在 Linux 中，点文件是隐藏的文本文件，从 Bash、Git 到 i3 或 VSCode 等更复杂的许多应用程序，都用它存储配置设置。

这些文件大多数都放在 ~/.config 目录中或用户主目录中。编辑这些文件使你可以自定义也许没有提供设置菜单的应用程序，并且它们可以跨设备甚至是跨其它 Linux 发行版移植。但是，整个 Linux 发烧友社区的讨论焦点是如何管理这些点文件以及如何共享它们。

我们将展示一个名为 Chezmoi 的工具，该工具与其它工具略有不同。

点文件管理的历史

如果你在 GitHub 上搜索“dotfiles”，那么你将看到有超过 10 万个存储库在解决一个目标：将人们的点文件存储在可共享且可重复的领地中。但是，除了都在使用 Git 之外，它们存储文件的方式各有不同。

虽然 Git 解决了代码管理问题，也将其转换为配置文件管理，但它并没有解决如何区分发行版、角色（例如家用计算机与工作计算机）、机密信息管理以及按设备配置的问题。

因此，许多用户决定制定自己的解决方案，多年来，社区已经做出了许多成果。本文将简要介绍已有的一些解决方案。

在孤立的环境中进行实验

你想在封闭的环境中快速尝试以下解决方案吗？运行：

$ podman run --rm -it fedora

来创建一个 Fedora 容器尝试应用程序。退出容器时，该容器将自动删除自身。

安装问题

如果将点文件存储在 Git 存储库中，你肯定希望可以让更改轻松地自动应用到主目录之中，乍一看，最简单的方法是使用符号链接，例如 ln -s ~/.dotfies/bashrc ~/.bashrc。这可以使你的更改在更新存储库时立即就绪。

符号链接的问题在于管理符号链接可能很麻烦。Stow 和 RCM（在 Fedora 杂志上介绍过）可以帮助你管理这些，但是这些并不是非常舒服的解决方案。下载后，需要对私有文件进行适当的修改和设置访问模式。如果你在一个系统上修改了点文件，然后将存储库下载到另一个系统，则可能会发生冲突并需要进行故障排除。

解决此问题的另一种方法是编写自己的安装脚本。这是最灵活的选项，但要权衡花费更多时间来构建自定义解决方案是否值得。

机密信息问题

Git 旨在跟踪更改。如果你在 Git 存储库中存储密码或 API 密钥之类的机密信息，则会比较麻烦，并且需要重写 Git 历史记录以删除该机密信息。如果你的存储库是公开的，那么如果其他人下载了你的存储库，你的机密信息将不再保密。仅这个问题就会阻止许多人与公共世界共享其点文件。

多设备配置问题

问题不在于如何将配置拉到多个设备，而是当你有多个需要不同配置的设备的问题。大多数人通过使用不同的文件夹或使用不同的 复刻 fork 来处理此问题。这使得难以在不同设备和角色集之间共享配置。

Chezmoi 是如何干的

Chezmoi 是一种考虑了以上问题的用于管理点文件的工具，它不会盲目地从存储库复制或符号链接文件。 Chezmoi 更像是模板引擎，可以根据系统变量、模板、机密信息管理器和 Chezmoi 自己的配置文件来生成你的点文件。

Chezmoi 入门

目前，Chezmoi 并不在 Fedora 的默认软件库中。你可以使用以下命令下载 Chezmoi 的当前版本。

$ sudo dnf install https://github.com/twpayne/chezmoi/releases/download/v1.7.17/chezmoi-1.7.17-x86_64.rpm

这会将预打包的 RPM 安装到你的系统中。

让我们继续使用以下方法创建你的存储库：

$ chezmoi init

它将在 ~/.local/share/chezmoi/ 中创建你的新存储库。你可以使用以下命令轻松地切换到该目录：

$ chezmoi cd

让我们添加第一个文件：

chezmoi add ~/.bashrc

这将你的 .bashrc 文件添加到 chezmoi 存储库。

注意：如果你的 .bashrc 文件实际上是一个符号链接，则需要添加 -f 标志以跟随它来读取实际文件的内容。

现在，你可以使用以下命令编辑该文件：

$ chezmoi edit ~/.bashrc

现在让我们添加一个私有文件，这是一个具有 600 或类似权限的文件。我在 .ssh/config 中有一个文件，我想通过使用如下命令添加它：

$ chezmoi add ~/.ssh/config

Chezmoi 使用特殊的前缀来跟踪隐藏文件和私有文件，以解决 Git 的限制。运行以下命令以查看它：

$ chezmoi cd

请注意，标记为私有的文件实际上并不是私有的，它们仍会以纯文本格式保存在你的 Git 存储库中。稍后会进一步解释。

你可以使用以下方法应用任何更改：

$ chezmoi apply

并使用如下命令检查有什么不同：

$ chezmoi diff

使用变量和模板

要导出 Chezmoi 可以收集的所有数据，请运行：

$ chezmoi data

其中大多数是有关用户名、架构、主机名、操作系统类型和操作系统名称的信息。但是你也可以添加我们自己的变量。

继续，运行：

$ chezmoi edit-config

然后输入以下内容：

[data]
         email = "[email protected]"
         name = "Fedora Mcdora"

保存文件，然后再次运行 chezmoi data。你将在底部看到你的电子邮件和姓名已经添加成功。现在，你可以将这些与 Chezmoi 的模板一起使用。运行：

$ chezmoi add  -T --autotemplate ~/.gitconfig

来将你的 .gitconfig 作为模板添加到 Chezmoi 中。如果 Chezmoi 成功地正确推断了模板，你将获得以下信息：

[user]
         email = "{{ .email }}"
         name = "{{ .name }}"

如果没有，则可以将文件更改为这样。

使用以下方法检查文件：

$ chezmoi edit ~/.gitconfig

然后使用：

$ chezmoi cat ~/.gitconfig

来查看 Chezmoi 为此文件生成什么。我生成的示例如下：

[root@a6e273a8d010 ~]# chezmoi cat ~/.gitconfig
[user]
    email = "[email protected]"
    name = "Fedora Mcdora"
[root@a6e273a8d010 ~]#

它将在我们的 Chezmoi 配置中生成一个充满变量的文件。你也可以使用变量执行简单的逻辑语句。一个例子是：

{{- if eq .chezmoi.hostname "fsteel" }}
# 如果主机名为 "fsteel" 才包括此部分
{{- end }}

请注意，要使其正常工作，该文件必须是模板。你可以通过查看文件是否在 chezmoi cd 中的文件名后附加 .tmpl 或使用 -T 选项读取文件来进行检查。

让机密信息保持机密

要对设置进行故障排除，请使用以下命令。

$ chezmoi doctor

这里重要的是它还向你显示了所支持的密码管理器。

[root@a6e273a8d010 ~]# chezmoi doctor
 warning: version dev
      ok: runtime.GOOS linux, runtime.GOARCH amd64
      ok: /root/.local/share/chezmoi (source directory, perm 700)
      ok: /root (destination directory, perm 550)
      ok: /root/.config/chezmoi/chezmoi.toml (configuration file)
      ok: /bin/bash (shell)
      ok: /usr/bin/vi (editor)
 warning: vimdiff (merge command, not found)
      ok: /usr/bin/git (source VCS command, version 2.25.1)
      ok: /usr/bin/gpg (GnuPG, version 2.2.18)
 warning: op (1Password CLI, not found)
 warning: bw (Bitwarden CLI, not found)
 warning: gopass (gopass CLI, not found)
 warning: keepassxc-cli (KeePassXC CLI, not found)
 warning: lpass (LastPass CLI, not found)
 warning: pass (pass CLI, not found)
 warning: vault (Vault CLI, not found)
 [root@a6e273a8d010 ~]#

你可以使用这些客户端，也可以使用通用客户端，也可以使用系统的密钥环。

对于 GPG，你需要使用以下命令将以下内容添加到配置中：

$ chezmoi edit-config

[gpg]
   recipient = "<Your GPG keys Recipient"

你可以使用：

$ chezmoi add --encrypt

来添加任何文件，这些文件将在你的源存储库中加密，并且不会以纯文本格式公开。Chezmoi 会在应用时自动将其解密。

我们也可以在模板中使用它们。例如，存储在 Pass（已在 Fedora 杂志上介绍）中的机密令牌。继续，生成你的机密信息。

在此示例中，它称为 githubtoken：

rwaltr@fsteel:~] $ pass ls
 Password Store
 └── githubtoken
 [rwaltr@fsteel:~] $

接下来，编辑你的模板，例如我们之前创建的 .gitconfig 并添加以下行。

token = {{ pass "githubtoken" }}

然后让我们使用检查：

$ chezmoi cat ~/.gitconfig

[rwaltr@fsteel:~] $ chezmoi cat ~/.gitconfig
 This is Git's per-user configuration file.
 [user]
           name = Ryan Walter
           email = [email protected]
           token = mysecrettoken
 [rwaltr@fsteel:~] $

现在，你的机密信息已在密码管理器中妥善保护，你的配置可以公开共享而没有任何风险！

最后的笔记

这里仅仅涉及到表面。请访问 Chezmoi 的网站了解更多信息。如果你正在寻找有关如何使用 Chezmoi 的更多示例，作者还可以公开了他的点文件。

via: https://fedoramagazine.org/take-back-your-dotfiles-with-chezmoi/

作者：Ryan Walter 选题：lujun9972 译者：wxy 校对：wxy

本文由 LCTT 原创编译，Linux中国 荣誉推出

如果你一直在使用 Arch Linux 或其他基于 Arch 的发行版，如 Manjaro，那么可能会遇到 AUR。你尝试安装新软件，有人建议从 AUR 中安装它。这让你感到困惑。

什么是 AUR？为什么使用它？如何使用 AUR？我将在本文中回答这些问题。

什么是 AUR？

AUR 表示 Arch 用户仓库 Arch User Repository 。它是针对基于 Arch 的 Linux 发行版用户的社区驱动的仓库。它包含名为 PKGBUILD 的包描述，它可让你使用 makepkg 从源代码编译软件包，然后通过 pacman（Arch Linux 中的软件包管理器）安装。

创建 AUR 的目的是组织和共享社区中的新软件包，并帮助加速将流行的软件包纳入社区仓库。

进入官方仓库的大量新软件包都从 AUR 开始。在 AUR 中，用户可以贡献自己的软件包构建（PKGBUILD 和相关文件）。

AUR 社区可以对 AUR 中的软件包进行投票。如果一个软件包变得足够流行（假设它具有兼容的许可证和良好的打包技术），那么可以将其加入 pacman 直接访问的社区仓库中。

简而言之，AUR 是开发人员在 Arch 仓库中正式包含新软件之前向 Arch Linux 用户提供新软件的一种方式。

你应该使用 AUR 吗？有什么风险？

使用 AUR 就像过马路一样。如果你谨慎操作，应该就没问题。

如果你刚接触 Linux，建议你在建立有关 Arch/Manjaro 和 Linux 的基础知识之前不要使用 AUR。

的确，任何人都可以将软件包上传到 AUR，但受信任用户（TU）负责监视上传的内容。尽管 TU 对上传的软件包执行质量控制，但不能保证 AUR 中的软件包格式正确或没有恶意。

在实践中，AUR 似乎很安全，但理论上讲它可以造成一定程度的损害，但前提是你不小心。从 AUR 构建软件包时，聪明的 Arch 用户总是检查 PKGBUILD 和 *.install 文件。

此外，TU（受信任用户）还会删除 AUR 中包含在 core/extra/community 中的软件包，因此它们之间不应存在命名冲突。AUR 通常会包含软件包的开发版本（cvs/svn/git 等），但它们的名称会被修改，例如 foo-git。

对于 AUR 软件包，pacman 会处理依赖关系并检测文件冲突，因此，除非你默认使用 –force 选项，否则你不必担心用另一个包中的文件会覆盖另一个包的文件。如果这么做了，你可能会遇到比文件冲突更严重的问题。

如何使用 AUR？

使用 AUR 的最简单方法是通过 AUR 助手。 AUR 助手 是一个命令行工具（有些还有 GUI），可让你搜索在 AUR 上发布的软件包并安装。

在 Arch Linux 上安装 AUR 助手

假设你要使用 Yay AUR 助手。确保在 Linux 上安装了 git。然后克隆仓库，进入目录并构建软件包。

依次使用以下命令：

sudo pacman -S git
sudo git clone https://aur.archlinux.org/yay-git.git
cd yay
makepkg -si

安装后，你可以使用 yay 命令来安装软件包：

yay -S package_name

并非必须使用 AUR 助手来从 AUR 安装软件包。从以下文章解如何在没有 AUR 助手的情况下使用 AUR。

不使用 AUR 助手安装 AUR 软件包

如果你不想使用 AUR 助手，那么也可以自行从 AUR 安装软件包。

在 AUR 页面上找到要安装的软件包后，建议确认“许可证”、“流行程度”、“最新更新”、“依赖项”等，作为额外的质量控制步骤。

git clone [package URL]
cd [package name]
makepkg -si

例如。假设你要安装 telegram 桌面包：

git clone https://aur.archlinux.org/telegram-desktop-git.git
cd telegram-desktop-git
makepkg -si

在 Manjaro Linux 中启用 AUR 支持

它默认情况下未启用 AUR，你必须通过 pamac 启用它。我的笔记本电脑运行 Manjaro Cinnamon，但是所有 Manjaro 变种的步骤都相同。

打开 Pamac（显示为 “Add/Remove Software”）：

进入 Pamac 后，请进入如下所示的 首选项 preferences 。

在首选项对话框中，进入 “AUR” 选项卡，启用 AUR 支持，启用检查更新，并关闭对话框。

现在，你可以搜索软件包，并且可以通过软件包描述下的标签来识别属于 AUR 的软件包。

希望本文对你有用，并关注社交媒体上即将出现的与 Arch 相关的主题。

via: https://itsfoss.com/aur-arch-linux/

作者：Dimitrios Savvopoulos 选题：lujun9972 译者：geekpi 校对：wxy

本文由 LCTT 原创编译，Linux中国 荣誉推出

如何在树莓派上使用 k3s 和 Let's Encrypt 来加密你的网站。

在上一篇文章中，我们在 k3s 集群上部署了几个简单的网站。那些是未加密的网站。不错，它们可以工作，但是未加密的网站有点太过时了！如今，大多数网站都是加密的。在本文中，我们将安装 cert-manager 并将其用于在集群上以部署采用 TLS 加密的网站。这些网站不仅会被加密，而且还会使用有效的公共证书，这些证书会从 Let's Encrypt 自动获取和更新！让我们开始吧！

准备

要继续阅读本文，你将需要我们在上一篇文章中构建的 k3s 树莓派集群。另外，你需要拥有一个公用静态 IP 地址，并有一个可以为其创建 DNS 记录的域名。如果你有一个动态 DNS 提供程序为你提供域名，可能也行。但是，在本文中，我们使用静态 IP 和 CloudFlare 来手动创建 DNS 的 A 记录。

我们在本文中创建配置文件时，如果你不想键入它们，则可以在此处进行下载。

我们为什么使用 cert-manager？

Traefik（在 k3s 预先捆绑了）实际上具有内置的 Let's Encrypt 支持，因此你可能想知道为什么我们要安装第三方软件包来做同样的事情。在撰写本文时，Traefik 中的 Let's Encrypt 支持检索证书并将其存储在文件中。而 cert-manager 会检索证书并将其存储在 Kubernetes 的 “ 机密信息 secret ” 中。我认为，“机密信息”可以简单地按名称引用，因此更易于使用。这就是我们在本文中使用 cert-manager 的主要原因。

安装 cert-manager

通常，我们只是遵循 cert-manager 的文档在 Kubernetes 上进行安装。但是，由于我们使用的是 ARM 体系结构，因此我们需要进行一些更改，以便我们可以完成这个操作。

第一步是创建 cert-manager 命名空间。命名空间有助于将 cert-manager 的 Pod 排除在我们的默认命名空间之外，因此当我们使用自己的 Pod 执行 kubectl get pods 之类的操作时，我们不必看到它们。创建名称空间很简单：

kubectl create namespace cert-manager

安装说明会让你下载 cert-manager 的 YAML 配置文件并将其一步全部应用到你的集群。我们需要将其分为两个步骤，以便为基于 ARM 的树莓派修改文件。我们将下载文件并一步一步进行转换：

curl -sL \
https://github.com/jetstack/cert-manager/releases/download/v0.11.0/cert-manager.yaml |\
sed -r 's/(image:.*):(v.*)$/\1-arm:\2/g' > cert-manager-arm.yaml

这会下载配置文件，并将包含的所有 docker 镜像更新为 ARM 版本。来检查一下它做了什么：

$ grep image: cert-manager-arm.yaml
          image: "quay.io/jetstack/cert-manager-cainjector-arm:v0.11.0"
          image: "quay.io/jetstack/cert-manager-controller-arm:v0.11.0"
          image: "quay.io/jetstack/cert-manager-webhook-arm:v0.11.0"

如我们所见，三个镜像现在在镜像名称上添加了 -arm。现在我们有了正确的文件，我们只需将其应用于集群：

kubectl apply -f cert-manager-arm.yaml

这将安装 cert-manager 的全部。我们可以通过 kubectl --namespace cert-manager get pods 来检查安装何时完成，直到所有 Pod 都处于 Running 状态。

这就完成了 cert-manager 的安装！

Let's Encrypt 概述

Let's Encrypt 的好处是，它免费为我们提供了经过公共验证的 TLS 证书！这意味着我们可以拥有一个完全有效的、可供任何人访问的 TLS 加密网站，这些家庭或业余的爱好活动挣不到钱，也无需自己掏腰包购买 TLS 证书！以及，当通过 cert-manager 使用 Let's Encrypt 的证书时，获得证书的整个过程是自动化的，证书的续订也是自动的！

但它是如何工作的？下面是该过程的简化说明。我们（或代表我们的 cert-manager）向 Let's Encrypt 发出我们拥有的域名的证书请求。Let's Encrypt 通过使用 ACME DNS 或 HTTP 验证机制来验证我们是否拥有该域。如果验证成功，则 Let's Encrypt 将向我们提供证书，这些证书将由 cert-manager 安装在我们的网站（或其他 TLS 加密的端点）中。在需要重复此过程之前，这些证书可以使用 90 天。但是，cert-manager 会自动为我们更新证书。

在本文中，我们将使用 HTTP 验证方法，因为它更易于设置并且适用于大多数情况。以下是幕后发生的基本过程。cert-manager 向 Let's Encrypt 发出证书请求。作为回应，Let's Encrypt 发出所有权验证的 质询 challenges 。这个质询是将一个 HTTP 资源放在请求证书的域名下的一个特定 URL 上。从理论上讲，如果我们可以将该资源放在该 URL 上，并且让 Let's Encrypt 可以远程获取它，那么我们实际上必须是该域的所有者。否则，要么我们无法将资源放置在正确的位置，要么我们无法操纵 DNS 以使 Let's Encrypt 访问它。在这种情况下，cert-manager 会将资源放在正确的位置，并自动创建一个临时的 Ingress 记录，以将流量路由到正确的位置。如果 Let's Encrypt 可以读到该质询要求的资源并正确无误，它将把证书发回给 cert-manager。cert-manager 将证书存储为“机密信息”，然后我们的网站（或其他任何网站）将使用这些证书通过 TLS 保护我们的流量。

为该质询设置网络

我假设你要在家庭网络上进行设置，并拥有一个以某种方式连接到更广泛的互联网的路由器/接入点。如果不是这种情况，则可能不需要以下过程。

为了使质询过程正常运行，我们需要一个我们要申请证书的域名，以将其路由到端口 80 上的 k3s 集群。为此，我们需要告诉世界上的 DNS 系统它的位置。因此，我们需要将域名映射到我们的公共 IP 地址。如果你不知道你的公共 IP 地址是什么，可以访问 WhatsMyIP 之类的地方，它会告诉你。接下来，我们需要输入 DNS 的 A 记录，该记录将我们的域名映射到我们的公共 IP 地址。为了使此功能可靠地工作，你需要一个静态的公共 IP 地址，或者你可以使用动态 DNS 提供商。一些动态 DNS 提供商会向你颁发一个域名，你可以按照以下说明使用它。我没有尝试过，所以不能肯定地说它适用于所有提供商。

对于本文，我们假设有一个静态公共 IP，并使用 CloudFlare 来设置 DNS 的 A 记录。如果愿意，可以使用自己的 DNS 服务器。重要的是你可以设置 A 记录。

在本文的其余部分中，我将使用 k3s.carpie.net 作为示例域名，因为这是我拥有的域。你显然会用自己拥有的任何域名替换它。

为示例起见，假设我们的公共 IP 地址是 198.51.100.42。我们转到我们的 DNS 提供商的 DNS 记录部分，并添加一个名为 k3s.carpie.net 的类型为 A 的记录（CloudFlare 已经假定了域的部分，因此我们只需输入 k3s），然后输入 198.51.100.42 作为 IPv4 地址。

请注意，有时 DNS 更新要传播一段时间。你可能需要几个小时才能解析该名称。在继续之前该名称必须可以解析。否则，我们所有的证书请求都将失败。

我们可以使用 dig 命令检查名称是否解析：

$ dig +short k3s.carpie.net
198.51.100.42

继续运行以上命令，直到可以返回 IP 才行。关于 CloudFlare 有个小注释：ClouldFlare 提供了通过代理流量来隐藏你的实际 IP 的服务。在这种情况下，我们取回的是 CloudFlare 的 IP，而不是我们的 IP。但对于我们的目的，这应该可以正常工作。

网络配置的最后一步是配置路由器，以将端口 80 和 443 上的传入流量路由到我们的 k3s 集群。可悲的是，路由器配置页面的差异很大，因此我无法确切地说明你的外观是什么样子。大多数时候，我们需要的管理页面位于“端口转发”或类似内容下。我甚至看到过它列在“游戏”之下（显然是端口转发主要用于的游戏）！让我们看看我的路由器的配置如何。

如果你和我的环境一样，则转到 192.168.0.1 登录到路由器管理应用程序。对于此路由器，它位于 “ NAT/QoS” -> “端口转发”。在这里，我们将端口 80/TCP 协议设置为转发到 192.168.0.50（主节点 kmaster 的 IP）的端口 80。我们还设置端口 443 也映射到 kmaster。从技术上讲，这对于质询来说并不是必需的，但是在本文的结尾，我们将部署一个启用 TLS 的网站，并且需要映射 443 来进行访问。因此，现在进行映射很方便。我们保存并应用更改，应该一切顺利！

配置 cert-manager 来使用 Let's Encrypt（暂存环境）

现在，我们需要配置 cert-manager 来通过 Let's Encrypt 颁发证书。Let's Encrypt 为我们提供了一个暂存（例如用于测试）环境，以便审视我们的配置。这样它更能容忍错误和请求的频率。如果我们对生产环境做了错误的操作，我们很快就会发现自己被暂时禁止访问了！因此，我们将使用暂存环境手动测试请求。

创建一个文件 letsencrypt-issuer-staging.yaml，内容如下：

apiVersion: cert-manager.io/v1alpha2
kind: ClusterIssuer
metadata:
  name: letsencrypt-staging
spec:
  acme:
    # The ACME server URL
    server: https://acme-staging-v02.api.letsencrypt.org/directory
    # Email address used for ACME registration
    email: <your_email>@example.com
    # Name of a secret used to store the ACME account private key
    privateKeySecretRef:
      name: letsencrypt-staging
    # Enable the HTTP-01 challenge provider
    solvers:
    - http01:
        ingress:
          class: traefik

请确保将电子邮件地址更新为你的地址。如果出现问题或我们弄坏了一些东西，这就是 Let's Encrypt 与我们联系的方式！

现在，我们使用以下方法创建 发行者 issuer ：

kubectl apply -f letsencrypt-issuer-staging.yaml

我们可以使用以下方法检查发行者是否已成功创建：

kubectl get clusterissuers

clusterissuers 是由 cert-manager 创建的一种新的 Kubernetes 资源类型。

现在让我们手动请求一个测试证书。对于我们的网站，我们不需要这样做；我们只是在测试这个过程，以确保我们的配置正确。

创建一个包含以下内容的证书请求文件 le-test-certificate.yaml：

apiVersion: cert-manager.io/v1alpha2
kind: Certificate
metadata:
  name: k3s-carpie-net
  namespace: default
spec:
  secretName: k3s-carpie-net-tls
  issuerRef:
    name: letsencrypt-staging
    kind: ClusterIssuer
  commonName: k3s.carpie.net
  dnsNames:
  - k3s.carpie.net

该记录仅表示我们要使用名为 letsencrypt-staging（我们在上一步中创建的）的 ClusterIssuer 来请求域 k3s.carpie.net 的证书，并在 Kubernetes 的机密信息中名为 k3s-carpie-net-tls 的文件中存储该证书。

像平常一样应用它：

kubectl apply -f le-test-certificate.yaml

我们可以通过以下方式查看状态：

kubectl get certificates

如果我们看到类似以下内容：

NAME                    READY   SECRET                  AGE
k3s-carpie-net          True    k3s-carpie-net-tls      30s

我们走在幸福之路！（这里的关键是 READY 应该是 True）。

解决证书颁发问题

上面是幸福的道路。如果 READY 为 False，我们可以等等它，然后再次花点时间检查状态。如果它一直是 False，那么我们就有需要解决的问题。此时，我们可以遍历 Kubernetes 资源链，直到找到一条告诉我们问题的状态消息。

假设我们执行了上面的请求，而 READY 为 False。我们可以从以下方面开始故障排除：

kubectl describe certificates k3s-carpie-net

这将返回很多信息。通常，有用的内容位于 Events: 部分，该部分通常位于底部。假设最后一个事件是 Created new CertificateRequest resource "k3s-carpie-net-1256631848。然后我们 描述 describe 一下该请求：

kubectl describe certificaterequest k3s-carpie-net-1256631848

现在比如说最后一个事件是 Waiting on certificate issuance from order default/k3s-carpie-net-1256631848-2342473830。

那么，我们可以描述该顺序：

kubectl describe orders default/k3s-carpie-net-1256631848-2342473830

假设有一个事件，事件为 Created Challenge resource "k3s-carpie-net-1256631848-2342473830-1892150396" for domain "k3s.carpie.net"。让我们描述一下该质询：

kubectl describe challenges k3s-carpie-net-1256631848-2342473830-1892150396

从这里返回的最后一个事件是 Presented challenge using http-01 challenge mechanism。看起来没问题，因此我们浏览一下描述的输出，并看到一条消息 Waiting for http-01 challenge propagation: failed to perform self check GET request ... no such host。终于！我们发现了问题！在这种情况下，no such host 意味着 DNS 查找失败，因此我们需要返回并手动检查我们的 DNS 设置，正确解析域的 DNS，并进行所需的任何更改。

清理我们的测试证书

我们实际上想要使用的是域名的真实证书，所以让我们继续清理证书和我们刚刚创建的机密信息：

kubectl delete certificates k3s-carpie-net
kubectl delete secrets k3s-carpie-net-tls

配置 cert-manager 以使用 Let's Encrypt（生产环境）

现在我们已经有了测试证书，是时候移动到生产环境了。就像我们在 Let's Encrypt 暂存环境中配置 cert-manager 一样，我们现在也需要对生产环境进行同样的操作。创建一个名为 letsencrypt-issuer-production.yaml 的文件（如果需要，可以复制和修改暂存环境的文件），其内容如下：

apiVersion: cert-manager.io/v1alpha2
kind: ClusterIssuer
metadata:
name: letsencrypt-prod
spec:
acme:
 # The ACME server URL
  server: https://acme-v02.api.letsencrypt.org/directory
  # Email address used for ACME registration
  email: <your_email>@example.com
  # Name of a secret used to store the ACME account private key
  privateKeySecretRef:
    name: letsencrypt-prod
  # Enable the HTTP-01 challenge provider
  solvers:
  - http01:
      ingress:
        class: traefik

（如果要从暂存环境进行复制，则唯一的更改是 server: URL。也请不要忘记修改电子邮件！）

应用它：

kubectl apply -f letsencrypt-issuer-production.yaml

申请我们网站的证书

重要的是需要注意，我们到目前为止完成的所有步骤都只需要进行一次！而对于将来的任何其他申请，我们可以从这个说明开始！

让我们部署在上一篇文章中部署的同样站点。（如果仍然可用，则可以修改 YAML 文件。如果没有，则可能需要重新创建并重新部署它）。

我们只需要将 mysite.yaml 的 Ingress 部分修改为：

---
apiVersion: networking.k8s.io/v1beta1
kind: Ingress
metadata:
  name: mysite-nginx-ingress
  annotations:
    kubernetes.io/ingress.class: "traefik"
    cert-manager.io/cluster-issuer: letsencrypt-prod
spec:
  rules:
  - host: k3s.carpie.net
    http:
      paths:
      - path: /
        backend:
          serviceName: mysite-nginx-service
          servicePort: 80
  tls:
  - hosts:
    - k3s.carpie.net
    secretName: k3s-carpie-net-tls

请注意，上面仅显示了 mysite.yaml 的 Ingress 部分。所做的更改是添加了注解 cert-manager.io/cluster-issuer: letsencrypt-prod。这告诉 traefik 创建证书时使用哪个发行者。 其他唯一增加的是 tls: 块。这告诉 traefik 我们希望在主机 k3s.carpie.net 上具有 TLS 功能，并且我们希望 TLS 证书文件存储在机密信息 k3s-carpie-net-tls 中。

请记住，我们没有创建这些证书！（好吧，我们创建了名称相似的测试证书，但我们删除了这些证书。）Traefik 将读取这些配置并继续寻找机密信息。当找不到时，它会看到注释说我们想使用 letsencrypt-prod 发行者来获取它。由此，它将提出请求并为我们安装证书到机密信息之中！

大功告成！ 让我们尝试一下。

它现在具有了加密 TLS 所有优点！恭喜你！

via: https://opensource.com/article/20/3/ssl-letsencrypt-k3s

作者：Lee Carpenter 选题：lujun9972 译者：wxy 校对：wxy

本文由 LCTT 原创编译，Linux中国 荣誉推出

在 Git 15 周年之际，了解为什么 Git 是保持软件行业运行的重要组成部分。

如果说过去二十年来有什么东西改变了软件，那么 Git 肯定位列榜首。

如果你没有亲自使用过 Git，你可能会认为它只是一种技术时尚，只是因为它是由 Linux 项目的创始人创建的，所以在开发者中只是一个偶然的宠儿。这或许有一定的道理，但 Git 确实取得了一些其他行业所没有的成就。有了 Git，分布在世界各地的开发者们可以在同一时间对同一段代码进行工作，并记录下每一次修改的历史，然后将所有的工作合并到一起，形成一个成品。由于这件事情非常复杂，所以这个工具本身也会变得很复杂，但归根结底，它是维持软件行业运行的重要组成部分。

无论你是否了解 Git，如果你足够深入的研究开源软件，或者进入计算机科学领域，都有可能遇到它。无论你使用 Git 只是为了下载一个安装包，还是每天与它交互来管理代码，了解更多关于它的知识，都会对你有很大的启发和帮助。

Git 术语

与任何专业工具一样，Git 中也有很多行话。像“ 克隆 clone ”、“ 合并 merge ”和“ 变基 rebase ”这样的术语，最起码也是神秘的，而更糟的情况下会令人感到排斥。试图理解这些术语的含义可能会让人不知所措，但如果你从 Matthew Broberg 的优秀文章《Git 术语基础》中得到一点指导，就不会这样了。只需快速阅读一下，你就能真正理解地听懂关于 Git 的对话。

Git 入门

如果你需要知道如何使用 Git，那么我自己的关于使用 Git 的入门文章系列是一个很好的开始。这些文章已经有几年的历史了，但就像许多 Linux 和 UNIX 技术一样，它的界面并没有发生很大的变化，所以这些文章和我写这些文章那时一样，在今天还是很有意义的。这一系列文章向你介绍了 Git 最基本的概念，并带领你完成创建仓库、提交文件、恢复文件、合并分支等过程。

常见的 Git 服务

Git 最常见的用途之一是公共的 Git 托管服务，比如 GitLab 和 GitHub。Kedar Vijay Kulkarni 在他的《如何在 Git 中克隆、修改、添加和删除文件》一文中，演示了大多数开发者使用 Git 执行的日常任务。这不是非开发者的必读书目，但对于任何想在公共 Git 托管服务上为项目做贡献的人来说，这篇文章是必读的。这篇文章专门针对的是 Github，因为它是当今最常见的平台之一，但其原理也适用于任何 Git 服务的 Web 前端，包括 GitLab、Gogs 和 Gitea 等流行的开源框架。

试试这个 Git 演练

与其漫无目的的探索，你是不是更喜欢在导游的带领下学习？有时候，学习一件事最简单的方法就是模仿别人的准确步骤。你知道最终的结果是肯定成功的，所以你在进行练习的时候会有信心，而你的大脑和手指也会得到重复的好处，从而建立起记忆。如果这是你的学习风格，那就跟着 Alan Formy-Duvall 的《Git 的实用学习练习》，找出成功的 Git 课程的感觉。

Git 应用程序

信不信由你，Git 的界面比你在终端输入的文字更多。显然，在线托管的 Git 有 Web 界面，但是你也可以在计算机上使用 Git 客户端。如果想获得更多的帮助，请阅读 Jesse Duffield 关于 Lazygit 的文章或 Olaf Anders 关于 Tig 的文章。要获得完整的图形应用程序体验，请阅读我有关 Git-cola、Sparkleshare 以及其它应用的文章。是的，甚至还有用于你的移动设备的界面！

了解更多关于 Git 的信息

知识就是力量，所以不要让 Git 对你来说像个谜。无论你是直接使用它，还是只知道它的名字，或者你以前从未听说过它，现在都是了解 Git 的好时机。这里有很多资源可以帮助你了解它的工作原理、工作原理以及人们为什么这么喜欢它。潜入其中，按照自己的节奏来学习，并学会爱上 Git 吧！

via: https://opensource.com/article/20/4/get-started-git

作者：Seth Kenlon 选题：lujun9972 译者：wxy 校对：wxy

本文由 LCTT 原创编译，Linux中国 荣誉推出

网络防火墙，顾名思义：为了阻止不需要的网络连接而设置的防护性屏障。在与外界建立连接或是提供网络服务时常常会用到。例如，在学校或是咖啡厅里使用笔记本电脑时，你一定不想某个陌生人窥探你的电脑。

每个 Fedora 系统都内置了一款防火墙。这是 Linux 内核网络功能的一部分。本文介绍如何通过 firewall-cmd 命令修改防火墙的配置。

网络基础

本文并不教授计算机网络的所有知识，但还是会简单介绍一些网络基础。

网络中的所有计算机都有一个 IP 地址，可以把它想象成一个邮箱地址，有了邮箱地址，邮件才知道发往何处。每台计算机还会拥有一组端口，端口号范围从 0 到 65535。同样的，你可以把这些端口想象成用来连接邮箱地址的连接点。

通常情况下，端口会是一个标准端口号或是根据应用程序的应答要求选定的一个端口范围。例如，一台 Web 服务器通常会保留 80 端口用于 HTTP 通信，443 端口用于 HTTPS。小于 1024 的端口主要用于系统或常见用途，1024-49151 端口是已经注册的，49152 及以上端口多为临时使用（只限短时间使用）。

互联网传输中最常见的两个协议，TCP 和 UDP。当要传输的数据很重要，不能有丢包时，就使用 TCP 协议，如果数据包没有按顺序到达，还需要重组为正确的顺序。UDP 协议则更多用于对时间敏感的服务，为了保证时效性，有时允许丢失部分数据。

系统中运行的应用，例如 Web 服务器，会保留一些端口（例如上文提到的 80 和 443）。在网络传输过程中，主机会为传输的两端建立一个链接，一端是源地址和源端口，另一端是目的地址和目的端口。

网络防火墙就是基于地址、端口及其他标准的一组规则集，来对网络数据的传输进行屏蔽或阻断的。通过 firewall-cmd 命令，我们就可以查看或修改防火墙的工作配置。

防火墙域（zone）

为了验证防火墙是否开启，使用 firewall-cmd 命令，输入时要加上 sudo。（通常，在运行了 PolicyKit 的环境中，你也可以不加 sudo）

$ sudo firewall-cmd --state
running

firewalld 服务支持任意数量的域。每个域都可以拥有独立的配置和防护规则。一台 Fedora 工作站的外部接口（例如 WIFI 或有线网卡）其默认域为 FedoraWorkstation。

要看有哪些域是激活状态，可以使用 -–get-active-zones 选项。在本示例中，有两个网卡，有线以太网卡 wlp2s0 和虚拟（libvirt）桥接网卡 virbr0：

$ sudo firewall-cmd --get-active-zones
FedoraWorkstation
  interfaces: wlp2s0
libvirt
  interfaces: virbr0

如果想看看默认域是什么，或是直接查询所有域：

$ sudo firewall-cmd --get-default-zone
FedoraWorkstation
$ sudo firewall-cmd --get-zones
FedoraServer FedoraWorkstation block dmz drop external home internal libvirt public trusted work

查询默认域中防火墙放行了哪些系统，使用 -–list-services 选项。下例给出了一个定制系统的查询结果，你可以看到与常见的结果有些不同。

$ sudo firewall-cmd --list-services
dhcpv6-client mdns samba-client ssh

该系统对外开启了四个服务。每个服务都对应一个常见端口。例如 ssh 服务对应 22 端口。

如果要查看当前域中防火墙还开启了哪些端口，可以使用 --list-ports 选项。当然，你也可以随时对其他域进行查询：

$ sudo firewall-cmd --list-ports --zone=FedoraWorkstation
1025-65535/udp 1025-65535/tcp

结果表明，从 1025 到 65535 端口（包含 UDP 和 TCP）默认都是开启的。

修改域、端口及服务

以上的配置都是预先设计好的防火墙策略。是为了确保新手用户安装的应用都能够正常访问网络。如果你确定自己心里有数，想要一个保护性更强的策略，可以将接口放入 FedoraServer 域，明确禁止所有端口的访问。（警告：如果你的服务器之前是联网状态，这么做可能会导致连接中断，那你就得到机房里去修改更多的配置项！）

$ sudo firewall-cmd --change-interface=<ifname> --zone=FedoraServer
success

本文并不讨论如何制定防火墙策略，Fedora 社区里已经有很多讨论了。你大可以按照自身需要来修改配置。

如果你想要开放某个服务的常见端口，可以将该服务加入默认域（或使用 --zone 指定一个不同的域）。还可以一次性将其加入多个域。下例开放了 HTTP 和 HTTPS 的常见端口 80、443：

$ sudo firewall-cmd --add-service=http --add-service=https
success

并非所有的服务都有默认端口，不过大部分都是有的。使用 -–get-services 选项可以查看完整列表。

如果你想指定某个特定端口号，可以直接用数字和协议进行配置。（多数情况下，-–add-service 和 -–add-port 这两个选项是合在一起使用的）下例开启的是 UDP 协议的网络启动服务：

$ sudo firewall-cmd --add-port=67/udp
success

重要：如果想要在系统重启或是 firewalld 服务重启后，配置仍然生效，必须在命令中加上 -–permanent 选项。本文中的例子只是临时修改了配置，下次遇到系统重启或是 firewalld 服务重启，这些配置就失效了。

以上只是 firewall-cmd 和 firewalld 服务诸多功能中的一小部分。firewalld 项目的主页还有更多信息值得你去探索和尝试。

via: https://fedoramagazine.org/control-the-firewall-at-the-command-line/

作者：Paul W. Frields 选题：lujun9972 译者：tinyeyeser 校对：wxy

本文由 LCTT 原创编译，Linux中国 荣誉推出

Python 是最流行、功能最强大的编程语言之一。由于它是自由开源的，因此每个人都可以使用。大多数 Fedora 系统都已安装了该语言。Python 可用于多种任务，其中包括处理逗号分隔值（CSV）数据。CSV文件一开始往往是以表格或电子表格的形式出现。本文介绍了如何在 Python 3 中处理 CSV 数据。

CSV 数据正如其名。CSV 文件按行放置数据，数值之间用逗号分隔。每行由相同的字段定义。简短的 CSV 文件通常易于阅读和理解。但是较长的数据文件或具有更多字段的数据文件可能很难用肉眼解析，因此在这种情况下计算机做得更好。

这是一个简单的示例，其中的字段是 Name、Email 和 Country。在此例中，CSV 数据将字段定义作为第一行，尽管并非总是如此。

Name,Email,Country
John Q. Smith,[email protected],USA
Petr Novak,[email protected],CZ
Bernard Jones,[email protected],UK

从电子表格读取 CSV

Python 包含了一个 csv 模块，它可读取和写入 CSV 数据。大多数电子表格应用，无论是原生（例如 Excel 或 Numbers）还是基于 Web 的（例如 Google Sheet），都可以导出 CSV 数据。实际上，许多其他可发布表格报告的服务也可以导出为 CSV（例如，PayPal）。

Python csv 模块有一个名为 DictReader 的内置读取器方法，它可以将每个数据行作为有序字典 （OrderedDict） 处理。它需要一个文件对象访问 CSV 数据。因此，如果上面的文件在当前目录中为 example.csv，那么以下代码段是获取此数据的一种方法：

f = open('example.csv', 'r')
from csv import DictReader
d = DictReader(f)
data = []
for row in d:
    data.append(row)

现在，内存中的 data 对象是 OrderedDict 对象的列表：

[OrderedDict([('Name', 'John Q. Smith'),
               ('Email', '[email protected]'),
               ('Country', 'USA')]),
  OrderedDict([('Name', 'Petr Novak'),
               ('Email', '[email protected]'),
               ('Country', 'CZ')]),
  OrderedDict([('Name', 'Bernard Jones'),
               ('Email', '[email protected]'),
               ('Country', 'UK')])]

引用这些对象很容易：

>>> print(data[0]['Country'])
USA
>>> print(data[2]['Email'])
[email protected]

顺便说一句，如果你需要处理没有字段名标题行的 CSV 文件，那么 DictReader 类可以让你定义它们。在上面的示例中，添加 fieldnames 参数并传递一系列名称：

d = DictReader(f, fieldnames=['Name', 'Email', 'Country'])

真实例子

我最近想从一长串人员名单中随机选择一个中奖者。我从电子表格中提取的 CSV 数据是一个简单的名字和邮件地址列表。

幸运的是，Python 有一个有用的 random 模块，可以很好地生成随机值。该模块 Random 类中的 randrange 函数正是我需要的。你可以给它一个常规的数字范围（例如整数），以及它们之间的步长值。然后，该函数会生成一个随机结果，这意味着我可以在数据的总行数范围内获得一个随机整数（或者说是行号）。

这个小程序运行良好：

from csv import DictReader
from random import Random

d = DictReader(open('mydata.csv'))
data = []
for row in d:
    data.append(row)

r = Random()
winner = data[r.randrange(0, len(data), 1)]
print('The winner is:', winner['Name'])
print('Email address:', winner['Email'])

显然，这个例子非常简单。电子表格本身包含了复杂的分析数据的方法。但是，如果你想在电子表格应用之外做某事，Python 或许是一种技巧！

题图由 Isaac Smith 拍摄，发表于 U​​nsplash。

via: https://fedoramagazine.org/using-data-from-spreadsheets-in-fedora-with-python/

作者：Paul W. Frields 选题：lujun9972 译者：geekpi 校对：wxy

本文由 LCTT 原创编译，Linux中国 荣誉推出