Skip to content

Instantly share code, notes, and snippets.

View DSir-eden's full-sized avatar

DSir DSir-eden

View GitHub Profile
@DSir-eden
DSir-eden / PII-双层加密体系实战.md
Last active May 2, 2026 15:16
PII-双层加密体系实战.md

跨境电商 PII 合规实战:KEK/DEK 双层加密 + 不可逆 identity_id + 30 天 TTL 清理

作者:@DSir-eden · 标签:PII / 合规 / Amazon DPP / KMS / AES-GCM / HMAC / KEK-DEK / GDPR / CCPA

文中所有真实账号 ID、ARN、域名、CMK 别名、命名空间名等已脱敏为 <占位符> 形式(尖括号本身不要保留,替换时去掉)。

TL;DR

跨境电商接入 Amazon SP-API 必须通过 Amazon DPP(Data Protection Policy)87 项审计——日志保留 ≥90 天、PII 静态加密、密钥轮换、传输 TLS 1.2+、最小化披露、可触发调查的告警等等。我们的多渠道网关系统从初审 60% (52/87) 到复查 77% (67/87),修复率 71%初审命中的 6 项 CRITICAL 严重问题已全部闭环

@DSir-eden
DSir-eden / 预警中心三段式架构.md
Last active May 2, 2026 15:16
预警中心三段式架构.md

预警中心三段式架构:怎样把「是否触发」和「如何触达」彻底解耦

作者:@DSir-eden · 标签:架构设计 / 状态机 / 事件驱动 / 单一职责 / RocketMQ / 流程引擎

文中所有真实账号 ID、ARN、域名、命名空间名、包名等已脱敏为 <占位符> 或通用名(如 com.example.alert.*)。

TL;DR

我们做了一个面向多业务线(店铺监控 / 订单异常 / 价格预警 等多对象类型)的通用预警触达平台。最难的不是写每条预警的判断逻辑——而是 如何让一个中枢系统能服务上百种预警场景,又不被任何一种场景绑死

@DSir-eden
DSir-eden / 00-EKS生产级部署-总览.md
Last active May 2, 2026 15:16
00-EKS生产级部署-总览.md
@DSir-eden
DSir-eden / 01-EKS生产级部署-AWS基建.md
Last active May 2, 2026 15:16
01-EKS生产级部署-AWS基建.md

EKS 生产级部署 · 01|AWS 基建:VPC / EKS / IAM / OIDC / Secrets Manager

作者:@DSir-eden · 系列第 1 篇 · 回到总览

适合读者:要从 0 拉一个生产 EKS 集群的 SRE / DevOps

所有命令均为真实可复制版本,敏感值已替换为 <占位符>尖括号本身不要保留,替换时去掉)。

兼容性:本文基于 AWS CLI v2.15+、eksctl 0.190+、kubectl 1.32+、Helm 3.14+。云服务 API 演进较快,建议发布日期之后回到上游文档对照参数名是否变更。

@DSir-eden
DSir-eden / 02-EKS生产级部署-CI流水线.md
Last active May 2, 2026 15:16
02-EKS生产级部署-CI流水线.md

EKS 生产级部署 · 02|CI 流水线:GitHub Actions OIDC + Trivy + Semgrep + ECR + Cosign

作者:@DSir-eden · 系列第 2 篇 · 回到总览 · 上一篇 01 AWS 基建

适合读者:要让代码 push 后自动构建、扫描、签名、推到 ECR 的开发 / DevOps

所有命令均为真实可复制版本,敏感值已替换为 <占位符>尖括号本身不要保留,替换时去掉)。

Action 版本说明:本文示例尽量给出当时的稳定版本号,但 GitHub Actions / Trivy / Cosign / Semgrep 等工具版本演进较快。生产使用前请到上游 README 确认最新稳定版,并 pin 到具体版本(避免 @master / @main 跟随上游变更)。

@DSir-eden
DSir-eden / 03-EKS生产级部署-CD与合规.md
Last active May 2, 2026 15:16
03-EKS生产级部署-CD与合规.md

EKS 生产级部署 · 03|CD 与合规:ArgoCD + ESO + Kyverno + S3 Object Lock

作者:@DSir-eden · 系列第 3 篇 · 回到总览 · 上一篇 02 CI 流水线

适合读者:要把 ECR 里的镜像安全部署到 EKS + 满足合规审计的 SRE / 安全工程师

所有命令均为真实可复制版本,敏感值已替换为 <占位符>尖括号本身不要保留,替换时去掉)。

API 兼容性提示:本文涉及的 ArgoCD / External Secrets Operator / Kyverno 等都是高速演进的项目,部分字段名可能在新版本里改动。Helm chart 的 --version 与 CRD 的 apiVersion 都建议在生产前到对应仓库 README 对照确认。文中给出的版本号是写作时的稳定版。

@DSir-eden
DSir-eden / DuckLake-生产升级排查实录.md
Last active May 2, 2026 15:16
DuckLake-生产升级排查实录

DuckDB / DuckLake 生产升级踩坑实录:从崩溃自愈到批量 UPDATE 提速 30×

作者:@DSir-eden · 标签:DuckDB / DuckLake / Parquet / 列存 / 生产稳定性 / 连接池 / Druid / AOP / Spring

TL;DR

我们的数据中台(FSO-Vault)用 DuckDB + DuckLake(DuckLake 是 DuckDB 官方的"湖仓一体"扩展,把元数据放 PostgreSQL、数据放 Parquet)作为多租户快照存储。从 DuckDB JDBC 1.4 → 1.5.0 → 1.5.1 → 1.5.2 的几次版本升级里,先后踩了 4 个生产问题:

  1. DuckLake Compaction 致命崩溃expected a single output file 触发 FATAL Error,整个 DuckDB 实例 invalidated、Druid 连接池被断流、服务不可用
  2. 超长列名静默截断 — DuckLake 元数据存全名、PG inlined data 受 NAMEDATALEN=63 限制截断 → 查询时列名匹配不上 → Binder Error
@DSir-eden
DSir-eden / LiteFlow-Metaspace-OOM-排查实录.md
Last active May 2, 2026 15:15
LiteFlow Metaspace OOM 排查实录 - 字节码反编译定位生产泄漏

一次 LiteFlow Metaspace 泄漏排查实录:当 unloadScriptNode() 没卸载该卸的东西

作者:@DSir-eden · 标签:JVM / 字节码 / Metaspace / LiteFlow / Liquor / 类卸载 / 生产排查

配套 GitHub Issue(已提交并获作者响应):dromara/liteflow#92

TL;DR

我们的 ETL 调度系统使用 LiteFlow 做脚本节点的动态编排,每次任务都会动态创建脚本节点 → 执行 → FlowBus.unloadScriptNode() 清理。看起来天衣无缝,但服务跑 1–2 周后稳定 Metaspace OOM。