s.io/argocd-server serverside-applied
clusterrolebinding.rbac.authorization.k8s.io/argocd-application-controller serverside-applied
clusterrolebinding.rbac.authorization.k8s.io/argocd-applicationset-controller serverside-applied
clusterrolebinding.rbac.authorization.k8s.io/argocd-server serverside-applied
configmap/argocd-cm serverside-applied
configmap/argocd-cmd-params-cm serverside-applied
configmap/argocd-gpg-keys-cm serverside-applied
configmap/argocd-notifications-cm serverside-applied
configmap/argocd-rbac-cm serverside-applied
configmap/argocd-ssh-known-hosts-cm serverside-applied
configmap/argocd-tls-certs-cm serverside-applied
secret/argocd-notifications-secret serverside-applied
secret/argocd-secret serverside-applied
service/argocd-applicationset-controller serverside-applied
service/argocd-dex-server serverside-applied
service/argocd-metrics serverside-applied
service/argocd-notifications-controller-metrics serverside-applied
service/argocd-redis serverside-applied
service/argocd-repo-server serverside-applied
service/argocd-server serverside-applied
service/argocd-server-metrics serverside-applied
deployment.apps/argocd-applicationset-controller serverside-applied
deployment.apps/argocd-dex-server serverside-applied
deployment.apps/argocd-notifications-controller serverside-applied
deployment.apps/argocd-redis serverside-applied
deployment.apps/argocd-repo-server serverside-applied
deployment.apps/argocd-server serverside-applied
statefulset.apps/argocd-application-controller serverside-applied
networkpolicy.networking.k8s.io/argocd-application-controller-network-policy serverside-applied
networkpolicy.networking.k8s.io/argocd-applicationset-controller-network-policy serverside-applied
networkpolicy.networking.k8s.io/argocd-dex-server-network-policy serverside-applied
networkpolicy.networking.k8s.io/argocd-notifications-controller-network-policy serverside-applied
networkpolicy.networking.k8s.io/argocd-redis-network-policy serverside-applied
networkpolicy.networking.k8s.io/argocd-repo-server-network-policy serverside-applied
networkpolicy.networking.k8s.io/argocd-server-network-policy serverside-applied

• --server-side 选项用于解决可能的报错： The CustomResourceDefinition "applicationsets.argoproj.io" is invalid: metadata.annotations: Too long: may not be more than 262144 bytes

等待 ArgoCD 相关 Pod 运行正常

# kubectl get pods -n argocd
NAME                                               READY   STATUS    RESTARTS        AGE
argocd-application-controller-0                    1/1     Running   0               6m11s
argocd-applicationset-controller-77475dfcf-qzvsf   1/1     Running   1 (3m47s ago)   6m15s
argocd-dex-server-6485c5ddf5-4ms4f                 1/1     Running   0               6m14s
argocd-notifications-controller-758f795776-4n5rb   1/1     Running   0               6m14s
argocd-redis-6cc4bb5db5-svpwm                      1/1     Running   0               6m13s
argocd-repo-server-c76cf57cd-pv8sb                 1/1     Running   0               6m12s
argocd-server-6f85b59c87-zhmqh                     1/1     Running   0               6m12s

创建 Ingress 对外开放 ArgoCD UI，本示例中 IngressClass 为 AWS alb

apiVersion: networking.k8s.io/v1
kind: Ingress
metadata:
  name: argocd
  namespace: argocd
  annotations:
    alb.ingress.kubernetes.io/scheme: internet-facing
    alb.ingress.kubernetes.io/target-type: ip

spec:
  ingressClassName: alb
  rules:
  - host: argocd.example.com
    http:
      paths:
      - path: /
        pathType: Prefix
        backend:
          service:
            name: argocd-server
            port:
              number: 80

创建并检查 Ingress

# kubectl apply -f argocd_ingress.yml 
ingress.networking.k8s.io/argocd configured

# kubectl get ingresses -A
NAMESPACE   NAME     CLASS   HOSTS                ADDRESS                                               PORTS   AGE
argocd      argocd   alb     argocd.example.com   k8s-argocd-argocd-8e8cb.ap-east-1.elb.amazonaws.com   80      8m22s

ArgoCD Pod 强制开启了 TLS (HTTPS)，而 ALB 却在使用 HTTP 进行健康检查。会因为健康检查失败无法访问

在集群中的 Pod 中尝试请求 argocd-server Pod 的地址，可以看到默认返回了重定向到 HTTPS 的响应，ALB 会因为证书问题对 Pod 健康检查失败

# curl -Iv 172.31.68.215:8080
> HEAD / HTTP/1.1
> Host: 172.31.68.215:8080
> User-Agent: curl/8.18.0
> Accept: */*
> 

HTTP/1.1 307 Temporary Redirect
Location: https://172.31.68.215:8080/

可以配置 ArgoCD 接受 HTTP 协议请求。 修改 ArgoCD Server 启动参数 ，执行命令 kubectl edit deployment argocd-server -n argocd 编辑 argocd-server 的 Deployment，在启动命令（ command ）中添加 --insecure 参数。

containers:
- args:
  - /usr/local/bin/argocd-server
  - --insecure

修改后等待 Pod 自动重启

$ kubectl get pods -A
NAMESPACE     NAME                                               READY   STATUS    RESTARTS   AGE
argocd        argocd-server-6ff754765c-pt5z6                     0/1     Running   0          18s

再次观察 ALB 的 Target 健康检查状态

ArgeCD 可以正常访问后，执行以下命令获取初始 admin 账户的密码

kubectl get secret argocd-initial-admin-secret -n argocd -o jsonpath="{.data.password}" | base64 -d

ArgoCD UI 常用操作

创建 Project

Project 可以实现资源或者 APP 的逻辑隔离，可以通过 Project 限制 APP 对以下资源的使用：

• SOURCE REPOSITORIES ：限制该 Project 下的 Application 只能从指定的 Git Reop 或者 Helm 仓库拉取配置（Manifest）。防止越权拉取。
• SCOPED REPOSITORIES ： 只允许属于 Project 的 APP 从指定的 Reop 拉取代码（Manifest）
• DESTINATIONS / SCOPED CLUSTERS： 限制属于 Project 的 APP 只能部署到指定的 Kubernetes 集群（（Server URL/Name））和 Namespace。支持通配符。例如限制只能部署到 in-cluster 的 dev-* 命名空间。
• cluster resource allow list / cluster resource deny list ： Kubernetes Cluster 范围内允许/拒绝使用的资源，针对 非命名空间资源（如 ClusterRole, CustomResourceDefinition, Namespace, StorageClass）
• namespace resource allow list / namespace resource deny list ： Namespace 范围的资源限制/允许，针对 命名空间资源（如 Deployment, Service, Secret, ConfigMap） 。

多用户与权限控制

Argo CD 有两个核心组件控制权限：

• argocd-server（认证）

• argocd-rbac-cm（授权）

Argo CD 支持三种用户方式

1. 本地用户（不推荐生产）

2. SSO（推荐生产） ，支持：

   • GitHub

   • GitLab

   • Azure AD

   • Google

   • OIDC

   • LDAP

   • Okta

   • Keycloak

   3. Kubernetes RBAC 模式（高级） 。可以让 ServiceAccount 调用 Argo API。

Kustomize 是专为 Kubernetes 设计的声明式配置管理工具，允许用户通过分层和声明式方式定制和管理应用程序配置，无需直接修改原始清单文件。Kustomize 已集成到 kubectl ，成为 Kubernetes 原生配置管理方案。

Kustomize 提供多种声明式配置管理能力，适用于复杂的 Kubernetes 应用场景:

• 配置合并与分层管理

  Kustomize 采用 基础配置（ base ） 和 覆盖配置（ overlay ） 的分层架构：

  • 基础配置(base) ：应用的通用资源定义
  • 覆盖配置(overlay) ：针对特定环境或需求的定制，支持修改、添加或删除基础内容

• 声明式配置与复用

  Kustomize 使用 YAML 格式的 kustomization.yaml 文件描述定制规则，支持：

  • 资源引用与组合
  • 名称前后缀统一管理
  • 标签与注释批量添加
  • 环境变量与配置映射替换
  • 镜像标签动态修改

  通过组件与补丁（patches），实现配置的复用与跨项目共享，降低维护成本。

• 多环境配置管理

  Kustomize 天然支持多环境部署，可为开发、测试、生产等环境创建专属覆盖(overlay)配置，实现一套基础配置适配多环境。

关键特性

• 无模板定制 ：无需模板语言即可修改清单
• 基于覆盖(overlay)的配置 ：通过补丁实现变体
• 资源生成 ：自动生成 ConfigMaps 、 Secrets
• 资源转换 ：内置或自定义转换器
• 插件系统 ：支持多种插件扩展，扩展资源生成与转换能力。插件类型包括：
  • Generators ：如 ConfigMapGenerator 、 SecretGenerator
  • Transformers ：如 PatchTransformer 、 NamespaceTransformer
  • Validators ：资源校验插件
• 变量替换 ：运行时数据注入

自 Kubernetes 1.14 起，Kustomize 已内置于 kubectl ，提供原生配置管理能力。 kubectl 内置 Kustomize 版本随 Kubernetes 版本变化。

$ kubectl version --client
Client Version: v1.35.0
Kustomize Version: v5.7.1

Kustomize 相关常用命令

直接应用配置：

kubectl apply -k overlays/dev
kubectl apply --kustomize overlays/dev

预览生成的清单：

kubectl kustomize overlays/prod

查看配置差异：

kubectl diff -k overlays/prod

删除应用的资源：

kubectl delete -k overlays/dev

将源站的内容主动预取到 CDN 节点，用户首次访问可直接命中缓存，即提升首次访问速度，又能有效缓解源站压力。

• 数据格式：请求和响应都支持 json/xml，xml 的参数与 json 的参数基本一致，json 的参数是驼峰分隔，xml 的参数是“-”分隔，详见示例。
• 限制说明：每个账号的预取并发是 10，调高并发会增加回源的压力，请联系技术支持人员评估。

场景

远程登录 windows 失败，报错:

由于没有远程桌面授权服务器可以提供许可证，远程会话连接已断开，请跟服务器管理员联系

解决方法

1. 打开 cmd，执行以下命令远程登录无法登录的 Windows 主机

   mstsc /v:1.1.1.1 /admin

2. 打开注册表

3. 找到路径： HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server\RCM\GracePeriod.如果超过120天后RCM下面会有一个GracePeriod,先备份这项注册表，再删除除了默认的的注册表项。

4. 重启电脑后生效.

Acunetix Web Vulnerability Scanner（简称AWVS）是一款知名的网络漏洞扫描工具，它通过网络爬虫测试你的网站安全，检测流行安全漏洞。

HCL AppScan（原名IBM Security AppScan）是原IBM的Rational软件部门的一组网络安全测试和监控工具，2019年被HCL技术公司收购。AppScan旨在在开发过程中对Web应用程序的安全漏洞进行测试。

环境信息

• Mysql 5.7

场景说明

Mysql 一主多从的情况下，主库宕机（或其他无法使用的情况），将其中一台从库提升为主库，同时将原来其他的从库配置为新的主库的从库。

主从恢复正常之前，数据库不应该有新的数据写入

环境信息

• centos7 5.4.212-1.el7
• kubernetes Server Version: v1.25.0
• Helm 3.10.0

Helm 定位为 Kubernetes 包管理器 或者 Kubernetes App Store ，就如 RHEL 中的 yum/dnf 。主要组件如下：

• helm : 纯客户端工具，负责模板渲染、插件执行和 OCI 交互。
• kstatus 状态检查器 ： 集成 kstatus 标准，替代了以前简单的 wait 逻辑。它能更精准地判断资源（如 Deployment, StatefulSet ）是否真正“就绪”。
• OCI 存储库 : Helm 4 进一步强化了对 OCI（Docker 镜像仓库协议）的支持，支持通过 Digest (散列值) 安装 Chart，确保供应链安全。
• slog 日志系统 : 内部采用 Go 语言的结构化日志 slog ，方便集成到现代化的可观测性平台。

核心概念 ：

• Chart ： 软件包。它是一系列 YAML 模板的集合，定义了应用如何运行所需的所有资源和信息。
• Repository（仓库） ： 存放 Chart 的地方（类似 Docker Hub 或应用商店），如 https://artifacthub.io/packages/search?kind=0
• Release : 运行中的实例。你用同一个 Chart 安装了两次，就会产生两个独立的 Release。

Helm 4 支持将复杂的配置拆分到多个 YAML 文档中，或者在一次命令中传入多个文件

helm install my-release ./my-chart -f values-base.yaml -f values-override.yaml

Helm 4 能够直接运行 Helm 3 的 Chart，无需修改代码。

安装

1. 下载 需要的版本

   wget https://get.helm.sh/helm-v3.10.0-linux-amd64.tar.gz

2. 解压

   tar -xf helm-v3.10.0-linux-amd64.tar.gz

3. 在解压目中找到 helm 程序，移动到需要的目录中

   cp linux-amd64/helm /usr/local/bin/

4. 验证

   $ helm version version.BuildInfo{Version:"v3.10.0", GitCommit:"ce66412a723e4d89555dc67217607c6579ffcb21", GitTreeState:"clean", GoVersion:"go1.18.6"}

helm 常用管理命令

安装 Release

首先要添加仓库，告诉 Helm 去哪里下载软件包（Chart）。最常用的是 Bitnami 仓库 或者 Artifact Hub

helm repo add bitnami https://charts.bitnami.com/bitnami
helm repo update

搜索/查看 Repo 中可用的 Charts

$ helm search repo hashicorp/vault
NAME                            	CHART VERSION	APP VERSION	DESCRIPTION                          
hashicorp/vault                 	0.25.0       	1.14.0     	Official HashiCorp Vault Chart       
hashicorp/vault-secrets-operator	0.1.0        	0.1.0      	Official Vault Secrets Operator Chart

安装 Chart，安装时可以为 Release 起个名字（如 vault），也可以不指定名字，让 Helm 自动生成 helm install bitnami/mysql --generate-name

要在安装 Chart 之前自定义配置，可以通过 YAML 配置自定义选项。 要想知道有哪些配置可用，可以使用命令 helm show values 查看

$ helm install vault hashicorp/vault --version 0.25.0
NAME: vault
LAST DEPLOYED: Mon Jul 10 14:59:13 2023
NAMESPACE: default
STATUS: deployed
REVISION: 1
NOTES:
Thank you for installing HashiCorp Vault!

Now that you have deployed Vault, you should look over the docs on using
Vault with Kubernetes available here:

https://www.vaultproject.io/docs/


Your release is named vault. To learn more about the release, try:

  $ helm status vault
  $ helm get manifest vault


$ helm install bitnami/mysql --generate-name
NAME: mysql-1612624192
LAST DEPLOYED: Sat Feb  6 16:09:56 2021
NAMESPACE: default
STATUS: deployed
REVISION: 1
TEST SUITE: None
NOTES: ...

查看 Chart 支持的自定义配置选项

## 先查看已安装的 Repo
$ helm repo list
NAME                	URL                                               
eks                 	https://aws.github.io/eks-charts                  
prometheus-community	https://prometheus-community.github.io/helm-charts

## 查看目标 Repo 中有哪些 Charts
$ helm search repo prometheus-community
NAME                                              	CHART VERSION	APP VERSION	DESCRIPTION                                       
prometheus-community/alertmanager                 	1.33.1       	v0.31.1    	The Alertmanager handles alerts sent by client ...
prometheus-community/alertmanager-snmp-notifier   	2.1.0        	v2.1.0     	The SNMP Notifier handles alerts coming from Pr...
prometheus-community/jiralert                     	1.8.2        	v1.3.0     	A Helm chart for Kubernetes to install jiralert   
prometheus-community/kube-prometheus-stack        	82.1.0       	v0.89.0    	kube-prometheus-stack collects Kubernetes manif...
prometheus-community/kube-state-metrics           	7.1.0        	2.18.0     	Install kube-state-metrics to generate and expo...

## 查看目标 Chart 支持哪些自定义配置选项
$ helm show values prometheus-community/kube-prometheus-stack | more
# Default values for kube-prometheus-stack.
# This is a YAML-formatted file.
# Declare variables to be passed into your templates.

## Provide a name in place of kube-prometheus-stack for `app:` labels
##
nameOverride: ""

## Override the deployment namespace
##
namespaceOverride: ""

## Provide a k8s version to auto dashboard import script example: kubeTargetVersionOverride: 1.26.6
##
kubeTargetVersionOverride: ""

## Allow kubeVersion to be overridden while creating the ingress
##
kubeVersionOverride: ""

## Provide a name to substitute for the full names of resources
##
fullnameOverride: ""
...
defaultRules:
  create: true
  rules:
    alertmanager: true
    etcd: true
    configReloaders: true
    general: true
    k8sContainerCpuUsageSecondsTotal: true
    k8sContainerMemoryCache: true
    k8sContainerMemoryRss: true
    k8sContainerMemorySwap: true
    k8sContainerResource: true
    k8sContainerMemoryWorkingSetBytes: true
    k8sPodOwner: true
    kubeApiserverAvailability: true
    kubeApiserverBurnrate: true
    kubeApiserverHistogram: true
    kubeApiserverSlos: true
    kubeControllerManager: true
    kubelet: true
    kubeProxy: true
    kubePrometheusGeneral: true
    kubePrometheusNodeRecording: true
    kubernetesApps: true
    kubernetesResources: true
    kubernetesStorage: true
    kubernetesSystem: true
    kubeSchedulerAlerting: true
    kubeSchedulerRecording: true
    kubeStateMetrics: true
    network: true
    node: true
    nodeExporterAlerting: true
    nodeExporterRecording: true
    prometheus: true
    prometheusOperator: true
    windows: true
...

查看已经安装的 Release 使用了哪些自定义参数，可以使用命令 helm get values <release-name>

$ helm ls -A
NAME                        	NAMESPACE  	REVISION	UPDATED                                	STATUS  	CHART                             	APP VERSION
aws-load-balancer-controller	kube-system	1       	2026-02-17 15:47:38.190164778 +0800 HKT	deployed	aws-load-balancer-controller-3.0.0	v3.0.0     
eks-monitor                 	monitoring 	14      	2026-02-21 02:23:09.462138692 +0000 UTC	deployed	kube-prometheus-stack-82.2.0      	v0.89.0  

$ helm get values -n monitoring eks-monitor
USER-SUPPLIED VALUES:
alertmanager:
  alertmanagerSpec:
    replicas: 1
  config:
    global:
      resolve_timeout: 5m
    receivers:
    - name: "null"
    - name: telegram
      telegram_configs:
      - bot_token: 7750349799:AAE6KDqMIfNE4Pb9WEM2XiIQ50FadioGkW8
        chat_id: -5293873506
        message: "\U0001F6A8 <b>{{ .CommonAnnotations.summary }}</b>\n\n<b>Alert:</b>
          {{ .CommonLabels.alertname }}\n<b>Cluster:</b> {{ .CommonLabels.cluster
          }}\n<b>Namespace:</b> {{ .CommonLabels.namespace }}\n<b>Severity:</b> {{
          .CommonLabels.severity }}\n\n<b>Description:</b>\n{{ .CommonAnnotations.description
          }}\n"
        parse_mode: HTML
        send_resolved: false
    route:
      group_by:
      - alertname
      - cluster
      group_wait: 10s
      receiver: telegram
      repeat_interval: 1h
  enabled: true
defaultRules:
  disabled:
    KubeCPUOvercommit: true
    KubeMemoryOvercommit: true
grafana:
  enabled: false
...

查看所有已安装的 Release

$ helm list -A
NAME                        	NAMESPACE  	REVISION	UPDATED                                  	STATUS  	CHART                             	APP VERSION
aws-load-balancer-controller	kube-system	1       	2026-02-17 15:47:38.190164778 +0800 +0800	deployed	aws-load-balancer-controller-3.0.0	v3.0.0     
eks-monitor                 	monitoring 	14      	2026-02-21 02:23:09.462138692 +0000 UTC  	deployed	kube-prometheus-stack-82.2.0      	v0.89.0    

卸载指定的 Release

$ helm ls -A
NAME        	NAMESPACE    	REVISION	UPDATED                                	STATUS	CHART                APP VERSION
cert-manager	cert-manager 	1       	2022-11-01 09:57:11.373366484 +0800 CST	failed	cert-manager-v1.7.1  v1.7.1     
rancher     	cattle-system	1       	2022-11-01 10:05:07.370131566 +0800 CST	failed	rancher-2.6.9        v2.6.9     

$ helm uninstall rancher -n cattle-system
W1101 10:21:32.764269   11113 warnings.go:70] policy/v1beta1 PodSecurityPolicy is deprecated in v1.21+, unavailable in v1.25+
W1101 10:21:34.043445   11113 warnings.go:70] policy/v1beta1 PodSecurityPolicy is deprecated in v1.21+, unavailable in v1.25+
W1101 10:21:39.809766   11113 warnings.go:70] policy/v1beta1 PodSecurityPolicy is deprecated in v1.21+, unavailable in v1.25+
release "rancher" uninstalled

更新指定的 Release

helm upgrade my-web bitnami/nginx -f my-values.yaml

helm upgrade --install my-web bitnami/nginx -f my-values.yaml

回滚到上一个 Release 版本

回滚使用命令 helm rollback [RELEASE] [REVISION] ，可以通过命令 helm history [RELEASE]

每次 install, upgrade, rollback 都会更新 REVISOION

$ helm list -A
NAME                        	NAMESPACE  	REVISION	UPDATED                                	STATUS  	CHART                             	APP VERSION
aws-load-balancer-controller	kube-system	1       	2026-02-17 15:47:38.190164778 +0800 HKT	deployed	aws-load-balancer-controller-3.0.0	v3.0.0     
eks-monitor                 	monitoring 	14      	2026-02-21 02:23:09.462138692 +0000 UTC	deployed	kube-prometheus-stack-82.2.0      	v0.89.0

$ helm history eks-monitor -n monitoring
REVISION	UPDATED                 	STATUS    	CHART                       	APP VERSION	DESCRIPTION     
5       	Thu Feb 19 15:21:40 2026	superseded	kube-prometheus-stack-82.1.0	v0.89.0    	Upgrade complete
6       	Thu Feb 19 15:24:23 2026	superseded	kube-prometheus-stack-82.1.0	v0.89.0    	Upgrade complete
7       	Thu Feb 19 15:34:16 2026	superseded	kube-prometheus-stack-82.1.0	v0.89.0    	Upgrade complete
8       	Thu Feb 19 15:37:33 2026	superseded	kube-prometheus-stack-82.1.0	v0.89.0    	Upgrade complete
9       	Thu Feb 19 15:40:24 2026	superseded	kube-prometheus-stack-82.1.0	v0.89.0    	Upgrade complete
10      	Thu Feb 19 15:46:54 2026	superseded	kube-prometheus-stack-82.1.0	v0.89.0    	Upgrade complete
11      	Thu Feb 19 17:29:21 2026	superseded	kube-prometheus-stack-82.1.0	v0.89.0    	Upgrade complete
12      	Sat Feb 21 02:00:26 2026	superseded	kube-prometheus-stack-82.2.0	v0.89.0    	Upgrade complete
13      	Sat Feb 21 02:10:58 2026	superseded	kube-prometheus-stack-82.2.0	v0.89.0    	Upgrade complete
14      	Sat Feb 21 02:23:09 2026	deployed  	kube-prometheus-stack-82.2.0	v0.89.0    	Upgrade complete

$ helm rollback eks-monitor -n monitoring 13

要在更新（upgrade）或者回滚（rollback）后强制重建 Pod，可以使用选项 --recreate-pods

查看已添加的的 Repo

$ helm repo ls
NAME          	URL                                              
rancher-stable	https://releases.rancher.com/server-charts/stable
jetstack      	https://charts.jetstack.io                       
hashicorp     	https://helm.releases.hashicorp.com

查看已安装的 Repo 中可用的 Charts

$ helm search repo hashicorp/vault -l
NAME                            	CHART VERSION	APP VERSION	DESCRIPTION                               
hashicorp/vault                 	0.25.0       	1.14.0     	Official HashiCorp Vault Chart            
hashicorp/vault                 	0.24.1       	1.13.1     	Official HashiCorp Vault Chart            
hashicorp/vault                 	0.24.0       	1.13.1     	Official HashiCorp Vault Chart            
hashicorp/vault                 	0.23.0       	1.12.1     	Official HashiCorp Vault Chart            
hashicorp/vault                 	0.22.1       	1.12.0     	Official HashiCorp Vault Chart            
hashicorp/vault                 	0.22.0       	1.11.3     	Official HashiCorp Vault Chart

$ helm search repo 
NAME                                              	CHART VERSION	APP VERSION	DESCRIPTION                                       
prometheus-community/alertmanager                 	1.33.1       	v0.31.1    	The Alertmanager handles alerts sent by client ...
prometheus-community/alertmanager-snmp-notifier   	2.1.0        	v2.1.0     	The SNMP Notifier handles alerts coming from Pr...
prometheus-community/jiralert                     	1.8.2        	v1.3.0     	A Helm chart for Kubernetes to install jiralert   
prometheus-community/kube-prometheus-stack        	82.2.0       	v0.89.0    	kube-prometheus-stack collects Kubernetes manif...
prometheus-community/kube-state-metrics           	7.1.0        	2.18.0     	Install kube-state-metrics to generate and expo...
prometheus-community/prom-label-proxy             	0.17.2       	v0.12.1    	A proxy that enforces a given label in a given ...
prometheus-community/prometheus                   	28.9.1       	v3.9.1     	Prometheus is a monitoring system and time seri...
prometheus-community/prometheus-adapter           	5.3.0        	v0.12.0    	A Helm chart for k8s prometheus adapter      

helm search hub 可以搜索 Artifact Hub 中公开可用的 Charts

$ helm search hub wordpress
URL                                                 CHART VERSION APP VERSION DESCRIPTION
https://hub.helm.sh/charts/bitnami/wordpress        7.6.7         5.2.4       Web publishing platform for building blogs and ...
https://hub.helm.sh/charts/presslabs/wordpress-...  v0.6.3        v0.6.3      Presslabs WordPress Operator Helm Chart
https://hub.helm.sh/charts/presslabs/wordpress-...  v0.7.1        v0.7.1      A Helm chart for deploying a WordPress site on ...

不指定名称搜索 helm search hub 将会列出 Artifact Hub 上所有可用的 Charts 链接（不是具体的 Helm Reop），要展示 Helm Repo 可以使用选项 helm search hub --list-repo-url

查看 Release 状态

$ helm list -A
NAME                        	NAMESPACE  	REVISION	UPDATED                                	STATUS  	CHART                             	APP VERSION
aws-load-balancer-controller	kube-system	1       	2026-02-17 15:47:38.190164778 +0800 HKT	deployed	aws-load-balancer-controller-3.0.0	v3.0.0     
eks-monitor                 	monitoring 	14      	2026-02-21 02:23:09.462138692 +0000 UTC	deployed	kube-prometheus-stack-82.2.0      	v0.89.0    

$ helm status eks-monitor -n monitoring
NAME: eks-monitor
LAST DEPLOYED: Sat Feb 21 02:23:09 2026
NAMESPACE: monitoring
STATUS: deployed
REVISION: 14
TEST SUITE: None
NOTES:
kube-prometheus-stack has been installed. Check its status by running:
  kubectl --namespace monitoring get pods -l "release=eks-monitor"

Get Grafana 'admin' user password by running:

  kubectl --namespace monitoring get secrets eks-monitor-grafana -o jsonpath="{.data.admin-password}" | base64 -d ; echo

Access Grafana local instance:

  export POD_NAME=$(kubectl --namespace monitoring get pod -l "app.kubernetes.io/name=grafana,app.kubernetes.io/instance=eks-monitor" -oname)
  kubectl --namespace monitoring port-forward $POD_NAME 3000

Get your grafana admin user password by running:

  kubectl get secret --namespace monitoring -l app.kubernetes.io/component=admin-secret -o jsonpath="{.items[0].data.admin-password}" | base64 --decode ; echo


Visit https://github.com/prometheus-operator/kube-prometheus for instructions on how to create & configure Alertmanager and Prometheus instances using the Operator.


$ helm status aws-load-balancer-controller -n kube-system
NAME: aws-load-balancer-controller
LAST DEPLOYED: Tue Feb 17 15:47:38 2026
NAMESPACE: kube-system
STATUS: deployed
REVISION: 1
TEST SUITE: None
NOTES:
AWS Load Balancer controller installed!

查看 Chart 的具体信息

使用命令 helm show chart 或则 helm show all 查看 Chart 详细信息，里面包含了关于 Chart 配置的详细信息和结构。

$ helm show chart prometheus-community/prometheus
annotations:
  artifacthub.io/license: Apache-2.0
  artifacthub.io/links: |
    - name: Chart Source
      url: https://github.com/prometheus-community/helm-charts
    - name: Upstream Project
      url: https://github.com/prometheus/prometheus
apiVersion: v2
appVersion: v3.9.1
dependencies:
- condition: alertmanager.enabled
  name: alertmanager
  repository: https://prometheus-community.github.io/helm-charts
  version: 1.33.*
- condition: kube-state-metrics.enabled
  name: kube-state-metrics
  repository: https://prometheus-community.github.io/helm-charts
  version: 7.1.*
- condition: prometheus-node-exporter.enabled
  name: prometheus-node-exporter
  repository: https://prometheus-community.github.io/helm-charts
  version: 4.51.*
- condition: prometheus-pushgateway.enabled
  name: prometheus-pushgateway
  repository: https://prometheus-community.github.io/helm-charts
  version: 3.6.*
description: Prometheus is a monitoring system and time series database.
...

Chart 结构

当你想要自己写 Chart 时，你会看到这样的文件夹结构（使用 helm create my-chart 生成）：

my-chart/
├── Chart.yaml          # 项目信息（版本、描述）
├── values.yaml         # 默认配置（最核心文件！所有的变量都写在这里）
├── charts/             # 依赖的其他子 Chart
└── templates/          # YAML 模板文件夹
    ├── deployment.yaml # K8s 资源模板
    └── service.yaml    # 暴露服务的模板

AWS 虚拟私有云 VPC

在进入具体的网络配置前，必须理解 AWS 的地理隔离：

• 区域 (Region) ：地理上的独立区域（如新加坡、弗吉尼亚）。区域之间完全隔离。

• 可用区 (Availability Zone, AZ) ：一个区域内由多个物理机房组成。AZ 之间通过高速、低延迟光纤连接。高可用架构必须跨 AZ 部署。跨 AZ 之间的流量需要付费。

VPC 是你在 AWS 云中的逻辑隔离网络。你可以完全控制其 IP 地址范围、子网、路由表和网络网关。

核心组件：

• CIDR 范围 ：你为 VPC 定义的私有 IP 地址块（如 10.0.0.0/16 ）。

• 子网 (Subnets) ：将 VPC 划分为更小的网段。子网必须位于特定的可用区内。

• 公有子网 (Public Subnet) ：路由指向互联网网关 (IGW)，实例可以有公网 IP。

• 私有子网 (Private Subnet) ：没有指向 IGW 的直接路由，通常通过 NAT 网关 访问外网 。

公有子网 和 私有子网 在配置上几乎一摸一样，唯一区别在于： 该子网关联的路由表（Route Table）中默认路由（0.0.0.0/0）是如何配置的。

• 公有子网 (Public Subnet) 其路由表中默认路由（0.0.0.0/0）指向 互联网网关 (Internet Gateway, ID 格式通常为 igw-xxxxxx) 。由于它直接连接到互联网大门，且子网内的实例拥有公网 IP，因此外部用户可以主动访问它，它也可以直接访问外部。
• 私有子网 (Private Subnet) 其路由表中默认路由（0.0.0.0/0）指向 NAT 网关 (NAT Gateway, ID 格式通常为 nat-xxxxxx)，或者干脆没有任何去往外网的路由 。它没有直通互联网的大门。它通过 NAT 网关（单向出口）实现“能出不能进”的效果。
  下图所示子网为 公有子网
  
  

• 路由表（Route Tables） 分为主路由表和自定义路由表
  • 主路由表（Main route table） 随 VPC 自动生成，它控制未与任何其他路由表显式关联的所有子网的路由，也就是 VPC 中的默认路由。
  • 自定义路由表 为新建的路由表。
  • 一个子网只能关联一个路由表，一个路由表可以关联多个子网

流量如何进出

VPC 与外界互联网通信可以使用以下方式：

部署 NAT Gateway 网关并关联子网

通过 NAT Gateway 可以实现子网中的实例的对外互联网出口 IP 都是 NAT Gateway 绑定的 EIP，子网中的实例对互联网不可见。NAT Gateway 典型使用场景：

• 为了安全，生产环境通常将 EKS 工作节点、RDS 数据库 或 缓存服务器（Redis） 放在私有子网中，这些资源不需要（也不应该）被互联网直接访问。
• 应用需要调用外部服务（如支付网关、银行接口或第三方 API）时，对方的防火墙通常需要你提供一个白名单 IP。由于 EKS 节点是动态变化的，IP 并不固定。
• 减少受攻击面，防止外部扫描。

以下为创建 NAT Gateway 并关联子网的相关步骤：

VPC
├── Public Subnet
│   ├── NAT Gateway（有 EIP）
│   └── Route Table (Public RT)
│       └── 0.0.0.0/0 → Internet Gateway
│
└── Private Subnet
    ├── EC2 / ECS / EKS Node
    └── Route Table (Private RT)
        └── 0.0.0.0/0 → NAT Gateway

关键点：

• NAT Gateway 必须在公有子网
• 私有子网的默认路由指向 NAT Gateway

1. 确认 Public Subnet 存在

   VPC 默认的 Main Route Table 已经满足这个条件，其默认网关为 Internet Gateway
   

2. 创建 NAT Gateway

   在 NAT gateways 标签页面中，点击 Create NAT gateway ， Connectivity type 选择 Public ， Elastic IP (EIP) association 选择 手动分配 EIP（Manual）
   
   创建完成后，状态应为 Available 。在路由表（Route Tables）中，这时会多一个路由表，其 Edge associations（边缘关联） 关联到了刚刚创建的 NAT Gateway
   

3. 创建一个新的子网（私有、Private Subnet）

   在 VPC → Subnets → Create subnet 标签页面中创建新的子网， 不要勾选 Auto-assign public IPv4 ，如此处于此子网中的实例，不会为其分配公网地址
   

4. 创建 Private Route Table

   在 VPC → Route tables → Create route table 标签页面中创建新的路由表，本示例名为 private-rt

5. 配置路由规则

   选择刚刚创建的新路由表 private-rt，在 Routes 中 编辑路由（Edit Routes） ，添加一条路由规则：

   | Destination | Target | | ----------- | --------------- | | 0.0.0.0/0 | NAT Gateway |

   

6. 关联 Private Subnet

   选择刚刚创建的新路由表 private-rt，在 Subnet associations(子网关联) 中 Edit subnet associations（编辑子网关联） ，选择目标子网进行关联
   

7. 最终的 VPC 整体路由可以在 VPC 的 Resource map 中进行检查
   

EKS 中的授权机制

Kubernetes 原生提供 RBAC（Role-Based Access Control） 来控制集群中的 用户和服务账户（ServiceAccount） 对资源的访问权限。

核心字段

• apiGroups ：资源所属 API 组，例如 "" 代表 core API 。

• resources ：允许访问的资源类型，如 pods、deployments。

• verbs ：允许的操作，如 get, list, create, delete 。

RBAC 示例：

apiVersion: rbac.authorization.k8s.io/v1
kind: Role
metadata:
  name: pod-reader
  namespace: dev
rules:
  - apiGroups: [""]
    resources: ["pods"]
    verbs: ["get", "list"]
---
apiVersion: rbac.authorization.k8s.io/v1
kind: RoleBinding
metadata:
  name: read-pods
  namespace: dev
subjects:
  - kind: ServiceAccount
    name: my-serviceaccount
roleRef:
  kind: Role
  name: pod-reader
  apiGroup: rbac.authorization.k8s.io

• RBAC 控制的是 Kubernetes 资源访问权限 。

• RBAC 对象绑定的是 Kubernetes 用户或 ServiceAccount，而不是 AWS IAM 用户 。

AWS IAM Role 是 AWS 层面的权限机制，用于授权 AWS 资源访问，例如 S3、DynamoDB、Secrets Manager 等。

AWS IAM Role 的特点：

• 可以被 IAM 用户、服务或 EC2/EKS Pod 假设（Assume）。

• 权限通过 IAM Policy 定义。

AWS IAM Role 在 EKS 中的应用:

• 管理集群本身访问 AWS 资源，例如节点组（NodeGroup）访问 S3。

• 可以通过 IAM 用户/Role 管理集群级别的操作权限，例如 eks:DescribeCluster 。

💡 核心点：IAM Role 本身无法直接控制 Kubernetes 资源，它管理的是 AWS 资源访问。

IRSA（IAM Roles for Service Accounts） 是 AWS EKS 引入的将 Kubernetes ServiceAccount 与 AWS IAM Role 绑定，实现 Pod 级别的 AWS 权限控制的机制。其大致原理如下：

• EKS 集群开启 OIDC Provider
• 创建 IAM Role 并信任该 OIDC Provider
• Role 上定义 IAM Policy（如访问 S3）
• Kubernetes ServiceAccount 指定注解 eks.amazonaws.com/role-arn。
• Pod 使用该 ServiceAccount 时自动获取 Role 权限

实践建议：

• 不要在 Pod 内放 AWS AccessKey，使用 IRSA。

• 最小权限原则：

  • RBAC：只给 Pod 或用户真正需要的 Kubernetes 权限。

  • IAM Role / IRSA：只给访问 AWS 资源的最小权限。

• 多集群管理：可以通过 ClusterRole + RoleBinding 管理跨命名空间权限。

• 审计：

  • 使用 CloudTrail 监控 IRSA 调用。

  • Kubernetes API Server 日志审计 RBAC 权限。

EKS 集群特性总结

• 节点的 IP 地址（EXTERNAL-IP 和 INTERNAL-IP）不固定，会变化。特别是在自治模式中，节点被视为 临时资源（Ephemeral） ，可能会频繁地进行节点池优化。

  如果集群需要固定的出口 IP，最推荐，最标准的做法是 使用 NAT 网关 ，将 EKS 节点部署在私有子网中，所有访问外部网络的流量都会经过 NAT 网关

通过 AWS 管理控制台部署 EKS 集群

• Kubernetes 版本： v1.35

本示例中使用 EKS 自治模式（EKS Auto Mode）

EKS 自治模式 接管了原本需要手动管理的节点、存储和网络配置，因此它需要一组非常具体且强大的权限

EKS 自治模式 有额外的费用，大概比 EC2 价格高 12%

EKS 自治模式 在集群创建完成后可修改（编辑）为非自治模式

EKS 自治模式 中的 Worker Nodes 配置 不能在控制台修改参数、不能自定义 ，具体的配置可以通过 API 接口查看 nodepool 资源

# kubectl describe nodepool general-purpose Name: general-purpose Namespace: Labels: app.kubernetes.io/managed-by=eks Annotations: karpenter.sh/nodepool-hash: 4012513481623584108 karpenter.sh/nodepool-hash-version: v3 API Version: karpenter.sh/v1 Kind: NodePool Metadata: Creation Timestamp: 2026-02-06T09:38:18Z Generation: 1 Resource Version: 784637 UID: e85261b9-3a4b-41b0-ac5... Spec: Disruption: Budgets: Nodes: 10% # 这是一个安全阀。在同一时间内，由于缩容或更新导致的节点离线比例不能超过 10%。这保证了你的集群不会因为自动优化而导致业务大面积中断。 Consolidate After: 30s # 节点达到上述状态 30 秒后，EKS 就会考虑将其关闭，并把上面的 Pod 迁移到更划算的节点上。 Consolidation Policy: WhenEmptyOrUnderutilized # 当节点变为空闲（没有 Pod）或者利用率较低（比如一个大节点只跑了一个小 Pod）时，EKS 会自动触发节点合并。 limits: # 资源限制 cpu: "1000" memory: 1000Gi Template: Metadata: Spec: Expire After: 336h # 节点的最大“寿命”是 14 天（336 小时），强制节点定期更换，以确保所有节点都运行在最新的安全补丁和 Bottlerocket 镜像上，防止出现长期未重启的“僵尸节点”。 Node Class Ref: # nodeclass 信息，可通过 kubectl get nodeclass 查看 Group: eks.amazonaws.com Kind: NodeClass Name: default Requirements: # 节点选择标准 (Requirements) Key: karpenter.sh/capacity-type # 实例类型，on-demand 为 按需实例 Operator: In Values: on-demand Key: eks.amazonaws.com/instance-category # 限定了实例系列 c: 计算优化型（适合高并发）； m: 通用型（平衡 CPU 和内存）； r: 内存优化型（适合数据库或缓存）。 Operator: In Values: c m r Key: eks.amazonaws.com/instance-generation # 只使用 4 代以后的机型（如 c5, m6i 等）。这确保了节点拥有较新的硬件特性和性能。 Operator: Gt Values: 4 Key: kubernetes.io/arch # CPU 架构。如果你想尝试性价比更高的 ARM 架构（Graviton），需要在这里添加 arm64 Operator: In Values: amd64 Key: kubernetes.io/os # 节点操作系统（OS）类型 Operator: In Values: linux Termination Grace Period: 24h0m0s

EKS 自治模式限制资源上限 编辑 NodePool，修改 spec.limits.cpu 和 spec.limits.memory 。这决定了该池子最多能“烧”掉多少 EC2 资源。

强制回收节点 ： 如果你想让 EKS 重新平衡节点（例如你更改了实例限制），可以手动删除节点，Auto Mode 会自动根据 Pod 需求拉起符合新规的新节点

kubectl delete node <node-name>

同时要关注 nodeclass 资源，其中定义了 子网（Subnet）和安全组（Security Group）等信息

# kubectl get nodeclass NAME ROLE READY AGE default eksNodeRole True 44h # kubectl describe nodeclass default Name: default Namespace: Labels: app.kubernetes.io/managed-by=eks Annotations: eks.amazonaws.com/nodeclass-hash: 13740036326424352917 eks.amazonaws.com/nodeclass-hash-version: v2 API Version: eks.amazonaws.com/v1 Kind: NodeClass Metadata: Creation Timestamp: 2026-02-06T09:38:18Z Finalizers: eks.amazonaws.com/termination Generation: 2 Resource Version: 827607 UID: 5065b0f3-3795-4347-893a-338ae6fa882d Spec: Ephemeral Storage: Iops: 3000 Size: 80Gi Throughput: 125 Network Policy: DefaultAllow Network Policy Event Logs: Disabled Role: eksNodeRole Security Group Selector Terms: Id: sg-058bd1ef... Snat Policy: Random Subnet Selector Terms: Id: subnet-07963d9b... Id: subnet-0e359aac... Id: subnet-0e76c601...

环境信息

• Docker 26.1.1
• Confluence Image： atlassian/confluence:8.5.15
• Jira Image： atlassian/jira-software:9.12.11
• postgresql 13

配置流程

创建项目所需新目录，用于存储持久化数据

# mkdir -p /opt/devops/{confluence,jira,postgresql}

下载 atlassian-agent.jar 文件，将其分别放置在 ./confluence/atlassian-agent.jar 和 ./jira/atlassian-agent.jar ，用于之后为 Confluence 和 Jira 生成 License

docker-compose.yaml 文件内容如下

services:
  # --- 数据库服务 ---
  postgres-db:
    image: postgres:13
    container_name: devops-postgres-db
    volumes:
      - ./postgresql:/var/lib/postgresql/data
    environment:
      - POSTGRES_USER=postgres
      - POSTGRES_PASSWORD=<PG_PASSWORD>
      - POSTGRES_DB=confluence
    healthcheck:
      test: ["CMD-SHELL", "pg_isready"]
      interval: 10s
      timeout: 5s
      retries: 5     
    networks:
      - devops-net


  # --- Confluence ---
  confluence:
    image: atlassian/confluence:8.5.15
    container_name: confluence
    depends_on:
      postgres-db:
        condition: service_healthy
    ports:
      - "8090:8090"
      - "8091:8091" # 同步端口（可选）
    environment:
      - ATL_JDBC_USER=postgres
      - ATL_JDBC_PASSWORD=74ni4ikEHVot8IJf
      - ATL_JDBC_URL=jdbc:postgresql://postgres-db:5432/confluence
      - ATL_DB_TYPE=postgresql
      - JVM_MINIMUM_MEMORY=2048m
      - JVM_MAXIMUM_MEMORY=4096m
      - TZ='Asia/Shanghai'
      - JVM_SUPPORT_RECOMMENDED_ARGS=-javaagent:/var/atlassian/application-data/confluence/atlassian-agent.jar
    volumes:
      - ./confluence:/var/atlassian/application-data/confluence
    networks:
      - devops-net
  
  # --- Jira ---
  jira:
    image: atlassian/jira-software:9.12.11
    container_name: jira
    depends_on:
      postgres-db:
        condition: service_healthy
    ports:
      - "8080:8080" # Jira 默认端口
    environment:
      - ATL_JDBC_USER=postgres
      - ATL_JDBC_PASSWORD=<PG_PASSWORD>
      - ATL_JDBC_URL=jdbc:postgresql://postgres-db:5432/jira  # 注意这里是指向新创建的 jira 库
      - ATL_DB_TYPE=postgresql
      - JVM_MINIMUM_MEMORY=2048m
      - JVM_MAXIMUM_MEMORY=4096m
      - TZ='Asia/Shanghai'
      - JVM_SUPPORT_RECOMMENDED_ARGS=-javaagent:/var/atlassian/application-data/jira/atlassian-agent.jar
    volumes:
      - ./jira:/var/atlassian/application-data/jira
    networks:
      - devops-net

networks:
  devops-net:
    driver: bridge

启动容器

# docker compose up -d

postgres 数据库启动正常后，执行以下命令为 Jira 创建数据库，Confluece 数据库在容器启动是会自动创建。

docker compose exec -it postgres-db psql -U postgres -c "CREATE DATABASE jira WITH ENCODING='UTF8' LC_COLLATE='en_US.utf8' LC_CTYPE='en_US.utf8' CONNECTION LIMIT=-1;"

Confluence 初始化部署

浏览器访问 http://<IP>:8090 在 Confluence 初始化页面拿到 Server ID

登录 Confluence 容器，执行以下命令获取破解得 License

# docker compose exec -it confluence bash
root@81d2f5a8f7e5:/var/atlassian/application-data/confluence# java -jar /var/agent/atlassian-agent.jar -d -p conf -m [email protected] -n [email protected]  -o your-org -s B66H-ET1W-2LYR-Q7R2

====================================================
=======     Atlassian Crack Agent v1.3.1     =======
=======           https://zhile.io           =======
=======          QQ Group: 30347511          =======
====================================================

Your license code(Don't copy this line!!!): 

AAABmA0ODAoPeJxtUVuPojAUfu+vINlnFKoLaNJkHWBWZwEZxbk8FjxII7akFBz21y8ik00mk/Sl5
7Tf9UdSNNoT5RrGmuEsZ3g5m2u/w0TDBraQK4EqJrhHFZDbRDdMHWPkt7Rshg3JaVkD8qDOJKuGy
YGX7MIUHLWSZcBr0NJOK5Sq6uV0+rdgJUyYQFt5opzVd5BONFIX8oQywfMJzRRrgSjZAHIFV/3dD
ykryRrKUvy6ClkeJ5m4oBF/TeuChO7VfXxczdPjayzCPG9e/NxN8dP845x4cbxeFc/VWwPTFrfRG
zarNGni0+HP+WotwmhFyJ16r6hUIEdXwyi4kyRdBRG9AHG3Yejv3M0qQL0oroBTnoH/UTHZjTk5C
92w+4PGvxuPBBtv70d6YNrWwrAN++fcdhy0B9mC7NcPlrXW/cR81XHwvtOf7R2+s/eI1AV+0zTkc
YbuBWR9C820jB7Jmc3MT57vRcSNzApaw9cSx/Q+4TDaN+n/Fge2QULUXFKQ2/xQ9y+JbqLeCPnGz
FjVENKXpv4BHKbJjjAtAhRlC24D9XOs3Z9LZwzE3PehVo5lhgIVAIaOykfNKCdhuAZn7PZsJR+qr
edbX02jn

命令参数说明：

-d 调试模式 必选，用于输出生成的许可证信息。

-m 电子邮箱 随便填 ，如 [email protected]。

-n 用户名 随便填 ，如 Organization_Admin。

-p 产品标识 不可乱填 。Confluence 是 conf ，Jira 是 jira ，Bitbucket 是 bitbucket 。

-o 组织/URL 建议填你的访问地址，如 https://wiki.mysite.com 。

-s Server ID 核心参数。必须填 Web 页面上显示的那个 16 位代码 。

License 验证成功后，填写数据库连接信息并测试连接成功

Jira 初始化部署

浏览器访问 http://<IP>：8080 打开 Jira 初始化页面，在 Jira setup 中选择 I'll set it up myself 。因为后面要指定数据库信息，因此要选择自定义。

根据提示填入数据库连接信息，测试无误后，到 Specify your license key 页面，复制 Server ID

登入 jira 容器，使用以下命令为 Jira 生成 License

root@69487899ebea:/var/atlassian/application-data/jira# java -jar /var/atlassian/application-data/jira/atlassian-agent.jar -d -p jira -m [email protected] -n [email protected]  -o your-org -s BYTU-X57R-U6U3-LSIB

====================================================
=======     Atlassian Crack Agent v1.3.1     =======
=======           https://zhile.io           =======
=======          QQ Group: 30347511          =======
====================================================

Your license code(Don't copy this line!!!): 

AAAB5Q0ODAoPeJyNU9GSmjAUfecrmOkzboKuqDOZ6YpYmQW0onb7GPEK2SKhSdDFry8K2+6q43QmL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X02n3

注意其中的参数 -p jira

根据提示完成其他配置即可开始使用 Jira。

Confluence 迁移

部署好相同版本的 Confluence 和 PostgreSQL 环境，

在开始之前，请确保：

• 停止旧环境和新环境的 Confluence 容器，以保证数据一致性。
• 确认新环境的 PostgreSQL 13 已经启动，并创建了一个空的数据库（例如名为 confluence ）。

1. 迁移 PostgreSQL 数据库

   由于版本一致，直接使用 pg_dump 是最稳妥的方案。

   docker exec -t <旧数据库容器名> pg_dump -U <用户名> <数据库名> > confluence_db.sql

   先删除新环境中的数据库 confluence，再新建

   # psql -h <HOST> -U postgres -d postgres postgres=> \l List of databases Name | Owner | Encoding | Collate | Ctype | Access privileges ------------+----------+----------+-------------+-------------+----------------------- confluence | postgres | UTF8 | en_US.UTF-8 | en_US.UTF-8 | jira | postgres | UTF8 | en_US.UTF-8 | en_US.UTF-8 | postgres | postgres | UTF8 | en_US.UTF-8 | en_US.UTF-8 | rdsadmin | rdsadmin | UTF8 | en_US.UTF-8 | en_US.UTF-8 | rdsadmin=CTc/rdsadmin template0 | rdsadmin | UTF8 | en_US.UTF-8 | en_US.UTF-8 | =c/rdsadmin + | | | | | rdsadmin=CTc/rdsadmin template1 | postgres | UTF8 | en_US.UTF-8 | en_US.UTF-8 | =c/postgres + | | | | | postgres=CTc/postgres (6 rows) postgres=> DROP DATABASE confluence; DROP DATABASE postgres=> postgres=> CREATE DATABASE confluence; CREATE DATABASE

   然后导入备份数据，将 confluence_db.sql 拷贝到新服务器，然后执行：

   cat confluence_db.sql | docker exec -i <新数据库容器名> psql -U <用户名> -d <数据库名>

2. 迁移 Confluence Home 目录

   Confluence 的用户附件、索引、插件配置等都存储在 Home 目录下。进入旧服务器的映射目录，执行

   tar -zcvf confluence_home_backup.tar.gz /path/to/old/confluence_home

   将备份文件传输到新 Confluence 环境 Home 目录并解压

3. 修改配置文件（如果数据库连接变了）

   如果新环境的数据库 IP、端口或密码与旧环境不同，你需要修改新环境 Home 目录下的配置文件：

   文件路径： <confluence-home>/confluence.cfg.xml

迁移完成后，重启 Confluence，即可加载到旧环境中的数据。

常见问题

迁移后文档无法编辑

迁移完成后，Confluence 打开正常，数据已经恢复，但是编辑文档保存时报错： Something went wrong after loading the editor. Copy your unsaved changes and refresh the page to keep editing.

这个错误通常意味着 Confluence 协作编辑（Collaborative Editing） 服务出现了通讯故障。在 Confluence 9.0.2 中，这通常与 Synchrony（负责实时协作的组件）的配置或网络环境有关。

可以 刷新 Synchrony 状态 解决

1. 以管理员身份登录 Confluence。

2. 前往 管理 (Confluence administration) > 协作编辑 (Collaborative editing) 。

3. 点击 Change mode ，将其切换为 Disabled 。

4. 等待几秒钟后，重新切换回 Enabled 。

   这会重启 Synchrony 进程并清理过时的锁定状态。