But while it took horses decades to be overcome, and chess masters years, it took me all of six months to be surpassed.
Surpassed by a system that costs one thousand times less than I do.
I very much hope we’ll get the two decades that horses did.
最近后台一直提示我 PHP7.4 EOL 了,今天终于打起精神来决定升级一把。
我一直处于两个极端,要么一直紧跟着升级,要么一直不升级。 你提示你的,我用我的。
从 NetworkPolicy 到 ClusterNetworkPolicy | Oilbeater 的自习室
- 隐式隔离。
一旦有任何 NetworkPolicy 选中了某个 Pod,那么 “未被允许” 的流量就会被默认拒绝。这种隐式的行为需要靠心算来推导,很难一眼看懂。- 只有允许,没有显式拒绝。
标准 NetworkPolicy 只能写 allow 类型的规则,想要 “拒绝某个来源”,通常要通过补充其他 allow 规则间接实现,或者依赖某些 CNI 厂商特有的扩展。- 没有优先级。
多个 NetworkPolicy 选择同一批 Pod 时,规则是加法而不是覆盖关系。最终行为往往需要把所有策略合在一起看,排查问题时非常困难。
这里提到的 NetworkPolicy “坑”,好像听到有用户吐槽过类似的网络产品行为,“默认拒绝”这个行为大部分用户都不会打开,业务方端口很多时候自己无法梳理清楚,业务上线之后更不敢操作了。很多用户的需求场景都是对已有的明确风险进行封禁,比如关键虚拟机的特定端口,只有 allow 规则就很别扭,已有的运维习惯都要重新改变。
我理解这里都是早期的初衷和实际使用场景的差异,早期期望的是自服务,期望的是开发者自己能够清楚自己应用需要什么网络流量,自己控制 Namespace 下的规则,无需其他运维团队的管理控制。随着 K8s 运维需求增强,安全合规团队需要在集群级别设置“红线”策略,原有方式就不太适合了。
产品功能逻辑直接照着 k8s 抄,可能会走弯路。
Oxford Word of the Year 2025 - Oxford University Press
牛津词典的 2025 年度词汇: “ragebait”:(名词)指为引发愤怒或愤慨而故意设计的令人沮丧、挑衅或冒犯的在线内容,通常发布此类内容是为了增加特定网页或社交媒体账户的流量或互动。
我似乎用这段时间证明了自己能很好地应对工作,但这真的值得以牺牲上面这些为代价么?我大概也算不上是一个一心追逐金钱财富的人,工作的目标还是为了生活。但当生活反之因工作而逐渐崩坏,是否又是一种本末倒置呢?
《浪漫的体质》,生病窝在家里看剧。“越上年纪,跟人沟通就越难。 人与人之间,百分百会发生问题,不管是大是小。年轻的时候,还想过是不是所有人都有性格障碍。但是所有人都那样,说明不是障碍,只是众生皆不同罢了。如果是彼此不同导致的问题,到头来,问题的责任,有一半在于我自己。想着不能那样,不自觉地,却在强求自己的想法。擅自判断曲解对方的话,不知是强求还是强迫。总之越是走上高位,那强求就越容易赢。那明明就不是赢。就算想着真的不能那样,闭上嘴,也会通过表情,通过氛围,最终表露出我的主张。唉,我就这样不像样地老去了。“
从 12 月初办公室就有人断断续续的感冒,我也没在意。7 号那天晚上浑身酸痛,睡不着,第二天感冒的症状也没有很明显,结果从 9 号开始流鼻涕、打喷嚏,10 号已经在崩溃的边缘,又加上上周 Oncall 没休息,11 号果断请假,硬生生躺了一天,但是也没睡多少,佳明已知提示我的HRV 降到了 22,心率一直很高,后面看着烦,直接把表摘了。
测了抗原阴性,期间一直在吃泰诺,有点后悔,应该直接吃速福达的。测抗原的时候,感受还挺奇妙的,明明 2022 年测了那么多次,现在再测,还是有些紧张,也不知道自己在紧张什么。
But while it took horses decades to be overcome, and chess masters years, it took me all of six months to be surpassed.
Surpassed by a system that costs one thousand times less than I do.
I very much hope we’ll get the two decades that horses did.
最近后台一直提示我 PHP7.4 EOL 了,今天终于打起精神来决定升级一把。
我一直处于两个极端,要么一直紧跟着升级,要么一直不升级。 你提示你的,我用我的。
从 NetworkPolicy 到 ClusterNetworkPolicy | Oilbeater 的自习室
- 隐式隔离。
一旦有任何 NetworkPolicy 选中了某个 Pod,那么 “未被允许” 的流量就会被默认拒绝。这种隐式的行为需要靠心算来推导,很难一眼看懂。- 只有允许,没有显式拒绝。
标准 NetworkPolicy 只能写 allow 类型的规则,想要 “拒绝某个来源”,通常要通过补充其他 allow 规则间接实现,或者依赖某些 CNI 厂商特有的扩展。- 没有优先级。
多个 NetworkPolicy 选择同一批 Pod 时,规则是加法而不是覆盖关系。最终行为往往需要把所有策略合在一起看,排查问题时非常困难。
这里提到的 NetworkPolicy “坑”,好像听到有用户吐槽过类似的网络产品行为,“默认拒绝”这个行为大部分用户都不会打开,业务方端口很多时候自己无法梳理清楚,业务上线之后更不敢操作了。很多用户的需求场景都是对已有的明确风险进行封禁,比如关键虚拟机的特定端口,只有 allow 规则就很别扭,已有的运维习惯都要重新改变。
我理解这里都是早期的初衷和实际使用场景的差异,早期期望的是自服务,期望的是开发者自己能够清楚自己应用需要什么网络流量,自己控制 Namespace 下的规则,无需其他运维团队的管理控制。随着 K8s 运维需求增强,安全合规团队需要在集群级别设置“红线”策略,原有方式就不太适合了。
产品功能逻辑直接照着 k8s 抄,可能会走弯路。
Oxford Word of the Year 2025 - Oxford University Press
牛津词典的 2025 年度词汇: “ragebait”:(名词)指为引发愤怒或愤慨而故意设计的令人沮丧、挑衅或冒犯的在线内容,通常发布此类内容是为了增加特定网页或社交媒体账户的流量或互动。
我似乎用这段时间证明了自己能很好地应对工作,但这真的值得以牺牲上面这些为代价么?我大概也算不上是一个一心追逐金钱财富的人,工作的目标还是为了生活。但当生活反之因工作而逐渐崩坏,是否又是一种本末倒置呢?
《浪漫的体质》,生病窝在家里看剧。“越上年纪,跟人沟通就越难。 人与人之间,百分百会发生问题,不管是大是小。年轻的时候,还想过是不是所有人都有性格障碍。但是所有人都那样,说明不是障碍,只是众生皆不同罢了。如果是彼此不同导致的问题,到头来,问题的责任,有一半在于我自己。想着不能那样,不自觉地,却在强求自己的想法。擅自判断曲解对方的话,不知是强求还是强迫。总之越是走上高位,那强求就越容易赢。那明明就不是赢。就算想着真的不能那样,闭上嘴,也会通过表情,通过氛围,最终表露出我的主张。唉,我就这样不像样地老去了。“
从 12 月初办公室就有人断断续续的感冒,我也没在意。7 号那天晚上浑身酸痛,睡不着,第二天感冒的症状也没有很明显,结果从 9 号开始流鼻涕、打喷嚏,10 号已经在崩溃的边缘,又加上上周 Oncall 没休息,11 号果断请假,硬生生躺了一天,但是也没睡多少,佳明已知提示我的HRV 降到了 22,心率一直很高,后面看着烦,直接把表摘了。
测了抗原阴性,期间一直在吃泰诺,有点后悔,应该直接吃速福达的。测抗原的时候,感受还挺奇妙的,明明 2022 年测了那么多次,现在再测,还是有些紧张,也不知道自己在紧张什么。